Social Engineering

Social Engineering

Er is sprake van ‘social engineering’ wanneer door manipulatie, beïnvloeding of misleiding iemand wordt verleid om informatie te geven die door een hacker kan worden misbruikt. Als één medewerker in uw organisatie er in trapt en op een link klikt in een speciaal geprepareerd e-mailbericht, kan ook uw verder zwaar beveiligde netwerk gecompromitteerd worden met malware. Spear phishing (vissen met een speer) is een doelgerichte aanval middels een speciaal e-mail bericht. CEO fraude is daar een berucht voorbeeld van, zoals de Pathé fraude liet zien.

Social Engineering

Een andere beruchte techniek is ‘dumpster diving’: letterlijk graaien in de afvalbak, om gericht informatie te zoeken. Oud papier als informatiebron voor hackers! Het kan informatie opleveren die bijvoorbeeld later gebruikt kan worden in een telefoongesprek om u te verleiden om bijvoorbeeld ergens in te loggen of iets te installeren. Een veelgebruikte truc is de ‘helpdeskfraude’: het zich voordoen als een technische medewerker van een bekend ICT-bedrijf of social media platform. Vaak met het verhaal dat uw account gehackt is, zodat u naar een bepaalde site gaat bezoeken en moet inloggen om het een en ander te herstellen…  

Zo vond in juni 2017 de Microsoft-scam plaats: heel veel particulieren bedonderd via zogenaamde Microsoft medewerkers, in oktober gebeurde dit nog eens. Reden voor de politie om over deze helpdeskfraude een informatiepagina te maken. Bekijk ook deze infographics!

Om de beveiliging te testen worden er zogenaamde penetratietesten uitgevoerd: op alle mogelijke manieren wordt geprobeerd toegang te krijgen door gebruik te maken van technische kwetsbaarheden. De ‘zwakste schakel’ blijft in dergelijke testen buiten schot: de mens. KPMG IT Advisory heeft in 2011 een paper gepubliceerd (Social engineering: de kunst van het misleiden), dat niets aan actualiteit heeft ingeboet. Hier kunt u een (Engelstalig) overzichtsartikel van Microsoft vinden.