Social engineering 101: 7 trucs die de beveiliging van uw klanten ondermijnen

Het bevei­ligen van gevoelige infor­matie wordt steeds uitda­gender. Omdat bedrijven afhan­ke­lijk zijn van onderling verbonden systemen en online commu­ni­catie, heeft de kunst van het mani­pu­leren een nieuwe vorm aange­nomen: social engi­nee­ring. Derge­lijke cyber­aan­vallen zijn niet afhan­ke­lijk van complexe algo­ritmen of ondoor­dring­bare codes, maar berusten op de exploi­tatie van de mense­lijke psyche en vertrouwen. Volgens het 2023 Data Breach Inves­ti­ga­tions Report van Verizon was bij 74% van de inbreuken in 2022 een menselijk element betrokken, wat eens te meer aangeeft dat dit type cyber­cri­mi­na­li­teit serieus moet worden genomen.

Social engi­nee­ring is de kunst van het zodanig mani­pu­leren van mensen dat ze vertrou­we­lijke gegevens vrijgeven of acties uitvoeren die de bevei­li­ging in gevaar kunnen brengen. Social engi­nee­ring aast op het mense­lijke element en maakt daarbij gebruik van tactieken die appel­leren aan angst en urgentie. Deze aanvallen kennen verschil­lende vormen, met digitale bedrei­gingen die bijzonder verra­der­lijk zijn omdat ze in één keer een breed scala aan slacht­of­fers als doelwit kunnen kiezen.

Hieronder staan zeven van de meest­voor­ko­mende trucs die cyber­cri­mi­nelen hanteren om data en bedrijfs­sys­temen te hacken: 

1. Phishing: Deze mislei­dende techniek bestaat uit het verzenden van schijn­baar legitieme e‑mails naar slacht­of­fers om ze te verleiden tot het vrijgeven van persoon­lijke gegevens, het klikken op scha­de­lijke koppe­lingen of het down­lo­aden van geïn­fec­teerde bijlagen. Een cyber­cri­mi­neel kan zich bijvoor­beeld voordoen als een respec­ta­bele bank, die klanten een e‑mail stuurt met het dringende verzoek om hun account­ge­ge­vens bij te werken door op een koppeling te klikken waarmee ze terecht­komen op een frau­du­leuze website.
2. Vishing: Dit is een afkorting van “voice phishing”, een methode waarbij mensen via tele­foon­ge­sprekken gevoelige gegevens wordt ontfut­seld. Door zich voor te doen als een betrouw­bare partij zoals een bank of over­heids­in­stantie zetten scammers slacht­of­fers aan tot het mondeling verstrekken van wacht­woorden, burger­ser­vi­ce­num­mers of finan­ciële gegevens.
3. Smishing: Deze methode lijkt op vishing, maar maakt gebruik van sms-berichten om ontvan­gers te misleiden. Scammers sturen sms’jes met scha­de­lijke koppe­lingen of met instruc­ties waarmee slacht­of­fers een vals nummer moeten bellen om zo creditcard‑, bank- of andere persoon­lijke gegevens te verstrekken. Het sms-bericht kan ook instruc­ties bevatten om met een soort­ge­lijke missie malware te installeren.
4. Whaling: Bij deze aanvallen staat er veel op het spel en richten cyber­cri­mi­nelen zich op besluit­vor­mers of mensen uit de top of van een orga­ni­satie. Het doel van whaling-aanvallen is toegang te krijgen tot kritieke bedrijfs­in­for­matie of finan­ciële gegevens door gebruik te maken van personen met een bepaalde status, auto­ri­teit of inlog­ge­ge­vens voor beter afge­schermde systemen.
5. Pretex­ting: Bij deze aanpak komen crimi­nelen met slimme verhalen of scenario’s om het vertrouwen van slacht­of­fers te winnen en hen te verleiden om gevoelige infor­matie prijs te geven. Een bekend voorbeeld is een scammer die zich voordoet als IT-technicus die om inlog­ge­ge­vens vraagt onder het voor­wendsel dat er algemeen onderhoud of tests moeten worden uitgevoerd.
6. Business Email Compro­mise (BEC): Dit soort aanvallen richt zich vaak op finan­ciële afde­lingen, waarbij een cyber­cri­mi­neel zich in een e‑mailbericht voordoet als iemand uit de top van een bedrijf of orga­ni­satie. Scammers verzoeken dringend om geld over te maken of vragen om gevoelige finan­ciële gegevens, waarbij ze inspelen op de vermeende auto­ri­teit van de afzender.
7. Piggy­bac­king: Dit is een vorm van social engi­nee­ring waarbij een aanvaller bevoegd personeel fysiek volgt om toegang te krijgen tot afge­schermde gebieden. Door misbruik te maken van iemands vertrouwen verschaft de aanvaller zich onbevoegd toegang tot gevoelige locaties. Call­cen­ters en server­ruimtes zijn kwetsbaar voor dit soort aanvallen.

Beperk de risico’s

Om de kansen op een succes­volle aanval via social engi­nee­ring te verkleinen, is een veel­zij­dige aanpak vereist met een combi­natie van tech­no­logie en oplet­tend­heid. Door uw klanten goed te infor­meren over de verschil­lende typen social engi­nee­ring-aanvallen en te komen met voor­beelden uit de praktijk, zijn ze beter uitgerust om derge­lijke aanvallen te herkennen en er effectief op te reageren. Laat met regel­ma­tige trai­nings­ses­sies zien hoe belang­rijk het is om sceptisch en voor­zichtig te zijn bij digitale commu­ni­catie. Het aanbieden van e‑mailfilters en antiphis­hingsoft­ware om aanvallen via social engi­nee­ring te detec­teren en te voorkomen, kan helpen om scha­de­lijke inhoud en poten­tiële bedrei­gingen te iden­ti­fi­ceren voordat ze in de inbox van uw klanten terechtkomen.

Wees proactie

Als betrouw­bare tech­partner speelt u een centrale rol in het bevei­ligen van uw klanten tegen alle mogelijke soorten cyber­aan­vallen. Door de tactieken die cyber­cri­mi­nelen ontwik­kelen voor te blijven kunt u eind­ge­brui­kers waar­de­volle inzichten en hulp geven. Houd iedereen op de hoogte van de nieuwste scams en trucs, zodat klanten poten­tiële gevaren sneller herkennen en erop kunnen reageren.

Een andere proac­tieve maatregel is het orga­ni­seren van verplichte bewust­wor­dings­trai­ningen op het gebied van cyber­se­cu­rity voor mede­wer­kers van klanten. Derge­lijke initi­a­tieven dragen bij aan het reali­seren van een cultuur waarin iedereen zich bewust is van wat bevei­li­ging inhoudt. Regel­ma­tige training houdt mensen waakzaam en zorgt dat ze goed voor­be­reid zijn. Bovendien beschikken ze daarmee over de kennis en vaar­dig­heden om aanvallen van social engi­nee­ring snel te iden­ti­fi­ceren en te verijdelen.

Tijdig commu­ni­ceren is een andere verstan­dige strategie. Het is een goede gewoonte om regel­matig updates rond te sturen over het steeds veran­de­rende landschap van bedrei­gingen met social engi­nee­ring. Daardoor blijven klanten niet alleen geïn­for­meerd en voor­be­reid, maar krijgen ze ook steeds meer vertrouwen in uw capa­ci­teiten om hun belangen te beschermen. Door open commu­ni­ca­tie­lijnen te houden en actief inzichten te delen kunt u een krachtige relatie met uw klanten opbouwen, waardoor hun positie op het gebied van cyber­se­cu­rity alleen maar sterker wordt.

Verdedigen tegen cybercriminaliteit

Aanvallen via social engi­nee­ring vormen een ernstige bedrei­ging van de bevei­li­ging van bedrijven in de wereld van vandaag de dag, waarin alles en iedereen met elkaar verbonden is. Door te begrijpen wat voor trucs cyber­cri­mi­nelen gebruiken en robuuste tegen­maat­re­gelen te treffen, kunt u een cruciale rol spelen in het versterken van de verde­di­gings­linie van uw klanten. 

De strijd tegen social engi­nee­ring vergt voort­du­rende waak­zaam­heid, een duide­lijke keuze voor trai­ningen en een geza­men­lijke inspan­ning om de aanval­lers een stap voor te blijven. Naarmate het digitale landschap verandert, wordt de rol van MSP’s om te zorgen voor een veilige en veer­krach­tige digitale omgeving steeds belangrijker.

Onthoud dat bevei­li­ging tegen cyber­aan­vallen een geza­men­lijke inspan­ning is die voort­du­rend moet worden aangepast en waarvoor constant trai­ningen nodig zijn. Blijf op de hoogte en wees voorbereid. 

Acronis stelt zich ten doel om bevei­li­gings­op­los­singen te leveren die uw klanten beschermen. Met Cyber Protect Cloud kunnen MSP’s hun klanten back-up, nood­her­stel, bevei­li­ging, auto­ma­ti­se­ring en mana­ge­ment­ser­vices bieden, en dat alles naadloos geïn­te­greerd in één gebruiks­vrien­de­lijk platform. Cyber Protect Cloud kan bovendien worden geïn­te­greerd met meer dan 150 andere kant-en-klare oplos­singen die u waar­schijn­lijk al elke dag gebruikt. Door te kiezen voor één uniforme oplossing kunt u zo efficiënt mogelijk werken en uw klanten de beste services leveren.