Social engineering is een manipulatietechniek om persoonlijke informatie van slachtoffers te krijgen. Vaak doen cybercriminelen zich voor als klantenservice of als personen met autoriteit om te krijgen wat ze willen.
Jezelf beschermen tegen social engineering-aanvallen is mogelijk. Je kunt hiervoor de volgende tips gebruiken:
- Wees op de hoogte van de scams die in omloop zijn.
- Controleer rustig of berichten authentiek zijn.
- Vermijd verdachte links en downloads.
Daarnaast kun je jouw online veiligheid ook vergroten door gebruik te maken van een goede firewall en antivirussoftware. Onze aanrader hiervoor is Bitdefender antivirus. Deze antivirus beschermt tegen nepwebsites en malware en houdt je betalingen veilig.
De trucs en tactieken van social engineering zijn steeds gehaaider en lastiger te herkennen. Via psychologische manipulatie spelen aanvallers in op menselijke emoties en reacties. Ze nemen een andere identiteit aan en proberen op verschillende manieren misleiding toe te passen.
In dit artikel gaan we dieper in op de vraag wat social engineering is en hoe dit in zijn werk gaat. We benoemen enkele veelvoorkomende vormen van oplichting. Ook geven we tips over waar je op moet letten, en hoe je jezelf ertegen kunt beschermen.
Wat is social engineering en hoe werkt het?
Social engineering gaat om het bewust manipuleren van sociaal gedrag met als doel vertrouwelijke gegevens of geld te krijgen van het slachtoffer. Daarbij gebruiken cybercriminelen oplichtingstechnieken die misbruik maken van menselijke eigenschappen. Social engineers kunnen inspelen op nieuwsgierigheid en vertrouwen, maar ook op onwetendheid, hebzucht of angst.
Zo kan een oplichter zich voordoen als een nieuwe werknemer of een gezaghebbend persoon wanneer hij of zij een bedrijfsnetwerk wil infiltreren. Als hij een individuele bankrekening wil leeghalen, kan hij zich voordoen als vertegenwoordiger van de helpdesk van de bank.
De crimineel kan ook proberen om informatie zoals namen, functies en bedrijfs- of privékennis te bemachtigen. Deze informatie kan dan weer gebruikt worden bij andere slachtoffers om de geloofwaardigheid van de crimineel te vergroten.
Veelvoorkomende social engineering-technieken
Het is belangrijk om op te hoogte te zijn van verschillende methoden. Hier volgen een paar voorbeelden die experts en onderzoekers hebben ontdekt.
Baiting
Baiting is het Engelse woord voor ‘lokken’. De crimineel probeert je in de val te lokken met beloftes. Via valse e-mails of berichtjes verleiden oplichters hun slachtoffers om op schadelijke linkjes te klikken of geïnfecteerde bestanden te downloaden. Deze bestanden zien er bijvoorbeeld uit als gratis cadeaubonnen, muziek, films of andere gewilde items.
Soms gebruiken internetcriminelen dit omgekeerd, namelijk door het te laten lijken alsof je geld of iets anders gaat verliezen als je geen actie onderneemt. Een voorbeeld hiervan is het Trojaanse paard FluBot dat de afgelopen jaren veel apparaten heeft geïnfecteerd.
Een van de manieren waarop deze malware zich verspreidde was door een pop-up te tonen met het bericht dat je met FluBot geïnfecteerd was. In de pop-up stond verder dat je beveiligingssoftware moest downloaden om de malware te verwijderen. Maar in werkelijkheid downloadde je op die manier juist het virus.
Voorwendsel (pretext)
Van pretext is sprake wanneer de oplichter een verhaal (voorwendsel) verzint waar hij of zij het doelwit in wil laten trappen. Je wordt dan benaderd door iemand die zich voordoet als een machtig persoon, zoals de politie, een bedrijfsleider of een accountant. Hierdoor voel je je vaak verplicht om gevoelige informatie te overhandigen. CEO-fraude is hier een voorbeeld van.
Het voorwendseleffect kan vergroot worden als de oplichter nep-aanbiedingen belooft die iets illegaals aanbieden. Denk hierbij aan gratis mobiele data of een methode om creditcardnummers te downloaden. Slachtoffers durven in zulke gevallen vaak geen melding te maken van de fraude, omdat ze denken zelf ook fout bezig te zijn.
Quid pro Quo
De Quid pro Quo-techniek wordt toegepast wanneer doelwitten daadwerkelijk iets nodig hebben. In dit geval is een cybercrimineel bijvoorbeeld op zoek naar werknemers die technische hulp nodig hebben. Een goed voorbeeld van de ‘voor wat hoort wat’-techniek is helpdeskfraude.
Hierbij kan de aanvaller iemand bijvoorbeeld overhalen om hem of haar op afstand toegang te verlenen tot de computer. De oplichters kunnen ook vragen om de inloggegevens. De crimineel gebruikt dan vaak als reden dat dit nodig is om het technische probleem op te lossen.
Piggybacking en tailgating
Bij zowel piggybacking als tailgating probeert een kwaadwillende mee te liften met een bevoegd persoon. Het verschil tussen de twee methoden is in hoeverre het slachtoffer zich ervan bewust is dat er iemand meelift.
Criminelen die de piggyback-techniek gebruiken, kunnen zich bijvoorbeeld voordoen als een nieuwe collega wiens account nog niet goed is ingesteld, maar die wel alvast via jouw account aan het werk zou kunnen.
Onder tailgating vallen de manieren waarop de oplichter je volgt zonder dat je het door hebt. Denk hierbij aan het hacken van je apparaat en het infecteren met spyware om je activiteiten te volgen.
Middelen voor social engineering
Kwaadwillenden kunnen verschillende middelen inzetten om malware te verspreiden of om achter gegevens te komen. Phishing is hiervan waarschijnlijk de bekendste. Hieronder vind je een overzicht van middelen die gebruikt kunnen worden voor social engineering.
Fysieke social engineering
Social engineering vindt niet alleen digitaal plaats. Ook offline kunnen criminelen proberen je te manipuleren. Ook hebben criminelen verschillende technieken om offline gegevens te verzamelen die later gebruikt kunnen worden voor social engineering. Dit zijn voorbeelden van wat er offline kan gebeuren op dit gebied:
- Shoulder surfing: hierbij kijkt iemand letterlijk over je schouder mee terwijl je in het openbaar aan het werk bent.
- Dumpster diving: criminelen kunnen ook je (bedrijfs)afval doorzoeken op handige informatie zoals een organogram of contactgegevens. Dit kunnen ze later weer inzetten om (digitaal) te infiltreren.
- Verspreiding van een besmette USB-stick: cybercriminelen laten een USB-stick achter in een gedeeld kantoor. Die verloren USB-stick kan veel schade veroorzaken als iemand denkt gratis extra opslagruimte te hebben.
Digitale social engineering
Bij veel vormen van digitale oplichting worden social engineering-technieken ingezet. Je kunt social engineering tegenkomen bij de volgende scams:
- Phishing: bij phishing worden vaak social engineering-trucs ingezet om je te overtuigen om een verdachte link te klikken in een e-mail of een verdachte bijlage te downloaden.
- Sms-fraude (smishing): net als bij phishing worden hier social engineering trucs ingezet. Cybercriminelen laten je bijvoorbeeld denken dat een sms’je van de belastingdienst komt om je vertrouwen te winnen.
- Telefoon-fraude (vishing): bij telefonische oplichting kan iemand zich bijvoorbeeld voordoen als een medewerker van de helpdesk van je bank om gegevens buit te maken.
- WhatsApp-fraude: een cybercrimineel doet zich bijvoorbeeld voor als een vriend van je en stuurt je appje waarin hij beweert in nood te zijn en geld nodig te hebben.
Doel van social engineering-attacks
Social engineering-aanvallen gebeuren op allerlei manieren, van e-mail en telefoongesprek tot face-to-face-interactie. In alle gevallen is het hoofddoel van de crimineel hetzelfde: informatie of geld inwinnen. Hierbij wordt de informatie vaak ingezet om meer geld te stelen. Voorbeelden van acties waar de criminelen van hopen dat je ze uitvoert zijn:
- Persoonlijke of bedrijfsgevoelige gegevens overhandigen. Dit is vaak een tussenstap. Informatie over een bedrijf kan gebruikt worden om geloofwaardiger een bedrijfsnetwerk binnen te dringen.
- Wachtwoorden, inloggegevens of autorisatiecodes geven. Hiermee krijgen de social engineers toegang tot je accounts waarmee ze geld en informatie kunnen stelen.
- Op een schadelijke link klikken. Hiermee ga je vaak naar een nagemaakte versie van een website. Als je hier je gegevens invult, bijvoorbeeld je betalingsgegevens, geef je deze gegevens eigenlijk aan de crimineel.
- Een schadelijk bestand downloaden. Je downloadt dan misschien ransomware of spyware zoals keyloggers.
- Geld, cadeaubonnen of cryptovaluta naar een frauduleuze rekening sturen. Op deze manier maak je direct geld over naar de oplichter zonder dat deze extra stappen hoeft te zetten.
- De oplichter toegang geven tot je apparaat. De hacker kan nu je apparaat besmetten met malware en losgeld eisen om dit te verwijderen, persoonsgegevens stelen of spionagesoftware installeren.
Hoe bescherm je jezelf tegen social engineering-aanvallen?
Social engineering-aanvallen kunnen omvangrijk zijn en voor veel schade zorgen bij personen en bedrijven. Toch zijn er maatregelen die je tegen deze aanvallen kunt nemen, zodat je jezelf en je bedrijf beter kunt beschermen. Hier volgen enkele tips:
- Wees op de hoogte van veel voorkomende scams. Om hier meer over te weten te komen, kun je een kijkje nemen bij deze lijsten met oplichtingspraktijken:
- Controleer rustig of een bericht authentiek is en geef niet overhaast informatie door. Cybercriminelen willen dat je overhaaste beslissingen maakt en actie onderneemt.
- Download nooit iets tenzij je de afzender kent en de download verwacht. Klik ook niet op verdachte links.
- Dubbelcheck e-mails en nummers om te zien of de afzender is wie hij zegt te zijn. Komt het bericht van een bekende met een nieuw nummer? Vraag die bekende dan via een andere weg of dit echt klopt.
- Wees op je hoede voor mensen die je niet kent. Als iemand die je niet kent zich in je leven of werk mengt en op zoek lijkt te zijn naar persoonlijke gegevens, wacht dan tot diegene verifieert wie hij of zij is.
- Stel je spamfilters hoog in. Scam-mails kunnen alarmerend zijn en je ertoe doen aanzetten om sneller te handelen. Met een goede spamfilter kun je spam-mail stoppen en voorkom je dat je erin trapt.
- Verwijder e-mails die vertrouwelijke informatie vragen. Reageer niet op deze e-mails en geef ook geen vertrouwelijke informatie.
- Gebruik extra beveiligingsmiddelen, zoals firewalls en antivirussoftware.
De beste antivirussoftware tegen social engineering
Een goede antivirus beschermt je niet alleen tegen het installeren van malware, de software voorkomt ook dat je in een social engineering-truc trapt. Jij ziet bijvoorbeeld kleine verschillen in de URL, zoals een O of 0 (nul) niet, maar antivirussoftware ziet dit wel. Ook scannen goede virusscanners je e-mail inbox en waarschuwen je bij phishingberichten.
Onze aanrader is Bitdefender. Niet alleen beschermt deze virusscanner je tegen phishing, nep-websites en malware, het heeft ook handige extra functies zoals SafePay waarmee je gegarandeerd veilig kunt internetbankieren. Webcam- en microfoonbescherming zorgen ervoor dat criminelen niet stiekem opnames van je kunnen maken.
Als je op onderstaande button klikt, kun je Bitdefender direct gratis uittesten. De antivirus heeft namelijk een geld-terug-garantie van 30 dagen.
Wil je eerst meer weten over de service? Bekijk dan onze uitgebreide Bitdefender-review.
Bescherm jezelf ook tegen hackers
In de steeds gevaarlijker wordende online wereld van vandaag de dag is het dus belangrijker dan ooit om bedreigingen te herkennen en te weten hoe je jezelf en je bedrijf kunt beschermen. Helaas zetten hackers niet alleen social engineering in om je op te lichten.
Wil je meer weten over verschillende technieken en malwaretypes? Check dan ook deze artikelen:
- Wat is een DDoS-aanval?
- Wat is sim-swapping?
- Hoe herken ik catfishing?
- Wat is sextortion?
- Botnets: een modern leger op het internet
Heb je vragen over social engineering en hoe je dit bij jezelf of je bedrijf kunt voorkomen? Klik op een van onze veelgestelde vragen hieronder om het antwoord te vinden.
Social engineering is een manipulatietechniek om persoonlijke informatie van slachtoffers te krijgen. Social engineers kunnen zich voordoen als helpdeskmedewerkers of iemand met autoriteit om jou te verleiden gegevens af te staan. Ze spelen hierbij in op je vertrouwen, angst of hebzucht.
Er zijn verschillende rode vlaggen voor het herkennen van social engineering-aanvallen. Hier zijn er een paar:
- Een bericht wekt een gevoel van urgentie op.
- Iemand doet zich voor als helpdeskmedewerker en neemt contact met je op terwijl je hier niet om hebt gevraagd.
- Hij/zij zet je onder druk om direct actie te ondernemen, in de hoop dat je handelt zonder na te denken.
Cybercriminelen gebruiken vaak deze social engineering-technieken:
- Baiting: het voorhouden van iets aantrekkelijks, zoals cadeaubonnen om account-informatie te krijgen.
- Pretexting: het creëren van een verhaal waar het slachtoffer in kan trappen.
- Quid pro quo (voor wat hoort wat): een oplichter zegt een probleem te kunnen oplossen als het slachtoffer toegang tot zijn of haar apparaat biedt.
- Piggybacking: een crimineel lift met je mee onder valse voorwendselen.
- Tailgating: een crimineel volgt je zonder dat je hier weet van hebt.
Vishing (samenstelling tussen voice en phishing) is telefonische oplichting. De oplichter zal hierbij vaak social engineering-technieken inzetten. Hij of zij kan zich bijvoorbeeld voordoen als een medewerker van de klantenservice van je bank om toegang te krijgen tot jouw gegevens.
