Social engineering is een techniek waarbij hackers u op frauduleuze links willen laten klikken. Hoe beschermt u zich? Wij geven u onze tips.
Hackers vallen onze computersystemen aan, maar proberen ook om ons gezond verstand te benevelen door social engineering toe te passen. U hebt ongetwijfeld reeds dit soort berichten ontvangen: “Levering pakket opgeschort: klik hier om de levering vrij te geven” of “AMAZON: waardebon van 10€, klik hier”.
Social engineering: een herkenbaar voorbeeld
In het bovenstaande voorbeeld krijgt de ontvanger een e-mail die afkomstig zou zijn van “Bpost” met als onderwerp “We moeten de verzending van uw bestelling bevestigen” en met de boodschap “Pakketbezorging opgeschort”. De e-mail probeert ons te overhalen om op een link te klikken omdat we anders de levering van het pakket zouden mislopen.
De bovenstaande e-mail is nog een voorbeeld van social engineering. De hacker houdt u een wortel voor, namelijk een geldgewin van maar liefst 94.486,73 €. U wordt aangemoedigd om op de link “Vul de registratie hier in” te klikken.
Vergelijk de twee eerste voorbeelden eens met de bovenstaande e-mail. Dit is geen oplichting, maar een authentieke e-mail van de Belgische Nationale Loterij. De toon van de e-mail is informatief en de ontvanger wordt op geen enkele manier gedwongen om op een link te klikken.
Hoe maakt u het onderscheid? Dat is eenvoudig: de twee eerste e-mails zetten ons aan om zeer snel te reageren. De derde e-mail heeft een informatieve toon. De eerste e-mail hanteert een communicatiestijl die de ‘echte’ bpost nooit zal gebruiken, toch niet met de persoon die de e-mail heeft ontvangen.
Welke rol speelt mentale manipulatie in deze cyberdreiging? Welke psychologische technieken passen hackers het vaakst toe en hoe vermijdt u om in de val te lopen? Een eerste belangrijke manier om zich te beschermen, is om te verstaan hoe deze technieken worden toegepast.
Hoe verijdelt u de pogingen tot social engineering van hackers?
De meeste berichten (e-mails, sms’en) of oproepen die we krijgen, zowel in een professionele als in een private context, hoeven niet onmiddellijk beantwoord te worden. Reageer dus niet impulsief, zeker wanneer het bericht een dreigende toon heeft, ongeacht van welke persoon of instelling het bericht lijkt te komen.
Bent u er trouwens zeker van dat de afzender van het bericht ook daadwerkelijk is wie hij of zij beweert te zijn? De getoonde naam kan misbruikt zijn. In het geval van twijfel, controleert u het best de rechtsgeldigheid van de afzender om na te gaan of dit de daadwerkelijk de auteur van het bericht is.
Hierbij twee concrete voorbeelden:
- Een collega van het IT-departement vraagt u per e-mail de inloggegevens van uw e-mailaccount om een verificatie uit te voeren.
- Een vriend of familielid vraagt u om dringend een bankoverschrijving uit te voeren om zijn of haar gezondheidsuitgaven te kunnen betalen.
Neem uw tijd en bel de betrokken mensen op om na te gaan of zij wel degelijk achter het ontvangen bericht zitten. Kijk ook na of de informatie samenhangend en relevant is.
Klik in ieder geval niet op alle links en open niet zomaar alle bijlagen, vooral niet in het geval van twijfel. Eén klik kan de deur voor hackers wagenwijd openzetten.
Communiceer ook nooit per sms, e-mail of telefoon persoonlijke en vertrouwelijke informatie zoals een rekeningnummer, wachtwoorden, inloggegevens, … zelfs niet aan mensen die u kent!
Wat doet u wanneer u in de val van hackers bent getrapt?
Heeft u geld verloren door dit soort manipulatie? Dan is het aangewezen om een aangifte te doen bij het dichtstbijzijnde politiekantoor.
Contacteer ook uw bank indien:
- U bankgegevens heeft verspreid (uw bank kan dan eventuele frauduleuze transacties blokkeren)
- U geld hebt verstuurd op vraag van een oplichter
- Er geld van uw bankrekening is verdwenen zonder dat u daarvoor de opdracht had gegeven
Indien uw bank niet kan bewijzen dat u zwaar nalatig bent geweest, is de bank verplicht om u de betrokken som geld terug te storten. Deze bron van de FOD Financiën geeft hier meer duidelijkheid over.
De berichten van hackers onderscheppen
Wees u bewust van de mentale manipulatietechnieken die hackers gebruiken. Dat is een eerste stap om de berichten te onderscheppen en u te beschermen. U kan ook leren om berichten van hackers te herkennen op basis van de inhoudelijke elementen. Deze berichten proberen u vaak te overhalen om op een link te klikken of om een bijlage te openen.
Het dringende karakter
In dit voorbeeld probeert een “E-Mail Service” mij te overhalen dat er een actie van mijn kant nodig is. Het dringende karakter blijkt uit de woorden “Action Required” en uit de deadline die opgelegd wordt. Maar… over welke e-maildienst gaat het? Over welke organisatie?
Angst
Voorbeelden: “Er werd een verdachte activiteit opgemerkt in uw account”, “Uw antivirus is niet meer geldig”.
Nieuwsgierigheid
In dit voorbeeld geeft de afzender “Nutrazenith” aan dat ik niets aan het toeval mag overlaten, dat er te veel op het spel staat. De nieuwsgierigheid prikkelt mij en ik zou geneigd kunnen zijn om op de link te klikken om zo het mysterieuze bericht beter te begrijpen.
Winstbejag
Een ander bekend voorbeeld dat we hebben vermeld in ons artikel over de herkenning van een frauduleuze e-mail is het winstbejag via nieuwe technologieën zoals Bitcoin. Het onderwerp van de e-mail speelt ook in op angst: “Investeer nu en mis geen geld”.
Vertrouwen of social proof
Voorbeeld: “Uw bank vraagt u om uw persoonlijke gegevens na te kijken en bij te werken. Klik hier om deze actie uit te voeren.”
En andere elementen…
Eén e-mail is vaak voldoende om iemand te overtuigen om persoonlijke informatie vrij te geven, zoals bankgegevens. Het resultaat is vaak de diefstal van duizenden euro’s. Er zijn voorbeelden genoeg van dit soort oplichting.
Een oplichter kan verschillende elementen combineren om zo nog meer druk uit te oefenen op de ontvanger. Er zijn nog meer inhoudelijke elementen die kunnen wijzen op een oplichting: verantwoordelijkheidszin, trots, zin om te helpen. Social engineering helpt hackers om nog realistischere en nog doeltreffendere aanvallen op poten te zetten. Het goede nieuws is dat u nu weet welke technieken hackers gebruiken om uw gedrag te beïnvloeden. U kunt de berichten dus sneller herkennen.
De rol van social engineering bij cyberaanvallen
Een menselijk wezen is eenvoudiger te manipuleren dan een machine. Hackers gebruiken verschillende technieken om hun slachtoffers minder waakzaam te maken en hen te laten meewerken zonder dat ze de gevolgen van hun daden voorzien. Naar dit soort praktijken wordt ook wel verwezen met de term “social engineering”.
Hackers spelen in op de psychologie van de mens. Veel bedrijven leiden hun medewerkers op om extra waakzaam te zijn, maar particuliere gebruikers hebben vaak geen gespecialiseerde opleidingen gehad. Gaat u de uitdaging aan? Ga dan naar de website safeonweb.be en doe de phishingtest!
Bij wat voor aanvallen wordt er mentale manipulatie ingezet?
Bij de meeste aanvallen maken hackers gebruik van mentale manipulatie, in het bijzonder:
- Phishing via e-mail
- Phishing via SMS of smishing
- Oplichting via de telefoon (ook “vishing” of “voice-phishing” genoemd)
Vaak gaat het om een eerste stap die kan leiden tot een agressievere cyberaanval: ransomware, gegevenslek, misbruik van identiteit, diefstal van geld, enz.
Blijf zeker onze blog in de gaten houden en ontdek nieuwe artikels waarin u leest hoe u uw online veiligheid kunt verbeteren.
Ontdek zeker ook onze bijstand Safe & Connected, een bescherming in het geval van digitale problemen!
Artikel geschreven in samenwerking met We are the Words.
Ontdek ook onze andere artikels over IT-bijstand door hier te klikken.