Social Engineering: Hoe je organisatie daartegen te wapenen?

  • Rene Geenen
  • vrijdag 9 juni 2023 om 10:00

In een wereld waarin technologie voortdurend evolueert, vinden cybercriminelen steeds sluwere manieren om toegang te krijgen tot gevoelige informatie. Een van de meest effectieve methoden die ze gebruiken, is social engineering. Maar wat is social engineering precies en hoe kun je jezelf en je bedrijf beschermen?

man achter computer met doos over hoofd

Wat is Social Engineering?

Social engineering is een term die wordt gebruikt om een reeks van manipulatieve technieken te beschrijven waarmee cybercriminelen mensen overtuigen om gevoelige informatie te delen of acties uit te voeren die het beveiligingssysteem van een organisatie kunnen compromitteren.

Veelvoorkomende Social Engineering Technieken:

1. Phishing

Phishing is misschien wel de bekendste vorm van social engineering. Bij phishing worden vervalste e-mails verstuurd die eruitzien alsof ze van een legitieme bron komen. Deze e-mails bevatten vaak een link naar een vervalste website waar de gebruiker wordt gevraagd om inloggegevens of andere gevoelige informatie in te voeren.

2. Pretexting

Pretexting houdt in dat de aanvaller een valse identiteit aanneemt om het vertrouwen van het slachtoffer te winnen. Een klassiek voorbeeld is een aanvaller die zich voordoet als een medewerker van de IT-afdeling en het slachtoffer vraagt om hun wachtwoord te delen voor "onderhoud".

3. Baiting

Baiting is vergelijkbaar met phishing, maar hierbij wordt een slachtoffer gelokt met de belofte van een item of een goede deal. Dit kan een link zijn naar "gratis" software, die in werkelijkheid malware op het systeem van het slachtoffer installeert.

4. Quizzen en Enquêtes

Soms worden mensen verleid tot het invullen van quizzen of enquêtes met de belofte van prijzen of cadeaus. De informatie die wordt ingevuld kan echter worden gebruikt voor kwaadaardige doeleinden.

Hoe kun je jezelf en je bedrijf beschermen?

Er zijn technische maatregelen te nemen. Daarbij moet goed worden gekeken naar de benodigde bedrijfsmiddelen (waaronder tijd en geld) voor een maatregel in verhouding tot hetgeen je als organisatie beschermt. Soms is het best te verantwoorden om enkele rest risico’s te accepteren omdat de maatregel bijvoorbeeld meer kost dan de mogelijke impact wanneer het mis gaat.


Hieronder een drietal technische stappen die iedere organisatie zou moeten nemen om de kans op succesvolle social engineering te verkleinen:

1. Twee-factor-authenticatie

Gebruik twee-factor-authenticatie (2FA) waar mogelijk. Dit is een relatief laagdrempelige stap en voegt een extra laag van beveiliging toe doordat het vereist dat gebruikers niet alleen een wachtwoord invoeren. Hierdoor hebben cybercriminelen niet voldoende aan enkel een buitgemaakt wachtwoord. Het is een maatregel die de drempel verhoogt voor hackers, maar het is daarbij belangrijk op te merken dat lang niet alle vormen van 2fa beschermen tegen phishing, eigenlijk alleen de nieuwe (fido2) passwordless authenticatiemethoden beloven dat te doen.

2. Spamfilter

Een spamfilter kan, wanneer deze goed wordt geconfigureerd, onder andere e-mails onderscheppen afkomstig van onbetrouwbare domeinen, mails waarbij de afzender naam gespooft is om te doen voorkomen alsof de e-mail van een bekende afkomt, en meer. Dit zorgt ervoor dat een hoop pogingen nooit aankomen bij de gebruiker.

3.Webfilter

Een webfilter kan voorkomen dat medewerkers op malafide websites uitkomen die schadelijke software als download aanbieden, naar loginggegevens hengelen, of andere ongewenste gedragingen of content vertonen.

Techniek heeft beperkingen

Met alleen technische maatregelen kom je er niet. Techniek veroudert, hacktechnieken ontwikkelen zich en een technische oplossing staat en valt met de implementatie en het blijvend aanpassen van de configuraties. Je kan er als organisatie vanuit gaan, dat de techniek hoe dan ook geen 100% veiligheidsgarantie kan bieden.

De mens als actieve schakel

Wanneer cybercriminelen de technische maatregelen omzeilen (bijvoorbeeld wanneer een phishing mail door de spamfilter komt) ben jij (“de mens”) de laatste schakel in de verdediging. Het is daarom essentieel dat alle collega’s getraind en gestimuleerd worden om actief bij te dragen aan cyberveiligheid als laatste schakel in een succesvolle verdedigingsketen.

Daar kunnen we veel adviezen over geven, maar waar start je mee?

1. Training en Bewustwording

Een van de meest effectieve manieren om je te beschermen tegen social engineering is door doorlopende training en bewustwording zodat cyberawareness top-of-mind blijft. Het is essentieel dat medewerkers de verschillende technieken van social engineering herkennen en weten hoe ze hierop moeten reageren.

2. Beveiligingsbeleid

Stel een duidelijk informatiebeveiligingsbeleid op dat laagdrempelig te vinden is. Zorg ervoor dat medewerkers daadwerkelijk begrijpen wat dit beleid inhoudt. Blijf dus weg bij technische/moeilijke termen en geef voorbeelden. Een informatiebeveiligingsbeleid dient onder andere te omvatten welke informatie wel of niet mag worden gedeeld en op welke manier.

Conclusie

Social engineering is een groeiende dreiging, maar door een doordachte mix van technische maatregelen, bewustwording en het implementeren van solide beveiligingspraktijken, kun je jezelf en je organisatie beschermen tegen deze slinkse aanvallen. Het is essentieel om proactief te zijn en een cultuur van veiligheid en waakzaamheid te cultiveren binnen je bedrijf.

Wist je dat er een oplossing is die dit proces kan vergemakkelijken?

Ons online awareness platform StackAware, biedt doorlopende en laagdrempelige training voor medewerkers in het herkennen van en omgaan met social engineering. Bovendien kunnen werkgevers belangrijke punten uit het informatiebeveiligingsbeleid presenteren via het platform. Heb je nog geen beleid? Onze consultants klaar om jouw organisatie te helpen bij het opstellen en borgen van beleid en procedures.

Bescherm je organisatie tegen de gevaren van social engineering. Neem gerust eens vrijblijvend contact op over de mogelijkheden.