Wat is social engineering en loop je zelf gevaar?

Social engineering betekent dat een oplichter een slachtoffer overtuigt om te doen wat hij of zij wil. Zelfs als het tegen de zin is van het slachtoffer. Vertrouwen, stress en hebberigheid zijn de natuurlijke gevoelens die social engineers gebruiken om mensen te paaien.

Een paar voorbeelden van social engineering:

Phishing

Bij phishing geeft een oplichter zich uit voor een bepaalde instantie. Denk bijvoorbeeld aan een bank, een koerier of een andere organisatie die je normaal gesproken blindelings zou vertrouwen. Oplichters proberen te ‘vissen’ (vandaar de naam), naar logingegevens, je burgerservicenummer of je bankrekeningnummer. Je herkent phishing vaak aan allerlei links waar je op moet klikken, een nepnaam, of allerlei bijlagen in een e-mail.

Spear phishing

Bij spear phishing wordt specifiek gehengeld naar de gegevens van één slachtoffer. Ze doen meestal alsof ze een specifieke persoon zijn die het slachtoffer vertrouwt. Om deze manier van oplichting toe te passen, doen de hackers eerst onderzoek naar hun slachtoffers. Social media is een goudmijn voor deze informatie. Hackers kunnen zich bijvoorbeeld voordoen als een beste vriend, om toegang tot bijvoorbeeld een Facebook-account te vragen. Op zakelijk niveau doen oplichters zich voor als CEO van het bedrijf waar het slachtoffer werkzaam is, met de vraag onmiddellijk geld over te maken voor een nieuw project.

Vishing

Vishing houdt in dat oplichters doen alsof bijvoorbeeld de bank belt. Ze vervalsen hun telefoonnummer om zich voor te doen als een betrouwbare organisatie. Ze gebruiken een overtuigend voorwendsel, zoals verdachte activiteiten op de bankrekening, of te veel of te weinig betaalde belastingen. Het primaire doel is om gevoelige informatie te verkrijgen, om daarmee de identiteit van het slachtoffer te kunnen stelen. Het telefoongesprek kan behoorlijk betrouwbaar klinken, omdat de oplichters gebruik maken van opgenomen spraakberichten, tekstberichten of spraak-naar-tekst-machines gebruiken.

Pretexting

Pretexting kan goed worden vergeleken met phishing, maar met als verschil dat phishing vooral eerst angst en urgentie inboezemt, terwijl het bij pretexting om geworven vertrouwen gaat. Cybercriminelen doen zich bij pretexting voor als bijvoorbeeld een collega of een beste vriend. Ze bedenken een heel scenario om een slachtoffer voor de gek te houden. Ze gebruiken zelfs branchetaal, of proberen te overtuigen met neppersoonlijkheden en productafbeeldingen.

De hackers proberen vertrouwen te winnen. Vaak is het moeilijk om erachter te komen dat het een oplichter is die aan pretexting doet, maar als iemand te vriendelijk lijkt en om vertrouwelijke gegevens vraagt, is het goed deze persoon in twijfel te trekken.

Catfishing

Bij catfishing maken oplichters nepprofielen aan op sociale media. Daarbij gebruiken ze foto’s, video’s en persoonlijke gegevens van anderen. Deze nep-identiteiten worden vaak gebruikt voor cyberpesten, aandacht zoeken of om persoonlijke gegevens te stelen. Spreekt iemand je aan die buitengewoon aardig is, maar altijd smoesjes heeft om je niet te hoeven ontmoeten, of nooit kan of wil videobellen? Dan is de kans groot dat het om een catfish gaat.

Baiting

Baiting is een vorm van social engineering waarbij hackers het slachtoffer overhalen iets te doen waardoor de computer besmet wordt met malware. Een voorbeeld hiervan zijn valse mirror-sites. Het slachtoffer denkt bijvoorbeeld een film te downloaden (wat in de eerste plaats als verboden is), maar downloadt eigenlijk schadelijke software. Daarmee wordt de computer geïnfecteerd en mogelijk zelfs overgenomen.

Quid pro quo

Een quid pro quo-aanval (een tegenprestatie-aanval) vindt plaats wanneer een oplichter een dienst aanbiedt in ruil voor persoonlijke gegevens. Waar vroeger hackers zich voordeden als Nigeriaanse secretarissen die de erfenis van een prins te verdelen hadden, doen oplichters zich nu voor als IT-ondersteuningsspecialisten.

Het slachtoffer heeft vaak een probleem met een apparaat of heeft een update nodig. Daardoor trekken ze de beller niet in twijfel. De imitator vertelt dat ze toegang tot de computer nodig hebben om het probleem op te lossen. Zodra ze toegang krijgen, installeren ze schadelijke software of stelen ze gevoelige informatie.

Contact spamming

Contact spamming is een heel oud trucje. Een cybercrimineel hackt je e-mail of sociale media-account en deelt namens jou een bericht: ‘Ik heb deze geweldige video gezien! Kijk eens!’. Omdat het bericht van een goede vriend lijkt te komen, klikken vrienden erop. Wanneer een vriend op deze link klikt, wordt het apparaat van de gebruiker geïnfecteerd met malware. Zodra de virussen zich op het apparaat hebben verspreid, wordt hetzelfde bericht ook naar de contacten van de vriend of vriendin verspreid. Zo ontstaat een sneeuwbaleffect.

Volg deze tips om jezelf tegen social engineering-aanvallen te beschermen:

1. Leer over de verschillende social engineering-aanvallen. Zo merk je het sneller op als iemand je probeert te misleiden. Als je teamleider bent of een bedrijf hebt, moet je ervoor zorgen dat je personeel de risico’s van social engineering ook kent. Met behulp van zogenaamde penetratietesten is het relatief om kwetsbaarheden in je netwerk te ontdekken.
2. Wees waakzaam. Controleer de identiteit van de persoon met wie je communiceert, vooral als het via een e-mail, sms of telefoontje is dat je niet verwachtte.
3. Klik niet op bijlagen en links in e-mails. Laat je nooit verleiden op een link of bijlage in een e-mail of bericht te klikken, behalve als je de afzender 100% vertrouwt.
4. Vragen, vragen en nogmaals vragen. Als je vermoedt dat iemand je aan de telefoon probeert te misleiden, stel dan vragen. Ook als ze zich voordoen als je supervisor. Wordt de toon van de beller dringender en probeert hij je onder druk te zetten? Dan kun je ervan uitgaan dat je met een oplichter te maken hebt.
5. Let op slordigheden in berichten. Sociaal engineering-aanvallen zijn vaak te herkennen aan kleine slordigheden zoals spel- en grammaticale fouten.
6. Deel alleen noodzakelijk informatie online. Slimme hackers kunnen ook relatief onschuldige gegevens gebruiken om meer over je te weten te komen en een social engineering-aanval uit te voeren.
7. Werk je software op tijd bij. Voer updates uit wanneer ze beschikbaar zijn, installeer een goede adblocker en anti-malware.
8. Gebruik een VPN. Eine VPN-software helpt je je identiteit te verbergen en voorkomt dat hackers je gegevens onderscheppen, vooral als je op een openbaar wifi-netwerk surft. openbare Wi-Fi. De Threat Protection-funktie van NordVPN blokkeert bovendien websites die erom bekend staan malware te hosten.