Social engineering is een techniek waarbij een hacker een aanval op computersystemen probeert te ondernemen. Daarvoor wordt eerst de zwakste schakel in de computerbeveiliging gekraakt: de mens. Lees meer over de gevaren van social media.
Social engineering betekent dat een oplichter een slachtoffer overtuigt om te doen wat hij of zij wil. Zelfs als het tegen de zin is van het slachtoffer. Vertrouwen, stress en hebberigheid zijn de natuurlijke gevoelens die social engineers gebruiken om mensen te paaien.
Een paar voorbeelden van social engineering:
Bij phishing geeft een oplichter zich uit voor een bepaalde instantie. Denk bijvoorbeeld aan een bank, een koerier of een andere organisatie die je normaal gesproken blindelings zou vertrouwen. Oplichters proberen te ‘vissen’ (vandaar de naam), naar logingegevens, je burgerservicenummer of je bankrekeningnummer. Je herkent phishing vaak aan allerlei links waar je op moet klikken, een nepnaam, of allerlei bijlagen in een e-mail.
Bij spear phishing wordt specifiek gehengeld naar de gegevens van één slachtoffer. Ze doen meestal alsof ze een specifieke persoon zijn die het slachtoffer vertrouwt. Om deze manier van oplichting toe te passen, doen de hackers eerst onderzoek naar hun slachtoffers. Social media is een goudmijn voor deze informatie. Hackers kunnen zich bijvoorbeeld voordoen als een beste vriend, om toegang tot bijvoorbeeld een Facebook-account te vragen. Op zakelijk niveau doen oplichters zich voor als CEO van het bedrijf waar het slachtoffer werkzaam is, met de vraag onmiddellijk geld over te maken voor een nieuw project.
Vishing houdt in dat oplichters doen alsof bijvoorbeeld de bank belt. Ze vervalsen hun telefoonnummer om zich voor te doen als een betrouwbare organisatie. Ze gebruiken een overtuigend voorwendsel, zoals verdachte activiteiten op de bankrekening, of te veel of te weinig betaalde belastingen. Het primaire doel is om gevoelige informatie te verkrijgen, om daarmee de identiteit van het slachtoffer te kunnen stelen. Het telefoongesprek kan behoorlijk betrouwbaar klinken, omdat de oplichters gebruik maken van opgenomen spraakberichten, tekstberichten of spraak-naar-tekst-machines gebruiken.
Pretexting kan goed worden vergeleken met phishing, maar met als verschil dat phishing vooral eerst angst en urgentie inboezemt, terwijl het bij pretexting om geworven vertrouwen gaat. Cybercriminelen doen zich bij pretexting voor als bijvoorbeeld een collega of een beste vriend. Ze bedenken een heel scenario om een slachtoffer voor de gek te houden. Ze gebruiken zelfs branchetaal, of proberen te overtuigen met neppersoonlijkheden en productafbeeldingen.
De hackers proberen vertrouwen te winnen. Vaak is het moeilijk om erachter te komen dat het een oplichter is die aan pretexting doet, maar als iemand te vriendelijk lijkt en om vertrouwelijke gegevens vraagt, is het goed deze persoon in twijfel te trekken.
Bij catfishing maken oplichters nepprofielen aan op sociale media. Daarbij gebruiken ze foto’s, video’s en persoonlijke gegevens van anderen. Deze nep-identiteiten worden vaak gebruikt voor cyberpesten, aandacht zoeken of om persoonlijke gegevens te stelen. Spreekt iemand je aan die buitengewoon aardig is, maar altijd smoesjes heeft om je niet te hoeven ontmoeten, of nooit kan of wil videobellen? Dan is de kans groot dat het om een catfish gaat.
Baiting is een vorm van social engineering waarbij hackers het slachtoffer overhalen iets te doen waardoor de computer besmet wordt met malware. Een voorbeeld hiervan zijn valse mirror-sites. Het slachtoffer denkt bijvoorbeeld een film te downloaden (wat in de eerste plaats als verboden is), maar downloadt eigenlijk schadelijke software. Daarmee wordt de computer geïnfecteerd en mogelijk zelfs overgenomen.
Een quid pro quo-aanval (een tegenprestatie-aanval) vindt plaats wanneer een oplichter een dienst aanbiedt in ruil voor persoonlijke gegevens. Waar vroeger hackers zich voordeden als Nigeriaanse secretarissen die de erfenis van een prins te verdelen hadden, doen oplichters zich nu voor als IT-ondersteuningsspecialisten.
Het slachtoffer heeft vaak een probleem met een apparaat of heeft een update nodig. Daardoor trekken ze de beller niet in twijfel. De imitator vertelt dat ze toegang tot de computer nodig hebben om het probleem op te lossen. Zodra ze toegang krijgen, installeren ze schadelijke software of stelen ze gevoelige informatie.
Contact spamming is een heel oud trucje. Een cybercrimineel hackt je e-mail of sociale media-account en deelt namens jou een bericht: ‘Ik heb deze geweldige video gezien! Kijk eens!’. Omdat het bericht van een goede vriend lijkt te komen, klikken vrienden erop. Wanneer een vriend op deze link klikt, wordt het apparaat van de gebruiker geïnfecteerd met malware. Zodra de virussen zich op het apparaat hebben verspreid, wordt hetzelfde bericht ook naar de contacten van de vriend of vriendin verspreid. Zo ontstaat een sneeuwbaleffect.
Volg deze tips om jezelf tegen social engineering-aanvallen te beschermen: