Cybercriminelen worden steeds slimmer. Zo maken ze steeds vaker gebruik van social engineering om je gevoelige gegevens afhandig te maken. Wat is social engineering en hoe werkt het precies?
Wat is social engineering?
Bij social engineering proberen gebruikers jou te misleiden door gebruik te maken van menselijke eigenschappen zoals angst, vertrouwen of nieuwsgierigheid. Ze proberen bijvoorbeeld je vertrouwen te winnen om zo de kans te vergroten dat jij vertrouwelijke informatie met ze deelt. Er bestaat een verschil tussen fysieke social engineering en digitale social engineering.
Fysieke social engineering
Bij fysieke social engineering vindt de oplichting in de echte wereld plaats. Het kan zijn dat oplichters bijvoorbeeld met opzet een besmette USB-stick laten liggen in de trein. Jij bent nieuwsgierig en plugt het apparaat in je laptop. Op de stick staan bijvoorbeeld malware of ransomware die automatisch geïnstalleerd worden.
Een andere mogelijkheid is dat cybercriminelen buiten in je afvalcontainers op zoek gaan naar gevoelige data. Vernietig deze dus altijd op correcte wijze. Laat ook nooit zomaar iemand binnen bij je bedrijf die zegt dat hij ‘de klusjesman’ is.
Nog een veelvoorkomende manier van fysieke social engineering is meekijken op je scherm. Zorg daarom ook voor een goede screenprotector als je veel in de trein of op locatie werkt.
De complete ransomware gids
Hoe werkt een ransomware aanval? En waarom wil je ze liever voorkomen dan meemaken? Lees de tips in onze Ransomware gids.
DownloadDigitale social engineering
Bij digitale social engineering doen oplichters hun vooronderzoek met name online. Ze kijken dan bijvoorbeeld naar je social media profielen. Zo weten ze bij welk bedrijf je werkt, wie je collega’s zijn, hoe oud je bent en wanneer je op vakantie bent. Met deze informatie kunnen criminelen jou heel persoonlijk benaderen via e-mail, sms of whatsapp in de hoop dat je niets in de gaten hebt.
Phishing is de meest bekende vorm van digitale social engineering. Een oplichter stuurt je een mail uit naam van je bank waarin gesuggereerd wordt dat je bankpas binnenkort niet meer werkt als je nu geen actie onderneemt. Je schrikt en klikt direct op de link om dat te voorkomen. Hackers maken bewust gebruik van deze emoties om jou te misleiden.
Per ongeluk op een phishing link geklikt? Vul nooit zomaar gegevens in en upload geen ID-bewijzen. Doorloop deze stappen om erger te voorkomen.
Telefoonfraude en CEO-fraude
Cybercriminelen worden steeds brutaler. Naast e-mails en whatsapp berichten neemt ook telefoonfraude toe. Bij helpdeskfraude word je bijvoorbeeld gebeld door iemand van de helpdesk die aangeeft dat er een probleem is met je bedrijfssoftware. Hij of zij wil dat probleem oplossen en vraagt je om even een programma te installeren. Met deze software kunnen criminelen op afstand toegang krijgen tot je computer.
Bij CEO-fraude lijkt het alsof je een e-mail krijgt van de directeur. Hij of zij vraagt je om een spoedbetaling te doen. Oplichters maken hiervoor gebruik van een techniek die e-mail spoofing heet: het lijkt of de mail vanuit het adres van je collega komt, maar dat is niet zo. In werkelijkheid belandt het geld op de bankrekening van de criminelen. Nooit zomaar doen dus en bij twijfel: direct ophangen en aangifte doen.
Checklist Security: de basics voor MKB
Voorkom dat je bedrijf slachtoffer wordt van deze 15 meest gebruikte trucs door cybercriminelen.
DownloadVertrouw je het niet? Haal de druk er af
Social engineers maken gebruik van jouw menselijke emoties om je op te lichten. Daarnaast hanteren ze bijna altijd een element van tijdsdruk: de gewenste actie heeft haast en moet bijna altijd per direct gebeuren.
Het belangrijkste advies is dan ook: laat je nooit onder druk zetten. Vertrouw je iets niet? Neem dan de tijd om één en ander rustig uit te zoeken en bespreek het met collega’s. Neem in elk geval nooit overhaaste beslissingen.