De zomer komt eraan. De beste tijd van het jaar, toch? Relaxen, genieten, van dag tot dag leven, genieten van de vruchten van onze arbeid. Of misschien toch niet..
De dreiging van social engineering lijkt voor zowel consumenten als bedrijven toe te nemen.
Wacht even, social engineering? Wat heeft dat ermee te maken? Social engineering ... is dat niet zoiets als community planning ... of is het meer een gedragsverandering? Nee, in beide opzichten.
Herinnert u zich de filmklassieker "The Sting" (opnieuw met mijn favoriete acteurs Redford en Newman, waarnaar ik al verwees in een andere blog over cyberbankovervallen)? In de film spelen onze helden deze keer, twee oplichters die een bekende gangster voor een half miljoen dollar willen oplichten (in 1936 was 500.000 dollar evenveel als 9 miljoen dollar vandaag). Ze zetten een val op volgens een uitgebreid scenario, met behulp van basisinformatie die ze al hebben over de gangster of het 'doelwit' (perfect gespeeld door acteur Robert Shaw), en zorgen voor een aantal 'toevallige' ontmoetingen en trucs om meer vertrouwen te creëren en informatie te winnen die ervoor kan zorgen dat hun doelwit hen meer vertrouwt. De oplichterspraktijken blijven voortduren tot het tijd is om het slachtoffer in de val te lokken en de val te sluiten om een grote slag te slaan (de link is een spoiler ... en als u deze film uit 1973 nog niet heeft gezien, wordt dat hoog tijd).
Dat is zo’n beetje wat social engineering is, een menselijk vertrouwensspel. Social engineering wordt gebruikt door hackers, die met behulp van phishing voldoende persoonlijke informatie proberen buit te maken met vragen en interacties die vertrouwen opwekken. Deze beleefde gesprekjes en 'sociale' interactie via telefoon, e-mail en online gemeenschappen zoals Facebook, geven ogenschijnlijk onschuldige informatie prijs, maar overhandigen eigenlijk de sleutels van het koninkrijk. In de meeste gevallen ontgrendelen succesvolle social engineering-aanvallen de toegang tot geld, privacy en geheimen; sommigen noemen dit de trifecta van ondeugden.
De kosten van social engineering-aanvallen
Deze social engineers hebben de afgelopen jaren uiteraard niet stilgezeten en hun vaardigheden geperfectioneerd om zelfs de meest recente online kwetsbaarheden en cryptobeleidslijnen te misbruiken. De FBI meldde aan de American Banking Journal dat in de VS alleen, social engineering-aanvallen bedrijven sinds 2013 in totaal 1,6 miljard dollar hebben gekost. Volgens het rapport van het Ponemon Institute en Accenture "2017 Cost of Cyber Crime Study" is dat een gemiddelde kostenstijging van 62 percent. Enkele andere feiten uit het rapport:
- organisaties betalen jaarlijks gemiddeld 11,7 miljoen dollar aan kosten om cybercriminaliteit aan te pakken (23% meer dan het voorgaande jaar);
- organisaties hebben gemiddeld 130 succesvolle beveiligingsinbreuken per jaar (een stijging van 27% sinds het vorige jaar).
In zijn blogartikel op Peerlyst "The Money in Social Engineering - A Trillion Dollar Industry" uit 2017 stelt Tony Reijm dat de kosten van cyberincidenten geschat worden op 2 biljoen dollar in 2019, en de gevolgen van een groot cyberincident zijn naar schatting vergelijkbaar met die van een natuurramp (53 miljard dollar).
Hij stelt vervolgens de allerbelangrijkste vraag: "wat hebben al deze statistieken over cyberincidenten te maken met social engineering? Van deze enorme verliezen is meer dan 90 percent te wijten aan het menselijke element.”
Verschillende soorten social engineering en waarop u moet letten
Volgens Interpol kunnen social engineering-aanvallen in twee hoofdcategorieën worden ingedeeld:
- Massafraude — gebruikt basistechnieken gericht op een groot aantal mensen; en
- Gerichte Fraude — heeft een hogere mate van verfijning en is gericht op zeer specifieke personen of bedrijven.
Interpol vertelt ons ook dat de meeste social engineering-aanvallen dezelfde vier stappen volgen:
- Informatie verzamelen.
- Een relatie opbouwen.
- Vastgestelde kwetsbaarheden uitbuiten.
- Uitvoeren.
Nate Lord, voormalig redacteur van Data Insider beschrijft in zijn artikel "What is Social Engineering: DEFINING AND AVOIDING COMMON SOCIAL ENGINEERING THREATS" de basisbeginselen voor het herkennen en informeren van anderen over de eenvoudigste vormen van social engineering-aanvallen:
- Baiting – aanvallers laten een met malware geïnfecteerd apparaat, zoals een USB-stick of cd, achter op een plaats waar iemand dat waarschijnlijk zal vinden. Laad nooit een gevonden apparaat, hoe verleidelijk dat ook is.
- Phishing – phishing lokt u in de val wanneer een aanvaller frauduleuze berichten stuurt die eruitzien als echte berichten en afkomstig lijken van een vertrouwde bron. In een phishing aanval wordt de ontvanger misleid om malware op zijn of haar apparaat te installeren of om persoonlijke, financiële of zakelijke informatie te delen. E-mail is de meest gebruikte communicatiewijze voor phishing aanvallen, maar phishing kan ook gebruik maken van chattoepassingen, sociale media, telefoongesprekken of gespoofde websites die zijn ontworpen om er legitiem uit te zien. Bij een aantal van de ergste phishing aanvallen wordt om donaties gevraagd nadat er zich een natuurramp of dramatische gebeurtenis heeft voorgedaan. Ze maken misbruik van de goede wil van mensen en vragen hen om geld aan een goed doel te geven door persoonlijke gegevens of betalingsgegevens in te voeren. Lees de blog over phishingtechnieken van GlobalSign
- Pretexting – pretexting en phishing via telefoon of e-mail lijken sterk op elkaar en doen zich voor wanneer een aanvaller valse omstandigheden creëert om een slachtoffer ertoe te dwingen hem toegang te geven tot gevoelige gegevens of beveiligde systemen. Voorbeelden van pretexting-aanvallen zijn een oplichter die doet alsof hij financiële gegevens nodig heeft om de identiteit van de ontvanger te bevestigen of die zich voordoet als een vertrouwde entiteit, zoals een medewerker van de IT-afdeling van het bedrijf, om het slachtoffer te overtuigen zijn aanmeldingsgegevens bekend te maken of hem toegang tot zijn computer te geven. In tegenstelling tot phishing berichten, die angst en urgentie in hun voordeel gebruiken, geven pretexting-aanvallen het slachtoffer een vals gevoel van vertrouwen. Dit vereist dat de aanvaller een geloofwaardig verhaal opbouwt dat weinig ruimte laat voor twijfel bij zijn doelwit.
- Quid pro quo – een quid pro quo-aanval doet zich voor wanneer aanvallers persoonlijke gegevens van iemand vragen in ruil voor iets aantrekkelijks of een vorm van compensatie. Een aanvaller kan bijvoorbeeld aanmeldingsgegevens vragen in ruil voor een gratis geschenk. Vergeet niet: als het klinkt alsof het te mooi is om waar te zijn, dan is het dat waarschijnlijk ook.
- Spear phishing – spear phishing is een zeer gerichte soort phishing aanval die zich op een specifieke persoon of organisatie richt. Spear phishing-aanvallen gebruiken persoonlijke informatie die specifiek is voor de ontvanger om vertrouwen te winnen en legitiemer te lijken. Vaak is deze informatie afkomstig van de sociale media-accounts of andere onlineactiviteiten van slachtoffers. Door hun phishing tactieken te personaliseren, slagen spear phishers er vaak in om hun slachtoffers te misleiden en toegang te krijgen of gevoelige informatie buit te maken, zoals financiële gegevens of handelsgeheimen.
- Tailgating – tailgating is een fysieke social engineering-techniek waarbij ongeautoriseerde personen geautoriseerde personen volgen naar een anders beveiligde locatie. Het doel van tailgating is waardevolle eigendom of vertrouwelijke informatie buitmaken. Tailgating kan zich voordoen wanneer iemand u vraagt om de deur open te houden omdat ze hun toegangskaart vergeten zijn of wanneer iemand u vraagt om uw telefoon of laptop te lenen om een eenvoudige taak uit te voeren en in plaats daarvan malware installeert of gegevens steelt.
Volgens Lord is "social engineering een ernstige en voortdurende dreiging voor veel organisaties en individuele consumenten die het slachtoffer worden van deze oplichters. Opleiding is de eerste stap om te voorkomen dat uw organisatie het slachtoffer wordt van gewiekste aanvallers die steeds verfijndere social engineering-methodes gebruiken om toegang te krijgen tot gevoelige gegevens."
Een recent artikel van FoolsRushIn.info beschrijft een typische social engineering-aanval waarbij de oplichters toegang kregen tot het IT-systeem van een werknemer met behulp van pretexting en spear phishing – zeker het lezen waard, want het eindigt met een verklaring van de mensen bij IBM:
"Het is fascinerend – en ontmoedigend – dat meer dan 95 percent van alle onderzochte incidenten 'menselijke fout' erkennen als een belangrijke factor. De meest gemaakte menselijke fouten zijn foutieve systeemconfiguraties, slecht patchbeheer, gebruik van standaard gebruikersnamen en wachtwoorden of makkelijk te raden wachtwoorden, verloren laptops of mobiele apparaten, en onthulling van gereglementeerde informatie via het gebruik van een onjuist e-mailadres. De meest voorkomende menselijke fout? Dubbelklikken op een geïnfecteerde bijlage of een onveilige URL."
Consumenten zijn ook slachtoffers van social engineering
Het Norton Cyber Security Insights Report, een online onderzoek bij 21.549 personen ouder dan 18 jaar in 20 markten, bespreekt de impact en kwetsbaarheid van social engineering bij gewone consumenten:
"Op het gebied van cyberbeveiliging hebben consumenten te veel vertrouwen in hun beveiligingscapaciteiten, wat hen kwetsbaar maakt en cybercriminelen de inzet dit jaar heeft doen verhogen, met een recordaantal aanvallen als gevolg."
Enkele statistieken uit het rapport:
- 978 miljoen mensen in 20 landen werden het slachtoffer van cybercriminaliteit in 2017.
- 44 percent van de consumenten werd getroffen door cybercriminaliteit in de afgelopen 12 maanden.
- De meest voorkomende cybermisdaden, ervaren door consumenten of iemand die ze kennen, zijn:
- een infectie van een apparaat door een virus of andere veiligheidsdreiging (53 percent);
- fraude met een bankkaart of creditcard (38 percent);
- het achterhalen van een accountwachtwoord (34 percent);
- ongeautoriseerde toegang tot of hacken van een e-mailaccount of sociale media-account (34 percent);
- een online aankoop doen die oplichting blijkt te zijn (33 percent); en
- o klikken op een frauduleuze e-mail of gevoelige (persoonlijke/financiële) informatie opgeven in antwoord op een frauduleuze e-mail (32 percent).
Het rapport concludeert: "consumenten die het slachtoffer waren van cybercriminaliteit verloren wereldwijd 172 miljard dollar – gemiddeld 142 dollar per slachtoffer – en bijna 24 uur (of bijna drie volledige werkdagen) om de nasleep aan te pakken." U zult merken dat deze laatste drie feiten vormen van social engineering zijn.
Het United States Computer Emergency Readiness Team (ja, dat bestaat!), heeft onlangs herzien en benadrukt wat ze beschouwen als veilige praktijken voor zowel consumenten als bedrijven.
- Wees argwanend bij ongevraagde telefoonoproepen, bezoeken of e-mailberichten van personen die vragen stellen over werknemers of andere interne informatie. Als een onbekend individu beweert dat hij of zij voor een legitieme organisatie werkt, probeer dan zijn of haar identiteit rechtstreeks bij het bedrijf te verifiëren.
- Geef geen persoonlijke informatie of informatie over uw organisatie, inclusief de structuur of netwerken, tenzij u zeker bent dat de persoon recht heeft op deze informatie.
- Onthul geen persoonlijke of financiële gegevens in een e-mail en reageer niet op e-mails waarin om deze informatie wordt gevraagd. Dit omvat links in een e-mail.
- Verzend geen gevoelige informatie via het internet voordat u de beveiliging van de website gecontroleerd heeft. Zie: Protecting Your Privacy voor meer informatie.
- Controleer de URL van een website. Kwaadaardige websites zien er hetzelfde uit als een legitieme site, maar de URL kan een variatie in de spelling of een ander domein gebruiken (bv. .com versus .net).
- Als u niet zeker bent of een e-mailbericht legitiem is, probeer dit dan te verifiëren door direct contact op te nemen met het bedrijf. Gebruik geen contactgegevens die u vindt op een website gekoppeld aan de aanvraag; controleer in plaats daarvan eerdere verklaringen voor de contactgegevens. Informatie over bekende phishing aanvallen is ook online beschikbaar bij groepen zoals de Anti-Phishing Working Group.
- Installeer en onderhoud antivirussoftware, firewalls en e-mailfilters om dit verkeer te beperken.
- Gebruik de anti-phishing functies van uw e-mailclient en webbrowser.
CERT-waarschuwing: wat moet u doen als u denkt dat u een slachtoffer bent?
- Als u denkt dat u mogelijk gevoelige informatie over uw organisatie heeft vrijgegeven, meld dit aan de bevoegde personen in de organisatie, inclusief netwerkbeheerders. Ze kunnen alert zijn op verdachte of ongewone activiteiten.
- Als u denkt dat uw financiële rekeningen gecompromitteerd zijn, neem dan onmiddellijk contact op met uw financiële instelling en sluit de getroffen rekeningen. Let op voor onverklaarbare kosten op uw rekening.
- Wijzig wachtwoorden onmiddellijk die u mogelijk heeft prijsgegeven. Als u hetzelfde wachtwoord voor meerdere accounts gebruikt, wijzig dan het wachtwoord voor iedere account en gebruik het in de toekomst niet meer.
- Let op andere tekenen van identiteitsdiefstal.
- U kunt de aanval ook melden bij de politie
Uiteindelijk zijn we allemaal mensen. We zijn kwetsbaar. We zijn van nature vertrouwend en welwillend (de meesten van ons in ieder geval). En uiteindelijk zijn we allemaal potentiële doelwitten voor oplichters. We zouden echter wel voorbereid moeten zijn op wat eraan komt. Voor meer duiding en uitgebreider onderzoek kunt u de onderstaande links raadplegen. Ze bevatten meer informatie over de soorten aanvallen en hoe bedrijven en consumenten zichzelf kunnen beschermen en kunnen voorkomen dat ze het slachtoffer worden van social engineering.