Social engineering
Social engineering is een tactiek die hackers inzetten waarbij gebruik wordt gemaakt van de zwakten van de mens, bijvoorbeeld hebzucht of nieuwsgierigheid. De onwetendheid van de mens zorgt voor toegang. Dit wordt ook wel whaling genoemd en wordt steeds vaker succesvol ingezet door cybercriminelen. De hacker doet zich voor als een ander (pretext techniek) of een vertrouwde organisatie om informatie los te kunnen peuteren bij het slachtoffer. Met deze informatie kan de hacker bij zijn doel komen.
Voorbeelden van social engineering
Een veel voorkomend voorbeeld van Social Engineering is een beoogd slachtoffer dat wordt gebeld door iemand van de “microsoft helpdesk”. In werkelijkheid is dit een callcenter in India dat op jacht is naar inlogcodes of persoonlijke informatie. Vaak wordt er aangeboden een zogenaamd probleem op te lossen (wat ze al dan niet zelf hebben veroorzaakt). Dit moet dan wel tegen betaling. De bedragen zijn fors, maar net niet te fors om ongeloofwaardig te worden. De hacker zoekt naar mogelijke slachtoffers op social media, doet onderzoek naar zijn beoogde slachtoffer en kijkt naar ingangen en zwaktes waar hij gebruik van kan maken.
Een ander voorbeeld is dat er een mail wordt gestuurd dat er erg belangrijk uitziet, waarin wordt aangedrongen dat er snel actie moet worden ondernomen. In 2018 Was er een grote fraudezaak waarbij gebruik werd gemaakt van social engineering. Er werden in deze zaak zogenaamd mails verstuurd vanuit het moederbedrijf van Pathé cinemas in Frankrijk. Er zou een overname plaats gaan vinden en daarvoor was het nodig dat er verschillende transacties uitgevoerd moesten worden. De mails waren dringend en dwingend van aard. De cybercriminelen hebben bij deze actie ruim 19 miljoen euro buitgemaakt. De algemeen directeur van Pathé Nederland stapte bij ontdekking van deze enorme fout direct op en de financieel directeur werd op staande voet ontslagen. Dit is later door de rechter omgezet naar ontbinding van het contract met doorbetaling van het salaris tot het einde van het jaar. Vanuit zijn functie was het hem namelijk wel aan te rekenen dat hij de mails niet beter had gecheckt, of een telefoontje ter verificatie had gepleegd.
Vanuit security perspectief is het dus belangrijk om te zorgen voor bewustwording bij eindgebruikers. Door de risico’s in beeld te brengen bij medewerkers van een bedrijf, of bijvoorbeeld de klanten van een bank en hen te vertellen dat er nooit vanuit de werkgever of bank wordt gevraagd om inlog,- of pincodes, zal de kans slachtoffer te worden van deze vorm van cybercrime kleiner worden.