Bij cybercrime denk je misschien snel aan een hacker achter een computerscherm. Toch is de werkelijkheid vaak minder hightech. Veel aanvallen beginnen bij menselijke misleiding, ofwel ‘social engineering’.
Is jouw organisatie cyberweerbaar?
‘Social engineering’ betekent sociale manipulatie. Bij social engineering maken internetcriminelen misbruik van menselijke eigenschappen zoals angst, hebzucht, nieuwsgierigheid, vertrouwen en onwetendheid. Zo verleiden oplichters je bijvoorbeeld om persoonlijke of bedrijfsgevoelige gegevens te delen voor het zogenaamd deblokkeren van een account. Welke soorten social engineering zijn er, en hoe bescherm je je ertegen?
Fysieke social engineering
Er zijn twee soorten social engineering: fysieke en digitale. Bij fysieke social engineering vindt de misleiding op locatie plaats. Het doel van de crimineel of hacker is om belangrijke informatie te stelen, die die op een later moment gebruikt om een digitale aanval te plegen. De belangrijkste vormen van fysieke social engineering zijn:
Afval doorzoeken
Criminelen doorzoeken je afval op jacht naar bedrijfsgegevens, zoals brieven of gekopieerde documenten. Deze techniek wordt ook wel ‘dumpster diving’ genoemd. De gegevens gebruiken ze bijvoorbeeld om geloofwaardig over te komen wanneer ze telefonisch contact met je opnemen.
Vernietig je informatie zorgvuldig
Wees je bewust van welke informatie je weggooit en hoe je dat doet. Zelfs onschuldig lijkende informatie zoals een bellijst of functieomschrijving kan voor een crimineel nuttig zijn bij een gerichte aanval. Maak gebruik van een papierversnipperaar of een container met een slot.
Besmette USB-stick
Stel je vindt een USB-stick. Je wilt misschien even kijken wat erop staat. Dat is niet verstandig, een hacker gebruikt deze nieuwsgierigheid. Die laat expres USB-sticks rondslingeren met daarop schadelijke software. Deze software start zodra jij de USB-stick in je computer steekt en installeert bijvoorbeeld automatisch malware. Hiermee krijgt de crimineel toegang tot je interne computersystemen of ‘gijzelt’ je netwerk met ransomware.
Beveilig je apparaten en maak back-ups
Beveilig je apparaten en computernetwerk met antivirussoftware. Maak regelmatig back-ups van je computerbestanden en houd je software up-to-date.
Impersonatie
Bij impersonatie doen criminelen zich voor als een vertrouwde partij om je te misleiden. De crimineel doet bijvoorbeeld alsof die een klusjesman is en meldt zich bij de receptie voor een reparatie. Of die komt langs als servicemonteur voor onderhoud aan je wifi-netwerk. Eenmaal binnen zit deze ‘monteur’ achter een computer in je bedrijf en heeft toegang tot gevoelige bedrijfsgegevens.
Registreer bezoekersgegevens
Laat bezoekers nooit zomaar je pand binnen. Registreer de bezoekersgegevens en vraag altijd om een identiteitsbewijs.
Meekijken
Je bent onderweg en werkt op je laptop, bijvoorbeeld in de trein. Nietsvermoedend typ je een wachtwoord in of werk je aan een stuk met gevoelige informatie. Houd er rekening mee dat een crimineel eenvoudig over je schouder kan meekijken. Die kan de informatie die die ziet later gebruiken voor het hacken van je computersysteem. Deze vorm van social engineering wordt ook wel ‘shoulder surfing’ genoemd.
Gebruik een screenprotector
Gebruik een screenprotector op je laptop en telefoon. Dit is een speciale laag plastic of glas op je scherm die ervoor zorgt dat anderen niet kunnen meekijken.
Digitale social engineering
Bij digitale social engineering vindt de misleiding digitaal plaats. Bijvoorbeeld via internet en telefonie. Hiervoor maakt de cybercrimineel onder andere gebruik van op locatie of social media gestolen informatie.
Social media
Via social media zijn persoonlijke gegevens van een slachtoffer te achterhalen. Criminelen gebruiken bijvoorbeeld LinkedIn als bron om je vervolgens met behulp van die informatie op te lichten. Bijvoorbeeld door het sturen van phishingberichten.
Blijf kritisch
Denk goed na over welke informatie je deelt op social media. Beveilig je account met sterke wachtwoorden en blijf kritisch op berichten die je ontvangt. Accepteer bijvoorbeeld niet zomaar een uitnodiging van een onbekend persoon.
Phishing
Phishing is een vorm van digitale oplichting. Fraudeurs misleiden je met gerichte valse e-mails. De e-mails lijken op berichten van bekende, en vaak betrouwbare, organisaties. Zoals overheidsinstellingen en banken. Zo proberen de criminelen jouw inloggegevens, creditcardinformatie, pincode of andere persoonlijke informatie te achterhalen. Naast e-mail gebruiken criminelen ook sms, WhatsApp en QR-codes voor phishing.
Klik voorzichtig
Klik nooit zomaar op links of bijlagen in een e-mail die je niet vertrouwt. Links of bijlagen in valse e-mails kunnen leiden tot installatie van schadelijke software op je computer.
Telefoonfraude en CEO-fraude
Telefoonfraude is oplichting via een telefoongesprek met bijvoorbeeld een zogenaamde helpdesk of bank.
Even wat software installeren
Bij telefonische helpdeskfraude word je bijvoorbeeld gebeld door een nepmedewerker van een softwarebedrijf. Die geeft aan dat er een probleem is met jouw software, en dat dit gevaar oplevert. De nepmedewerker wil dit graag direct oplossen en vraagt je om even een programma te installeren. Het blijkt dan te gaan om schadelijke software waarmee criminelen toegang krijgen tot je computersysteem.
Snel geld overmaken
Een oplichter kan zich aan de telefoon ook voordoen als een medewerker van je bank. Die overtuigt je ervan dat je bankrekening is gehackt omdat die verdachte betalingen ziet. De oplichter legt uit dat je geld kunt overmaken naar een ‘veilige rekening’ of een ‘kluisrekening’. Zulke rekeningen bestaan niet, in werkelijkheid is het de rekening van de oplichter zelf. Die biedt aan je te helpen bij het overboeken. Zo komt je geld op de rekening van de oplichter terecht.
CEO-fraude
Bij CEO-fraude krijgt een medewerker de opdracht om een geldbedrag over te maken naar een bepaalde rekening. De opdracht lijkt van de directie afkomstig te zijn. Het verzoek komt echter niet van de directie, maar van een cybercrimineel die zichzelf als leidinggevende voordoet. Het geld gaat dan ook naar de bankrekening van deze fraudeur.
Bij CEO-fraude maken cybercriminelen vaak gebruik van e-mailspoofing. Dit is een techniek waarmee je een e-mail uit naam van iemand anders verzendt. In het geval van CEO-fraude lijkt een e-mailbericht afkomstig van de directeur. Doordat de medewerker het e-mailadres van diens werkgever ziet, is die eerder geneigd om op het verzoek in te gaan.
Laat je niet onder druk zetten
Vertrouw niet iedereen zomaar en laat je niet onder druk zetten. Aanvallers maken gebruik van urgentie en proberen je hiermee onder tijdsdruk te zetten. Trap hier niet in, blijf rustig nadenken en neem geen overhaaste beslissingen.
