Cybercriminelen richten zich op de medewerk(st)ers van bedrijven. Dit doen ze met activiteiten die allemaal onder dezelfde noemer zijn te vatten: “Social Engineering”. Social Engineering is de verzamelnaam van activiteiten en methodes die door cybercriminelen worden gebruikt om in te breken in systemen of om vertrouwelijke informatie te verkrijgen. Social Engineering is het misbruik maken van de natuurlijke tendens van de mens om iets of iemand anders al heel snel te vertrouwen. Onbewuste slachtoffers worden “verleid” om bijvoorbeeld ergens op te klikken of om vertrouwelijke informatie te verstrekken die later wordt misbruikt om een inbraak te plegen.
Social Engineering: Misbruik maken van normale menselijke eigenschappen
Bij Social Engineering methodes wordt misbruik gemaakt van heel normale menselijke eigenschappen. Denk bijvoorbeeld aan snel van vertrouwen zijn, angst, onwetendheid, naïviteit, eigenwijsheid, nieuwsgierigheid of een combinatie van dergelijke eigenschappen. Cybercriminelen weten mensen met dergelijke menselijke eigenschappen op hun gevoelige snaar te raken. Nieuwsgierige mensen klikken snel op een linkje in een (phishing)mail met een “speciale aanbieding van Ziggo”. Oudere mensen worden angstig als “de bank” opbelt met de mededeling dat er criminele activiteiten zijn geconstateerd op hun bankrekening en dat het saldo direct moet worden overgeboekt naar een “veilige” rekening. Eigenwijze mensen denken dat ze phishingmails écht wel herkennen. En naïeve mensen maken zich niet druk dat ze misschien op een vals linkje klikken “want als er iets fout gaat is er altijd wel een backup bij de IT-afdeling, toch?”.
Phishing
Een veelgebruikte en zeer succesvolle vorm van Social Engineering is natuurlijk de Phishing e-mail. Iedereen heeft die wel eens gezien of zelf ontvangen, zowel thuis als op het werk. Je ontvangt een email en wordt met een smoesje, een mooie aanbieding of een waarschuwing verzocht / verleid / gemaand om op een link te klikken. Veel mensen realiseren zich niet hoe serieus het risico is van een phishingbericht via e-mail, SMS of Social Media. Een phishing e-mail is een rechtstreekse aanval door een cybercrimineel die in jouw computer wil binnendringen. 91% van alle hackers aanvallen begint met het sturen van een phishing e-mail. En als ik dan zie dat bij de eerste phishingtesten bij bedrijven nog steeds tientallen procenten van de medewerk(st)ers op de simpelste phishingtest e-mails klikken maak ik me nog steeds grote zorgen.
Telefoon-scams
We kennen allemaal de voorbeelden wel van criminelen die opbellen met het verhaal dat ze van de supportafdeling van Microsoft zijn: “Er is een probleem geconstateerd in uw computer, het is noodzakelijk om even wat veranderingen aan te brengen in de instellingen van uw computer om die problemen op te lossen”. Maar er zijn natuurlijk veel meer voorbeelden van telefoon-scams. Wat denk je bijvoorbeeld van een telefoontje naar oudere mensen waarbij gezegd wordt dat ze van de bank zijn. Er wordt dan verteld dat er problemen zijn met hun bankpasje en dat er vanmiddag iemand van de bank langskomt om dat pasje (met de pincode) op te halen om het te laten vervangen.
Onbewust delen van informatie in openbare ruimtes
Soms wordt het de cybercriminelen erg eenvoudig gemaakt. Informatie over bedrijven wordt hen soms zomaar in de schoot geworpen omdat iemand die informatie openlijk deelt in openbare ruimtes. Vertrouwelijke informatie wordt soms ruimschoots gedeeld in openbare ruimtes zoals in het openbaar vervoer. Mensen die vertrouwelijke details over bedrijf, klanten of relaties openlijk met elkaar bespreken, telefoongesprekken voeren over een opdracht die is binnengehaald etc. Dit kan zeer waardevolle informatie zijn om later te misbruiken.
Phishingtesten
Je kunt je organisatie laten testen op de gevoeligheid voor phishing. Er wordt dan een phishing-testmail naar (een selectie van) de medewerk(st)ers gestuurd. Er wordt vastgelegd wat de medewerk(st)ers met die mail doen. Verwijderen ze de mail? Sturen ze ‘m door? Klikken ze op een link in die mail? Het resultaat van zo’n phishingtest maakt de gevoeligheid voor phishing zichtbaar.
Voorlichting, E-learning, Phishingtesten, mystery guest bezoeken, USB-drop testen, etc
Vervolgens kun je de juiste maatregelen nemen om dit risico te verlagen. Een awareness presentatie over social engineering, veilig gebruik van wachtwoorden en de diverse vormen van internetfraude is een goede investering en maakt de medewerk(st)ers bewust van de internet-risico’s, zowel op het werk als in de thuissituatie. Dit kan veel ellende besparen in de toekomst. Bewust personeel maakt elke organisatie weerbaar tegen cybercriminaliteit en verlaagt het aantal security incidenten en datalekken.
Er zijn nog veel meer activiteiten die je kunt uitvoeren om het bewustzijn van mensen te vergroten. Ik kom graag in contact om de mogelijkheden van een goede awareness campagne te bespreken. Neem gerust contact met me op via onderstaand formulier, via e-mail info@kochconsultancy.nl of telefonisch via 06-53233269
Reactie plaatsen
Reacties