Social engineering beschrijft de manier waarop slachtoffers worden gemanipuleerd om informatie te delen, malware te downloaden en geld naar criminelen te sturen. In tegenstelling tot kwaadaardige softwarepakketten kan het menselijk brein niet worden gepatcht; op basisniveau is iedereen even kwetsbaar voor social engineering. En hoewel de publieke perceptie van social engineering zich niet veel heeft ontwikkeld sinds de dagen van de Nigeriaanse prins-zwendel, hebben aanvallers kunnen profiteren van het torenhoge aantal datalekken om een ​​aantal van de meest snode en manipulatieve technieken tot nu toe aan een stresstest te onderwerpen.

Sociale engineering uitgelegd

Hoe werkt sociale engineering?

Social engineering kan een aantal verschillende vormen aannemen, afhankelijk van de aanpak van de aanvallers. Voor aanvallen op organisaties is het zich voordoen als een vertrouwd merk of partner een van de meest lucratieve. In 2019 gebruikten cybercriminelen AI-gebaseerde software om de stem van een CEO na te bootsen. 

De CEO van een in Groot-Brittannië gevestigd energiebedrijf kreeg een telefoontje van zijn baas – dat dacht hij tenminste – met het verzoek om dringend een bedrag van € 220,000 ($ 243,000) naar een Hongaarse leverancier. Hoewel dit een zeldzaam voorbeeld is van aanvallers die gebruik maken van AI, zijn de meeste social engineers zich nog steeds bewust van de kracht van het zich voordoen als een vertrouwde organisatie. In dezelfde lijn volgen aanvallen die tot doel hebben regerings- en gezagsfiguren na te bootsen. Het vertrouwen dat wordt verleend aan overheidsinstellingen biedt aanvallers een vruchtbare mogelijkheid om misbruik te maken: het zich voordoen als de IRS kan social engineering-aanvallen ook een tijdsbeperkt of bestraffend voordeel geven, waardoor slachtoffers ertoe worden aangezet zonder nadenken tot handelen over te gaan. 

Social engineering-methoden zijn grotendeels gericht op twee groepen emoties. De eerste houdt angst en urgentie in. Tientallen jaren van evolutie hebben ervoor gezorgd dat cybercriminelen hun angstopwekkende technieken steeds verder hebben verfijnd. Een onverwachte e-mail waarin staat dat een recente creditcardtransactie niet is goedgekeurd, plaatst de hersenen bijvoorbeeld onder grotere hoeveelheden stress omdat het slachtoffer ervan uitgaat dat hun kaart frauduleus is gebruikt. Deze paniek zorgt ervoor dat ze op de bijbehorende link klikken, hun inloggegevens invoeren op de overtuigende inlogpagina van de bank, om vervolgens door te worden gestuurd naar een legitieme pagina. Hoe dan ook, het slachtoffer heeft zojuist zijn bankgegevens aan fraudeurs overhandigd. Hoewel het winstgevend is voor aanvallers, zijn financiën niet de enige manier om paniek te veroorzaken: eigenaren van kleine websites en bedrijven kunnen een bericht ontvangen waarin ten onrechte wordt beweerd dat een afbeelding op hun site in strijd is met de auteursrechtwetgeving, waardoor ze persoonlijke informatie – of zelfs geld in de vorm van geld – moeten overhandigen. van een boete. Sommige op urgentie gebaseerde aanvallen maken zelfs gebruik van de façade van tijdelijke deals, om slachtoffers onder druk te zetten om zo snel mogelijk te klikken.

De andere vorm van social engineering-aanval doet een beroep op hebzucht; de Nigeriaanse Prince-aanval is hiervan het traditionele voorbeeld. Hier ontvangt het slachtoffer een e-mail van een persoon die beweert een vluchtend lid van een Nigeriaanse koninklijke familie te zijn. De afzender heeft iemands bankrekening nodig om zijn miljoenen te kunnen overmaken, maar heeft eerst de bankgegevens van zijn slachtoffer nodig. Het slachtoffer, dat graag wil profiteren van de miljoenen die moeten worden gestort, kan worden overgehaald om een ​​relatief klein voorschot of zijn gegevens op te sturen. In de cybercriminaliteitsindustrie is deze aanval oud, maar in 2018 leverde deze nog steeds honderdduizenden dollars op.

Soorten social engineering-aanvallen

Social engineering omvat een breed scala aan aanvalspatronen, die elk hun eigen benadering hanteren bij het manipuleren van slachtoffers. 

Phishingaanvallen

Phishing omvat een van de meest beruchte vormen van social engineering-aanvallen. Bij deze aanvallen ontvangt een slachtoffer berichten die tot doel hebben hem te manipuleren om gevoelige informatie te delen of kwaadaardige bestanden te downloaden. Oplichters erkennen dat de inbox het meest kwetsbare deel van elke organisatie is, en dat berichten met toenemende legitimiteit worden vervaardigd, waarbij bekende organisaties, vrienden van de ontvanger of geloofwaardige klanten worden nagebootst. 

Er zijn vijf belangrijke vormen van phishing-aanvallen; de gevaarlijkste daarvan is de spearphishing-techniek. Deze tactiek is gericht op een specifiek individu – meestal iemand die bevoorrechte toegang heeft gekregen tot gevoelige informatie en netwerken. De aanvaller zal een langdurig onderzoek uitvoeren naar de beoogde persoon, waarbij hij vaak sociale media gebruikt om hun gedrag en bewegingen te volgen. Het doel is om een ​​boodschap te creëren die op geloofwaardige wijze is verzonden door iemand die het doelwit kent en vertrouwt – of die verwijst naar situaties waarmee het doelwit bekend is. Walvisvangst verwijst naar dit proces dat wordt ingezet tegen spraakmakende individuen zoals CEO's. Spearphishing kan tot vrijwel onfeilbaarheid worden versterkt met Business Email Compromise (BEC), waardoor kwaadaardige e-mails kunnen worden verzonden vanaf het echte e-mailaccount van de autoriteitsfiguur.  

De volgende twee soorten phishing hebben betrekking op het medium waarmee contact is opgenomen met het slachtoffer. Terwijl phishing doorgaans aan e-mails doet denkenzijn aanvallers meer dan bereid om elke vorm van potentieel contact met slachtoffers te benutten. Dit kan onder meer vishing omvatten – zoals de eerder genoemde CEO-stemdupe – en het betrekken van een (schijnbare) persoon aan de andere kant van de lijn kan een gevoel van urgentie bij de slachtoffers verder inboezemen. 

IBM heeft gegevens vrijgegeven waaruit bleek dat de opname van Vishing in een campagne de kans op succes met wel 300% verhoogde. Smishing daarentegen ziet dat aanvallers sms-berichten gebruiken om hetzelfde doel te bereiken. De manier waarop deze verschillende berichten en e-mails hun slachtoffers bereiken, is net zo veelzijdig als de aanvallers zelf: de meest basale vorm hiervan is bulkphishing. Zeer vergelijkbare e-mails – meestal op basis van een sjabloon – worden in één keer naar miljoenen ontvangers verzonden. Bulkaanvallers weten dat phishing slechts een spel van getallen is: stuur ze naar voldoende mensen, en uiteindelijk zal iemand het slachtoffer worden. Deze e-mails zijn zo algemeen mogelijk en lijken afkomstig te zijn van mondiale banken en grote onlinebedrijven. Veel voorkomende onderwerpen zijn nep-e-mails voor het opnieuw instellen van wachtwoorden en verzoeken om kredietinformatie-updates. Zoekmachinephishing daarentegen probeert 'organische' slachtoffers te genereren; aanvallers bouwen kwaadaardige websites die vervolgens hoog genoeg scoren in de zoekresultaten van Google zodat de slachtoffers ervan uitgaan dat ze legitiem zijn. Op sociale mediaplatforms pikken vissersphishers slachtoffers op door zich voor te doen als de officiële accounts van vertrouwde bedrijven. Wanneer een klant contact met hen opneemt, zullen deze nepaccounts misbruik maken van hun vragen en zorgen om hun persoonlijke gegevens en creditcardgegevens te verzamelen. 

Lokaasaanvallen

Terwijl phishing vaak afhankelijk is van urgentietechnieken onder hoge druk, lokken lokaasaanvallen de slachtoffers ertoe om tegen hun belangen in te handelen. In 2020, de FBI gaf een waarschuwing aan in de VS gevestigde organisaties; er werd ontdekt dat de beruchte cybercriminaliteitsgroep FIN7 kwaadaardige USB-drives gebruikte om ransomware aan meerdere organisaties te bezorgen. Deze USB's waren verzonden als pakketten met PR- en openbare veiligheidsberichten; Er was één in beslag genomen pakket aangetroffen dat het Amerikaanse ministerie van Volksgezondheid imiteerde, verwijzend naar de Covid-19-richtlijnen, en een ander probeerde een Amazon-cadeaupakket te imiteren, vol met valse cadeaubonnen en de kwaadaardige USB.

Bumperklevende aanvallen

Bumperkleven, of meeliften, komt voort uit ideeën rond fysieke perimeterbeveiliging. Hier volgt een aanvaller een legitieme en geautoriseerde persoon op de voet in het gebied dat waardevolle bezittingen bevat. Digitale bumperkleven is een van de eenvoudigste vormen van cyberaanvallen, die sterk afhankelijk zijn van de onzorgvuldigheid van werknemers. Dit kan lijken op een werknemer die zijn apparaat onbeheerd achterlaat terwijl hij naar het toilet in de plaatselijke bibliotheek gaat – dit is legitiem hoe de De FBI heeft Ross Ulbricht neergehaald, de eigenaar van de drugswebsite Silk Road, in 2013.

Aanvallen onder voorwendsel

Bij voorwendselaanvallen creëert de aanvaller een geloofwaardige maar toch nepsituatie voor het slachtoffer. Als ze eenmaal in de leugen geloven, worden slachtoffers een stuk manipuleerbaarder. Veel voorwendsels richten zich bijvoorbeeld op het feit dat het slachtoffer wordt getroffen door een inbreuk op de beveiliging. Vervolgens wordt aangeboden om het probleem op te lossen, door hun 'IT-ondersteuning' op afstand de controle over het apparaat van het slachtoffer over te nemen, of door gevoelige accountgegevens te bemachtigen. Technisch gezien zal bijna elke poging tot social engineering een zekere mate van voorwendsel met zich meebrengen, dankzij het vermogen ervan om een ​​slachtoffer kneedbaarder te maken.

Quid pro quo-aanvallen

Bij quid pro quo-aanvallen wordt gebruik gemaakt van de uitlokmethode – waarbij een wenselijk goed of een wenselijke dienst voor het gezicht van het slachtoffer wordt bungelt – maar alleen wanneer het slachtoffer in ruil daarvoor persoonlijke informatie weggeeft. Of het nu gaat om valse wedstrijdwinsten of om een ​​'welke Disney-prinses ben jij'-quiz, de informatie die door deze aanvallen wordt verspreid, kan later bijdragen aan ernstiger aanvallen. 

Scareware-aanvallen

Scareware beschrijft elke vorm van malware die tot doel heeft zijn slachtoffers bang te maken om informatie te delen of verdere malware te downloaden. Hoewel valse technische ondersteuningsberichten het traditionele voorbeeld zijn, maken nieuwere aanvallen volledig gebruik van gevoelens van angst en schaamte. Onlangs werden e-mailadressen gestolen van een rekruteringswebsite en werden er valse vacatures naar elk adres gestuurd; Als u op het bijgevoegde document klikt, wordt het downloaden van een Trojaans virus gestart. De aanval was specifiek gericht op e-mailadressen van bedrijven, omdat ze wisten dat werknemers die het slachtoffer werden, zouden aarzelen om hun werkgevers te vertellen dat ze besmet waren terwijl ze op zoek waren naar ander werk.

Watering Hole-aanvallen

Ten slotte zorgen watering hole-aanvallen ervoor dat aanvallers zich richten op populaire legitieme webpagina's. Door kwaadaardige code te injecteren op sites die vaak door doelwitten worden bezocht, kunnen aanvallers slachtoffers indirect betrappen met drive-by downloads en diefstal van inloggegevens. 

Hoe social engineering-aanvallen te identificeren

Social engineering-aanvallen zijn zo succesvol omdat ze als zodanig onopgemerkt kunnen blijven. Daarom is het herkennen van een aanval – bij voorkeur voordat deze u in de val lokt – een belangrijk onderdeel van aanvalspreventie. Hier zijn de zes belangrijkste identificatiegegevens van een poging tot social engineering-aanval:

Verdachte afzender

Een van de gemakkelijkste manieren om zich voor te doen als een legitiem bedrijf is e-mailspoofing. Hier zal het adres van de aanvaller vrijwel identiek zijn aan dat van de echte organisatie, maar niet helemaal. Sommige karakters kunnen enigszins worden gewijzigd of volledig worden weggelaten; dit kan ongelooflijk stiekem worden, zoals het veranderen van een hoofdletter 'I' naar een kleine letter 'l'.

Algemene begroetingen en afmeldingen

Bulkphishing-e-mails gebruiken bijna altijd een algemene begroeting, zoals meneer of mevrouw. Echt marketingmateriaal begint echter meestal met een naam, aangezien vertrouwde organisaties normaal gesproken de contactgegevens gebruiken die in hun database zijn opgenomen. Deze vorm van contact van vertrouwde organisaties strekt zich ook uit tot het einde van de e-mail, omdat de handtekening van de afzender vaak contactgegevens bevat. De combinatie van algemene begroeting en een gebrek aan contactgegevens is een sterke indicator van phishing.

Vervalste hyperlinks en websites

Een van de gemakkelijkste manieren om een ​​apparaat in gevaar te brengen is via een website die is geladen met kwaadaardige code. Dankzij de opmaak van hyperlinks op moderne apparaten kan elke tekst aan elke URL worden gekoppeld. Hoewel het mogelijk is om dit op een pc te controleren door over de link te bewegen en de geldigheid ervan te beoordelen, lopen mobiele gebruikers en tabletgebruikers een groter risico om ongewild door te klikken. Wat de overdaad aan vervalste hyperlinks nog erger maakt, is het vermogen van aanvallers om legitieme websites nauwkeurig na te bootsen, waardoor een aanval geloofwaardiger wordt. Een vervalste URL volgt hetzelfde patroon als een vervalst e-mailadres: een variatie in de spelling of het domein, zoals het wijzigen van .gov in .net, zijn enkele van de meest succesvolle technieken.

Secundaire bestemmingen

Het is heel gebruikelijk dat marketingmateriaal en andere berichten bijgevoegde documenten bevatten. Aanvallers maken hiervan gebruik door het slachtoffer naar een echt document (of hostingsite) te leiden, die het slachtoffer op zijn beurt naar een kwaadaardige pagina leidt. Deze techniek wordt vaak toegepast op teams van werknemers die regelmatig samenwerken aan het werk. Als een legitiem document een link naar een kwaadaardig bestand bevat, is dat niet alleen geloofwaardiger voor de slachtoffers, maar omzeilt het ook de basismechanismen voor de beveiliging van de inbox.

Spelling en lay-out

De meest voor de hand liggende indicatie van phishing-aanvallen: slechte grammatica en spelling. Gerenommeerde organisaties besteden bijna altijd tijd aan het verifiëren en proeflezen van klantcorrespondentie. Tegelijkertijd fungeert de gebrekkige grammatica die geassocieerd wordt met de social engineering-kunst van menselijke hackaanvallen als een inherent filtermechanisme. Aanvallers willen hun tijd niet verspillen aan het omgaan met verdachte mensen: degenen die vallen voor de slechte grammatica en spelling zijn kwetsbaar genoeg om een ​​gemakkelijke prooi te zijn.

Verdachte bijlagen

Ongevraagde e-mails waarin de gebruiker wordt gevraagd bijlagen te downloaden en te openen, moeten alarmbellen doen rinkelen. In combinatie met een toon van urgentie is het belangrijk om deze paniek om te buigen naar een gevoel van voorzichtigheid. In gevallen van zakelijke e-mailcompromis is het mogelijk dat zelfs ongelooflijk korte berichten een wijdverspreid pandemonium ontketenen: het ontvangen van een e-mail van een hoge leidinggevende waarin wordt verklaard 'Ik wil dat dit document binnen tien minuten op mijn bureau wordt afgedrukt', zou een stagiair voor de gek kunnen houden door de grammaticale fout uit angst.

Hoe u social engineering-aanvallen kunt voorkomen

Hoewel het gebruikelijk is om phishing-aanvallen als een puur individueel probleem te beschouwen, groeit de vraag om de preventie van social engineering als een collectieve inspanning te beschouwen. Aanvallers bewapenen immers eenvoudigweg de natuurlijke reacties van gebruikers op angst en paniek. Het beschermen van een organisatie – en haar gebruikers – komt neer op drie belangrijke gebieden.

#1. Beveiligingsbewustzijnstraining

Eerst en vooral: medewerkers de middelen geven om zichzelf te verdedigen. Training in beveiligingsbewustzijn moet relevant zijn voor hun gebruikers, terwijl de nadruk wordt gelegd op enkele eenzijdige regels. Werknemers moeten begrijpen dat ze niet op links in e-mails en berichten mogen klikken. In plaats daarvan moeten ze de gewoonte aanleren om simpelweg op zoek te gaan naar een legitieme versie. Moderne internetsnelheden maken dit een gemakkelijke oplossing. 

Wachtwoordhygiëne is op dit moment een herinnering die elke medewerker al duizend keer heeft gehoord. Gezien de tientallen online accounts die iedereen nu heeft, zijn unieke en complexe wachtwoorden alleen echt mogelijk via het gebruik van een wachtwoordbeheerder. Het op deze manier ondersteunen van medewerkers kan een grote bijdrage leveren aan het beperken van de explosieradius van succesvolle aanvallen. 

Ten slotte moeten werknemers begrijpen dat iedereen kwetsbaar is. Het lekken van persoonlijke informatie via sociale media is de drijvende kracht achter de enorm succesvolle walvisphishing-industrie. Hoewel het goed is om te onthouden dat scholen, huisdieren en geboorteplaatsen buiten de publieke belangstelling moeten worden gehouden, vinden sommige werknemers het misschien gemakkelijker om beveiligingsvragen op te stellen die gedenkwaardig maar technisch gezien niet waar zijn. Stel bijvoorbeeld de beveiligingsvraag 'waar ging je naar school?' met 'Hogwarts' kunnen nieuwsgierige aanvallers volledig van zich afwerpen. 

#2. Toegangscontrolebeleid

Het controleren van de toegang tot elk eindpunt is een essentieel onderdeel van social engineering-preventie. Van gebruikers- tot authenticatieprocessen: er moet strikte controle zijn over wie toegang heeft tot wat. Eindgebruikers moeten computers en apparaten vergrendelen wanneer ze weggaan – dit moet worden versterkt en geautomatiseerd via korte slaaptimers. Wanneer apparaten in de openbare ruimte worden gebruikt, dienen deze te allen tijde in het bezit van de medewerkers te zijn. Alle authenticatie moet worden versterkt met MFA. Dit kan de dreiging van BEC en diefstal van inloggegevens volledig tenietdoen.

Uiteindelijk kan het simpelweg verifiëren van de identiteit met een vingerafdruk of telefoon het verschil maken tussen een vervalste e-mail die wordt onderschept en een BEC-aanval die miljoenen schade aanricht.

#3. Beveiligingstechnologieën

Werknemers moeten grondig worden ondersteund met een uitgebreid pakket beveiligingstechnologieën. Als de spamfiltering van een e-mailprogramma bijvoorbeeld nog steeds verdachte e-mails in de inbox toelaat, kunnen filters van derden helpen bij het monitoren en voorkomen van social engineering-aanvallen met een URL-blacklist-aanpak. Hoewel preventie op basis van inboxen belangrijk is, is de implementatie ervan wellicht nog belangrijker browserbeveiliging van hoge kwaliteit. Idealiter zal dit rootkits, Trojaanse paarden en spoofs voor het stelen van inloggegevens bestrijden, waardoor een veel dieper reikende bescherming wordt geboden dan gedeeltelijke URL-herkenning. 

De LayerX-oplossing

De gebruikersgerichte browserextensie van LayerX biedt een enkele, alomvattende aanpak voor het bestrijden van social engineering-aanvallen. Browsersessies worden gemonitord op de applicatielaag, waardoor volledig inzicht wordt verkregen in alle browse-gebeurtenissen. Elke webpagina kan een stap verder gaan dan het 'blokkeren of ontkennen'-proces, waarbij diepgaande analyses realtime dreigingsneutralisatie mogelijk maken. Op deze manier kan gedetailleerde handhaving voorkomen dat zelfs zeer geavanceerde BEC-aanvallen payloads opleveren. In plaats van te vertrouwen op een stapsgewijze aanpak via DNS-blokkeerlijsten, combineert de toekomstbestendige aanpak van LayerX geavanceerde dreigingsinformatie met diepgaande handhaving op elk eindpunt.