Social engineering is een vorm van een cyberaanval waarbij cybercriminelen misbruik maken van psychologische gedragstechnieken om uw medewerkers te misleiden. Met deze aanvallen wordt geprobeerd om toegang te krijgen tot informatie als wachtwoorden, persoonlijke gegevens of gevoelige bedrijfsinformatie. Deze aanvallen kunnen zowel fysiek als digitaal plaatsvinden.

Voorbeelden van fysieke aanvallen zijn tailgaiting of baiting. Voorbeelden van digitale aanvallen zijn spoofing, phishing en smishing. Ondanks de verschillende vormen van aanvallen is het eindelijke doel van de cybercrimineel en daarmee het risico voor uw organisatie hetzelfde: ongeautoriseerde toegang tot vertrouwelijke gegevens.

Binnen informatiebeveiliging is het gedrag van de mens vaak bepalend. Social engineering is daarom in eerste instantie gericht op een persoon en niet op de techniek of een systeem. Het toepassen van social engineering werkt in de praktijk vaak goed. Dit komt doordat cybercriminelen inspelen op nieuwsgierigheid, behulpzaamheid of het vertrouwen dat mensen in elkaar hebben. Cybercriminelen vertrouwen daarmee op de menselijke zwaktes om schade aan uw medewerkers en uw organisatie aan te richten.

Onze aanpak: het meten en blijvend verbeteren van cyberveiliggedrag van uw medewerkers

Met het creëren van een blijvende gedragsverandering op het gebied van cyberveiligheid kunt u uw medewerkers en uw organisatie beschermen tegen de gevaren van social engineering. Een combinatie van bewustwording, technische beveiliging en procedures is daarbij nodig om de veiligheid van gevoelige bedrijfsinformatie te waarborgen.

Om de huidige cultuur van beveiligingsbewustzijn vast te stellen biedt Hoffmann diverse diensten aan. Met deze diensten wordt eveneens getoetst in hoeverre uw organisatie vatbaar is voor cyberaanvallen op basis van social engineering. De specialisten van Hoffmann gebruiken hiervoor real life scenario’s die gebaseerd zijn op echte aanvallen van cybercriminelen. Hiermee krijgt u een realistisch inzicht in de reactie en het gedrag van uw medewerkers. De uitkomsten van deze testen kunt u vervolgens gebruiken om de alertheid en het bewustzijn over informatiebeveiliging en cybercriminaliteit bij uw medewerkers te verhogen, of als startpunt voor een gedragsprogramma cyberveiligheid.

Spoofing, email phishing, spear phishing, voice phishing, baiting, tailgating en meer

Om een goed beeld te krijgen van de mate van beveiligingsbewustzijn van uw organisatie en de aanwezige risico’s met betrekking tot informatieveiligheid levert Hoffmann  op het gebied van social engineering in ieder geval de volgende diensten aan:

  • Spoofing

Bij spoofing vervalsen we e-mailadressen of telefoonnummers om zo bepaalde gegevens te verkrijgen of medewerkers iets te laten doen. Zo kunnen we het telefoonnummer van de helpdesk van uw organisatie spoofen zodat de persoon die gebeld wordt ook daadwerkelijk denkt dat hij spreekt met een collega van de helpdesk, een zogeheten spoof call.

  • E-mail phishing

Door middel van een e-mail aan een grote groep mensen proberen wij om informatie van uw medewerkers en/of uw organisatie te bemachtigen. Zo kunnen we een e-mail phishing uitsturen waarbij de ontvanger op een link moet klikken en zijn inloggegevens moet invullen om een attentie te ontvangen

  • Spear phishing

Door middel van een e-mail met malware aan een specifieke groep mensen proberen wij om toegang te krijgen tot uw systeem. Het werkt in theorie hetzelfde als e-mail phishing maar het verschil met spear phishing is dat het gericht is aan een kleinere specifieke groep.

  • Voice phishing

Door middel van telefonisch contact of bijvoorbeeld contact via Teams proberen wij om gevoelige informatie, zoals een wachtwoord, van uw medewerkers en/of organisatie te bemachtigen. Zo kunnen we ons voordoen als een medewerker van de helpdesk die wil helpen met een bepaald issue. En zoals hierboven ook gesteld kunnen we met behulp van spoofing ook nog met het betreffende telefoonnummer bellen.

  • Baiting

Baiting is het achterlaten of opsturen van een USB-stick of een andere datadrager om malware te installeren bij het openen van de datadrager. De bedoeling is daarbij natuurlijk dat degene die hem vindt of ontvangt gaat bekijken wat er opstaat om te achterhalen van wie de USB-stick is.

  • Tailgating

Het volgen van een geautoriseerde medewerker om een beveiligde locatie binnen te komen. De persoon kan zich bijvoorbeeld voordoen als een bezorger en loopt mee met een medewerker om een pakket af te leveren. Met tailgating zal de persoon ook vaak door een toegangspoortje meeglippen met zijn voorganger.

  • Smishing

Door middel van een sms bericht proberen wij om inloggegevens te bemachtigen om zo toegang te krijgen tot uw systeem. Dit Is een steeds minder vaak gebruikte techniek gezien men steeds minder gebruik maakt van sms en smishing dus sneller te herkennen is.

  • Inlooptest

Door fysiek uw organisatie binnen te treden bekijken wij of we als een mystery guest ook toegang kunnen krijgen tot bedrijfsgevoelige informatie. Een doel van een inlooptest kan bijvoorbeeld zijn om te bekijken of we tot een serverruimte kunnen komen of een device in het kantoor van de CEO kunnen plaatsen.

Meer informatie over Social Engineering?

Heeft u vragen? Of bent u benieuwd wat wij voor uw organisatie kunnen betekenen? Neem dan gerust vrijblijvend contact met ons op.

Contactformulier

Onze specialisten staan voor u klaar.

088-2986600

info@hoffmann.nl 

Of neem rechtstreeks contact op met één van onze consultants.

Contactformulier Social Engineering

right section

Contact

 

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.