In de wereld van cybercriminaliteit spelen social engineering technieken een belangrijke rol bij het aanvallen van slachtoffers. Social engineering is een methode waarbij aanvallers proberen om hun slachtoffers te misleiden en te manipuleren om vertrouwelijke informatie te verkrijgen of toegang te krijgen tot gevoelige systemen. In dit blog zullen we een diepgaande blik werpen op verschillende social engineering technieken, waaronder pretexting, baiting en quid pro quo.
Pretexting
Pretexting is een vorm van social engineering waarbij een aanvaller zich voordoet als een ander persoon om vertrouwelijke informatie te verkrijgen. Dit kan bijvoorbeeld gebeuren door een valse identiteit te gebruiken of door het imiteren van een bedrijf of organisatie. Een aanvaller kan bijvoorbeeld een telefoontje plegen naar een slachtoffer en zich voordoen als een IT-medewerker die op zoek is naar inloggegevens. Door een vertrouwd gezicht op te zetten, kan een aanvaller de waakzaamheid van het slachtoffer verminderen en zo gemakkelijker toegang krijgen tot vertrouwelijke informatie.
Baiting
Baiting is een andere vorm van social engineering die vaak wordt gebruikt door cybercriminelen. Het houdt in dat aanvallers inspelen op de nieuwsgierigheid van mensen. Zo kan men een slachtoffer verleiden om op een link te klikken of om een bestand te downloaden dat eigenlijk kwaadaardig is. Dit kan bijvoorbeeld gebeuren door een USB-stick achter te laten op een openbare plaats met een aantrekkelijke titel zoals ‘Salarislijst’ of ‘Bedrijfsgeheimen’. Zodra het slachtoffer de USB-stick in hun computer steekt, kan de aanvaller toegang krijgen tot de gegevens van het slachtoffer.
Quid pro Quo
Quid pro quo is een social engineering techniek waarbij de aanvaller iets in ruil vraagt voor het aanbieden van een service. Een aanvaller kan bijvoorbeeld een slachtoffer bellen en zich voordoen als een IT-medewerker die problemen oplost. De aanvaller kan dan het slachtoffer vragen om in te loggen op een bepaalde website om het probleem op te lossen. In ruil voor het oplossen van het probleem, vraagt de aanvaller het slachtoffer om de inloggegevens te geven. Dit is een verraderlijke techniek omdat het slachtoffer denkt dat ze geholpen worden door een legitieme medewerker.
Hoewel deze technieken op verschillende manieren worden uitgevoerd, hebben ze allemaal één ding gemeen: ze zijn gericht op het misleiden en manipuleren van slachtoffers om toegang te krijgen tot vertrouwelijke informatie. Het is belangrijk om je bewust te zijn van deze technieken en om voorzichtig te zijn met het delen van persoonlijke of gevoelige informatie, zelfs als de persoon aan de andere kant van de lijn lijkt te zijn wie hij of zij zegt te zijn. Als je ooit twijfelt over de echtheid van een oproep of e-mail, neem dan contact op met de desbetreffende persoon. Of schakel de hulp in van je collega’s.
Door middel van training van medewerkers kunnen bedrijven medewerkers helpen te begrijpen wat social engineering is en bouwen zij tegelijkertijd aan een human firewall.