De grote Twitter-hack waarbij prominente accounts werden overgenomen of het datalek begin dit jaar bij de Universiteit van Maastricht laten zien dat organisaties anno 2020 nog steeds niet gevrijwaard zijn van de ‘digitale crimineel’. Door social engineering wordt exact ingespeeld op de zwakste schakel; de mens. Maar wat is social engineering eigenlijk en wat kun je daar als corporatie tegen doen? CorporatieGids Magazine sprak daarover met eigenaar Jorrit van de Walle en Projectmanager Awareness en Social Engineering Timo Koot van Audittrail.

Audittrail

Timo Koot en Jorrit van de Walle

Wat houdt social engineering precies in?

Social engineering is een techniek waarbij criminelen gebruikmaken van de menselijke zwakheden om gevoelige informatie te achterhalen. Dat verschilt van andere vormen waarop corporaties aangevallen kunnen worden waarin vooral gebruik wordt gemaakt van zwakheden in computernetwerken of -systemen. Het doel is overigens hetzelfde; het buitmaken van financiële- en persoonsgegevens.

Waarom wordt social engineering steeds populairder?

In de praktijk blijkt social engineering toepasbaar op afstand en eenvoudig schaalbaar te zijn. Daarnaast zijn netwerken en computersystemen steeds beter beveiligd, waardoor een organisatie ‘binnenkomen’ via een menselijke fout het makkelijkst is. Ook wordt vaak een combinatie tussen social engineering en hacking gebruikt. Bijvoorbeeld door eerst met social engineering een administrator user-ID of wachtwoord buit te maken, waarna de hacker de systemen kan binnendringen en ransomware kan plaatsen. Dit is veel eenvoudiger en sneller dan het wachtwoord proberen te kraken op digitale wijze. Daarnaast is het relatief veilig voor de crimineel; door de grote afstand en mogelijkheden is hun identiteit goed beschermd.

Waarom zal ‘elke corporatie te maken krijgen met een datalek, veroorzaakt door social engineering’?

Menselijk handelen blijft een onderdeel van woningcorporaties, en mensen maken fouten. Dat zie je bijvoorbeeld terug in de Twitterhack van afgelopen juli. Zelfs een admin van Twitter bleek gevoelig te zijn voor social engineering. Wanneer dit bij een corporatie gebeurt, is de kans groot dat dit een datalek ten gevolg heeft omdat zo vaak ransomware de organisatie inkomt. Wanneer je daardoor getroffen bent, zit je sowieso in de categorie datalek.

Hoe heeft de coronacrisis tot een stijging in social engineering gevallen geleid?

In onze phishingtests zien we dat de hoeveelheid kliks met 37 procent is gestegen en het aantal logins met 32 procent, vergeleken met voor de coronacrisis. Voor de groei van het aantal medewerkers dat in de phishingtest-val trapt kunnen verschillende oorzaken worden genoemd. Bijvoorbeeld het feit dat men nu alleen thuis zit en het verifiëren of bespreken van een mogelijke e-mail of telefoontje met een collega lastiger is. De drempel ligt hoger om hierover te bellen dan over het bureau heen wat te vragen, dus wordt er eerder geklikt of ingelogd.

Daarnaast heeft de coronacrisis geleid tot een situatie waarin processen anders lopen dan normaal. Er wordt bijvoorbeeld meer gemaild en ook de inhoud van e-mails is anders dan normaal. Een vreemd mailtje van een crimineel valt dan niet zo op. Onder het motto: waar verstop je een boom? Precies, in het bos.

Wat zijn de ‘zwakten’ die criminelen momenteel uitbuiten bij corporaties?

Op dit moment zien we vooral phishing en CEO-fraude. Dat laatste vindt vooral plaats bij een corporatie waar net een nieuwe directeur-bestuurder is aangetreden. Criminelen doen zich voor als de nieuwe bestuurder en hopen door het inzetten van hun autoriteit toegang te krijgen tot de organisatie. Bij phishing proberen criminelen vooral gebruik te maken van hebzucht of schaarsheid om binnen te komen.

Wat kunnen corporaties tegen het gevaar van social engineering doen?

Bewustwording creëren onder medewerkers is het belangrijkste. Daarbij is het goed te beseffen dat dit een continu proces is en niet iets wat eenmalig moet worden aangepakt. Dit kan op verschillende manieren plaatsvinden, bijvoorbeeld middels sessies met actuele onderwerpen of door middel van het houden van testen. Daarnaast zorgt het in kaart brengen van risico’s en het opstellen van procedures en richtlijnen ervoor dat de kans afneemt dat er gegevens buit worden gemaakt. Hierdoor weten medewerkers bijvoorbeeld hoe ze te werk moeten gaan en welke stappen ondernomen moeten worden in het geval van een datalek. Denk bijvoorbeeld aan telefonische verzoeken waarbij controlevragen worden gesteld ter verificatie. Of het controleren van verdachte e-mails op een aantal kritieke punten.

Technieken die gebruikt worden op particulieren worden vaak later ook gebruikt op bedrijven. Vanuit die gedachte; wat zijn de methoden waar corporaties de komende tijd rekening mee moeten houden?

Phishing zal altijd ingezet worden omdat het op grote schaal toegepast kan worden en werkt. We zien regelmatig artikelen van organisaties die in deze berichten trappen. Daarnaast is er in de huidige periode een grote toename van CEO-fraude. Criminelen worden steeds beter waardoor het moeilijker wordt om echt van nep te onderscheiden. Maar ook nieuwe technieken steken de kop op. Denk aan phishing via de fysieke post of aan WhatsApp-fraude, iets wat nu nog veel wordt ingezet op particulieren. Het is dus zaak om als organisatie alert te blijven en de bewustwording niet te laten verslappen.

Bron: Corporatiegids Magazine Foto: Bas Duijs