Wat moeten wij weten over social engineering?

Publicatiedatum 22 juli 2019

Onze organisatie is getraind op het herkennen van malafide websites en e-mails. Maar wat moeten wij weten over social engineering?

Bij social engineering kan de cybercrimineel zich van elk middel bedienen om u uw belangrijke of gevoelige gegevens te ontfutselen. Dus ook zonder kwaadaardige scripts of hengelberichten, maar wel net zo goed met als doel u of uw organisatie vervolgens te benadelen. Het vergaren van allerlei gegevens kan bij de juiste combinatie, vergelijking en interpretatie voor de sociale ingenieur uiterst bruikbare informatie opleveren. En dat verzamelen van die informatie hoeft niet per se te gebeuren via malware of phishing. Ook de informatie die een cyberboef bijvoorbeeld op uw socialmediapagina’s tegenkomt – uw gezinssamenstelling, hobby’s, nevenwerkzaamheden, en dergelijke – kan een schat aan gegevens bevatten waardoor bijvoorbeeld het ‘raden’ van een wachtwoord een stuk gemakkelijker wordt.

Slachtoffer rechtstreeks benaderen

Misschien denkt u ‘dat overkomt mij niet’, maar een social engineer denkt daar heel anders over. Hij heeft daar ook wel zo zijn methoden en technieken voor. Eigenlijk is een social engineer een soort spion waarvoor niets te gek is om aan de gewenste gegevens of informatie te komen. Hij schroomt ook niet direct contact te leggen, waarbij hij het slachtoffer rechtstreeks benadert. Dat gebeurt meestal persoonlijk, telefonisch of via andere communicatiemiddelen zoals e-mail, sms, of Twitter. Daarbij doet hij zich voor als een nieuwe klant, een supportmedewerker van een bekende leverancier, een bezorger van een post- of pakketdienst of een andere min of meer betrouwbaar lijkende relatie. Enig vooronderzoek kan ook nog wel eens handig zijn: wie rond het pand hangt en de oren spitst, ontdekt al snel een hoop over de organisatie. Die informatie helpt hem om binnen te komen met een geloofwaardig verhaal. Dat de mens vaak een zwakke schakel in de beveiligingsprocedures is, wordt op deze manier genadeloos door de social engineer misbruikt.