Download LastPass Freedownload
Blog
Meest recent
Blog
Meest recent
Nieuws uit de branche
LastPass voor beheerders
LastPass Labs
Productupdates
Tips
bg
Beveiligingstips

Wat is social engineering?

LastPassJune 28, 2024
Wat is social engineering?

Bij cybercriminaliteit draait het niet alleen om geavanceerde virussen en algoritmen. De schadelijkste aanvallen maken gebruik van menselijke eigenschappen en gedrag. De aanvallers werken met psychologische manipulatie om ervoor te zorgen dat slachtoffers bijvoorbeeld iets downloaden of gegevens invoeren op een nepwebsite. Die eerste misleiding noemen we social engineering.  

Social engineering misbruikt menselijke psychologie, en dat maakt het een lastige vorm van cybercriminaliteit. Hoe beter u de methodes van de aanvallers begrijpt, des te beter kunt u zich ertegen beschermen. In dit artikel leest u meer over social engineering en tips om dit tegen te gaan: 

  • Wat is social engineering en hoe werkt het? 
  • Soorten aanvallen met social engineering 
  • Hoe u bedreigingen herkent en hoe u zichzelf kunt beschermen

Social engineering begrijpen

Definite van social engineering

Bij een social engineering aanval misbruiken hackers menselijke neigingen, om zo toegang te krijgen tot informatie of geld. Scams misleiden mensen om gegevens of systemen bloot te geven of om malware te verspreiden. De cybercriminelen hacken dus niet alleen systemen, maar ze “hacken” ook de menselijke psychologie.  

Een social engineering aanval kan verschillende doelen hebben, bijvoorbeeld om storingen te veroorzaken, om gegevens of geld te stelen, of om toegang te krijgen tot een systeem. Wat deze aanvallen met elkaar gemeen hebben, is dat de slachtoffers worden misleid om de hacker te helpen. 

Firewall Times schrijft dat er bij 98% van de cyberaanvallen een vorm van social engineering komt kijken. En de cijfers liegen er niet om: de gemiddelde organisatie wordt in één jaar tijd minstens 700 keer doelwit van een social engineering aanval.  

Veel voorkomende technieken voor social engineering

Aanvallers proberen om mensen te misleiden en gaten in hun kennis te misbruiken. Een gebruiker weet bijvoorbeeld niet hoe hij kwetsbaar kan worden als hij een telefoonnummer opgeeft. Social engineering is effectief omdat het ontzettend overtuigend kan zijn. En hoe beter de hacker, des te groter de kans dat u iets doet dat u normaal gesproken niet zou doen.  

Eén kenmerk van social engineering is de psychologische manipulatie. De aanvaller wekt emoties op die u tot handelen aanzetten. Een paar voorbeelden: 

  • Angst – uw bankrekening wordt geblokkeerd! 
  • Enthousiasme – u hebt een prijs gewonnen! 
  • Nieuwsgierigheid – uw pakket komt eraan, kijk snel wat u ontvangt! 
  • Woede – er zijn vandalen actief in uw buurt, kom in actie! 
  • Schuldgevoel – er is iets verschrikkelijks aan de hand, en uw geld kan helpen!

Een ander voorbeeld bij social engineering is urgentie. U krijgt een bericht dat u onmiddellijk naar een bepaalde website moet gaan, bijvoorbeeld om te voorkomen dat iemand fraude pleegt met uw bankrekening. Of een hele goedkope aanbieding is maar tot middernacht geldig. Door dit valse gevoel van haast let u minder goed op, en vult u bijvoorbeeld een formulier in dat u normaal zou negeren.  

Bij een social engineering aanval gaat het daarom vaak in eerste instantie om vertrouwen. De aanvaller heeft genoeg onderzoek gedaan om precies te weten hoe hij u moet benaderen. Bij de zogenaamde directeursfraude doet iemand bijvoorbeeld uw directeur na, natuurlijk met een dringend verzoek. De aanvallers hebben van tevoren onderzocht hoe ze u kunnen overtuigen, en voor u het weet heeft u vertrouwelijke gegevens verstrekt.  

Hoe social engineering werkt

Om risico's tegen te gaan moeten organisaties goed begrijpen hoe social engineering werkt. Het gaat veel verder dan het lanceren van een virus dat een netwerk plat legt. De hacker probeert om u te misleiden en in de val te lokken, zodat u de digitale deur zelf open zet en inbreken niet meer nodig is.  

Een typische aanval begint met het verzamelen van informatie over uw achtergrond. Bij hele gerichte aanvallen noemen we dit “spear phishing”: phishing gericht op één persoon. Na deze voorbereiding neemt de hacker contact op en wint hij uw vertrouwen, met interacties die normaal en betrouwbaar lijken. Hierna slaat de hacker toe, om vervolgens met de buit te verdwijnen. 

Soorten aanvallen met social engineering

Phishing-aanvallen

Phishing is bekend: de hacker doet zich voor als een organisatie die u vertrouwt en probeert zo om uw gevoelige informatie te verkrijgen. Het bekendste voorbeeld van dit soort social engineering zijn de nepberichten van een bank of bijvoorbeeld van een verzendbedrijf, die vaak in uw spam landen. Die worden massaal verzonden in de hoop dat iemand in de val trapt. Bij spear phishing zijn specifieke personen het doelwit, vaak mensen in hoge posities in het bedrijfsleven of bij de overheid, of bijvoorbeeld mensen van een financiële afdeling.  

Misschien heeft u onlangs ook spam ontvangen die zogenaamd van UPS kwam. Bij deze phishingaanval dachten de slachtoffers dat ze een pakketbezorging hadden gemist. Vervolgens vulden ze ergens gevoelige gegevens in, ze downloadden malware of ze betaalden een tarief voor de zogenaamde nalevering van pakket – dat echter helemaal niet bestond. 

Lokken en volgen

Bij social engineering aanvallen met een lokmiddel worden slachtoffers verleid om persoonlijke gegevens in te vullen. Vaak is het lokmiddel een gratis product of beloning (die natuurlijk niet bestaat). Het resultaat van zo'n soort aanval is vaak een malwarebesmetting op uw computer.  

Een standaard lokmethode is een e-mail met een bijlage met een gratis aanbieding of een nepsoftware. Ook laten hackers hiervoor vaak een USB-stick achter in een bibliotheek of op een parkeerplaats. 

Pretexting

Bij pretexting (valse verhalen) gebruiken de aanvallers een valse identiteit, vaak van iemand die het slachtoffer vertrouwt. Ze doen bijvoorbeeld alsof ze een leverancier zijn, zodat u direct in contact gaat. Het doel kan bijvoorbeeld zijn om gegevens te bemachtigen, maar ook om malware te lanceren. 

Bescherming tegen social engineering

Het belang van sterke wachtwoorden

Medewerkers kiezen nog veel te vaak één wachtwoord dat ze makkelijk kunnen onthouden, zoals de naam van hun huisdier. En dat gebruiken ze vervolgens voor al hun accounts. Cisco beveelt aan om een beleid op te zetten dat medewerkers dwingt om unieke, sterke wachtwoorden te gebruiken.  

U kent het ongetwijfeld: een combinatie van kleine letters en hoofdletters, met cijfers en speciale tekens, en een minimum lengte. Ook zou het beleid moeten vastleggen hoe vaak mensen een wachtwoord moeten vernieuwen, en dit waar mogelijk instellen in hun programma's. En natuurlijk moet u uw medewerkers waarschuwen dat wachtwoorden niet op een notitieblok mogen rondslingeren. 

Maar misschien nog wel belangrijker dan de sterkte van een wachtwoord, is waar u het bewaart. Een wachtwoordbeheerder helpt u om goede wachtwoorden aan te maken, op te slaan, bij te werken en in te vullen. En het belangrijkste: wachtwoordbeheerders houden uw wachtwoorden veilig en vullen ze nooit automatisch in op nepwebsites. Investeer in een goede software, die uw wachtwoorden kan synchroniseren tussen apparaten. 

Tweeledige verificatie

Netwerkdiensten die veel risico lopen, zoals VPN's en modempools, zouden beveiligd moeten zijn met tweeledige verificatie. Een medewerker moet dan bijvoorbeeld de aanmelding op een computer bevestigen op een geregistreerde smartphone. Een aanvaller kan weliswaar een wachtwoord raden, maar zonder toegang tot de smartphone komt hij hiermee nog niet binnen in uw systemen. 

Er zijn verschillende methoden beschikbaar voor tweeledige verificatie, zoals een eenmalige code, een biometrische verificatie met een vingerafdruk of gezichtsscan, een sms-code of een pushbericht. 

Voorlichting aan medewerkers

Het heeft geen zin om uw medewerkers een langdradige handleiding te geven over cyberbeveiliging. Waarschijnlijk gebruiken ze die pas als er problemen zijn, en dat is te laat. Cyberbeveiliging moet een onderdeel uitmaken van uw bedrijfscultuur en uw operationele routines. Alleen zo kunt u uw systemen veilig houden. Uw medewerkers moeten bijvoorbeeld weten wat social engineering is, hoe ze het herkennen en wat ze hiertegen kunnen doen. 

Gebruik voorlichting om het risico op aanvallen te verlagen. Maak de trainingen interactief en spannend. Sommige organisaties gebruiken bijvoorbeeld online modules met quizvragen. Praat ook over recente aanvallen in vergelijkbare organisaties, of bespreek incidenten binnen uw eigen organisatie. Geef veel voorbeelden van social engineering en ook van andere soorten cybercriminaliteit, zodat uw medewerkers meer kans maken om aanvallen te herkennen.  

Wees creatief met uw voorlichting over cyberbeveiliging. Veel organisaties voeren simulaties uit met hun eigen technologie of ze houden zelfs oefeningen in real-time.  

Tekenen van social engineering herkennen

Waar u op moet letten

Webroot noemt de volgende waarschuwingssignalen: 

  • E-mails die zogenaamd van een vertrouwde bron zijn, en die om hulp vragen. Misschien vraagt uw “collega” informatie over de zakelijke creditcard. 
  • E-mails met informatieaanvragen die zogenaamd afkomstig zijn van een echte organisatie, zoals een bank. 
  • Een actie of een reactie op iets dat u niet in gang hebt gezet – zoals het voorbeeld van UPS, waarbij u een bericht ontvangt over een pakket dat u nooit hebt besteld. 

Verdachte online aanvragen

Een paar voorbeelden van onbetrouwbare aanvragen: 

  • De vraag of u wilt doneren aan een goed doel. Deze aanvallers spelen in op actuele zaken om u te verleiden iets “goeds” te doen.  
  • Meldingen dat u iets gewonnen hebt. Om uw prijs te krijgen, moet u een formulier invullen of informatie geven, bijvoorbeeld uw adres en bankgegevens om zogenaamd het geld over te maken. 
  • Een antwoord op een vraag die u nooit hebt gesteld. Een aanvaller kan zich voordoen als een bank of instelling die u kent, in de hoop dat u nieuwsgierig wordt. Misschien wordt u gevraagd om uw identiteit te verifiëren of om een adres in te voeren, of om toegang te verlenen tot uw organisatie.

Ongebruikelijke telefoontjes of e-mails

Zorgwekkende e-mails en telefoontjes (vishing) zijn ook een voorbeeld van de psychologische manipulatie bij social engineering. Een hacker doet zich bijvoorbeeld voor als uw bank en stuurt een sms vanaf een telefoonnummer met veel witruimte tussen de cijfers. Dat is een teken dat hier iets niet pluis is.  

Een gemene vorm van misleiding bij social engineering is een bericht dat een probleem uitlegt, en u vraagt om het op te lossen. Hiervoor moet u dan uw identiteit bevestigen, vaak via een link. De e-mails en websites zien er bedrieglijk echt uit, inclusief de logo's en de stijl van de echte organisatie. Zo trapt u makkelijk in de val. Vaak wordt er bij deze vorm van phishing ook een gevoel van haast opgewekt, zodat u sneller zult handelen.  

Best practices en tips tegen social engineering

Regelmatige software-updates

Reken niet alleen op de automatische updates van uw computer. Gedateerde software maakt het leven makkelijker voor hackers, dus controleer of uw updates ook daadwerkelijk regelmatig worden uitgevoerd.  

Gevoelige gegevens beschermen

Dwing meerdere beveiligingslagen af. Eén optie is om speciale software aan te schaffen ter bescherming van grote hoeveelheden gevoelige informatie. Wees echter kritisch bij het kiezen van uw leverancier, want het kan zijn dat deze partij toegang krijgt tot uw gegevens.   

Toegangscontroles implementeren

Voor eenvoudige stappen met weinig onderhoud kunt u wachtwoordbeheer implementeren en meervoudige verificatie afdwingen. Andere mechanismen zoals adaptieve verificatie controleren de identiteit van gebruikers nog eens extra met factoren als locatie, gedragsanalyses, etc.  

Aanvullende materialen

Beveiligingsfuncties van LastPass

Eén verschil tussen LastPass en andere wachtwoordmanagers is de versleuteling op basis van zero knowledge. U bent de enige persoon met toegang tot uw gegevens, met behulp van een unieke sleutel. Zo staan uw gegevens niet onversleuteld op onze servers en is de gegevensintegriteit gewaarborgd. 

Zakelijke accounts én privéaccounts beschermen

Waarschijnlijk zijn uw zakelijke accounts sterker beveiligd. Het is echter de moeite waard om ook uw privégegevens sterker te beveiligen. Een eenvoudige stap is het toevoegen van meervoudige verificatie voor toegang tot uw mail of uw bankgegevens. En met een wachtwoordbeheerder of authenticator hoeft u zich nooit meer zorgen te maken over een vergeten of gestolen wachtwoord. 

Hackers gebruiken social engineering voor steeds geavanceerdere aanvallen. Maar als u de methoden van social engineering aanvallen kent, kunt u de psychologische manipulatie beter herkennen en zo voorkomen dat u het slachtoffer wordt van cybercriminelen. Als u iets niet helemaal vertrouwt, stel uzelf dan de volgende vragen: 

  • Wordt er ingespeeld op mijn emoties? Voel ik me plotseling bijvoorbeeld angstig, nieuwsgierig, of gehaast? 
  • Is dit bericht afkomstig van een legitieme persoon of organisatie? 
  • Bevat dit bericht verdachte links of bijlagen? 
  • Lijkt dit te mooi om waar te zijn?

Denk eraan: met social engineering hacken cybercriminelen in de eerste plaats uw menselijke emoties en uw gedrag, voordat ze aan uw systemen beginnen. Laat u niet haasten of onder druk zetten. Neem een moment de tijd om nog eens goed te kijken of een bericht legitiem is, zeg dat u later terugbelt, en leer uzelf goede gewoontes aan in de omgang met internet en digitale beveiliging. 

Voorkom social engineering. Begin vandaag nog uw proefperiode van LastPass.  

bg

Aan de slag met LastPass Business.

Probeer het 14 dagen gratis. Geen creditcard vereist.