9 min read
Social Engineering: 50 aanvallen die je moet kennen
Lars van Tilburg Jul 2, 2024 5:02:05 PM
Van de verschillende typen cyberaanvallen die we in de praktijk tegenkomen, is social engineering een aanvalstactiek die onder hackers razendsnel stijgt in populariteit. Social engineering is de kunst van het manipuleren van mensen om vertrouwelijke informatie te verkrijgen of toegang te krijgen tot beveiligde computersystemen. In plaats van technische kwetsbaarheden te exploiteren, richten social engineering-aanvallen zich op de zwakste schakel in de beveiligingsketen: mensen.
In dit blog belichten we 50 verschillende social engineering-tactieken en benoemen we hoe jij je hier effectief tegen kunt verdedigen. Maar laten we eerst eens kijken naar wat social engineering precies inhoudt.
Social engineering uitgelegd
Social engineering is een psychologische manipulatietechniek die wordt gebruikt om mensen te misleiden zodat ze vertrouwelijke informatie prijsgeven of handelingen verrichten die de informatiebeveiliging in gevaar brengen. Social engineering-aanvallers exploiteren menselijke kwetsbaarheden, zoals vertrouwen, angst of nieuwsgierigheid, in plaats van direct de technische beveiligingen van informatiesystemen te proberen te doorbreken. De inherente kwetsbaarheid van de menselijke factor, maakt social engineering een voor de hand liggende en zeer aantrekkelijke aanvalstactiek voor hackers.
Social engineering aanvallen kunnen vele vormen aannemen, van phishing-e-mails en misleidende tekstberichten tot ingewikkelde voorwendsels om fysieke toegang te krijgen tot beveiligde gebouwen of persoonlijke informatie. Het uiteindelijke doel is ongeautoriseerde toegang te krijgen tot de gegevens of middelen van een organisatie of individu, vaak voor frauduleuze of kwaadaardige doeleinden. Bewustzijn en educatie zijn cruciaal om social engineering-tactieken te herkennen en te voorkomen.
50 social engineering aanvallen en voorbeelden
-
Spear Phishing: Een gerichte vorm van phishing gericht op een specifieke persoon, vaak met gebruik van persoonlijke informatie om de aanval geloofwaardiger te maken.
- Voorbeeld: Een CEO krijgt een e-mail die lijkt te komen van een vertrouwde zakenpartner met specifieke details over een lopend project. De e-mail bevat een bijlage die malware installeert wanneer geopend.
-
Vishing: Telefonische oplichting waarbij de aanvaller zich voordoet als een autoriteit of vertrouwd bedrijf om vertrouwelijke informatie te verkrijgen.
- Voorbeeld: Een werknemer ontvangt een telefoontje van iemand die beweert van de bank te zijn, en vraagt om accountinformatie om verdachte activiteit te controleren. De werknemer verstrekt de gegevens en wordt slachtoffer van fraude.
-
Pretexting: Het creëren van een vals voorwendsel om slachtoffers te verleiden gevoelige informatie te onthullen.
- Voorbeeld: Een aanvaller belt een helpdeskmedewerker en doet zich voor als een andere werknemer die zijn wachtwoord is vergeten. De aanvaller gebruikt geloofwaardige informatie om de medewerker te overtuigen het wachtwoord te resetten.
-
Baiting: Het aanbieden van prikkels aan slachtoffers om hen te verleiden specifieke acties uit te voeren, zoals het downloaden van malware.
- Voorbeeld: USB-sticks met labels zoals "Salarisgegevens" worden achtergelaten op een parkeerplaats. Een nieuwsgierige werknemer sluit de USB-stick aan op zijn computer, waardoor malware wordt geïnstalleerd.
-
Tailgating: Fysieke toegang krijgen tot een faciliteit door iemand die gemachtigd is te volgen zonder toestemming.
- Voorbeeld: Een persoon zonder badge volgt een medewerker met een badge naar binnen in een beveiligd gebouw door snel achter hen aan te lopen en te doen alsof ze vergeten zijn hun badge te pakken.
-
Water Holing: Websites compromitteren waarvan bekend is dat ze vaak door het doelwit worden bezocht om hen te infecteren met malware.
- Voorbeeld: Een aanvaller besmet een populaire branchewebsite met malware. Wanneer medewerkers van een doelbedrijf deze site bezoeken, wordt hun computer geïnfecteerd.
-
Quid Pro Quo: Iets aan het slachtoffer aanbieden in ruil voor informatie of toegang, vaak in de vorm van gratis technische ondersteuning.
- Voorbeeld: Een aanvaller biedt gratis software aan in ruil voor toegang tot de computer van het slachtoffer. De software blijkt malware te bevatten.
-
Shoulder Surfing: Direct het gevoelige informatie van iemand anders observeren, zoals wachtwoorden of pincodes, door over hun schouder mee te kijken.
- Voorbeeld: In een café kijkt iemand over de schouder van een werknemer die zijn laptop gebruikt en ziet hem zijn wachtwoord invoeren.
-
Dumpster Diving: Door afval zoeken naar nuttige informatie, zoals papieren documenten of niet vernietigde elektronische apparaten.
- Voorbeeld: Een aanvaller doorzoekt de prullenbakken van een bedrijf en vindt niet-versnipperde documenten met gevoelige bedrijfsinformatie.
-
Impersonation: Doen alsof men iemand anders is, zoals een medewerker of technicus, om toegang te krijgen tot informatie of beperkte gebieden.
- Voorbeeld: Een aanvaller doet zich voor als een nieuwe technicus en vraagt om toegang tot serverruimtes onder het voorwendsel dat hij onderhoud moet uitvoeren.
-
Tech Support Scams: Het simuleren van technische ondersteuning om slachtoffers te verleiden malware te installeren of gevoelige informatie te onthullen.
- Voorbeeld: Een gebruiker ontvangt een pop-upmelding die beweert van Microsoft te zijn, waarin staat dat er een virus op hun computer is. Wanneer ze het vermelde nummer bellen, worden ze gevraagd om toegang tot hun computer te geven en geld te betalen voor "reparaties".
-
Trojan Horses: Software die legitiem lijkt maar verborgen kwaadaardige code bevat.
- Voorbeeld: Een werknemer downloadt wat lijkt op een nuttige productiviteitsapp, maar deze installeert tegelijkertijd een trojan die gegevens van de computer steelt.
-
Smishing: Vergelijkbaar met phishing maar uitgevoerd via SMS of andere tekstberichten.
- Voorbeeld: Een werknemer ontvangt een SMS die beweert van hun bank te zijn, met een link om verdachte activiteit op hun account te verifiëren. De link leidt naar een nepwebsite die inloggegevens verzamelt.
-
Pharming: Slachtoffers omleiden naar frauduleuze websites door DNS of vergelijkbare kwetsbaarheden te manipuleren.
- Voorbeeld: DNS-instellingen van een bedrijf worden gemanipuleerd zodat gebruikers die proberen toegang te krijgen tot de bedrijfswebsite, naar een identieke nepwebsite worden geleid die inloggegevens steelt.
-
Eavesdropping: Het onderscheppen van communicatie van anderen, of dit nu verbaal of digitaal is, om gevoelige informatie te verzamelen.
- Voorbeeld: In een druk café luistert iemand bewust mee met het gesprek van een zakenman die gevoelige bedrijfsinformatie bespreekt.
-
Man-in-the-Middle Attacks: Het onderscheppen en mogelijk wijzigen van communicatie tussen twee partijen zonder hun medeweten.
- Voorbeeld: Tijdens een openbare Wi-Fi-verbinding onderschept een aanvaller communicatie tussen een gebruiker en een website, waardoor hij gevoelige gegevens zoals inloggegevens kan stelen.
-
Insider Threats: Bedreigingen van binnen de organisatie, vaak van huidige of voormalige werknemers.
- Voorbeeld: Een ontevreden medewerker kopieert vertrouwelijke bedrijfsgegevens voordat hij ontslag neemt en verkoopt deze aan concurrenten.
-
Reverse Social Engineering: Slachtoffers ertoe brengen contact op te nemen met de aanvaller voor hulp, waardoor informatie wordt verkregen of malware wordt geïnstalleerd.
- Voorbeeld: Een aanvaller creëert een probleem op de systemen van een bedrijf en laat een bericht achter met zijn contactgegevens. Wanneer de medewerkers contact opnemen voor hulp, verkrijgt hij toegang tot hun systemen.
-
Physical Security Bypass: Het omzeilen van fysieke beveiligingsmaatregelen om toegang te krijgen tot beschermde gegevens of systemen.
- Voorbeeld: Een aanvaller gebruikt sociale manipulatie om een fysiek slot van een serverruimte geopend te krijgen en krijgt toegang tot gevoelige gegevens.
-
Romance Scams: Sentimentele oplichting waarbij de aanvaller doet alsof hij een romantische relatie heeft om geld of informatie te verkrijgen.
- Voorbeeld: Een persoon ontmoet iemand online die zich voordoet als een potentiële romantische partner. Na enkele weken van online communicatie vraagt de "partner" om geld vanwege een noodgeval.
-
Lottery Scams: Valse loterijwinnaarsmeldingen die verdere details of betalingen van het slachtoffer vereisen.
- Voorbeeld: Iemand ontvangt een e-mail waarin staat dat hij een grote geldprijs heeft gewonnen en dat hij zijn bankgegevens moet verstrekken om het geld overgemaakt te krijgen. Het slachtoffer stuurt de gegevens en wordt vervolgens financieel opgelicht.
-
Fake Charities: Zich voordoen als een goed doel om donaties of persoonlijke informatie te verkrijgen.
- Voorbeeld: Na een natuurramp worden nepwebsites en e-mails opgezet die om donaties vragen voor slachtoffers. Mensen doneren geld, dat vervolgens door de aanvallers wordt gestolen.
-
CEO Fraud: Zich voordoen als een bedrijfsleider om andere werknemers te verleiden geld over te maken of bedrijfsinformatie te onthullen.
- Voorbeeld: Een aanvaller doet zich voor als de CEO van een bedrijf en stuurt een e-mail naar de financiële afdeling met de instructie om een groot bedrag over te maken naar een bepaalde rekening, zogenaamd voor een dringende zakelijke gelegenheid.
-
Business Email Compromise (BEC): Het compromitteren van zakelijke e-mails om fraude uit te voeren waarbij geld wordt overgemaakt.
- Voorbeeld: De e-mailaccount van een zakelijke partner wordt gehackt en gebruikt om facturen te verzenden met gewijzigde bankgegevens, waardoor betalingen naar de rekening van de aanvaller gaan.
- Clickjacking: Het overlayen van illegitieme inhoud op authentieke websiteknoppen om slachtoffers te misleiden ongewenste acties uit te voeren.
-
- Voorbeeld: Een gebruiker klikt op een ogenschijnlijk onschadelijke "Play" knop op een video, maar onbewust stemt hij ermee in zijn sociale media-accounts te delen met de aanvaller.
- Website Cloning: Het creëren van nepwebsites die legitieme websites nabootsen om inloggegevens of andere gevoelige informatie te stelen.
-
- Voorbeeld: Een gebruiker probeert in te loggen op wat lijkt op de officiële website van zijn bank, maar het is een kloon gemaakt door aanvallers die zijn inloggegevens stelen.
- Identity Theft: Het gebruik van gestolen persoonlijke informatie om zich voor te doen als iemand anders, vaak om andere fraude te plegen.
-
- Voorbeeld: Een aanvaller gebruikt gestolen identiteitsgegevens om een kredietkaart aan te vragen op naam van het slachtoffer.
- Brand Spoofing: Illegitiem gebruik van bekende merken om slachtoffers te misleiden in het vertrouwen van een valse voorstelling, online of offline.
-
- Voorbeeld: Slachtoffers ontvangen e-mails die lijken te komen van een bekend merk, zoals Amazon, met valse meldingen van verdachte activiteiten en verzoeken om hun accountinformatie te verifiëren.
- Ransomware Attacks: Gegevens van slachtoffers vergrendelen met een losgeldverzoek voor hun vrijlating.
-
- Voorbeeld: Een medewerker opent een bijlage in een phishing e-mail, waarna ransomware alle bestanden op zijn computer versleutelt en een bericht weergeeft dat losgeld vereist om de gegevens te ontsleutelen.
- Malvertising: Het creëren van online advertenties met kwaadaardige intentie die malware kunnen onderwijzen.
-
- Voorbeeld: Een gebruiker bezoekt een nieuwswebsite en klikt op een advertentie die leidt naar een pagina die automatisch malware downloadt naar zijn computer.
- URL Obfuscation: Het gebruik van verwarrende of gemaskeerde URL's om slachtoffers te misleiden te geloven dat ze een legitieme website bezoeken.
-
- Voorbeeld: Een gebruiker ontvangt een e-mail met een link naar "www.bank-login.com" die eigenlijk leidt naar een phishing website die inloggegevens steelt.
- DNS Spoofing: Het manipuleren van DNS-tabellen om webverkeer om te leiden naar frauduleuze sites.
-
- Voorbeeld: De DNS-instellingen van een bedrijf worden gehackt zodat werknemers die de bedrijfswebsite proberen te bereiken, naar een identieke phishing site worden geleid die inloggegevens verzamelt.
- Social Media Impersonation: Het creëren van nep-social media profielen om gebruikers te misleiden of te bespioneren.
-
- Voorbeeld: Een aanvaller creëert een nep LinkedIn-profiel dat lijkt op een collega van het slachtoffer en stuurt een connectieverzoek. Na acceptatie vraagt hij om gevoelige bedrijfsinformatie.
- Sextortion: Slachtoffers manipuleren met expliciete inhoud om geld of andere concessies af te dwingen.
-
- Voorbeeld: Een persoon ontvangt een e-mail waarin wordt beweerd dat hun webcam is gehackt en dat er compromitterende video's zijn opgenomen. Er wordt gedreigd deze video's te delen tenzij er losgeld wordt betaald.
- Fake Job Offers: Nepbanen gebruiken om persoonlijke informatie of geld van slachtoffers te verkrijgen.
-
- Voorbeeld: Een werkzoekende ontvangt een e-mail met een aantrekkelijk baanaanbod. Na het verstrekken van persoonlijke informatie en betaling van een "administratiekosten" blijkt de baan nep te zijn.
- Credential Stuffing: Het gebruik van gestolen inloggegevens om toegang te krijgen tot verschillende accounts, gebruikmakend van gemeenschappelijke of hergebruikte wachtwoorden.
-
- Voorbeeld: Een aanvaller gebruikt een lijst van gestolen e-mailadressen en wachtwoorden om toegang te krijgen tot de bankrekeningen van slachtoffers, omdat veel mensen dezelfde inloggegevens voor meerdere sites gebruiken.
- Invoice Manipulation: Facturen wijzigen om slachtoffers te verleiden te betalen op rekeningen die door aanvallers worden gecontroleerd.
-
- Voorbeeld: Een aanvaller onderschept een e-mail met een factuur en wijzigt de betalingsgegevens, zodat het geld naar hun eigen rekening gaat in plaats van naar die van de leverancier.
- Data Diddling: Gegevens wijzigen voor of tijdens invoer in het systeem om fraude te plegen.
-
- Voorbeeld: Een medewerker van een financieel bedrijf verandert kleine bedragen in de transacties van klanten om zelf geld te verduisteren zonder dat het opvalt.
- Influence Operations: Georganiseerde campagnes om de publieke opinie of gedrag te manipuleren door middel van desinformatie of andere tactieken.
-
- Voorbeeld: Een aanvaller gebruikt sociale media om nepnieuws en geruchten te verspreiden die de reputatie van een bedrijf beschadigen en de aandelenkoers beïnvloeden.
- Psychological Manipulation: Het gebruik van psychologische technieken om beslissingen en gedrag van slachtoffers te beïnvloeden.
-
- Voorbeeld: Een aanvaller gebruikt valse urgentie en angst in een e-mail om een slachtoffer te dwingen onmiddellijk geld over te maken zonder na te denken.
- Phishing Kits: Voorverpakte kits die aan aanvallers worden verkocht om phishing-aanvallen te vergemakkelijken.
-
- Voorbeeld: Een amateur-aanvaller koopt een phishing-kit op een darknet-marktplaats, die templates en tools bevat om phishing-e-mails te versturen en inloggegevens te verzamelen.
- Trojan Malware: Software die legitiem lijkt maar kwaadaardige code bevat ontworpen om informatie te stelen of systemen te beschadigen.
-
- Voorbeeld: Een werknemer downloadt een ogenschijnlijk nuttige software-update van een onbekende website, die een trojan installeert die gevoelige bedrijfsgegevens steelt.
- Remote Access Trojans (RATs): Malware die aanvallers in staat stelt om op afstand de controle over de computer van het slachtoffer te krijgen.
-
- Voorbeeld: Een slachtoffer downloadt een bestand van een onbekende bron, waardoor een RAT wordt geïnstalleerd die de aanvaller volledige toegang geeft tot hun computer.
- Keyloggers: Software of hardware die elke toetsaanslag registreert om informatie zoals wachtwoorden en andere gevoelige gegevens te stelen.
-
- Voorbeeld: Een werknemer installeert per ongeluk een keylogger door een bijlage in een phishing e-mail te openen, waardoor de aanvaller alle ingevoerde wachtwoorden kan zien.
- Browser Hijacking: Het compromitteren van de webbrowser van het slachtoffer om verkeer om te leiden naar kwaadaardige sites of ongewenste advertenties weer te geven.
-
- Voorbeeld: Een gebruiker merkt dat hun browser telkens naar onbekende websites wordt omgeleid en ongewenste pop-upadvertenties weergeeft, veroorzaakt door een browser hijacker die via een download is geïnstalleerd.
- Wi-Fi Hacking: Het compromitteren van Wi-Fi-netwerken om communicatie te onderscheppen of toegang te krijgen tot beschermde systemen.
-
- Voorbeeld: Een aanvaller hackt een slecht beveiligd Wi-Fi-netwerk in een café en onderschept de communicatie van klanten, waaronder inloggegevens en bankinformatie.
- Bluetooth Hacking: Het exploiteren van kwetsbaarheden in Bluetooth-apparaten om ongeautoriseerde toegang te krijgen of gegevens te stelen.
-
- Voorbeeld: Een aanvaller gebruikt een Bluetooth-exploit om toegang te krijgen tot de smartphone van een slachtoffer en steelt persoonlijke gegevens zoals contacten en berichten.
- USB Drop Attacks: Geïnfecteerde USB-sticks verspreiden in openbare ruimtes, in de hoop dat iemand ze oppakt en in hun computer steekt, waardoor malware wordt geïnstalleerd.
-
- Voorbeeld: Een werknemer vindt een USB-stick met het label "Vertrouwelijk" in de parkeerplaats van het kantoor en steekt deze in zijn computer, waardoor malware wordt geïnstalleerd.
- QR Code Spoofing: Het creëren van nep-QR-codes die slachtoffers omleiden naar kwaadaardige websites om informatie te stelen of malware te verspreiden.
-
- Voorbeeld: Een aanvaller plakt vervalste QR-codes over legitieme in een restaurantmenu. Wanneer klanten de codes scannen, worden ze naar een phishing website geleid die persoonlijke informatie steelt.
Herkennen is voorkomen: investeer in awareness
De zwakke schakel in beveiligingsnetwerken blijkt vaak in onze menselijke aard te zitten en daar spelen hackers met social engineering handig op in. Het is cruciaal om bekend te zijn met de diverse tactieken van social engineering om deze aanvallen te kunnen herkennen en bestrijden.
Door alert te blijven en met de juiste educatie, kun jij je verdediging versterken tegen de voortdurend veranderende dreigingen van social engineering-aanvallen. Het verhogen van de interne awareness (bewustzijn) is de meest effectieve verdediging en is iets waar je vandaag al mee kunt starten.
Meer weten over de mogelijkheden om dit in te regelen binnen jouw organisatie? Wij bieden verschillende security awareness programma's waarmee jij je human firewall in korte tijd op het juiste niveau kunt krijgen. Neem snel contact met ons op!