Social engineering
Wat is social engineering?
Social engineering is het misbruiken van menselijke zwakheden om toegang te krijgen tot persoonlijke informatie en beschermde systemen. Social engineering is gebaseerd op het manipuleren van individuen in plaats van het hacken van computersystemen om het account van een doelwit te penetreren.
Inzicht in social engineering
Een vrouw kan bijvoorbeeld de bank van een mannelijk slachtoffer bellen en zich voordoen als zijn vrouw, die een noodgeval claimt en toegang vraagt tot zijn rekening. Als de vrouw de klantenservicemedewerker van de bank met succes sociaal kan vormgeven door een beroep te doen op de empathische neiging van de vertegenwoordiger, kan ze erin slagen toegang te krijgen tot de rekening van de man en zijn geld te stelen. Evenzo kan een aanvaller contact opnemen met de klantenservice van een e-mailprovider om een wachtwoordreset te verkrijgen waarmee de aanvaller het e-mailaccount van een doelwit kan beheren in plaats van dat account te hacken.
Social engineering verwijst naar het manipuleren van een doelwit, zodat ze belangrijke informatie opgeven. Naast het stelen van de identiteit van een persoon of het in gevaar brengen van een creditcard of bankrekening, kan social engineering worden toegepast om de handelsgeheimen van een bedrijf te achterhalen of de nationale veiligheid uit te buiten.
Social engineering is voor potentiële doelwitten moeilijk te voorkomen. Voorzorgsmaatregelen zoals tweefactorauthenticatie voor accounts worden gebruikt, maar accounts kunnen nog steeds worden aangetast door derden die toegang hebben tot hun accounts, zoals bankmedewerkers. Individuen kunnen hun risico echter verkleinen door het vrijgeven van vertrouwelijke informatie te vermijden, voorzichtig te zijn bij het delen van informatie op sociale media, geen wachtwoorden te herhalen, tweefactorauthenticatie te gebruiken, valse of moeilijk te raden antwoorden op accountbeveiligingsvragen te gebruiken en een nauwlettend in de gaten houden van rekeningen, met name financiële rekeningen.
Aanvallers gebruiken vaak verrassend eenvoudige tactieken in social engineering-programma’s, zoals mensen om hulp vragen. Een andere tactiek is om slachtoffers van rampen uit te buiten door hen te vragen persoonlijk identificeerbare informatie te verstrekken, zoals identiteitsdiefstal.
Zich voordoen als een technische ondersteuningsmedewerker of een bezorger zijn gemakkelijke manieren om ongeautoriseerde toegang tot een account te krijgen, net als het verzenden van een ogenschijnlijk legitieme e-mail met een kwaadaardige bijlage. Dergelijke e-mails worden vaak naar een zakelijk e-mailadres gestuurd, waar mensen minder snel wantrouwend zijn tegenover een onbekende afzender.
E-mails kunnen worden vermomd zodat het lijkt alsof ze afkomstig zijn van een bekende afzender, terwijl ze daadwerkelijk door een hacker zijn verzonden. Meer uitgebreide tactieken die op specifieke mensen zijn gericht, kunnen inhouden dat ze hun interesses leren kennen en vervolgens het doelwit een link sturen die betrekking heeft op die interesse. De link kan schadelijke code bevatten die persoonlijke informatie van hun computers kan stelen. Populaire social engineering-technieken omvatten phishing, kat vissen, bumperkleven, en lokken.