De belangrijkste schakel in informatiebeveiliging is uw personeel 

De belangrijkste schakel in informatiebeveiliging is uw personeel 

Al eeuwenlang maken kwaadwillende gebruik van de goedgelovigheid van de mens. Denk maar eens aan het Paard van Troje. Een tactiek die nog steeds actueel is, als het gaat om het binnen dringen van organisaties. Dit wordt ‘Social Engineering’ genoemd. Cybercriminelen gebruiken diverse tactieken om uw werknemers te manipuleren of over te halen om gevoelige bedrijfsinformatie vrij te geven. Deze manipulatie kan serieuze impact hebben op uw organisatie. Maar wat is ‘social engineering’ precies en hoe beschermt u uw organisatie hiertegen? 

Wat is social engineering? 

Social engineering is een aanval waarbij criminelen gebruik maken van de goedgelovigheid, angst en nieuwsgierigheid van de mens. Een gevolg is een succesvolle aanval waarbij kwaadwillende toegang krijgt tot bedrijfsgegevens als namen, e-mailadressen, inloggegevens of zelf betaalgegevens. 

Veelgebruikte social engineering-tactieken 

Criminelen zijn voortdurend op zoek naar nieuwe manieren om ongevraagd bij u binnen te komen. Hierbij volgen een aantal veelvoorkomende tactieken. 

Phishing 
Stelt u voor; u krijgt een mailtje van PostNL ‘Uw pakket is aangekomen in ons magazijn, maar kan vanwege onjuiste adresgegevens niet verzonden worden. Vul de juiste adresgegevens in en wij verzenden uw bestelling binnen 24 uur.’ Denkt u dan twee keer na of doet u meteen wat er wordt gevraagd? Deze methode heet ‘phishing’ en is één van de meest gebruikte vormen van social engineering. Nog steeds trappen hier zeer veel mensen in. De kern is dat criminelen zich voor doen als iemand anders om vervolgens uw gegevens te stelen, zoals creditcardgegevens en persoonsgegevens.  

Vishing   
De bank belt en zegt dat er een vreemde inlogpoging op uw rekening is geweest. Ze vertellen u dringend dat u uw geld moet veiligstellen door het naar een andere rekening over te maken. De medewerker klinkt heel vriendelijk en behulpzaam. Maar daarna bent u al uw geld kwijt… Deze methode heet ‘Vishing’, een combinatie van ‘voice’ en ‘phishing’. De beller doet zich voor als iemand anders en probeert u te misleiden om gegevens te delen, in te loggen, inloggegevens te veranderen of geld over te maken. 

Pretexting 
Bij pretexting verzint de aanvaller een smoes of verhaal om zijn slachtoffer ervan te overtuigen informatie te delen. Pretexting kan worden gedaan via een telefoongesprek, een sms’je, een e-mail en zelfs ook met een persoonlijke ontmoeting. Het verschil tussen pretexting en phishing is dat pretexting zich vaak op een specifieke persoon richt, hiervoor is veel vooronderzoek gedaan, phishing is vaak op meerdere mensen tegelijk gericht. 

Verspreiding van besmette USB-sticks  
Er ligt ineens een USB-stick op uw bureau, uw collega’s hebben ook geen idee waar deze vandaan komt en dus besluit u te kijken wat erop staat. Binnen no-time is uw hele computersysteem gehackt. Een besmette USB-stick ziet er net zo uit als een gewone USB-stick, maar is van binnen een hele kleine, snelle computer die automatisch vooraf ingestelde commando’s uitvoert. Hierdoor krijgt een crimineel toegang tot uw bedrijfssystemen, zoals uw Office 365-omgeving. 

Impersonatie  
Stel, een persoon komt bij u op kantoor en zegt tegen de secretaresse dat hij een monteur is die voor een kapotte leiding langskomt. Wat moet de secretaresse doen? Moet ze hem doorlaten, met hem meelopen naar de juiste plek, of de persoon bellen met wie hij een afspraak lijkt te hebben voor bevestiging? Deze methode heet ‘impersonatie’. Hierbij doet een crimineel zich voor als iemand anders om u of uw medewerkers te misleiden hem binnen te laten. Zodra hij binnen is, kan hij toegang krijgen tot bedrijfsinformatie of misschien zelfs een besmette USB-stick in een computer steken. 

Quid Pro Quo 
Stel dat uw medewerker wordt gebeld door iemand die zegt een IT-medewerker te zijn, hij biedt aan om een technisch probleem op te lossen. In ruil voor deze ‘hulp’ vraagt hij om de inloggegevens van zijn/haar laptop. Later blijkt dat deze persoon geen IT-medewerker is, maar een crimineel die nu toegang heeft tot al uw systemen. Dit is een voorbeeld van een ‘quid pro quo-aanval’, waarbij een crimineel om een gunst voor een gunst vraagt. U wordt enthousiast gemaakt voor iets waardevols, waarvoor u slechts iets kleins lijkt te moeten teruggeven. Alleen neemt de aanvaller uw gegevens mee zonder dat u er iets voor terugkrijgt. 

Voorkomen? 

Uw medewerkers zijn misschien wel de belangrijkste schakel in uw beveiligingsstrategie. Om te voorkomen dat criminelen ongewenst uw organisatie binnendringen is het allereerst van belang dat u een duidelijk informatiebeveiliging beleid heeft waarin is opgenomen hoe uw organisatie met informatie omgaat. Denk hierbij aan dat bepaalde informatie enkel via een afgesproken medium gedeeld mag worden.  

Ten tweede is het belangrijk om uw medewerkers bewust te maken van tactieken die criminelen gebruiken. U kunt bewustzijn creëren door awareness sessies en trainingen, waarbij u hen informeert over mogelijke scenario’s en leert hoe zij social engineering tactieken kunnen herkennen. U kunt ook testen hoe weerbaar uw personeel is door een social engineering-campagne uit te voeren. Hiermee kunt u meten hoe goed ze zich bewust zijn van beveiligingsrisico’s en dit bewustzijn versterken. Alleen door technologie en het bewustzijn over beveiliging bij uw werknemers samen te laten werken, kunt u de digitale omgeving van uw organisatie écht goed beschermen. 

Meer weten over hoe u uw organisatie weerbaar kan maken tegen social engineering tactieken? Onze consultants helpen u graag verder! 


Dit artikel is geschreven door Wendy Sikkema. Heeft u hulp nodig of vragen? Neem dan vrijblijvend contact met haar op.