Wat is Social engineering? 11 voorbeelden om op te letten
Inhoudsopgave
Wat is Social Engineering eigenlijk precies?
Social engineering verwijst naar het manipuleren van mensen om hun vertrouwelijke informatie te extraheren. Het soort informatie waarnaar criminelen zoeken, kan variëren. Gewoonlijk zijn de individuen het doelwit voor hun bankgegevens of hun accountwachtwoorden. Criminelen proberen ook toegang te krijgen tot de computer van het slachtoffer, zodat ze schadelijke software kunnen installeren. Deze software helpt hen vervolgens om alle informatie te extraheren die ze nodig hebben.
Criminelen gebruiken social engineering-tactieken omdat het vaak gemakkelijk is om iemand uit te buiten door hun vertrouwen te winnen en hen te overtuigen hun persoonlijke gegevens af te staan. Het is een handigere manier dan rechtstreeks iemands computer hacken zonder dat hij het weet.
Voorbeelden van sociale engineering
U kunt uzelf beter beschermen door geïnformeerd te worden over de verschillende manieren waarop aan social engineering wordt gedaan.
1. Voorwendselen
Pretexting wordt gebruikt wanneer de crimineel toegang wil tot gevoelige informatie van het slachtoffer voor het uitvoeren van een kritieke taak. De aanvaller probeert de informatie te verkrijgen door middel van verschillende zorgvuldig opgestelde leugens.
De crimineel begint met het opbouwen van vertrouwen bij het slachtoffer. Dit kan worden gedaan door zich voor te doen als hun vrienden, collega's, bankfunctionarissen, politie of andere autoriteiten die om dergelijke gevoelige informatie kunnen vragen. De aanvaller stelt hen een reeks vragen onder het voorwendsel hun identiteit te bevestigen en verzamelt daarbij persoonlijke gegevens.
Deze methode wordt gebruikt om allerlei persoonlijke en officiële gegevens van een persoon te extraheren. Dergelijke informatie kan bestaan uit persoonlijke adressen, burgerservicenummers, telefoonnummers, telefoongegevens, bankgegevens, vakantiedata van personeel, beveiligingsinformatie met betrekking tot bedrijven, enzovoort.
2. Afleidingsdiefstal
Dit is een vorm van oplichting die over het algemeen gericht is op koeriers- en transportbedrijven. De crimineel probeert het doelbedrijf om de tuin te leiden door ze hun bezorgpakket op een andere bezorglocatie te laten bezorgen dan oorspronkelijk de bedoeling was. Deze techniek wordt gebruikt om kostbare goederen te stelen die via de post worden bezorgd.
Deze zwendel kan zowel offline als online worden uitgevoerd. Het kan zijn dat het personeel dat de pakketten vervoert, wordt aangesproken en overgehaald om de bezorging op een andere locatie af te geven. Aanvallers kunnen ook toegang krijgen tot het online bezorgsysteem. Zij kunnen dan het afleverschema onderscheppen en wijzigen.
3. phishing
Phishing is een van de meest populaire vormen van social engineering. Bij phishing-zwendel worden e-mail- en sms-berichten gebruikt die bij de slachtoffers een gevoel van nieuwsgierigheid, angst of urgentie kunnen opwekken. De tekst of e-mail spoort hen aan om op links te klikken die naar kwaadaardige websites of bijlagen leiden die malware op hun apparaten zouden installeren.
Gebruikers van een online service kunnen bijvoorbeeld een e-mail ontvangen waarin wordt beweerd dat er een beleidswijziging heeft plaatsgevonden waardoor ze hun wachtwoord onmiddellijk moeten wijzigen. De mail zal een link bevatten naar een illegale website die identiek is aan de originele website. De gebruiker voert vervolgens zijn accountreferenties in op die website, aangezien deze als legitiem wordt beschouwd. Na het indienen van hun gegevens, zal de informatie toegankelijk zijn voor de crimineel.
4. Speer phishing
Dit is een soort phishing-zwendel die meer gericht is op een bepaald individu of een organisatie. De aanvaller past zijn berichten aan op basis van de functies, kenmerken en contracten van het slachtoffer, zodat ze authentieker lijken. Spear phishing vereist meer inspanning van de kant van de crimineel en kan veel meer tijd in beslag nemen dan gewone phishing. Ze zijn echter moeilijker te identificeren en hebben een beter slagingspercentage.
Een aanvaller die probeert spearphishing uit te voeren op een organisatie, stuurt bijvoorbeeld een e-mail naar een medewerker die zich voordoet als de IT-consultant van het bedrijf. De e-mail wordt geframed op een manier die exact gelijk is aan hoe de consultant het doet. Het zal authentiek genoeg lijken om de ontvanger te misleiden. De e-mail zal de werknemer vragen om zijn wachtwoord te wijzigen door hem een link te geven naar een kwaadaardige webpagina die zijn informatie zal opnemen en naar de aanvaller zal sturen.
5. Waterpoelen
De water-holing-zwendel maakt gebruik van betrouwbare websites die regelmatig door veel mensen worden bezocht. De crimineel verzamelt informatie over een gerichte groep mensen om te bepalen welke websites ze vaak bezoeken. Deze websites worden vervolgens getest op kwetsbaarheden. Na verloop van tijd zullen een of meer leden van deze groep besmet raken. De aanvaller heeft dan toegang tot het beveiligde systeem van deze geïnfecteerde gebruikers.
De naam komt van de analogie van hoe dieren water drinken door zich te verzamelen op hun vertrouwde plaatsen als ze dorst hebben. Ze denken niet twee keer na over het nemen van voorzorgsmaatregelen. De roofdieren zijn zich hiervan bewust, dus wachten ze in de buurt, klaar om hen aan te vallen als ze niet op hun hoede zijn. Waterholing in het digitale landschap kan worden gebruikt om tegelijkertijd enkele van de meest verwoestende aanvallen uit te voeren op een groep kwetsbare gebruikers.
6. Aas
Zoals de naam al aangeeft, houdt lokaas het gebruik van een valse belofte in om de nieuwsgierigheid of hebzucht van het slachtoffer op te wekken. Het slachtoffer wordt in een digitale val gelokt die de crimineel zal helpen hun persoonlijke gegevens te stelen of malware op hun systemen te installeren.
Baiting kan plaatsvinden via zowel online als offline media. Als offline voorbeeld kan de crimineel het aas achterlaten in de vorm van een flashdrive die is geïnfecteerd met malware op opvallende locaties. Dit kan de lift, badkamer, parkeerplaats, etc. zijn van het beoogde bedrijf. De flashdrive ziet er authentiek uit, waardoor het slachtoffer hem zal pakken en in zijn werk- of thuiscomputer zal plaatsen. De flashdrive exporteert vervolgens automatisch malware naar het systeem.
Online vormen van lokaas kunnen de vorm hebben van aantrekkelijke en aanlokkelijke advertenties die slachtoffers zouden aanmoedigen erop te klikken. De link kan schadelijke programma's downloaden, die vervolgens hun computer met malware infecteren.
7. Quid Pro Quo
Een quid pro quo-aanval betekent een "iets voor iets"-aanval. Het is een variatie op de aastechniek. In plaats van de slachtoffers te lokken met de belofte van een voordeel, belooft een quid pro quo-aanval een dienst als een specifieke actie is uitgevoerd. De aanvaller biedt het slachtoffer een nepvoordeel aan in ruil voor toegang of informatie.
De meest voorkomende vorm van deze aanval is wanneer een crimineel zich voordoet als een IT-staf van een bedrijf. De crimineel neemt vervolgens contact op met de medewerkers van het bedrijf en biedt hen nieuwe software of een systeemupgrade aan. De werknemer wordt vervolgens gevraagd om zijn antivirussoftware uit te schakelen of schadelijke software te installeren als hij de upgrade wil.
8. Bumperkleven
Een meeliftende aanval wordt ook wel meeliften genoemd. Het gaat om de crimineel die toegang zoekt tot een beperkte locatie die niet over de juiste authenticatiemaatregelen beschikt. De crimineel kan zich toegang verschaffen door achter een andere persoon aan te lopen die bevoegd is om het gebied te betreden.
De crimineel kan zich bijvoorbeeld voordoen als een bezorger die zijn handen vol heeft met pakketten. Hij wacht tot een geautoriseerde medewerker de deur binnenkomt. De bedrieger bezorger vraagt vervolgens aan de medewerker om de deur voor hem open te houden, waardoor hij zonder enige autorisatie toegang krijgt.
9. Honingval
Bij deze truc doet de crimineel zich online voor als een aantrekkelijk persoon. De persoon raakt bevriend met hun doelwitten en vervalst een online relatie met hen. De crimineel maakt vervolgens misbruik van deze relatie om de persoonlijke gegevens van de slachtoffers te achterhalen, geld van hen te lenen of hen malware op hun computers te laten installeren.
De naam 'honeytrap' komt van de oude spionagetactieken waarbij vrouwen werden gebruikt om mannen aan te vallen.
10. Schurk
Rogue software kan verschijnen in de vorm van malafide anti-malware, malafide scanner, malafide scareware, anti-spyware, enzovoort. Dit type computermalware misleidt gebruikers om te betalen voor gesimuleerde of nepsoftware die beloofde malware te verwijderen. Rogue-beveiligingssoftware is de laatste jaren een groeiend probleem geworden. Een nietsvermoedende gebruiker kan gemakkelijk ten prooi vallen aan dergelijke software, die in overvloed beschikbaar is.
11. malware
Het doel van een malware-aanval is om het slachtoffer ertoe te brengen malware op hun systemen te installeren. De aanvaller manipuleert menselijke emoties om het slachtoffer de malware op hun computers te laten binnendringen. Deze techniek omvat het gebruik van instant messages, sms-berichten, sociale media, e-mail, enz. om phishing-berichten te verzenden. Deze berichten misleiden het slachtoffer om op een link te klikken die een website opent die de malware bevat.
Scare-tactieken worden vaak gebruikt voor de berichten. Ze zouden kunnen zeggen dat er iets mis is met uw account en dat u onmiddellijk op de verstrekte link moet klikken om in te loggen op uw account. De link zorgt ervoor dat u een bestand downloadt waarmee de malware op uw computer wordt geïnstalleerd.
Blijf op de hoogte, blijf veilig
Jezelf op de hoogte houden is de eerste stap om jezelf te beschermen tegen social engineering-aanvallen. Een basistip is om alle berichten te negeren die om uw wachtwoord of financiële informatie vragen. U kunt spamfilters gebruiken die bij uw e-mailservices worden geleverd om dergelijke e-mails te markeren. Het verkrijgen van een vertrouwde antivirussoftware zal ook helpen om uw systeem verder te beveiligen.
