Samenvatting

Deze module gaat over social engineering. Een verzamelterm voor alle manieren waarop kwaadwillenden zowel online als offline proberen om jou informatie afhandig te maken die je normaal niet uit handen zou geven. Zoals wachtwoorden, toegangscodes, bestanden, je verbinding en financiën. Kwaadwillenden 'engineeren' zich 'social', wat simpelweg betekent dat zij zich voordoen als iets of iemand anders.

Het simpelste voorbeeld is de online prijsvraag die iedereen wel eens gewonnen heeft. Je was de miljoenste bezoeker op een site, had net die heeeeel makkelijke quiz online gewonnen, etc. Direct verschijnt er een link naar jouw speciale prijs in beeld, die je perse binnen één minuut moet aanklikken. En voordat je het weet ben je jouw e-mailadres, bankgegevens, etc. aan het invullen op een frauduleuze website...

De zwakste schakel bij social engineering is de mens zelf. Zolang wij toch onder bepaalde omstandigheden anderen (bewust of onbewust) toegang geven tot onze gegevens is er geen beveiliging die daar tegenop kan.

Social engineering gebeurt op allerlei manieren. Van een 'medewerker' van Microsoft die via de telefoon probeert om toegang tot je computer te krijgen, een kwaadwillende die gevoelige gegevens uit de vuilnisbak op kantoor vist tot CEO-fraude waarbij online grote sommen geld bijgemaakt worden.

Binnen social engineering kennen we dus offline en online vormen. De online vormen noemen we 'phishing', waar weer drie varianten in te onderscheiden zijn:

1. 'Normale' phishing, waarbij veel mensen  via e-mail, WhatsApp of sms tegelijkertijd een nep-bericht krijgen.
2. Spear phishing, waarbij een nep-bericht op heel persoonlijke wijze naar een specifiek persoon of bedrijf gestuurd wordt.
3. Whaling, waarbij hooggeplaatste personen binnen een organisatie specifiek het doelwit zijn.

Om dergelijke berichten te herkennen begint het altijd bij de vraag of je het bericht sowieso wel vertrouwt. Is de afzender vreemd, had je een dergelijk bericht überhaupt niet verwacht, zitten er veel fouten in de taal of is het een bericht waar onverwacht ineens grote druk achter zit, dan moeten er direct alarmbellen gaan rinkelen. In deze module bieden we je concrete handvatten om bij een bericht relatief eenvoudig te kunnen checken of het een legitiem of frauduleus bericht is.

Maar let op: social engineering vindt dus ook offline plaats. Vooral in open onderwijsinstellingen kan iedereen zomaar het gebouw binnen lopen. Zit je deur niet op slot, staat je kast open, is het whiteboard niet uitgeveegd of laat je zomaar die leuke elektricien zonder duidelijk ID binnen op je kamer? Dan kunnen de gevolgen net zo vervelend zijn voor jou en voor de organisatie als bij digitale phishing.

Wantrouw nu niet niet meteen alles en iedereen, maar wees altijd alert over de herkomst van een boodschap. Onderneem liever vaker actie om een boodschap of boodschapper dubbel te checken, dan dat je toch maar even op dat ene linkje klikt...

Iedere module beginnen we met een korte quiz waarmee je jouw voorkennis kunt testen. Veel succes met de tweede module!