De tijd dat HR-afdelingen cryptische, slecht geschreven e-mails ontvingen van zogenaamd geïnteresseerde sollicitanten is voorbij. Slechte grammatica en spellingsfouten waren een goede indicatie van valse of gevaarlijke berichten. Cyber-criminelen bereiden zich tegenwoordig beter voor op een aanval en kunnen meestal foutloos communiceren.

Een goed voorbeeld van een potentieel slachtoffer is een recruiter in een bedrijf. Die heeft vaak toegang tot social media-platformen om geschikte kandidaten te zoeken. Het sleutelwoord hier is “scouting”. Indien een geschikte kandidaat gevonden lijkt, wordt contact met hem/haar gelegd. Criminelen zijn zich daarvan bewust en stellen nepprofielen op, waarmee ze op het juiste moment contact met de HR-medewerker kunnen opnemen. De dader probeert informatie te krijgen over de medewerker, alvorens vertrouwen op te bouwen met zijn slachtoffer en vervolgens per mail een sollicitatiebrief naar de HR-medewerker te sturen, verwijzend naar het vriendelijke gesprek via sociale media.

Deze aanpak is doeltreffender dan het schrijven van een standaard open sollicitatie. De mail bevat een korte tekst, met een foto en een PDF-bijlage. De aanvaller heeft de medewerker gemanipuleerd om de bijlage te vertrouwen en te openen. Dat kan ransomware zijn, die kritieke bestanden versleutelt en losgeld vraagt om ze te decoderen. Het kan ook een Trojaans paard zijn, dat toetsaanslagen registreert en naar de aanvaller terugstuurt. Met andere woorden, log-ins en wachtwoorden worden geregistreerd en aan de cyber-crimineel verstrekt.

Sociale engineering veroorzaakt financiële schade

Social engineering wordt overal ingezet waar mensen kunnen worden gemanipuleerd en geld door de aanvaller te verdienen valt. Dat kan waardevolle informatie van het personeel zijn, feitelijke toegangsgegevens of toegang tot vertrouwelijke documentatie die bedrijfsgeheimen onthult. Volgens schattingen van detacheerder Brunel veroorzaakt (digitale) bedrijfsspionage bij Nederlandse bedrijven tussen de 12 en 15 miljard euro schade per jaar. In België vermoedt Comité I ook een miljardenschade, maar aan ramingen waagt men zich niet. De oplossing voor dit aanvalsscenario is bewustwording voor medewerkers.

Waar moeten IT-managers op letten?

De eerste stap voor IT-managers is om medewerkers bewust te maken van social engineering. Met bewustwordingstraining zijn dergelijke aanvallen makkelijker op te sporen en te voorkomen. Zo leren medewerkers bijvoorbeeld dat e-mails kritisch moeten worden bekeken, dat er geen gevoelige gegevens over de telefoon mogen worden verspreid en dat er bijvoorbeeld geen links naar een inlog-pagina mogen worden geopend.

Een andere even belangrijke stap is goede beveiligings-software die phishing-bescherming biedt. Op deze manier kunnen veel aanvallen op voorhand worden afgewend. Dergelijke software helpt medewerkers om relevante e-mails die belangrijk zijn voor het dagelijkse werk, aanzienlijk sneller te verwerken. Bovendien neemt het risico dat medewerkers slachtoffer van social engineering worden, hierdoor snel af.