Wat is social hacking en hoe kun je het tegengaan

Belangrijke punten:

• Social hacking werkt door misbruik te maken van onze menselijke zwakheden, met een verscheidenheid aan technieken waaronder phishing, scareware en pretexting.
• Technologie zoals firewalls voor webtoepassingen en geavanceerde filters zijn doeltreffend in het tegenhouden van de meeste pogingen tot sociale hacking voordat ze ooit hun weg vinden naar de e-mail inbox van gebruikers.
• Voor de schadelijke e-mails die er toch doorkomen, is bewustmakingstraining een van de belangrijkste middelen om succesvolle social engineering-aanvallen te voorkomen.

De CEO van uw bedrijf stuurt u een e-mail met het verzoek een grote som geld over te maken. Dit is een ongebruikelijk verzoek, gezien het feit dat u zelden of nooit contact hebt met de CEO. Maar u werkt op de financiële afdeling, de e-mail komt van het e-mailadres van de CEO, en er wordt gebruik gemaakt van een bekend e-mailtemplate van het bedrijf. Plus, het legt uit dat het geld is voor de handelsbeurs waar de CEO deze week een toespraak houdt. Het ziet er echt uit. Als u niet reageert, het uitstelt of de CEO in twijfel trekt, komt u slecht over en wordt u misschien ontslagen. Dus, je gaat je gang en voldoet aan het verzoek.

Helaas, je bent gehackt.

Of, meer specifiek, u bent het slachtoffer geworden van social hacking - een vorm van aanval waarbij vaak gebruik wordt gemaakt van technologie om onze menselijke kwetsbaarheden uit te buiten.

Verschillen tussen social hacking en social engineering

Social hacking is een vorm van social engineering. Terwijl bij social hacking vaak gebruik wordt gemaakt van technologie en het meestal de bedoeling is om technologische systemen te kraken, is social engineering de algemene term voor het proces waarbij misleiding wordt gebruikt om mensen te manipuleren.

Social engineering bestaat al zolang als de mens bestaat. Tegenwoordig gaat het vaak om sociale media en e-mail, maar bij een van de vroegste oplichtingspraktijken op het gebied van social engineering was een Trojaans paard betrokken - de oorspronkelijke kwaadaardige Trojaan. Tijdens de Trojaanse oorlog kwamen de Grieken Troje binnen door zich te verbergen in een groot uitgehold houten paard en de Trojanen ervan te overtuigen dat het paard een offer was voor hun oorlogsgodin Athena. De Trojanen lieten het paard gevuld met Griekse soldaten door de poort, en de rest is geschiedenis. ^[1]

Hoe werkt sociaal hacken?

Social hacks - of social engineering-aanvallen - kunnen vele vormen aannemen. In het algemeen is social hacking in de huidige digitale wereld het proces waarbij onze menselijke zwakheden worden geïdentificeerd en uitgebuit om toegang te krijgen tot waardevolle activa (zoals persoonlijk identificeerbare informatie) of om een soort kwaadaardige code te plaatsen.

Het verhaal over de e-mail van de CEO waarmee dit artikel begon, is een klassiek voorbeeld van een sociale hack - in dit geval met behulp van "spear phishing" (zie hieronder). Een aanvaller stelde een authentiek uitziend bericht op en stuurde het naar een persoon binnen het doelbedrijf die op de afdeling werkt waar de kans het grootst is dat hij een e-mail over budgetbeheer ontvangt (informatie die de aanvaller van de bedrijfswebsite of het LinkedIn-account van het slachtoffer had kunnen halen). Sociale media of misschien de website van het bedrijf hadden de aanwezigheid van de CEO op een handelsbeurs kunnen promoten, wat de aanvaller zou hebben voorzien van tijdige en specifieke details om de e-mailontvanger er verder van te overtuigen dat het bericht geldig was. De aanvaller heeft ook geprofiteerd van het verlangen van de typische werknemer om te behagen of te voldoen (en angst voor vergelding als hij dat niet doet) aan een verzoek van iemand met autoriteit binnen het bedrijf.

Social Engineering Hacking Technieken en Voorbeelden

Hier volgen enkele van de meest voorkomende technieken en voorbeelden van sociale hacks.

• Phishing: Phishing-zwendel is een vorm van sociale zwendel waarbij meestal gebruik wordt gemaakt van e-mail om het slachtoffer ervan te overtuigen gevoelige gegevens vrij te geven of op een schadelijke link te klikken. Er zijn verschillende subcategorieën van phishing, waaronder spear phishing, waarbij de aanvaller de identiteit aanneemt van een vertrouwd persoon, en whaling, waarbij een hooggeplaatst doelwit, zoals een CEO van een bedrijf, het doelwit is.
• Baiting: Baiting-aanvallen verleiden slachtoffers gevoelige informatie vrij te geven of op schadelijke koppelingen te klikken met de belofte van iets in ruil daarvoor, zoals gratis muziek of een cadeaubon.
• Scareware: Deze social engineering-hack aast op slachtoffers met fictieve bedreigingen. Aanvallers kunnen slachtoffers bijvoorbeeld manipuleren door hen via een pop-up te waarschuwen dat hun systeem is geïnfecteerd met malware en hen ertoe aan te zetten software te installeren of een site te bezoeken die uiteindelijk hun apparaat infecteert.
• Pretexting: Pretexting is nauw verbonden met phishing en is een social engineering-hack waarbij een aanvaller informatie verkrijgt door te liegen en zich voor te doen als een ander. Een aanvaller kan zich bijvoorbeeld voordoen als een leidinggevende van een bedrijf of een rechtshandhavingsambtenaar om toegang te krijgen tot financiële rekeningen en persoonlijke gegevens.
• Watering hole: Bij een watering hole sociale hack richten aanvallers zich op websites waarvan bekend is (of verondersteld wordt) dat specifieke groepen gebruikers die bezoeken. Aanvallers injecteren kwaadaardige code in de website, met als doel de computers van de beoogde gebruikers te infecteren om toegang te krijgen tot hun werknetwerk.

Voorkomen van sociaal hacken

Er zijn verschillende manieren om pogingen tot sociale hacking te stoppen. Om sociale hacks te voorkomen moeten individuen:

• Behandel ongevraagde berichten en telefoontjes met voorzichtigheid, vooral als ze vragen om persoonlijk identificeerbare en bedrijfsspecifieke informatie.
• Controleer de echtheid van verdachte e-mails en telefoongesprekken door rechtstreeks (en afzonderlijk) contact op te nemen met het bedrijf waarvan de communicatie afkomstig zou zijn.
• Controleer de beveiliging van een webpagina voordat u persoonlijke informatie invoert.

IT-beveiligingsteams in organisaties moeten het volgende doen om zich te beschermen tegen sociale hacks:

• Opleiding geven aan werknemers inzake beveiligingsbewustzijn.
• Gebruik e-mailfilters om zwendel en nepberichten op te sporen voordat ze in de inbox van de werknemers terechtkomen.
• Implementeer netwerksegmentatie en multifactorauthenticatie om de potentiële schade te beperken als een aanvaller uw netwerk binnenkomt.
• Installeer en onderhoud antivirus software en firewalls.
• Hou alle software up to date.

Bescherming van uw organisatie

Vandaag de dag worden de meeste pogingen tot sociale hacking gedaan via e-mail. Volgens het rapport 2021 State of Email Security van Mimecast geloven zeven van de tien beveiligingsprofessionals dat het gedrag van werknemers, zoals het onopzettelijk lekken van gegevens, hun bedrijf in gevaar brengt. Bovendien kan slechts één op de vier met zekerheid zeggen dat hun organisatie not is getroffen door een aanval die door een gecompromitteerde gebruiker onder andere werknemers werd verspreid.

In het rapport wordt ook opgemerkt dat de toename van digitale activiteit als gevolg van de pandemie cybercriminelen tal van nieuwe openingen heeft geboden voor social engineering-aanvallen. Zo heeft het Mimecast Threat Center in 2020 een toename van 64% in het dreigingsvolume vastgesteld ten opzichte van 2019.

Er is niet één oplossing om te voorkomen dat deze toevloed van social engineering-aanvallen slaagt. In feite is de beste verdediging een strategie die is opgebouwd rond cyberresilience: een combinatie van preventie, gebruikerstraining en efficiënte reacties.

Bedrijven als Mimecast bieden een verscheidenheid aan e-mailbeveiligingshulpmiddelen om hacking door social engineering te bestrijden, waaronder web e-mail gateways, geavanceerde filters en uitgebreide bedreigingsdatabases die zijn opgebouwd op basis van jarenlange ervaring in het helpen van bedrijven bij het bestrijden van cyberbedreigingen. Mimecast biedt ook trainingen voor eindgebruikers om social engineering te herkennen en te rapporteren.

De kern van de zaak

Via aanvallen van social engineering worden werknemers ertoe aangezet hun organisatie bloot te stellen aan diefstal van geld, gegevensinbreuken en andere risico's. Uw organisatie kan de risico's verkleinen door de basispraktijken op het gebied van cyberbeveiliging toe te passen en de kennis van werknemers te vergroten door middel van bewustmakingstraining op het gebied van beveiliging.

^[1] Trojaans Paard , Brittanica