Sociale engineering

Introductie#

Wanneer het gaat om cyberbeveiliging, denken de meeste mensen aan technische aanvallen zoals SQL-injectie, cross-site scripting, man-in-the-middle-aanvallen of malware. Echter, de meest voorkomende en effectieve aanvallen zijn vaak helemaal niet technisch. Sociale engineering is de kunst van het manipuleren van mensen zodat ze vertrouwelijke informatie prijsgeven. Elke cybermisdaad begint met een sociale engineering-aanval.

Hier is de definitie van Wikipedia:

In de context van informatiebeveiliging is sociale engineering de psychologische manipulatie van mensen om handelingen uit te voeren of vertrouwelijke informatie prijs te geven. Een soort vertrouwenszwendel met als doel het verzamelen van informatie, fraude of systeemtoegang. Het verschilt van een traditionele "zwendel" doordat het vaak een van de vele stappen is in een complexere frauderegeling.[1] Het is ook gedefinieerd als "elke handeling die iemand beïnvloedt om een actie te ondernemen die al dan niet in hun eigen belang is."

De soorten informatie die deze criminelen zoeken kunnen variëren, maar wanneer individuen worden getarget, proberen de criminelen je meestal te misleiden om hen je wachtwoorden, persoonlijke informatie te geven, of toegang tot je computer te krijgen om stiekem schadelijke software te installeren – die hen toegang geeft tot je wachtwoorden en bankinformatie evenals controle over je computer.

Hoe werkt sociale engineering?#

Sociale engineering-aanvallen gebeuren in een of meer stappen. De meeste sociale engineering-aanvallen vertrouwen op daadwerkelijke communicatie tussen aanvallers en slachtoffers. Vaak worden slachtoffers door meerdere aanvallers gedurende een langere periode getarget en zijn de aanvallen zorgvuldig samengesteld om detectie te vermijden. Een succesvolle aanval omvat de volgende stappen:

1. Onderzoek: De aanvaller verzamelt informatie over het doelwit, zoals potentiële ingangen en zwakke beveiligingsprotocollen, die nodig zijn om de aanval uit te voeren. In de wereld van vandaag is het heel gemakkelijk om informatie over een persoon online te vinden. Je kunt bijvoorbeeld het e-mailadres, telefoonnummer en zelfs het huisadres van iemand vinden op hun sociale media-profiel. Je kunt ook ontdekken waar ze werken, wat ze doen en met wie ze werken. Deze informatie kan worden gebruikt om een zeer overtuigende phishing-e-mail of telefoongesprek te maken voor de volgende stap.

2. Lokken: De aanvaller gebruikt die informatie om een geloofwaardig scenario te creëren om het slachtoffer te verleiden te doen wat de aanvaller wil. Bijvoorbeeld, de aanvaller kan het slachtoffer bellen en zich voordoen als een klantenserviceagent van hun bank, hen vragend om hun accountgegevens te verifiëren. Of, ze kunnen een medewerker van een bedrijf bellen en zich voordoen als een IT-supportpersoon, hen vragend om hun wachtwoord opnieuw in te stellen.

3. Spelen met emoties: De aanvaller speelt in op emoties om het slachtoffer te laten handelen zonder na te denken. Bijvoorbeeld, de aanvaller kan het slachtoffer bedreigen met boetes, straffen of vervolging als ze niet onmiddellijk voldoen aan het verzoek. Of, ze kunnen inspelen op de hebzucht van het slachtoffer, hen een grote som geld of beloning in het vooruitzicht stellen in ruil voor hun hulp.

4. Uitvoeren: De aanvaller voert de aanval uit, wat verschillende vormen kan aannemen. Bijvoorbeeld, ze kunnen:

   • Het slachtoffer misleiden om malware op hun computer te installeren.
   • Het slachtoffer misleiden om gevoelige informatie in een e-mail of telefonisch prijs te geven.
   • Het slachtoffer misleiden om geld naar de aanvaller over te maken.
   • Het slachtoffer misleiden om op een kwaadaardige link in een e-mail of sms te klikken.

Bovengenoemde stappen kunnen in een zeer korte periode plaatsvinden, of ze kunnen zich over weken of maanden uitstrekken. De aanvaller kan één persoon targeten, of ze kunnen een groep mensen targeten. De verbinding kan worden gelegd via een telefoontje, e-mail, sms of sociale media chats. Maar het komt uiteindelijk neer op een actie die jij onderneemt, zoals het delen van jouw informatie of jezelf blootstellen aan malware.

Soorten sociale engineering-aanvallen#

Er zijn veel soorten sociale engineering-aanvallen, en elk heeft zijn eigen doel en streven. Hier zijn enkele van de meest voorkomende soorten sociale engineering-aanvallen:

Spam Phishing#

Spam phishing is het meest voorkomende type sociale engineering-aanval. Het is een type phishingaanval waarbij de aanvaller miljoenen e-mails naar willekeurige mensen stuurt, in de hoop dat sommigen voor de zwendel zullen vallen. De e-mails worden meestal verzonden van een nep e-mailadres en bevatten vaak een link naar een kwaadaardige website of een kwaadaardige bijlage. Het doel van de aanval is om het slachtoffer te misleiden in het klikken op de link of het openen van de bijlage, wat malware op hun computer zal installeren.

Voorbeeld#

Stel je voor dat je een ongevraagde e-mail ontvangt in je inbox met een aantrekkelijke onderwerpregel die beweert dat je een aanzienlijke geldprijs hebt gewonnen. De titel van de e-mail stelt dat je $1.000.000 hebt gewonnen en dat je je prijs onmiddellijk moet opeisen.

Bij het openen van de e-mail, vind je een bericht dat je feliciteert met je veronderstelde loterijwinst. Het kan extravagante beloften bevatten, zoals een levensveranderende som geld. De e-mail bevat meestal een link of contactinformatie zodat je je winst kunt opeisen.

Deze e-mail vertoont klassieke tekenen van een spam phishing-aanval:

1. Ongevraagd: Je hebt nooit aan een loterij of wedstrijd deelgenomen, dus je zou geen prijs moeten hebben gewonnen.

2. Te mooi om waar te zijn: De belofte van een groot geldbedrag zonder duidelijke reden is een veelgebruikte tactiek om slachtoffers te lokken.

3. Dringende actie: De e-mail kan beweren dat je snel moet handelen om je prijs op te eisen, wat een gevoel van urgentie creëert.

4. Verzoeken voor persoonlijke informatie of geld: Om je prijs te "claimen", word je mogelijk gevraagd om persoonlijke informatie te verstrekken, kosten te betalen of geld over te maken voor zogenaamde verwerkingskosten.

Spear Phishing#

Spear phishing is een type phishingaanval waarbij de aanvaller een specifieke persoon of groep mensen target. De aanvaller zal onderzoek doen naar het doelwit, en dan sturen ze een gepersonaliseerde e-mail die lijkt te komen van een vertrouwde bron. De e-mail bevat meestal een link naar een kwaadaardige website of een kwaadaardige bijlage. Het doel van de aanval is om het slachtoffer te misleiden in het klikken op de link of het openen van de bijlage, wat malware op hun computer zal installeren. In tegenstelling tot spam phishing zijn spear phishing-aanvallen zeer gericht en gepersonaliseerd, en ze zijn veel waarschijnlijker succesvol.

Voorbeeld#

In dit spear phishing scenario, ontvang je een e-mail die lijkt te komen van een collega of iemand die je kent. De e-mail bevat een onderwerpregel die suggereert dat het een belangrijke veiligheidsmelding is. Wat spear phishing anders maakt dan reguliere phishing, is dat de aanvaller een specifiek individu target en vaak enige kennis over het doelwit bezit.

Bij het openen van de e-mail, vind je een bericht dat beweert van je IT-adviseur Charles te zijn. Het spreekt je aan bij je volledige naam en vermeldt een vermeend beveiligingslek in je werkaccount. De e-mail vraagt om op een link te klikken of een bijlage te downloaden om je account te beveiligen. Je klikt op de link en het brengt je naar een website die er precies uitziet als de inlogpagina van je bedrijf. Je voert je gebruikersnaam en wachtwoord in, en de aanvaller heeft nu toegang tot je account.

Deze e-mail vertoont klassieke tekenen van een spear phishing-aanval:

1. Personalisatie: De e-mail spreekt je aan bij je volledige naam, waardoor het legitiem lijkt.

2. Urgentie: Het bericht geeft een gevoel van urgentie, wat impliceert dat je onmiddellijk actie moet ondernemen om een beveiligingsprobleem aan te pakken.

3. Verzoeken voor actie: De e-mail vraagt om te klikken op een link of een bijlage te downloaden. Deze links of bijlagen bevatten vaak malware of phishing sites.

Baiting#

Baiting is een type sociale engineering-aanval waarbij de aanvaller iets verleidelijks aan het slachtoffer biedt in ruil voor hun persoonlijke informatie. Bijvoorbeeld, de aanvaller kan een gratis cadeaubon of een gratis film downloaden aanbieden in ruil voor het e-mailadres van het slachtoffer. Het doel van de aanval is om het slachtoffer te misleiden in het prijsgeven van hun persoonlijke informatie, die de aanvaller vervolgens kan gebruiken om hun identiteit te stelen of fraude te plegen. Het maakt gebruik van de nieuwsgierigheid of hebzucht van het slachtoffer.

Voorbeeld#

In dit baiting scenario, laten de aanvallers een USB-stick achter in een openbare ruimte, zoals een koffiebar of een parkeerplaats. De USB-stick is gelabeld "Vertrouwelijk" of "Privé", en het bevat een kwaadaardig programma dat malware op de computer van het slachtoffer zal installeren wanneer ze het aansluiten. Het doel van de aanval is om het slachtoffer te misleiden in het aansluiten van de USB-stick op hun computer, wat zal leiden tot de installatie van malware op hun computer.

Je sluit de USB-stick aan op je computer, hopend waardevolle informatie te vinden. Het lijkt een bestand genaamd "Vertrouwelijk_Project_Data.csv" te bevatten. Terwijl je probeert het bestand te openen, triggert het een verborgen script dat je computer met malware infecteert.

In deze baiting aanval:

1. Het aas is de USB-stick, die is gelabeld "Vertrouwelijk" of "Privé" en aantrekkelijk is voor iedereen die het tegenkomt, vooral in een professionele of werkomgeving.
2. Nieuwsgierigheidsfactor: Menselijke nieuwsgierigheid wordt gebruikt als kwetsbaarheid, waardoor individuen worden aangespoord om acties te ondernemen die ze anders zouden vermijden.

Waterholing#

Waterholing is een type sociale engineering-aanval waarbij de aanvaller zich richt op een specifieke groep mensen door een website te infecteren die ze waarschijnlijk zullen bezoeken. Bijvoorbeeld, de aanvaller kan een populaire nieuwssite of een populaire sociale mediasite infecteren. Het doel van de aanval is om het slachtoffer te misleiden in het bezoeken van de geïnfecteerde website, wat zal leiden tot de installatie van malware op hun computer.

Voorbeeld#

Een groep aanvallers heeft als doel de beveiliging van een specifieke brancheorganisatie, die een gemeenschap van cybersecurityprofessionals vertegenwoordigt, te compromitteren. De aanvallers willen gevoelige gegevens stelen en de systemen van cybersecurityexperts infiltreren.

De aanvallers identificeren een bekende en gerespecteerde website die door deze gemeenschap wordt gebruikt. In dit geval kiezen ze de officiële website van de cybersecurity brancheorganisatie. De aanvallers identificeren en misbruiken een kwetsbaarheid op de website van de brancheorganisatie. Ze kunnen technische methoden gebruiken zoals SQL-injectie of cross-site scripting (XSS) om ongeautoriseerde toegang tot het inhoudbeheersysteem van de site te krijgen. Zodra ze toegang krijgen tot de website, injecteren de aanvallers kwaadaardige code in de pagina's van de site. Deze code is ontworpen om malware aan bezoekers van de gecompromitteerde pagina's te leveren.

Dan wachten de aanvallers totdat cybersecurityprofessionals de website bezoeken. Ze weten dat veel cybersecurityexperts regelmatig de site controleren voor updates, nieuws en bronnen.

Terwijl cybersecurityprofessionals de website van de brancheorganisatie bezoeken om artikelen te lezen, webinars bij te wonen of bronnen te downloaden, stellen ze zichzelf onbewust bloot aan de geïnjecteerde malware. De malware kan gevoelige informatie stelen, zoals inloggegevens of persoonlijke gegevens. Het kan de aanvallers ook een ingang bieden om verdere aanvallen te starten, inclusief spear phishing of het misbruiken van bekende kwetsbaarheden in de systemen van de slachtoffers.

In deze waterholing aanval:

1. De waterput is de website van de brancheorganisatie, die een populaire bestemming is voor cybersecurityprofessionals.
2. Gerichte doelgroep: De aanvallers richten zich op een specifieke groep mensen, in dit geval cybersecurityprofessionals.
3. Vertrouwen uitbuiten: De aanvallers maken gebruik van het vertrouwen dat cybersecurityprofessionals hebben in de website van de brancheorganisatie.
4. Kwetsbaarheden uitbuiten: De aanvallers maken gebruik van kwetsbaarheden in het inhoudbeheersysteem van de website om kwaadaardige code in de pagina's van de site te injecteren.

Hoe jezelf te beschermen tegen sociale engineering-aanvallen#

Je beschermen tegen sociale engineering-aanvallen vereist een combinatie van bewustwording, scepsis en best practices. Hier zijn enkele essentiële stappen om jezelf te beschermen tegen sociale engineering-aanvallen:

1. Onderwijs jezelf: Leer over veelvoorkomende sociale engineering-tactieken, inclusief phishing, pretexting, baiting en tailgating. Blijf op de hoogte van de laatste sociale engineeringtechnieken en -trends.

2. Verifieer de identiteit: Verifieer altijd de identiteit van individuen of organisaties die om je persoonlijke of gevoelige informatie vragen. Vertrouw niet alleen op telefoonnummers, e-mails of websites die door de persoon die contact met je opneemt worden verstrekt. Gebruik officiële contactinformatie verkregen van betrouwbare bronnen.

3. Vraag om uitleg bij verzoeken: Sta sceptisch tegenover ongevraagde verzoeken om persoonlijke, financiële of vertrouwelijke informatie. Legitieme organisaties vragen doorgaans niet om dergelijke informatie via e-mail of telefoon. Als iemand om gevoelige informatie vraagt, vraag dan waarom het nodig is en hoe het zal worden gebruikt.

4. Pas op voor urgentie en druk: Sociale ingenieurs creëren vaak een gevoel van urgentie om je te haasten beslissingen te nemen zonder na te denken. Neem de tijd om verzoeken of aanbiedingen te overwegen. Verifieer de legitimiteit van de situatie.

5. Beveilig fysieke toegang: Bescherm je fysieke werkruimte tegen ongeautoriseerde toegang. Vergrendel je computer en apparaten wanneer ze niet in gebruik zijn. Wees voorzichtig met het toelaten van onbekende personen in beveiligde gebieden.

6. Medewerkerstraining: Als je deel uitmaakt van een organisatie, zorg dan voor bewustwordingstraining op het gebied van sociale engineering voor werknemers. Leer werknemers verdachte activiteiten te herkennen en te melden.

7. Gebruik betrouwbare bronnen: Verkrijg informatie van betrouwbare en geverifieerde bronnen. Vermijd het vertrouwen op niet-officiële websites of niet-geverifieerd nieuws.

8. Versleutel gegevens: Versleutel gevoelige gegevens, zowel in rust als tijdens overdracht, om het te beschermen tegen ongeautoriseerde toegang.

Beoefen veilig online gedrag#

Voor ontwikkelaars en bedrijfsleiders. Als je een webapplicatie ontwikkelt, moet je de beste praktijken volgen om je gebruikers te beschermen tegen sociale engineering-aanvallen. Er zijn veel manieren om extra beveiliging voor je applicatie mogelijk te maken:

1. Gebruik sterke wachtwoorden. De meeste mensen gebruiken zwakke wachtwoorden die gemakkelijk te raden zijn op basis van hun persoonlijke informatie. Om een veilig en betrouwbaar gebruikersidentiteitsbeheersysteem te implementeren, moet je sterke wachtwoordbeleid inschakelen. Dit zal voorkomen dat gebruikers hun zwakke wachtwoorden gebruiken zonder de juiste beveiligingsmaatregelen.
2. Schakel multi-factor authenticatie in. Multi-factor authenticatie (MFA) voegt een extra beveiligingslaag toe aan de accounts van gebruikers door hen te vragen een code van hun telefoon of een ander apparaat in te voeren naast hun wachtwoorden. Dit maakt het voor aanvallers veel moeilijker om toegang te krijgen tot de account van je klanten. Zelfs als de wachtwoorden van je klanten gecompromitteerd zijn, kunnen aanvallers zonder de tweede factor geen toegang krijgen tot hun accounts.
3. Versleutel gebruikersgegevens. Het versleutelen van gebruikersgegevens is een goede manier om ze te beschermen tegen ongeautoriseerde toegang. Als een aanvaller toegang krijgt tot je database, kunnen ze de gegevens niet lezen zonder de versleutelingssleutel. Dit zal voorkomen dat ze persoonlijke informatie van je klanten stelen.
4. Draai de toegangssleutels regelmatig om. Toegangssleutels worden gebruikt om toegang te krijgen tot de middelen van je applicatie. Als een aanvaller toegang krijgt tot je toegangssleutels, kunnen ze zonder je toestemming toegang krijgen tot de middelen van je applicatie. Om dit te voorkomen, moet je regelmatig de toegangssleutels draaien.
5. Gebruik moderne authenticatiesystemen. Moderne authenticatieprotocollen zoals OAuth 2.0 en OpenID Connect zijn veel veiliger dan oudere protocollen zoals SAML en WS-Federation. Ze gebruiken moderne cryptografische algoritmen en zijn veel moeilijker aan te vallen.
6. Registreer vooraf de sign-in omleidingsurls en apparaten Als je OAuth 2.0 of OpenID Connect gebruikt voor authenticatie, moet je vooraf de sign-in omleidingsurls en apparaten registreren. Dit zal voorkomen dat aanvallers de accounts van je klanten gebruiken om vanuit hun eigen apparaten in te loggen op je applicatie.