Leestijd
10 minuten
Wat leer je?
Je leert enkele belangrijke begrippen kennen rondom manieren waarop kwaadwillenden jouw gegevens of gegevens van jouw organisatie proberen te stelen.
Samenvatting
Social engineering is de verzamelterm voor alle vormen waarbij online en offline kwaadwillenden zichzelf voordoen als iemand anders, met als doel om bijvoorbeeld toegang tot gegevens te krijgen, een account te hacken en geld of data te stelen. Zij richten zich hierbij op de zwakste schakel in de keten van beveiliging: de mens zelf.
De online vormen van social engineering noemt men 'phishing', waarbij drie vormen zijn te onderscheiden: via grootschalige aanvallen (phishing), specifiek op een persoon gerichte aanvallen (spear phishing) of aanvallen gericht op hooggeplaatste personen in de organisatie (whaling).
Een kritische blik bij iedere communicatie of verzoek naar de afzender, de gebruikte taal, linkjes en persoon achter de afzender kan veel van dit type aanvallen voorkomen. Gaat het toch mis, dan dien je de [afdeling invoegen] hiervan direct op de hoogte te stellen.
De wereld van hacking, phishing en whaling is er vaak een van een kat en muis spel. Beveiligingsbedrijven proberen zoveel als mogelijk om frauduleuze berichten er uit te filteren en medewerkers zijn alert om pogingen tot data-diefstal snel te herkennen.
En aan de andere kant proberen de kwaadwillenden weer nieuwe manieren te vinden om bedrijfsinformatie te achterhalen. Bekijk hier eens een mooi voorbeeld hoe ze elkaar op de hielen kunnen zitten...
Via 'social engineering', het zich voordoen als iemand anders, proberen kwaadwillenden op allerlei manieren binnen te komen in bedrijfssystemen. Want we kunnen nog zulke sterke wachtwoorden verzinnen en alles om ons heen encrypten; wij als mens zijn de kwetsbaarste schakel in deze hele keten.
Het is een techniek waarbij hackers jou proberen te verleiden om gegevens prijs te geven die je normaal niet prijs zou geven. Het kan ook zijn dat deze persoon niet direct jou wil hacken, maar dat hij via jou verder de organisatie in wil komen. Denk dus niet: wat is er nou bij mij te halen in deze organisatie? Jij kunt prima het opstapje zijn om bijvoorbeeld toegang tot de hele e-mailserver van de organisatie te krijgen, doordat kwaadwillenden via een nep-bericht een keylogger op jouw computer hebben kunnen installeren.
Geven wij toch via een dubieuze website ons wachtwoord weg of openen we toch per ongeluk dat bestandje met malware, dan kan daar geen digitale beveiliging tegenop. Tegenwoordig gebeurt social engineering vaak via digitale wegen, zoals de sms'jes en e-mails met dubieuze linkjes en verzoeken van 'banken' en 'overheden'. Maar dat kan ook prima met meer ouderwetse methodes:
Zo kan een organisatie in een paar minuten compleet bloot komen te liggen voor kwaadwillenden. In deze module gaan we aan de slag met het principe 'Weet altijd met wie je te maken hebt', zowel in de online als in de offline wereld. Want door enkele eenvoudige checks op iedere inkomende communicatie uit te voeren kun je veel schade voor jezelf en voor de organisatie makkelijk voorkomen.
Lees onderstaand eerst goed wat de verschillende begrippen inhouden. Op de volgende pagina ontdek je de belangrijkste do's en don'ts rondom phishing, spear phishing en whaling.
Wat is het?
Stel, je krijgt een officiële e-mail van je bank, waarin ze je keurig vragen even op een link te klikken en ter controle je rekeningnummer en je wachtwoord in te vullen. Tuurlijk doe je dat, waarom niet? Maar even later blijkt dat kwaadwillenden je volledige pas en rekening hebben overgenomen.
Ai... Het overkwam een ondernemer uit Doetichem, zoals je hier kunt zien:
'Phishing' komt van 'fishing', hengelen. Kwaadwillenden vragen je via nep e-mails of nep sms-berichten om gegevens af te geven over je bank, paspoort of rijbewijs. Die gegevens gebruiken zij om bijvoorbeeld geld te stelen of je identiteit over te nemen. Bij phishing wordt vaak gebruik gemaakt van URL-spoofing. Dit is het nabootsen van de URL van bijvoorbeeld een bank waardoor de gebruiker denkt dat hij met de echte site te maken heeft, terwijl de URL naar de site van de kwaadwillende verwijst.
Hoe kun je het herkennen?
Gebruik je gezonde verstand. Een bank vraagt je NOOIT om via sms jouw wachtwoord en/of BSN-nummer ergens in te vullen! Onderstaand enkele indicatoren die erop kunnen wijzen dat je mogelijk met een phishing-bericht te maken hebt:
Gebruik de beslisboom onderaan dit document om via enkele eenvoudige vragen snel te kunnen beoordelen of een bericht echt of nep is.
Phishing gaat dus over de online vormen van social engineering. Maar social engineering gebeurt ook offline. Een bekend voorbeeld is 'dumpster diving', waarbij kwaadwillenden de vuilnis van organisaties napluizen op zoek naar gevoelige of persoonlijke gegevens. Met die gegevens kunnen ze zich mogelijk voordoen als een medewerker van de organisatie of zelfs online toegang tot de netwerken van de organisatie krijgen. Let dus altijd heel erg goed op wat je in je prullenbak gooit…
Wat is het?
Spear phishing is een vorm van 'phishing', waarbij kwaadwillenden een specifiek individu binnen een organisatie benaderen. Spear phishing is daarmee veelal nog lastiger te herkennen dan 'reguliere' phishing berichten, aangezien de boodschap vaak zeer persoonlijk is.
Bij een vermoeden van spear phishing is het altijd van belang om je af te vragen of je een bepaald bericht zou verwachten. Heb je bijvoorbeeld geen bestelling bij DHL gedaan, dan is een e-mail met een zogenaamde track&trace code vanuit DHL niet heel logisch. Ook vreemde verzoeken van bijvoorbeeld leidinggevenden die specifiek aan jou gericht zijn moeten de alarmbellen doen rinkelen.
Controleer bij een vermoeden van spear phishing de afzender nooit via e-mail, want de kans is groot dat jouw e-mail gewoon weer terecht komt bij de kwaadwillenden. Bel altijd even als je twijfels over een bepaald verzoek hebt, dan weet je snel zeker of je met een echt of met een frauduleus bericht te maken hebt.
Wat is het?
Whaling is een specifieke vorm van phishing waarbij kwaadwillenden zich richten op hooggeplaatste medewerkers binnen een organisatie, zoals de bestuurder, de financieel directeur of een HR-directeur met toegang tot persoonsgegevens.
Een bekend voorbeeld hiervan is CEO-fraude, waarbij kwaadwillenden veelal gebruik maken van e-mail spoofing om een CEO te verleiden om bijvoorbeeld grote malafide transacties goed te keuren (spoofing is het namaken van e-mailberichten met een vervalst afzenderadres, waardoor het lijkt alsof de e-mail komt vanuit een adres dat je kent, zoals het adres van een collega).