Social Engineering

Lees verder

Bij ethisch hacken wordt al snel gedacht aan zwakheden die zich bevinden binnen apparaten die vervolgens worden uitgebuit. Toch is dit slechts één van de onderdelen die onder ethisch hacken valt. Naast het machinale aspect, bevindt ook het menselijke aspect zich binnen het netwerk van uw organisatie. Vaak wordt dit element over het hoofd gezien met merkbare consequenties. Zo kan een organisatie haar netwerk en beveiliging zeer strak hebben ingericht, maar toch zwakheden vertonen indien medewerkers afwijken van de opgestelde maatregelen; de ketting is zo sterk als de zwakste schakel.  

Het inspelen op het menselijke element noemen we Social Engineering. Steeds vaker worden er nieuwe manieren gevonden om dit toe te passen. De meest bekende methode is phishing, waarbij criminelen e-mails versturen waarin wordt verzocht om op links te klikken of persoonlijke gegevens aan te leveren. Vaak geven deze mails het gevoel van urgentie terwijl er in de werkelijkheid niks aan de hand is. Tegenwoordig vinden deze praktijken ook vaker plaats via telefoongesprekken (vishing) en via SMS berichten (SMSishing). In het geval dat een phishing aanval specifiek gericht is op één of meerdere individuen noemen we dit spearfishing. Het verschil tussen phishing en spearfishing is dat een spearfishing aanval vaak zeer gericht is op het doel en daardoor vaak lastiger van echt te onderscheiden is. 

Naast phishing methodieken zijn er ook minder gebruikelijke methodes die onder Social Engineering vallen. Denk zo bijvoorbeeld aan afkijk- en afluisterpraktijken waarbij gevoelige informatie aan bod komt. Ook impersonatie van medewerkers met een hoge functie vindt ook nog geregeld plaats; met name op sociale media waar het over het algemeen eenvoudig is om uit te voeren. Als laatste kunnen dreigingen zich ook binnen uw netwerk voordoen. Ontevreden medewerkers en ex-medewerkers kunnen zo bijvoorbeeld gevoelige informatie doorverkopen of delen van uw netwerk aanvallen indien hun toegangsrechten niet zijn ingetrokken.

Het opstellen van strikte procedures om Social Engineering tegen te gaan is een belangrijke stap, evenals het onderhouden hiervan. Regelmatige controles op de procedures voorkomen dat er onbedoeld zwakheden in uw netwerk worden gecreëerd. Daarnaast is bewustwording bij medewerkers in de organisatie cruciaal. Als er meer wordt gelet op de methodes waar criminelen gebruik van maken, worden mogelijke aanvallen eerder gespot en kan er eerder gerichte actie ondernomen worden.