Terwijl firewalls en antivirusprogramma’s de traditionele digitale aanvalspunten kunnen beveiligen, vormt de menselijke factor vaak de zwakke schakel in de keten. Ja, dat is een cliché, maar het blijft belangrijk om dit te herhalen. Je medewerkers zijn de zwakste schakel binnen je beveiliging. Social engineering, een techniek waarbij aanvallers mensen manipuleren om gevoelige informatie los te peuteren, is een groeiend risico waar organisaties rekening mee moeten houden. Je kunt duizenden euro’s investeren in beveiligingsmaatregelen, maar slechts één medewerker is voldoende om die investering volledig teniet te doen. Ook lees je verderop in deze blog waarom een kantoorhond ook geen effectieve beveiligingsoptie is.
Wat is social engineering?
Met behulp van social engineering of “human hacking” weten cybercriminelen traditionele beveiligingsmaatregelen te omzeilen omdat het inspeelt op de natuurlijke neiging van mensen om behulpzaam en sociaal te zijn. Aanvallers gebruiken psychologische manipulatie om het vertrouwen van medewerkers te winnen en toegang te krijgen tot gevoelige informatie of systemen. Dit kan plaatsvinden via verschillende kanalen, waaronder e-mail, telefonische gesprekken, sociale media en zelfs persoonlijke ontmoetingen.
Een praktisch voorbeeld van social engineering
Een medewerker ontvangt een telefoontje dat zogenaamd van de IT-afdeling afkomstig is. De aanvaller vraagt om onmiddellijke verificatie van inloggegevens om een ‘dringend beveiligingsprobleem’ op te lossen. Soms vraagt de aanvaller zelfs of de medewerker wat instellingen wil aanpassen (waarmee de aanvaller het systeem verzwakt). Ondanks wat vage details trapt de medewerker toch in de val en deelt gevoelige informatie.
Hoe kon dit gebeuren? De aanvaller heeft eerst onderzoek op LinkedIn gedaan naar de organisatie. Namen van collega’s, achtergrondinformatie, maar ook de manier van communiceren binnen de organisatie. Met deze informatie kon de aanvaller het telefoontje ‘personaliseren’. De zin ‘Bevalt het hier een beetje?’ was doorslaggevend om de argwaan van de medewerker te verminderen. De medewerker was pas een maand in dienst en wilde ook geen flater slaan door verdere vragen te stellen.
Het volgende voorbeeld is echt gebeurd; om de beveiliging van een datacenter te testen, bedachten pentesters een list: ze verkleedden zich als Sinterklaas en Piet en slaagden er onopvallend in toegang te krijgen tot het sterk beveiligde datacentrum, waarbij ze handig inspeelden op het vertrouwen en de festiviteiten om ongeoorloofde toegang te verkrijgen.
Vormen van social engineering-aanvallen
Social engineering-aanvallen kunnen verschillende vormen aannemen, zoals phishing, pretexting, quid pro quo en tailgating. Phishing, bijvoorbeeld, omvat het versturen van misleidende e-mails die lijken op legitieme communicatie om inloggegevens te verkrijgen. Pretexting houdt in dat de aanvaller zich voordoet als iemand anders om vertrouwen te winnen en zo informatie te verkrijgen. Quid pro quo is het aanbieden van iets in ruil voor informatie en tailgating betekent dat een aanvaller een gebouw binnenglipt door achter een legitieme medewerker aan te lopen. De meeste mensen willen gewoon vriendelijk zijn, en de deur openhouden voor iemand is iets dat je vanuit vriendelijkheid dan ook makkelijk en zonder nadenken doet.
Het voorkomen van social engineering en toch vriendelijk en spontaan blijven in een kantooromgeving kan een uitdaging zijn, maar er zijn enkele strategieën die je kunt overwegen.
Tips om social engineering te voorkomen
1. Wees alert en verifieer altijd: Twijfelachtige e-mails, berichten of oproepen moeten met de nodige argwaan worden behandeld. Controleer altijd de legitimiteit ervan via een ander communicatiekanaal. Management moet dit ook aanmoedigen en belonen. Als je een medewerker afstraft wanneer deze belt om te checken of die spoedbetaling echt de deur uit is, slaat hij een volgende keer deze verificatie over. Voer voor aanvallers!
2. Trainingsprogramma’s: Organiseer regelmatig security awareness trainingen om medewerkers bewust te maken van social engineering-tactieken en hoe ze deze kunnen herkennen. Ictivity kan je hierbij helpen.
3. Kijk uit met wat je deelt online: Wees je ervan bewust dat alles wat je deelt online, misbruikt kan worden door aanvallers. Dit betekent dus niet dat je niets meer moet of mag delen, maar wees je bewust van de risico’s en controleer ook je privacy-instellingen.
4. Sterke authenticatie implementeren: Als je sterke wachtwoorden en bijvoorbeeld tweestapsverificatie gebruikt, wordt het moeilijker voor aanvallers om je inloggegevens daadwerkelijk te misbruiken. Ook het dragen van een naambadge kan helpen om te voorkomen dat mensen ongeoorloofd meelopen (tailgating). Oh en die kantoorhond… Hij is heel gezellig, maar die trouwe loebas houdt geen ongenodigde gasten buiten de deur, hij verwelkomt ze eerder dan dat hij ze afschrikt. En van die awareness training trekt hij zich ook niets aan.
5. Beleid voor informatiedeling: Medewerkers moeten op de hoogte zijn van het beleid voor het delen van gevoelige informatie en melden als ze twijfels hebben. Moedig controle aan.
6. Updates en patches: Zorg ervoor dat alle software up-to-date is om beveiligingslekken te dichten die door aanvallers kunnen worden benut.
Kortom
Het is belangrijk dat organisaties snappen dat de menselijke factor een belangrijk onderdeel is van hun totale beveiligingsstrategie. Door bewustwording te vergroten, trainingen te implementeren en best practices toe te passen, vormen medewerkers een effectieve verdedigingslinie tegen social engineering-aanvallen. Alleen met een gecombineerde inspanning van technologie en security awareness kunnen organisaties hun digitale omgeving effectief beschermen tegen deze bedreigingen.
Door Thomas Castelijns, Communicatiespecialist Security bij Ictivity
