Als je denkt aan cyber security, dan denk je waarschijnlijk aan virussen, malware en hacking. Maar er is een andere vorm van bedreiging die vaak over het hoofd wordt gezien: social engineering. In dit artikel zullen we uitleggen wat social engineering is en waarom het een belangrijke bedreiging vormt voor bedrijven.
Wat is het?
Social engineering is een techniek die wordt gebruikt door kwaadwillenden om toegang te krijgen tot computersystemen of gevoelige informatie. Echter, in plaats van het zoeken van een kwetsbaarheid in een technisch onderdeel van een organisatie, maakt de aanvaller gebruik van psychologie en menselijke interactie. Het doel van de aanvaller is om het slachtoffer te laten geloven dat ze de persoon of organisatie zijn als wie zij zich voordoen. Dit zijn doorgaans partijen met een vertrouwensfunctie, zoals een CEO, IT-medewerker, de bank of een postbedrijf. Door vertrouwen te winnen hoopt de aanvaller dat het slachtoffer bereid is om toegang te verlenen tot systemen of vertrouwelijke informatie te delen.
Een voorbeeld van social engineering: phishing
Een voorbeeld van social engineering is phishing. De meest voorkomende vorm van phishing is mail-phishing. Wat je vaak ziet is dat een aanvaller zich voordoet als een legitieme instantie, zoals een bank, en het slachtoffer vraagt om vertrouwelijke informatie, zoals een wachtwoord of creditcardnummer, te verstrekken. De aanvaller kan een e-mail sturen die eruit ziet als een legitieme e-mail van de bank en het slachtoffer vragen om op een link te klikken en hun informatie in te voeren. Als het slachtoffer dit doet, krijgt de aanvaller toegang tot de vertrouwelijke informatie. Door middel van spoofing kan een aanvaller zelfs bellen naar het slachtoffer met een vervalst nummer, waardoor het lijkt alsof de oproep van de bank afkomstig is. Andere vormen van phishing zijn vishing (voice phishing) en smishing (sms-phishing).
Andere vormen van social engineering zijn onder andere pretexting en baiting. Meer daarover vind je in ons blogartikel: vormen van social engineering.
De complexiteit van social engineering
Het gevaar, en de complexiteit, van social engineering is dat het soms moeilijk te detecteren is. Zo heeft iedereen weleens de deur opengehouden voor een onbekende. Of voor iemand met een uniform van een bezorgdienst. Als mensen zijn wij vaak goed van vertrouwen. En om die reden zijn mensen vaak het zwakke punt in de beveiliging. Zelfs als een organisatie sterke technische beveiliging heeft, kunnen ze nog steeds kwetsbaar zijn voor social engineering. Het is dan ook belangrijk te werken aan een human firewall.
Je als bedrijf weren tegen social engineering
Hoe kunnen bedrijven zich beschermen tegen social engineering? Ten eerste is het belangrijk om medewerkers te trainen op veiligheidsbewustzijn. Dit kan via een zogenoemde security awareness training. Daarnaast is het belangrijk om een cyber security cultuur te implementeren. Dit houdt in dat het voor medewerkers duidelijk is wat zij moeten doen bij verdachte situaties. Tot slot moet cyber security niet als een eenmalig iets worden gezien. Door het een onderdeel te maken van de cultuur en processen blijven medewerkers op de hoogte van nieuwe ontwikkelingen.