Social engineering omzeilen, is dat mogelijk?

Belangrijke data die in handen vallen van cybercriminelen. Het is een fenomeen waar we steeds vaker mee te maken hebben in Nederland. We zien vaak dat er gebruik wordt gemaakt van social engineering om gevoelige gegevens te ontfutselen. Dit gebeurt zowel in privésituaties, als bedrijfsmatig. Een regelrechte ramp voor de organisatie die verantwoordelijk is voor de data én voor de personen van wie de gegevens zijn gelekt. Graag neem ik jullie in mijn blog mee in de meest voorkomende vormen van social engineering en geef ik een aantal tips om je daar beter tegen te kunnen weren.

Laten we bij het begin beginnen. Social engineering is een verzamelterm voor een breed scala aan kwaadaardige activiteiten, waarbij onder andere privacygevoelige informatie verkregen wordt door mensen te misleiden tot het maken van beveiligingsfouten of het weggeven van gevoelige informatie. Social engineering gebeurt vaak in meerdere stappen. Er zijn een aantal vormen van social engineering die we vaak tegenkomen. Denk aan Whatappfraude, phishing (via e-mail) en smishing (via sms). Telefoonnummers en e-mailadressen zijn dus populair voor criminelen om te verzamelen. Hoe meer informatie er beschikbaar is, hoe gerichter de aanval plaats kan vinden.

Wanneer je wordt gevraagd om met spoed of onder druk gegevens af te staan of bijvoorbeeld geld over te maken, is het meestal een teken dat er iets loos is. Als je snel ergens op moet reageren, ben je eerder geneigd om daadkrachtig op te treden en een paar stappen over te slaan. Vergelijk het eens met dat je met haast even snel de supermarkt inloopt. Als je vijf boodschappen in je hoofd had, is de kans groot dat je uiteindelijk daarvan twee dingen vergeet.

Vaak is het niet de bedoeling om jou als persoon aan te vallen, maar ben jij in een bulk van data net een interessant target voor criminelen. Afhankelijk van het doel, zie je vaak dat criminelen schieten met hagel. Als er vervolgens een paar mensen toehappen, is het geld snel verdiend.

Dan is de grote vraag: hoe weer je je nou tegen dit soort social engineering aanvallen? Een vijftal stappen die je kunt zetten:

1. Stel jezelf een paar checkvragen
Verwacht je iets? Weet je dat iets eraan komt? Is het logisch?
Stel dat je kind ineens appt met een nieuw nummer en via whatsapp vraagt om geld, klopt dit of zou hij of zij dan eerst even bellen of hiervoor langskomen? Of denk aan berichten of telefoontjes vanuit de bank of LinkedIn op je zakelijke e-mailadres of telefoonnummer, terwijl je dit gekoppeld hebt aan je privégegevens.

2. Verifieer het bericht
In het geval van een verzoek via Whatsapp via een nieuw nummer: stuur een bericht naar het oude, bekende nummer of bel even.

3. Ga rechtstreeks naar een website
Klik niet op de link in een bericht, maar navigeer zelf naar de website. Log bijvoorbeeld in op de online omgeving van jouw bank en kijk of de informatie die je hebt ontvangen daar ook staat.

4. Kijk altijd wat de bron is
Dit hoeft geen uitgebreid technisch onderzoek te zijn, maar even goed kijken of het e-mailadres, de bedrijfsnaam en de URL kloppen. Zitten er geen gekke spelfouten in?

5. Open niet zomaar bestanden of links
Overal kan malware in verstopt zitten. Ook door het openen van makro’s in Word of Excel kun je mogelijk malware binnenhalen op jouw computer.

Uiteraard geeft het volgen van deze stappen geen garantie dat je social engineering aanvallen omzeilt. Maar door alert te zijn, je bewust te zijn van mogelijke risico’s en zorgvuldig om te gaan met belangrijke en/of persoonlijke informatie en gegevens, maak je de kansen voor cybercriminelen om gevoelige gegevens te verkrijgen weer een stukje kleiner.