DOWNLOADS ⇨
ONZE BROCHURE
10 VOORDELEN VAN RED TEAMING

social engineering

Wat is social engineering

Social engineering is de verzamelnaam voor een methode die, enkel op basis van communicatie tussen aanvaller en slachtoffer, mensen kneedt en manipuleert zodat deze onbedoeld hun steentje bijdragen in een grotere aanval: bijvoorbeeld het stelen van waardevolle informatie of doordringen tot kritische bedrijfsprocessen. Social engineering maakt gebruik van psychologie, identiteitsfraude, computer-, of telefoontechniek en van de onwetendheid van de slachtoffers. Maar bovenal maakt social engineering gebruik van de zwakste schakel in de beveiliging: namelijk de menselijke factor.

Social engineering is ook wel de kunst en wetenschap om mensen te laten doen wat een aanvaller graag wil. Dit door misbruik te maken van natuurlijke, normaliter positieve, eigenschappen van de mens. Denk hierbij aan de menselijke eigenschap om behulpzaam te zijn, risico’s te mijden en uit te gaan van het goede in een ander.

Hoe kunnen we social engineering toepassen

We kunnen we social engineering toepassen bij elke vorm van intermenselijke communicatie. Het  maakt in feite niet uit of we nu face to face contact hebben, via de email of de telefoon. De wijze van manipulatie is dan steeds anders maar het komt er steeds weer op neer dat we de ander overtuigen om iets te doen of te vertellen wat hij of zij eigenlijk niet zou moeten doen.  Maar soms gaat het ook maar om hele kleine, onschuldig lijkende stapjes. Zo kunnen we op onopvallende wijze steeds weer wat meer informatie vergaren of aan elkaar koppelen totdat we een bruikbaar geheel hebben bemachtigd.

Social engineering vergt dus bepaalde kennis en kunde met betrekking tot de psychologie van de mens of kennis van bepaalde processen binnen een organisatieonderdeel zoals een beveiligingsorganisatie.
Criminelen gebruiken deze werkwijze heel vaak. In de volksmond wordt het ook wel de babbeltruck genoemd.

Wat kunnen wij voor u betekenen?

Door regelmatig te auditen en verschillende vormen van social engineering toe te passen kunnen we uw medewerkers trainen. Zo leren medewerkers om te gaan met ongewone vragen of ongewone situaties. Uiteindelijk leren ze om een situatie goed in te schatten, de opponent te verifiëren en waar nodig op een klantvriendelijk wijze "nee" te zeggen.

Er zijn, naast face to face contact, nog verschillende andere vormen van social engineering die wij u los of in combinatie kunnen aanbieden:

Spear phishing

Phishing (afgeleid van fishing: "vissen", "hengelen") is een vorm van computerfraude. Het bestaat uit het manipuleren van mensen door ze bijvoorbeeld naar een valse website te lokken, die een kopie is van de echte website, om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of andere vertrouwelijke of persoonlijke gegevens. Deze vorm van fraude is gericht op een zeer grote groep mensen waarvan de kwaadwillende hoopt dat in elk geval een klein deel de fout in gaat.

Een variant die wij bij social engineering toepassen is spear phishing. Nu wordt niet een grote groep mensen benaderd, maar gaat het om één of slechts enkele personen die heel gericht benaderd worden. Nu kunnen bijvoorbeeld de persoonlijke gegevens (naam, e-mailadres, telefoonnummer) van het slachtoffer worden gebruikt om hem een gevoel van vertrouwen te geven. Ook kunnen gegevens worden gebruikt die bij een andere social engineering actie zijn achterhaald.
De auditor doet zich dus voor als een vertrouwde persoon of instantie. Hierdoor krijgt hij de beschikking over waardevolle gegevens die hij dan kan gebruiken om weer een stapje verder bij zijn doel te komen.

Voice phishing

Voice phishing is een vorm van criminele telefoonfraude. We maken feitelijk gebruik van social engineering, maar dan via de telefoon. Ook hier is weer het doel om te proberen toegang te krijgen tot persoonlijke en vertrouwelijke informatie.

 

Cyber

Security Application test
(Spear)phishing campagne
© Copyright 2020
  Cocoon risk management
envelopephone-handsetmap-marker
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram