U bent hier

Onderneming & Administratie
Cybersecurity4. Social engineering4.2 Methoden en technieken
Voor Onderneming & Administratie

4.2 Methoden en technieken

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2023

U bent echt niet de enige die denkt dat u er niet in zult trappen als iemand u telefonisch vraagt naar gevoelige bedrijfs- of persoonsgegevens. Een social engineer denkt daar heel anders over en zal verschillende methoden en technieken op u loslaten, waardoor u toch iets prijsgeeft.

4.2.1 Online

vooronderzoek

hobby

LinkedIn

Een online vooronderzoek door de social engineer is geheel anoniem en kan voor hem heel lucratief zijn. Er zijn op internet al heel wat gegevens over uzelf die u ooit eens ergens heeft weggegeven en die een kwaadwillende zo kan opvragen. Ook anderen houden gegevens over u bij. Denk bijvoorbeeld aan:

  • een smoelenboek van uw werk of sportvereniging;
  • de club waar u vrijwilligerswerk verricht;
  • webpagina’s over uw hobby waar u regelmatig wordt genoemd;
  • sociale media, zoals LinkedIn, Facebook en Twitter.

Controlevragen

Er is dus heel wat informatie over u, uw onderneming of uw persoonlijke situatie online te vinden. Google maar eens op uw eigen naam of de naam van uw onderneming om te zien wat er dan allemaal opduikt in de resultatenlijst van de zoekmachine. Social engineers zullen ook de controlevragen om een vergeten wachtwoord op te vragen gebruiken om gegevens te achterhalen. Maak die daarom wat moeilijker dan ‘Wat is mijn geboortestad?’ of ‘Wat is de naam van mijn kind?’ De antwoorden zijn mogelijk online te vinden.

Instanties

Kamer van Koophandel

Ook (semi)officiële, professionele en commerciële instanties verzamelen allerlei gegevens over u die opvraagbaar kunnen zijn, zoals gegevens van het kadaster, de Kamer van Koophandel, domeinnaamregistraties of telefoon- en bedrijfsgidsen. Mocht iemand bij een dergelijke instantie gegevens van u opvragen, dan hoeft u er niet op te rekenen dat de betreffende instantie u daarvan op de hoogte zal brengen.

4.2.2 Infiltreren

direct contact

Als bepaalde gegevens die de social engineer zoekt niet direct op internet te vinden zijn, kan hij proberen die informatie boven tafel te krijgen via direct contact met u als gebruiker van het systeem of het netwerk waarop hij wil inbreken.

Vooral in grotere ondernemingen kan een social engineer ook iemand benaderen die vanwege zijn functie niet helemaal op de hoogte is van alle ICT-procedures en de bijbehorende beveiligingsinstructies. Denk bijvoorbeeld aan (wisselende) krachten, de baliemedewerker, representatieve functies, maar ook nieuwe werknemers.

Nieuwe werknemers zijn gewilde prooi

veiligheids-protocol

Nieuwe werknemers zijn meestal nog niet zo bekend met alle veiligheidsprotocollen en met wat binnen de bedrijfscultuur al dan niet normaal is. Voor nieuwe personeelsleden is het behoorlijk lastig in te schatten of bepaalde vragen indiscreet of risicovol zijn voor uw onderneming. Sommige social engineers zijn zelfs zo brutaal dat ze hun vragen inleiden met een praatje dat het heel normaal is om bepaalde vragen in het kader van het beveiligingsbeleid te stellen aan nieuwe werknemers (zie hoofdstuk 8).

Slot en grendel

veiligheidsbeleid

Het is raadzaam om in het veiligheidsbeleid de eis op te nemen dat werknemers aan het einde van de dag alles moeten opruimen, niets in het zicht achterlaten (belangrijke gegevens achter slot en grendel) en hun computer echt uitschakelen (zie ook paragraaf 4.3). Veel zaken zijn namelijk interessanter voor de social engineer dan u denkt. Zo zal hij ook snuffelen in prullenbakken, kopieermachines, vuilcontainers en papiervernietigers om informatie te vergaren.

Voorbeeld negeren veiligheidsbeleid

wachtwoorden

Een social engineer meldt zich met een valse naam via een uitzendbureau aan bij een schoonmaakbedrijf dat in een grote onderneming de werkplekken schoonhoudt na werktijd. Behalve stoffen en zuigen pluist hij ook alle plakbriefjes (met wachtwoorden) op de monitoren en onnodig uitgeprinte rapporten en papieren (met cruciale gegevens) op de bureaus uit. En voordat hij de prullenbakken leegt, neemt hij nog even de inhoud door.

4.2.3 Persoonlijk contact

betrouwbaar

Een social engineer schroomt niet om direct contact te leggen met het slachtoffer. Dit kan persoonlijk, telefonisch of via andere communicatiemiddelen zoals e-mail, sms of Twitter. Hij doet zich dan voor als een klant, een supportmedewerker van een bekende leverancier, een pakket- of postbezorger of een andere betrouwbaar lijkende relatie.

Voorbeeld

ICT-afdeling

Stel, iemand in de werkkleding van uw vaste automatiseringsleverancier meldt zich om samen met u naar een zogenaamd probleem op uw pc te kijken. Hij noemt daarbij bekende namen van ICT’ers in uw onderneming. Wat doet u? Vraagt u hem naar zijn ID? Of belt u met de ICT-afdeling om te vragen of er wel een probleem is? Misschien wel, maar genoeg werknemers – vooral in grote ondernemingen – doen dat niet en gaan ervan uit dat het wel ergens voor nodig zal zijn dat deze supportmedewerker bij u langskomt. Maar als u zelf geen problemen met uw systeem ondervindt, is het verstandig om toch even contact te leggen met uw automatiseringsafdeling over het hoe en waarom van dit bezoek.

CEO-fraude

betaalopdracht

Een voorbeeld van cybercrime die in de coronatijd (toen veel werknemers thuiswerkten) een hoge vlucht nam, is de CEO-fraude. Daarbij doet een social engineer zich voor als de directeur. Na maanden onderzoek naar een onderneming, de directeur zelf en wie de betaalopdrachten doen, mailt de crimineel een werknemer uit naam van de directeur – de echte directeur is dan vaak net even weg.

Urgentie

geen 
vergoeding

De strekking van het bericht is dat er snel geld overgemaakt moet worden voor een order of overname. Daarbij wordt een naam gegeven van een accountant of advocaat, die even later belt of mailt en de druk verhoogt. Als de betaling wordt gedaan, is dat geld verloren. Een verzekeraar vergoedt het niet, omdat een bevoegde werknemer de betaling heeft gedaan.

hardware

Als u een verzoek krijgt tot overschrijven van een geldbedrag naar een in de mail aangegeven rekeningnummer, bel dan na of het verzoek klopt. Dit geldt ook voor het opvragen van privacygevoelige informatie.

4.2.4 Hardware

De social engineer kan ook hardware inzetten om achter informatie te komen. Denk aan het verstoppen van afluisterapparatuur of verborgen cameraatjes, en het installeren van hardwarematige keyloggers. Hiervoor is het wel nodig dat de crimineel de hardware bij het slachtoffer installeert. De nepschoonmaker zou daarvoor gemakkelijk in de gelegenheid kunnen komen.

Keylogger

toetsenbord

Hij kan bijvoorbeeld een fysieke keylogger installeren op een systeem. Er wordt dan meestal een klein apparaat aan de achterkant van de computer geplaatst tussen de plug van het toetsenbord en de aansluiting op de systeemkast. De social engineer moet zich toch wel minstens voordoen als automatiseringsmedewerker, wil de eindgebruiker het niet vreemd vinden dat er iemand aan zijn computer sleutelt.

Als de social engineer er achter is gekomen dat u bijvoorbeeld altijd op woensdag vrij bent, zal hij juist dan verschijnen op uw werkplek. Dat is de ideale tijd om ‘onderhoud te plegen’ of bepaalde aanpassingen te doen aan uw systeem.