Wat is social engineering?
Social engineering is een psychologische aanval waarbij misbruik wordt gemaakt van menselijk gedrag of menselijke denkfouten. Meestal worden mensen er onbewust toe aangezet om gevoelige informatie prijs te geven die voor schadelijke of criminele doeleinden kan worden gebruikt. Hackers gebruiken social-engineeringtechnieken om persoonsgegevens in handen te krijgen die ze vervolgens kunnen gebruiken voor identiteitsdiefstal of andere vormen van fraude of misdrijven.
In een tijd waarin mensen op internet steeds alerter zijn, vergt social engineering enige finesse. Vaak komen er meerdere stappen aan te pas om eerst het vertrouwen te winnen en vervolgens inzage te krijgen in de beoogde gegevens.
In tegenstelling tot cyberaanvallen waarbij gebruik wordt gemaakt van de structuren van software en computercode, berusten social-engineeringaanvallen op het feit dat mensen zich soms vergissen en kunnen worden gemanipuleerd. Social-engineeringaanvallen zijn vaak gericht op privacygevoelige gegevens, zoals aanmeldingsgegevens, burgerservicenummers, bankgegevens of andere persoonsgegevens.
Hoe werkt social engineering precies?
Oplichting door middel van social engineering vindt meestal plaats tijdens persoonlijk contact en via de telefoon, maar ook vaak online. Ook uiteenlopende cyberaanvallen beginnen met social engineering. Internet helpt daarbij een handje.
In de fysieke wereld kunnen we onze interactie met mensen beoordelen op basis van de informatie die we via onze zintuigen opvangen. Door iemands manieren te observeren en naar de toon van zijn of haar stem te luisteren, vormen we ons een idee van zijn of haar betrouwbaarheid.
Op internet hebben we vaak te maken met gezichtsloze bedrijven die onze betalingen verwerken en onze berichten versturen. Daarbij gaan we uit van bekende beelden of merknamen en een herkenbaar patroon van klikken of bevestigingen en maken daaruit op dat alles in orde is.
Bij social-engineeringtactieken wordt meestal een bepaalde volgorde aangehouden:
-
Eerst verzamelt de aanvaller achtergrondinformatie. Aan de hand daarvan wordt een profiel samengesteld (profiling) en een doelwit (point of entry) gekozen.
-
Vervolgens neemt de aanvaller contact op met iemand bij het doelwit en probeert het vertrouwen van deze persoon te winnen.
-
Wanneer er eenmaal verbinding is gemaakt en de aanvaller als betrouwbare bron wordt beschouwd, maakt deze misbruik van het doelwit.
-
Zodra de gevoelige gegevens binnen zijn, verbreekt de aanvaller het contact en verdwijnt met de noorderzon.
Bij social-engineeringaanvallen wordt misbruik gemaakt van het vertrouwen van mensen.
Daarbij gebruiken aanvallers gewoonlijk social-engineeringtechnieken, zoals het opwekken en versterken van emoties. Wanneer de emoties hoog oplopen, zijn we minder geneigd logisch na te denken en laten we ons sneller manipuleren.
We laten een paar klassieke voorbeelden van social engineering de revue passeren. Oplichters kunnen een lijst in handen krijgen van mensen die online gokken. Ze gaan ervan uit dat deze mensen reageren op berichtjes of boodschappen die nieuwsgierigheid, opwinding, een gevoel van urgentie of angst opwekken. De aanvallers doen zich voor als loterijaanbieder en bootsen het lettertype, het logo en de kleuren van de loterij in kwestie na. De slachtoffers worden gefeliciteerd en uitgenodigd om hun prijs in ontvangst te nemen. Hiervoor hebben ze maar beperkt de tijd en moeten ze enkele persoonsgegevens doorgeven.
Helaas incasseren de aanvallers de prijs: privacygevoelige persoonsgegevens die ze kunnen doorverkopen op het dark web of gebruiken om zich toegang te verschaffen tot persoonlijke accounts.
Waarom zijn social-engineeringaanvallen zo gevaarlijk?
Zowel voor particulieren als bedrijven kunnen social-engineeringaanvallen zeer gevaarlijk zijn. In beide gevallen kunnen grote sommen geld worden buitgemaakt op het slachtoffer.
In 2019 verloor Toyota Boshoku Corporation, een leverancier van auto-onderdelen voor Toyota, 37 miljoen dollar door een social-engineeringaanval. De aanvallers richtten zich op medewerkers van de financiële afdeling en deden zich voor als medewerkers op een hoger niveau. De hackers stuurden e-mailberichten van valse, maar overtuigende, bedrijfsaccounts met het verzoek een bankrekeningnummer te veranderen. Hierdoor maakten de accountants grote sommen geld over naar rekeningen van de arglistige hackers.
Voor de meeste mensen kan het verlies van een geldbedrag een enorme tegenslag betekenen. Maar wanneer uw persoonsgegevens in verkeerde handen vallen, zijn de gevolgen niet te overzien. Als aanvallers uw aanmeldingsgegevens, burgerservicenummer of bankgegevens bemachtigen, kunnen ze deze voor eigen gebruik bewaren of doorverkopen op het dark web. Vervolgens kunnen anderen deze misbruiken voor hun snode doeleinden, wat kan leiden tot identiteitsdiefstal of andere schade in de toekomst.
Een social-engineeringaanval herkennen
Wie social-engineeringpogingen online wil kunnen herkennen, moet bekend zijn met de verschillende technieken die aanvallers gebruiken om hun slachtoffers te beïnvloeden.
Mensen zijn gevoelig voor gezag en zullen eerder gehoorzamen als verzoeken van een gerespecteerde bron komen. Daarom doen cybercriminelen zich vaak voor als bekende bedrijven of overheidsinstanties, zoals de belastingdienst. Controleer e-mail die afkomstig lijkt van de overheid of een andere gezaghebbende bron altijd zorgvuldig. Hoewel de belastingdienst uw persoonsgegevens heeft, zoals uw naam, adres en burgerservicenummer, zal hij u nooit vragen deze via e-mail op te sturen.
Mensen zijn gevoelig voor gezag en zullen eerder gehoorzamen als verzoeken van een gerespecteerde bron komen.
Een subtielere aanpak speelt in op sympathie. We zijn geneigd mensen die we aantrekkelijk vinden sneller te vertrouwen. Bij peer-to-peerverkoop komt dat bijzonder goed van pas. Netwerkmarketingbedrijven zoals Mary Kay en Avon hebben hele imperiums opgebouwd met deze tactiek. Aanvallers kunnen zich op sociale media voordoen als een aantrekkelijk persoon en een complimentje geven als excuus om contact te leggen. Wanneer slachtoffers zich gevleid voelen, zijn ze ontvankelijker voor verzoeken van aanvallers. Dat kan gaan om een donatie aan hun “goede doel” of een andere zwendel.
Wie weet hoe we te beïnvloeden zijn, is beter in staat om de signalen van social engineering te herkennen. Verzoeken om bepaalde gegevens, zoals uw aanmeldingsgegevens, bankgegevens of adres, moeten altijd een belletje doen rinkelen. Zet uw emoties opzij en kijk goed naar wie om uw gegevens vraagt. Dat kan u voor oplichting behoeden.
Te mooi om waar te zijn
Een klassiek geval van social engineering is het aanbieden van iets heel verleidelijks waardoor het slachtoffer gegevens onthult of een bepaalde actie onderneemt. Deze tactiek kan ook op een legitieme manier worden gebruikt. Denk maar aan een bedrijf dat klanten een cadeaubon van 10 euro aanbiedt als beloning voor het schrijven van een productrecensie.
Aanvallers maken gebruik van onze bekendheid hiermee en gaan nog een stap verder. Zo bieden ze bijvoorbeeld 100 euro voor het invullen van een vragenlijst waarvoor “toevallig” wel even een account moet worden ingesteld. In dit voorbeeld hopen de aanvallers dat u bestaande aanmeldingsgegevens opnieuw gebruikt, zodat ze deze kunnen gebruiken om zich toegang te verschaffen tot uw onlinebankrekening of waardevolle onlineaccounts.
Wie er even over nadenkt, ziet al snel dat 100 euro voor het invullen van een vragenlijst te mooi is om waar te zijn. Nadat u de enquête hebt ingevuld, blijkt dat de beloning van 100 euro slechts een list was en dat u uw aanmeldingsgegevens met louche figuren hebt gedeeld. Neem daarom altijd even de tijd om verleidelijke aanbiedingen te onderzoeken voordat u erop ingaat. En onthoud: als iets te mooi lijkt om waar te zijn, is het dat vaak ook.
De meest voorkomende vormen van online social-engineeringaanvallen
Creatieve oplichters hebben allerlei vormen van social-engineeringaanvallen bedacht, waarbij ze verschillende technieken en doelwitten gebruiken om zich toegang te verschaffen tot de gewenste gegevens. Helaas komen deze oplichtingspraktijken maar al te vaak voor. Wie op de hoogte is van de verschillende social-engineeringtactieken die worden toegepast, kan deze in voorkomende gevallen herkennen.
Ongewenste e-mail
Misschien is spam voor u niets meer dan een tabblad in uw inbox, maar helaas lukt het niet altijd om ongewenste e-mail tijdig te onderscheppen. Goed opgestelde spamberichten kunnen langs de controles van de e-mailserver glippen en in het postvak IN terechtkomen. Eenmaal daar aangekomen, kunnen ze overkomen als geloofwaardig bericht.
Met social-engineeringberichten wordt meestal geprobeerd u ertoe te verleiden op koppelingen naar nepwebsites te klikken, schadelijke bijlagen te downloaden of privacygevoelige gegevens door te sturen waar de afzender naar op zoek is. Wie zich een beetje verdiept in e-mailbeveiliging, kan beter het verschil zien tussen geniepige spamberichten en berichten uit betrouwbare bron.
Lokaas
Muizen lokken we in de val met kaas. Social-engineeringaanvallers verleiden hun doelwit met een verlokkelijk aanbod. Soms is dat een fysiek voorwerp, zoals een USB-stick die op een openbare plek wordt achtergelaten en het opschrift “‘vertrouwelijk” heeft om nieuwsgierigheid op te wekken. Zodra het slachtoffer de USB-stick in de computer steekt en opent, worden het hostapparaat en alle aangesloten servers met malware geïnfecteerd.
Lokaas kan ook online worden achtergelaten, bijvoorbeeld in de vorm van een downloadkoppeling voor een film. Zodra het bestand is gedownload en geopend, ziet de verborgen malware zijn kans schoon.
Phishing
Phishing is waarschijnlijk de meest voorkomende vorm van social engineering. Een aanvaller doet zich voor als een legitieme onderneming of organisatie en richt zich via e-mail, chat of onlineadvertenties tot het slachtoffer. Het (e-mail)bericht leidt het slachtoffer meestal naar een valse doelpagina, compleet met de juiste bedrijfsgraphics. Daar wordt u gevraagd aanmeldingsgegevens in te voeren. Of er verschijnt een melding dat het wachtwoord moet worden gewijzigd in verband met verdachte activiteiten.
Als het slachtoffer gehoorzaamt, krijgt de aanvaller toegang tot deze aanmeldingsgegevens en kan hij of zij deze gebruiken om zich ook bij andere websites aan te melden. Of dat lukt, hangt er natuurlijk vanaf of het slachtoffer verschillende wachtwoorden gebruikt voor verschillende sites.
Catfishing is een andere veel voorkomende social-engineeringstrategie en valt onder phishing. Bij catfishing doet iemand zich op een datingsite of social-mediaplatform voor als een aantrekkelijke persoon om vervolgens potentiële slachtoffers het hof te maken.
Een romance kent sterke emoties en juist deze emoties kunnen de intuïtie vertroebelen en waarschuwingssignalen verdoezelen. Is het slachtoffer eenmaal aan de haak geslagen, dan zal de catfisher een scenario bedenken om het slachtoffer financieel uit te buiten.
Hoe ziet een phishingbericht eruit? In de afbeelding hieronder ziet u een e-mailbericht van een aanvaller die zich voordoet als een werknemer van PayPal. In het e-mailbericht wordt beweerd dat er verdachte activiteiten hebben plaatsgevonden op een PayPal-account en dat de account is opgeschort totdat de gebruiker zich aanmeldt en documenten indient om zijn identiteit te bevestigen. Hierbij wordt ingespeeld op angst en een gevoel van urgentie om het slachtoffer tot actie aan te zetten.
In een phishingbericht wordt de stijl van een merk nagebootst, maar het is duidelijk afkomstig van een vals e-mailadres.
Maar wie goed naar het e-mailadres van de afzender kijkt, ziet een lange reeks cijfers en letters en het domein is zeker niet van PayPal. Daarnaast is het e-mailbericht gericht aan “Beste klanten” en dat doet gezien het privékarakter van het bericht vreemd aan.
De aanmeldingsknop in dit e-mailbericht leidt niet naar PayPal, maar naar een valse doelpagina waar de aanvallers aanmeldingsgegevens kunnen verzamelen. En als ze geluk hebben, kunnen ze officiële documenten als identiteitsbewijzen of paspoorten buitmaken om de identiteit van de gebruiker te bevestigen.
Spear phishing
Bij social engineering worden phishingberichten vaak naar honderden potentiële slachtoffers gestuurd, in de hoop dat een van hen op de koppeling klikt. Maar soms doet de aanvaller onderzoek naar zijn potentiële slachtoffers en beperkt hij of zij zich tot een specifieke groep mensen of zelfs één persoon.
Dit type gerichte, of beperkte, aanval staat bekend als spear phishing en is veel effectiever dan je misschien zou verwachten. 50% van de mensen die het doelwit zijn opent spear-phishingberichten, vergeleken met slechts 3% bij gewone phishingberichten.
Neem nu Amazon-oprichter Jeff Bezos. Hij is een van de grootste vissen in de zee en staat zo ver van onze dagelijkse beslommeringen dat het bijna ondenkbaar is dat hij ooit het slachtoffer van phishing zou kunnen worden. Maar in 2018 was Bezos het doelwit van de Saoedische kroonprins Mohamed bin Salman.
De twee ontmoetten elkaar in levenden lijve, bouwden een band op en wisselden telefoonnummers uit. Vervolgens stuurde de kroonprins Bezos een videobestand toe via WhatsApp. Toen hij dit had gedownload, werden er grote hoeveelheden gegevens zonder zijn toestemming doorgestuurd. Bezos mag dan wel aan het hoofd staan van een gigantisch techbedrijf, hij blijft menselijk en is dus vatbaar voor manipulatie en social engineering.
Pretexting
Pretexting is een vorm van social engineering waarbij een scenario, of smoesje (“pretext”), wordt verzonnen om het slachtoffer aan te vallen. De aanvaller doet zich meestal voor als een gezaghebbend persoon die informatie kan opvragen. Voor een doeltreffende pretexting-aanval moet de aanvaller achtergrondonderzoek doen en zich voorbereiden. De aanvaller moet vragen van het slachtoffer goed kunnen beantwoorden en echt overkomen.
Bij een gangbare vorm van pretexting doet een aanvaller zich voor als iemand van de IT-afdeling van een bedrijf. De aanvaller benadert een medewerker van het bedrijf, maakt zichzelf bekend en vraagt om externe toegang tot de computer van de medewerker of om diens aanmeldingsgegevens om software te kunnen bijwerken.
Afhankelijk van het doelwit kan de aanvaller zich vervolgens toegang verschaffen tot alle financiële of personeelsgegevens van het bedrijf. De aanvaller kan deze informatie gijzelen met ransomware of deze gebruiken voor de volgende stap van een plan.
In 2017 werd de Classic Ether Wallet (voor het opslaan van de cryptomunt Classical Ethereum) getroffen door een social-engineeringaanval. Een hacker deed zich voor als eigenaar van de Classic Ether Wallet en verwierf zo toegang tot het domein en de privésleutels waarmee hij geld van de rekeningen van slachtoffers naar zijn eigen server kon overmaken.
Vishing
Vishing, een samenstelling van “voice” en “phishing”, is in feite hetzelfde als phishing, maar dan via de telefoon. Bij een vishingaanval wordt het gebruikte telefoonnummer afgeschermd of lijkt het afkomstig te zijn van een helpdesk of ondersteuningscentrum. Soms wordt een stemvervormer gebruikt om een bepaalde persoon te imiteren.
Doel van een vishingaanval is meestal om slachtoffers zo te manipuleren dat ze hun aanmeldingsgegevens prijsgeven of de aanvaller toegang verlenen tot hun computer. Aanvallers doen zich vaak voor als iemand van de klantenservice of technische ondersteuning en bellen om een update te installeren of een fout in een programma te herstellen. Hiervoor moet het slachtoffer toegang verlenen of zijn aanmeldingsgegevens opnieuw instellen.
In 2019 vond een populaire vishingzwendel plaats waarbij aanvallers een vals telefoonnummer gebruikten, zodat het leek alsof ze namens Apple belden. Het telefoontje was geautomatiseerd en waarschuwde de slachtoffers voor een beveiligingslek bij Apple. Vervolgens werd hun verzocht eerst een ander nummer te bellen voordat ze ook maar iets met de telefoon deden.
Wanneer de slachtoffers het opgegeven nummer belden, kregen ze een geautomatiseerd welkomstbericht te horen dat van de klantenondersteuning van Apple leek te zijn. Er werd zelfs een geschatte wachttijd vermeld. Zodra slachtoffers daadwerkelijk iemand aan de lijn kregen, probeerden de aanvallers hun de aanmeldingsgegevens van hun Apple ID te ontfutselen .
Bij deze aanvallen werd geprofiteerd van de populariteit van Apple-producten, de goede reputatie van het merk Apple en de angst voor een beveiligingslek. De aanvallers wisten dat mensen actie zouden ondernemen. Sindsdien waarschuwt het bedrijf zijn klanten dat het nooit ongevraagd zal bellen en dat klanten telefoontjes die van Apple afkomstig lijken te zijn vooral niet moeten aannemen.
Quid pro quo
“Quid pro quo” betekent letterlijk “voor wat, hoort wat” oftewel tegenprestatie. Bij een “quid pro quo”-aanval bieden aanvallers u iets aan. In ruil daarvoor hopen ze uw aanmeldingsgegevens of toegang tot uw computer te krijgen.
Vaak wordt bij dit soort aanvallen hulp aangeboden. Dat kan gaan om technische ondersteuning, toegang tot een speciaal document of het oplossen van een probleem waarvan u niet eens wist dat u het had.
Na de tweede vliegramp met een Boeing 737 MAX in 2019 speelden hackers in op de sterke emoties en angst van mensen. Daarbij verstuurden ze e-mail die afkomstig leek te zijn van accounts van ingenieursbureau ISGEC. De hackers beweerden op het dark web een uitgelekt document in handen te hebben gekregen waarin de vliegtuigongelukken leken te worden aangekondigd voordat ze hadden plaatsgevonden. Daarnaast werden er ongelukken beschreven die nog zouden plaatsvinden.
De hackers drongen er bij de mensen op aan het document te openen om – in het belang van familie en geliefden – te controleren of niemand die zij kenden van plan was een van de vermelde vluchten te nemen. Uiteraard was de lijst nep. Door het downloaden van het bestand werden de computers van de slachtoffers geïnfecteerd met malware en kregen de hackers toegang tot de gewenste gegevens.
Beruchte social-engineeringaanvallen
Social-engineeringaanvallen overkomen niet alleen nietsvermoedende doorsneemensen. Ook grote techbedrijven en beroemde mensen laten zich in de luren leggen. Helaas komen bij grote bedrijven vaak de gegevens van klanten in gevaar.
Zo leed Barbara Corcoran, een succesvolle investeerder en jurylid bij het televisieprogramma Shark Tank, een verlies van 380.000 dollar als gevolg van een social-engineeringaanval in 2020. De oplichter maakte gebruik van pretexting en deed zich voor als Corcorans persoonlijke assistent door een e-mailadres te gebruiken dat slechts één letter verschilde. De aanvaller stuurde een e-mailbericht naar Corcorans boekhouder, met een betalingsverzoek in verband met een vastgoedbelegging. Het bedrog kwam aan het licht toen de boekhouder een follow-upbericht stuurde met een kopietje aan haar echte persoonlijke assistent.
We zijn allemaal mensen met emoties die aangewakkerd en versterkt kunnen worden. Daarnaast reageren we op schoonheid en gezag, en zijn we te verleiden als er sprake lijkt te zijn van urgentie en een beloning.
In 2013 was Target het slachtoffer van een grootschalige social-engineeringaanval. De hackers wisten daarbij de hand te leggen op de betalingsgegevens van 40 miljoen mensen. De aanvallers wurmden zich naar binnen door een phishingbericht te sturen naar een koelkastenbedrijf waar Target mee samenwerkte. De aanvallers installeerden vervolgens malware op de computers van het koelkastenbedrijf en wachtten totdat iemand zich bij de servers van Target aanmeldde.
Vervolgens konden de hackers door de interne systemen van Target navigeren en zwakke plekken opsporen om de betalingsgegevens van mensen te kopiëren en op hun eigen externe server te zetten.
In 2015 was het de beurt aan Ubiquiti Networks, fabrikant van wifi-componenten in San Jose. Het bedrijf verloor 39 miljoen dollar toen een hacker zich voordeed als medewerker en de financiële afdeling op de korrel nam. Door zich uit te geven voor een leverancier slaagde de aanvaller er vervolgens in een filiaal van de financiële afdeling van Ubiquiti over te halen betalingsgegevens te wijzigen, waardoor het geld op de rekening van de hacker belandde.
Hoewel Ubiquiti aanvankelijk meer dan 47 miljoen dollar verloor, kreeg het bedrijf 8 miljoen dollar terug, wat gezien het enorme verlies een schrale troost was.
Wie loopt het meest risico om slachtoffer te worden van social engineering?
In werkelijkheid is iedereen kwetsbaar voor social-engineeringaanvallen. We zijn allemaal mensen met emoties die aangewakkerd en versterkt kunnen worden. Daarnaast reageren we op schoonheid en gezag, en zijn we te verleiden als er sprake lijkt te zijn van urgentie en een beloning.
We moeten deze kwaliteiten overigens niet als zwakheden beschouwen. Per slot van rekening zijn ze ontstaan om evolutionaire redenen. In plaats daarvan doen we er goed aan te leren hoe anderen onze emoties bespelen zodat we de waarschuwingssignalen kunnen herkennen. Ouderen zijn vaak het doelwit van social-engineeringaanvallen omdat zij niet altijd vertrouwd zijn met moderne technologieën en minder snel iets verdachts opmerken.
Tips om te voorkomen dat u het slachtoffer wordt van social engineering
Net zoals u zakkenrollen kunt voorkomen door goede gewoonten aan te leren (bijvoorbeeld de rits van uw tas sluiten), kunt u social engineering voorkomen door nuttige tips en werkwijzen toe te passen.
Meent u echter dat u het slachtoffer bent geworden van social engineering of wilt u een extra beschermingslaag toevoegen, dan komt AVG BreachGuard goed van pas. BreachGuard waarschuwt u zodra uw persoonsgegevens op internet uitlekken. Daarnaast controleert het programma doorlopend op incidenten. Zie het programma als uw eigen internetwaakhond.
Meld en blokkeer verdachte e-mailberichten
Een phishingbericht in uw inbox? Markeer het verdachte bericht niet alleen als spam. Afhankelijk van de inhoud van het e-mailbericht moet u actie ondernemen en de internetzwendel melden. U doet er verstandig aan uit te zoeken hoe u cybercriminaliteit kunt melden, zodat u bent voorbereid.
In de VS raadt de Federal Trade Commission (FTC) aan phishingberichten te melden door ze door te sturen naar de Anti-Phishing Working Group (reportphishing@apwg.org). Inwoners van het Verenigd Koninkrijk kunnen dergelijke berichten doorsturen naar de Suspicious Email Reporting Service (report@phishing.gov.uk).
Gebruikers van Gmail kunnen phishing melden via een ingebouwde functie. Ga naar rechterbovenhoek van het bericht en klik op de drie verticale puntjes naast “Beantwoorden”. Selecteer vervolgens “Phishing melden” in de vervolgkeuzelijst. U kunt ook preventieve veiligheidsmaatregelen nemen door te leren hoe u voorkomt dat spam uw postvak bereikt.
Doe onderzoek naar bronnen en websites
Als u een e-mailtje ontvangt met een opvallend bericht (bijvoorbeeld dat uw burgerservicenummer is uitgelekt), controleert u allereerst de bron voordat u in paniek raakt. Oplichters gebruiken vaak e-mailadressen die onecht aandoen (een allegaartje van letters en cijfers) en hopen dat u te zeer wordt afgeleid door het bericht om dat op te merken. Bedenk dat inspelen op urgentie en angst een manipulatietactiek is.
Meer geraffineerde oplichters gebruiken e-mailadressen die bijna perfect zijn, zoals bij de hierboven vermelde social-engineeringzwendel waarvan Barbara Corcoran het slachtoffer was. In dat geval moet u goed kijken en controleren of er geen typefouten in het verder legitiem uitziende e-mailadres staan.
Als de social-engineeringaanval u naar een specifieke website probeert te lokken, moet u altijd controleren of de site veilig is voordat u op de koppeling klikt of het adres intypt. Een snelle zoekactie op internet naar de URL kan meldingen van oplichting in verband met het webadres aan het licht brengen. Wees ook op uw hoede voor sites waar de “s” ontbreekt in HTTPS (aan het begin van het webadres). Deze “s” staat voor “secure” (beveiligd).
Installeer betrouwbare antivirussoftware
Antivirussoftware heeft zich in gelijke tred met cybercriminaliteit ontwikkeld en is onmisbaar voor elke internetgebruiker. AVG biedt gratis antivirussoftware waarmee virussen, ransomware en andere malware worden gedetecteerd en geblokkeerd. De software kan zelfs schadelijke downloads en geïnfecteerde e-mailbijlagen opsporen voordat deze uw computer bereiken. Dat is met name handig als u erin bent getuind toen u een film probeerde te downloaden.
AVG AntiVirus FREE kost niets en maakt het mogelijk een nieuwe beschermingslaag toe te voegen tussen uw computer en de virussen en oplichters die op internet op de loer liggen.
Gebruik zo mogelijk een privé-wifi-verbinding of een VPN
U denkt misschien dat u zich beter kunt aanmelden bij het gratis wifi-netwerk op de luchthaven om even wat e-mail van uw werk te beantwoorden dan een kartonnen pizza te nuttigen in de food court, maar u moet wel bedenken dat deze wifi-verbinding geen enkele vorm van privacy biedt.
U deelt het netwerk namelijk met talloze anderen en dat maakt uw persoonlijke gegevens (of die van het werk) kwetsbaar voor aanvallen. Gaat u aan de slag met privacygevoelige informatie, zoals uw gegevens voor onlinebankieren? Gebruik in dat geval altijd een privéverbinding.
Ook een VPN (virtueel privénetwerk) kan goede diensten bewijzen. Met een VPN als AVG Secure VPN kunt u uw internetverbinding versleutelen. Op die manier kunt u veilig gebruikmaken van openbare wifi-netwerken. Bovendien wordt uw IP-adres verborgen, zodat uw onlineactiviteiten niet aan uw echte identiteit en locatie kunnen worden gekoppeld. Door een VPN te installeren kunt u zich zowel thuis als in openbare ruimten extra beschermen tegen mensen die het niet zo nauw nemen met de wet.
Stel multifactorauthenticatie in
Met tweefactorauthenticatie kunt u voorkomen dat u tot de groep makkelijke doelwitten gaat behoren waar hackers zich graag op richten. Bij tweefactorauthenticatie moet u uw identiteit op twee verschillende manieren verifiëren, bijvoorbeeld via uw computer en uw telefoon, of zelfs met een fysieke beveiligingssleutel.
Het is onwaarschijnlijk dat een hacker tegelijkertijd toegang heeft tot uw computer en uw telefoon. Multifactorauthenticatie is daarom een prima manier om te voorkomen dat iemand zich toegang verschaft tot uw accounts. U ontvangt een authenticatieverzoek op uw telefoon terwijl u niet hebt geprobeerd u aan te melden bij uw computer? Dat is dan ook meteen een duidelijk teken dat er iets niet pluis is.
Gebruik altijd sterke wachtwoorden
Als u onverhoopt toehapt en de social-engineeringaanvaller uw aanmeldingsgegevens in handen krijgt, moet u voorkomen dat hij of zij daarmee toegang heeft tot uw andere accounts die met een wachtwoord zijn beveiligd. Gebruik daarom nooit dezelfde wachtwoorden voor verschillende accounts en stel altijd sterke wachtwoorden in.
Als het uitgelekte wachtwoord voor uw e-mailaccount “sparkleKitten456” is en het wachtwoord dat u voor onlinebankieren gebruikt “123kittenSparkle”, kan de hacker uw andere wachtwoord waarschijnlijk achterhalen en zich daarmee ook toegang verschaffen tot uw bankgegevens. Wees niet nonchalant bij het instellen van een wachtwoord. U doet uw voordeur ook op slot met een sleutel en niet met plakband.
Ziet u ertegenop een dozijn verschillende, complexe wachtwoorden te onthouden, dan gebruikt u een programma voor wachtwoordbeheer.
Gebruik antivirussoftware in de strijd tegen social engineering
De indruk kan bestaan dat internet krioelt van de oplichters die uw emoties net zo lang proberen te manipuleren totdat u uw kostbare gegevens prijsgeeft. Maar met goede voorzorgsmaatregelen komt u een heel eind in de strijd tegen social engineering. Door u te verdiepen in bestaande social-engineeringtechnieken zult u ze veel makkelijker kunnen herkennen en is de kans dat u toehapt veel kleiner.
Naast de nodige kennis is het gebruik van sterke antivirussoftware een van de beste voorzorgsmaatregelen die u kunt nemen tegen social engineering. AVG AntiVirus FREE scant uw computer en netwerk, en detecteert en onderschept virussen, spyware, ransomware en andere malware die hackers naar binnen proberen te smokkelen.
Daarnaast blokkeert AVG AntiVirus FREE onveilige e-mailbijlagen, koppelingen en downloads, zodat u er niet eens per ongeluk op kunt klikken. We zijn allemaal mensen die met al onze onvolkomenheden onze weg zoeken op internet. Het is dan ook fijn om te beschikken over een extra beveiligingslaag voor het geval we toch slachtoffer worden.