Social engineering is het beïnvloeden van mensen zodat ze dingen gaan doen die jij wilt dat ze doen. Sleutelwoord bij social engineering is manipulatie. In deze blog lees je wat social engineering is, hoe het werkt en wat je ertegen kunt doen.
Wat is social engineering?
Social engineering is een manier voor hackers om ergens op een oneigenlijke manier binnen te komen. Als hacker wil je bij een bedrijf naar binnen. Daar ga je mensen voor manipuleren - de mens is tenslotte de zwakste schakel. Als je makkelijk via apparatuur binnenkomt, heb je geen mensen nodig. Een hacker probeert eerst via systemen binnen te komen in een bedrijf. Als dat niet lukt, gaat hij social engineering inzetten. Zo gebruikt hij zijn sociale vaardigheden om mensen te bewegen hem binnen te laten.
Hoe werkt social engineering
Een hacker kan via apparatuur een bedrijf binnenkomen, maar vaak is het makkelijker om dat via een mens te doen. Hij doet eerst onderzoek: wat voor bedrijf is het, wat voor structuur - gewone info die je op google kunt vinden. Daarna neemt hij contact op met die club, of hij gaat er zelfs naar toe. Maar hij komt er niet zomaar binnen natuurlijk…. Dus maakt hij misbruik van het feit dat mensen graag willen helpen. Daar begint de manipulatie.
Het zou zo kunnen gaan: je bent receptioniste bij een groot bedrijf. Ineens staan Sinterklaas en zwarte piet voor de deur. Zij komen jou en je collega’s verrassen. Je vraagt wie ze heeft ingehuurd, maar die collega is net toevallig vandaag naar een afspraak. Natuurlijk laat je ze binnen, ze lopen immers al rond en strooien met pepernoten. Zo leiden ze jou en je collega’s af, terwijl een van de pieten ergens zijn apparatuur plaatst. Want daar gaat het om: een hacker wil toegang krijgen van binnenuit het bedrijf naar buiten toe.
Voorbeelden social engineering
- Fysiek: voorbeeld hiervan is binnenkomen dankzij het rokersclubje op je werk. De hacker trekt een pak aan van een bedrijf, heeft kabels bij zich, en gaat bij de rokersingang een shaggie roken. Er komen twee collega’s roken. De hacker doet of het heel gewoon is dat hij daar staat, en praat een beetje met ze mee. Als ze naar binnen gaan, loopt hij met ze mee. En hop, hij kan zijn gang gaan.
- Phishing: je neemt de telefoon op, en krijgt een beetje gehaaste monteur van een bedrijf aan de lijn. Hij zegt: ik heb hier een laptop ter reparatie van x (jouw collega), en nu vraagt hij om een naam en wachtwoord. Ik heb ff een accountje nodig, dan is dat ding vanmiddag klaar. Dan heeft de hacker ook toegang.
- Baiting: een usb-stick voor een bedrijf op de stoep leggen, waarin hackingtools zitten. Er is vast wel iemand die de usb in zijn pc stopt om te kijken waar het van is.
- Er wordt een bloemetje bezorgd voor de receptioniste. Die zet ze op haar bureau. Maar er zit een hacktool met accu verstopt tussen de bloemen, en de hacker is binnen.
Als een hacker binnen is
Hackers werken volgens een bepaalde methode:
- Binnenkomen
- Toegang tot het netwerk krijgen
- Beheerder worden: dit probeert hij net zo lang tot het lukt
- Zijdelings verplaatsen: hij bestudeert het netwerk en probeert waar hij allemaal bij kan komen
- Onderzoek doen: hij gaat info verzamelen, hoeveel omzet is er bijvoorbeeld, wat kan ik eisen?
- Je slag slaan...
Een hacker is vaak al zeker 3 maanden binnen in je netwerk. En dat heeft niemand gemerkt. En niemand zal meer aan die usb-stick terugdenken.
Het werk van een hacker
Oké, de hacker is al een tijd binnen. Hij gaat zich nu zijdelings verplaatsen. Hij weet wat er is, welke structuur, welke apparatuur het bedrijf gebruikt, kwetsbare dingen (oude software, geen updates). De hacker gaat nu die bestanden stelen, waar hij bij kan. Vooral die info die niet op straat mag komen, is interessant. Als hacker ben je uit op geld, dus die bestanden waarvoor een bedrijf het meest zou betalen, zijn voor jou het interessantst - zoals personeelsbestanden en klantgegevens. De hacker gaat bestanden kopiëren en versleutelen. Op een dag gaan bij het bedrijf alle schermen op zwart. Niemand kan meer werken. De hacker heeft de bestanden, en daarmee de touwtjes in handen. Wil je als bedrijf weer toegang, dan moet je betalen. Dat is de grootste nachtmerrie voor een bedrijf. Je gaat dan een fase in van onderhandelingen. Er gaan gigantische bedragen in om. 10% van je jaaromzet wordt er vaak gevraagd. Soms wordt er betaald en is het afgehandeld. Maar eigenlijk weet je nooit of ze écht weg uit je bedrijf zijn en of je over een jaar of 10 niet nog ergens die bestanden tegenkomt.
Wat kun je doen tegen social engineering?
- Als werkgever: train je personeel. Breng je mensen argwaan bij.
- Stop nooit zomaar een usb-stick in je pc.
- Klik niet klakkeloos op een link.
- Is het fysiek: vraag altijd de ander zich te identificeren (ook al heeft hij een grote doos onder zijn arm of is hij gehaast).
- Hou je aan je procedures (ook al hebben ze een kroon op hun hoofd).
- Dit geldt voor iedereen. Dus niet alleen op je werk, thuis ook.
Kliksafe en social engineering
Kliksafe doet er alles aan om foute sites op te sporen, om phishinglinks te blokkeren, om gevaarlijke sites tegen te houden. We zitten er bovenop, maar zelfs dan glipt er weleens iets tussendoor. Dus: wees alert, wees argwanend en niet naïef. We schreven ook een pagina over het beveiligen van je internet. Lees daar eens verder.
Reageren?