Als je je verdiept in informatiebeveiliging en computerhacking, dan komt op een zeker moment de term ‘social engineering’ voorbij. Social engineering is een techniek waarbij een computer crimineel een computersysteem probeert binnen te dringen door een mens te verleiden essentiële informatie prijs te geven.

Een van de bekendste voorbeelden van social engineering is dat een aanvaller een medewerker van een organisatie belt en zich voordoet als medewerker van de helpdesk. De “collega” wordt dan bijvoorbeeld gevraagd zijn wachtwoord te geven, zodat een essentiele systeemupdate kan worden doorgevoerd. De nietsvermoedende medewerker geeft in veel gevallen het wachtwoord prijs et voila, de inbreker heeft toegang tot het systeem.

De laatste jaren is een andere vorm van social engineering in opkomst: CEO-fraude. Een kwaadwillende heeft zoveel informatie verzameld over een organisatie dat hij precies weet welke medewerkers geldbedragen mogen overboeken en welke medewerkers dat mogen verzoeken. Een administrateur kan dan op enig moment een mailtje krijgen van de “algemeen directeur“ is de trant van: “Wil je € 100.000,- overmaken naar deze rekening om een belangrijke deal rond te maken? Ik kan het helaas niet telefonisch doorgeven omdat ik nu in het buitenland ben en een slechte verbinding heb.“ In sommige gevallen wordt er ook een derde partij bij de oplichting betrokken, denk bijvoorbeeld aan een “advocatenkantoor” of een “bankmedewerker”. Wat doe je dan als administrateur? Hou je je aan de procedures en het vierogen principe met als risico dat een belangrijke deal door jou mislukt? Of zet je de betaling in gang? Helaas komt het laatste vaak voor en kost dat bedrijven behoorlijk wat geld.

Waarom jij ook een social engineer bent

Tijdens zijn talk op Hacker Hotel vertelde Marcel van der Velde dat in iedereen een social engineer schuilt. Sterker nog, de hele dag door spelen we in op gevoelens van anderen, zodat zij dingen voor ons doen. Het begint al van kleins af aan: een baby huilt om aandacht te krijgen en zodra hij het krijgt, geeft hij er een lachje voor terug in de hoop meer aandacht te krijgen. Dat zette mij aan het denken: hij heeft gelijk! Naar mate je ouder wordt pas je social engineering toe om in pretparken in attracties te kunnen waar je eigenlijk nog niet in mag. Nog weer later probeer je aan alcohol te komen terwijl je niet oud genoeg bent. Zo probeer je iets van anderen gedaan te krijgen, zonder dat je eigenlijk merkt dat je met social engineering bezig bent!

Marketing = social engineering

Waar social engineering tot kunst is verheven, is binnen de marketing. Marketeers zijn bij uitstek in staat om mensen te verleiden om dingen te doen wat ze niet van plan waren. Dat doen ze bijvoorbeeld door in te spelen op het gevoel de boot te missen, door schaarste te veinzen of door het aanbod tijdelijk te maken. Mensen worden daardoor gestimuleerd om snel te handelen, of meer te kopen dan ze eigenlijk nodig hebben.

Social engineering is gemeen

Waar computer criminelen misbruik van maken is de goedheid van de mens. En dat is behoorlijk gemeen. Mensen willen nou eenmaal andere mensen helpen. Een kwaadwillende maakt daar graag misbruik van. Dat is online overigens niet anders dan offline. Hoeveel oude vrouwtjes zijn er niet beroofd na een babbeltruc? Hoeveel mensen lenen niet geld uit (of schenken het zelfs!) aan personen met een zielig verhaal?

Dit zo lezende zou je een hele pessimistische kijk op de mensheid kunnen krijgen. Dat is absoluut niet mijn idee! Behulpzaamheid is mooi en de meeste mensen zijn, denk ik ;-), te goeder trouw! In de context van een organisatie geldt echter wel dat bepaalde procedures juist zijn bedacht om mensen te beschermen. Het vierogen principe is er niet voor niets. En zeg nou zelf: hoe vaak maak je het mee dat een bedrag snel overgemaakt moet worden zodat een deal niet misloopt? Vaak geeft je onderbuik gevoel al aan dat er iets niet in de haak is. Luister daar goed naar en wees vriendelijk achterdochtig, dan voorkom je een hoop ellende!

Bronnen

Marcel van der Velde

https://hackerhotel.sigio.nl/2018/Hackerhotel%20-%202018%20-%20IJskimo%20-%20Social%20Engineering.mp4

Kevin Mitnick, The Art of Deception
(https://www.bol.com/nl/f/the-art-of-deception/9200000007356805/)

Social engineering (informatica)

https://nl.wikipedia.org/wiki/Social_engineering_%28informatica%29

CEO Fraude

https://www.fraudehelpdesk.nl/nieuws/nieuw-fenomeen-ceo-fraude/