Social engineering attacks – wat u hiervan moet weten

Social engineering aanvallen hebben een aanzienlijke impact op organisaties. Ze zijn het eerste toegangspunt voor een aanvaller, fysiek of virtueel. SecureLink Cyber ​​Defense Centers zien een breed scala van aanvallers die gebruik maken van social engineering, van junior cybercriminelen tot geharde APT betrokkenen. Wanneer we naar de statistieken van de FBI en Europol kijken, zien we dat social engineering onderdeel is van de meerderheid van de tien grootste aanvallen in 2018.

Social engineering is een techniek die wordt gebruikt om slachtoffers te misleiden en te manipuleren om zo een ​​bepaald doel te bereiken, zoals ongeautoriseerde toegang tot een computersysteem voor financiële doeleinden te verkrijgen, of het veroorzaken van schade of verstoring. Social engineering kan in sommige gevallen worden beschouwd als een kunst van manipulatie; het is exact zo gepland, onderzocht en uitgevoerd om slachtoffers in de val te lokken gevoelige informatie te laten onthullen of ongeautoriseerde toegang te verlenen. Het is een externe bedreiging van informatiebeveiliging.

Social engineering is een manier om binnen te komen en de veroorzaakte schade kan desastreus zijn. Verschillende technieken kunnen worden gebruiken, waardoor social engineering aanvallen gerapporteerde worden in verschillende classificaties van geregistreerde aanvallen. Voorbeelden zijn onder andere Business Email Compromise (BEC) en phishing in al zijn variaties, zoals vishing (per stem), smishing (per sms) en pharming (via kwaadwillende code).

Spear-phishing is meer getarget, waardoor de kans op succes groter is. Het kan de eigen e-mailhandtekening van de organisatie bevatten of een handelsmerk van een externe organisatie om een ​​legitiem zakelijk verzoek te lijken.

Ook bekend als voice-phishing. Dit vindt plaats wanneer een werknemer een telefoongesprek ontvangt waarin een aanvaller de werknemer probeert te misleiden om gevoelige informatie te onthullen.

Een aanvaller laat opzettelijk een opslagmedium, zoals een schijf of een USB-apparaat, achter bij het doelwit of iemand in de buurt van het doelwit. Deze techniek is afhankelijk van menselijke nieuwsgierigheid die leidt tot ongeoorloofde toegang tot een intern netwerk van een organisatie, gevoelige informatie of financiële informatie.

Een aanvaller gebruikt een vooraf gedefinieerd scenario op basis van een voorbereid script. Het doel is om een ​​scenario te maken waarin het slachtoffer gevoelige informatie moet onthullen om een ​​probleem op te lossen, hoewel het slachtoffer deze informatie onder normale omstandigheden mogelijk niet bekendmaakt.

Volgens het Internet Crime Report dat jaarlijks door het IC3 (Internet Crime Complaint Center) van de FBI wordt gepubliceerd, was BEC een van de meest gemelde misdaden in 2017 met een geschat financieel verlies voor organisaties van $ 676.151.185. Phishing of vishing zijn nummer drie als je kijkt naar het aantal slachtoffers. Dit betekent maar liefst 25.433 klachten die daadwerkelijk zijn gemeld bij de IC3 door slachtoffers. Het aantal niet-gemelde aanvallen wordt verondersteld veel hoger te liggen, wat betekent dat het financiële verlies waarschijnlijk ook veel groter is.

Hoewel social engineering niets nieuws is, is er meer onderzoek naar het proces rondom social engineering aanvallen gedaan, waardoor er kennis is opgedaan over waarom slachtoffers nog steeds vallen voor aanvallen op social engineering. Simpel gezegd: wie is de schuldige? Het probleem is tweeledig. Hoewel menselijke factoren nog steeds een rol spelen, blijft de omvang van de digital footprint van een organisatie en de informatie die de medewerker er over verspreidt, groeien.

Zoals bij alle soorten criminaliteit, hebben social engineering aanvallen patronen of een bepaalde modus operandi waarmee ze kunnen worden geassocieerd. Mitnick en Simon (2002) ontwikkelden een aanvalscyclus voor social engineering die een framework biedt voor het karakteriseren en analyseren van elke fase van social engineering. Een aanval wordt meestal in werking gezet door een communicatie moment, zoals een telefoongesprek, e-mail, face-to-face gesprek, brief of via opslagmedia zoals een USB-stick.

Voordat dit communicatie moment wordt geïnitieerd, besteedt een social engineer tijd aan het verzamelen van informatie over het doelwit. Daarom moet een doel altijd vooraf worden bepaald en een doelwit worden gedefinieerd. Dit kan een individuele persoon, een groep individuen of een hele organisatie zijn. Dit alles voordat een kwaadwillig verzoek wordt verzonden.

Nadat het doel en het doelwit zijn geïdentificeerd, wordt het eerste contact geïnitieerd via een gekozen communicatiemedium. Omdat het doelwit varieert in type, geldt dat ook voor de aanvaller; de social engineer kan een individu of een groep zijn. De duur van een social engineering aanval kan sterk variëren van slechts enkele minuten tot maanden, afhankelijk van het doel en de veerkracht van het doelwit.

Vanuit het standpunt van een aanvaller is het logisch om je te focussen op de gedragspatronen van mensen. Technische maatregelen tegen phishing pogingen en het detecteren van misleidende activiteiten zijn tegenwoordig veel geavanceerder dan in het verleden. De mens daarentegen is ingewikkelder en moeilijker te voorspellen in bepaalde scenario’s, terwijl hij gemakkelijk te manipuleren is in andere.

In het kader van information security management, maakt social engineering eenvoudig gebruik van de online informatie die vandaag de dag te verkrijgen is over een doelwit. Organisaties moeten een balans vinden tussen online aanwezigheid en een houding tegenover security, om ervoor te zorgen dat social engineering aanvallen moeilijker worden.

LinkedIn en Twitter zijn waardevolle tools voor social engineers!

Security awareness onderwijst werknemers over manipulatieve technieken die tegen hen kunnen worden gebruikt en benadrukt de voordelen van het aanpassen van hun gedrag rondom informatie security. Het opbouwen van veerkracht ten aanzien van social engineering aanvallen biedt een aanzienlijke verdediging.

Bovendien moeten werknemers waakzamer zijn ten opzichte van ontvangen verzoeken en moeten organisaties Two-Factor-Authentication (2FA) implementeren. Op deze manier zal de aanvaller, wanneer een wachtwoord is gecompromitteerd, niet gemakkelijk toegang kunnen krijgen tot het systeem, netwerk of fysieke gebied dat is getarget. Een beveiligde architectuur en segmentering van het netwerk bieden hier ondersteuning.