IT

Social engineering in een notendop

Wat is social engineering?

Eenvoudig uitgelegd: social engineering is de verzamelnaam voor een aantal technieken waarbij hackers proberen om (gevoelige) informatie te bekomen via de mens als zwakste schakel.

De mens? Inderdaad. Social engineering speelt namelijk in op een typisch menselijke eigenschap: vertrouwen. Hackers beschikken dus niet noodzakelijk over een hoop technologische vaardigheden. Creativiteit en de nodige dosis drama zijn vaak al voldoende.

Omdat machines door mensen gemaakt zijn, zijn ook zij niet onfeilbaar. Het menselijke brein maakt immers vroeg of laat fouten, bijvoorbeeld onder stress.

Bedrijven en individuen gebruiken de meest performante technologische oplossingen om zich te beschermen tegen aanvallen, bots of hackers. Maar zonder gezond verstand is dat niet voldoende.

Scriptkiddies zijn de nieuwe generatie hackers

De laatste 10 jaar is technologie toegankelijker geworden. Daardoor ontstond er een nieuw soort hacker: scriptkiddies. Een nieuwe generatie van tech-savvy millennials die (open source) technologieën logischer en effectiever gebruiken dan de mensen die het gebouwd hebben.

Massa is de standaard geworden, automatisatie is key. Scriptkiddies willen niet 100 keer na elkaar dezelfde hack uitvoeren - boring! Dus bouwen ze robots: ze scripten lijntjes code (commando’s) die zichzelf tot in het oneindige herhalen door het internet af te speuren op zoek naar kwetsbaarheden. Malware, ransomware of cryptlockers: deze scriptkiddies schrijven het, passen het aan en verspreiden het.

Phishing: meest gebruikte techniek binnen social engineering

Phone phishing

De hackers die zich uitgeven voor helpdeskmedewerkers van Microsoft zijn het bekendste voorbeeld van phone phishing. Ze bellen je op en vertellen je dat je computer geïnfecteerd is. De reactie van de gemiddelde burger? Paniek.

Ze “lossen het probleem voor je op”, maar installeren ondertussen tools op je pc waarmee ze jouw persoonlijke data, login-informatie en kredietkaartgegevens bemachtigen.

“Yes, hello, this is Microsoft tech support”? Hang de telefoon op!

E-mail phishing

1 klik. Meer hebben hackers niet van je nodig. Elke computer of machine heeft namelijk een commando nodig, meestal een klik, om een actie te triggeren. Voor je het weet is je apparaat, systeem of netwerk geïnfecteerd met malware of ransomware.

Spear phishing

Spear phishing is een vorm van e-mail phishing. Waar e-mail phishing zich richt tot een grote groep gebruikers, pakt spear phishing het veel gerichter aan.

De berichten lijken te komen van een betrouwbare afzender zoals een vriend, familielid of een bedrijf waarmee je in contact staat. Hackers gaan vaak op zoek naar persoonlijke informatie en verwerken dat in de e-mail. Dat ze zo hun kans op succes aanzienlijk verhogen, spreekt voor zich.

CEO phishing

Opnieuw een vorm van e-mail phishing. In grote bedrijven kent niet iedereen de CEO persoonlijk. Daar maken hackers handig gebruik van.

De CEO vraagt een gunst of creëert een vertrouwelijke situatie. Mensen voelen zich gevleid dat de grote baas hun hulp inschakelt en geven zo zonder nadenken confidentiële informatie door.

Hoe herken je phishing e-mails?

Doorgaans kan je phishing e-mails onder andere herkennen aan de volgende kenmerken:

  • Spelfouten
  • Vraag om persoonlijke informatie door te geven
  • Geen contactgegevens in de e-mailhandtekening
  • Onbekende afzender
  • Onpersoonlijke aanhef zoals “Beste klant”
  • Vreemde schrijfstijl
  • Hoveren over de link toont een andere bestemming
  • Foute domeinnaam zoals .com/uk in plaats van .co.uk

Paswoorden: een noodzakelijk kwaad?

Wachtwoorden roepen vaak frustraties op. Toch zijn ze vandaag de enige betrouwbare manier om je persoonlijke gegevens te beschermen. Vingerafdrukken, scannen van je iris of gezichtsherkenning zijn nog geen volwaardige alternatieven.

Vaak zijn paswoorden onvoldoende sterk waardoor hackers vrij spel krijgen. Waar loopt het fout?

Eerst en vooral gebruiken we enorm veel tools en applicaties waarvoor we het liefst zo weinig mogelijk verschillende wachtwoorden kiezen. Bovendien stellen veel gebruikers heel voorspelbare wachtwoorden in zoals verjaardagen of namen van huisdieren. En omdat de vereisten voor een veilig paswoord strenger worden, schrijven mensen hun paswoord vaak neer. Allemaal nefast voor een goede beveiliging.
 

password policy

 

Handige tool: Have I Been Pwnded. Geef je e-mailadres in om te checken of je slachtoffer werd van een van de vele inbreuken in verband met persoonsgegevens. Is je account aangetast? Verander je wachtwoord!

Tips voor een veilig wachtwoord

  • Zoek een manier die werkt voor jou:
    • Gebruik speciale tekens of smileys
    • Maak korte zinnen of combinaties met datums, speciale tekens en hoofdletters
    • Zorg voor een link met de applicatie of het platform waarvoor je het wachtwoord instelt
  • Gebruik 2 factor authentication: een extra beveiligingslaag die naast een gebruikersnaam en wachtwoord ook vraagt naar informatie die enkel de gebruiker weet (bv. via een fysiek token).
  • Installeer elke update en beveiligingspatch op je toestellen.
  • Wees voorzichtig met Internet of Things. Wees je ervan bewust dat je het standaard wachtwoord, meegeleverd met de apparaten, zeker moet veranderen. Ze zijn namelijk makkelijk online terug te vinden.

Wat brengt de toekomst?

Old crimes new tools, new tools new crimes. Dat vat het zo wat samen. Cybercriminaliteit uitroeien lijkt dus vooralsnog een utopie. Wat we wél kunnen doen, is ons online gedrag aanpassen om het de hackers zo moeilijk mogelijk te maken. Daarvoor is het essentieel dat we realiseren welke dreigingen er bestaan op vlak van veiligheid, en ons bewust worden van onze eigen kwetsbaarheid.

Lees verder

Peter Benaets
Procesoptimalisatie: een win-win voor iedereen
#IT #Solutions #Process Optimisation
Analyst Developer Gert: “Mijn job is een uit de hand gelopen hobby”
#IT #Career
Kom op tegen Kanker: een uniform Drupal-platform
#IT #Clients