In mijn artikel over ransomware vertelde ik al kort iets over social engineering. Het is een verzameling technieken die gebruikt wordt om toegang te krijgen tot gevoelige informatie. In dit artikel gaan we dieper in op dit onderwerp. Ik vertel je wat social engineering is en welke vormen veel gebruikt worden. Tot slot geef ik je wat tips om jezelf te beschermen tegen deze vorm van hacking.

Wat is social engineering?

Social engineering wordt ook wel social hacking genoemd. Het gaat over de technieken die hackers gebruiken om toegang te krijgen tot een systeem, via de zwakste schakel: de gebruiker. Er wordt gebruik gemaakt van psychologische manipulatie om ervoor te zorgen dat gebruikers fouten maken op het gebied van veiligheid, of zelfs vrijwillig gevoelige informatie weggeven.

Aanvallen die gebruikmaken van social engineering zijn vaak heel sluw en persoonlijk. Gebruikers worden echt misleid en bedrogen. Omdat hackers vaak maar 1 kans krijgen om hun aanval goed uit te voeren, zijn het goed doordachte plannen. Een aanval begint altijd met een onderzoek naar het slachtoffer. Dat kan van alles zijn, van z’n favoriete restaurant tot de auto waarin hij rijdt. Het gaat erom dat de hacker ontdekt waar de zwakheden van z’n slachtoffer liggen, en welke manier van aanvallen de grootste kans van slagen heeft.

Daarna begint het bedrog. Meestal begint de aanval met iets heel onschuldigs, bijvoorbeeld iemand die zich voordoet als softwareverkoper en wil weten welk pdf-reader je gebruikt. Dit lijkt misschien een nietszeggend detail, maar voor een social hacker is dit al waardevolle informatie. Over een langere periode kan een hacker vaker contact opnemen, of steeds gedetailleerdere vragen stellen. Hoe meer vertrouwen de hacker wint, hoe groter de prijs.

Als de hacker voldoende informatie heeft, kan hij de échte aanval inzetten. Bijvoorbeeld door een pdf te versturen met informatie over nieuwe software, terwijl die pdf malware bevat. Zo kan een hacker toegang krijgen tot een netwerk en gevoelige informatie stelen.

De meeste van deze aanvallen worden pas laat ontdekt, omdat de hacker z’n sporen zorgvuldig uitwist. De ‘softwareverkoper’ bedankt bijvoorbeeld netjes voor de tijd, en belooft snel terug te bellen. Maar dat laatste gebeurt natuurlijk niet.

Veelgebruikte social engineering-technieken

Er zijn heel veel manieren om social engineering te gebruiken, hier kijken we kort naar een paar veelgebruikte technieken.

Phishing

Dit is veruit de meest voorkomende vorm van social engineering. Hackers gebruiken bijvoorbeeld e-mail, sociale media en chatprogramma’s om gevoelige informatie van hun slachtoffers los te weken, of ze een URL te laten bezoeken die schade aanbrengt aan je systeem.

Phishing-aanvallen delen de volgende gemeenschappelijke kenmerken:

  • De berichten zijn altijd zo geschreven dat ze de lezer nieuwsgierig maken. Ze geven in een e-mail een klein beetje informatie, maar moedigen je vooral aan om een bepaalde site te bezoeken.
  • Als het een aanval is om gevoelige informatie van de gebruiker te krijgen, wordt er vaak een gevoel van hoge urgentie gecreëerd. In het bericht staat dan bijvoorbeeld dat de gebruiker direct z’n gebruikersnaam en wachtwoord moet delen, omdat de schade anders alleen maar groter wordt. En er zijn genoeg mensen die daar intrappen..
  • Aanvallers maken vaak gebruik van verkorte URL’s om hun slachtoffers naar kwaadaardige sites te leiden. Zo kun je een link maken die er op het eerste gezicht best betrouwbaar uitziet, maar die dat absoluut niet is.
  • Phishing-e-mails hebben vaak een misleidende titel om de ontvanger ervan te overtuigen dat het bericht van een betrouwbare bron komt. Ook zien de gebruikte e-mailadressen en de opmaak van de berichten er op het eerste gezicht betrouwbaar uit. Zelfs de websites waar de aanvaller je naartoe wil leiden, is vaak goed nagebouwd. Alles om het vertrouwen van het slachtoffer te winnen, zodat ze eerder geneigd zijn gevoelige informatie op te geven.

Watering hole attack

Een andere vorm van social engineering, is de zogenaamde watering hole attack. De aanvaller maakt eerst een profiel van z’n slachtoffer, en onderzoekt welke sites hij vaak bezoekt. Vervolgens bekijkt de hacker of die sites zwakke plekken hebben waar hij misbruik van kan maken. Als dat zo is, kan de hacker ervoor zorgen dat het slachtoffer de volgende keer op zijn variant van de vaak bezochte website komt. En die variant bevat natuurlijk kwaadaardige code waarmee de computer van het slachtoffer geïnfecteerd kan worden. Soms zijn websites al langere tijd geïnfecteerd voordat de hacker zijn aanval plaatst. Net als een leeuw die bij een drinkplaats geduldig wacht op z’n slachtoffer.

Whaling attack

Een whaling attack is een evolutie van phishing, die specifiek gericht is op mensen met een hoge positie binnen een bedrijf. Die worden whales genoemd, omdat ze vaak toegang hebben tot veel gevoelige informatie en dus van grote waarde kunnen zijn. De slachtoffers worden zorgvuldig uitgezocht, en de berichten bevatten vaak zogenaamde vertrouwelijke informatie.

Aanvallen met lokaas

De laatste techniek die ik toelicht, is de aanval die gebruikmaakt van lokaas. De belangrijkste eigenschap is dat er vaak iets positiefs beloofd wordt: een beveiligingsupdate, gratis software of zelfs een download van de nieuwste films. Dit speelt in op de nieuwsgierigheid  die in ons zit, en daar wordt slim misbruik van gemaakt.

Tips om jezelf te beschermen tegen social engineering

Je weet nu dat hackers die gebruikmaken van social engineering in proberen te spelen op menselijke gevoelens, zoals angst en nieuwsgierigheid. Dat je je hiervan bewust bent, is al een deel van de oplossing. Daarnaast kun je jezelf met de volgende tips beschermen:

1. Open geen e-mails van verdachte afzenders

Heel simpel: ken je de afzender niet, en wil hij iets van je? Wees dan extra alert en reageer niet op z’n vragen. Mocht het iemand zijn die zich voordoet als iemand die bijvoorbeeld bij je bank werkt, probeer het bericht dan altijd te verifiëren via een andere bron. E-mailadressen worden constant vervalst, dus zelfs een betrouwbaar e-mailadres kan schadelijke gevolgen hebben.

2. Gebruik verificatie in meerdere stappen

Gebruikersnamen en wachtwoorden zijn nog steeds de meest waardevolle informatie die een hacker kan stelen. Zorg er daarom voor dat je altijd gebruikmaakt van verificatie in meerdere stappen, bijvoorbeeld door een code die naar je telefoon wordt verzonden. Zo blijven je gegevens beschermd, zelfs als een hacker je gebruikersnaam en wachtwoord heeft.

3. Te mooi om waar te zijn?

Als je een aanbod krijgt dat te mooi lijkt om waar te zijn, dan is dat het vaak ook. Doe daarom altijd wat onderzoek naar het aanbod, bijvoorbeeld via Google. Dan kom je er vaak snel genoeg achter of iets serieus is, of niet.

4. Houd je beveiliging up-to-date

Eigenlijk is dit een van de belangrijkste tips. Bijna elke vorm van social engineering maakt namelijk gebruik van zwakke plekken in een systeem. Zorg ervoor dat je antivirussoftware altijd up-to-date is, dit verkleint het risico om slachtoffer te worden van een hacker.

Tot slot

Het is belangrijk om te beseffen dat social engineering op enorm veel verschillende manieren gebeurt. Je hebt hierboven maar een paar voorbeelden gezien, er zijn er nog veel meer te verzinnen. Maar gelukkig heb je een belangrijk wapen: kennis. Met kennis over het onderwerp, mogelijke technieken en een goede dosis gezond verstand, kun je je tegen de meeste aanvallen wapenen.