Wat is sociale engineering?

Bij computerbeveiliging doen zich veel problemen voor ondanks de inspanningen van de gebruiker. U kunt bijvoorbeeld op elk moment worden getroffen door malware door malvertising, eigenlijk heeft u pech. Er zijn stappen die u kunt nemen om het risico te minimaliseren, zoals het gebruik van een adblocker. Maar zo geraakt worden is niet de schuld van de gebruiker. Andere aanvallen zijn echter gericht op het misleiden van de gebruiker om iets te doen. Dit soort aanvallen vallen onder de brede vlag van social engineering-aanvallen.

Social engineering omvat het gebruik van analyse en begrip van hoe mensen met bepaalde situaties omgaan om een ​​uitkomst te manipuleren. Social engineering kan worden uitgevoerd tegen grote groepen mensen. In termen van computerbeveiliging wordt het echter meestal tegen individuen gebruikt, hoewel mogelijk als onderdeel van een grote campagne.

Een voorbeeld van social engineering tegen een groep mensen kunnen pogingen zijn om paniek te veroorzaken als afleiding. Bijvoorbeeld een militair die een valse vlag-operatie uitvoert, of iemand die "vuur" roept op een drukke locatie en vervolgens steelt in de chaos. Op een bepaald niveau zijn eenvoudige propaganda, gokken en adverteren ook technieken voor social engineering.

Bij computerbeveiliging zijn de acties echter meer individueel. Phishing probeert gebruikers te overtuigen om te klikken en te linken en details in te voeren. Veel zwendel probeert te manipuleren op basis van angst of hebzucht. Social engineering-aanvallen in computerbeveiliging kunnen zich zelfs in de echte wereld wagen, zoals een poging om ongeoorloofde toegang tot een serverruimte te krijgen. Interessant is dat in de wereld van cyberbeveiliging dit laatste scenario, en soortgelijke scenario's, typisch zijn wat wordt bedoeld als we het hebben over social engineering-aanvallen.

Bredere social engineering - online

Phishing is een aanvalsklasse die probeert het slachtoffer via social engineering te manipuleren om details aan een aanvaller te verstrekken. Phishing-aanvallen worden meestal geleverd in een extern systeem, zoals via e-mail, en hebben dus twee verschillende social engineering-punten. Eerst moeten ze het slachtoffer ervan overtuigen dat het bericht legitiem is en ervoor zorgen dat ze op de link klikken. Dit laadt vervolgens de phishing-pagina, waar de gebruiker vervolgens wordt gevraagd om details in te voeren. Meestal is dit hun gebruikersnaam en wachtwoord. Dit is afhankelijk van de eerste e-mail en de phishing-pagina die er allebei overtuigend genoeg uitzien om de gebruiker via social engineering te overtuigen hen te vertrouwen.

Veel oplichtingspraktijken proberen hun slachtoffers via social engineering ertoe over te halen geld te overhandigen. De klassieke "Nigeriaanse prins"-zwendel belooft een grote uitbetaling als het slachtoffer een klein voorschot kan betalen. Natuurlijk, zodra het slachtoffer de "vergoeding" betaalt, wordt er nooit een uitbetaling ontvangen. Andere soorten zwendelaanvallen werken volgens vergelijkbare principes. Overtuig het slachtoffer om iets te doen, meestal geld overhandigen of malware installeren. Ransomware is daar zelfs een voorbeeld van. Het slachtoffer moet geld overhandigen of loopt het risico de toegang tot de versleutelde gegevens te verliezen.

Persoonlijke social engineering

Wanneer in de wereld van cyberbeveiliging naar social engineering wordt verwezen, verwijst dit meestal naar acties in de echte wereld. Er zijn tal van voorbeeldscenario's. Een van de meest elementaire wordt tail-gating genoemd. Dit zweeft zo dicht achter iemand dat ze een deur met toegangscontrole openhouden om je door te laten. Tail-gating kan worden verbeterd door een scenario op te zetten waarin het slachtoffer u zou kunnen helpen. Een methode is om buiten met de rokers rond te hangen tijdens een rookpauze en dan weer naar binnen te gaan met de groep. Een andere methode is om te zien dat je iets onhandigs draagt. Deze techniek heeft nog meer kans van slagen als wat je draagt ​​voor anderen zou kunnen zijn. Als je bijvoorbeeld een dienblad met koffiemokken hebt voor 'je team', ontstaat er sociale druk om iemand de deur voor je open te laten houden.

Veel van persoonlijke social engineering is afhankelijk van het opzetten van een scenario en er vervolgens zelfverzekerd in zijn. Een sociaal ingenieur kan zich bijvoorbeeld voordoen als een soort bouwvakker of schoonmaker die over het algemeen over het hoofd wordt gezien. Als u zich voordoet als een barmhartige Samaritaan en een "verloren" USB-stick inlevert, kan dit ertoe leiden dat een medewerker deze aansluit. De bedoeling is om te zien van wie de USB-stick is, maar dan kan het systeem het systeem infecteren met malware.

Dit soort persoonlijke social engineering-aanvallen kunnen zeer succesvol zijn, aangezien niemand echt verwacht dat hij op die manier wordt misleid. Ze brengen echter een groot risico met zich mee voor de aanvaller, die een zeer reële kans heeft op heterdaad betrapt te worden.

Conclusie

Social engineering is het concept van het manipuleren van mensen om een ​​bepaald doel te bereiken. Eén manier is het creëren van een echt ogende situatie om het slachtoffer te misleiden om het te geloven. U kunt ook een scenario creëren waarin er een sociale druk of verwachting is voor het slachtoffer om tegen het standaard beveiligingsadvies in te handelen. Alle social engineering-aanvallen zijn echter gebaseerd op het misleiden van een of meer slachtoffers om een ​​actie uit te voeren die de aanvaller wil.