1. Blog
  2. Cybersecurity
  3. Social engineering: ons advies voor succesvolle bewustwording

Social engineering: ons advies voor succesvolle bewustwording

Awareness rondom social engineering kan een delicate aangelegenheid zijn. Ontdek het advies van onze experts.

Wat is social engineering?

Getheoretiseerd door Kevin Mitnick, een hacker uit de Verenigde Staten die een computer security consultant werd, en populair geworden in de vroege jaren 2000, social engineering heeft tot doel om menselijke gebreken uit te buiten om gedefinieerde processen te omzeilen voor persoonlijk gewin. In de meeste gevallen gaat het om geld. Het kan verschillende vormen aannemen, in meer of minder mate van opdringerigheid.

Wat zijn de meest voorkomende vormen van social engineering?

Social engineering-methoden zijn divers en worden steeds geavanceerder. Ze kunnen heel verschillende vectoren uitbuiten, maar wat ze gemeen hebben, is dat de “kwaadaardige” actie wordt uitgevoerd door een onschuldige derde partij. Onder de meest bekende kunnen we onderscheiden:

Spear-phishing: een specifieke e-mail wordt naar een doelwit gestuurd, inclusief aantrekkelijke en gerichte elementen die de kans maximaliseren dat de derde partij de gewenste actie uitvoert. In tegenstelling tot massale phishing-campagnes, wordt vóór de aanval een eerder geïdentificeerde groep mensen aangevallen en geanalyseerd.

Fake President-fraude: door middel van telefoontjes en/of e-mails doet een cybercrimineel zich voor als een hooggeplaatst persoon om geld te bemachtigen, vaak door het over te schrijven naar een bankrekening. De technieken van deze vorm van fraude evolueert, vooral dankzij deepfake, een techniek die het mogelijk maakt om een ​​persoon realistisch te imiteren dankzij kunstmatige intelligentie. In september 2019 berichtte de Franse krant Le Monde het verhaal van een Brits bedrijf in de energiesector dat “van 220.000 euro is beroofd vanwege een synthetische stem, gegenereerd door een artificial intelligence systeem“. Doordat toegang tot deze technologieën laagdrempelig is en de snelheid waarmee ze ontwikkelen hoog, kunnen we verwachten dat deze modus operandi steeds frequenter zal worden.

Hoe evalueer je je blootstelling aan telefoonaanvallen?

Bellen is een van de vele technieken die worden gebruikt in social engineering.

Alle bedrijven en alle individuen kunnen het slachtoffer worden van deze fraude: de meerderheid van de bedrijven die we ondersteunen, zijn al geconfronteerd met aanvallen die rechtstreeks gericht zijn op hun werknemers (met name via phishing). Hackers proberen gebruik te maken van de mechanismen die inherent zijn aan de menselijke psychologie. Het doel is daarom om technische en organisatorische middelen in te voeren om dergelijke uitbuitingen te voorkomen en de gevolgen ervan te beperken. Zoals bij elk systeem, moeten de ingevoerde procedures en instrumenten, de bewustmakingssessies en de trainingsresultaten worden getest om de relevantie van de ondernomen acties en de effectieve bescherming die door deze investeringen wordt geboden, te evalueren.

In opdracht van onze opdrachtgevers voeren wij social engineering opdrachten uit. Het doel van deze missies is om via gesimuleerde belpogingen, de robuustheid van constructies tegen dit soort aanvallen te testen en medewerkers bewust te maken door hen te laten zien dat ze slachtoffer kunnen worden.

Voer een telefonische bewustwordingsmissie uit

Het framework opzetten

De voorbereiding van een social engineering missie is een belangrijke fase die niet moet worden onderschat. In tegenstelling tot een penetratietest of een fysieke audit die zich alleen op technische aspecten richt, is het uiteindelijke doel van deze missie om het vertrouwen van een derde partij te bedriegen door psychologische concepten te gebruiken om hem acties te laten uitvoeren die schadelijk zijn voor zijn bedrijf.

Deze missie moet dan ook met finesse worden benaderd om geen negatieve reactie of verlies van vertrouwen van medewerkers jegens hun management te veroorzaken. We zullen hier verschillende punten bespreken die moeten worden behandeld voordat we beginnen met de belactiviteit.

Definieer de regels

Betrek human resources en zelfs werknemersvertegenwoordigers

Een slecht uitgevoerde oefening van dit type kan worden gezien als een verlangen om medewerkers tot het uiterste te duwen. Het is essentieel om alle partijen te betrekken die mogelijke spanningen kunnen verminderen, om hen de tijd te geven om geschikte communicatiemiddelen voor te bereiden en om contextuele elementen te bieden waarmee een gezonde perimeter kan worden gedefinieerd.

Anonimiteit bevorderen

Behalve in uitzonderlijke gevallen verdient het de voorkeur om niet-nominale resultatenanalyses te maken.

Communicatie voorbereiden

Aan het einde van de bewustwordingscampagne zullen er geheid vragen worden gesteld door de medewerkers. Het is daarom belangrijk om een ​​mededeling voor te bereiden om hen gerust te stellen.

Het interventiekader voorbereiden

Definieer doelpopulaties

Het spreekt voor zich dat een belopdracht niet kan worden uitgevoerd zonder een bepaald aantal te contacteren nummers. Echter, om zo goed mogelijk vast te houden aan de gestelde doelen kan nagedacht worden over de relevantie van de nummers. De steekproefgroep moet worden samengesteld volgens:

  • Het doel van de campagne: willen we de robuustheid van een nieuw verworven dochteronderneming testen? Managementindicatoren consolideren?
  • Wat willen we beschermen: willen we onszelf beschermen tegen een aanval op ons intellectueel eigendom (R&D)? Willen we voorkomen dat een aanvaller te veel informatie achterhaalt?
  • De sociale omgeving: op welke fysieke locaties wordt de oefening uitgevoerd? Met welke teams?

Definieer de succesfactoren

In het kader van een social engineering missie is het definiëren en terugvinden van het bewijs dat de aanval heeft gewerkt geen gemakkelijke taak. Het is daarom noodzakelijk om de verwachte resultaten van succes te identificeren, maar ook om vast te stellen welke grenzen niet overschreden mogen worden: zoals, niet een ​​echte persoon imiteren, geen wijzigingen aan vragen aan software in productie, enz.

Definieer het deactiveringsproces

Iets dat met de grootste zorg moet worden bereid, is het deactiveren. Het zal een kwestie zijn van het definiëren van het proces dat toelaat dat (in noodgevallen en in klassieke gevallen) de impact op de werknemers en de productie beperkt blijft. Dit proces zal worden gebruikt:

  • als een medewerker vermoedt dat het telefoongesprek een poging tot omkoping is en dit aan de grote klok gaat hangen;
  • als het scenario aanleiding geeft tot een nood- of crisisprocedure;
  • als het waarschijnlijk is dat het doelwit de oproep zal melden terwijl andere collega’s die dicht bij hem/haar staan ​​ook getest moeten worden;
  • als de oproep onbedoeld de productie of activiteit beïnvloedt;
  • als een medewerker de oproep persoonlijk slecht heeft ervaren;
  • als de auditor een risico voor de opdracht, de opdrachtgever of het individu identificeert.

Deze procedure moet minimaal het volgende omvatten:

  • een contactpersoon om direct te kunnen bellen, en indien mogelijk een tweede nummer;
  • een manier om de actie te volgen;
  • een middel om de informatie te communiceren die nodig is voor deactivering (identiteit van het doelwit, mogelijke impact, enz.).

Bescherm en verbeter jezelf

De realisatie van deze verschillende soorten missies kan ons in staat stellen om de gebreken te identificeren die moeten worden gecorrigeerd en om het advies te geven dat moet worden gegeven aan werknemers die waarschijnlijk het doelwit zijn van dit soort aanvallen. We onderscheiden twee hoofdtypen van te implementeren bescherming. Ten eerste het versterken van bestaande procedures.

De implementatie van procedures stelt ons in staat om de reacties van operators te sturen en zo de cognitieve vooroordelen te blokkeren waaraan ze normaal zouden worden onderworpen. Daar na moet een plan van aanpak worden uitgevoerd om de gesignaleerde kwetsbaarheden of zwakke punten te corrigeren.

Vervolgens helpt het vergroten van het bewustzijn van de groepen die gevaar lopen en het geven van beschermingselementen om dit soort aanvallen te dwarsbomen. Met name door:

  • terughoudend te zijn bij dringende verzoeken en geen vrijkaart geven (volg de gebruikelijke procedure);
  • de identiteit van de gesprekspartners te verifiëren;
  • alleen gebruik te maken van de gebruikelijke communicatiekanalen (telefoonnummers, e-mailadressen);
  • controle van de technische elementen (met name domeinnamen).

Iedereen kan slachtoffer worden, zowel in de openbare als in de privésfeer. Voor de gek gehouden worden door phishing is geen bewijs van zwakte, maar zoals voor elk systeem geldt – zelfs een geavanceerd systeem –een gewetenloze en vastberaden aanvaller weet zijn doelen te bereiken. Het is daarom essentieel voor bedrijven om deze dreiging als een apart element in ogenschouw te nemen en regelmatig bewustwordingssessies of zelfs missies zoals hierboven beschreven te organiseren om het beveiligingsniveau continu te verbeteren.

Delen