Wat is social engineering en hoe voorkom je het?

slachtoffer geeft geld aan oplichter, beiden verschijnen uit scherm

Klik hier voor een korte uitleg over social engineering
Een samenvatting: wat is social engineering en hoe voorkom je het?

Social engineering is een manipulatietechniek die kwaadwillenden gebruiken om persoonlijke informatie van slachtoffers te krijgen. Dit kunnen bijvoorbeeld wachtwoorden, inloggegevens, creditcards of rekeningnummers zijn. Vaak doen cybercriminelen zich voor als klantenservice, vertegenwoordigers van technische ondersteuning of zelfs nieuwe werknemers of personen met autoriteit om te krijgen wat ze willen.

Nu een steeds groter deel van de wereld zich digitaal afspeelt, is het belangrijker dan ooit om de oplichters en hun technieken te herkennen.

Populaire social engineering-trucs zijn:

  • Phishing-berichten
  • Baiting met gratis aanbiedingen
  • Pretexting
  • Quid pro quo
  • Piggybacking en tailgating

Lees het volledige artikel om meer te weten te komen over social engineering en hoe je jezelf ertegen beschermt.


In de wereld van cybercriminaliteit zijn oplichters altijd uit op gevoelige gegevens, zoals wachtwoorden en inloggegevens voor accounts. Ook proberen ze slachtoffers aan te sporen om overhaast actie te ondernemen, zoals het overmaken van geld, bitcoin of andere cryptovaluta.

Hiervoor hoeven criminelen niet altijd computernetwerken of -systemen te hacken. In plaats daarvan kunnen zij hun doel bereiken door in te spelen op het vertrouwen van het slachtoffer. Deze vorm van manipulatie wordt ook wel social engineering genoemd. Dit is een zeer succesvolle en eenvoudige manier voor criminelen om te krijgen wat ze willen.

Een steeds groter deel van ons leven vindt digitaal plaats. Hier spelen cybercriminelen op in; de trucs en tactieken van social engineering zijn steeds gehaaider en lastiger te herkennen. Door middel van psychologische manipulatie spelen aanvallers in op menselijke eigenschappen. Ze nemen een andere identiteit aan en proberen op verschillende manieren misleiding toe te passen.

In dit artikel gaan we dieper in op hoe social engineering in zijn werk gaat. We benoemen enkele veelvoorkomende vormen van oplichting. Ook geven we tips over waar je op moet letten, en hoe je jezelf en je bedrijf ertegen kunt beschermen.

Hoe werkt social engineering?

Bij een social engineering-aanval neemt een cybercrimineel contact op met mensen. Hij/zij probeert het vertrouwen van het slachtoffer te winnen met als doel persoonlijke gegevens of bijvoorbeeld geld te krijgen van het slachtoffer.

Hiervoor hebben de criminelen verschillende tactieken. Zo kan een oplichter zich voordoen als een nieuwe werknemer of een gezaghebbend persoon wanneer hij of zij een bedrijfsnetwerk wil infiltreren. Als hij een individuele bankrekening wil leeghalen, kan hij zich voordoen als vertegenwoordiger van de klantenservice.

Door vragen te stellen of een gesprek aan te knopen, proberen oplichters dus gevoelige informatie van het doelwit los te krijgen. De crimineel kan ook proberen om informatie zoals namen, functies en bedrijfs- of privékennis te bemachtigen. Deze informatie kan dan weer gebruikt worden bij andere slachtoffers om de geloofwaardigheid van de crimineel te vergroten.

Voorbeelden van social engineering-aanvallen

Social engineering-aanvallen gebeuren meestal in de vorm van e-mails, telefoongesprekken, sms-berichten of face-to-face-interactie. Ongeacht de manier waarop, wekken de aanvallen vaak een gevoel van urgentie, angst of een andere sterke emotie op. Het doel is om het slachtoffer aan te zetten tot een actie zonder dat hij of zij er goed over nadenkt. Voorbeelden van deze acties zijn:

  • Persoonlijke of bedrijfsgegevens overhandigen.
  • Wachtwoorden, inloggegevens of autorisatiecodes geven.
  • Op een schadelijke link klikken.
  • Een schadelijk bestand downloaden.
  • Geld, cadeaubonnen of cryptovaluta naar een frauduleuze rekening sturen.
  • Op afstand toegang geven tot een computer.Phishing Icoon

Ongeveer 70 tot 90% van de social engineering-aanvallen begint met phishing. Een paar voorbeelden zijn phishing via e-mail, via sms of Whatsapp, spookfacturen of spear phishing. Lees voor meer informatie ons uitgebreide artikel over phishing.

Veelvoorkomende social engineering-technieken

Het is belangrijk om op te hoogte te zijn van verschillende technieken en nuances tijdens aanvallen. Niets is te gek voor social engineers; via e-mails, telefoongesprekken, sms-berichten en face-to-face communicatie zijn oplichters in staat om allerlei informatie los te peuteren bij nietsvermoedende slachtoffers.

Hier volgen een paar voorbeelden die deskundigen en onderzoekers hebben ontdekt.

Baiting

Cybercriminelen lieten wel eens een USB-stick met malware achter in kantoren, coffeeshops en bibliotheken, of deelden deze uit op werkconferenties. De ontvanger denkt dan gratis opslagschijven te krijgen, maar in werkelijkheid kan het zijn dat hij of zij onbewust remote access trojan (RAT)-malware of ransomware downloadt op zijn of haar apparaten of systemen.

Dit concept staat bekend als baiting. Deze techniek is erg effectief, zeker in modernere vormen. Via e-mails, sms’jes en telefonisch contact verleiden oplichters hun slachtoffers om op schadelijke linkjes te klikken of geïnfecteerde bestanden te downloaden. Deze bestanden zien er bijvoorbeeld uit als gratis cadeaubonnen, muziek, films of andere gewilde cadeaus. In dit geval is baiting vergelijkbaar met phishing.

Soms gebruiken cybercriminelen de baiting-techniek omgekeerd; namelijk door het te laten lijken alsof je geld gaat verliezen als je geen actie onderneemt.

Voorwendsel (pretext)

Hiervan is sprake wanneer de oplichter een verhaal verzint, of een voorwendsel, waar hij het doelwit in wil laten trappen.

Over het algemeen worden slachtoffers bij deze techniek benaderd door iemand die zich voordoet als een machtig persoon, zoals de politie, een bedrijfsleider of een accountant. Vaak is dit iemand die de bevoegdheid heeft om inloggegevens of persoonlijke informatie in te zien. Doordat de persoon invloedrijk is, voelt een slachtoffer zich vaak verplicht om gevoelige gegevens te overhandigen.

Als nieuwe medewerker bij een bedrijf ben je waarschijnlijk snel geneigd om vertrouwelijke informatie van het bedrijfsnetwerk af te staan bij een credential check van bijvoorbeeld de manager of het hoofd van de IT-afdeling.

Quid pro Quo

De Quid pro Quo-techniek wordt toegepast wanneer doelwitten daadwerkelijk iets nodig hebben. In dit geval is een cybercrimineel bijvoorbeeld op zoek naar werknemers die technische hulp nodig hebben. De crimineel benadert het doelwit en probeert vervolgens zijn of haar diensten aan te bieden in ruil voor vertrouwelijke gegevens.

De aanvaller kan het slachtoffer bijvoorbeeld overhalen om hem of haar op afstand toegang te verlenen tot de computer. Ze kunnen ook vragen om de inloggegevens van het slachtoffer. De crimineel kan als reden gebruiken dat dit nodig is om het technische probleem op te lossen.

Piggybacking en tailgating

Bij piggybacking doet een kwaadwillende zich voor als iemand anders, zodat hij of zij ‘mee kan liften’ met een bevoegd persoon. Zo kan de crimineel zich voordoen als een bewaker om met het slachtoffer mee te gaan naar een beveiligd gebied. Ook kan de crimineel zich voordoen als een cybersecurity expert en het slachtoffer begeleiden bij het inloggen.

Tailgating is vergelijkbaar met piggybacking, maar bij tailgating heeft het doelwit niet door dat hij of zij gevolgd wordt. De crimineel kan bij gevoelige gegevens komen door simpelweg een voet tussen de deur te steken. De techniek kan ook complexer zijn: onder tailgating valt ook het hacken van een apparaat om vervolgens de activiteiten van een gebruiker te volgen.

Hoe bescherm je jezelf tegen social engineering aanvallen?

Social engineering-aanvallen kunnen omvangrijk zijn en voor veel schade zorgen bij personen en bedrijven. Toch zijn er maatregelen die je tegen deze aanvallen kunt nemen, zodat je jezelf en je bedrijf beter kunt beschermen. Hier volgen enkele tips:

  1. Blijf rustig en neem de tijd. Als je een e-mail ontvangt waarin je meteen moet handelen, en je voelt je daar ongemakkelijk bij, zorg dan dat je even rustig de tijd neemt. Cybercriminelen willen dat je overhaast beslissingen maakt en actie onderneemt, waardoor je fouten maakt. Neem de tijd om over de situatie na te denken en te controleren of het authentiek is. Geef nooit overhaast informatie door.
  2. Vermijd verdachte links en downloads. Wees op je hoede bij het klikken op links en downloads. Wanneer hackers websites kopiëren, kunnen ze iets heel kleins in de URL aanpassen waardoor je naar een vervalste site wordt omgeleid. Zo kan een hacker bijvoorbeeld de letter O veranderen in een 0 (nul). Download nooit iets tenzij je de afzender kent en de download verwacht.
  3. Dubbelcheck e-mails en nummers. Als je een e-mail ontvangt van een bedrijf, instelling of dienst die je gebruikt, controleer dan op internet of het telefoonnummer en e-mailadres overeenkomen. Sommige diensten, zoals PayPal, hebben een lijst van veelvoorkomende oplichtingspraktijken. Ook plaatsen zij disclaimers waarin staat dat ze nooit om gevoelige informatie zoals wachtwoorden, inloggegevens of creditcardnummers zullen vragen.
  4. Typ het zelf in. Om jezelf goed te beschermen, is het verstandig om de naam van de website in kwestie handmatig in je browser in te typen. Zo ben je er zeker van dat je op de juiste website terechtkomt. Bovendien weet je dat de site echt is, en kun je controleren of je een legitieme melding over je account hebt gekregen.
  5. Wees op je hoede voor mensen die je niet kent. Als iemand die je niet kent zich in je leven of werk mengt en op zoek lijkt te zijn naar persoonlijke gegevens, wacht dan tot diegene verifieert wie hij of zij is. Dubbelcheck het bij vrienden of collega’s om zeker te weten dat de persoon daadwerkelijk is wie hij zegt te zijn.

Het komt vaak voor dat sociale media-accounts of e-mails overgenomen zijn. Hierdoor is het niet zeldzaam om kwaadaardige berichten te krijgen van mensen die je kent en vertrouwt. Let hierbij op de bewoording en spelling en check of het echt klinkt als de persoon van wie het afkomstig is. Als er alleen een link of download in het bericht staat, kun je hier beter niet op klikken. Wie weet krijg je later een e-mail of bericht waarin staat dat het account is gecompromitteerd.

Technische tips om social engineering aanvallen te voorkomen

De beste verdediging tegen social engineering-aanvallen is om te leren hoe je ze kunt herkennen en voorkomen. Mocht je toch (per toeval) in aanraking komen met een van de oplichtingstrucs, dan zijn er ook technische manieren waarop je je kunt beschermen. Dit is wat je kunt doen:

  1. Stel je spamfilters hoog in. Scam-mails die in je primaire inbox terechtkomen, kunnen alarmerend zijn en je ertoe doen aanzetten om sneller te handelen. Zorg ervoor dat je filterinstellingen op hoog staan. Controleer vervolgens regelmatig je spam-map om er zeker van te zijn dat belangrijke e-mails daar niet per ongeluk in terecht zijn gekomen.
  2. Verwijder e-mails die persoonlijke informatie of hulp vragen, of die hulp aanbieden. Reageer niet op deze e-mails als je niet daadwerkelijk om hulp hebt gevraagd. Geef ook geen vertrouwelijke informatie; echte bedrijven en organisaties vragen je nooit om deze informatie per e-mail te delen. Als je een e-mail krijgt met de vraag om geld te doneren, kun je het beste zelf de organisatie opzoeken en via de officiële website doneren als je dat wilt.
  3. Gebruik de beschikbare beveiligingsmiddelen. Firewalls, antivirussoftware en anti-spyware software kunnen extra bescherming bieden tegen bedreigingen. Als je op een kwaadaardige pagina terechtkomt, geven goede beveiligingsdiensten je geen toegang tot de site en blokkeren ze de verbindingen. Als je per ongeluk op een schadelijke link klikt en malware downloadt, zal goede antivirussoftware de bedreiging insluiten en verwijderen.

Naar welke informatie zijn social engineering oplichters op zoek?

Oplichters bedenken constant manieren om je snel en overhaast te laten reageren. Het is goed om als een oplichter te denken en in gedachten te houden waar zij precies op uit zijn. Uiteindelijk is het doel vaak hetzelfde:

  • Je inloggegevens en wachtwoorden. Geef deze nooit over de telefoon of via e-mail.
  • Geld of cryptovaluta ontvangen. Maak nooit geld over, tenzij je de persoon kent en het verzoek verwacht.
  • Toegang op afstand. Geef nooit iemand op afstand toegang tot je apparaat, zeker niet iemand die uit het niets contact met je opneemt.
  • Informatie over tweestapsverificatie of multi-factor authenticatie. Geef hier nooit informatie over af. Dit is bedoeld als extra beveiliging voor het geval je wachtwoorden zijn gecompromitteerd.
  • Je persoonlijke informatie. Voor een social engineer is persoonlijke informatie waardevol. Beveiligingsvragen voor verloren wachtwoorden zijn vaak dingen als namen van kinderen en huisdieren, scholen waar je op hebt gezeten of banen waar je hebt gewerkt. Dit is allemaal informatie die een cybercrimineel tegen je kan gebruiken. Oplichters verzamelen ook informatie voor eigen doeleinden. Zo kunnen ze informatie over een bedrijf verkrijgen om zichzelf geloofwaardiger te maken wanneer ze proberen een bedrijfsnetwerk binnen te dringen.

Ook grote bedrijven lopen risico op social engineering aanvallen

Smartphone met daarop het Twitter logo

Zelfs bedrijven met het hoogste niveau van cyberbeveiligingstraining kunnen het slachtoffer worden van social engineering-tactieken. In 2020 hackten criminelen Twitter en lichtten ze gebruikers op door middel van een Bitcoin-scam. Volgens het officiële account van Twitter ging het om een “gecoördineerde social engineering-aanval.”

In plaats van technische kwetsbaarheden uit te buiten, opereerden de cybercriminelen op een meer menselijk niveau. Ze deden zich voor als de IT-ondersteuning van Twitter en boden aan om een veelvoorkomend VPN-probleem op te lossen waar medewerkers mee te maken hadden. De hackers leidden een hooggeplaatste medewerker naar een frauduleuze phishing-website en haalden hem over om zijn inloggegevens in te voeren.

Tegelijkertijd voerden de hackers de inloggegevens in op de echte Twitter-site. Toen de medewerker de tweefactorverificatie invulde, kregen de hackers toegang tot een van de grootste social media platforms ter wereld.

Ook YouTube heeft te maken gekregen met social engineering. Sinds eind 2019 vond er een grote phishingcampagne plaats, met als doel kanalen te kapen en vervolgens door te verkopen of te gebruiken voor crypto-scams.

De social engineers deden zich in zakelijke e-mails voor als bedrijf en vroegen of de YouTube-makers bepaalde software wilden proberen. Wanneer ze akkoord gingen, ontvingen ze een downloadlink naar een nepwebsite waar malware op stond. Als het slachtoffer de malware uitvoert, worden browsercookies gestolen en doorgestuurd naar de aanvaller. Die krijgt vervolgens de controle over het account van de gebruiker.

Google, eigenaar van YouTube, heeft sinds mei 2021 1,6 miljoen phishingberichten geblokkeerd. Aan de hand van samenwerkingen met onder andere YouTube en G-mail wist het bedrijf phishing-gerelateerde e-mails met 99,6% te verminderen.

In de steeds gevaarlijker wordende online wereld van vandaag de dag is het dus belangrijker dan ooit om bedreigingen te herkennen en te weten hoe je jezelf en je bedrijf kunt beschermen.

Wat is social engineering en hoe voorkom je het? Veelgestelde vragen

Heb je vragen over social engineering en hoe je dit bij jezelf of je bedrijf kunt voorkomen? Klik op een van onze veelgestelde vragen hieronder om het antwoord te vinden.

Social engineering is een manipulatietechniek die cybercriminelen gebruiken om persoonlijke informatie van slachtoffers los te peuteren. Vaak zijn de criminelen op zoek naar wachtwoorden, inloggegevens of bijvoorbeeld rekeningnummers. Social engineers kunnen zich voordoen als vertegenwoordigers van de klantenservice, technische ondersteuning, of een ander persoon om te krijgen waar ze naar op zoek zijn. Ontdek hoe je jezelf kunt beschermen tegen zulke aanvallen.

Bij social engineering phishing-aanvallen versturen cybercriminelen e-mails in de hoop een slachtoffer te lokken. Meestal zijn het ‘reacties’ op verzoeken aan de klantenservice of ‘beveiligingswaarschuwingen’. Zodra een doelwit op de e-mail reageert, probeert de crimineel het vertrouwen van het slachtoffer te winnen en probeert hij gevoelige gegevens los te krijgen. Gelukkig kun je social engineering-aanvallen herkennen en voorkomen.

Hackers die aan social engineering doen, communiceren doorgaans met hun slachtoffers en winnen hun vertrouwen. Ze imiteren personen met wie het doelwit persoonlijke informatie zou delen, bijvoorbeeld technische ondersteuning of familieleden of vrienden.

Er zijn verschillende rode vlaggen voor het herkennen van social engineering-aanvallen. Hier zijn er een paar:

  • Ze wekken meestal een gevoel van urgentie of een sterke emotie op.
  • Ze zetten het doelwit onder druk om direct actie te ondernemen, in de hoop dat het slachtoffer handelt zonder over de situatie na te denken.
  • Ze kunnen zich voordoen als technische ondersteuning of klantenservice, en contact met je opnemen terwijl je hier niet om hebt gevraagd.

Lees het volledige artikel om uit te vinden hoe je jezelf kunt beschermen tegen social engineering-aanvallen.

Cybercriminelen gebruiken vaak baiting, pretexting en quid pro quo als technieken bij social engineering-aanvallen.

  • Baiting is het voorhouden van iets aantrekkelijks, zoals cadeaubonnen, aanbiedingen of gratis spullen in de hoop account-informatie te krijgen.
  • Pretexting is het creëren van een verhaal waar het slachtoffer in kan trappen. Hierbij doet de crimineel zich voor als iemand anders.
  • Quid pro quo betekent “het ene voor het andere”, ofwel een tegenprestatie. Hierbij doet een hacker zich bijvoorbeeld voor als technische ondersteuning, en zegt hij een probleem te kunnen oplossen als het slachtoffer externe toegang tot zijn of haar apparaat biedt.

Techredacteur
Emi heeft een achtergrond in internationale betrekkingen en veiligheid en is met name geïnteresseerd in overheidscensuur en internetvrijheid. Vraagstukken over online privacy en vrijheden worden door de digitalisering namelijk steeds vaker een politieke kwestie.
Plaats een reactie
Een reactie plaatsen