Er is niet meer nodig dan een snelle Google-zoekopdracht om te zien dat social engineering de gemoederen van organisaties over de hele wereld bezighoudt. Volgens recent onderzoek heeft maar liefst 80% van de medewerkers in Nederland er wel eens mee te maken gehad. Maar wat is social engineering nou precies en waarom probeert iedereen zich er verwoed tegen te verdedigen?
Social engineering wordt ook vaak "human hacking" genoemd en maakt gebruik van psychologische technieken om mensen te manipuleren tot specifiek gedrag of acties. We gebruiken vaak social engineering-technieken in het echte leven zonder het te beseffen. Heb je bijvoorbeeld ooit tegen een kind gezegd dat als het zich bij de kapper gedraagt, het daarna een ijsje krijgt? Het doel is dat het kind zich gedraagt terwijl het naar de kapper gaat. De techniek staat bekend als ‘operante conditionering’ of ‘instrumenteel leren’. Als het correct wordt uitgevoerd, zal het kind ervoor kiezen zich correct te gedragen voor een traktatie na afloop. Kortom, we gebruikten een psychologische techniek op het kind om het gewenste gedrag op te roepen. Helaas voor ons gebruiken kwaadwillende hackers geen ijsjes om hun doel te bereiken.
Trick or Treat
Aanvallers gebruiken gewoonlijk social engineering om toegang te krijgen tot afgeschermde informatie, toegang tot afgeschermde fysieke gebieden, of om taken uit te voeren waarvoor zij gewoonlijk geen toestemming hebben (of om anderen deze dingen te laten doen). Een kleinschalig voorbeeld hiervan werd uitgevoerd door Derren Brown in een show genaamd Trick or Treat in 2007. Hier bezocht Brown verschillende winkels in New York en betaalde hij al zijn "aankopen" met blanco papiertjes - waaronder een verlovingsring van 4500 dollar. Dankzij Browns vaardigheden in het ‘hacken’ van mensen, trok niemand zijn acties in twijfel. Hij keerde later naar elke winkel terug, legde uit wat hij had gedaan en bracht de artikelen terug - tot schrik van veel winkeliers die niet konden geloven wat ze in de kassa hadden gestopt.
Dit is een uitstekend voorbeeld van een kleinschalige social engineering-aanval; naarmate de wereld meer digitaal wordt en onze (digitale) verdediging verbetert, wordt het voor aanvallers echter steeds duidelijker dat wijzelf vaak het grootste veiligheidsrisico vormen. Stel dat een arts ons opdraagt bepaalde medicijnen te nemen. In dat geval is de kans groot dat we die zonder meer innemen, net als wanneer de politie ons zegt dat we aan de kant moeten gaan, of wanneer een IT-professional om een gebruikersnaam en wachtwoord vraagt om een probleem te helpen oplossen - aanvallers zijn zich daar terdege van bewust. De laatstgenoemde situatie wordt vaak gebruikt bij veel aanvallen op organisaties.
Dave van IT
Stel jezelf dit scenario voor. Je bewaakt het netwerk van jouw organisatie en merkt verdachte activiteiten op. Dankzij eerdere pentests kunnen de aanvallers het netwerk niet binnendringen, dus je voelt jezelf behoorlijk veilig (en waarschijnlijk blij dat je die pentest hebt gedaan!). Nu belt Dave van IT en hij vertelt je over de verdachte activiteit en is bezorgd. Hij wil de parameters van het netwerk opnieuw instellen om het veiliger te maken, wat klinkt als een goed idee, dus je geeft hem alle details en kennis om dat te doen; op dit punt voelen we ons behoorlijk gelukkig! Het netwerk is nu superveilig, een aanval werd met succes afgeweerd en er lijken geen aanvallen meer te komen. Maanden gaan voorbij zonder incidenten en alles voelt goed... maar plotseling hebben aandeelhouders informatie over aandelen die nog niet is vrijgegeven en duizenden gebruikersgegevens zijn gelekt. Er wordt geld overgeheveld van de corporate rekening, want dat was niet Dave van IT die je een paar maanden geleden belde, dat was de aanvaller.
Door hun aard blijven social engineering-aanvallen vaak onopgemerkt tot het te laat is. Als een social engineering-aanval goed is uitgevoerd, weet het slachtoffer meestal niet dat hij het slachtoffer was. Dit is een van de redenen waarom dit soort aanvallen zo gevaarlijk is en een enorme schadepost voor het bedrijfsleven kan zijn. Bijvoorbeeld, in een vergelijkbaar scenario als het hypothetische hierboven, verloor Twitter in 2020 de controle over 130 high-profile accounts aan menselijke hackers die konden twitteren als mensen zoals Barak Obama en 110.000 dollar aan bitcoins konden stelen. In 2018 maakte de Nederlandse directie van Bioscoopketen Pathé ruim 19 miljoen euro over naar de bank van een aanvaller die zich voordeed als directie van het Franse hoofdkantoor.
Phishing en meer...
De criminelen maken niet alleen gebruik van phishing maar ook van een social engineering-aanval die vaak "Vishing" of “voice fishing” wordt genoemd. Phishing is een social engineering-aanval die op veel mensen wordt uitgevoerd via e-mail. Er zijn echter vele varianten van phishing, zoals spear phishing, whaling, vishing én angel phishing.
Een van de meest voorkomende voorbeelden van organisaties die het slachtoffer zijn geworden van een dergelijke aanval zijn Google en Facebook; gedurende twee jaar betaalden zij 100 miljoen dollar aan een hacker die een nepbedrijf opzette en de twee bedrijven facturen begon te sturen voor IT-werk. Twee jaar lang werden de facturen betaald. De Oversea-Chinese Banking Corporation meldde dat in 2021 ongeveer 790 klanten het slachtoffer werden van een SMS-phishingaanval, met een verlies van ongeveer 13,7 miljoen dollar tot gevolg. Helaas zijn dit niet de enige soorten social engineering-aanvallen die verwoestende gevolgen hebben. Vaak onbesproken, maar niet ongewoon zijn de episodes waarbij menselijke hackers fysiek een gebouw kunnen infiltreren. In 2016 verloor het Oostenrijkse luchtvaartbedrijf FACC ongeveer 50 miljoen euro aan hackers die zich voordeden als CEO's en hoge leidinggevenden in hun filiaal in Hongkong.
Voorkomen?
Als we het wereldnieuws van de afgelopen jaren doornemen, is het duidelijk dat social engineering-aanvallen veel voorkomen, dus wat wordt er gedaan om ze te helpen voorkomen? Samen met Security Awareness training kunnen Social Engineering pentests ook worden uitgevoerd zoals een standaard pentest. Dit helpt bij het identificeren van eventuele gebieden van menselijke fouten in een team en benadrukt gebieden waar extra training of verhoogde beveiliging nodig kan zijn.
Maar tot het zover is, kunnen we alleen maar hopen dat als ‘Dave van IT’ belt, het daadwerkelijk Dave van IT is, en hopelijk wil hij niets ingewikkelder dan een ijsje eten na het werk.
Wil je meer weten of een demo inplannen met ons voor onze Awareness Training? Vul onderstaand formulier in of bel 088-6546500.