Social Engineering is een term die momenteel erg actueel is en een cruciale rol speelt in de wereld van cybersecurity. Het verwijst naar een techniek waarbij mensen worden gemanipuleerd om vertrouwelijke informatie prijs te geven of acties uit te voeren die ze anders niet zouden doen.

Een zeer recent voorbeeld Van Social Engineering en de schade die het kan aanrichten is de aanval op het bekende MGM Resorts in Las Vegas.

Hierbij werd een medewerker van de IT helpdesk gemanipuleerd om een een account met veel rechten binnen het netwerk te resetten. Dit was het begin was van een ransomware aanval die resulteerde in een schade van 52 miljoen dollar.

Social Engineering vindt zijn oorsprong in de psychologie en sociologie. Het concept van het manipuleren van menselijk gedrag bestaat al vele jaren, maar werd populairder in de jaren 90 toen hackers begonnen met het gebruik van psychologische manipulatie om toegang te krijgen tot vertrouwelijke informatie.

Social Engineering richt zich op de menselijke geest en zoekt naar potentiële zwaktes in plaats van rechtstreeks een computer of apparaat aan te vallen. Kwaadwillenden gebruiken manipulatie en misleiding om individuen te overtuigen om persoonlijke informatie prijs te geven of bepaalde handelingen uit te voeren.

De principes van Social Engineering

Social Engineering berust op een aantal principes die veel gelijkenis vertonen met de principes die bij spamberichten worden gehanteerd. Het betreft hier principes zoals:

• Autoriteit: vaak doen de kwaadwillenden zich voor als een figuur met autoriteit om het slachtoffer te overtuigen mee te werken aan het plan. Denk bijvoorbeeld aan een mail gestuurd door de CEO van de organisatie waar je werkzaam bent.
• Vertrouwdheid: het is menselijke natuur om sneller iets uit te voeren of aan te nemen uit een bron die bekend is of gerespecteerd wordt. Indien een bekende je vraagt om de sleutel van je huis ben je eerder bereid die te geven dan aan een vreemde.
• Intimidatie: een ander principe is die van dreigen en intimideren. Een slachtoffer kan (bijvoorbeeld met gestolen informatie) worden afgeperst om een bepaalde handeling uit te voeren.
• Urgentie: er wordt altijd een bepaald druk gecreëerd. Dit is een vorm van tijdgebonden psychologische manipulatie die een individu kan overtuigen om snel te handelen. Door deze druk en het snelle handelen zullen ook eerder fouten worden gemaakt.

Net als bij spam- en phishingberichten is het belangrijk om te zorgen voor awareness bij mensen. Het regelmatig trainen en attenderen van personeel op dit soort gevaar kan een hoop ellende voorkomen.

Een andere maatregel die goed helpt (mits ze ook gevolgd worden uiteraard) is het opstellen van (verificatie) procedures. Hiermee worden regels bedoeld om te verifiëren dat de persoon die de aanvraag doet ook daadwerkelijk de juiste persoon is en dat deze daadwerkelijk gerechtigd is om een dergelijk verzoek te doen.

The post Uitleg: wat is Social Engineering en hoe werkt het first appeared on Cybertilt.