​Dit zijn 5 populairste methoden voor social engineering

Bij cyberaanvallen denken we al snel aan ingewikkelde schermen vol programmeercode en flashy terminalvensters. Toch is de werkelijkheid vaak een stuk minder techy. Veel aanvallen vinden namelijk plaats door een oeroude val: menselijke misleiding, ofwel ‘social engineering’ in securitytermen. Dit zijn de populairste methoden.

Mensen spelen een niet te onderschatten rol in cybersecurity. Security hoort binnen organisaties daarom volop aandacht te krijgen, maar dat gebeurt nog steeds te weinig. Een van de belangrijkste redenen hiervoor is dat het voor velen een taai, technisch onderwerp is.

Reden voor een aantal grote bedrijven om Cyber Central op te zetten: een stichting die security ‘gewoon’ wil maken en het onderwerp uit het ingewikkelde hackerssfeertje te halen. Initiatiefnemers hiervoor zijn Cisco, DearBytes, KPN en McAfee. De stichting biedt allerlei workshops om organisaties en instellingen cybersecurity te laten beleven. Met behulp van realistische praktijkscenario’s leer je de diverse social engineering-trucs herkennen, zodat je aanvallers te slim af blijft. Dit zijn alvast de meest essentiële tips om social engineering te voorkomen.

1. Phishing

Veruit de meest populaire methode voor social engineering is phishing. Hierbij verleiden de aanvallers je om een bijlage te openen. E-mailbijlagen zijn een populair vehikel voor de verspreiding van zogenoemde ‘droppers’: software en scripts die kwaadaardige malware downloaden en langs de virusscanner en firewall loodsen.

Andere phishingmails verleiden je op een link te klikken die naar een authentiek ogende website leidt. Daar wordt vervolgens gevraagd naar bijvoorbeeld je bank- of inloggegevens. Die gaan uiteraard linea recta richting de aanvallers.

Een nog venijniger variant op phishing is spear phishing. In tegenstelling tot reguliere phisingaanval is spear phishing gericht op een enkele persoon of organisatie. De malafide e-mail of website is in zo’n geval vaak nog lastiger van ‘echt’ te onderscheiden, omdat deze inhoudelijk inspelen op specifieke situaties of personen. Met name deze persoonlijke vorm van aanvallen, is sterk in opkomst.

2. De ‘helpdesk’-scam

De telefoon is voor cybercriminelen een dankbaar hulpmiddel. Je ziet hen namelijk niet, wat impersonatie makkelijk maakt. Zo komt het regelmatig voor dat cybercriminelen je kunnen bellen en zich voordoen als medewerker van de IT-helpdesk. Deze zogenaamde helpdesk-medewerker vertelt je dat er verdachte zaken zijn aangetroffen op je systeem. Vervolgens doen ze een verzoek om via hulp-op-afstand-software live ‘mee te kijken’ met je, zodat ze het zogenaamde euvel kunnen vaststellen.

De aanvallers nemen met toestemming van je vervolgens de volledige controle over. Met deze carte blanche kunnen ze vervolgens malware achterlaten, rommelen met op het systeem aanwezige data en software, vertrouwelijke e-mails lezen, enzovoort.

3. Vissen naar persoons- en inloggegevens

Een variant op bovenstaande social engineering-methode is het telefonisch vissen naar gevoelige informatie, zoals inloggegevens of persoonsgegevens zoals een bsn-nummer. De aanvaller doet zich doorgaans voor als een medewerker van de IT-afdeling. Vaak is de mededeling dat er een probleem zou zijn met je persoonlijke account. Ze vragen vervolgens naar de accountgegevens om het probleem zogenaamd te herstellen.

Ook komt het voor dat aanvallers zich voordoen als bankmedewerkers en op slinkse wijze vragen naar bijvoorbeeld pincodes of creditcardnummers.

4. CEO-fraude

Een andere trukendoos staat bekend onder de naam ceo-fraude. Hierbij doet de aanvaller zich voor als de directeur van een organisatie. De aanvallers misbruiken hierbij de autoriteit en ‘no questions asked’-mentaliteit als het gaat om het opvolgen van bevelen van de allerhoogste baas.Vaak gaat het daarbij om een verzoek om een grote som geld op een specifieke rekening te storten. Die rekening is natuurlijk in beheer van de aanvaller. Om de geloofwaardigheid kracht bij te zetten verwijzen de hackers soms naar een advocatenbureau voor een dubbelcheck. Dat ‘bureau’ zit uiteraard in het complot.

Cybercriminelen benaderen werknemers bij ceo-fraude vaak telefonisch, maar ook per e-mail. In dat laatste geval gebruiken ze een adres dat sterk lijkt op dat van de ceo, of breken ze in het mailaccount in.

Vaak gebruiken aanvallers ceo-fraude bij grote (enterprise-)bedrijven, omdat daar het persoonlijk contact tussen medewerkers en ceo vaak schaars of geheel afwezig is. Het is immers voor werknemers lastiger om vast te stellen of het wel echt om de ceo gaat, aangezien ze minder vertrouwd zijn met zijn of haar stem en typische gedragingen.

5. Verspreiding van besmette usb-sticks

Een beproefde methode is het met opzet laten rondslingeren van besmette usb-sticks. De aanvallers spelen hiermee in op de natuurlijke nieuwsgierigheid en de emoties van de mens . Zo laten ze vaak usb-sticks achter met het logo van de politie erop, of versieren ze deze met roze hartjes om te doen lijken alsof het van een onschuldig meisje is.

Wanneer je de stick uitleest, besmet de malware het systeem en dringt het vaak verder het netwerk binnen. Op die manier omzeilen de aanvallers de firewall. Vaak gaat het daarbij om software die de aanvallers toegang tot het bedrijfsnetwerk verschaft, of bijvoorbeeld toetsaanslagen onderschept en doorstuurt.

Hoe voorkomen?

Natuurlijk verkleint de kans op een succesvolle cyberaanval met adequate technische securitymiddelen. Zo kunnen goede firewalls en spamfilters phishingmails onderscheppen voor ze überhaupt aankomen. Maar tegen slimme social engineering is geen virusscanner opgewassen. Bewustwording van de gevaren en het leren herkennen van de aanvalstechnieken zijn onmisbaar.

Deze blogpost is geschreven door Erik Remmelzwaal, directeur bij DearBytes.