In een wereld die steeds meer online is, waar vertrouwen zowel een valuta als een beveiligingsprobleem is, willen bedreigingsactoren personen misleiden en profiteren van de menselijke neiging om behulpzaam te zijn. In deze infographic verkennen we social engineering, inclusief waarom bedreigingsactoren professionele identiteiten verkiezen boven alle andere identiteiten. We behandelen een aantal manieren waarop bedreigingsactoren personen misleiden om hun doelen te bereiken.
Profiteren van de vertrouwenseconomie: fraude met social engineering
Social engineering en de criminele aantrekkingskracht van phishing
Ongeveer 901 procent van de phishingaanvallen omvat tactieken met social engineering. Deze tactieken zijn ontworpen om slachtoffers (meestal via e-mail) te misleiden zodat ze gevoelige informatie onthullen, op kwaadaardige koppelingen klikken of kwaadaardige bestanden openen. Phishingaanvallen zijn kosteneffectief voor aanvallers, aanpasbaar om preventiemaatregelen te omzeilen en ze kunnen hoge succespercentages opleveren.
De instrumenten van menselijk gedrag
Technieken met social engineering worden meestal gebruikt door aanvallers met zelfvertrouwen en overtuigingskracht om de doelwitten te overtuigen om acties te ondernemen die onder andere omstandigheden ongewoon zijn voor iemand. Drie effectieve instrumenten zijn urgentie, emotie en gewoonte.2 Urgentie Niemand wil een tijdgevoelige buitenkans of een belangrijke deadline missen. Het gevoel van urgentie kan er vaak toe leiden dat doorgaans rationele doelwitten alsnog persoonlijke gegevens overdragen.
Een voorbeeld: Onterechte urgentie
"Het kenmerk van een phishing-e-mail is de toevoeging van een tijdsbestek. Ze willen je dwingen om een beslissing te nemen in een korte tijdsperiode."
Jack Mott, Microsoft Bedreigingsinformatie
Emotie
Emotionele manipulatie kan cyberaanvallers de controle geven, omdat mensen waarschijnlijker risicovolle acties ondernemen in een verhoogde emotionele staat. Vooral als het om angst, schuld of woede gaat.
Een voorbeeld: Emotionele manipulatie
"Het meest effectieve lokmiddel dat ik tot nu toe heb gezien, was een zeer korte e-mail met de tekst: 'We zijn benaderd door uw echtgenoot om uw scheidingspapieren voor te bereiden. Klik op de koppeling om uw exemplaar te downloaden.'"
Sherrod DeGrippo, Microsoft Bedreigingsinformatie
Gewoonte
Criminelen zijn scherpe observeerders van gedrag. Ze besteden speciale aandacht aan de gewoonten en routines die personen uitvoeren 'op de automatische piloot', zonder er al te veel bij na te denken.
Een voorbeeld: Algemene gewoonte
In een techniek die bekend staat als 'quishing'3, doen scammers zich voor als een geloofwaardig bedrijf en vragen ze je om een QR-code in hun e-mail te scannen. Ze zeggen bijvoorbeeld dat je de code moet scannen omdat je betaling van een factuur niet is verwerkt, of je moet je wachtwoord opnieuw instellen.
"Bedreigingsactoren passen zich aan bedrijfsritmen aan. Ze zijn goed in het implementeren van lokmiddelen die begrijpelijk zijn in de context van wat we normaal ontvangen."
Jack Mott, Microsoft Bedreigingsinformatie
De grens tussen de persoonlijke en de professionele persona van een werknemer kan soms vervagen. Een werknemer kan een zakelijk e-mailadres of een persoonlijk account gebruiken voor werk. Bedreigingsactoren proberen daar soms van te profiteren door zich voor te doen als één van die programma's wanneer ze contact opnemen om toegang te kunnen krijgen tot bedrijfsinformatie van een werknemer.
"In e-mails met phishingscams controleren cybercriminelen hun 'lokmiddelen' voor zakelijke e-mailadressen. Ze willen geen tijd verspillen aan persoonlijke e-mailadressen. Werkadressen zijn waardevoller, dus ze besteden meer middelen en focus aan aangepaste ('hands-on-keyboard') aanvallen voor die accounts."
Jack Mott, Microsoft Bedreigingsinformatie
De geduldige oplichtingsvorm
Aanvallen met social engineering zijn meestal niet snel. Social engineers proberen in de loop van de tijd het vertrouwen van hun slachtoffers te winnen met gebruik van arbeidsintensieve technieken die beginnen met onderzoek. De cyclus van dit type manipulatie kan als volgt verlopen:
- Onderzoek: Engineers identificeren een doel en verzamelen achtergrondinformatie, bijvoorbeeld potentiële toegangspunten of beveiligingsprotocollen.
- Infiltreren: De engineers focussen op het winnen van het vertrouwen van het doel. Ze verzinnen een verhaal, maken het doel geïnteresseerd en nemen de controle over de interactie in het voordeel van de engineer.
- Profiteren: Social engineers krijgen in de loop van de tijd de informatie van het doel. Meestal draagt het doel deze informatie welwillend over. Engineers kunnen van deze welwillendheid profiteren om toegang te krijgen tot nog vertrouwelijkere informatie.
- Terugtrekken: Een social engineer zal de interactie tot een natuurlijk einde brengen. Een vaardige engineer zal dit doen zonder dat het doel achterdochtig wordt
BEC-aanvallen onderscheiden zich in de cybercriminaliteit door de nadruk op social engineering en de kunst van het misleiden. Succesvolle BEC-aanvallen kosten organisaties jaarlijks honderden miljoenen dollars. In 2022 registreerde het Internet Crime Complaint Center van de FBI (Federal Bureau of Investigation) gecorrigeerde verliezen van meer dan USD 2,7 miljard voor 21.832 ingediende BEC-klachten.4
Populaire doelwitten voor BEC zijn directeuren en andere hooggeplaatste leidinggevenden, financiële managers en personeel van HR met toegang tot personeelsgegevens zoals sofinummers, belastingoverzichten of andere persoonsgegevens. Nieuwe werknemers zijn ook een doelwit, omdat zij waarschijnlijk minder snel onbekende e-mailverzoeken zullen verifiëren.
Bijna alle vormen van BEC-aanvallen nemen toe. Veelvoorkomende BEC-aanvallen zijn onder andere:5
- Inbreuk op directe e-mail (Direct Email Compromise, of DEC): E-mailaccounts van personen met een rol in de boekhouding binnen het bedrijf of bij derden worden gecompromitteerd met social engineering. Het doel is om geldmiddelen over te schrijven naar de bankrekening van de aanvaller of om betalingsgegevens van een bestaande rekening te wijzigen.
- Inbreuk op e-mail van een leverancier (Vendor Email Compromise, of VEC): Social engineering van een bestaande relatie met een leverancier vindt plaats door het hacken van een e-mailaccount dat is gerelateerd aan betalingen en door het imiteren van werknemers van het bedrijf. Het doel is om een leverancier te overtuigen om een openstaande betaling over te maken naar een onrechtmatige bankrekening.
- Scams met nepfacturen: Dit zijn massale scams met social engineering die gebruikmaken van bekende bedrijfsmerken. Het doel is om bedrijven te overtuigen om nepfacturen te betalen.
- Imitatie van een advocaat: Dit is het benutten van vertrouwde relaties met grote, bekende advocatenkantoren. Het doel is om de geloofwaardigheid te vergroten voor directeuren van kleine bedrijven en start-ups om openstaande facturen te betalen, vooral voorafgaand aan belangrijke gebeurtenissen zoals initiële openbare aanbiedingen. De betaling aan een onrechtmatige bankrekening vindt plaats zodra er een overeenkomst over de betalingstermijn is bereikt.
Octo Tempest
Octo Tempest is een financieel gemotiveerd collectief van Engels sprekende bedreigingsactoren die bekend staan om het starten van brede campagnes. Deze campagnes bevatten voornamelijk AiTM-technieken ('adversary-in-the-middle'-aanvallen), social engineering en mogelijkheden tot het ruilen van simkaarten ('sim-swapping').
Octo Tempest is een financieel gemotiveerd collectief van Engels sprekende bedreigingsactoren die bekend staan om het starten van brede campagnes. Deze campagnes bevatten voornamelijk AiTM-technieken ('adversary-in-the-middle'-aanvallen), social engineering en mogelijkheden tot het ruilen van simkaarten ('sim-swapping').
Diamond Sleet
In augustus 2023 compromitteerde Diamond Sleet de toeleveringsketen van de Duitse softwareprovider JetBrains. Servers voor het bouwen, testen en implementeren van software werden gecompromitteerd. Omdat Diamond Sleet in het verleden met succes bouwomgevingen heeft geïnfiltreerd, beoordeelt Microsoft dat deze activiteit vooral een hoog risico vormt voor organisaties die getroffen zijn.
In augustus 2023 compromitteerde Diamond Sleet de toeleveringsketen van de Duitse softwareprovider JetBrains. Servers voor het bouwen, testen en implementeren van software werden gecompromitteerd. Omdat Diamond Sleet in het verleden met succes bouwomgevingen heeft geïnfiltreerd, beoordeelt Microsoft dat deze activiteit vooral een hoog risico vormt voor organisaties die getroffen zijn.
Sangria Tempest6
Sangria Tempest, ook bekend als FIN, staat bekend om aanvallen op restaurants. De groep steelt betaalkaartgegevens. Een van hun meest effectieve lokmiddelen is een beschuldiging van voedselvergiftiging. De details hiervan kunnen worden bekeken door een kwaadaardige bijlage te openen.
Sangria Tempest, ook bekend als FIN, staat bekend om aanvallen op restaurants. De groep steelt betaalkaartgegevens. Een van hun meest effectieve lokmiddelen is een beschuldiging van voedselvergiftiging. De details hiervan kunnen worden bekeken door een kwaadaardige bijlage te openen.
Sangria Tempest, voornamelijk Oost-Europees, heeft verschillende ondergrondse forums gebruikt om personen te werven die Engels spreken. Zij zijn getraind in het bellen van zaken die het lokmiddel per e-mail hebben ontvangen. De groep heeft op die manier tientallen miljoenen betaalkaartgegevens gestolen.
Midnight Blizzard
Midnight Blizzard is een Russische bedreigingsactor. Het is bekend dat deze voornamelijk overheden, diplomatieke entiteiten, niet-gouvernementele organisaties (NGO's) en IT-serviceproviders aanvalt, vooral in de Verenigde Staten en Europa.
Midnight Blizzard is een Russische bedreigingsactor. Het is bekend dat deze voornamelijk overheden, diplomatieke entiteiten, niet-gouvernementele organisaties (NGO's) en IT-serviceproviders aanvalt, vooral in de Verenigde Staten en Europa.
Midnight Blizzard maakt gebruik van lokmiddelen in de vorm van Teams-berichten. De groep probeert referenties te stelen van een doelgerichte organisatie door met de verzonden berichten een gebruiker te betrekken en te proberen om goedkeuring te krijgen voor prompts van meervoudige verificatie.
Wist je dit?
De strategie van Microsoft voor de naamgeving van bedreigingsactoren is vernieuwd. Bedreigingsactoren krijgen nu een naam op basis van aan het weer gerelateerde thema's.
De strategie van Microsoft voor de naamgeving van bedreigingsactoren is vernieuwd. Bedreigingsactoren krijgen nu een naam op basis van aan het weer gerelateerde thema's.
Hoewel aanvallen met social engineering geavanceerd kunnen zijn, zijn er dingen die je kunt doen om ze te helpen voorkomen.7 Als je goed op je privacy en veiligheid let, versla je de aanvallers op hun eigen terrein.
Instrueer gebruikers ten eerste om hun persoonlijke accounts persoonlijk te houden en ze niet te combineren met hun werk-e-mail of werkgerelateerde taken.
Zorg er ook voor dat je het gebruik van meervoudige verificatie handhaaft. Social engineers zijn meestal op zoek naar informatie zoals aanmeldingsgegevens. Door meervoudige verificatie in te schakelen, zijn aanvallers zelfs na het verkrijgen van je gebruikersnaam en wachtwoord nog steeds niet in staat om toegang te krijgen tot je accounts en je persoonlijke gegevens.8
Open geen e-mails of bijlagen van verdachte bronnen. Als een vriend je een koppeling stuurt waarop je dringend moet klikken, bevestig je bij je vriend of het bericht echt van je vriend is. Voordat je ergens op klikt neem je een onderbreking en vraag je jezelf af of de afzender is wie deze beweert te zijn.
Neem een onderbreking en verifieer
Wees voorzichtig met aanbiedingen te mooi om waar te zijn. Je kunt een sweepstake niet winnen als je er niet aan meedoet, en geen enkele buitenlandse royalty geeft je een enorme geldsom. Als het te verleidelijk lijkt, doe je een snelle zoekopdracht om te bepalen of de aanbieding legitiem of een valstrik is.
Deel niet te veel online. Social engineers willen dat hun doelen ze vertrouwen zodat hun scams werken. Als ze je persoonlijke gegevens kunnen vinden op je socialmediaprofielen, kunnen ze deze gebruiken om hun scams legitiemer te laten lijken.
Beveilig je computers en apparaten. Gebruik antivirussoftware, firewalls en e-mailfilters. In het geval dat een bedreiging doordringt tot je apparaat, heb je beveiliging paraat om je gegevens veilig te houden.
"Wanneer je een twijfelachtige oproep of e-mail ontvangt, is het essentieel om even de tijd te nemen en te verifiëren. Personen maken vergissingen wanneer ze te snel handelen, dus het is belangrijk om werknemers eraan te herinneren dat ze niet direct hoeven te reageren in dat soort gevallen."
Jack Mott, Microsoft Bedreigingsinformatie
Ontdek meer over hoe je je organisatie helpt te beschermen door te kijken naar Het risico van vertrouwen: Bedreigingen met social engineering en cyberverdediging.
- [2]
De bron van de inhoud in deze sectie is https://go.microsoft.com/fwlink/?linkid=2263229
- [6]
Waymon Ho, rond 27:32,https://go.microsoft.com/fwlink/?linkid=2263333
- [7]
Opmerking: De inhoud is afkomstig van https://go.microsoft.com/fwlink/?linkid=2263229