Hoe bescherm ik mijn organisatie tegen social engineering?

Social engineering omvat technieken die cybercriminelen inzetten om bijvoorbeeld medewerkers te verleiden tot het prijsgeven van vertrouwelijke informatie, het installeren van malware en het openen van phishingberichten. Social engineering is in de praktijk vaak succesvol, omdat cybercriminelen misbruik maken van menselijke eigenschappen zoals vertrouwen, nieuwsgierigheid, angst en onwetendheid. De aanval is dus in eerste instantie gericht op een persoon niet op het systeem van de organisatie. Cybercriminelen proberen misbruik te maken van de gebrekkige kennis van medewerkers. Om jouw organisatie toch beter te kunnen weren tegen cyberdreigingen is het allereerst belangrijk dat medewerkers de meest voorkomende vormen en technieken van social engineering leren herkennen. Wat kun je doen om jouw organisatie te beschermen tegen social engineering?

Digitale social engineering

Digitale social engineering zijn aanvallen die plaatsvinden via digitale communicatiemiddelen. Hieronder een aantal veel voorkomende vormen van digitale social engineering:

  • Phishing
    Phishing is een cyberdreiging waarbij cybercriminelen een bericht (e-mail, sms) naar medewerkers verzenden om toegang te krijgen tot bankgegevens of andere belangrijke data of om malware te installeren op computers. Phishing is een groot probleem. De Autoriteit Persoonsgegevens (AP) meet een explosieve toename van het aantal phishingaanvallen, gericht op het buitmaken van persoonsgegevens.
  • Vishing
    Vishing is elke vorm van oplichting via de telefoon. Het is een combinatie van ‘voice’ en ‘phishing’. Door middel van telefonisch contact proberen oplichters gevoelige informatie, zoals inloggegevens van jouw medewerkers en/of organisatie te bemachtigen. Zo kunnen ze zich voordoen als een medewerker van de helpdesk die wil helpen met een bepaald issue.
  • Smishing
    Smishing is een vorm van cybercrime waarbij sms-berichten worden verstuurd om persoonlijke of bedrijfsgevoelige gegevens te bemachtigen. Net als phishing speelt smishing in op vertrouwen, onwetendheid, angst en zwakheden van slachtoffers. Cybercriminelen kunnen je bijvoorbeeld laten geloven dat je een onbetaalde rekening hebt, dat een familie van je in nood verkeert of dat je een organisatie geld schuldig bent. In alle gevallen is het doel persoonlijke of bankgegevens te verkrijgen om bankrekeningen leeg te halen of om jouw identiteit over te nemen.
  • Sociale media
    Cybercriminelen proberen ook via sociale media jouw bedrijfs- en klantgegevens binnen te hengelen. Voor cybercriminelen is het vrij eenvoudig om frauduleuze accounts op te zetten die ogen alsof ze van een betrouwbaar persoon zijn.

 

Fysieke social engineering

Fysieke social engineering vindt op locatie of op de werkplek plaats en er zijn niet per se technische vaardigheden voor vereist. Hieronder een aantal veel voorkomende vormen van fysieke social engineering:

  • Meekijken (shoulder surfing)
    Veel medewerkers werken in een gedeeld kantoor of een bedrijfsverzamelpand. Je hebt ook medewerkers die in de trein of in een café/kantine nog even doorwerken. In al deze gevallen bestaat de kans dat er gemakkelijk over de schouder meegekeken kan worden, terwijl iemand bijvoorbeeld wachtwoorden intypt en/of werkt aan/met gevoelige informatie.
  • Afval doorzoeken (dumpster diving)
    Bij dumpster diving doorzoeken criminelen bedrijfsafval je afval om relevante en soms zelfs gevoelige gegevens te bemachtigen. De gegevens kunnen ze gebruiken om bijvoorbeeld geloofwaardig over te komen wanneer ze telefonisch contact met een medewerker opnemen.
  • Besmette USB-sticks
    Malware kan ook vanaf een USB-stick ongemerkt op een computer of laptop terechtkomen, alleen al door het insteken van een besmette USB-stick. Het is verstandig om een aparte USB-stick te gebruiken voor persoonlijke bestanden en voor bestanden van het werk. Zo kun je voorkomen dat de ene computeromgeving de andere besmet.

 

Wat kun je doen tegen social engineering?

Social engineering wordt al jaren zeer succesvol door cybercriminelen toegepast en bewijst keer op keer een zeer geschikt middel te zijn om belangrijke bedrijfsgegevens te bemachtigen. De technieken van social engineering werken in de praktijk vaak goed, omdat cybercriminelen inspelen op nieuwsgierigheid, behulpzaamheid of het vertrouwen van medewerkers.

Medewerkers kunnen een krachtige verdedigingslinie vormen jouw organisatie. Het is erg belangrijk dat ze weet hebben van de actuele aanvalsmethoden die cybercriminelen hanteren. Een robuuste beveiligingsarchitectuur is nog niet alles, want het vertegenwoordigt slechts één deel van een effectieve cybersecurity-strategie. Medewerkers moeten zich ook bewust zijn van cyberrisico’s om waardevolle digitale en fysieke bedrijfsmiddelen met succes te kunnen beschermen.

Met het doorlopende programma Privacy365 (kies doelgroep medewerkers) en de Full-service Phishing Simulatie leren medewerkers hoe zij cyberrisico’s kunnen herkennen om te voorkomen dat zij daar slachtoffer van worden. Training op basis van actuele bedreigingsinformatie: wij maken gebruik van bedreigingsinformatie die privacy professionals uit het werkveld hebben verzameld. Door medewerkers inzicht te bieden in actuele cyberbedreigingen en praktische en functiegerichte trainingen te bieden, voorkom je dat ze slachtoffer van cybercriminaliteit worden. Onze trainingen zijn geschikt voor elk bedrijf dat actuele cyberdreigingen wil tegengaan door zijn medewerkers bewust te maken van cyberrisico’s.

Meer informatie over Social Engineering of cybersecurity trainingen?

Heb je vragen? Of ben je benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem dan gerust vrijblijvend contact met ons op.