Social engineering is de kunst van het manipuleren van mensen zodat ze vertrouwelijke informatie opgeven. De soorten informatie die deze criminelen zoeken, kan variëren, maar wanneer individuen het doelwit zijn, proberen de criminelen u meestal te misleiden om hen uw wachtwoorden of bankgegevens te geven, of toegang te krijgen tot uw computer om in het geheim kwaadaardige software te installeren – die hen toegang geeft tot uw wachtwoorden en bankgegevens en geeft ze ook controle over uw computer.

Criminelen gebruiken social engineering-tactieken omdat het gewoonlijk gemakkelijker is om uw natuurlijke neiging tot vertrouwen te misbruiken dan om manieren te ontdekken om uw software te hacken. Het is bijvoorbeeld veel gemakkelijker om iemand voor de gek te houden door u zijn wachtwoord te geven, dan wanneer u probeert zijn wachtwoord te hacken (tenzij het wachtwoord erg zwak is).

Phishing is geëvolueerd. Lees in deze handleiding 11 manieren waarop hackers naar uw gegevens streven en hoe u uzelf kunt beschermen.

Bij beveiliging gaat het erom te weten wie en wat te vertrouwen. Het is belangrijk om te weten wanneer en wanneer u iemand niet op zijn woord moet geloven en wanneer de persoon met wie u communiceert, is wie hij zegt te zijn. Hetzelfde geldt voor online interacties en websitegebruik: wanneer vertrouwt u erop dat de website die u gebruikt legitiem is of veilig is om uw informatie te verstrekken?

Vraag het aan een beveiligingsprofessional en zij zullen u vertellen dat de zwakste schakel in de veiligheidsketen is de mens die een persoon of scenario zonder meer accepteert. Het maakt niet uit hoeveel sloten en nachtschoten er op uw deuren en ramen zitten, of er waakhonden, alarmsystemen, schijnwerpers, hekken met prikkeldraad en gewapend beveiligingspersoneel zijn; als je de persoon bij de poort vertrouwt die zegt dat hij de pizzabezorger is en je hem binnenlaat zonder eerst te controleren of hij legitiem is, ben je volledig blootgesteld aan welk risico hij ook vertegenwoordigt.

Wat doet een Social engineering-aanval ziet eruit?

E-mail van een vriend

Als een crimineel erin slaagt het e-mailwachtwoord van een persoon te hacken of sociaal te manipuleren, hebben ze toegang tot de lijst met contactpersonen van die persoon – en omdat de meeste mensen overal één wachtwoord gebruiken, hebben ze waarschijnlijk ook toegang tot de sociale netwerkcontacten van die persoon.

Zodra de crimineel dat e-mailaccount onder zijn controle heeft, sturen ze e-mails naar alle contacten van de persoon of laten ze berichten achter op al hun contacten. sociale pagina’s van vrienden, en mogelijk op de pagina’s van de vrienden van de vriend van de persoon.

Gebruikmakend van uw vertrouwen en nieuwsgierigheid, zullen deze berichten:

• een link bevatten die je gewoon moet bekijken – en omdat de link afkomstig is van een vriend en je bent nieuwsgierig, vertrouw je de link en klik – en geïnfecteerd worden met malware, zodat de crimineel uw computer kan overnemen en uw contactgegevens kan verzamelen en hen kan misleiden, net zoals u werd misleid.

• Bevat een download van afbeeldingen, muziek, film, document, enz., waarin schadelijke software is ingebed. Als u downloadt – wat u waarschijnlijk zult doen omdat u denkt dat het van uw vriend is – raakt u besmet. Nu heeft de crimineel toegang tot uw machine, e-mailaccount, sociale netwerkaccounts en contacten, en de aanval verspreidt zich naar iedereen die u kent. En zo verder.

E-mail van een andere vertrouwde bron

Phishingaanvallen zijn een onderdeel van social engineering-strategieën die een vertrouwde bron imiteren en een ogenschijnlijk logisch scenario voor het overhandigen van inloggegevens of andere gevoelige persoonlijke gegevens. Volgens gegevens van Webroot vertegenwoordigen financiële instellingen de overgrote meerderheid van de imitaties van bedrijven en volgens Verizons jaarlijkse Data Breach Investigations Report zijn social engineering-aanvallen, waaronder phishing en pretexting (zie hieronder), verantwoordelijk voor 93% van de succesvolle datalekken.

Met behulp van een boeiend verhaal of voorwendsel kunnen deze berichten:

• Dringend om je hulp vragen. Je ‘vriend’ zit vast in land X, is beroofd, geslagen , en ligt in het ziekenhuis. Ze hebben je geld nodig zodat ze naar huis kunnen en ze vertellen je hoe je het geld naar de crimineel kunt sturen.

• Gebruik phishing-pogingen met een legitiem ogende achtergrond. Meestal stuurt een phisher een e-mail, chatbericht, opmerking of sms-bericht dat afkomstig lijkt te zijn van een legitiem, populair bedrijf, bank, school of instelling.

• U vragen om te doneren aan hun liefdadigheidsinzamelingsactie of een ander doel. Waarschijnlijk met instructies over hoe u het geld naar de crimineel kunt sturen. Preying on verwanten genereusheid en vrijgevigheid vragen deze phishers om hulp of ondersteuning voor elke ramp, politieke campagne of liefdadigheidsinstelling die momenteel de hoogste prioriteit heeft.

• Stel een probleem voor waarvoor u ” verifieer “uw informatie door op de weergegeven link te klikken en informatie in hun formulier te verstrekken.De linklocatie kan er erg legitiem uitzien met alle juiste logo’s en inhoud (in feite hebben de criminelen mogelijk het exacte formaat en de inhoud van de legitieme site gekopieerd). Omdat alles er legitiem uitziet, vertrouwt u de e-mail en de nepsite en geeft u alle informatie op waar de boef om vraagt. Bij dit soort phishing-aanvallen wordt vaak gewaarschuwd wat er zal gebeuren als u niet snel actie onderneemt, omdat criminelen weten dat als ze u kunnen aanzetten tot actie voordat u denkt, de kans groter is dat u voor hun phishing-poging zult vallen.

• Laat u weten dat u een ‘winnaar’ bent. Misschien beweert de e-mail afkomstig te zijn van een loterij, of een overleden familielid, of de miljoenste persoon die op hun site heeft geklikt, enz. om u uw ‘winst’ te geven, moet u informatie verstrekken over de routering van uw bank, zodat zij weten hoe ze deze naar u moeten verzenden, of uw adres en telefoonnummer opgeven zodat zij de prijs kunnen verzenden, en u kan ook worden gevraagd om te bewijzen wie u bent vaak inclusief uw sofinummer. Dit zijn de ‘hebzucht-phishes’ waarbij, zelfs als het voorwendsel van het verhaal dun is, mensen willen wat wordt aangeboden en ervoor trappen door hun informatie weg te geven, vervolgens hun bankrekening leeg te laten maken en hun identiteit te laten stelen.

• Doe je voor als baas of collega. Het kan vragen om een update van een belangrijk, bedrijfseigen project waar uw bedrijf momenteel aan werkt, om betalingsinformatie met betrekking tot een bedrijfscreditcard, of om een ander onderzoek dat zich voordoet als dagelijkse zaken.

Lokscenario’s

Deze social engineering-schema’s weten dat als je iets bengelt wat mensen willen, veel mensen het aas zullen pakken. Deze schema’s zijn vaak te vinden op peer-to-peer-sites die een download aanbieden van zoiets als een hete nieuwe film of muziek. Maar de schema’s zijn ook te vinden op sociale netwerksites, kwaadwillende websites die u vindt via zoekresultaten, enzovoort.

Of het schema kan als een verbazingwekkend goede deal verschijnen op geclassificeerde sites, veilingsites, enz. .. Om uw vermoeden weg te nemen, kunt u zien dat de verkoper een goede beoordeling heeft (allemaal van tevoren gepland en gemaakt).

Mensen die het aas gebruiken, kunnen geïnfecteerd zijn met schadelijke software die een onbeperkt aantal nieuwe exploits tegen zichzelf en hun contacten, kunnen hun geld verliezen zonder hun gekochte item te ontvangen, en, als ze dwaas genoeg waren om met een cheque te betalen, kunnen hun bankrekening leeg zijn.

Antwoord op een vraag die u nooit gehad

Criminelen kunnen doen alsof ze reageren op uw ‘verzoek om hulp’ van een bedrijf, terwijl ze ook meer hulp bieden. Ze kiezen bedrijven die miljoenen mensen gebruiken, zoals een softwarebedrijf of een bank. Als u het product of de service niet gebruikt, negeert u de e-mail, het telefoontje of het bericht, maar als u de service toch gebruikt, is de kans groot dat u reageert omdat u waarschijnlijk wel hulp wilt bij een probleem .

Bijvoorbeeld, hoewel u weet dat u oorspronkelijk geen vraag stelde, heeft u waarschijnlijk een probleem met het besturingssysteem van uw computer en grijpt u deze kans aan om het te laten repareren. Gratis! Op het moment dat je reageert, heb je het verhaal van de boef gekocht, hen je vertrouwen gegeven en je opengesteld voor uitbuiting.

De vertegenwoordiger, die eigenlijk een crimineel is, zal je moeten ‘authenticeren’, laat je inloggen op ‘hun systeem’ of, logt u in op uw computer en geeft u ze externe toegang tot uw computer zodat ze het voor u kunnen ‘repareren’, of u vertellen de opdrachten zodat u het zelf kunt oplossen met hun hulp – waar sommige van de commando’s die ze je vertellen om in te voeren, openen een manier voor de crimineel om later weer in je computer te komen.

Wantrouwen creëren

Bij sommige social engineering gaat het erom wantrouwen te creëren of conflicten te beginnen ; deze worden vaak uitgevoerd door mensen die je kent en die boos op je zijn, maar het wordt ook gedaan door vervelende mensen die gewoon chaos proberen aan te richten, mensen die eerst wantrouwen in je hoofd willen wekken jegens anderen, zodat ze dan kunnen ingrijpen als een held en uw vertrouwen winnen, of door afpersers die informatie willen manipuleren en u vervolgens met openbaarmaking bedreigen.

Deze vorm van social engineering begint vaak met het verkrijgen van toegang tot een e-mailaccount of een ander communicatieaccount op een IM-client , sociaal netwerk, chat, forum, etc. Ze bereiken dit door te hacken, social engineering, of simpelweg door heel zwakke wachtwoorden te raden.

• De kwaadwillende persoon kan dan gevoelige of privécommunicatie wijzigen (inclusief afbeeldingen en audio) met behulp van elementaire bewerkingstechnieken en stuurt deze door naar andere mensen om drama, wantrouwen, verlegenheid, enz. te creëren. Ze kunnen ervoor zorgen dat het lijkt alsof het per ongeluk is verzonden, of het lijkt alsof ze u laten weten wat ‘echt’ is aan de gang.

• A Als alternatief kunnen ze het gewijzigde materiaal gebruiken om geld af te persen, hetzij van de persoon die ze hebben gehackt, hetzij van de vermeende ontvanger.

Er zijn letterlijk duizenden variaties op social engineering-aanvallen.De enige beperking op het aantal manieren waarop ze gebruikers sociaal kunnen manipuleren door dit soort uitbuiting, is de verbeeldingskracht van de crimineel. En u kunt in één aanval meerdere vormen van exploits ervaren. Dan zal de crimineel uw informatie waarschijnlijk aan anderen verkopen, zodat ook zij u, uw vrienden, de vrienden van uw vrienden, enzovoort kunnen misbruiken, terwijl criminelen het misplaatste vertrouwen van mensen misbruiken.

Word niet een slachtoffer

Hoewel phishing-aanvallen wijdverbreid zijn, van korte duur zijn en slechts een paar gebruikers nodig hebben om een succesvolle campagne te voeren, zijn er methoden om uzelf te beschermen. Voor de meeste is niet veel meer nodig dan alleen aandacht schenken aan de details die voor u liggen. Houd het volgende in gedachten om zelf phishing te voorkomen.

Tips om te onthouden:

• Rustig aan. Spammers willen dat u eerst handelt en later nadenkt. Als de boodschap een gevoel van urgentie uitstraalt of verkooptactieken onder hoge druk gebruikt, wees dan sceptisch; laat hun urgentie nooit uw zorgvuldige beoordeling beïnvloeden.

• Doe onderzoek naar de feiten. Wees op uw hoede voor ongevraagde berichten. Als de e-mail eruitziet alsof deze afkomstig is van een bedrijf dat u gebruikt, doe dan uw eigen onderzoek. Gebruik een zoekmachine om naar de site van het echte bedrijf te gaan, of een telefoonlijst om hun telefoonnummer te vinden.

• Laat een link niet de controle hebben over waar u terechtkomt. Houd de controle door zelf de website te vinden met behulp van een zoekmachine om zorg ervoor dat je landt waar je van plan bent te landen. Als je de muisaanwijzer op links in e-mail plaatst, wordt de daadwerkelijke URL onderaan weergegeven, maar een goede vervalsing kan je nog steeds verkeerd sturen.

• E-mailkaping is ongebreideld. Hack ers, spammers en social engineers die de controle over de e-mailaccounts (en andere communicatieaccounts) van mensen overnemen, is wijdverbreid. Zodra ze een e-mailaccount beheren, jagen ze op het vertrouwen van de contacten van de persoon. Zelfs als de afzender iemand lijkt te zijn die je kent, neem dan contact op met je vriend als je geen e-mail met een link of bijlage verwacht voordat je links opent of downloadt.

• Pas op voor elke download. Als u de afzender niet persoonlijk kent EN een bestand van hem verwacht, is het downloaden van iets een vergissing.

• Buitenlandse aanbiedingen zijn nep. Als u een e-mail ontvangt van een buitenlandse loterij of sweepstakes, geld van een onbekend familielid of verzoeken om geld uit het buitenland over te maken voor een deel van het geld, is dit gegarandeerd een oplichterij.

Manieren om jezelf te beschermen:

• Verwijder elk verzoek om financiële informatie of wachtwoorden. Als u wordt gevraagd om op een bericht te reageren met persoonlijke gegevens, is dit een oplichterij.

• Weiger verzoeken om hulp of aanbiedingen van hulp. Legitieme bedrijven en organisaties nemen geen contact met u op om hulp te bieden. Als je niet specifiek om hulp van de afzender hebt gevraagd, overweeg dan een aanbod om ‘kredietscores’ te herstellen, een huis te herfinancieren, je vraag te beantwoorden, enz., Een scam. Evenzo, als u een verzoek om hulp ontvangt van een liefdadigheidsinstelling of organisatie waarmee u geen relatie heeft, verwijder dit dan. Zoek om een gift te geven zelf op zoek naar gerenommeerde liefdadigheidsorganisaties om te voorkomen dat u voor oplichterij valt.

• Stel uw spamfilters in op hoog. Elk e-mailprogramma heeft spamfilters. Om de uwe te vinden, kijkt u naar uw instellingsopties en stelt u deze in op hoog. Vergeet niet om uw spammap regelmatig te controleren om te zien of er per ongeluk legitieme e-mail in terecht is gekomen. U kunt ook zoeken naar een stapsgewijze handleiding voor het instellen van uw spamfilters door te zoeken op de naam van uw e-mailprovider plus de term ‘spamfilters’.

• Beveilig uw computerapparatuur. Installeer antivirussoftware, firewalls, e-mailfilters en houd deze up-to-date. Stel uw besturingssysteem zo in dat het automatisch wordt bijgewerkt, en als uw smartphone niet automatisch wordt bijgewerkt, moet u deze handmatig bijwerken wanneer u een melding ontvangt. Gebruik een anti-phishingtool die wordt aangeboden door uw webbrowser of een derde partij om u te waarschuwen voor risico’s.

De database met bedreigingen van Webroot heeft meer dan 600 miljoen domeinen en 27 miljard URL’s gecategoriseerd om gebruikers te beschermen tegen webgebaseerde bedreigingen. De bedreigingsinformatie die al onze producten ondersteunt, helpt u het internet veilig te gebruiken en onze mobiele beveiligingsoplossingen bieden veilig surfen op het web om succesvolle phishingaanvallen te voorkomen.