Social engineering 🔴 Aanval

Social engineering verwijst naar de reeks psychologische manipulatietechnieken die worden gebruikt door kwaadwillende personen, vaak cybercriminelen, om mensen vertrouwelijke informatie te laten vrijgeven of acties te laten uitvoeren die de veiligheid van hun persoonlijke gegevens of die van hun organisatie in gevaar brengen.

Deze aanvallen zijn niet direct gericht op computersystemen, maar maken gebruik van menselijke zwakheden door in te spelen op emoties en cognitieve vooroordelen zoals vertrouwen (door je voor te doen als een betrouwbaar persoon), angst (voor straf of een urgent probleem), urgentie (om een snelle reactie te krijgen), nieuwsgierigheid (met verleidelijke lokmiddelen), hebzucht (beloftes van financieel gewin), altruïsme (om hulp vragen voor een zaak) of onwetendheid.

---

Soorten social engineering

1. Phishing (phishing) Fraude: frauduleuze e-mails of berichten versturen die legitieme bronnen imiteren (banken, sociale netwerken, overheidsinstellingen, energieleveranciers, enz.)
2. Spear-phishing Een zeer gerichte en gepersonaliseerde versie van phishing, waarbij persoonlijke informatie wordt gebruikt om de geloofwaardigheid te vergroten.
3. Walvisvaart spear phishing"-aanvallen gericht op hooggeplaatste werknemers binnen een organisatie.
4. Vishing Gesprekken: aanvallers bellen hun slachtoffers op en doen zich voor als vertegenwoordigers van officiële diensten of bedrijven (bijv. nep technische ondersteuning).
5. SMS phishing (smishing) SMS phishing.
6. Identiteitsdiefstal Aanvallers doen zich voor als iemand die ze vertrouwen (collega, vriend, leidinggevende).
7. Lokaas aanbieding van een voordeel (bijv. gratis software of muziek, kortingen) om inloggegevens te verstrekken of andere handelingen uit te voeren, zoals het downloaden van een softwareproduct. malware.
8. Pretexting Het creëren van een verzonnen scenario om het slachtoffer informatie te laten geven of een actie te laten uitvoeren. Bijvoorbeeld een nepagent van de politie, een nepagent van de elektriciteitsmaatschappij, een neppe opiniepeiler, enz.
9. Schouder surfen : discrete observatie van de handelingen van een persoon (invoeren van wachtwoorden, lezen van vertrouwelijke informatie)
10. Bumperkleven fysieke toegang tot een beveiligde locatie door een werknemer te volgen, al dan niet onbewust.
11. Tegenprestatie uitwisseling van een dienst voor gegevens.

---

Hoe het werkt

Sleutelstadia :

1. 1. Herkenning en informatieverzameling : De aanvaller verzamelt informatie over het doelwit via sociale netwerken, openbare databases (OSINT), websites van bedrijven, enz.
   2. Een geloofwaardig scenario creëren : de aanvaller ontwikkelt een plausibel en persoonlijk scenario, waarbij hij inspeelt op urgentie, autoriteit, bekendheid of zeldzaamheid.
   3. Contact en psychologische manipulatie : de aanvaller neemt contact op met het slachtoffer en gebruikt manipulatietechnieken (druk, vleierij, angst, schuldgevoel, valse urgentie) om het slachtoffer tot actie over te halen.
   4. Bediening : het slachtoffer voert de door de aanvaller gewenste actie uit (informatie vrijgeven, malware installeren, bankoverschrijving).

---

Gevolgen

• Financieel : fraude, gelddiefstal, ransomware, commerciële verliezen.
• Gegevensbeveiliging : lekken van persoonlijke of professionele gegevens, inbreuk op de privacy.
• Reputatie : verlies van vertrouwen bij klanten, partners en werknemers, schade aan het merkimago.
• Juridisch : boetes voor het niet naleven van de regels voor gegevensbescherming (RGPD), gerechtelijke procedures.
• Operationeel : bedrijfsonderbrekingen, onbeschikbaarheid van IT-systemen, productiviteitsverlies.

---

Opmerkelijke voorbeelden

1. Attack on Target (2013): Grootschalige hack via een leverancier van verwarmings-, ventilatie- en airconditioningsystemen (HVAC), diefstal van 40 miljoen bankkaartnummers en 70 miljoen adressen en persoonlijke gegevens.
2. Twitter Bitcoin-zwendel (2020): inbreken in de Twitter-accounts van bekende persoonlijkheden (Barack Obama, Elon Musk, Bill Gates) via een social engineering-aanval gericht op Twitter-medewerkers, verspreiding van frauduleuze berichten die mensen aanmoedigen om bitcoins te sturen.
3. RSA SecurID (2011) : gegevensdiefstal na een phishingaanval gericht op RSA-medewerkers, waarbij de beveiliging van SecurID-verificatietokens in gevaar werd gebracht.
4. Clinton-campagne (2016): compromittering van de e-mails van John Podesta, de campagnemanager van Hillary Clinton, via een spear phishing-aanval.

---

💉Bescherming en rechtsmiddelen

• Training en bewustwording van gebruikers : regelmatige training van werknemers en het publiek in social engineering-technieken, simulaties van phishing-aanvallen.
• Bronnen en informatie controleren : bevestig de identiteit van contactpersonen op alternatieve manieren (rechtstreeks telefoongesprek, raadpleging van de officiële website), klik nooit op verdachte links.
• Robuust beveiligingsbeleid : implementatie van een duidelijk beveiligingsbeleid (wachtwoordbeheer, toegangscontrole, apparaatbeheer), toepassing van het principe van de laagste rechten.
• Multi-factor authenticatie (MFA) : activering van twee-factor authenticatie om de beveiliging van online accounts te versterken.
• Technische veiligheidsinstrumenten : gebruik van antispamfilters, antivirussoftware, enz. firewallInbraakdetectiesystemen en oplossingen voor e-mailbeveiliging.
• Plan voor respons bij incidenten : definieer duidelijke procedures in het geval van een beveiligingsincident en stel een incidentresponsteam samen.
• Wees op je hoede voor aanbiedingen die te mooi zijn om waar te zijn: Pas op voor verleidelijke aanbiedingen, gemakkelijke winsten en dringende verzoeken.

---

📊Statistieken en cijfers

• Frankrijk :
  • 83 % van de cyberaanvallen betreft phishing (ANDDI, 2022)
  • 54 % van de Franse bedrijven heeft te maken gehad met een poging tot social engineering (ANSSI, 2021).
• Wereld :
  • 82 % van de datalekken maakt gebruik van social engineering (Verizon DBIR 2022).
  • Verliezen van 2,4 miljard dollar in de Verenigde Staten (FBI IC3, 2021).
  • 30 % van de gebruikers klikt op phishing-links (Proofpoint, 2022).