JavaScript is not enabled in your browser.

Wat is Social Engineering?

Social engineering
Social engineering is de kunst van het manipuleren van individuen of groepen om vertrouwelijke informatie vrij te geven of handelingen uit te voeren die mogelijk niet in hun belang zijn. Het gaat om het uitbuiten van menselijke kwetsbaarheden, zoals vertrouwen, angst, hebzucht of gebrek aan bewustzijn, om toegang te krijgen tot gevoelige informatie, netwerken of systemen.

Welke vormen van social engineering zijn er?

Social engineering kan vele vormen aannemen, waaronder phishing, pretexting, baiting, tailgating en quid pro quo. Phishing is de meest voorkomende vorm van social engineering, waarbij frauduleuze e-mails of berichten worden verzonden die afkomstig lijken te zijn van een legitieme bron, zoals een bank of een bedrijf, om de ontvanger te misleiden om persoonlijke informatie vrij te geven of op een schadelijke link te klikken. We duiken wat dieper in de verschillende soorten social engineering. We onderscheiden twee soorten, namelijk fysieke en digitale engineering. 

Digitale social engineering

Digitale social engineering is de praktijk van het manipuleren van menselijk gedrag via digitale communicatiekanalen om toegang te krijgen tot gevoelige informatie of systemen. Dit kan onder andere via e-mail, telefoon of sociale media. 

Phishing

Mogelijk de meest bekende vorm van digitale social engineering is phishing. Phishing is een vorm van social engineering waarbij de aanvaller een legitiem ogende e-mail stuurt die is ontworpen om de ontvanger te misleiden. Het doel is hem of haar te verleiden om gevoelige informatie te verstrekken, zoals inloggegevens of financiële informatie. Phishing is er in vele vormen en maten, zoals onder andere:

E-mailphishing: Dit is het meest voorkomende type phishingaanval. Het gaat om het versturen van frauduleuze e-mails die afkomstig lijken te zijn van een legitieme bron, zoals een bank, waarin de ontvanger wordt gevraagd om gevoelige informatie te verstrekken.

Spear phishing: Dit type phishing-aanval is gericht op specifieke personen of  functies binnen een bedrijf. De e-mails zijn ontworpen om er legitiem uit te zien en bevatten vaak persoonlijke informatie om het vertrouwen van het doelwit te winnen. Aan de aanval via spear phishing gaat  meestal een uitvoerig vooronderzoek naar het target en zijn connecties en manier van werken vooraf.

Vishing: Bij vishing (telefonische phishing) wordt gebruik gemaakt van spraakcommunicatie, meestal via de telefoon, om individuen te misleiden om gevoelige informatie te verstrekken, zoals creditcardnummers, bankrekeninggegevens en persoonlijke identificatienummers 

Smishing: Net als bij vishing, houdt smishing in dat je sms-berichten gebruikt om personen te misleiden om gevoelige informatie te verstrekken of schadelijke software te downloaden.

Pharming: Bij dit type phishing-aanval worden personen omgeleid naar nepwebsites die legitiem lijken om inloggegevens of andere gevoelige informatie te stelen.

Whaling: Ook bekend als CEO-fraude, richt de walvisvangst zich op leidinggevenden op hoog niveau of personen met toegang tot gevoelige informatie. De e-mails zijn ontworpen om eruit te zien alsof ze afkomstig zijn van een senior executive binnen het bedrijf, die om gevoelige informatie vraagt of om geld over te maken.

Whatsapp-fraude: Bij whatsapp-fraude, ook instant messaging fraude, doet een cybercrimineel zich via whatsapp voor als een familielid of een vriend en vraagt om financiële hulp. Dit omdat “ze dringend een (hoge) rekening moeten betalen” of “ze hebben een spoedgeval en hebben dringend wat geld nodig”

Phishing is een vorm van cybercriminaliteit waarbij oplichters zich voordoen als een betrouwbare entiteit om persoonlijke informatie te verkrijgen.

Pretexting

Deze vorm van social engineering laat zich het beste omschrijven als 'voorwendselen'. Pretexting is een aanval waarbij de aanvaller een vals verhaal verzint om het vertrouwen van het slachtoffer te winnen en hem of haar te overtuigen om gevoelige informatie te delen. De aanvaller creëert een scenario dat het slagingspercentage van een toekomstige social engineering-aanval vergroot, door zich voor te doen als iemand die het slachtoffer kent, zoals een collega of bezorger, om toegang te krijgen tot informatie of gevoelige systemen. Het grote verschil tussen pretexting en phishing is dat pretexting de voorbereiding van de aanval is, terwijl phishing de aanval zelf is. 

Pretexting omvat het creëren van een vals voorwendsel om het vertrouwen van het slachtoffer te winnen, zoals zich voordoen als een klant of een autoriteitsfiguur, om gevoelige informatie te verkrijgen. Pretexting wordt dan ook altijd in combinatie met een andere techniek gebruikt. In combinatie met bijvoorbeeld spoofing. 

Pretexting is het verzamelen van zoveel mogelijk informatie, die de cybercrimineel helpt bij het geloofwaardig maken van het verhaal waarmee deze jou benadert. 

Baiting

Baiting lijkt enorm veel op phishing, maar kent één verschil: bij baiting wordt de belofte voor een product of dienst gebruikt. Baiting speelt in op de hongerigheid, of eigenlijk hebzucht van het slachtoffer, waar bij phishing ook gebruik wordt gemaakt van emoties als angst. Voor baiting worden daarom ook vaak bekende bedrijven als afzender gebruikt. Als een slachtoffer een gratis product -nu of nooit uiteraard- wil hebben, dan hoeft deze slechts wat gegevens door te geven. 

Baiting is een vorm van cyberaanval waarbij oplichters een aantrekkelijk lokaas gebruiken om slachtoffers te verleiden tot het klikken op een kwaadaardige link of het openen van een besmet bestand.


Fysieke social engineering

Bij fysieke social engineering vindt de kaping van informatie plaats op locatie. Vaak betekent dit dat de pleger geen technische kennis nodig heeft om social engineering te plegen.

Shoulder surfing

Ofwel, over de schouder meekijken is een klassieke vorm van social engineering. Je kijkt als een spion mee over de schouder van je slachtoffer en let goed op of deze een wachtwoord intoetst. Deze vorm wordt nog vaak gebezigd in openbare ruimten zoals treincoupés en luchthavens. Doorgaans worden ook film- of beeldopnamen gemaakt van de informatie die wordt ingevoerd. Denk bijvoorbeeld aan het stiekem lezen van je smartphone inlogcode. Veel ouderen zijn op deze manier bespioneerd en later beroofd van hun pinpas. Criminelen keken met de nietsvermoedende slachtoffers mee. 


Dumpster diving

Prullenbak duiken, dat klinkt een stuk viezer dan wat ermee bedoeld wordt. Bedrijven maken nog weleens de vergissing om documenten met gevoelige informatie in de prullenbak te gooien. Criminelen kunnen dan fysiek aan de informatie komen. Ze hoeven alleen maar de container uit te spitten. Misschien geen smakelijk klusje, maar wel lucratief in sommige gevallen. Zo zijn er gevallen bekend waarbij  documenten met gevoelige klantdata uit een prullenbak werden gevist en op het darkweb opdoken.


Verspreiding via geïnfecteerde USB-sticks

Deze malafide social engineering methode richt zich op de nieuwsgierigheid van mensen. De cybercrimineel laat bewust een USB-stick achter op een plek waar deze vast gevonden wordt. Het idee is dat de vinder uit nieuwsgierigheid gaat kijken wat er op de USB-stick te vinden is. Door bestanden te openen of op linkjes te klikken, wordt deze gehackt. 


Fysieke impersonatie

Deze vorm van cybercriminaliteit kent veel varianten zoals onder andere CEO-fraude. Ook (spear-)phishing wordt geschaard onder impersonatie. Impersonatie is het nabootsen van een persoon, om toegang te krijgen tot plekken waar je normaal gesproken niets te zoeken hebt. Je leidt hiermee mensen om de tuin. Dit kan zowel online als op locatie. Er zijn voorbeelden van impersonatie bekend waarbij criminelen zich voordeden als servicemonteurs en moeiteloos toegang kregen tot de serverruimte van een bedrijf.  


Afleiding

Bij afleiding gaat het de cybercrimineel erom, om het slachtoffer weg te krijgen bij het eigenlijke doel, door aandacht te leggen op iets anders. Zoals een zakkenroller je probeert af te leiden wanneer deze je portemonnee weggrist. Afleiding kan ook voorkomen in zowel de online als de fysieke wereld. Bij online afleiding kun je denken aan cyberaanvallen op servers die niet het doel zijn. Als de aandacht van de beveiliging is afgeleid, kan men toeslaan op het echt doel. In de fysieke wereld is het bijvoorbeeld voorgekomen dat baliemedewerkers weggeroepen werden voor een inkomende telefonische oproep, terwijl aan hun desk gespeurd werd naar belangrijke informatie.

Onze website gebruikt cookies om de gebruikerservaring te verbeteren. Meer informatie