Verhaal nummer één
Van de week las ik een indringend verhaal van een persoon die slachtoffer is geworden van Social Enginering. Dat is altijd een zeer ingrijpende gebeurtenis voor het slachtoffer. Slachtoffers komen daar niet vaak, ergo meestal niet, voor uit. Het wordt als zeer beschamend ervaren. Dus hulde aan Bert Overbeek van jongebazen.nl die uitvoerig beschrijft wat hem is overkomen.
Wat is Social Enginering wordt er nog wel eens gevraagd. En hoe gaat dat dan? Waar moet ik op letten? Lees het stuk van Bert want dat is een (klassiek?) voorbeeld. Bert beschrijft ook de impact, de begeleiding en vooral het ongeloof dat hem dit is overkomen. Ondanks dat hij al 25 jaar gedragstrainer is, ondanks de alarmbellen die hij voelde, ondanks dat hij een ontwikkeld mens is.
Bert is zijn eigen bedrijf. Dus deze financiële “tegenvaller” is op zijn persoon en zijn bedrijf van toepassing. Dat is al erg genoeg, begrijp mij niet verkeerd! Maar dit kan dus ook uzelf of een van uw medewerkers overkomen. Zo hoorde ik uit eerste lijn van een mevrouw. Zij is de oprichter van een consultancy bedrijf dat nu 18 jaar bestaat. Zij had in die tijd 30 mensen op de loonlijst verdeeld over twee landen. Haar bedrijf heeft op de afgrond heeft gestaan. Want alle kosten van het bedrijf gaan wel gewoon door.
Verhaal nummer twee
Haar verhaal begon in de liefde. Haar man was overleden en zij zocht voorzichtig naar een nieuwe partner. Door haar zoekactie is zij in contact gekomen met een persoon waarvan het wel leek dat zijn profiel volledig op haar profiel was afgestemd. Duidelijk is dat dit ook het geval was. Alle hobbies, vakanties en andere “magneten” waren aanwezig om rapport op te bouwen. Hij woonde alleen wel in een ander land en “kon dus niet 123 langskomen”. Als wij dit nu zo lezen vanuit het perspectief van deze blog… wij zien nu die alarmbellen wel.
Zijn manier van communiceren, praten, attentheid, cadeautjes; alles klopte. En langzaam ging het fout. Het heeft deze vrouw, met een universitaire opleiding, 400.000 dollar gekost. Ik heb dit verhaal persoonlijk gehoord maar zij wil niet dat dit met naam en toenaam bekend wordt. En zo zijn er vele verhalen van DGA’s, CFO’s maar ook van medewerkers die toegang hebben tot belangrijk informatie of bepaalde bevoegdheden.
Dus, wat is Social Engineering?
Met deze voorbeelden wordt de vraag “Wat is Social Enginering” wel beantwoord met een algemeen gevoel. Nog steeds overtuigd dat het u en in uw bedrijf niet gaat voorkomen? Social Enginering gebeurd in alle lagen. Feitelijk ook door uw bank, verzekeringsmaatschappij, instanties, etc. Zij zijn echter aan wetten en regels gebonden wat ze wel en niet mogen. Dank daarbij aan de AVG.
U kunt het ook zelf gaan doen. Ik weet zelfs zeker dat u dat al doet! Net als uw buren, vrienden en familieleden. Als u op LinkedIn, Facebook of waar dan ook zoekt op een naam van een persoon, doet u al de eerste stap. Als u op Tinder of andere relatie-zoek sites bent, voert u ook die eerste stap uit. Er is echter één zeer belangrijk verschil: u wilt daar geen misbruik van maken om vertrouwelijke informatie te vergaren. Of om iemand te chanteren zodat diegene compromitterende handelingen moet uitvoeren jegens zichzelf of het bedrijf waar zij werken.
Cyber criminaliteit is …
Neem als voorbeeld, ook al in een eerdere blog aangehaald, een verzekeringsmaatschappij met Cyber verzekeringen. Als een crimineel middels Social Enginering toegang weet te krijgen tot het klanten bestand van een verzekeraar met Cyber verzekeringen, dat zou toch prachtig wezen! Want die bedrijven met een Cyber verzekering, daarvan is vrijwel zeker dat die gaan betalen. Laten we aannemen dat er een heer of dame werkt met bijvoorbeeld zeer veel schulden. Er wordt hun een immens bedrag belooft als hij/zij even op een linkje willen klikken. Of beter een USB in een computer wil stoppen. Verbinding maken met “de liefde schenkt mij een reddende engel” werkt dan dus omgekeerd.
Een Cyber crimineel die zijn zaakjes goed op orde heeft, maakt in een paar uur een zeer gedetailleerde “social mapping” van een mogelijk slachtoffer(-s). En dat is makkelijk want a. we zetten ZO veel informatie zelf op het web en b. door inbraken bij andere bedrijven/instanties ligt er ook veel informatie van ons ieder op Darkweb, de digitale onderwereld (de link brengt u naar ons product om uw onderneming daarbij te ondersteunen).
Cyber criminaliteit in het algemeen en Social Enginering specifiek is … niets anders dan plakjes salami zoeken totdat ze een worst hebben waarin gehapt gaat worden.
Dus, welke stappen worden er gevolgd, waarmee en hoe?
Dat is een simpele stappenlijst, gelijk aan iedere ander project:
- Definieer het doel of de motivatie;
- Doe online verkenning. Maar er zijn ook voorbeelden van onsite-verkenningen;
- Maak een profiel van de fysieke- (het bedrijf) en menselijke doelwit(-ten);
- Verzamel informatie. Alles is bruikbaar als die worst maar groot genoeg wordt;
- Selecteer de aanvalsrichting, de methodiek (zie hieronder);
- Zet het moraal op pauze;
- Val aan…
Ok, die laatste twee zijn niet zo zeer van toepassing op normale projecten…
Veel gebruikte methodieken zijn:
- Phone spoofing (zie het verhaal van Bert);
- Phishing (via SMS, WhatsApp, email. Maar er zijn ook fysieke brief campagnes in omloop);
- “I happened to overhear” (afluisteren in een kroeg, telefoongesprek of anderzijds);
- Veroorzaak afleiding van de focus (bijvoorbeeld in een geforceerde schrik reactie let je net even niet op);
- Lokkertjes (in deze meer fysiek als in USB sticks rond om het bedrijf te “strooien”);
- “Verkleedpartijtje” (zich voordoen als iemand die bekend is binnen betreffende kring);
- QR-codes (deze sturen het slachtoffer naar een criminele website);
- “Ik doe iets voor jou, dan moet jij ook iets voor mij doen” (Als jij info van mij wilt, wil ik ook iets van jou);
- “Samen onder de slagboom door” (ik heb geen parkeerkaart betaald dus ik lift even mee ofwel ik heb geen toegang tot xyz dus ik loop strak achter je aan. Dat kan dus ook digitaal zijn…);
- “Your phone is mine!” (Leen nooit je gsm aan een vreemde. Voor je het weet ben jij niet meer in controle);
- “de waarheid of een sprookje: de narcist geloofd in zijn eigen verhaal” (Een goed en zeer geloofwaardig verhaal geven en daar aan vast blijven houden);
- “Angst is een slechte raadgever” (Namaak issues aangeven en daardoor toegang krijgen: denk aan de Microsoft persoon die belt “You have a problem on your computer. Please give me access”. Iets dat Microsoft nooit zou doen);
- “Een tussenpersoon hoort alles van beide zijdes” (Man In The Middle is bijvoorbeeld in een café waar iemand de openbare wifi naam nabootst om alles te lezen maar alles wel doorgeeft aan het bonafide wifi netwerk).
Wat kunt u doen?
Heel eerlijk gezegd: boeren verstand. Klinkt heel vervelend voor Bert, die mevrouw en alle andere slachtoffers, maar daar zit wel de oplossing. En er met elkaar over praten! Schaamte daargelaten, maar erover praten helpt juist! Het geeft begrip (over het algemeen), zorgt ervoor dat dit anderen wellicht (net) niet overkomt. En natuurlijk, meldt het altijd bij de politie, uw bank en de andere instanties. Vraag hulp en richting!
Op de pagina van veiligbankieren staan, naast meer voorbeelden, ook wat u kunt / moet doen om het te voorkomen. Dat ga ik niet opsommen om de blog lekker aan te vullen. Ik wil er wel een paar aan toevoegen:
- Een bank gaat u nooit een link sturen per email, sms of WhatsApp om uw pin code te veranderen;
- Krijgt u een bericht van een bekende dat hij in geldnood zit en “nu” bedrag xyz nodig heeft? Contact zelf deze bekende op voor u bekende wegen maar reageer niet op het bericht.
- Bij twijfel, neem zelf via de officiële website van betreffende organisatie contact op en vraag of het ontvangen bericht inderdaad bij hun vandaan komt.
- “Toeval bestaat niet” zeg ik altijd. Maar ok, heel soms misschien wel zoals bij Bert. Maar nog steeds, toeval bestaat niet. Dus neem en hou zelf de controle: iets is pas waar als het zelfstandig via een andere route onderzocht en bewezen is.
Mocht er behoefte zijn om hierover met ons in gesprek te komen, maak dan gebruik van onze contact pagina. Of bel ons op 085-0410099.