Wat is social engeneering?
Volgens Wikipedia
Social engineering is een techniek waarbij een computerkraker (of hacker) een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. Computerkrakers maken hierbij gebruik van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid. De aanval is gericht op het verkrijgen van vertrouwelijke of geheime informatie, waarmee de hacker dichter bij het aan te vallen object kan komen.
Social engineering is dus een techniek waarbij internetcriminelen uw medewerkers gebruiken om vertrouwelijke informatie te ontfutselen, om zo toegang te krijgen tot uw systemen. Dit kan uiteraard grote gevolgen hebben.
Geen aanval op techniek
Kenmerkend voor social engineering is dat er geen aanval op de techniek zelf wordt uitgevoerd. Een aanvaller tracht om:
- de nieuwsgierigheid van een slachtoffer te wekken
- medelijden bij een slachtoffer te wekken
- een slachtoffer bang te maken
De aanvaller doet zichzelf voor als iemand anders. Dit doet de aanvaller met het doel via de aangenomen, vertrouwenwekkende rol informatie te verkrijgen die op een andere manier niet of met aanzienlijk meer inspanning of hogere kosten te krijgen is.
Er zijn drie aanvalstechnieken:
Persoonlijk contact
De hacker probeert persoonlijk contact te leggen met het slachtoffer. Hij kan zich bijvoorbeeld voordoen als helpdeskmedewerker en de gebruiker opbellen met het verzoek aan diens gebruikersnaam en wachtwoord door te geven om een probleem te verhelpen. Vooraf aan dit contact verzamelt de hacker gerelateerde informatie over het slachtoffer zodat hij het slachtoffer een overtuigend verhaal kan vertellen. Hiervoor worden zoekmachines als Google, sociale netwerksites als Facebook en andere informatiebronnen op het internet gebruikt. Dit is in de praktijk een eenvoudige en effectieve techniek.
Via e-mail of telefoon
Een hacker verstuurt een e-mailtje met een belangwekkende tekst. Deze techniek wordt onder meer uitgevoerd bij de phishing-aanval, waarbij gebruikers ertoe worden verleid om op een authentiek ogende site vertrouwelijke gegevens zoals pincodes en creditcardnummers op te geven. Ook de vele e-mail-wormen, zoals Sober en Klez, hanteren deze techniek, waarbij een vertrouwenwekkend of bangmakend mailtje de gebruikers ertoe verleidt ongemerkt een trojaans paard te laten installeren. De aanvaller kan daarmee vervolgens de computer controleren en gebruiken voor zijn eigen doeleinden, zoals het versturen van spam.
Vishing is de telefoonvariant van phishing waarbij de aanvaller geen mail stuurt, maar telefonisch contact opneemt met het slachtoffer.
Rondsnuffelen
De computerkraker probeert vertrouwelijke informatie te krijgen door het snuffelen in vuilnisbakken, containers en prullenbakken. Deze techniek heet dumpster diving. Ook probeert een aanvaller rond te neuzen op de diverse plaatsen bij kopieermachines waar weleens vertrouwelijke documenten worden weggegooid, of verzameld. Hierbij zal de hacker wel eerst een vorm van insluiping moeten uitvoeren om het gebouw waar de vertrouwelijke gegevens te vinden zijn binnen te komen.
Hoe kunt u zich beschermen?
Niet enkel de soft- en hardware moet onder het vergrootglas; ook de mensen die er mee werken zijn zich vaak onvoldoende bewust van risico’s. Onveilige links of kwaadaardige bijlages worden maar al te vaak aangeklikt.