U bent hier

Digitale veiligheid
8. Hacking8.3 Social engineering
Voor Digitale veiligheid

8.3 Social engineering

Laatst gewijzigd: mei 2021

Hackers moeten het vooral hebben van gegevens waarmee ze een systeem kunnen binnendringen, maar niemand geeft zomaar zijn gebruikersnaam en wachtwoord weg. Hoe komt zulke gevoelige informatie dan toch in handen van de cybercriminelen?

methode

Daar blijken heel wat manieren en methoden voor te zijn, die behoren tot het (twijfelachtige) vak van de social engineer. In feite is dat een oplichter. Want de social engineer past nogal wat listen en creativiteit toe om u uw belangrijke gegevens te ontfutselen.

Werkwijzen

hobby

Als u de acties van deze oplichters kunt ontdekken, heeft u al een belangrijke stap gezet in de bescherming ertegen. Enkele werkwijzen (van kwaad tot erger):

  • Googelen
Het opzoeken van informatie die over u op internet te vinden is: over uw activiteiten of hobby’s, uw partner of kinderen, uw buurt of uw huis. Daarin zouden wel eens aanwijzingen kunnen zitten die het raden van uw wachtwoord voor toegang tot internet, telebankieren of uw bedrijfsnetwerk eenvoudiger maken. Googel uzelf eens om te kijken of bijvoorbeeld ook op andere websites – dus niet die van u persoonlijk of van de zaak – of op sociale netwerken gevoelige informatie over u is gepubliceerd.

Computervredebreuk in de wet

strafbaar

De term computervredebreuk is in de Wet computercriminaliteit gedefinieerd en strafbaar gesteld. Daar is sprake van als iemand tegen de wil van de eigenaar of beheerder ‘opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan’. De straf voor computervredebreuk is één jaar gevangenisstraf en bij het stelen van informatie kan dat oplopen tot vier jaar.

Strafbaarheid

schade

De strafbaarheid neemt toe als na de gepleegde computervredebreuk één of meer van de volgende kwalijke handelingen plaatsvinden:

  • kopiëren van gegevens of programma’s;
  • toebrengen van ernstige (gevolg)schade; of
  • gebruik van telecommiddelen voor eigen nut, zoals het draaien van rekenintensieve programma’s of het opslaan van grote bestanden, of het verkrijgen van toegang tot computersystemen van anderen (dat zelfs strafbaar is als die systemen niet beveiligd zijn).

smoes

logincontrole

Mocht u slachtoffer worden van een pleger van computervredebreuk, een hacker of andersoortige kraker, meld het dan bij de bevoegde autoriteiten. Dat helpt iedereen om hier paal en perk aan te stellen!

  • Navraag
Allerlei alledaagse informatie die voor u of voor werknemers meestal nogal onbeduidend is, kan juist een schat aan gegevens bevatten voor de hacker. Brutale social engineers stappen gewoon op werknemers af, of bellen hen (of u) met een smoes op om schijnbaar triviale informatie te achterhalen.
  • Phishing
Met hengeltechnieken proberen cybercriminelen u onder valse voorwendselen in mails te verleiden om namen, wachtwoorden of pincodes te geven. De verhalen van onvermoede erfenissen en bevroren tegoeden zijn inmiddels bekend, maar de zogenaamde logincontrole of pinpasbevestigingen van banken zijn steeds minder goed van echt te onderscheiden en daardoor (nog steeds) bruikbaar voor de crimineel.

malware

keylogger

binnendringen

Namaakmails en andere nepcommunicatie worden nog steeds ingezet om gegevens te ontfutselen. Zoek op de website van de Consumentenbond naar ‘phishing quiz‘ om te testen hoe goed u malafide post kunt onderscheiden van bonafide brieven of mails.

  • Identiteitsmisbruik Anders wordt het zodra iemand u vraagt om op een link te klikken die u op een valse website brengt – die er wel echt uitziet – waar u onmiddellijk wordt bestookt met malware. Behalve het stelen van de identiteit van een betrouwbare organisatie door haar website na te maken, zoals een bank of een (overheids)instantie, maken social engineers soms ook gebruik van een valse identiteit van een onbekende collega uit een andere vestiging. En ook als zich zogenaamde medewerkers van een organisatie als de gemeente, de Belastingdienst of een onderzoeksinstituut als TNO melden, staat geheimhouding in de praktijk opeens in een heel ander daglicht.
  • Hacking
Hackers gebruiken social engineering vaak om gegevens te verzamelen waarmee ze inbreuk kunnen maken op uw computersystemen. Sommigen schuwen zelfs het gebruik van keyloggers niet die ze moeten installeren op de werkplek van het slachtoffer.
  • Diefstal
Vooral het stelen van (mobiele) apparatuur of gegevensdragers is een geliefde bezigheid van social engineers. Die staan namelijk vol met interessante gegevens en informatie om te kunnen binnendringen in de systemen van anderen.

Als social engineers namen van collega’s gebruiken of situaties beschrijven die in uw organisatie actueel zijn, denkt u niet snel aan een mogelijk veiligheidsrisico.