Social Engineering
Social engineering is een manipulatietechniek die wordt gebruikt om mensen te misleiden en te overtuigen om vertrouwelijke informatie te delen, toegang te verlenen tot beveiligde systemen of acties uit te voeren die nadelig zijn voor henzelf of hun organisatie. Het kan worden gezien als een vorm van psychologische manipulatie waarbij de aanvaller gebruik maakt van de zwaktes en menselijke emoties van het slachtoffer.
Hoe wordt social engineering toegepast?
Social engineering kan worden toegepast via verschillende kanalen, zoals e-mail, telefoon, SMS, sociale media of persoonlijk contact.
Hieronder vind je 10 voorbeelden van veel voorkomende social engineering-aanvallen.
Phishing: een aanvaller stuurt een e-mail of een bericht met als doel het slachtoffer te laten klikken op een kwaadaardige link, waarmee gevoelige informatie wordt gestolen of schadelijke software wordt geïnstalleerd.
Spear phishing: een gerichte phishing-aanval waarbij de aanvaller zich voordoet als een vertrouwde bron, zoals de baas van het slachtoffer, om gevoelige informatie te verkrijgen.
Pretexting: een aanvaller creëert een fictieve situatie of probleem om het slachtoffer te laten denken dat ze hulp nodig hebben, en probeert vervolgens gevoelige informatie te verkrijgen.
Baiting: een aanvaller lokt het slachtoffer met een verleidelijke aanbieding, zoals een gratis cadeaubon, om het slachtoffer te verleiden om een bepaalde actie uit te voeren, zoals het invoeren van persoonlijke gegevens op een valse website.
Scareware: een aanvaller geeft een waarschuwing weer op het scherm van het slachtoffer, waarin staat dat hun computer is geïnfecteerd met een virus of malware. De aanvaller biedt vervolgens een oplossing aan om het probleem op te lossen, meestal tegen betaling.
Vishing: een aanvaller gebruikt de telefoon om het slachtoffer te overtuigen om vertrouwelijke informatie te verstrekken, zoals wachtwoorden of bankgegevens.
Smishing: een aanvaller gebruikt SMS-berichten om het slachtoffer te overtuigen om te klikken op een kwaadaardige link of om vertrouwelijke informatie te verstrekken.
Dumpster diving: een aanvaller zoekt door het afval van een organisatie op zoek naar informatie die gebruikt kan worden om in te breken in het systeem of om gevoelige informatie te verkrijgen.
Shoulder surfing: een aanvaller kijkt over de schouder van het slachtoffer om toegang te krijgen tot gevoelige informatie, zoals wachtwoorden of pincodes.
Tailgating: een aanvaller volgt het slachtoffer door een beveiligde ingang en gebruikt de toegang tot de faciliteit om gevoelige informatie te stelen of om schade aan te richten.
Het is belangrijk om te onthouden dat er vele vormen van social engineering bestaan, en dat aanvallers altijd nieuwe manieren proberen te bedenken om kwetsbaarheden te vinden en gevoelige informatie te verkrijgen. Het is daarom van essentieel belang dat organisaties hun medewerkers bewust maken van deze tactieken en hen trainen om verdachte berichten en verzoeken te herkennen en om veiligheidsprocedures te volgen om zichzelf en hun organisatie te beschermen tegen social engineering-aanvallen.