Lees meer over: Cybersecurity & Continuïteit


De social engineering-scan

Cybercriminaliteit neemt de laatste jaren sterk toe en de methodes om het bewustzijn hierover te omzeilen worden steeds geraffineerder. Door manipulatietactieken te gebruiken zijn cybercriminelen ervan verzekerd dat zij mensen en organisaties kunnen blijven misleiden om tot slachtoffer te maken. Dit wordt social engineering genoemd.

Het Digital Trust Center definieert social engineering als de technieken die cybercriminelen inzetten om door middel van psychologische manipulatie mensen te verleiden persoonlijke of bedrijfsgevoelige gegevens prijs te geven.
Daarnaast is gebleken, dat hoe goed u uw cyberrisico’s ook onder controle heeft, de cyberrisico’s van uw ketenpartners een mogelijke kwetsbaarheid voor uw organisatie kunnen vormen. Zo werd een datalek bij de NS veroorzaakt door de software van één van hun marketingpartners. Om meer zicht te krijgen op uw cyberrisico’s én in de risico’s die uw ketenpartners mogelijk voor uw organisatie vormen, biedt VKA vanaf heden een nieuwe dienst aan: de social engineering-scan. 

Social engineering kan meerdere vormen aannemen. De meest gebruikte vorm is phishing. Denk bijvoorbeeld aan een phishing e-mail: om u over te halen om op een link te klikken, wordt er een verhaal bedacht waardoor u het gevoel krijgt om op de link te willen of moeten klikken. Dit kan een verleidelijk aanbod zijn, zoals een winactie, of een urgent bericht waarop actie is vereist, zoals een openstaande boete bij CJIB. Hackers maken hierbij gebruik van psychologische trucjes om hun doel te bereiken: u klikt op de link en ondertussen wordt er een virus geïnstalleerd op uw computer.

Omdat mogelijke doelwitten van social engineering aanvallen steeds meer bezig zijn met het bewustzijn over cybersecurity, met name phishing, zijn hackers steeds sluwer geworden in het omzeilen van dit bewustzijn om alsnog hun doel te bereiken. Zo zien wij een een toename in spear phishing, waarbij heel gericht naar een specifiek persoon een phishing e-mail wordt gestuurd. Deze is dusdanig aangepast op de betreffende persoon, bijvoorbeeld doordat er wordt verwezen naar zijn of haar functie of werkzaamheden, dat deze van een echte collega lijkt te komen.

Achter deze spear phishingaanvallen zit vaak een gedegen onderzoek naar informatie die openbaar vindbaar is over een organisatie en haar medewerkers, om een zo geloofwaardig mogelijk verhaal te creëren. Zonder dat u hiervan op de hoogte bent kunnen u en uw organisatie veel informatie weggeven aan hackers en social engineers, die deze op hun beurt gebruiken om toegang te krijgen tot uw digitale kroonjuwelen.

De social engineering-scan is een methodiek die VKA – met dank aan Jessie Antonisse –  heeft ontwikkeld om het onderzoek dat hackers uitvoeren na te bootsen. Vervolgens brengen wij de risico’s voor social engineering in kaart en bedenken samen met u de maatregelen om deze risico’s tegen te gaan. Op een niet-intrusieve manier voert een consultant van VKA een onderzoek uit naar de openbare informatie over uw organisatie die deze kwetsbaar maakt voor social engineering. Hierbij wordt gekeken naar verschillende bronnen, zoals uw eigen website en de social media kanalen, zowel van uw medewerkers als die van uw ketenpartners.  Bij het uitvoeren van de social engineering-scan doorlopen wij de volgende stappen:

1. Kick-off
Tijdens de kick-off stellen wij de scope van het onderzoek vast en maken wij een organisatie specifiek plan.

2. Open Source Intelligence (OSINT)-onderzoek
Onderzoek naar openbare informatie, verdeeld in vijf domeinen:

    1. Interne informatie
    2. (Fysieke)Toegang
    3. Ketenpartners
    4. Medewerkers
    5. Directie/MT

3. Bepalen van het risiconiveau
Inschatting van de kans op en impact van een social engineering-aanval met de openbaar gevonden informatie.

4. Rapportage
Geanonimiseerde rapportage geeft inzicht en bevat een advies + aanbeveling voor implementatie.

5. Eindpresentatie
Presentatie waarin de bevindingen, het advies en de aanbevelingen voor implementatie worden toegelicht.

Na de social engineering-scan heeft u een volledig beeld van wat er over uw organisatie openbaar vindbaar is dat een risico vormt voor social engineering, en waar bijvoorbeeld spear phishing, CEO-fraude of ongeautoriseerde toegang (fysiek of digitaal) mee te realiseren is. Op deze bevindingen wordt een advies geformuleerd waarmee u direct aan de slag kan, om de risico’s voor social engineering te mitigeren. Zo helpt VKA u om uw organisatie weerbaar te maken tegen social engineering en de cybercriminaliteit die hieruit voortkomt.

Meer weten over de social engineering-scan? Neem contact op met Nino van Leeuwen Nino.vanleeuwen@vka.nl of Julian Roelsma Julian.roelsma@vka.nl