Bewustzijnstraining social engineering voor werknemers

Een werknemer ontvangt een e-mail op het werk waarin hem wordt gevraagd inloggegevens voor het netwerk te delen. Omdat het van een leidinggevende van het bedrijf komt, doen ze dat. Het probleem: ze zijn zojuist het slachtoffer geworden van een social engineering-aanval, en nu lopen de gegevens - of de financiën - van de organisatie gevaar.

Social engineering is een categorie cyberaanvallen die erop gericht is mensen te verleiden gevoelige informatie te delen waardoor een aanvaller toegang krijgt tot een systeem, een fysieke ruimte of gegevens. Deze aanvallen komen niet voort uit sociale media zoals sommigen misschien denken; sociale media maken het aanvallers echter wel gemakkelijker om persoonlijke gegevens te verzamelen om overtuigende social engineering-aanvallen op te zetten.

Voor bedrijven kunnen social engineering-aanvallen verwoestend zijn. Ze zijn de drijvende kracht achter business email compromise (BEC) - de kostbaarste phishing-zwendel van de afgelopen jaren in de VS , goed voor meer dan 1,8 miljard dollar aan verliezen in 2020. [i] Met de juiste bewustmakingstraining voor cyberbeveiliging kunnen organisaties het risico en de waarschijnlijkheid van deze aanvallen echter verkleinen.

Wat is social engineering?

Social engineering is een psychologische manipulatietechniek waarbij slachtoffers worden overgehaald gevoelige informatie prijs te geven om toegang te krijgen tot systemen, gegevens of fysieke ruimten. In plaats van een aanvaller te laten zoeken naar een kwetsbaar punt in de software om uit te buiten, maakt hij gebruik van de menselijke psychologie: Een hacker kan een valse voorstelling van zaken geven om het vertrouwen van een individu te winnen en hem er uiteindelijk van overtuigen toegangsgegevens tot systemen of een kantoorruimte te verstrekken, of bijvoorbeeld geld over te maken. Social engineering-aanvallen richten zich meestal op personen die speciale toegang hebben tot deze middelen.

Belang van opleiding in social engineering

Social engineering is een moeilijke bedreiging voor cyberbeveiliging waartegen bescherming kan worden geboden, omdat de tactieken die aanvallers gebruiken op de redenering van een individu zijn gebaseerd. Als werknemers niet zijn getraind om social engineering-aanvallen te herkennen, neemt het risico toe dat ze slachtoffer worden. Omdat social engineering-training zo'n cruciale rol speelt bij het minimaliseren van bedreigingen, nemen veel organisaties cyberbewustzijnstraining zeer serieus.

Onderzoeksbureau Gartner voorspelt bijvoorbeeld dat 60% van de grote organisaties tegen 2022 een voltijds equivalent zal hebben dat zich bezighoudt met beveiligingsbewustzijn. [ii] Social engineering training, die vaak deel uitmaakt van beveiligingsbewustzijnsprogramma's, geeft werknemers de tools die ze nodig hebben om dit soort aanvallen te herkennen, wat helpt om meer kritische, verantwoordelijke werknemers op te leiden die beter zijn toegerust om zowel zichzelf als hun organisatie te beschermen.

Top Social Engineering aanvalstechnieken

Aanvallers gebruiken verschillende tactieken om toegang te krijgen tot systemen, gegevens en fysieke locaties. De belangrijkste social engineering aanvalstechnieken zijn:

• Baiting: Bij baiting-aanvallen wordt een voorwerp of goed beloofd om gebruikers ertoe te verleiden hun inloggegevens bekend te maken of malware te downloaden. Online kan het lokaas een advertentie zijn waarin een gratis muziekdownload wordt beloofd. In de fysieke wereld kan het een geïnfecteerde flashdrive zijn die wordt achtergelaten op een plaats waar een werknemer hem waarschijnlijk zal vinden. Het lokaas kan malware bevatten of het slachtoffer ervan overtuigen een gebruikersnaam en wachtwoord prijs te geven.
• Scareware: Deze tactiek manipuleert slachtoffers met valse alarmen of fictieve bedreigingen. Er kan een pop-up op het apparaat van het slachtoffer verschijnen die hem waarschuwt dat zijn systeem is geïnfecteerd met malware. Het vraagt hen om software te installeren of een site te bezoeken die uiteindelijk hun apparaat infecteert.
• Pretexting: Pretexting is een zwendel waarbij een aanvaller informatie verkrijgt door een reeks leugens. De aanvaller doet zich meestal voor als iemand met een gezaghebbende functie - bijvoorbeeld een leidinggevende of een wetshandhavingsambtenaar - om persoonlijke gegevens te verzamelen of toegang te krijgen tot financiële rekeningen.
• Phishing: Phishing-zwendel richt zich via e-mail, telefoon of sms tot een slachtoffer door zich voor te doen als een echte figuur om slachtoffers over te halen gevoelige gegevens vrij te geven. Het kan gaan om bank- of kredietkaartgegevens, gebruikersnamen en wachtwoorden.
• Spear phishing: Spear phishing is een gerichte aanval die erop gericht is via e-mail gevoelige informatie te stelen van specifieke personen of groepen binnen een organisatie. Bij een spear-phishingaanval nemen hackers de identiteit aan van een vertrouwd persoon, bijvoorbeeld een collega, klant, manager of vriend. Het doel van de aanvaller is om individuen ervan te overtuigen informatie prijs te geven of acties uit te voeren die leiden tot gegevensverlies, financieel verlies of die anderszins het netwerk in gevaar brengen.
• Tailgating: Van Tailgating is sprake wanneer een aanvaller die een beperkt toegankelijke ruimte wil betreden, achter een persoon aanloopt om toegang tot die ruimte te krijgen. De aanvaller kan zich bijvoorbeeld verkleden als een koerier en pakjes dragen, en vervolgens wachten tot een medewerker de deur opent. Op die manier kan de aanvaller de veiligheidsmaatregelen omzeilen.
• Watering hole: Bij een watering hole-aanval willen hackers een specifieke groep gebruikers compromitteren door kwaadaardige code te injecteren in een website waarvan wordt aangenomen dat leden van de groep die bezoeken. Het doel is de computers van de beoogde gebruikers te infecteren om toegang te krijgen tot het netwerk op hun werkplek.
• Whaling: Dit type phishingaanval is gericht op hooggeplaatste werknemers, zoals de CEO of CFO, in een poging om informatie of geld van het bedrijf te stelen. De aanvaller kan het slachtoffer een sterk aangepaste en gepersonaliseerde e-mail sturen die afkomstig lijkt te zijn van een betrouwbare bron, waardoor de zwendel moeilijk te detecteren is. Het doel is vaak om het doelwit zo te manipuleren dat het toestemming geeft voor het overmaken van grote bedragen naar de aanvallers.

Wat zijn de mogelijke gevolgen van een geslaagde aanval met social engineering?

Social engineering is een uitzonderlijk effectieve vorm van cybercriminaliteit. Zo was phishing, een subset van social engineering-misdrijven, in 2019 verantwoordelijk voor een kwart van alle datalekken - meer dan welke andere aanvalsvorm dan ook. [iii]

De gevolgen van deze veel voorkomende aanvallen kunnen aanzienlijk zijn. Omdat de meeste social engineering-aanvallen worden ingegeven door financieel gewin, kunnen organisaties aanzienlijke financiële verliezen lijden. In 2020 bedroegen de verliezen in de VS volgens de FBI bijvoorbeeld meer dan 4,2 miljard dollar. [iv]

Bedrijven kunnen ook te maken krijgen met een ernstige verstoring van de bedrijfsvoering - verlies van productiviteit, een daling van het moreel van de werknemers en uitvaltijd terwijl de organisatie herstelt. Het proces van herstel na een social engineering-aanval kan een flink prijskaartje hebben: Vaak moeten organisaties een incident response team inhuren, beveiligingssoftware aanschaffen om toekomstige aanvallen te helpen voorkomen en werknemers omscholen. Bovendien kunnen bedrijven die het slachtoffer worden van een social engineering-aanval reputatieschade oplopen als klanten er geen vertrouwen meer in hebben dat de organisatie zichzelf kan beschermen.

9 tips ter verdediging tegen social engineering-aanvallen

Naarmate social engineering-aanvallen geraffineerder worden, worden ze moeilijker te voorkomen. Toch zijn er belangrijke acties die werknemers kunnen leren nemen tijdens een bewustmakingsopleiding over cyberbeveiliging.

1. Wees achterdochtig bij ongevraagde berichten en telefoontjes waarin gevraagd wordt naar andere werknemers of bedrijfsinformatie.
2. Geef nooit persoonlijke informatie of informatie over uw bedrijf tenzij u zeker weet dat de persoon gemachtigd is om deze te hebben.
3. Typ geen gevoelige informatie op een webpagina voordat u de beveiliging van de website hebt gecontroleerd.
4. Als u niet zeker weet of een e-mailverzoek echt is, neem dan rechtstreeks contact op met het bedrijf - via een apart kanaal - om het te verifiëren.

Er zijn ook toonaangevende praktijken die IT- en IT-beveiligingsorganisaties kunnen volgen:

1. Train werknemers om de tekenen van social engineering te herkennen.
2. Implementeer netwerksegmentatie en multifactorauthenticatie om ervoor te zorgen dat alleen mensen die toegang tot een systeem nodig hebben, die ook hebben.
3. Gebruik geavanceerde e-mailfilters, die oplichterij kunnen detecteren en nep-e-mails kunnen filteren voordat ze bij de werknemers worden afgeleverd.
4. Installeer en onderhoud antivirus software en firewalls.
5. Houd alle software up-to-date - dit is kritischer dan de meeste IT-medewerkers beseffen en wordt daarom vaak over het hoofd gezien.

De kern van de zaak: Social Engineering Training kan helpen

Kennisvergroting door middel van bewustmakingstraining over social engineering is een van de meest effectieve manieren om het risico van een social engineering-aanval te verkleinen. Toonaangevende oplossingen voor bewustzijnstraining op het gebied van beveiliging behandelen social engineering en meer in modules van drie tot vijf minuten om ervoor te zorgen dat werknemers niet worden belast door een grote tijdsbesteding en productief blijven. Mimecast Security Awareness Training maakt gebruik van humor om gebruikers te betrekken - een beproefde tactiek die volgens de American Psychological Association werknemers betrekt, hen helpt essentiële informatie over nieuwe beveiligingsonderwerpen te onthouden en uiteindelijk hun gedrag verandert. [v] De bewustmakingstraining voor social engineering helpt werknemers niet alleen de rol te begrijpen die zij spelen bij het helpen bestrijden van social engineering-aanvallen, maar maakt hen ook vertrouwd met best practices en gedrag.

[i] " Internet Crime Report 2020 ," FBI

[ii] " Huur de juiste docenten in voor een beter beveiligingsbewustzijn ," Gartner

[iii] " Verizon Geld doet de wereld van de cybercriminaliteit draaien, " Verizon

[iv] " Internet Crime Report 2020 ," FBI

[v] " Hoe lachen tot leren leidt ," The American Psychological Association