Het beveiligen van gevoelige informatie wordt steeds uitdagender. Omdat bedrijven afhankelijk zijn van onderling verbonden systemen en online communicatie, heeft de kunst van het manipuleren een nieuwe vorm aangenomen: social engineering. Dergelijke cyberaanvallen zijn niet afhankelijk van complexe algoritmen of ondoordringbare codes, maar berusten op de exploitatie van de menselijke psyche en vertrouwen. Volgens het 2023 Data Breach Investigations Report van Verizon was bij 74% van de inbreuken in 2022 een menselijk element betrokken, wat eens te meer aangeeft dat dit type cybercriminaliteit serieus moet worden genomen.
Social engineering is de kunst van het zodanig manipuleren van mensen dat ze vertrouwelijke gegevens vrijgeven of acties uitvoeren die de beveiliging in gevaar kunnen brengen. Social engineering aast op het menselijke element en maakt daarbij gebruik van tactieken die appelleren aan angst en urgentie. Deze aanvallen kennen verschillende vormen, met digitale bedreigingen die bijzonder verraderlijk zijn omdat ze in één keer een breed scala aan slachtoffers als doelwit kunnen kiezen.
Hieronder staan zeven van de meestvoorkomende trucs die cybercriminelen hanteren om data en bedrijfssystemen te hacken:
- Phishing: Deze misleidende techniek bestaat uit het verzenden van schijnbaar legitieme e-mails naar slachtoffers om ze te verleiden tot het vrijgeven van persoonlijke gegevens, het klikken op schadelijke koppelingen of het downloaden van geïnfecteerde bijlagen. Een cybercrimineel kan zich bijvoorbeeld voordoen als een respectabele bank, die klanten een e-mail stuurt met het dringende verzoek om hun accountgegevens bij te werken door op een koppeling te klikken waarmee ze terechtkomen op een frauduleuze website.
- Vishing: Dit is een afkorting van “voice phishing”, een methode waarbij mensen via telefoongesprekken gevoelige gegevens wordt ontfutseld. Door zich voor te doen als een betrouwbare partij zoals een bank of overheidsinstantie zetten scammers slachtoffers aan tot het mondeling verstrekken van wachtwoorden, burgerservicenummers of financiële gegevens.
- Smishing: Deze methode lijkt op vishing, maar maakt gebruik van sms-berichten om ontvangers te misleiden. Scammers sturen sms’jes met schadelijke koppelingen of met instructies waarmee slachtoffers een vals nummer moeten bellen om zo creditcard-, bank- of andere persoonlijke gegevens te verstrekken. Het sms-bericht kan ook instructies bevatten om met een soortgelijke missie malware te installeren.
- Whaling: Bij deze aanvallen staat er veel op het spel en richten cybercriminelen zich op besluitvormers of mensen uit de top of van een organisatie. Het doel van whaling-aanvallen is toegang te krijgen tot kritieke bedrijfsinformatie of financiële gegevens door gebruik te maken van personen met een bepaalde status, autoriteit of inloggegevens voor beter afgeschermde systemen.
- Pretexting: Bij deze aanpak komen criminelen met slimme verhalen of scenario’s om het vertrouwen van slachtoffers te winnen en hen te verleiden om gevoelige informatie prijs te geven. Een bekend voorbeeld is een scammer die zich voordoet als IT-technicus die om inloggegevens vraagt onder het voorwendsel dat er algemeen onderhoud of tests moeten worden uitgevoerd.
- Business Email Compromise (BEC): Dit soort aanvallen richt zich vaak op financiële afdelingen, waarbij een cybercrimineel zich in een e-mailbericht voordoet als iemand uit de top van een bedrijf of organisatie. Scammers verzoeken dringend om geld over te maken of vragen om gevoelige financiële gegevens, waarbij ze inspelen op de vermeende autoriteit van de afzender.
- Piggybacking: Dit is een vorm van social engineering waarbij een aanvaller bevoegd personeel fysiek volgt om toegang te krijgen tot afgeschermde gebieden. Door misbruik te maken van iemands vertrouwen verschaft de aanvaller zich onbevoegd toegang tot gevoelige locaties. Callcenters en serverruimtes zijn kwetsbaar voor dit soort aanvallen.
Beperk de risico’s
Om de kansen op een succesvolle aanval via social engineering te verkleinen, is een veelzijdige aanpak vereist met een combinatie van technologie en oplettendheid. Door uw klanten goed te informeren over de verschillende typen social engineering-aanvallen en te komen met voorbeelden uit de praktijk, zijn ze beter uitgerust om dergelijke aanvallen te herkennen en er effectief op te reageren. Laat met regelmatige trainingssessies zien hoe belangrijk het is om sceptisch en voorzichtig te zijn bij digitale communicatie. Het aanbieden van e-mailfilters en antiphishingsoftware om aanvallen via social engineering te detecteren en te voorkomen, kan helpen om schadelijke inhoud en potentiële bedreigingen te identificeren voordat ze in de inbox van uw klanten terechtkomen.
Wees proactief
Als betrouwbare techpartner speelt u een centrale rol in het beveiligen van uw klanten tegen alle mogelijke soorten cyberaanvallen. Door de tactieken die cybercriminelen ontwikkelen voor te blijven kunt u eindgebruikers waardevolle inzichten en hulp geven. Houd iedereen op de hoogte van de nieuwste scams en trucs, zodat klanten potentiële gevaren sneller herkennen en erop kunnen reageren.
Een andere proactieve maatregel is het organiseren van verplichte bewustwordingstrainingen op het gebied van cybersecurity voor medewerkers van klanten. Dergelijke initiatieven dragen bij aan het realiseren van een cultuur waarin iedereen zich bewust is van wat beveiliging inhoudt. Regelmatige training houdt mensen waakzaam en zorgt dat ze goed voorbereid zijn. Bovendien beschikken ze daarmee over de kennis en vaardigheden om aanvallen van social engineering snel te identificeren en te verijdelen.
Tijdig communiceren is een andere verstandige strategie. Het is een goede gewoonte om regelmatig updates rond te sturen over het steeds veranderende landschap van bedreigingen met social engineering. Daardoor blijven klanten niet alleen geïnformeerd en voorbereid, maar krijgen ze ook steeds meer vertrouwen in uw capaciteiten om hun belangen te beschermen. Door open communicatielijnen te houden en actief inzichten te delen kunt u een krachtige relatie met uw klanten opbouwen, waardoor hun positie op het gebied van cybersecurity alleen maar sterker wordt.
Verdedigen tegen cybercriminaliteit
Aanvallen via social engineering vormen een ernstige bedreiging van de beveiliging van bedrijven in de wereld van vandaag de dag, waarin alles en iedereen met elkaar verbonden is. Door te begrijpen wat voor trucs cybercriminelen gebruiken en robuuste tegenmaatregelen te treffen, kunt u een cruciale rol spelen in het versterken van de verdedigingslinie van uw klanten.
De strijd tegen social engineering vergt voortdurende waakzaamheid, een duidelijke keuze voor trainingen en een gezamenlijke inspanning om de aanvallers een stap voor te blijven. Naarmate het digitale landschap verandert, wordt de rol van MSP’s om te zorgen voor een veilige en veerkrachtige digitale omgeving steeds belangrijker.
Onthoud dat beveiliging tegen cyberaanvallen een gezamenlijke inspanning is die voortdurend moet worden aangepast en waarvoor constant trainingen nodig zijn. Blijf op de hoogte en wees voorbereid.
Dit is een ingezonden bijdrage van Rick Hebly, Director Product Management bij Acronis. Acronis stelt zich ten doel om beveiligingsoplossingen te leveren die uw klanten beschermen. Met Cyber Protect Cloud kunnen MSP’s hun klanten back-up, noodherstel, beveiliging, automatisering en managementservices bieden, en dat alles naadloos geïntegreerd in één gebruiksvriendelijk platform. Cyber Protect Cloud kan bovendien worden geïntegreerd met meer dan 150 andere kant-en-klare oplossingen die u waarschijnlijk al elke dag gebruikt. Door te kiezen voor één uniforme oplossing kunt u zo efficiënt mogelijk werken en uw klanten de beste services leveren.