Wapen uzelf en uw organisatie tegen social engineering

Securitas Amsterdam

Social engineering of social hacking is een bijzondere tak van sport, waartegen maar weinig mensen bestand zijn. Door middel van psychologische trucs kunnen mensen zo worden gemanipuleerd dat ze dingen doen die ze niet willen doen en toegang geven tot vertrouwelijke gegevens. Hoe kunt u uzelf en uw organisatie hiertegen wapenen?  

Kunst van het misleiden

‘Data is de nieuwe olie’, stelt Area manager Amsterdam van Securitas, Marcel Reith. ‘Met deze olie kan heel veel geld verdiend worden. Ook op criminele wijze. De olievlek breidt zich langzaam uit en ondernemers en bedrijven blijven – op de één of andere manier – de gevaren onderschatten. Totdat het te laat is.‘ Reith noemt drie voorbeelden van datacriminaliteit. ‘Op de eerste plaats social engineering. Mensen zijn van nature geneigd om hulpverlenend te zijn. Ze geven makkelijk antwoorden op vragen waarvan ze zich niet realiseren dat ze iets van zichzelf daarmee bloot geven. Op ongekend slimme wijze slagen ze er in om zelfs op deze wijze geheime passwords van nietsvermoedende passanten te ontfutselen.

‘Dan de überslimme IT’er die in de eigen organisatie, die door het stellen van slimme vragen codes kan genereren waarmee hij zichzelf op onfatsoenlijke wijze kan verrijken. Als nietsvermoedende ondernemer trap je daar zomaar volledig in.’

Derde voorbeeld: het onbedoeld blootgeven van informatie op social media. ‘Denk eens aan een feestelijk kiekje met op de achtergrond een open computerscherm of een planbord. Kwaadwillenden weten hier wel raad mee.’ 


Verschillende trucs

Bij social engineering passen criminelen verschillende trucs toe. Bijvoorbeeld infiltreren in het sociale circuit van mensen die ze nodig hebben om informatie te krijgen over bijvoorbeeld hun bedrijf. Een andere manier is je voordoen als expert.: je voordoen als rijksambtenaar of een belangrijk persoon met een hogere functie werkt dat in op de psyche van de ander. Nog een truc: wederkerigheid. Als je iets krijgt, dan doe je iets terug. Criminelen weten dit; wees dus op je hoede als je wat krijgt.

Online en offline

Criminelen zijn zowel online als offline actief. Ze vergaren gevoelige informatie via lokmails of door onder valse voorwendselen medewerkers te bellen en gebruikersnamen en wachtwoorden te ontfutselen. Daarnaast winnen ze informatie in via het internet over medewerkers van een bedrijf. Ook de USB-drop is een beruchte methode: je laat een USB-stick ergens achter, geeft die weg of dropt hem in een tas.

Ook komt het voor dat een kwaadwillende fysiek een bedrijf binnendringt, bijvoorbeeld als sollicitant. Creatief als ze zijn, combineren criminelen vaak verschillende methodes.  Zo kan een beller een phishingmail aankondigen met een aantal gerichte vragen stelt over onderwerpen waar iemand beroepsmatig of privé interesse in heeft. Met in de mail dan uiteraard als bijlage malware.


Wat doe je er aan?

Securitas Amsterdam