Social engineering omschrijft een reeks niet-technische aanvalstechnieken die door cybercriminelen worden gebruikt om gebruikers ertoe te bewegen beveiligingsprotocollen of andere bedrijfsprocedures te overschrijden, schadelijke handelingen te verrichten of gevoelige informatie prijs te geven.
De meeste social engineering-technieken vereisen geen technische vaardigheden van de aanvaller, wat betekent dat iedereen, van kleine dieven tot de meest geraffineerde aanvallers, in deze categorie cybercriminaliteit actief kan zijn.
Er zijn veel technieken die in cybersecurity onder de overkoepelende term social engineering vallen. De meest bekende hiervan zijn spam en phishing:
Onder spam wordt elke vorm van ongevraagde communicatie verstaan die in bulk, oftewel in grote hoeveelheden, wordt verzonden. Meestal is spam een e-mail die naar zoveel mogelijk gebruikers wordt gestuurd, maar spam kan ook worden afgeleverd via instant messages, SMS en sociale media. Spam is op zich geen social engineering, maar sommige campagnes maken gebruik van social engineering-technieken zoals phishing, spearphishing, vishing, smishing of het verspreiden van schadelijke bijlagen of links.
Phishing is een cyberaanval waarbij de crimineel zich voordoet als een betrouwbare entiteit om zo gevoelige informatie van het slachtoffer te vragen. Bij dit soort fraude wordt meestal geprobeerd een gevoel van urgentie te creëren, of wordt gebruik gemaakt van schriktactieken om het slachtoffer te dwingen in te gaan op de verzoeken van de fraudeur. Phishing-campagnes kunnen gericht zijn op grote aantallen anonieme gebruikers, op een groep specifieke personen, of op één specifiek slachtoffer.
Het MKB realiseert zich steeds meer dat het een doelwit is voor cybercriminelen, zo blijkt uit een onderzoek uit 2019 uitgevoerd door Zogby Analytics in opdracht van de Amerikaanse National Cyber Security Alliance. Bijna de helft (44%) van de bedrijven met 251-500 werknemers zegt in de afgelopen 12 maanden te maken te hebben gehad met een officieel datalek. Uit de enquête bleek verder dat 88% van de kleine bedrijven van mening is dat ze op zijn minst een "enigszins waarschijnlijk" doelwit vormen voor cybercriminelen, en dat bijna de helft (46%) denkt dat ze een "zeer waarschijnlijk" doelwit vormen.
De schade is reëel en omvangrijk, een punt dat goed wordt geïllustreerd door het jaarverslag van het Internet Crime Center (IC3) van de FBI. Naar schatting van de FBI hebben Amerikaanse bedrijven alleen al in 2018 meer dan 2,7 miljard dollar verloren aan cyberaanvallen, waaronder 1,2 miljard dollar aan inbreuk op zakelijke e-mail (BEC) / e-mail inbreuk (EAC) die ongeoorloofde geldoverdrachten mogelijk maakten
Er zijn verschillende signalen die kunnen wijzen op een social engineering aanval. Slechte grammatica en spelling is één van deze signalen. Hetzelfde geldt voor een verhoogd gevoel van urgentie dat wordt omgewekt om het slachtoffer aan te zetten tot onvoorwaardelijk handelen. Bij elk verzoek om gevoelige gegevens moeten onmiddellijk alarmbellen gaan rinkelen: gerenommeerde bedrijven vragen doorgaans nooit om wachtwoorden of persoonlijke gegevens via e-mails of sms-berichten.
1. Organiseer regelmatige cybersecuritytrainingen voor ALLE werknemers, inclusief het topmanagement en IT-personeel. Deze cybersecuritytrainingen moeten realistische scenario's laten zien of simuleren. De leerpunten moeten uitvoerbaar zijn en vooral ook actief worden getest buiten de trainingsruimte: social engineering-technieken vertrouwen op het lage cybersecuritybewustzijn van hun doelwitten.
2. Controleer op zwakke wachtwoorden die mogelijk een open deur in het netwerk van uw organisatie kunnen vormen voor aanvallers. Bescherm wachtwoorden bovendien met een extra beveiligingslaag door multi-factor authenticatie te implementeren.
3.Implementeer technische oplossingen om scam berichten aan te pakken, zodat spam en phishing worden gedetecteerd, in quarantaine geplaatst, geneutraliseerd en verwijderd. Deze mogelijkheden zijn aanwezig in beveiligingsoplossingen, waaronder vele die ESET levert.
4. Maak een begrijpelijk securitybeleid dat werknemers kunnen gebruiken en dat hen helpt te bepalen welke stappen ze moeten nemen als ze te maken krijgen met social engineering.
5. Maak gebruik van een beveiligingsoplossing en administratieve tools. Gebruik bijvoorbeeld ESET PROTECT Cloud om de endpoints en netwerken van uw organisatie te beschermen door beheerders volledig inzicht te geven en de mogelijkheid om potentiële bedreigingen in het netwerk te detecteren en te beperken.
Bescherm de computers, laptops en mobiele apparaten van uw bedrijf met beveiligingsproducten die allemaal worden beheerd via een cloudgebaseerde beheersconsole. De oplossing omvat cloudgebaseerde sandboxingtechnologie om zero-day dreigingen en ransomware te voorkomen en volledige schijfversleuteling voor verbeterde gegevensbeveiliging.
