Een steeds groter deel van ons leven vindt digitaal plaats. Hier spelen cybercriminelen op in; de trucs en tactieken van social engineering zijn steeds gehaaider en lastiger te herkennen, denk maar aan hoe ‘echt’ deepfakes tegenwoordig lijken. Door middel van psychologische manipulatie spelen aanvallers in op menselijke emoties. Ze nemen een andere identiteit aan en proberen op verschillende manieren misleiding toe te passen.
In dit artikel gaan we dieper in op de vraag wat social engineering is en hoe dit in zijn werk gaat. We benoemen enkele veelvoorkomende vormen van oplichting. Ook geven we tips over waar je op moet letten, en hoe je jezelf en je bedrijf ertegen kunt beschermen.
Wat is social engineering?
Social engineering heeft in het Nederlands geen goede letterlijke vertaling. Engineering is Engels voor bouwen of bewerken. Social engineering is dus iets in de richting van sociaal gedrag bewerken of manipuleren. Het is een set oplichtingstechnieken dat misbruik maakt van menselijke eigenschappen. Social engineering kan zich hierbij richten op nieuwsgierigheid en vertrouwen, maar ook op onwetendheid, hebzucht of angst.
Verschil tussen phishing en social engineering
Social engineering en phishing worden in de volksmond vaak door elkaar gebruikt. Toch zijn deze twee concepten niet helemaal hetzelfde. Social engineering is namelijk een techniek die wordt ingezet voor oplichting, terwijl phishing een specifiek soort cyberaanval is. Bij phishing worden er e-mails verzonden die inspelen op menselijk gedrag om je op een kwaadaardige link te laten klikken of onbetrouwbare bestanden te downloaden. Ook zijn er vormen van phishing waarvoor criminelen sms of voicemail gebruiken, oftewel smishing.
Social engineering wordt gebruikt bij phishing. Een cybercrimineel doet zich bijvoorbeeld voor als een vriend van je en stuurt je een phishingbericht via WhatsApp. De oplichter probeert je ervan te overtuigen dat het echt om je vriend gaat en dat die bijvoorbeeld geld nodig heeft. Bij deze poging tot overtuiging in de vorm van gerichte ‘spear’ phishing wordt social engineering gebruikt.
Hoe werkt social engineering?
Bij een social engineering-aanval neemt een cybercrimineel contact op met mensen. Hij/zij probeert het vertrouwen van het slachtoffer te winnen met als doel persoonlijke gegevens of bijvoorbeeld geld te krijgen van het slachtoffer.
Hiervoor hebben de criminelen verschillende tactieken. Zo kan een oplichter zich voordoen als een nieuwe werknemer of een gezaghebbend persoon wanneer hij of zij een bedrijfsnetwerk wil infiltreren. Als hij een individuele bankrekening wil leeghalen, kan hij zich voordoen als vertegenwoordiger van de klantenservice.
Door vragen te stellen of een gesprek aan te knopen, proberen oplichters dus gevoelige informatie van het doelwit los te krijgen. De crimineel kan ook proberen om informatie zoals namen, functies en bedrijfs- of privékennis te bemachtigen. Deze informatie kan dan weer gebruikt worden bij andere slachtoffers om de geloofwaardigheid van de crimineel te vergroten. In de VS wordt informatie verkregen door social engineering weleens gebruikt voor ‘swatting‘.
Veelvoorkomende social engineering-technieken
Het is belangrijk om op te hoogte te zijn van verschillende technieken en nuances tijdens aanvallen. Niets is te gek voor social engineers; via e-mails, telefoongesprekken, sms-berichten en face-to-face-communicatie zijn oplichters in staat om allerlei informatie los te peuteren bij nietsvermoedende slachtoffers.
Hier volgen een paar voorbeelden die experts en onderzoekers hebben ontdekt.
Baiting
Baiting is het Engelse woord voor lokken. De crimineel probeert je met deze social engineering techniek dus in de val te lokken met beloftes. Deze techniek is erg effectief, zeker in modernere vormen. Baiting wordt vaak ingezet bij phishing-aanvallen. Via e-mails, sms’jes en telefonisch contact verleiden oplichters hun slachtoffers om op schadelijke linkjes te klikken of geïnfecteerde bestanden te downloaden. Deze bestanden zien er bijvoorbeeld uit als gratis cadeaubonnen, muziek, films of andere gewilde cadeaus.
Soms gebruiken internetcriminelen de baiting-techniek omgekeerd; namelijk door het te laten lijken alsof je geld gaat verliezen als je geen actie onderneemt. Een ander bekend voorbeeld van de omgekeerde baiting-techniek is de valse waarschuwing dat je computer is geïnfecteerd met een virus. Denk maar aan het Trojaans paard FluBot dat afgelopen jaren veel apparaten heeft geïnfecteerd. Een van de manieren waarop deze malware zich verspreidde was door een pop-up te tonen met het bericht dat je met FluBot geïnfecteerd was. In de pop-up stond verder dat je beveiligingssoftware moest downloaden om de malware te verwijderen door op een specifieke link te klikken.
Lees verder: Bron