Ooit al gehoord van ‘social engineering’? Hoewel de term vrij positief klinkt, is het fenomeen erachter over het algemeen veel minder mooi omdat dit eigenlijk een nieuwe vorm van hacken is. Waar hebben we het precies over en hoe kunt u zich daar als ondernemer tegen beschermen? Maxime Rapaille, Cyber Security en Risk Advisor bij Cyber Security Management, geeft meer uitleg in dit artikel.

De nieuwe zwakke schakel: de menselijke geest

Een paar jaar geleden, toen we het over hackers hadden, stelden we ons een persoon voor die beperkt was tot vier muren en voor een computerscherm zat om verschillende computersystemen te hacken. Vandaag de dag is de hacker geëvolueerd. Hij kan op verschillende manieren contact opnemen met zijn slachtoffers om informatie achter te houden of geld af te persen. Social engineering is een van deze methoden.

"Social engineering, is het uitbuiten van de manier waarop de menselijke geest werkt om informatie of acties van een persoon te verkrijgen," zegt Rapaille. "Om dit te doen, zetten we deze persoon in bekende omstandigheden, omdat we weten dat de menselijke geest zal proberen om te handelen in de richting die de minste inspanning vereist. We kunnen de menselijke geest ook onder druk zetten door hem te bedriegen om op de gewenste manier te handelen zonder na te denken: onze reptielenreflexen dwingen ons ertoe om eerst een veilige situatie te vinden.

We denken vaak dat alleen grote bedrijven in aanmerking komen voor social engineering, omdat ze over de financiële middelen beschikken, maar dat is niet waar! Kleine en middelgrote ondernemingen en ondernemers worden regelmatig het doelwit van hackers, omdat zij over het algemeen juist minder middelen hebben om zich te verdedigen. Bovendien zijn kleinere structuren en ondernemers minder argwanend, omdat ze denken dat hackers niet geïnteresseerd zijn vanwege hun kleine omvang. Natuurlijk is dit ook onjuist.  

Een techniek die al langer de ronde doet

Het spelen op de psychologie van het menselijk gedrag is niets nieuw. "Sommige aspecten van social engineering zijn terug te vinden in de technieken die al honderden jaren door verkopers worden gebruikt. Deze verkooptechnieken zijn erop gericht om toegang te krijgen tot de automatismen van de menselijke geest en zijn cognitieve systematische fouten, zodat het veel sneller en gemakkelijker kan reageren op de vraag voor commerciële doeleinden. In de huidige definitie maakt social engineering ook gebruik van de menselijke geest, maar dan wel om de persoon te bedriegen en informatie stil te houden die gebruikt zal worden om andere aanvallen op te zetten.

Een methode die niet vastligt

Social engineering is geen duidelijk gedefinieerde methode. Om vertrouwelijke informatie of betalingen van u of een van uw medewerkers te verkrijgen, kan de hacker op twee verschillende manieren handelen:

  • de passieve methode: de hacker verzamelt informatie door op sociale netwerken te gaan, te luisteren naar de gesprekken van mensen om hem heen, te lezen wat je op je computer schrijft wanneer je op een openbare plaats werkt, enz. Hij gaat je dus bespioneren.
     
  • de actieve methode: de hacker gebruikt technieken zoals de "CEO-aanval" (hij geeft zichzelf door als CEO van de organisatie via de telefoon en oefent druk uit op een persoon in de boekhouding, bijvoorbeeld om een overschrijving naar de frauduleuze account te doen), mailing, enz. Hij kan ook technieken vinden om uw bedrijfsterrein te betreden en bugs te deponeren, spyware te installeren of WiFi access points op uw netwerk te plaatsen om ze gemakkelijk van buitenaf te bereiken. Als u ondernemer bent, zijn de technieken vergelijkbaar. De hacker kan ook contact met u opnemen via e-mail, telefoon of via anderen om u op te lichten.

Hoe beschermt u zichzelf?

Social engineeringstechnieken kunnen gevolgen hebben voor grote bedrijven, maar ook voor kleine en middelgrote ondernemingen en zelfs zelfstandigen. Het is daarom belangrijk dat iedereen weet hoe hij zich moet beschermen tegen een mogelijke aanval. Rapaille geeft ons hiervoor het volgende advies:

  • "Security awareness" bij uw medewerkers: social engineering speelt met het functioneren van de menselijke geest, daarom is het noodzakelijk om mensen op te voeden zodat ze de juiste reflexen aannemen. Uw personeel moet de potentiële risico's begrijpen en zich ervan bewust zijn. Om dit te doen, kunt u voor uzelf en uw medewerkers opleidingen, seminars of conferenties organiseren die u en uw medewerkers bewuster maken van deze risico's.  Het doel is dat ze nadenken voordat ze handelen.

  • Stel beveiligingssystemen en -procedures in door de installatie van software die phishing e-mails blokkeert, kunstmatige intelligentiesystemen die ongebruikelijke acties detecteren, of geteste (en niet noodzakelijk dure) back-ups, sterke authenticatiesystemen, enz.

  • Aarzel niet om een beroep te doen op gespecialiseerde consultants om u te helpen bij alle verschillende stappen.

Beter voorkomen dan genezen

Je kunt de schade van een aanval beperken, als je je van tevoren voorbereidt. "De vraag is niet of ik word aangevallen', maar eerder 'wanneer word ik aangevallen', omdat we weten dat dit iedereen kan overkomen," legt Rapaille uit. 'Daarom moet je in geval van een incident worden voorbereid en procedures invoeren die niet alleen technisch, maar ook communicatief zijn. In het geval van een crisis is het belangrijk om goed te kunnen communiceren met verschillende partijen zoals uw personeel, de decoders, maar ook met de autoriteiten. Iedereen moet weten wat zijn rol is en hoe hij of zij moet reageren. Een ander essentieel element is het opstellen van een actieplan. Natuurlijk is er geen magisch en universeel actieplan voor elke aanval, maar het is belangrijk om er één op te bouwen op basis van de potentiële risico's voor uw bedrijf en om altijd klaar te staan om te reageren. Het nemen van voorzorgsmaatregelen kan de kosten van een aanval beperken.  

Maxime Rapaille

Maxime Rapaille heeft een achtergrond in ICT en 20 jaar ervaring in cybersecurity en risicomanagement. Als risico-, beveiligings- en privacyconsultant werkte hij voor tal van bedrijven zoals de MIVB, HSBC, Euroclear, Belgacom, BNB en BNP Paribas Fortis. Hij is nu beveiligingsconsultant voor verscheidene bedrijven van elke omvang en geeft leiding aan de afdeling van Cyber Security Management.