Awareness rondom social engineering kan een delicate aangelegenheid zijn. Ontdek het advies van onze experts.
Getheoretiseerd door Kevin Mitnick, een hacker uit de Verenigde Staten die een computer security consultant werd, en populair geworden in de vroege jaren 2000, social engineering heeft tot doel om menselijke gebreken uit te buiten om gedefinieerde processen te omzeilen voor persoonlijk gewin. In de meeste gevallen gaat het om geld. Het kan verschillende vormen aannemen, in meer of minder mate van opdringerigheid.
Social engineering-methoden zijn divers en worden steeds geavanceerder. Ze kunnen heel verschillende vectoren uitbuiten, maar wat ze gemeen hebben, is dat de "kwaadaardige" actie wordt uitgevoerd door een onschuldige derde partij. Onder de meest bekende kunnen we onderscheiden:
Spear-phishing: een specifieke e-mail wordt naar een doelwit gestuurd, inclusief aantrekkelijke en gerichte elementen die de kans maximaliseren dat de derde partij de gewenste actie uitvoert. In tegenstelling tot massale phishing-campagnes, wordt vóór de aanval een eerder geïdentificeerde groep mensen aangevallen en geanalyseerd.
Fake President-fraude: door middel van telefoontjes en/of e-mails doet een cybercrimineel zich voor als een hooggeplaatst persoon om geld te bemachtigen, vaak door het over te schrijven naar een bankrekening. De technieken van deze vorm van fraude evolueert, vooral dankzij deepfake, een techniek die het mogelijk maakt om een persoon realistisch te imiteren dankzij kunstmatige intelligentie. In september 2019 berichtte de Franse krant Le Monde het verhaal van een Brits bedrijf in de energiesector dat "van 220.000 euro is beroofd vanwege een synthetische stem, gegenereerd door een artificial intelligence systeem". Doordat toegang tot deze technologieën laagdrempelig is en de snelheid waarmee ze ontwikkelen hoog, kunnen we verwachten dat deze modus operandi steeds frequenter zal worden.
Bellen is een van de vele technieken die worden gebruikt in social engineering.
Alle bedrijven en alle individuen kunnen het slachtoffer worden van deze fraude: de meerderheid van de bedrijven die we ondersteunen, zijn al geconfronteerd met aanvallen die rechtstreeks gericht zijn op hun werknemers (met name via phishing). Hackers proberen gebruik te maken van de mechanismen die inherent zijn aan de menselijke psychologie. Het doel is daarom om technische en organisatorische middelen in te voeren om dergelijke uitbuitingen te voorkomen en de gevolgen ervan te beperken. Zoals bij elk systeem, moeten de ingevoerde procedures en instrumenten, de bewustmakingssessies en de trainingsresultaten worden getest om de relevantie van de ondernomen acties en de effectieve bescherming die door deze investeringen wordt geboden, te evalueren.
In opdracht van onze opdrachtgevers voeren wij social engineering opdrachten uit. Het doel van deze missies is om via gesimuleerde belpogingen, de robuustheid van constructies tegen dit soort aanvallen te testen en medewerkers bewust te maken door hen te laten zien dat ze slachtoffer kunnen worden.
De voorbereiding van een social engineering missie is een belangrijke fase die niet moet worden onderschat. In tegenstelling tot een penetratietest of een fysieke audit die zich alleen op technische aspecten richt, is het uiteindelijke doel van deze missie om het vertrouwen van een derde partij te bedriegen door psychologische concepten te gebruiken om hem acties te laten uitvoeren die schadelijk zijn voor zijn bedrijf.
Deze missie moet dan ook met finesse worden benaderd om geen negatieve reactie of verlies van vertrouwen van medewerkers jegens hun management te veroorzaken. We zullen hier verschillende punten bespreken die moeten worden behandeld voordat we beginnen met de belactiviteit.
Een slecht uitgevoerde oefening van dit type kan worden gezien als een verlangen om medewerkers tot het uiterste te duwen. Het is essentieel om alle partijen te betrekken die mogelijke spanningen kunnen verminderen, om hen de tijd te geven om geschikte communicatiemiddelen voor te bereiden en om contextuele elementen te bieden waarmee een gezonde perimeter kan worden gedefinieerd.
Behalve in uitzonderlijke gevallen verdient het de voorkeur om niet-nominale resultatenanalyses te maken.
Aan het einde van de bewustwordingscampagne zullen er geheid vragen worden gesteld door de medewerkers. Het is daarom belangrijk om een mededeling voor te bereiden om hen gerust te stellen.
Het spreekt voor zich dat een belopdracht niet kan worden uitgevoerd zonder een bepaald aantal te contacteren nummers. Echter, om zo goed mogelijk vast te houden aan de gestelde doelen kan nagedacht worden over de relevantie van de nummers. De steekproefgroep moet worden samengesteld volgens:
In het kader van een social engineering missie is het definiëren en terugvinden van het bewijs dat de aanval heeft gewerkt geen gemakkelijke taak. Het is daarom noodzakelijk om de verwachte resultaten van succes te identificeren, maar ook om vast te stellen welke grenzen niet overschreden mogen worden: zoals, niet een echte persoon imiteren, geen wijzigingen aan vragen aan software in productie, enz.
Iets dat met de grootste zorg moet worden bereid, is het deactiveren. Het zal een kwestie zijn van het definiëren van het proces dat toelaat dat (in noodgevallen en in klassieke gevallen) de impact op de werknemers en de productie beperkt blijft. Dit proces zal worden gebruikt:
Deze procedure moet minimaal het volgende omvatten:
De realisatie van deze verschillende soorten missies kan ons in staat stellen om de gebreken te identificeren die moeten worden gecorrigeerd en om het advies te geven dat moet worden gegeven aan werknemers die waarschijnlijk het doelwit zijn van dit soort aanvallen. We onderscheiden twee hoofdtypen van te implementeren bescherming. Ten eerste het versterken van bestaande procedures.
De implementatie van procedures stelt ons in staat om de reacties van operators te sturen en zo de cognitieve vooroordelen te blokkeren waaraan ze normaal zouden worden onderworpen. Daar na moet een plan van aanpak worden uitgevoerd om de gesignaleerde kwetsbaarheden of zwakke punten te corrigeren.
Vervolgens helpt het vergroten van het bewustzijn van de groepen die gevaar lopen en het geven van beschermingselementen om dit soort aanvallen te dwarsbomen. Met name door:
Iedereen kan slachtoffer worden, zowel in de openbare als in de privésfeer. Voor de gek gehouden worden door phishing is geen bewijs van zwakte, maar zoals voor elk systeem geldt – zelfs een geavanceerd systeem –een gewetenloze en vastberaden aanvaller weet zijn doelen te bereiken. Het is daarom essentieel voor bedrijven om deze dreiging als een apart element in ogenschouw te nemen en regelmatig bewustwordingssessies of zelfs missies zoals hierboven beschreven te organiseren om het beveiligingsniveau continu te verbeteren.