Cybercriminelen zoeken continu naar nieuwe manieren om de computerbeveiliging van organisaties te omzeilen. Daarbij is de beveiliging zo sterk als de zwakste schakel. Binnen de informatiebeveiliging is het gedrag van de mens vaak bepalend. Daarom is de kans groot dat cybercriminelen zich richten op uw medewerkers.
Bij social engineering gebruiken cybercriminelen verschillende aanvalstechnieken om uw medewerkers te misleiden, om zo toegang te krijgen tot (bedrijfs)gevoelige informatie. Daarbij is de aanval dus in eerste instantie gericht op een persoon en niet op een systeem. Het bekendste voorbeeld van social engineering is een zogenaamde phishing mail, een geloofwaardige e-mail die een medewerker verzoekt om met persoonlijke inloggegevens op een website in te loggen, zodat deze gegevens geverifieerd kunnen worden. Soms vragen cybercriminelen deze inloggegevens op met de mededeling dat uw medewerker kans maakt op een prijs of cadeau. Vervolgens krijgen de cybercriminelen met de prijsgegeven inloggegevens toegang tot uw netwerk. Tegenwoordig komen daar ook steeds vaker spoof calls bij, een medewerker krijgt een telefoontje van de helpdesk, dat staat in het beeldscherm van de telefoon, maar in werkelijkheid krijgen zij de cybercrimineel aan de telefoon die zich voordoet als een medewerker van de helpdesk. De technieken van social engineering werken vaak goed, omdat ze inspelen op nieuwsgierigheid, behulpzaamheid of het vertrouwen dat mensen in elkaar hebben. En met spoof calls wordt dat vertrouwen nog meer benaderd.
Onze aanpak: het meten van het gedrag van uw medewerkers
Hoffmann biedt diverse diensten aan om te toetsen in hoeverre uw organisatie vatbaar is voor deze vorm van criminaliteit. Onze specialisten gebruiken hiervoor real life-scenario’s die gebaseerd zijn op echte aanvallen van cybercriminelen. Hiermee krijgt u een realistisch inzicht in de reactie en het gedrag van uw medewerkers. De uitkomsten van deze testen kunt u vervolgens gebruiken om de alertheid en het bewustzijn over informatiebeveiliging en cybercriminaliteit bij uw medewerkers te verhogen, of als startpunt voor een gedragsprogramma.
Spoofing, email phishing, spear phishing, baiting, tail gating, smishing en meer
Hoffmann levert op het gebied van social engineering in ieder geval de volgende diensten aan:
- Spoofing
Bij spoofing vervalsen we e-mailadressen of telefoonnummers om zo bepaalde gegevens te verkrijgen of medewerkers iets te laten doen. Zo kunnen we het telefoonnummer van de helpdesk van uw organisatie spoofen zodat de persoon die gebeld wordt ook daadwerkelijk denkt dat hij spreekt met een collega van de helpdesk, een zogeheten spoof call.
- Email phishing
Door middel van een e-mail aan een grote groep mensen proberen wij om informatie van uw medewerkers en/of organisatie te bemachtigen. Zo kunnen we een email phishing uitsturen waarbij de ontvanger op een link moet klikken en zijn inloggegevens moet invullen om een zomerattentie te bestellen.
- Spear phishing
Door middel van een e-mail met malware aan een specifieke groep mensen proberen wij om toegang te krijgen tot uw systeem. Het werkt in theorie hetzelfde als email phishing maar het verschil met spear phishing is dat het gericht is aan een kleinere specifieke groep.
- Voice phishing
Door middel van telefonisch contact proberen wij om gevoelige informatie, zoals een wachtwoord, van uw medewerkers en/of organisatie te bemachtigen. Zo kunnen we ons voordoen als een medewerker van de helpdesk die wil helpen met een bepaald issue. En zoals hierboven ook gesteld kunnen we met behulp van spoofing ook nog met het betreffende telefoonnummer bellen.
- Baiting
Baiting is het achterlaten of opsturen van een USB-stick of een andere datadrager om malware te installeren bij het openen van de datadrager. De bedoeling is daarbij natuurlijk dat degene die hem vindt of ontvangt gaat bekijken wat er opstaat om te achterhalen van wie de USB-stick is.
- Tail gating
Het volgen van een geautoriseerde medewerker om een beveiligde locatie binnen te komen. De persoon kan zich bijvoorbeeld voordoen als een bezorger en loopt mee met een medewerker om een pakket af te leveren. Met tail gating zal de persoon ook vaak door een toegangspoortje meeglippen met zijn voorganger.
- Smishing
Door middel van een sms bericht proberen wij om inloggegevens te bemachtigen om zo toegang te krijgen tot uw systeem. Dit Is een steeds minder vaak gebruikte techniek gezien men steeds minder gebruik maakt van sms en smishing dus sneller te herkennen is.
- Inlooptest
Door fysiek uw organisatie binnen te treden bekijken wij of we ook toegang kunnen krijgen tot bedrijfsgevoelige informatie. Een doel van een inlooptest kan bijvoorbeeld zijn om te bekijken of we tot een serverruimte kunnen komen of een device in het kantoor van de CEO kunnen plaatsen.
Meer informatie over Social Engineering?
Heeft u vragen? Of bent u benieuwd wat wij voor uw organisatie kunnen betekenen? Neem dan gerust vrijblijvend contact met ons op.
Onze specialisten staan voor u klaar.
Of neem rechtstreeks contact op met één van onze consultants.
Contactformulier Social Engineering