Malware is niet de enige online bedreiging waarover u zich zorgen moet maken. Social engineering is een enorme bedreiging en kan u op elk besturingssysteem raken. In feite kan social engineering ook telefonisch en in persoonlijke situaties plaatsvinden.
Het is belangrijk om op de hoogte te zijn van social engineering en op uw hoede te zijn. Beveiligingsprogramma’s beschermen u niet tegen de meeste bedreigingen van social engineering, dus u moet uzelf beschermen.
Social Engineering uitgelegd
Traditionele computergebaseerde aanvallen zijn vaak afhankelijk van het vinden van een kwetsbaarheid in de code van een computer. Als u bijvoorbeeld een verouderde versie van Adobe Flash gebruikt – of, god verhoede, Java, dat volgens Cisco de oorzaak was van 91% van de aanvallen in 2013 – zou u een kwaadwillende website en die website kunnen bezoeken. misbruik zou maken van de kwetsbaarheid in uw software om toegang te krijgen tot uw computer. De aanvaller manipuleert bugs in software om toegang te krijgen en privé-informatie te verzamelen, misschien met een keylogger die ze installeren.
Social engineering-trucs zijn anders omdat ze in plaats daarvan psychologische manipulatie inhouden. Met andere woorden, ze exploiteren mensen, niet hun software.
VERWANT: Online beveiliging: de anatomie van een phishing-e-mail doorbreken
U hebt waarschijnlijk al gehoord van phishing, een vorm van social engineering. U kunt een e-mail ontvangen waarin wordt beweerd dat u van uw bank, creditcardmaatschappij of een ander vertrouwd bedrijf bent. Ze kunnen u naar een nep-website leiden die is vermomd om er echt uit te zien, of u vragen om een schadelijk programma te downloaden en te installeren. Maar dergelijke social engineering-trucs hoeven geen nepwebsites of malware te omvatten. De phishing-e-mail kan u eenvoudig vragen om een e-mailantwoord met privé-informatie te sturen. In plaats van te proberen misbruik te maken van een bug in software, proberen ze gebruik te maken van normale menselijke interacties. Spearphishing kan zelfs nog gevaarlijker zijn, omdat het een vorm van phishing is die is ontworpen om zich op specifieke personen te richten.
Voorbeelden van social engineering
Een populaire truc in chatdiensten en online games was om een account te registreren met een naam als “Administrator” en mensen enge berichten te sturen zoals “WAARSCHUWING: We hebben gedetecteerd dat iemand je account hackt, reageer met je wachtwoord om jezelf te verifiëren.” Als een doelwit reageert met zijn wachtwoord, is hij in de truc gevallen en heeft de aanvaller nu zijn accountwachtwoord.
Als iemand persoonlijke informatie over u heeft, kunnen ze deze gebruiken om toegang te krijgen tot uw accounts. Informatie zoals uw geboortedatum, burgerservicenummer en creditcardnummer worden bijvoorbeeld vaak gebruikt om u te identificeren. Als iemand deze informatie heeft, kan hij of zij contact opnemen met een bedrijf en zich voordoen als u. Deze truc werd beroemd gebruikt door een aanvaller om toegang te krijgen tot Sarah Palins Yahoo! Mail-account in 2008, met voldoende persoonlijke gegevens om toegang te krijgen tot het account via het wachtwoordherstelformulier van Yahoo! Dezelfde methode kan worden gebruikt om via de telefoon als u over de persoonlijke informatie beschikt die het bedrijf nodig heeft om u te authenticeren. Een aanvaller met wat informatie over een doelwit kan zich voordoen als diegene en toegang krijgen tot meer dingen.
Social engineering kan ook persoonlijk worden gebruikt. Een aanvaller kan een bedrijf binnenlopen, de secretaris op een gezaghebbende en overtuigende toon laten weten dat hij een reparateur, een nieuwe medewerker of een brandweerinspecteur is, en vervolgens door de gangen dwalen en mogelijk vertrouwelijke gegevens stelen of bugs planten om bedrijfsspionage uit te voeren. Deze truc hangt af van de vraag of de aanvaller zichzelf presenteert als iemand die hij niet is. Als een secretaresse, portier of wie dan ook de leiding heeft, niet te veel vragen stelt of te goed kijkt, zal de truc slagen.
VERWANT: Hoe aanvallers eigenlijk online accounts hacken en hoe u uzelf kunt beschermen
Social-engineeringaanvallen omvatten het bereik van nepwebsites, frauduleuze e-mails en snode chatberichten, helemaal tot aan het imiteren van iemand aan de telefoon of persoonlijk. Deze aanvallen zijn er in allerlei vormen, maar ze hebben allemaal één ding gemeen: ze zijn afhankelijk van psychologische bedrog. Social engineering wordt de kunst van psychologische manipulatie genoemd. Het is een van de belangrijkste manieren waarop “hackers” accounts online “hacken”.
Hoe social engineering te vermijden
Als u weet dat social engineering bestaat, kunt u dit bestrijden. Wees op uw hoede voor ongevraagde e-mails, chatberichten en telefoontjes waarin om privé-informatie wordt gevraagd. Geef nooit financiële informatie of belangrijke persoonlijke informatie via e-mail vrij. Download geen potentieel gevaarlijke e-mailbijlagen en voer ze uit, zelfs niet als een e-mail beweert dat ze belangrijk zijn.
Volg ook geen links in een e-mail naar gevoelige websites. Klik bijvoorbeeld niet op een link in een e-mail die afkomstig lijkt te zijn van uw bank en log in. Het kan zijn dat u naar een nep-phishing-site gaat die eruitziet als de site van uw bank, maar met een subtiel andere URL. Bezoek in plaats daarvan de website.
Als u een verdacht verzoek ontvangt, bijvoorbeeld als een telefoontje van uw bank om persoonlijke informatie vraagt, neem dan rechtstreeks contact op met de bron van het verzoek en vraag om bevestiging. In dit voorbeeld belt u uw bank en vraagt u wat zij willen, in plaats van de informatie te verstrekken aan iemand die beweert uw bank te zijn.
E-mailprogramma’s, webbrowsers en beveiligingssuites hebben over het algemeen phishingfilters die u waarschuwen wanneer u een bekende phishing-site bezoekt. Het enige wat ze kunnen doen is u waarschuwen wanneer u een bekende phishing-site bezoekt of een bekende phishing-e-mail ontvangt, en ze zijn niet op de hoogte van alle phishing-sites of e-mails die er zijn. Het is voor het grootste deel aan jou om jezelf te beschermen – beveiligingsprogramma’s kunnen maar een klein beetje helpen.
Het is een goed idee om een gezond vermoeden te hebben bij het behandelen van verzoeken om privégegevens en al het andere dat een social engineering-aanval zou kunnen zijn. Achterdocht en voorzichtigheid zullen u helpen beschermen, zowel online als offline.
Image Credit: Jeff Turnet op Flickr
