Cybercriminelen hebben niet alleen technische instrumenten in hun gereedschapskist. Vaak maken ze ook gebruik van geniepige trucs om werknemers te misleiden. Dit wordt social engineering genoemd. Hoe werkt social engineering in de praktijk? En wat kun je doen om je bedrijf te beschermen?
Wat is social engineering?
Social engineering is een aanvalsmethode waarbij een hacker het slachtoffer met psychologische trucs manipuleert om zijn doel te bereiken. Vaak is dit het verkrijgen van gevoelige informatie, zoals bankgegevens of wachtwoorden voor bedrijfssystemen. Maar social engineering wordt bijvoorbeeld ook toegepast om malware te installeren en geld los te peuteren. De rode draad: handig inspelen op menselijk gedrag.
Er zijn verschillende vormen van social engineering. De meeste bekende is phishing. Hierbij stuurt de aanvaller een bericht met daarin bijvoorbeeld een link naar een website waar het slachtoffer gevoelige gegevens moet invullen. Maar een hacker kan ook telefonisch contact opnemen en zich bijvoorbeeld voordoen als een collega. Of een USB-stick laten slingeren in de omgeving van het bedrijf, om zo malware te verspreiden.
Urgentie creëren
Meestal wordt geprobeerd om een gevoel van urgentie, angst of nieuwsgierigheid te creëren. De phishingmail waarschuwt bijvoorbeeld voor een beveiligingsprobleem dat de klant moet oplossen door zijn wachtwoord te ‘wijzigen’. De zogenaamde IT-medewerker wil even meekijken in de e-mailbox om een gevaarlijke e-mail onschadelijk te maken. En op de USB-stick staat een politielogo, wat de vinder benieuwd maakt naar de inhoud.
Social engineering is vaak onderdeel van een grotere aanval. Stel dat de hacker via social engineering kan inloggen op het e-mailadres van een inkoopmedewerker. Van daaruit kan hij dan bijvoorbeeld e-mails naar de financiële afdeling versturen met het verzoek om even snel een leverancier te betalen. Of een gerichte phishingmail (spearphishing) versturen naar de directeur die toegang heeft tot bedrijfsgeheimen.
Voorbeelden uit de praktijk
Regelmatig blijkt dat social engineering een sleutelrol heeft gespeeld in de totstandkoming van grote cyberincidenten. Enkele voorbeelden uit de praktijk:
Uber
Taxibedrijf Uber werd in september 2022 in verlegenheid gebracht door een jonge hacker. Die nam naar eigen zeggen via WhatsApp contact op met een medewerker en deed zich voor als een IT-expert van Uber. Hij overtuigde de medewerker om in te loggen op een nagemaakte Uber-pagina en kreeg zo zijn wachtwoord in handen. Vervolgens gaf de medewerker hem via de multifactorauthenticatie-app toegang tot allerlei Uber-systemen.
Google en Facebook
Een hacker uit Litouwen wist dat Google en Facebook de technologie van de Taiwanese elektronicafabrikant Quanta Computer gebruikten in hun datacenters. Hij richtte een bedrijf op met dezelfde naam, stuurde uit naam van Quanta jarenlang valse facturen naar Facebook en Google en sluisde het geld weg naar buitenlandse bankrekeningen. De totale schade was meer dan 100 miljoen dollar. De hacker werd in 2019 veroordeeld tot vijf jaar cel
Defensiebedrijf
Deze zomer wisten hackers binnen te dringen bij een Nederlands defensiebedrijf. Volgens ESET maakten ze gebruik van een kwetsbaarheid in een Dell-driver. Maar ook deze aanval had een social-engineeringcomponent. De aanvallers benaderden werknemers via LinkedIn en deden zich voor als een recruiter van Project Kuiper, het internetsatellietproject van Amazon. Dit was onderdeel van een wereldwijde aanval op defensiebedrijven.
Hoe bescherm ik mijn organisatie?
Bovenstaande incidenten tonen aan dat het zelfs voor grote bedrijven bijzonder lastig is om zich te verdedigen tegen social engineering. Wel zijn er verschillende maatregelen die het risico op een geslaagde aanval verkleinen. Denk bijvoorbeeld aan:
1. Security-awarenesstrainingen
De mens wordt vaak neergezet als de zwakste schakel in de beveiliging, maar dat hoeft niet zo te zijn. Met security-awarenesstrainingen leer je je medewerkers hoe zij phishingmails en andere vormen van social engineering kunnen herkennen. Op die manier veranker je best practices zoals ‘klik niet zomaar op links’ en ‘sta geen inloggegevens af’ in je organisatie.
Naast het trainen van medewerkers is het ook belangrijk om te testen hoe effectief het security-awarenessprogramma is. Je kunt bijvoorbeeld een phishingaanval op je organisatie simuleren. Hoeveel mensen trappen in de phishingmail? En zijn er ook medewerkers die de verdachte mail direct melden bij de IT-afdeling? Zo maak je cyberveilig gedrag meetbaar.
Factsheet: KPN Security Awareness Programma
Om medewerkers bewustzijn bij te brengen over securitybeleid, biedt KPN het Security Awareness Programma. Meer weten?
Download2. Beleid en procedures
Als de interne procedures niet duidelijk zijn, valt afwijkend gedrag minder snel op. Maak dus heldere afspraken, bijvoorbeeld over de betalingsprocessen en bevoegdheden, en leg deze vast in beleid. Zorg er ook voor dat werknemers niet te veel informatie op social media plaatsen. Cybercriminelen gebruiken deze informatie om slachtoffers te misleiden.
3. Technische maatregelen
Zelfs een goed getrainde werknemer kan een securityfoutje maken, zeker als de aanvaller bedreven is in de kunst van misleiding. Benut daarom ook de technische mogelijkheden om social engineering te bemoeilijken. Gebruik bijvoorbeeld een moderne oplossing voor e-mailbeveiliging die voorkomt dat phishingmails de inbox van je werknemers bereiken.
Ga ervan uit dat social engineering ooit succesvol is. Multifactorauthenticatie (MFA) maakt een via social engineering verkregen wachtwoord veel minder bruikbaar, doordat werknemers hun identiteit ook moeten aantonen met bijvoorbeeld een smartphone-app. En met securitymonitoring kun je verdachte activiteiten op het netwerk zo snel mogelijk detecteren.
De zwakke plekken in jouw systeem ontdekken? Vraag de KPN penetration test aan.
