Nee, u kunt uw digitale voetafdruk niet wissen, maar u kunt deze verkleinen door inactieve accounts te verwijderen, u af te melden voor zoeksites naar persoonsgegevens
Bijgewerkt op 1 november 2023.
Social engineering is een phychologische manipulatietechniek die door criminelen wordt gebruikt om mensen dingen te laten doen of om privégegevens te bemachtigen. Social engineering kan online of persoonlijk plaatsvinden. 70 tot 90 procent van de datalekken betreft social engineering. Het is dus een van de grootste cybersecurity-bedreigingen voor zowel organisaties als particulieren.
Lees verder en ontdek hoe social engineering-aanvallen plaatsvinden, wat de verschillende soorten social engineering-aanvallen zijn en hoe u zich daartegen kunt beschermen.
Hoe vinden social engineering-aanvallen plaats?
Als voorbereiding op een social engineering-aanval bestuderen de criminelen hun doelwit eerst om meer te weten te komen over mogelijke uitbuitingspunten, zoals een slechte cybersecurity. De crimineel doet zich vervolgens voor als iemand anders om het vertrouwen van het slachtoffer te winnen, zodat het slachtoffer eerder vertrouwelijke gegevens vrijgeeft of de bedrieger toegang tot interne systemen geeft.
Social engineering-aanvallen kunnen echter ook persoonlijk plaatsvinden. Bij persoonlijke social engineering-aanvallen doen de criminelen zich bijvoorbeeld voor als een onderhoudstechnicus of een bezorger, zodat ze een gebouw binnen kunnen komen waar ze anders geen toegang toe hebben. Zodra een crimineel toegang heeft gekregen tot het gebouw, probeert hij de systemen te kraken, zodat hij vertrouwelijke gegevens kan stelen om die voor kwaadaardige doeleinden te gebruiken.
Soorten social engineering-aanvallen
Hieronder staan zeven soorten social engineering-aanvallen.
Phishing
Phishing is de meest voorkomende social engineering-aanval. Bij een phishing-aanval bedriegen cybercriminelen hun slachtoffers, zodat die vrijwillig gevoelige gegevens doorgeven. De crimineel doet zich voor als een bekende persoon of een bedrijf waar het slachtoffer een account of service bij heeft. Phishing-aanvallen worden meestal via e-mail uitgevoerd.
Deze e-mails kunnen kwaadaardige links en bijlagen bevatten en het slachtoffer wordt aangespoord om erop te klikken. Zodra het slachtoffer op een kwaadaardige link of bijlage klikt, wordt het apparaat van het slachtoffer meestal met malware geïnfecteerd of wordt het slachtoffer naar een gespoofede website gebracht die er legitiem uitziet. Gespoofede websites zijn ontworpen om gevoelige gegevens te stelen, zoals inloggegevens en creditcardnummers.
Smishing en vishing
Smishing, of sms-phishing, is een soort phishing-aanval die plaatsvindt via sms-berichten in plaats van e-mail. Deze berichten bevatten vaak aanbiedingen voor gratis goederen of tijdkritieke waarschuwingen over bankgegevens of andere gevoelige informatie. Het hoofddoel van een smishing-aanval is om het slachtoffers op een kwaadaardige link te laten klikken, zodat de criminelen hun gevoelige gegevens kunnen stelen.
Vishing is een ander soort phishing-aanval die plaatsvindt via een telefoongesprek, niet via sms-berichten of e-mails. Dit soort phishing-aanval is meestal overtuigender, omdat er meestal een andere persoon aan het woord is. Het doel van vishing is om het slachtoffer gevoelige gegevens te laten onthullen die de crimineel voor kwaadaardige doeleinden kan gebruiken. Vishing is moeilijker te herkennen, omdat de criminelen nu kunstmatige intelligentie (AI) gebruiken om de stem van iemand na te bootsen die het slachtoffer kent.
Piggybacking en tailgating
Bij piggybacking proberen de criminelen toegang te verkrijgen tot een netwerk, systeem of fysiek gebouw, zodat ze gevoelige gegevens kunnen stelen. Deze criminelen kunnen via onbeveiligde wifi toegang verkrijgen tot een netwerk of systeem. Dit heet piggybacking. Voor toegang tot een fysiek gebouw door gebruik van piggybacking, vertrouwen de criminelen op de vriendelijkheid van medewerkers om de deur voor hen te openen of open te laten.
Piggybacking en tailgating lijken op elkaar. Bij tailgating verkrijgen de criminelen toegang tot een fysiek gebouw zonder dat anderen dat weten of merken. Deze criminelen glippen bijvoorbeeld door een sluitende deur. Aangezien niemand weet hoe ze het gebouw zijn binnengeraakt, lijkt het alsof ze toestemming hebben om daar te zijn.
Pretexting
Bij pretexting probeert een crimineel een slachtoffer te overtuigen om gevoelige gegevens bekend te maken of geld te sturen als gevolg van een overtuigend, maar verzonnen verhaal. De crimineel doet zich meestal voor als een vriend, familielid, collega of baas, zodat het slachtoffer zich veilig voelt om de crimineel gevoelige gegevens te sturen. Pretexting-aanvallen gebeuren via telefoongesprekken, sms-berichten, e-mails of in persoon.
CEO-fraude
Bij CEO-fraude doet een crimineel zich voor als de CEO van een bedrijf om medewerkers gevoelige gegevens te laten verstrekken of geld te laten sturen, vaak in de vorm van cadeaubonnen. Bij een CEO-fraudeaanval hebben de criminelen hun slachtoffer meestal al eerder een paar sms-berichten of e-mails gestuurd, voordat ze het frauduleuze verzoek doen. Zo lijken ze geloofwaardiger en winnen ze het vertrouwen van het slachtoffer.
Scareware
Bij scareware gebruiken de criminelen psychische manipulatie om hun slachtoffers te misleiden. De slachtoffers denken dat ze antivirussoftware downloaden, maar in werkelijkheid is het malware. Malware is een kwaadaardig soort software dat door criminelen wordt gebruikt om gevoelige gegevens te stelen door de onwetende gebruikers te bespioneren of hun toetsaanslagen te traceren.
Dit soort social engineering-aanval wordt meestal uitgevoerd door het weergeven van willekeurige pop-ups op het apparaat van het slachtoffer die aangeven dat het apparaat is geïnfecteerd met een virus. Het bericht geeft ook aan dat het slachtoffer onmiddellijk antivirussoftware moet downloaden om van het virus af te komen. Als het slachtoffer op de pop-up klikt, wordt automatisch een echt virus of malware op het apparaat gedownload. Zodra de download is voltooid, kan de malware gevoelige gegevens naar de crimineel sturen, zodat die de identiteit van het slachtoffer kan stelen en zo online accounts kan hacken.
Romantische zwendels
Bij romantische zwendels geven criminelen het slachtoffer valse hoop op een liefdesrelatie. De criminelen gebruiken voor de romantische zwendel vaak de identiteit van iemand anders. Dit wordt ook wel het catfishen van een slachtoffer genoemd. Wanneer een crimineel een slachtoffer met een romantische zwendel bedriegt, wordt het slachtoffer gemanipuleerd om geld te sturen of persoonlijke gegevens te verstrekken waardoor de identiteit van het slachtoffer wordt gestolen of diens accounts worden gehackt.
Als een slachtoffer de crimineel eenmaal geld heeft gestuurd, wordt het slachtoffer ofwel herhaaldelijk om geld gevraagd of laat de crimineel nooit meer van zich horen.
Zo beschermt u zichzelf tegen social engineering
Als u zichzelf tegen social engineering wilt beschermen, moet u uw digitale voetafdruk opschonen, voorzichtig zijn met uw online en persoonlijke beveiliging, uw accounts beschermen met sterke wachtwoorden en multifactorauthenticatie (MFA) en uw persoonlijke gegevens niet met anderen delen.
Uw digitale voetafdruk opschonen
Uw digitale voetafdruk bestaat uit de sporen die u op internet achterlaat. Uw digitale voetafdruk bestaat voornamelijk uit actieve en passieve digitale gegevens. Uw passieve digitale voetafdruk bestaat uit de gegevens die websites op de achtergrond over u verzamelen, zoals de browsergeschiedenis, aankoopgeschiedenis en cookies. Uw actieve digitale voetafdruk bestaat uit de gegevens die u bewust op internet plaatst, zoals berichten op sociale media en openbare beoordelingen.
Het is belangrijk om uw digitale voetafdruk op te schonen. Hoe meer gegevens er online over u beschikbaar zijn, hoe makkelijker het voor criminelen is om u als doelwit te kiezen voor social engineering-aanvallen. Dit zijn de vier manieren om uw digitale voetafdruk op te schonen.
- Verwijder uw gegevens van de websites die mensen zoeken
- Zorg ervoor dat u niet te veel informatie op social media deelt
- Zorg ervoor dat uw sociale media-profielen privé zijn
- Verwijder en deactiveer accounts die u niet langer gebruikt
Wees voorzichtig met uw online en persoonlijke beveiliging
Aangezien social engineering-aanvallen zowel persoonlijk als online kunnen plaatsvinden, is het belangrijk om voorzichtig te zijn met wie u persoonlijke gegevens deelt en wie u in een gebouw binnenlaat. Als u op kantoor werkt, laat dan niet zomaar iedereen binnen. Zorg ervoor dat niemand vlak achter u naar binnen loopt.
Bescherm uw online accounts
Als u toch het slachtoffer wordt van een social engineering-aanval, is het belangrijk dat u al over beveiligingsmaatregelen beschikt om uw online accounts te beschermen. Dit omvat het gebruik van sterke wachtwoorden en multifactorauthenticatie voor accounts die deze beveiligingsoptie bieden.
Gebruik een wachtwoordgenerator of meld u aan voor een wachtwoordmanager-account. Deze tool helpt gebruikers bij het maken, beheren en veilig opslaan van wachtwoorden, zodat ze die niet allemaal zelf hoeven te onthouden. Behalve sterke wachtwoorden is het net zo belangrijk om MFA te gebruiken.
MFA is een beveiligingsmaatregel die naast uw gebruikersnaam en wachtwoord één of meer authenticatiestappen vereist voordat u zich bij een account kunt aanmelden. Zelfs als een crimineel uw gebruikersnaam en wachtwoord via een social engineering-aanval heeft achterhaald, kan hij met MFA uw account niet hacken zonder de extra authenticatiefactor.
Deel niet te veel persoonlijke gegevens
Zoals hierboven vermeld, moet u uw digitale voetafdruk zo schoon mogelijk houden door uw persoonlijke gegevens niet met te veel mensen online te delen. Het is echter ook belangrijk dat u voorzichtig bent met de gegevens die u persoonlijk met anderen deelt. U weet nooit welke bedoelingen anderen hebben. Het is dus beter om uw persoonlijke gegevens veilig te houden. Deel uw gegevens alleen met mensen die u kunt vertrouwen.
Zo beschermt u uw organisatie tegen social engineering
Als u uw organisatie wilt beschermen tegen social engineering-aanvallen, stuurt u uw medewerkers gesimuleerde phishing-e-mails, geeft u uw medewerkers regelmatige training in de best practices voor cybersecurity, investeert u in een wachtwoordmanager voor uw bedrijf en past u het principe van zo min mogelijk toegangsrechten toe.
Stuur gesimuleerde phishing-e-mails
Gesimuleerde phishing-e-mails zijn e-mails die organisaties naar hun eigen medewerkers sturen om te zien of ze phishing-aanvallen kunnen herkennen. Door deze gesimuleerde phishing-tests te sturen, kunt u zien hoe goed of slecht uw medewerkers dergelijke e-mails weten te spotten. Als een medewerker zich laat misleiden door een van deze phishing-tests door op de link in de e-mail te klikken, heeft de medewerker de test niet doorstaan en moet de medewerker extra training volgen om dergelijke e-mails te herkennen.
Er zijn veel phishing-tools beschikbaar voor deze phishing-tests, waaronder gratis open source-tools zoals Gophish. Er zijn ook allerlei commerciële producten, zoals KnowBe4 en Infosec IQ.
Train uw medewerkers in cybersecurity
Phishing-tests zijn niet het enige wat u moet doen om uw organisatie te beschermen. U moet uw medewerkers ook regelmatig trainen in de best practices voor cybersecurity.
- Gebruik sterke, unieke wachtwoorden voor elk account
- Schakel MFA in voor alle accounts wanneer dat een optie is
- Vermijd het gebruik van openbare wifi-netwerken wanneer u reist of op afstand werkt
- Houd software en hardware up-to-date
- Maak regelmatig een back-up van alle gegevens
Hoe meer uw medewerkers weten over cybersecurity, hoe beter zijn ze in staat om de risico’s van cyberaanvallen zoals social engineering te reduceren.
Investeer in een wachtwoordmanager voor uw bedrijf
Een wachtwoordmanager voor bedrijven is een tool waarmee organisaties ervoor kunnen zorgen dat hun medewerkers voor al hun bedrijfsaccounts altijd sterke wachtwoorden gebruiken. Met een wachtwoordmanager voor bedrijven hebben IT-beheerders volledig inzicht in de wachtwoordgewoonten van hun medewerkers en kunnen ze het gebruik van MFA afdwingen om alle accounts beter te beveiligen.
Bij phishing, de meest prevalente soort social engineering-aanval, is het grootste risico dat wachtwoorden worden gehackt. Wachtwoordmanagers slaan de website-adressen samen met de inloggegevens op. Dit betekent dat de gebruikers hun inloggegevens niet op gespoofede websites kunnen invullen, omdat wachtwoordmanagers de gegevens niet automatisch gebruiken voor een website ze niet herkennen.
Gebruik het principe van de minste toegangsrechten
Het principe van de minste toegangsrechten is een cybersecurity-concept dat stelt dat gebruikers net genoeg netwerktoegang moeten krijgen tot de gegevens en systemen die ze nodig hebben om hun werk te doen, maar niet meer. Door het principe van de minste toegangsrechten toe te passen, wordt het aanvalsoppervlak van een organisatie beperkt en wordt voorkomen dat een crimineel zich lateraal door het netwerk van de organisatie verplaatst als die toegang verkrijgt tot het account van een medewerker.
Bescherm uzelf tegen social engineering-aanvallen
Social engineering-aanvallen kunnen op iedereen gericht zijn, het maakt niet uit wie u bent. Het is belangrijk dat zowel particulieren als organisaties stappen ondernemen om zichzelf te beschermen tegen social engineering-aanvallen om de risico’s te beperken.
Start vandaag nog moet een gratis 30-daagse proefversie van Keeper Password Manager voor particulieren of een 14-daagse proefversie voor bedrijven en bescherm uw online accounts tegen social engineering-aanvallen.