Hackers proberen niet uw systemen te hacken, in plaats daarvan doen ze dit….

Het is gemakkelijk om te veronderstellen dat uw bedrijf wel veilig zal zijn met de beveiligingssystemen die al ter plaatse zijn. Deze visie zal u echter niet beschermen tegen de technieken en tactieken die hackers vandaag de dag gebruiken. Hackers proberen niet in te breken in uw infrastructuur. In feite hebben ze een veel eenvoudigere en effectievere methode tot hun beschikking die ze gebruiken om duizenden bedrijven over de hele wereld te ontmantelen. Als een aanvaller wil inbreken in een computersysteem, is het aanvallen van de zwakste schakel de meest effectieve aanpak. Benieuwd wat deze methode is? Het is de mens.

Het element van de menselijke fout

Uiteindelijk maakt het niet uit hoe veilig uw netwerk is. Er zal altijd één medewerker zijn die, door middel van een combinatie van pech en slechte security awareness, een aanval niet herkent en door zal laten. Dit onderdeel van menselijke fouten is waar hackers zich specifiek op richten en wat bekend staat als “social engineering”. Deze term betekent dat een hacker meestal niet zelf in hoeft te breken in een systeem omdat een medewerker hen ongewild zelf zal uitnodigen.

De opkomst van social media heeft de effectiviteit van social engineering gevoed. De miljarden interacties die er plaatsvinden op Facebook, LinkedIn en andere platformen hebben het normaal gemaakt voor ons. Het bracht ons zelfs entertainment als we rare verzoeken van vreemden ontvingen. Toch is deze nonchalante houding een gevaar voor de werkplek geworden. Het is de ongelukkige realiteit van ons social media gedreven bestaan dat een medewerker niet alleen een verdachte e-mail zal openen of een vreemde telefoonoproep zal beantwoorden, maar ook vaak het verzoek zal uitvoeren. Dit is de reden waarom social engineering zo effectief is geworden.

Dus wat is social engineering?

Simpel gezegd: het is een hacker die zijn technische vaardigheden combineert met de ‘dwang’ die nodig is om een medewerker te breken en toegang te krijgen tot uw systemen.  Het kan eenvoudig gedaan worden zonder aankondiging of het kan krachtig en beangstigend zijn. Het kan een enkele handeling zijn of een eerste stap in een complex schema dat pas maanden later duidelijk wordt. Maar het gebeurt, social engineering wint wanneer de concentratie verslapt. Het richt zich op een verstrooide medewerker of een enthousiaste nieuwe assistent met verwoestende gevolgen. Er zijn vele manieren waarop hackers gebruik maken van social engineering. Vaak weten uw medewerkers niet eens wat er gebeurd, dus laten we ervoor zorgen dat dit veranderd.

Phishing

Phishing houdt in dat een hacker e-mails verstuurd vermomd als een bedrijf of collega en zo probeert persoonlijke informatie van u los te peuteren. 90% van de dagelijkse verstuurde e-mails (294 miljard) over de hele wereld zijn virussen. Het is een kwestie van tijd totdat u hier last van krijgt. De moderne phishing e-mail is bijna niet van echt te onderscheiden en dus zeer moeilijk te herkennen. Dit kan een algemeen verzonden e-mail naar uw hele team zijn of één specifieke e-mail, die een kwetsbare nieuwkomer of specifieke medewerker als doel heeft. Het is geen nieuwe techniek maar de groeiende social media platformen maken het gemakkelijker dan ooit uw wachtwoord te achterhalen met verzoeken om uw wachtwoord te wijzigen.

Vishing

Hackers zijn niet altijd introverte nerds maar kunnen ook sluwe telefoon oplichters zijn. Door het opbellen van een collega in jouw team en zich voordoen als een collega of aanverwant bedrijf, kan een hacker informatie verkrijgen die hen in staat stelt om toegang tot uw netwerk of meer specifieke gegevens te verkrijgen. Sommige zullen zoveel mogelijk collega’s opbellen om ze IT diensten te bieden, andere zullen zich voordoen als de manager of CEO en een dringend verzoek doen voor een overschrijving.

Water-holing

Ook kunnen hackers onderzoeken welke websites bezocht worden door medewerkers binnen een bedrijf. Zodra ze de favoriete websites in kaart hebben gebracht, infecteren ze deze met malware. Iedereen die vervolgens de getroffen website bezoekt, zal besmet worden met het virus, die zich dan zal verspreiden in uw netwerk.  Deze effectieve techniek is gebruikt in een aantal high-profile aanvallen, waaronder een inbraak bij Facebook en Apple.

Ransomware

Zonder twijfel is ransomware het meest gevreesde resultaat van social engineering. Ransomware is schadelijke software geïnstalleerd op uw werkplek(ken), die een hacker alleen zal verwijderen zodra er losgeld is betaald. Zodra de eisen zijn ingewilligd, is er geen enkele garantie dat ze u vrijgegeven. Ze hebben nog meer van uw informatie die ze nog meer toegang kan verschaffen. Het is de brutale realiteit die veel bedrijven ervaren. De beste preventie is bewustzijn.

Het kan van alles zijn. Van routine onderhouds e-mails van uw provider tot een downloadbare voucher voor een restaurant, die zodra de download geopend wordt begint met de ransomware installatie. Vanaf daar verspreidt het zich snel binnen uw netwerk.

Botnet aanval

Vergelijkbaar met de ‘brute-force’ aanvallen van vroeger, worden botnet aanvallen uitgevoerd door meerdere computers. Door zoveel mogelijk netwerkverkeer te genereren raken systemen overbelast, met als resultaat dat u tijdelijk geen toegang meer heeft. Wanneer u weer toegang heeft, kan het netwerk zichtbaar geplunderd zijn. Aan de andere kant kan alles er hetzelfde uitzien, maar is uw informatie gekopieerd voor later gebruik. 

Tailgating

Als u zich wilt wanen in een Hollywoodfilm, overweeg dan deze laatste aanpak. Tailgating houdt in dat een hacker zich voordoet als een bezorger of onderhoudsmedewerker. Wanneer u toegang verleent tot uw bedrijf zal hij zijn hack van binnen uitvoeren. Terwijl dit bij grote bedrijven eenvoudig voorkomen kan worden, kunnen kleine bedrijven zonder strikte toegangspassen eenvoudig slachtoffer worden van dit soort aanvallen.

De toekomst van social engineering

Als gevolg van de steeds groeiende afhankelijkheid van social media en de constante dreiging van menselijke fouten heeft social engineering een verontrustend mooie toekomst. Het toenemende belang van social media in het bankwezen, gezondheid gerelateerde en andere persoonlijke diensten maken onze accounts waardevollere doelen dan ooit en de verovering van deze accounts zullen alleen maar winstgevender worden. Onze accounts worden instrumenten met vitale functie en communicatie, die in combinatie met ‘The Internet of Things’ zeker voor chaos kunnen zorgen.

Wat kunt u verliezen?

Eigenlijk alles. In geval van identiteitsdiefstal kunt u persoonlijke gegevens verliezen of in geval van een financiële diefstal uw persoonlijke creditcardgegevens. Dit kan niet alleen uzelf treffen, maar ook het gehele personeel en hun families.

Belangrijke bedrijfsinformatie, productontwerpen, operationele processen en andere interne plannen die aanwezig zijn in het interne netwerk kunnen ontvreemd worden. Uw reputatie kan beschadigd raken en u kunt uw marktvoordeel verliezen.

In mei 2018 zal de invoering van de General Data Protection Regulation (GDPR) het landschap verder wijzigen, waardoor het voorkomen van aanvallen dringender dan ooit worden voor bedrijven met activiteiten binnen de EU. Dit maakt het mogelijk om zwaardere sancties op te leggen aan bedrijven die er in falen hun data te beschermen. Uiteraard betekent dit dat u zich met nog meer focus moet voorbereiden tegen aanvallen.

Wat kunt u doen?

Er is veel wat u kunt doen om de weerstand van uw bedrijf te vergroten tegen social engineering. Echter, deze inspanningen zijn net zo goed als uw minst waakzame medewerker. Het lijkt geen reële bedreiging, totdat het gebeurt en u spijt heeft dat u er niet eerder iets aan gedaan heeft. Hierbij een paar tips om hackers af te weren en uw medewerkers sterker te maken in het beschermen van uw netwerk:

  • Regelmatig wachtwoorden wijzigen – Zorg ervoor dat wachtwoorden regelmatig gewijzigd worden en genoeg complexiteit vereisen.  
  • Versleutelen – Veel bedrijven doen weinig om hun gevoelige informatie te versleutelen. Zelfs bij het verzenden van gevoelige informatie buiten hun eigen netwerk, terwijl dit een essentieel onderdeel is van effectieve bedrijfsbeveiliging
  • Anti social media – Vergrendel alle social media privacy instellingen bij gebruik op het werk. Doe hetzelfde met browsers die gegevens anonimiseren.
  • Patch – Het achterblijven van installatie van updates zorgt ervoor dat deuren wagenwijd worden opengezet voor Ransomware en andere kwaadaardige aanvallen die uw netwerk binnen willen dringen. Update uw systemen met de grootste zorg en snelheid en verklein deze kans.
  • Onbekend? Verwijder! – We hebben allemaal weleens een onbekende link of bijlage geopend in de waan van de dag. Zorg voor een streng beleid voor dit soort praktijken en de inbreuken zullen waarschijnlijk veel minder zijn.
  • Gezond verstand – Uiteindelijk is dit wat er echt nodig is om een meerderheid van de social engineering aanvallen te voorkomen. Herkent u de afzender niet? Alle details al verstuurd? Zag u uw CEO een uur geleden nog? Vertrouw uw instinct en controleer voordat u handelt!

Preventie door Awareness

Leer uw medewerkers de gevaren van social media en het zal een groot verschil maken. Zij moeten op alles voorbereid zijn. Van een dubieus customer service telefoontje tot een volledige CEO imitatie. Met eenvoudige training van uw medewerkers worden ze bewuster en zijn ze in staat om de tekenen van potentiële bedreigingen direct te herkennen en hier adequaat op weten te reageren. Organiseer bijvoorbeeld een cyber security workshop. Door het opleiden van uw medewerkers, het filteren van e-mails en het afdwingen van data management, bereidt u uw organisatie het beste voor tegen social media aanvallen.

Uw organisatie beschermen tegen social engineering?

De oplossingen van Nutshell IT dragen bij aan een optimale beveiliging van uw organisatie. Samen met u kunnen wij een optimaal beveiligingsplan vaststellen om social engineering buiten de deur te houden. Meer weten? Neem contact met ons op!

 

phishing-mails

Zijn uw medewerkers vatbaar voor phishing-emails? Kom erachter met de Phishing Security Test.

Lees meer »