Social engineering omvat technieken die cybercriminelen inzetten om gebruikers te verleiden tot het prijsgeven van hun vertrouwelijke gegevens, de installatie van malware op hun computers en het openen van links naar geïnfecteerde sites. Daarnaast kunnen hackers misbruik proberen te maken van de gebrekkige kennis van gebruikers. Vanwege de snelheid van technologische ontwikkelingen hebben veel consumenten en werknemers niet door wat de volledige waarde van hun persoonlijke gegevens is en weten ze niet precies hoe ze deze informatie het best kunnen beschermen.
Bijna elk type aanval maakt gebruik van een vorm van social engineering. Klassieke phishingmails en virusscams hebben bijvoorbeeld een sterke sociale lading. Phishingmails proberen gebruikers ervan te overtuigen dat de berichten van legitieme bronnen afkomstig zijn, in de hoop enkele persoonlijke gegevens of bedrijfsgegevens te bemachtigen. In e-mails met bijlagen die virussen bevatten, wordt gedaan alsof de berichten van vertrouwde contactpersonen afkomstig zijn of mediacontent aanbieden die onschuldig lijkt, zoals 'grappige' of 'schattige' video's.
In sommige gevallen gebruiken aanvallers eenvoudigere social-engineeringmethoden om toegang tot een netwerk of computer te verkrijgen. Een hacker kan bijvoorbeeld naar het restaurantgedeelte van een groot kantoorgebouw gaan en meekijken over de schouders van gebruikers die op hun tablets of laptops werken. Zo kan een groot aantal wachtwoorden en gebruikersnamen worden verzameld, zonder ook maar een e-mail te versturen of een regel viruscode te schrijven. Bij andere aanvallen wordt daadwerkelijke gecommuniceerd tussen aanvallers en slachtoffers. In deze gevallen zet de aanvaller de gebruiker onder druk om toegang tot een netwerk te verlenen, onder het mom van een serieus probleem dat direct moet worden aangepakt. Gevoelens van woede, schuld en verdriet worden in gelijke mate ingezet om gebruikers ervan te overtuigen dat iemand hun hulp nodig heeft – en dat ze deze hulp niet kunnen weigeren. Ten slotte is het belangrijk om te weten dat social engineering ook kan worden gebruikt om verwarring te zaaien. Veel werknemers en consumenten realiseren zich niet dat hackers met slechts een paar stukjes informatie, zoals een naam, geboortedatum of adres, toegang tot meerdere netwerken kunnen krijgen. Hierbij doen ze zich voor als legitieme IT-ondersteuningsmedewerkers. Vanaf dat punt is het eenvoudig voor hackers om wachtwoorden opnieuw in te stellen en bijna onbeperkte toegang te krijgen.
Bescherming tegen social engineering begint met kennis. Gebruikers moeten worden getraind, zodat ze weten dat ze nooit op verdachte links moeten klikken en hun aanmeldingsgegevens altijd zorgvuldig moeten bewaren, zelfs op kantoor of thuis. Als de sociale tactieken succesvol zijn, is een malware-infectie het waarschijnlijke resultaat. Om rootkits, trojans en andere bots tegen te gaan, is het van essentieel belang om een kwalitatief hoogwaardige internetbeveiligingsoplossing te gebruiken die infecties kan elimineren en hun herkomst kan traceren.
Andere artikelen en links met betrekking tot social engineering