Heb jij een link gekregen om een nieuwe versie van WhatsApp te downloaden? Grote kans dat beroepscriminelen erachter zitten. Zij proberen toegang te krijgen naar jouw smartphone. Een gehaaide aanvalstechniek met als resultaat dat geld van jou wordt gestolen via jouw eigen bank app. Dat gaat je niet in de koude kleren zitten.

Wat is Social Engineering?

Beroepscriminelen maken gebruik van de zwakste schakel, de mens. Door hun charme, door het gebruik van de juiste woordkeuze of door vertrouwen van je te winnen proberen ze jou te misleiden. Beroepscriminelen proberen je handelingen te laten verrichten waardoor jij later problemen krijgt. Deze acties leiden tot het stelen van jouw geld. Social engineering bestaat al decennia en kent vele technieken. Kun jij je die kettingbrieven van vroeger nog herinneren? Tegenwoordig krijg je mails, WhatsApps of zelfs SMS met kwaadaardige links erin verwerkt met als resultaat: je bent misleid – zonder dat jij het weet – met als gevolg dat jouw geld is gestolen.

Gebruikte methoden

Je ziet het in iedere spionagefilm. Jij bent van nature beleefd en sluit geen deuren voor iemand zijn gezicht. Hierdoor kunnen criminelen ongemerkt bij bedrijven binnen komen. Zij doen zich voor als een medewerker van de technische dienst. Niemand volgt deze persoon meer als die binnen is en die kan dan ongestoord de geplande kwaadaardige activiteiten uitvoeren.

Een andere methode is het verzamelen van vertrouwelijke informatie uit prullenbakken. Gevonden mailadressen kunnen voor een aanvalsplan worden gebruikt. Je kunt een mail ontvangen met daarin een kwaadaardig bestand. Door dit bestand te openen krijgt de beroepscrimineel toegang tot jouw computersysteem. Deze actie kan ertoe leiden dat het computersysteem wordt geblokkeerd en niet meer kan worden gebruikt door versleuteling.

Nog een methode is dat je een mail van jouw collega ontvangt, terwijl deze medewerker die niet zelf heeft verstuurd. Jij vertrouwt deze mail omdat een bekende afzender hem heeft verstuurd. Door de bijlage te openen wordt er direct of indirect een actie uitgevoerd waarmee een beroepscrimineel zich verrijkt met toegang tot jouw computer. Een motief voor deze methoden is dat informatie kan worden gestolen. Een ander motief is toegang tot het bedrijfsnetwerk te krijgen, met als doel informatie te misbruiken voor afpersing of door de bedrijfsvoering te verstoren.

Hang op klik weg

Telefonisch contact is een andere methode om jou te bedriegen. Hierbij wordt geprobeerd snel jouw vertrouwen te winnen om je vervolgens bepaalde security handelingen te laten verrichten. Het laten resetten van een wachtwoord heeft als gevolg dat de beroepscrimineel eigenaar wordt van jouw identiteit of jouw creditkaartnummer. Een beroepscrimineel die belt zal zijn telefoonnummer altijd verhullen en dus zal zijn nummerweergave onbekend zijn of wordt er een vals telefoonnummer gebruikt. Deze techniek wordt voice phishing oftewel Vishing genoemd. Beroepscriminelen proberen je nep diensten te verkopen zoals het aanbieden van nep virusscanners. Eenmaal geïnstalleerd op je computer blokkeren ze alles totdat je hebt betaald om de blokkade weg te halen.

Wie laat je toe tot je netwerk

Op sociale media kun je aangesproken worden door ‘vrienden’ die in nood zijn gekomen. Ze vragen jou geld om ze uit de brand te helpen. Als het jouw vrienden zijn, dan heb je waarschijnlijk een telefoonnummer van ze. Controleer altijd de echtheid van dit bericht want je kunt aan de ‘verkeerde vrienden’ betalen. Beroepscriminelen zijn zeer inventief. Zij proberen in jouw netwerk te komen met als doel je beter te leren kennen, zoals je schrijfstijl of het verkennen van jouw gedrag om zich later voor te doen als jou. Een mail met jouw kenmerken wordt verstuurd naar je collega’s met als doel geld te verdienen. Een voorbeeld is de financiële fraude waarbij beroepscriminelen uit naam van de eindverantwoordelijke directeur van multinationals een groot bedrag laten overschrijven naar een niet te traceren rekeningnummer. Let dus goed op wie je toelaat tot je netwerk. Als laatste methode is het meekijken over jouw schouder een gekende techniek. Hiermee probeert de persoon informatie te krijgen om dit later te gebruiken, zoals het gebruik van jouw wachtwoord.

Waar moet je op letten

De gevolgen van social engineering kunnen aanzienlijk zijn. Aanvallen van beroepscriminelen kunnen gericht zijn aan een bedrijf of naar jou als persoon. De gevolgen voor een bedrijf kunnen reputatieschade zijn, of het leiden van financiële schade, of zelfs het einde van het bestaansrecht. Word je persoonlijk betrokken in een social engineering hack dan kun je zelf letsel oplopen of slachtoffer worden van identiteitsfraude. Doordat je in de flow wordt meegetrokken kun je er in het uiterste geval zelfs een lege bankrekening aan over houden.

Om dit te voorkomen moet je ervoor zorgen dat je altijd kunt achterhalen met wie je contact hebt. Bel bijvoorbeeld terug als je het niet vertrouwt. Gratis geld krijgen is een utopie dus let altijd op als iemand je dat probeert wijs te maken. Beroepscriminelen maken gebruik van jou als zwakste schakel. Ze laten dingen doen waar je later spijt van krijgt. Zonder dat jij het weet word je misleid. Kom je ermee in aanraking dan raakt het meestal direct je portemonnee.

Deel dit artikel met anderen
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInPin on PinterestEmail this to someonePrint this page

Frank Ruijgrok is een gedreven en zeer ervaren all round specialist die informatiebeveiliging, cybersecurity, risicomanagement en privacy als kennisgebieden heeft.