Social engineering

Social engineering is het manipuleren van mensen in plaats van techniek: de aanvaller praat, mailt of belt zich naar binnen door vertrouwen te wekken of druk uit te oefenen. Waarom een firewall kraken als de helpdesk het wachtwoord gewoon reset?

Waarom het werkt

Aanvallers bespelen menselijke reflexen: gezag ("ik bel namens de directie"), urgentie ("dit moet nú"), behulpzaamheid ("kun je even die deur openhouden?") en angst ("anders wordt uw account geblokkeerd"). Onder tijdsdruk controleren mensen minder.

Technieken

TechniekWerkwijze
PhishingValse mails, sms of telefoontjes
PretextingEen geloofwaardig verzonnen scenario ("ik ben de nieuwe monteur")
BaitingLokaas, klassiek: een achtergelaten USB-stick
TailgatingFysiek achter iemand aan een beveiligde ruimte in lopen

Verdediging

Techniek alleen is niet genoeg; het draait om procedures en cultuur:

  • Verificatieprocedures die ook onder druk gelden (terugbellen op een bekend nummer)
  • Security-awareness-training en oefencampagnes
  • Een cultuur waarin "nee, eerst verifiëren" normaal is en fouten gemeld durven worden

Een pentest bevat vaak een social-engineering-onderdeel om de menselijke verdediging te testen.

Zie ook

  • phishing — de meest voorkomende vorm
  • pentest — ook de menselijke factor testen
  • hacker — wie deze technieken inzet
  • mfa — vangnet als een wachtwoord toch ontfutseld is
beveiliging