Wat is Social Engineering?

Social Engineering is een manipulatietechniek waarbij misbruik wordt gemaakt van menselijke fouten om privé-informatie, toegang of waardevolle bezittingen te verkrijgen.

Lees meer
Warpnet icon

Betekenis

Social Engineering-aanvallen manipuleren mensen om informatie te delen die ze niet zouden moeten delen, software te downloaden die ze niet zouden moeten downloaden, websites te bezoeken die ze niet zouden moeten bezoeken, geld te sturen naar criminelen of andere fouten te maken die hun persoonlijke of organisatorische veiligheid in gevaar brengen. Omdat Social Engineering gebruik maakt van psychologische manipulatie en misbruik maakt van menselijke fouten of zwakheden in plaats van technische kwetsbaarheden, wordt het ook wel ‘human hacking’ genoemd.

Hoe Social Engineering werkt en waarom

Social Engineering tactieken en technieken zijn gebaseerd op de wetenschap van menselijke motivatie. Ze manipuleren de emoties en instincten van slachtoffers op manieren die bewezen zijn om mensen aan te zetten tot handelingen die niet in hun eigen belang zijn.

De meeste aanvallen van sociale manipulatie maken gebruik van een of meer van de volgende tactieken:

Zich voordoen als een vertrouwd merk: Oplichters doen zich vaak voor als bedrijven die slachtoffers kennen, vertrouwen en misschien regelmatig mee zakendoen—zo vaak dat ze reflexmatig instructies van deze merken volgen zonder de juiste voorzorgsmaatregelen te nemen. Sommige oplichters van sociale manipulatie gebruiken wijdverbreide kits voor het opzetten van nepwebsites die lijken op die van grote merken of bedrijven.

Zich voordoen als een overheidsinstantie of gezaghebbend figuur: Mensen vertrouwen, respecteren of vrezen autoriteit (in verschillende mate). Social Engineering-aanvallen spelen in op deze instincten met berichten die lijken te komen van overheidsinstanties (bijv. het UWV of de SVB), politieke figuren, of zelfs beroemdheden.

Angst of een gevoel van urgentie opwekken: Mensen handelen vaak overhaast wanneer ze bang zijn of snel moeten schakelen. Oplichting via sociale manipulatie kan gebruik maken van verschillende technieken om angst of urgentie bij slachtoffers op te wekken—door bijvoorbeeld te vertellen dat een recente creditcardtransactie niet is goedgekeurd, dat er een virus hun computer heeft geïnfecteerd, dat een afbeelding op hun website auteursrecht schendt, enzovoort. Social Engineeriing kan ook inspelen op de angst van slachtoffers om iets te missen (FOMO), wat een ander soort urgentie creëert.

Inspelen op hebzucht: De oplichting van de Nigeriaanse prins—een e-mail waarin iemand die beweert een Nigeriaanse royal te zijn die zijn land probeert te ontvluchten een enorme financiële beloning aanbiedt in ruil voor de bankgegevens van de ontvanger of een kleine vooruitbetaling—is een van de bekendste voorbeelden van Social Engineering die beroep doet op hebzucht. (Het komt ook van een vermeend gezagsfiguur en creëert een gevoel van urgentie—een krachtige combinatie.)

Inspelen op behulpzaamheid en nieuwsgierigheid: De manipulatieve tactieken die onder Social Engineering vallen kunnen ook inspelen op de goede aard van slachtoffers. Zo kan een bericht dat afkomstig lijkt te zijn van een vriend of een sociaal netwerk technische hulp aanbieden, vragen om deelname aan een enquête, beweren dat het bericht van de ontvang

Meer weten over Social Engineering?

Aarzel niet om contact met ons op te nemen; wij vertellen u graag meer over alles omtrent Cybersecurity.

Contact opnemen
social engineering

Social Engineering aanvalstechnieken

Social Engineering-aanvallen komen in verschillende vormen voor en kunnen overal plaatsvinden waar menselijke interactie betrokken is. Hier zijn de vijf meest voorkomende vormen van digitale Social Engineering-aanvallen.

Phishing

Phishing-aanvallen zijn digitale of vocale berichten die proberen ontvangers te manipuleren om gevoelige informatie te delen, schadelijke software te downloaden, geld of activa over te maken naar de verkeerde personen, of andere schadelijke acties te ondernemen. Oplichters maken phishing-berichten om eruit te zien of te klinken alsof ze afkomstig zijn van een vertrouwde of geloofwaardige organisatie of persoon, soms zelfs van een persoon die de ontvanger persoonlijk kent.

Er zijn veel soorten phishingzwendel:

  • Bulk phishing-e-mails worden naar miljoenen ontvangers tegelijk gestuurd. Ze lijken te zijn verzonden door een groot, bekend bedrijf of organisatie – een nationale of wereldwijde bank, een grote online retailer, een populaire online betaalprovider, enzovoort – en doen een generiek verzoek zoals ‘we hebben problemen met het verwerken van uw aankoop, update uw creditcardinformatie alstublieft.’ Vaak bevatten deze berichten een kwaadaardige link die de ontvanger naar een nepwebsite leidt die de gebruikersnaam, wachtwoord, creditcardgegevens en meer van de ontvanger vastlegt.
     
  • Spear phishing richt zich op een specifiek individu, meestal iemand met bevoorrechte toegang tot gebruikersinformatie, het computernetwerk of bedrijfsfondsen. Een oplichter zal onderzoek doen naar het doelwit, vaak gebruikmakend van informatie die op LinkedIn, Facebook of andere sociale media is gevonden, om een bericht te maken dat afkomstig lijkt te zijn van iemand die het doelwit kent en vertrouwt, of dat verwijst naar situaties waarmee het doelwit vertrouwd is. Whale phishing is een spear phishing-aanval die gericht is op een prominent individu, zoals een CEO of politieke figuur. Bij zakelijke e-mailfraude (BEC) gebruikt de hacker gecompromitteerde referenties om e-mailberichten te sturen vanuit het daadwerkelijke e-mailaccount van een gezaghebbend figuur, waardoor de zwendel veel moeilijker te detecteren is.
     
  • Voice phishing, of vishing, is phishing via telefoongesprekken. Individuen ervaren vishing meestal in de vorm van bedreigende opgenomen oproepen die beweren van de FBI te zijn.
     
  • SMS-phishing, of smishing, is phishing via sms-bericht.
     
  • Zoekmachine-phishing houdt in dat hackers kwaadaardige websites maken die hoog scoren in zoekresultaten voor populaire zoektermen.
     
  • Angler-phishing is phishing via nep social media-accounts die zich voordoen als het officiële account van klantenservice- of klantondersteuningsteams van vertrouwde bedrijven.

Volgens een onderzoek door I&O research was Phishing de meest voorkomende vorm van Cybercrime in 2022, uit dit onderzoekt bleek namelijk dat 32% van de respondenten in 2022 met Phishing te maken had.

Baiting

Baiting lokt (geen woordspeling bedoeld) slachtoffers bewust of onbewust in het opgeven van gevoelige informatie of het downloaden van kwaadaardige code door hen te verleiden met een waardevol aanbod of zelfs een waardevol object.

De Nigerian Prince-zwendel is waarschijnlijk het bekendste voorbeeld van deze techniek. Meer recente voorbeelden zijn gratis, maar met malware geïnfecteerde game-, muziek- of softwaredownloads. Maar sommige vormen van baiting zijn nauwelijks kunstig. Bijvoorbeeld, sommige aanvallers laten eenvoudigweg met malware geïnfecteerde USB-sticks achter waar mensen ze zullen vinden – en ze pakken en gebruiken omdat ‘hey, gratis USB-stick.’

Tailgating

Bij tailgating – ook wel ‘piggybacking’ genoemd – volgt een ongeautoriseerd persoon een geautoriseerd persoon nauwlettend in een gebied met gevoelige informatie of waardevolle activa. Tailgating kan persoonlijk worden uitgevoerd – bijvoorbeeld wanneer een aanvaler een werknemer door een niet op slot gedaan deur volgt. Maar tailgating kan ook een digitale tactiek zijn, zoals wanneer iemand een computer onbeheerd achterlaat terwijl deze nog is ingelogd op een privé-account of netwerk.

Pretexting

Bij pretexting creëert de aanvaller een denkbeeldige situatie voor het slachtoffer en doet zich voor als de juiste persoon om deze op te lossen. Heel vaak (en het meest ironisch) beweert de oplichter dat het slachtoffer is getroffen door een beveiligingsinbreuk en biedt dan aan om de zaken op te lossen als het slachtoffer belangrijke accountinformatie of controle over de computer of het apparaat van het slachtoffer verstrekt. (Technisch gezien omvat bijna elke vorm van sociale techniek enige mate van pretexting.)

Quid pro quo

Bij een quid pro quo-zwendel bieden hackers een wenselijk goed of dienst aan in ruil voor gevoelige informatie van het slachtoffer. Nepwedstrijdwinsten of ogenschijnlijk onschuldige loyaliteitsbeloningen (‘bedankt voor uw betaling – we hebben een cadeau voor u’) zijn voorbeelden van quid pro quo-listen.

Scareware

Ook beschouwd als een vorm van malware, is scareware software die angst gebruikt om mensen te manipuleren om vertrouwelijke informatie te delen of malware te downloaden. Scareware neemt vaak de vorm aan van een nep-wetshandhavingsbericht waarin de gebruiker wordt beschuldigd van een misdaad, of een nep-techsupportbericht dat de gebruiker waarschuwt voor malware op hun apparaat.

Watering hole attack

Bij een zogenaamde watering hole attack injecteren hackers kwaadaardige code in een legitieme webpagina die vaak wordt bezocht door hun doelwitten. Watering hole attacks zijn verantwoordelijk voor alles van gestolen referenties tot onbewuste ransomware-downloads via ‘drive-by’ (ongewilde) acties.

Social Engineering preventie

Social Engineering-aanvallen zijn berucht moeilijk te voorkomen omdat ze vertrouwen op menselijke psychologie in plaats van technologische paden. Het aanvalsvlak is ook aanzienlijk: in een grotere organisatie volstaat één fout van een werknemer om de integriteit van het gehele bedrijfsnetwerk in gevaar te brengen. Enkele van de stappen die experts aanbevelen om het risico en succes van Social Engineering-aanvallen te verminderen, zijn onder andere:

Security Awareness Training: Veel gebruikers weten niet hoe ze Social Engineering-aanvallen moeten herkennen. In een tijd waarin gebruikers vaak persoonlijke informatie ruilen voor goederen en diensten, realiseren ze zich niet dat het prijsgeven van ogenschijnlijk alledaagse informatie, zoals een telefoonnummer of geboortedatum, hackers in staat kan stellen om accounts te schenden. Bewustwordingstraining op het gebied van beveiliging, in combinatie met beleid voor gegevensbeveiliging, kan werknemers helpen begrijpen hoe ze hun gevoelige gegevens kunnen beschermen en hoe ze lopende Social Engineering-aanvallen kunnen herkennen en erop kunnen reageren.

Beleid voor toegangsbeheer: Beveiligingsbeleid en technologieën voor toegangsbeheer, waaronder Multi-Factor Authenticatie, aanpasbare authenticatie en een Zero-Trust beveiligingsbeleid, kunnen de toegang van cybercriminelen tot gevoelige informatie en activa op het bedrijfsnetwerk beperken, zelfs als ze de aanmeldingsgegevens van gebruikers verkrijgen.

Cybersecurity-technologieën: Spamfilters en beveiligde e-mailgateways kunnen voorkomen dat sommige phishing-aanvallen werknemers in eerste instantie bereiken. Firewalls en antivirussoftware kunnen de omvang van eventuele schade beperken die wordt veroorzaakt door aanvallers die toegang krijgen tot het netwerk. Het up-to-date houden van besturingssystemen met de nieuwste patches kan ook enkele kwetsbaarheden sluiten die aanvallers uitbuiten via Social Engineering. Geavanceerde oplossingen voor detectie en respons, waaronder endpoint detectie en respons (EDR) en uitgebreide detectie en respons (XDR), kunnen beveiligingsteams helpen bij het snel detecteren en neutraliseren van beveiligingsdreigingen die het netwerk binnendringen via Social Engineering technieken.

Wat is het verschil tussen Ransomware vs. Malware vs. Social Engineering vs. Phishing?

Ransomware, Malware, Social Engineering en Phishing omvatten allemaal verschillende vormen van kwaadwillige Cyberaanvallen.

  • Malware is een algemene term gevormd door de woorden “kwaadaardig” en “software” die verschillende soorten software beschrijft die bedoeld zijn om systemen te compromitteren, gevoelige gegevens te verkrijgen of ongeautoriseerde toegang tot een netwerk te krijgen.
  • Ransomware is een categorie van Malware waarbij aanvallers verschillende methoden gebruiken om uw gegevens te versleutelen, waardoor ze ontoegankelijk worden of u de toegang tot een bepaald systeem of apparaat wordt ontzegd. Aanvallers eisen vervolgens losgeld in ruil voor het herstellen van uw toegang.
  • Social Engineering daarentegen is een methode die wordt gebruikt om gevoelige gegevens te ontfutselen door middel van menselijke manipulatie. Bij Social Engineering maken hackers contact met gebruikers terwijl ze zich voordoen als een legitieme organisatie en proberen ze kritieke informatie zoals rekeningnummers of wachtwoorden te achterhalen.
  • Phishing is een vorm van social engineering waarbij gebruik wordt gemaakt van e-mail, telefoon, sms of onwettige websites. In beide gevallen wordt de verzamelde informatie gebruikt om toegang te krijgen tot beveiligde accounts of gegevens.

Vragen? We helpen u graag verder.