Social engineering

Red Team Experts maakt gebruik van social engineering om de fysieke en digitale beveiliging van uw bedrijf te testen.

Wat is social engineering?

Social engineering is de verzamelnaam voor een methode die, enkel op basis van communicatie tussen aanvaller en slachtoffer, mensen kneedt en manipuleert zodat deze onbedoeld hun steentje bijdragen in een grotere aanval: bijvoorbeeld het stelen van waardevolle informatie of doordringen tot kritische bedrijfsprocessen. Social engineering maakt gebruik van psychologie, identiteitsfraude, computer-, of telefoontechniek en van de onwetendheid van de slachtoffers. Maar bovenal maakt social engineering gebruik van de zwakste schakel in de beveiliging: namelijk de menselijke factor.

Social engineering is ook wel de kunst en wetenschap om mensen te laten doen wat een aanvaller graag wil. Dit door misbruik te maken van natuurlijke, normaliter positieve, eigenschappen van de mens. Denk hierbij aan de menselijke eigenschap om behulpzaam te zijn, risico’s te mijden en uit te gaan van het goede in een ander.

Hoe kunnen we social engineering toepassen?

We kunnen we social engineering toepassen bij elke vorm van intermenselijke communicatie. Het maakt in feite niet uit of we nu face to face contact hebben, via de email of de telefoon. De wijze van manipulatie is dan steeds anders maar het komt er steeds weer op neer dat we de ander overtuigen om iets te doen of te vertellen wat hij of zij eigenlijk niet zou moeten doen. Maar soms gaat het ook maar om hele kleine, onschuldig lijkende stapjes. Zo kunnen we op onopvallende wijze steeds weer wat meer informatie vergaren of aan elkaar koppelen totdat we een bruikbaar geheel hebben bemachtigd.

Social engineering vergt dus bepaalde kennis en kunde met betrekking tot de psychologie van de mens of kennis van bepaalde processen binnen een organisatieonderdeel zoals een beveiligingsorganisatie.
Criminelen gebruiken deze werkwijze heel vaak. In de volksmond wordt het ook wel de babbeltruck genoemd.

valse ID, ID fraude, bedrijfsleven, beveiliging, test, training

Wat kunnen wij voor u betekenen?

Door regelmatig te auditen en verschillende vormen van social engineering toe te passen kunnen we uw medewerkers trainen. Zo leren medewerkers om te gaan met ongewone vragen of ongewone situaties. Uiteindelijk leren ze om een situatie goed in te schatten, de opponent te verifiëren en waar nodig op een klantvriendelijk wijze “nee” te zeggen.

Er zijn, naast face to face contact, nog verschillende andere vormen van social engineering die wij u los of in combinatie kunnen aanbieden, namelijk spear phishing en voice phishing.

Spear phishing

Phishing (afgeleid van fishing: “vissen”, “hengelen”) is een vorm van computerfraude. Het bestaat uit het manipuleren van mensen door ze bijvoorbeeld naar een valse website te lokken, die een kopie is van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of andere vertrouwelijke of persoonlijke gegevens. Deze vorm van fraude is gericht op een zeer grote groep mensen waarvan de kwaadwillende hoopt dat in elk geval een klein deel de fout in gaat.

Een variant die wij bij social engineering toepassen is spear phishing. Nu wordt niet een grote groep mensen benaderd, maar gaat het om één of slechts enkele personen die heel gericht benaderd worden. Nu kunnen bijvoorbeeld de persoonlijke gegevens (naam, e-mailadres, telefoonnummer) van het slachtoffer worden gebruikt om hem een gevoel van vertrouwen te geven. Ook kunnen gegevens worden gebruikt die bij een andere social engineering actie zijn achterhaald.
De auditor doet zich dus voor als een vertrouwde persoon of instantie. Hierdoor krijgt hij de beschikking over waardevolle gegevens die hij dan kan gebruiken om weer een stapje verder bij zijn doel te komen.

Voice phishing

Voice phishing is een vorm van criminele telefoonfraude. We maken feitelijk gebruik van social engineering, maar dan via de telefoon. Ook hier is weer het doel om te proberen toegang te krijgen tot persoonlijke en vertrouwelijke informatie.