Wat zou het leven zijn zonder verleidingen? We weten allemaal hoe moeilijk het kan zijn om ze te weerstaan. Dit gegeven is preciés waarop het succes van social engineering of social hacking berust.
Net zoals Albert Heijn de geur van vers gebakken brood inzet om verkoop te stimuleren en bij de kassa altijd nog wat snoepgoed legt, gebruiken sociale hackers verschillende psychologische trucs om ons vertrouwelijke gegevens te ontfutselen. Met vaak grote financiële gevolgen voor individuele slachtoffers én voor bedrijven. Bij privacy-schendingen hangt de laatste groep namelijk een AVG-boete van maximaal 4% van de omzet boven het hoofd.
Social engineering versus phishing
Hoewel in beide gevallen de mens als zwakste schakel wordt gebruikt om informatie te ontfutselen, is social engineering wezenlijk anders dan phishing. Waar de laatste met hagel schiet door bijvoorbeeld miljoenen mensen eenzelfde e-mail te sturen, bijten social engineers zich in jou persoonlijk vast. Ze richten zich puur op jou. Om je te leren kennen, bestuderen ze je persoonlijke digitale omgeving. Vervolgens verzinnen ze een manier om met jou in contact te komen: bijvoorbeeld door gemeenschappelijke interesses te veinzen of je nieuwsgierigheid te wekken. Heeft een hacker je vertrouwen gewonnen? Dan probeert hij die persoonlijke informatie af te troggelen waarmee hij zijn misdaad kan plegen. Denk aan het doen van bankoverschrijvingen of het uitvoeren van andere ongeautoriseerde acties uit jouw naam die ernstige gevolgen kunnen hebben.
Kinderlijk eenvoudig
Sociale hackers gebruiken een veelzijdige reeks van ‘recepten’, zoals e-mail, chat-tools, sociale mediaplatforms en eenvoudige telefoongesprekken. Een deel van je telefoonnummer gecombineerd met informatie op sociale kanalen kan voldoende zijn om vertrouwelijke data toe te eigenen. In 2019 daagde een journalist op hackerscongres DEF CON een vrouwelijke hacker uit om zijn mobiele telefoon account te kraken met alleen zijn persoonlijke emailadres als input. Binnen 2 minuten had ze niet alleen toegang tot zijn mobiele telefoon, maar ook het abonnement voor hem onbruikbaar gemaakt door zijn paswoord te wijzigen. Hoe? Door zich bij een callcentermedewerker voor te doen als de echtgenote van de journalist. Het geluid van een huilende baby dat ze op de achtergrond op haar laptop afspeelde, creëerde een zodanig hectische sfeer dat de medewerker automatisch in de ‘hulp’-modus schoot. Hacking zonder het kraken van codes dus, maar minstens zo effectief.
Appels voor citroenen verkopen
Een hacker kan zijn slachtoffers ook via websites uitzoeken, zoals Marktplaats. Zo liet Radar recent zien hoe een hacker met een nagemaakte QR-code kopers duizenden euro’s afhandig maakte. In alle gevallen bood iemand iets te koop aan op internet, en wilde een geïnteresseerde de vraagprijs betalen. Hij zou afrekenen via zijn ‘zakelijke rekening’, waarvoor hij het rekeningnummer van het latere slachtoffer vroeg. De hacker appte vervolgens een QR-code, die de koper moest scannen om de betaling te bevestigen. De hacker bleek hierna volledige toegang te hebben tot de bankrekening van het slachtoffer en ging er met duizenden euro’s vandoor.
Laat je de kaas niet van het brood eten
Hoe voorkom je een dergelijke pijnlijke les? Je persoonlijke gegevens vormen hiervoor het geheime ingrediënt. In ons Cyber Kitchen kookboek geven we je een aantal ‘kooktips’ met allerlei gerechten over onder andere phishing, trojans, maar ook social hacking. De belangrijkste tip: onthoud dat alle informatie die je op internet deelt, belangrijke details over jou kan onthullen. Zorg ervoor dat je ‘in control’ blijft over je digitale gegevens. En wees je altijd bewust naar wie je belangrijke informatie stuurt en in welke vorm je dat doet. Zodat je het leven van cybercriminelen niet nog zoeter maakt dan het al is.
Steeds meer bedrijven zijn doelwit van hackers en andere kwaadwillenden. Toch wordt over het algemeen nog veel te weinig aandacht besteed aan de gevaren die samenhangen met digitalisering. Begrijpelijk: als bedrijf richt je je liever op je business, ontwikkeling en groei.
Om cyber security op een andere manier onder de aandacht te brengen heeft T-Systems een aansprekend concept bedacht: Cyber Kitchen. Onze cyber security expert Patrick de Goede van Eijk heeft een passie voor koken én beveiligen. Hij loodst u veilig door de digitale keuken. Eet veilig en eet smakelijk!
