Malware is niet de enige online bedreiging waarover u zich zorgen moet maken. Social engineering is een enorme bedreiging en kan u op elk besturingssysteem treffen. In feite kan social engineering ook plaatsvinden via de telefoon en in face-to-face situaties.
Het is belangrijk om bewust te zijn van social engineering en alert te zijn. Beveiligingsprogramma's beschermen u niet tegen de meeste bedreigingen van social engineering, dus u moet uzelf beschermen.
Social Engineering uitgelegd
Traditionele computergebaseerde aanvallen zijn vaak afhankelijk van het vinden van een kwetsbaarheid in de code van een computer. Als u bijvoorbeeld een verouderde versie van Adobe Flash gebruikt, of, god verhoede, Java , wat volgens Cisco de oorzaak was van 91% van de aanvallen in 2013 - je zou een kwaadwillende website kunnen bezoeken en die website zou de kwetsbaarheid in je software misbruiken om toegang te krijgen tot je computer. De aanvaller manipuleert bugs in software om toegang te krijgen en privé-informatie te verzamelen, misschien met een keylogger die ze installeren.
Social engineering-trucs zijn anders omdat ze in plaats daarvan psychologische manipulatie inhouden. Met andere woorden, ze exploiteren mensen, niet hun software.
VERWANT: Online beveiliging: de anatomie van een phishing-e-mail doorbreken
U heeft waarschijnlijk al van gehoord phishing , wat een vorm van social engineering is. U kunt een e-mail ontvangen waarin wordt beweerd dat u van uw bank, creditcardmaatschappij of een ander vertrouwd bedrijf bent. Ze kunnen u naar een nepwebsite leiden die is vermomd als een echte website of u vragen om een schadelijk programma te downloaden en te installeren. Maar dergelijke social-engineeringtrucs hoeven geen nepwebsites of malware te zijn. De phishing-e-mail kan u eenvoudig vragen om een e-mailantwoord met privé-informatie te sturen. In plaats van te proberen misbruik te maken van een bug in software, proberen ze gebruik te maken van normale menselijke interacties. Speervissen kan zelfs nog gevaarlijker zijn, omdat het een vorm van phishing is die is bedoeld om specifieke personen te targeten.
Voorbeelden van social engineering
Een populaire truc in chatdiensten en online games is het registreren van een account met een naam als 'Administrator' en mensen enge berichten te sturen zoals 'WAARSCHUWING: we hebben gedetecteerd dat iemand je account hackt, reageer met je wachtwoord om jezelf te verifiëren'. Als een doelwit reageert met zijn wachtwoord, is hij in de val gelokt en heeft de aanvaller nu zijn accountwachtwoord.
Als iemand persoonlijke informatie over u heeft, kunnen ze deze gebruiken om toegang te krijgen tot uw accounts. Informatie zoals uw geboortedatum, burgerservicenummer en creditcardnummer worden bijvoorbeeld vaak gebruikt om u te identificeren. Als iemand deze informatie heeft, kan hij of zij contact opnemen met een bedrijf en zich voordoen als u. Deze truc werd beroemd gebruikt door een aanvaller om toegang te krijgen tot Sarah Palins Yahoo! Mail-account in 2008, met voldoende persoonlijke gegevens om toegang te krijgen tot het account via het wachtwoordherstelformulier van Yahoo! Dezelfde methode kan worden gebruikt om via de telefoon als u over de persoonlijke informatie beschikt die het bedrijf nodig heeft om u te authenticeren. Een aanvaller met wat informatie over een doelwit kan zich voordoen als diegene en toegang krijgen tot meer dingen.
Social engineering kan ook persoonlijk worden gebruikt. Een aanvaller kan een bedrijf binnenlopen, de secretaris laten weten dat hij een reparateur, een nieuwe medewerker of een brandweerinspecteur is op een gezaghebbende en overtuigende toon, en vervolgens door de gangen dwalen en mogelijk vertrouwelijke gegevens stelen of bugs planten om bedrijfsspionage uit te voeren. Deze truc hangt af van de vraag of de aanvaller zichzelf presenteert als iemand die hij niet is. Als een secretaresse, portier of wie dan ook de leiding heeft, niet te veel vragen stelt of te goed kijkt, zal de truc slagen.
VERWANT: Hoe aanvallers online accounts "hacken" en hoe u uzelf kunt beschermen
Social-engineeringaanvallen omvatten het bereik van nepwebsites, frauduleuze e-mails en snode chatberichten, helemaal tot aan het imiteren van iemand aan de telefoon of persoonlijk. Deze aanvallen komen in een grote verscheidenheid aan vormen voor, maar ze hebben allemaal één ding gemeen: ze zijn afhankelijk van psychologische bedrog. Social engineering wordt de kunst van psychologische manipulatie genoemd. Het is er een van de belangrijkste manieren waarop "hackers" accounts online "hacken" .
Hoe social engineering te vermijden
Als u weet dat social engineering bestaat, kunt u dit bestrijden. Wees op uw hoede voor ongevraagde e-mails, chatberichten en telefoontjes waarin om privé-informatie wordt gevraagd. Geef nooit financiële informatie of belangrijke persoonlijke informatie via e-mail vrij. Download geen potentieel gevaarlijke e-mailbijlagen en voer ze uit, zelfs niet als een e-mail beweert dat ze belangrijk zijn.
Volg ook geen links in een e-mail naar gevoelige websites. Klik bijvoorbeeld niet op een link in een e-mail die afkomstig lijkt te zijn van uw bank en log in. U komt mogelijk terecht op een nep-phishing-site die eruitziet als de site van uw bank, maar met een subtiel andere URL. Bezoek in plaats daarvan de website.
Als u een verdacht verzoek ontvangt - bijvoorbeeld een telefoontje van uw bank vraagt om persoonlijke informatie - neem dan rechtstreeks contact op met de bron van het verzoek en vraag om bevestiging. In dit voorbeeld belt u uw bank en vraagt u wat ze willen, in plaats van de informatie bekend te maken aan iemand die beweert uw bank te zijn.
E-mailprogramma's, webbrowsers en beveiligingssuites hebben over het algemeen phishingfilters die u waarschuwen wanneer u een bekende phishing-site bezoekt. Het enige wat ze kunnen doen, is u waarschuwen wanneer u een bekende phishing-site bezoekt of een bekende phishing-e-mail ontvangt, en ze zijn niet op de hoogte van alle phishing-sites of e-mails die er zijn. Het is voor het grootste deel aan jou om jezelf te beschermen - beveiligingsprogramma's kunnen maar een klein beetje helpen.
Het is een goed idee om een gezond vermoeden te hebben bij het behandelen van verzoeken om privégegevens en al het andere dat een social-engineeringaanval kan zijn. Achterdocht en voorzichtigheid zullen u helpen beschermen, zowel online als offline.
Afbeelding tegoed: Jeff Turnet op Flickr
