Social engineering: de belangrijkste schakel in informatiebeveiliging is uw personeel 

Learn more
Social engineering: de belangrijkste schakel in informatiebeveiliging is uw personeel 

For centuries, evil-doers have taken advantage of man's gullibility. Think of the Trojan Horse. A tactic that is still current, when it comes to invading organizations. This is called "social engineering. Cybercriminals use various tactics to manipulate or persuade your employees to release sensitive company information. This manipulation can have a serious impact on your organization. But what exactly is 'social engineering' and how do you protect your organization from it? 

What is social engineering? 

Social engineering is an attack in which criminals take advantage of people's gullibility, fear and curiosity. One result is a successful attack in which malicious persons gain access to company information such as names, e-mail addresses, login information or even payment information. 

Commonly used social engineering tactics 

Criminals are constantly looking for new ways to get into your home uninvited. Here are some common tactics. 

Phishing 
Imagine; you get an email from PostNL 'Your package has arrived at our warehouse, but cannot be shipped due to incorrect address information. Please enter the correct address information and we will ship your order within 24 hours.' Denkt u dan twee keer na of doet u meteen wat er wordt gevraagd? Deze methode heet ‘phishing’ en is één van de meest gebruikte vormen van social engineering. Nog steeds trappen hier zeer veel mensen in. De kern is dat criminelen zich voor doen als iemand anders om vervolgens uw gegevens te stelen, zoals creditcardgegevens en persoonsgegevens.  

Vishing   
De bank belt en zegt dat er een vreemde inlogpoging op uw rekening is geweest. Ze vertellen u dringend dat u uw geld moet veiligstellen door het naar een andere rekening over te maken. De medewerker klinkt heel vriendelijk en behulpzaam. Maar daarna bent u al uw geld kwijt... Deze methode heet ‘Vishing’, een combinatie van ‘voice' and 'phishing'. The caller pretends to be someone else and tries to trick you into sharing data, logging in, changing login credentials or transferring money. 

Pretexting 
In pretexting, the attacker makes up an excuse or story to convince his victim to share information. Pretexting can be done through a phone call, a text message, an e-mail and even with a face-to-face meeting. The difference between pretexting and phishing is that pretexting often targets a specific person, a lot of preliminary research is done for this, phishing often targets several people at once. 

Distribution of infected USB sticks  
Er ligt ineens een USB-stick op uw bureau, uw collega's hebben ook geen idee waar deze vandaan komt en dus besluit u te kijken wat erop staat. Binnen no-time is uw hele computersysteem gehackt. Een besmette USB-stick ziet er net zo uit als een gewone USB-stick, maar is van binnen een hele kleine, snelle computer die automatisch vooraf ingestelde commando's uitvoert. Hierdoor krijgt een crimineel toegang tot uw bedrijfssystemen, zoals uw Office 365-omgeving. 

Impersonation  
Suppose a person comes into your office and tells the secretary that he is a mechanic coming by for a broken pipe. What should the secretary do? Should she let him through, walk with him to the right place, or call the person with whom he seems to have an appointment for confirmation? This method is called impersonation. It involves a criminal pretending to be someone else to trick you or your employees into letting him in. Once inside, he can gain access to company information or perhaps even insert an infected USB stick into a computer. 

Quid Pro Quo 
Stel dat uw medewerker wordt gebeld door iemand die zegt een IT-medewerker te zijn, hij biedt aan om een technisch probleem op te lossen. In ruil voor deze 'hulp' vraagt hij om de inloggegevens van zijn/haar laptop. Later blijkt dat deze persoon geen IT-medewerker is, maar een crimineel die nu toegang heeft tot al uw systemen. Dit is een voorbeeld van een ‘quid pro quo-aanval', waarbij een crimineel om een gunst voor een gunst vraagt. U wordt enthousiast gemaakt voor iets waardevols, waarvoor u slechts iets kleins lijkt te moeten teruggeven. Alleen neemt de aanvaller uw gegevens mee zonder dat u er iets voor terugkrijgt. 

Prevent? 

Your employees are perhaps the most important link in your security strategy. To prevent unwanted intrusion by criminals into your organization, it is first important that you have a clear information security policy that includes how your organization handles information. Consider that certain information should only be shared through an agreed-upon medium.  

Second, it is important to make your employees aware of tactics used by criminals. You can create awareness by awareness sessions and trainings, waarbij u hen informeert over mogelijke scenario's en leert hoe zij social engineering tactieken kunnen herkennen. U kunt ook testen hoe weerbaar uw personeel is door een social engineering campaign uit te voeren. Hiermee kunt u meten hoe goed ze zich bewust zijn van beveiligingsrisico's en dit bewustzijn versterken. Alleen door technologie en het bewustzijn over beveiliging bij uw werknemers samen te laten werken, kunt u de digitale omgeving van uw organisatie écht goed beschermen. 

Want to know more about how to make your organization resilient against social engineering tactics? Our consultants will be happy to help! 

Dit artikel is geschreven door Wendy Sikkema. Heeft u hulp nodig of vragen? Neem dan vrijblijvend contact met haar op via onderstaand formulier.