Wat is Social Engineering?
Social engineering is een aanvalstechniek waarbij een aanvaller probeert om via manipulatie van mensen toegang te krijgen tot systemen, informatie of fysieke locaties.
In plaats van technische kwetsbaarheden te misbruiken, richt social engineering zich op menselijk gedrag β zoals vertrouwen, angst, nieuwsgierigheid of onoplettendheid.
π― Wat is het doel van social engineering?
- Toegang krijgen tot vertrouwelijke gegevens
- Verkrijgen van wachtwoorden of tokens
- Installeren van Malware of Remote Access-tools
- Doorbreken van Access Control of Zero Trust-maatregelen
- Uitlokken van onbedoelde acties zoals geld overmaken of toegang geven
π§ͺ Voorbeelden van social engineering
| Techniek | Beschrijving |
|---|---|
| Phishing | Nepmails of websites die om inloggegevens vragen |
| Pretexting | Zich voordoen als een collega of autoriteit (bv. IT-helpdesk) |
| Baiting | Een besmet USB-stick op een parkeerplaats achterlaten |
| Tailgating | Meelopen met een medewerker door een beveiligde deur |
| Vishing | Telefonisch opbellen om gegevens of toegang te verkrijgen |
| Quid pro quo | Doen alsof je iets aanbiedt (bijv. support) in ruil voor toegang of informatie |
π Waarom is social engineering zo effectief?
- Speelt in op vertrouwen en routine
- Moeilijk te detecteren met alleen technische beveiliging
- Gebruikt urgentie, nieuwsgierigheid of angst om snelle actie uit te lokken
- Combineerbaar met technische aanvallen (Phishing, Malware)
- Gericht op mensen in sleutelrollen: systeembeheerders, receptionisten, operators
π‘ Hoe kun je je beschermen?
- Security awareness-training en realistische simulaties
- Strikte procedures voor Access Control en identiteitsverificatie
- Technische maatregelen zoals MFA, EDR en SIEM
- Meld verdachte situaties direct aan CSIRT of beveiliging
- Verifieer altijd verzoeken voor gevoelige informatie, ook intern
π Samengevat
Social engineering is de kunst van het misleiden β en vormt een van de grootste risicoβs binnen informatie- en operationele beveiliging. Het vraagt om een combinatie van bewustzijn, beleid en beveiliging om succesvol te worden tegengegaan.