Social engineering is het manipuleren van mensen in plaats van techniek: de aanvaller praat, mailt of belt zich naar binnen door vertrouwen te wekken of druk uit te oefenen. Waarom een firewall kraken als de helpdesk het wachtwoord gewoon reset?
Aanvallers bespelen menselijke reflexen: gezag ("ik bel namens de directie"), urgentie ("dit moet nú"), behulpzaamheid ("kun je even die deur openhouden?") en angst ("anders wordt uw account geblokkeerd"). Onder tijdsdruk controleren mensen minder.
| Techniek | Werkwijze |
|---|---|
| Phishing | Valse mails, sms of telefoontjes |
| Pretexting | Een geloofwaardig verzonnen scenario ("ik ben de nieuwe monteur") |
| Baiting | Lokaas, klassiek: een achtergelaten USB-stick |
| Tailgating | Fysiek achter iemand aan een beveiligde ruimte in lopen |
Techniek alleen is niet genoeg; het draait om procedures en cultuur:
Een pentest bevat vaak een social-engineering-onderdeel om de menselijke verdediging te testen.