De redactie van Dutchcowboys is te bereiken via redactie@dutchcowboys.nl
Bij cyberaanvallen denken we al snel aan ingewikkelde schermen vol programmeercode en flashy terminalvensters. Toch is de werkelijkheid vaak een stuk minder techy. Veel aanvallen vinden namelijk plaats door een oeroude val: menselijke misleiding, ofwel ‘social engineering’ in securitytermen. Dit zijn de populairste methoden.
Mensen spelen een niet te onderschatten rol in cybersecurity. Security hoort binnen organisaties daarom volop aandacht te krijgen, maar dat gebeurt nog steeds te weinig. Een van de belangrijkste redenen hiervoor is dat het voor velen een taai, technisch onderwerp is.
Reden voor een aantal grote bedrijven om Cyber Central op te zetten: een stichting die security ‘gewoon’ wil maken en het onderwerp uit het ingewikkelde hackerssfeertje te halen. Initiatiefnemers hiervoor zijn Cisco, DearBytes, KPN en McAfee. De stichting biedt allerlei workshops om organisaties en instellingen cybersecurity te laten beleven. Met behulp van realistische praktijkscenario’s leer je de diverse social engineering-trucs herkennen, zodat je aanvallers te slim af blijft. Dit zijn alvast de meest essentiële tips om social engineering te voorkomen.
1. Phishing
Veruit de meest populaire methode voor social engineering is phishing. Hierbij verleiden de aanvallers je om een bijlage te openen. E-mailbijlagen zijn een populair vehikel voor de verspreiding van zogenoemde ‘droppers’: software en scripts die kwaadaardige malware downloaden en langs de virusscanner en firewall loodsen.
Andere phishingmails verleiden je op een link te klikken die naar een authentiek ogende website leidt. Daar wordt vervolgens gevraagd naar bijvoorbeeld je bank- of inloggegevens. Die gaan uiteraard linea recta richting de aanvallers.
Een nog venijniger variant op phishing is spear phishing. In tegenstelling tot reguliere phisingaanval is spear phishing gericht op een enkele persoon of organisatie. De malafide e-mail of website is in zo’n geval vaak nog lastiger van ‘echt’ te onderscheiden, omdat deze inhoudelijk inspelen op specifieke situaties of personen. Met name deze persoonlijke vorm van aanvallen, is sterk in opkomst.
2. De ‘helpdesk’-scam
De telefoon is voor cybercriminelen een dankbaar hulpmiddel. Je ziet hen namelijk niet, wat impersonatie makkelijk maakt. Zo komt het regelmatig voor dat cybercriminelen je kunnen bellen en zich voordoen als medewerker van de IT-helpdesk. Deze zogenaamde helpdesk-medewerker vertelt je dat er verdachte zaken zijn aangetroffen op je systeem. Vervolgens doen ze een verzoek om via hulp-op-afstand-software live ‘mee te kijken’ met je, zodat ze het zogenaamde euvel kunnen vaststellen.
De aanvallers nemen met toestemming van je vervolgens de volledige controle over. Met deze carte blanche kunnen ze vervolgens malware achterlaten, rommelen met op het systeem aanwezige data en software, vertrouwelijke e-mails lezen, enzovoort.
3. Vissen naar persoons- en inloggegevens
Een variant op bovenstaande social engineering-methode is het telefonisch vissen naar gevoelige informatie, zoals inloggegevens of persoonsgegevens zoals een bsn-nummer. De aanvaller doet zich doorgaans voor als een medewerker van de IT-afdeling. Vaak is de mededeling dat er een probleem zou zijn met je persoonlijke account. Ze vragen vervolgens naar de accountgegevens om het probleem zogenaamd te herstellen.
Ook komt het voor dat aanvallers zich voordoen als bankmedewerkers en op slinkse wijze vragen naar bijvoorbeeld pincodes of creditcardnummers.
4. CEO-fraude
Een andere trukendoos staat bekend onder de naam ceo-fraude. Hierbij doet de aanvaller zich voor als de directeur van een organisatie. De aanvallers misbruiken hierbij de autoriteit en ‘no questions asked’-mentaliteit als het gaat om het opvolgen van bevelen van de allerhoogste baas.Vaak gaat het daarbij om een verzoek om een grote som geld op een specifieke rekening te storten. Die rekening is natuurlijk in beheer van de aanvaller. Om de geloofwaardigheid kracht bij te zetten verwijzen de hackers soms naar een advocatenbureau voor een dubbelcheck. Dat ‘bureau’ zit uiteraard in het complot.
Cybercriminelen benaderen werknemers bij ceo-fraude vaak telefonisch, maar ook per e-mail. In dat laatste geval gebruiken ze een adres dat sterk lijkt op dat van de ceo, of breken ze in het mailaccount in.
Vaak gebruiken aanvallers ceo-fraude bij grote (enterprise-)bedrijven, omdat daar het persoonlijk contact tussen medewerkers en ceo vaak schaars of geheel afwezig is. Het is immers voor werknemers lastiger om vast te stellen of het wel echt om de ceo gaat, aangezien ze minder vertrouwd zijn met zijn of haar stem en typische gedragingen.
5. Verspreiding van besmette usb-sticks
Een beproefde methode is het met opzet laten rondslingeren van besmette usb-sticks. De aanvallers spelen hiermee in op de natuurlijke nieuwsgierigheid en de emoties van de mens . Zo laten ze vaak usb-sticks achter met het logo van de politie erop, of versieren ze deze met roze hartjes om te doen lijken alsof het van een onschuldig meisje is.
Wanneer je de stick uitleest, besmet de malware het systeem en dringt het vaak verder het netwerk binnen. Op die manier omzeilen de aanvallers de firewall. Vaak gaat het daarbij om software die de aanvallers toegang tot het bedrijfsnetwerk verschaft, of bijvoorbeeld toetsaanslagen onderschept en doorstuurt.
Hoe voorkomen?
Natuurlijk verkleint de kans op een succesvolle cyberaanval met adequate technische securitymiddelen. Zo kunnen goede firewalls en spamfilters phishingmails onderscheppen voor ze überhaupt aankomen. Maar tegen slimme social engineering is geen virusscanner opgewassen. Bewustwording van de gevaren en het leren herkennen van de aanvalstechnieken zijn onmisbaar.
Deze blogpost is geschreven door Erik Remmelzwaal, directeur bij DearBytes.
Verder lezen over Bedrijven
DC Business11.10.2024
5 voordelen van een zakelijk postadres voor je bedrijf
DC Business07.10.2024
Backbase opent wereldwijde hoofdkantoor in Amsterdam
Search26.09.2024
Pas op: Google pakt bedrijven met nepreviews op Google Maps
DC Business23.09.2024
Flintfox lanceert snelle real-time pricing engine nu ook voor SAP-klanten
Lifestyle04.09.2024
5 dingen die altijd goed zijn in een kerstpakket
DC Business30.08.2024
De zakelijke voordelen van regelmatige gehoortests voor werknemers
Lifestyle05.08.2024
Hoe maak je optimaal gebruik van een zit sta bureau?
DC Business29.07.2024
Toekomst van kantoorruimte: terug naar kantoor of toch thuis blijven werken?
Verder lezen over Hackers
Cybercrime11.10.2024
Het allerbelangrijkste gereedschap van cybercriminelen is JOUW browser!
Gebruik daarom liever apps op tablets of smartphones voor de allergevoeligste gegevensCybercrime08.10.2024
Unlock Digitale Weerbaarheid: leer online gevaren te herkennen
Cybercrime30.09.2024
De Gesprek Check is een extra controle-hulpmiddel van ABN AMRO
heb je echt de bank aan de telefoon?Cybercrime29.08.2024
TeamViewer heeft een groot cybersecurity-probleem
Cybercrime26.08.2024
Financiële fraude met phishingmethode specifiek gericht op Android & iOS
Cybercrime16.08.2024
Wielrenner, je racefiets kan gehackt worden
Cybercrime29.07.2024
Veel openbare WiFi netwerken in Parijs zijn onveilig
Cybercrime25.07.2024
Vigorish Viper: een Chinees cybercrimesyndicaat ontdekt door Infoblox
banden met Europese voetbalsponsors, mensenhandel en illegale gokindustrieVerder lezen over Security
Online31.10.2024
Eerst checken, dan bestellen: Klik niet meteen op die bestelknop!
Nieuwe campagne tegen onbetrouwbare webshopsCybercrime23.10.2024
Ransomwareaanvallen slagen nog steeds: 178 stuks in 2023
Cybercrime15.10.2024
Pas op: er is een groot beveiligingslek in WordPress-plugin Jetpack
Cybercrime09.10.2024
Deze week meerdere waarschuwingscampagnes over phishing: waarom?
Cybercrime08.10.2024
Unlock Digitale Weerbaarheid: leer online gevaren te herkennen
Cybercrime07.10.2024
Nee, LEGO raadt je niet aan de LEGO Coin te kopen
Cybercrime02.10.2024
Ben jij online op te lichten? Doe de gratis cursus Digitale Weerbaarheid
Cybercrime30.09.2024