Berichten over gehackte websites, gestolen bankgegevens en criminelen die zichzelf toegang verschaffen tot bedrijfsnetwerken lijken inmiddels dagelijkse kost in de media. Vaak vormde niet iets maar iemand de toegangspoort tot deze hacks. Zoals experts regelmatig benadrukken: niet de techniek, maar de mens is de zwakste schakel in onze informatiebeveiliging.
‘Social engineering’ speelt een belangrijke rol bij digitale inbraken; het gaat daarbij om het misbruiken van menselijke eigenschappen om vertrouwelijke informatie te verkrijgen of iemand te verleiden om een bepaalde handeling te verrichten.
Volgens Guido Voorendt, cybersecurity consultant bij Capgemini, richt een goede security strategie zich daarom niet alleen op de technische aspecten. ‘Ook de menselijke kant moeten we wapenen tegen social engineeringsmethodieken.’
Hoe eenvoudig kan het zijn?
Phishing e-mails vol taalfouten van die Afrikaanse oudoom met een erfenis: die kennen we nu wel. ‘Daarom gaan de meeste criminelen inmiddels veel subtieler te werk. Phishing e-mails gecombineerd met een telefoontje bijvoorbeeld. Of gerichte aanvallen op een of enkele targets, gepersonaliseerde phishing e-mails en zéér betrouwbaar ogende domeinnamen. Dan is het vrijwel onmogelijk om dergelijke aanvallen als frauduleus te identificeren.’
‘We doen regelmatig phishing audits bij organisaties. Daarbij sturen we een serie op maat gemaakte phishing e-mails. Binnen enkele minuten zien we honderden medewerkers hun inloggegevens invullen op onze speciale phishing website. Veel mensen én organisaties denken: “Maar ík trap daar niet in!” En dat is precies waar een social engineer op rekent.’
Valkuilen in cyberspace
Social engineers maken dus slim gebruik van onze onwetendheid en onbedachtzaamheid, maar ook van de tekortkomingen van de techniek. Voorendt: ‘Neem de wifi-hack. Mensen zijn gewend om verbinding te maken met vertrouwde en herkenbare openbare wifi-netwerken. Hackers kunnen gemakkelijk zo’n wifi-hotspot nabootsen en verbinding maken met de laptop of mobiele telefoon van hun slachtoffer. Hierna kunnen ze zijn of haar internetgedrag monitoren of zelfs manipuleren.’
Een ander probleem is de enorme hoeveelheid aan wachtwoorden die we moeten onthouden. Het liefst gebruiken we daarom vaak dezelfde en veranderen die zo min mogelijk. ‘Als ‘geheugensteuntje’ zien we nog steeds post-it’s met inloggegevens geplakt onder toetsenborden en op beeldschermen.’
Denk verder dan de techniek!
Ook fysiek zijn organisaties kwetsbaar, waarschuwt Voorendt. Sommige social engineers weten op fysieke locaties binnen te dringen en gaan er vervolgens vandoor met de ‘kroonjuwelen’ van een organisatie. ‘Weten we wie die monteur is die zegt onze routers te komen controleren? Is hij aangemeld, gecontroleerd en is er toezicht op zijn werkzaamheden?’
‘Ongeautoriseerde toegang verklein je door naast digitale, ook fysieke en procedurele maatregelen te nemen. Train je personeel en leg heldere procedures vast voor de ontvangst van gasten. Bewustwording kweek je door mensen te laten ervaren hoe het werkt. Pas na verschillende cyberoefeningen, trainingen en andere maatregelen zie je het juiste gedrag toenemen. De ‘zwaktes’ van de mens beter beveiligen gebeurt pas wanneer je zelf beseft welke belangrijke schakel je vormt in de keten van beveiliging.’
Trends in Veiligheid
Mocht u meer willen weten over hoe veilig Nederlanders zich online wanen of welk gevoel we hebben bij onze fysieke veiligheid op straat? De belangrijkste inzichten en resultaten zijn gebundeld in het onderzoeksrapport ‘Trends in Veiligheid 2016’ van Capgemini. Een exemplaar is te bestellen via deze link. Rapporten uit de voorgaande jaren en een sneak preview zijn te vinden op de website: trendsinveiligheid.nl.
