Social Engineering

Social Engineering

De term die ook wel Social Hacking wordt genoemd. Hackers maken graag gebruik van de zwakste schakel in een organisatie om binnen te komen. Het begint bij de mens.

Immers zijn mensen actief benaderbaar en hebben deze bepaalde rechten en legitieme toegang tot een informatie systeem in een bedrijf. Wat het precies inhoud, lees nu verder!

Social Engineering and backing trojan video

Bepalend is dat voor Social Engineering eigenlijk geen aanval direct op de techniek wordt uitgevoerd. De hacker gebruikt de zwakheden van de mens om een organisatie binnen te komen. Een bekend voorbeeld is de combinatie van de banking trojan en een belletje van de bank, waarbij de veiligheidsinstellingen moeten worden nagelopen op de computer.

Digitale babbeltruc

Nog (te) veel mensen trappen in deze truc, waardoor ze soms duizenden euro’s ermer gemaakt worden. Of het belletje van een medewerker van Microsoft, dat er nare virussen op uw computer actief zijn. Hierdoor moet de medewerker op de computer een programma installeren om de problemen op te lossen. Voor deze “oplossing” moet u 50 tot 100 euro betalen. Doet u dit niet, dan kan uw computer worden geblokkeerd. Vooral kwetsbare mensen (die weinig verstand hebben van IT en goed van vertrouwen zijn) worden slachtoffer van dit soort digitale babbeltrucs.

Een aanvaller probeert:

  • de nieuwsgierigheid van een slachtoffer te wekken
  • medelijden bij een slachtoffer te wekken
  • een slachtoffer bang te maken

Antivirus en firewall nutteloze investering?

In grotere bedrijven werken vaak mensen op een speciale IT afdeling. Het is vrij gemakkelijk om je als buitenstaander voor te doen als een IT helpdesk agent. Vervolgens kun je (doordat je het vertrouwen hebt van de medewerker) snel je slag slaan. En bijvoorbeeld wachtwoorden ontfutselen waarmee je als kwaadwillende hacker toegang krijgt tot het gewenste systeem.

Een firewall en antivirus pakket hebben dan totaal geen enkele waarde meer. Het is dus zaak ook te investeren in de bewustwording van uw medewerkers om te voorkomen dat uw bedrijf slachtoffer wordt van cybercriminelen. WeSecureIT biedt hiervoor speciale – op maat – trainingen en workshops.

Natuurlijk is het verstandig om ook technisch te investeren in veiligheid. Onze ervaring is dat er echter – geheel onterecht – te weinig aandacht wordt geschonken aan de opleiding van uw medewerkers om zich veilig op de digitale snelweg te begeven. Immers zijn het ook mensen die uw technische oplossingen instellen en beheren.

Voorbeelden van Social Engineering

Persoonlijk contact
De hacker probeert persoonlijk contact te leggen met het slachtoffer. Vooraf aan dit contact verzamelt de hacker gerelateerde informatie over het slachtoffer zodat hij het slachtoffer een overtuigend verhaal kan vertellen. Hiervoor worden zoekmachines als Google, sociale netwerksites als Facebook en andere informatiebronnen op het internet gebruikt. Dit is in de praktijk een eenvoudige en effectieve techniek, omdat veel mensen gigantisch veel informatie over henzelf op internet delen.

Een mooi voorbeeld is de kwestie rond het gebruik van (het voorwenden iemand anders te zijn) door de onderzoekers die voor de CEO van Hewlett-Packard door analyse van het privé telefoon en e-mail gebruik van mededirecteuren en journalisten hebben achterhaald wie verantwoordelijk was voor het laten uitlekken van strategische informatie naar de pers.

Email
Een hacker verstuurt een e-mailtje met een belangwekkende tekst. Deze techniek wordt onder meer uitgevoerd bij de phishing aanval, waarbij gebruikers ertoe worden verleid om op een authentiek ogende site vertrouwelijke gegevens zoals pincodes en creditcardnummers op te geven. Ook vele cybercriminelen, hanteren deze techniek, waarbij een vertrouwenwekkend of bangmakend mailtje de gebruikers ertoe verleidt om ongemerkt een trojaans paard te laten installeren. De aanvaller kan daarmee vervolgens de computer controleren en gebruiken voor zijn eigen doeleinden, zoals het versturen van spam of het uitvoeren van aanvallen naar andere computers.

Rondsnuffelen / Mystery Guest
De computerkraker probeert vertrouwelijke informatie te krijgen door het snuffelen in een vuilnisbak, container of papierbak. Deze techniek heet dumpster diving. Ook probeert een aanvaller rond te neuzen op de diverse plaatsen bij kopieermachines waar wel eens per ongeluk vertrouwelijke documenten blijven liggen. Hierbij zal de crimineel wel eerst een vorm van insluiping moeten uitvoeren om het gebouw waar de vertrouwelijke gegevens te vinden zijn binnen te komen. Bijvoorbeeld door het maken van een offerte-afspraak of het meelopen met een medewerker (tailgaiting).

Wordt geen slachtoffer van cybercriminelen Bel ons direct voor een vrijblijvende kennismaking.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.