Wellicht heb je er al eens van gehoord: social engineering. Deze techniek voor misleiding wordt zowel fysiek als digitaal ingezet door (cyber)criminelen. Voor de bescherming van jouw organisatie en medewerkers is het belangrijk dat je op de hoogte bent van deze techniek. In deze blog lees je alles over social engineering én geven wij tips om jouw organisatie en medewerkers er zo goed mogelijk tegen te beschermen.
De kunst van het misleiden
Bij social engineering wordt er door middel van misleidende aanvalstechnieken misbruik gemaakt van menselijke eigenschappen zoals nieuwsgierigheid en vertrouwen. De (cyber)criminelen richten zich op de zwakste schakel van organisaties: de mens. Ze proberen medewerkers bepaalde handelingen te laten verrichten waar de criminelen voordeel uit halen. Denk hierbij bijvoorbeeld aan het afgeven van vertrouwelijke gegevens of het installeren van malware. Bekijk hieronder een interessante video over een journalist die hackers uitdaagt om hem te hacken.
De kans bestaat dat jouw organisatie al eens te maken heeft gehad met social engineering. Phishing is hier namelijk een (steeds meer voorkomende) vorm van. Een andere vorm van social engineering is het simpelweg meekijken over de schouders van een medewerker om zo bijvoorbeeld gebruikersnamen en wachtwoorden te achterhalen. Dit wordt ook wel shoulder surfing genoemd: “The act of surreptitiously gathering information from a user by means of direct observation of the user’s activity, typically by looking over their shoulder as they perform some action.”.
De misschien wel meest bekende vorm van social engineering is het daadwerkelijk communiceren met het slachtoffer. De crimineel zet het slachtoffer hierbij vaak onder druk door te doen alsof er een groot probleem is. Hierbij wordt er gebruik gemaakt van verschillende emoties, zoals woede en verdriet. Een voorbeeld: een receptioniste krijgt een wanhopige man aan de balie. De man beweert een vriend te zijn van Jan Bosman, een medewerker van het bedrijf. Hij zegt dat hij zo snel mogelijk naar Jan moet, omdat Jan’s vader een ongeluk heeft gehad. De crimineel, in dit geval de wanhopige man, speelt hier in op de gevoelens van de receptioniste. Voor de receptioniste is dit een lastige situatie: laat ze de man daar staan of laat ze hem naar binnen om ‘naar Jan te gaan’?
Zo bied je bescherming tegen social engineering
Bescherming tegen social engineering begint bij security awareness van medewerkers: de medewerker is ten slotte de zwakste schakel van de organisatie. Medewerkers moeten kennis hebben over de vormen en risico’s van social engineering, zodat zij weten wat ze moeten doen mochten ze te maken krijgen met social engineering.
Voordat je start met een bewustwordingsprogramma voor de medewerkers, is het verstandig om te beginnen met een nulmeting. Door een mystery guest te laten proberen toegang te krijgen tot de organisatie, op fysiek en/of digitaal gebied, kan de mate van security awareness onder de medewerkers worden vastgesteld. Op basis van deze resultaten kan er een passend bewustwordingsprogramma worden gemaakt.
Andere preventieve maatregelen zijn bijvoorbeeld het gebruikmaken van screenprotectors waardoor er vanaf de zijkant niet kan worden meegekeken op het scherm (tegen shoulder surfing) en standaard werkinstructies voor situaties die mogelijk kunnen voorkomen (zoals de situatie met de receptie).
Met een goed beveiligingsplan bescherm je jouw organisatie tegen risico’s zoals social engineering. De veiligheidsexperts van AVAQ helpen graag bij het verbeteren van de bedrijfsveiligheid van jouw organisatie. Neem vrijblijvend contact met ons op voor meer informatie.
