Winkelmand

Geen producten in de winkelwagen.

Social engineering: pas op met online-enquêtes 

Laatst bijgewerkt: 26-02-2024 13:21:14

Persbericht - Social engineering: pas op met online-enquêtes 

online security

Door Jelle Wieringa, Security Awareness Advocate bij KnowBe4  

Getrainde cybersecurity professionals weten dat alles wat iemand over zichzelf en zijn persoonlijke ervaringen zegt tegen hem kan worden gebruikt met social engineering. Het is altijd goed om die boodschap minstens één keer per jaar te delen met collega’s, familieleden en vrienden. 

Recent kwam dit nieuwsbericht over een Instagram- en TikTok-trend voorbij. Hierin staat dat gebruikers een zogenaamde enquête toegestuurd krijgen waarin de ontvanger wordt gevraagd om zichzelf te beschrijven. We hebben allemaal wel vergelijkbare enquêtes gezien die vragen naar onze geboortedata, favoriete kleuren, middelbare school, geboorteplaats, enzovoort. 

Facebook-enquêtes zijn al lang het favoriete instrument van de social engineering scammer. Als je op het internet zoekt op de termen ‘Facebook-enquêtes’, zie je honderden artikelen, waaronder van de FTC en het Better Business Bureau die je waarschuwen om er niet aan mee te doen. Dit geldt vooral als de enquête een nieuwe app probeert te installeren of om bepaalde toestemming of rechten vraagt. 

Een wijze raad: vul geen enquêtes in en plaats ze niet op sociale media. Het is gewoon te gevaarlijk. 

Werk-enquêtes

Een andere veelgebruikte methode van social engineering is meer gericht op de werkplek dan op jou. De oplichters sturen je een enquête, vaak met de bewering dat ze je geld of een prijs sturen als je de enquête invult, waarin wordt gevraagd welke software jouw bedrijf gebruikt, of je thuiswerkt, hoe je toegang tot internet hebt, welk antiviruspakket je gebruikt, of je een VPN gebruikt en zo ja, welke, enzovoort. Aan de hand van al deze feitenkennis over de werkplek onderzoeken oplichters of ze toegang kunnen krijgen tot de organisatie.  

Gluren op hobbyfora

Social engineering duikt op in sociale media en openbare forums op plaatsen die verder gaan dan enquêtes alleen. Cybercriminelen houden ervan om persoonlijke informatie over potentiële slachtoffers te achterhalen. En dankzij het internet kunnen ze dat gemakkelijk doen. Oplichters staan erom bekend dat ze rondneuzen op hobbyfora. Ze doen zich voor als personen die onder de indruk zijn van wat je hebt gedaan of weten van jouw hobby en gaan daarover dan persoonlijke gesprekken aan. 

De bedoeling is om vertrouwen te winnen waar ze later misbruik van maken. Vaak krijgt het slachtoffer onverwachte documenten (trojan horses) toegestuurd of wordt hem verteld een zogenaamd ‘coole’ app te downloaden. Omdat de cybercrimineel niet begint met de vraag om een document of app te downloaden en eerst een tijdje geduldig wacht, is de kans groter dat het slachtoffer het nieuwe verzoek vertrouwt. 

Beleggingsadvies

Veel cybersecurity-specialisten overkomt het volgende: ze worden benaderd door een zogenaamd adviesbureau dat gespecialiseerd is in het geven van beleggingsadvies aan klanten. De adviseurs zullen zeggen dat ze contact met hen hebben opgenomen vanwege hun ervaring. Vervolgens proberen ze te achterhalen wat de geheime ingrediënten zijn van bijvoorbeeld de backup-oplossing van het bedrijf van de specialist, zodat ze die kunnen delen met concurrenten.  

Ook proberen ze beveiligers vaak te verleiden tot het installeren van trojan horses. Ze kunnen hen zelfs een nieuwe baan aanbieden die ze alleen afslaan als ze gek zijn. Dat soort aanbiedingen moeten meestal beschouwd worden als onzin en als zodanig worden behandeld. Zelfs als het adviesbureau absoluut legitiem is, vraag dan altijd aan je werkgever of je mag meedoen: je wilt immers niet ontslagen worden voor een klein beetje geld. 

Het nieuws

Veel hackers halen waardevolle informatie uit nieuwsberichten. Misschien fuseren twee bedrijven of koopt het ene bedrijf de software van het andere voor een implementatie die maanden duurt. Hoe dan ook: de hacker profiteert van grote veranderingen. De PR- en marketingafdeling van elk bedrijf moet zich ervan bewust zijn dat alle informatie die publiekelijk wordt gedeeld tegen hen kan worden gebruikt. 

Openbare documenten

Er is tenminste één bedrijf dat gehackt werd omdat de naam en het e-mailadres van een interne medewerker vermeld waren in een door de Amerikaanse overheid verplicht 8-K-formulier. Het ging om bedrijfsfraude waarbij een valse wijziging over een bankrekening naar een interne medewerker werd gestuurd. Het bedrijf vroeg zich aanvankelijk af hoe de oplichter wist met wie hij contact moest opnemen en wat het e-mailadres was, omdat ze deze informatie nooit openbaar hadden gemaakt. Althans, dat dachten ze. Daarna realiseerden ze zich dat ze die informatie hadden gepubliceerd in een nieuw wettelijk verplicht 8-K-formulier dat openbaar werd gemaakt, toegankelijk voor iedereen. 

Openbare pagina’s op Facebook

Mijn collega Roger Grimes is ooit bijna opgelicht nadat hij een klacht had geplaatst op de openbare Facebook-pagina van een bedrijf. Hij had een defecte koelkast die hij wilde laten vervangen, maar de verkoper wilde dat niet, al viel de koelkast binnen de garantie en waren er binnen twee jaar meerdere reparaties geweest. Zogenaamd iemand van het bedrijf nam onmiddellijk contact met hem op, verontschuldigde zich en zei dat ze hem een nieuwe koelkast zouden sturen. Het enige wat ervoor nodig was waren zijn creditcardgegevens voor het geval hij de oude koelkast niet zou terugsturen. 

Hij belde de garantieafdeling van de legitieme verkoper om te vragen naar een willekeurig detail in de retourzending en ze onthulden dat ze niet wisten waarover hij het had. Het bleek dat iemand zijn bericht had gezien en vervolgens een Facebook-pagina en -account had aangemaakt die van de verkoper leken. Hij trapte erin en dacht dat hij een nieuwe koelkast kreeg, maar dat was niet zo. 

Al deze voorbeelden (bijv. enquêtes, hobby’s, vacatures, nieuwsberichten, openbare documenten, Facebook-pagina’s, enz.) zijn mogelijkheden waarbij persoonlijke informatie wordt gebruikt voor social engineering.  

Verdediging

De volgende tips helpen je om te voorkomen dat cybercriminelen misbruik maken van persoonlijke informatie: 

  1. Onderwijs is belangrijk. Maak iedereen in je omgeving – collega’s, familie en vrienden – bewust van dit soort oplichting. Laat hen begrijpen dat het onthullen van persoonlijke informatie op een openbaar forum of aan de verkeerde persoon tegen hen kan worden gebruikt. Wijs ze op het feit dat ze echt niet weten wie de mensen zijn die ze op online fora ontmoeten en dat oplichters azen op mensen die te goed van vertrouwen zijn.
  2. Het beperken van wie je sociale media-account en -berichten kan zien helpt. Bij de meeste sociale media kun je beperken wie wat ziet. Leer welke informatie kan worden achterhaald door iemand met wie je niet officieel verbonden bent en kijk hoeveel van je online leven je kunt beperken voor het publiek.
  3. Neem geen online enquêtes af, installeer zeker niet zomaar elke app en geef geen toestemming voor enquêtes die daarom vragen. Het is simpelweg te riskant. Bedrijven moeten zich altijd afvragen of de informatie die ze vrijgeven of openbaar maken het risico waard is en of het tegen hen of een medewerker kan worden gebruikt als het in handen is van een slinkse cybercrimineel. Dat is soms het risico niet waard.
  4. Als je je al gedwongen voelt om te antwoorden op een enquête, overweeg dan om je antwoorden iets te veranderen. Als je wordt gevraagd naar je lievelingskleur, geef dan je volgende favoriete kleur. Als je wordt gevraagd naar de naam van je hond, geef dan de naam van je oude hond. Overweeg om het jaar of de dag van je verjaardag te veranderen. Als naar je sterrenbeeld wordt gevraagd, geef dan het teken naast je echte sterrenbeeld. ‘Kleine leugentjes om bestwil’ in een online enquête doen niemand kwaad. 
  5. Gebruik daarnaast phishing-resistente multi-factor authentication (MFA) voor aanmeldingen. Zo ben je beschermd als een cybercrimineel achter je favoriete kleur komt door een enquête die je lang geleden hebt ingevuld. Gebruik sterke, unieke wachtwoorden die voor elke site en service anders zijn, bij voorkeur door gebruik te maken van een wachtwoordmanager. Gebruik geen wachtwoorden die gebaseerd zijn op dingen die een enquête te weten zou kunnen komen (zoals bijvoorbeeld middelbare school, geboortedatum, favoriete kleur, naam van de hond, favoriete sport of hobby enzovoort).
  6. Het kan geen kwaad om gesimuleerde phishing uit te voeren met publiek toegankelijke informatie over een onderwerp dat gebruikt zou kunnen worden door een scammer. Als je bijvoorbeeld toegang hebt tot iemands Instagram-, Facebook- of LinkedIn-account en de medewerker een promotie aankondigt, gebruik die aankondiging dan in een social engineering-truc. Bijvoorbeeld door als afzender een extern payroll-bedrijf te gebruiken die hen een e-mail stuurt met de vraag om de naam van hun nieuwe functie te bevestigen, om daarna te vragen naar meer details. Of misschien kondigt de persoon een werkjubileum aan op sociale media en wordt dat gebruikt om een ‘dinerbon’ te sturen. Er zijn veel scenario’s die een goede security awareness trainer kan bedenken. Gebruik natuurlijk geen gevoelige informatie die meer kwaad dan goed zou doen; security awareness training moet mensen helpen hun security te verbeteren en ze niet alleen boos maken. 

Iedereen moet begrijpen dat alles wat je onthult op sociale media of in het openbaar tegen je gebruikt kan worden. Met een beetje kennis kom je een heel eind.