Soorten social engineering-aanvallen

7 februari 2022 By Nancy Willem Geen reacties 14 minuten

Cyberaanvallen zijn tegenwoordig enorm toegenomen, en dat gezegd hebbende, je hebt waarschijnlijk wel eens gehoord van verschillende soorten social engineering-aanvallen. Je zou het een verzameling van verschillende soorten kwaadwillende aanvallen kunnen noemen die worden geïnduceerd door psychologische uitbuiting en manipulatie.

Het is meer als het ervaren van de ergste soorten cyberbeveiligingsaanvallen en niet eens weten hoe het is gebeurd. Social engineering-aanvallen worden ingewikkeld gedaan, waarbij de tijd wordt genomen om specifieke mensen te targeten, bepaalde strategieën te ontwikkelen, zwakke toegangspunten te ontdekken, het slachtoffer de aanvaller te laten vertrouwen, enzovoort.

Deze gids onthult enkele van de ergste soorten social engineering-aanvallen en hoe u beschermingsstrategieën ertegen kunt ontwikkelen.

Inhoudsopgave

• Wat is social engineering?
• De cyclus van social engineering-aanvallen
• 17 soorten social engineering-aanvallen
• Beveiligingsstrategieën om social engineering-aanvallen te voorkomen
• Conclusie

Wat is social engineering?

Zoals hierboven vermeld, is social engineering een verzameling van talloze soorten cyberaanvallen die plaatsvinden door menselijke en psychologische interacties. Het is waar de dader een doel zal stellen en alle mogelijke middelen zal gebruiken om resultaten te bereiken. Deze resultaten zijn verlies van gevoelige informatie, bankgegevens, identiteitsfraude, gestolen geld, overname van apparaten of installatie malware op de apparaten van mensen door middel van phishing-pogingen.

Er was bijvoorbeeld een tijd dat duizenden Facebook-accounts werden gehackt via FlyTrap Trojan-malware. Dit gebeurde doordat gebruikers nep-apps uit de app-winkels downloadden.

De cyclus van social engineering-aanvallen

Er zijn bepaalde stappen die elke aanvaller neemt om een ​​social engineering-aanval te voltooien. Dit zijn de stappen:

• Gericht op een slachtoffer
• Onderzoek ze en verzamel informatie
• Aanvalsmethoden bedenken, afhankelijk van zwakke of kwetsbare punten.
• Meedoen met het slachtoffer
• Een verhaal bedenken om het slachtoffer te overtuigen
• De aanval uitbreiden door het doelwit langzaam en geleidelijk om informatie te vragen
• Het plaatsen van malware en andere social engineering-plots voor de aanval
• Alle sporen bedekken nadat de aanval heeft plaatsgevonden

Nu u weet hoe social engineering-aanvallen werken, kunt u hieronder een kijkje nemen om de verschillende soorten social engineering-aanvallen te leren kennen.

17 soorten social engineering-aanvallen

De volgende zijn momenteel enkele van de meer geavanceerde social engineering-aanvallen van vandaag. Zij zijn:

• Phishing

Beginnen met Phishing, is het meestal het soort social engineering-aanval dat plaatsvindt via sms'jes en e-mails. Misschien heb je ooit een e-mail gezien waarin je wordt gevraagd om in te loggen met enkele persoonlijke accountgegevens, of dat je een bepaald bedrag moet betalen om een ​​lidmaatschap voort te zetten waarvoor je nog nooit een aanvraag hebt ingediend. Ze kunnen deze tactieken zelfs gebruiken om te installeren Zeus-malware of andere soorten op uw apparaat.

Ik weet wat je denkt. Waarom zou iemand blindelings reageren op dergelijke e-mails en sms'jes? Het is niet zo simpel. Sommige van deze phishing-scams zijn buitengewoon moeilijk te onderscheiden. Dit omvat ook het chatten met iemand op Instagram en het aangaan van een relatie, alleen om erachter te komen dat je bankrekening is leeggemaakt. Dit heet Instagram-phishing en kan gebeuren op bijna elke andere sociale-mediaservice.

• Vishing

Een ander soort phishing-aanval is Vishing. Het gaat om oplichters die het slachtoffer door middel van telefoontjes misleiden om aan hun eisen te voldoen. Ze vervalsen hun nummers door zich voor te doen als bankfunctionarissen, hogescholen, ziekenhuizen, kantoorgebouwen, enzovoort.

Soms zijn de oproepen zo geavanceerd dat hun stemmen ook bekend voorkomen. Deze oplichters zullen u om gevoelige informatie vragen, zoals uw adressen, burgerservicenummers en meer. Daarom vertellen bankfunctionarissen klanten keer op keer dat geen enkele vertegenwoordiger ooit tijdens een gesprek of sms om gevoelige gegevens zou vragen.

•  smishing

We hebben e-mails en telefoontjes behandeld, en laten we het nu hebben over smishing aanvallen gedaan via sms-berichten. Dit soort social engineering-aanvallen zijn zeer succesvol gebleken omdat bijna iedereen ervan uitgaat dat degene die uw nummer en naam heeft, een authentieke bron moet zijn.

Het kan de vorm hebben van een sms-bericht waarin u wordt gevraagd op een link te klikken met de bevestiging van uw pakketbezorging, een code in een sms te typen om uw sociale media-account te beveiligen, enzovoort. Je merkt amper het verschil.

• baiting

Waar denk je aan als je het woord aas hoort? Je kunt het omschrijven als iets opwindends aan het einde van een dodelijke haak, geduldig wachtend tot slachtoffers verleid worden – naar binnen gelokt. Er zijn verschillende variaties op hoe lokaasaanvallen eruit zien.

De aanvallers stelen informatie via advertenties, aankondigingen, gratis prijzen, enz. of infecteren uw systeem met malware met behulp van flashstations. Zonder erbij na te denken, sluit het slachtoffer deze kwaadaardige flashdrives aan op hun apparaten, waardoor het systeem uitvalt of informatie verloren gaat.

Hetzelfde kan gezegd worden over het installeren van apps die nep of kwaadaardig zijn uit verschillende app stores. Ze adverteren op zo'n overtuigende manier dat je het verschil niet ziet. Het is als zoeken naar de beste Firestick-apps en landen op sommige die verre van authentiek zijn - mogelijk uw apparaat vullen met malware en andere soorten infecties.

• Speervissen

Spear phishing is nog een van de meest gerichte soorten social engineering-aanvallen van dit moment. Het wordt een precies soort phishing-zwendel genoemd, vooral omdat het zich met zo'n gedetailleerde planning op de slachtoffers richt - het duurt weken tot maanden om het uit te voeren. Dit soort aanvallen zijn gericht op grotere vissen zoals grote ondernemingen, spraakmakende personen, enz.

Om te specificeren hoe het werkt, ontvangt het doelwit een of meerdere e-mails waarin de inhoud een groep imiteert vanuit de werkplek of een privéadviseur.

De e-mail kan u vragen uw wachtwoord of e-mailadres te wijzigen of in te voeren login naar een specifieke pagina, portal of account. De link naar de formulierpagina kan het gebied zijn waar de aanval wordt uitgevoerd – waar de hacker gemakkelijk toegang kan krijgen tot alle ingevoerde informatie.

• Visser Phishing

Als je onlangs een product online of via sociale media hebt gekocht en vervolgens een klacht hebt ingediend, staan ​​er oplichters te wachten om aan te vallen. Ze gebruiken vervalste of valse klantenserviceaccounts om klanten op te lichten zodat ze formulieren met persoonlijke informatie kunnen invullen.

Laten we bijvoorbeeld zeggen dat er een pagina op Facebook is waar gebruikers klachten indienen over XYZ-bedrijven. Deze aanvallers monitoren alle klachten en richten zich op specifieke gebruikers die veel te verliezen hebben.

• catfishing

Hoeveel van jullie zijn er het slachtoffer van geworden online dating oplichting? Heb je ooit met iemand gesproken, halsoverkop voor hem gevallen, om er vervolgens achter te komen dat je de hele tijd werd bedrogen? De persoon met wie je praat beweert een 22-jarige jongen te zijn, maar blijkt in werkelijkheid een 78-jarige man te zijn.

Nepprofielen die oplichting zijn, worden vaak gebruikt als een van de snelste social engineering-aanvallen. Dit heet meerval de slachtoffers te laten geloven dat ze praten met iemand die eerlijk en echt is – het is precies het tegenovergestelde.

Dit soort catfishing-zwendel kan zo ver gaan dat iemand emotioneel aan je gehecht raakt, en dan met behulp van een droevig snikverhaal, hen vragen om geld aan je te doneren. De aanvallers kunnen zelfs om persoonlijke informatie vragen; kan op elke mogelijke manier worden gebruikt.

• Afleiding diefstal

Onder de soorten social engineering-aanvallen hebben we Diversion-diefstal. Als je alleen naar de naam zelf kijkt, begrijp je dit soort aanvallen beter. Afleiding betekent iemand afleiden van wat er werkelijk gebeurt.

Hierdoor kan de aanvaller gebruikers gemakkelijk misleiden om hen gevoelige informatie te geven, zoals accountgegevens, adressen en wachtwoorden. Jaarrekeningen en nog veel meer.

• smoes

smoes kan worden gedefinieerd als een ander soort social engineering-aanval waarbij de dader regels of informatie zorgvuldig samenstelt, het legaal laat lijken en het vervolgens naar zijn doelwit stuurt. Het kan een nabootsing zijn van de wetshandhavingsinstanties, uw belastingambtenaren, ziekenhuispersoneel, enz.

Bij een aanval als deze komt veel huiswerk kijken, waarbij de aanvaller de tijd neemt om allerlei informatie over zijn doelwit te verzamelen. Hierdoor kunnen ze valse kennisgevingen, formulieren, e-mails, enz. creëren, waardoor de persoon wordt gedwongen te corresponderen en hieraan te voldoen.

• Bumperkleven

Kent u de tijd dat u een auto of voertuig achtervolgt om de beste parkeerplaats te krijgen of om iets te bereiken? Dit staat bekend als bumperkleven. Het is een eenvoudige maar strategische vorm van social engineering-aanval.

De aanvaller kan elk middel gebruiken om dichtbij een persoon of onderwerp te komen door ze te volgen. Het kan worden gebruikt in omstandigheden waarin een indringer iemand kan volgen naar een spraakmakend gebouw.

Wanneer de persoon de poort binnengaat, rent de indringer automatisch naar de deur en komt illegaal binnen. Hetzelfde kan online worden gedaan. Wanneer u een persoon achtervolgt terwijl deze zijn bank-app of andere gevoelige platforms gebruikt en informatie verzamelt in zo'n korte nabijheid.

• meeliften

Je zou kunnen zeggen dat Meeliften veel lijkt op bumperkleven. Bij dit soort sociale aanvallen leidt het individu de indringer echter bewust naar zijn bankgegevens en andere gevoelige informatie.

Het lijkt bijvoorbeeld veel op iemand de schuld geven, ook al heb je geen ongelijk. Je deed het alleen uit beleefdheid omdat de schuldige met een triest en overtuigend verhaal kwam.

Als we onze weg naar een professionele omgeving vinden, kan de indringer gemakkelijk een onzorgvuldige bewaker ertoe aanzetten hem een ​​reserve-toegangssleutel te geven; beweren dat ze voor het bedrijf werken en dat ze hun toegangskaart ergens anders hebben achtergelaten.

Maar hoe kan de bewaker makkelijk toegang geven? De indringer deed wat graafwerk, verzamelde zoveel mogelijk informatie en gebruikte die zo goed mogelijk.

• scareware

Scareware is een van de meest gebruikte social engineering-zwendel. Je hebt waarschijnlijk enkele meldingen gekregen of gezien die je vertellen dat je apparaat is geïnfecteerd met malware. Het vraagt ​​u om op bepaalde links te klikken, waardoor u daadwerkelijke malware of andere soorten bedreigingen installeert. Een andere variant van scareware staat bekend als frauduleuze scanner, fraudesoftware of misleidingssoftware.

Wanneer u bepaalde websites bezoekt, heeft u mogelijk enkele pop-upbanners enz. gezien die u vertellen dat uw apparaat is geïnfecteerd en dat u een opschoonprogramma moet downloaden of beveiligingssoftware moet installeren - natuurlijk aanbevolen door de aanvaller.

Verder zijn er e-mails en sms-berichten die sporen van scareware bevatten. Er was een incident op een kantoor waarbij een nieuwe werknemer een e-mail kreeg waarin stond dat hij een bepaald bedrag moest betalen of dat hij aan zijn werkgever moest worden blootgesteld. Van schrik voldeed de medewerker zonder nadenken aan de eisen, want wie wil zijn baan nou kwijt? Dat was een klein voorbeeld van een ransomware-aanval, ook een andere tegenhanger van scareware.

• Walvisvangst

Een ander soort phishing-aanval wordt Whaling genoemd. Echter, Walvisvangst is een soort social engineering-aanval die wordt gebruikt om grote vissen te vangen met slechts één net. Deze aanvallers richten zich op spraakmakende persona's, grote ondernemingen of iemand uit hogere rangen, zoals een CEO.

Als je je afvraagt ​​hoe het werkt: de aanvallers vervalsen eerst de e-mailadressen van personen met de hoogste prioriteit op een werkplek, of van een bureau of bedrijf, enz.

In de verzonden e-mail laten ze het klinken als een do or dye-situatie, waardoor het erg tijdgevoelig klinkt. Als de aanval slaagt, kan het slachtoffer een groot deel van de gevoelige gegevens verliezen en in de problemen komen.

• Contact spammen

Als u Facebook of de laatste naam gebruikt, schakelt u over naar metaverse, dan bent u wellicht op de hoogte van dit type social engineering-aanval. Heb je ooit een bericht ontvangen van een vriend die zegt "bekijk deze video, ik denk dat je erin zit?" Dat is ook een soort virus dat naar alle contacten wordt gestuurd en niet van je echte vriend.

Wanneer u op de link of video klikt, zal malware of andere soorten bedreigingen zich door uw apparaat verspreiden en infecteren.

• Quid pro quo

De eigenlijke betekenis van quid pro quo is om iemand iets te schenken in ruil voor het voldoen aan bepaalde eisen. Op dezelfde manier wordt een tegenprestatie gebruikt als een mechanisme van social engineering-aanvallen.

Stel dat u uw apparaat wilt laten repareren en neem contact op met een IT-specialist die u net op internet hebt ontmoet, omdat de service goedkoper is. De aanvaller 'repareert' vervolgens het apparaat, maar installeert in werkelijkheid schadelijke software op het apparaat van de persoon om het over te nemen of informatie te ontfutselen.

Evenzo kan het iemand zijn die u vertelt dat u een gratis medische controle heeft gewonnen, en om hiervan gebruik te maken, moet u uw gegevens zoals accountinformatie, adressen, wachtwoorden, enz. In ruil daarvoor geven? Je krijgt niets anders dan gestolen informatie.

• Honey Trap

De honingval is meestal een kleverige pot om te voorkomen dat mensen of insecten door de honing worden verleid. In deze omstandigheid is deze social engineering-aanval er echter een waarbij de aanvaller doet alsof hij emotioneel of seksueel betrokken is bij een andere persoon online.

In deze situatie vraagt ​​de aanvaller zijn/haar "partner" om expliciete afbeeldingen of video's te sturen in de hoop deze tegen hen te gebruiken. Zo niet, dan vraagt ​​de aanvaller de persoon om wat gevoelige informatie op te sturen die later kan worden ingewisseld voor geld.

• Afvoer

Als laatste op de lijst met soorten social engineering-aanvallen hebben we Watering Hole. Dit type aanval is gericht op websites of services die een groot aantal gebruikers verzamelen. Wanneer de gebruiker zich aanmeldt bij zijn/haar account, kan alle ingevoerde informatie worden gelogd of opgeslagen op die geïnfecteerde website.

Beveiligingsstrategieën om social engineering-aanvallen te voorkomen

Je hebt nu een volledig beeld van wat social engineering-aanvallen zijn en hun typen. Er komt echter een dag dat u er een of twee tegenkomt, aangezien niet iedereen veilig online is.

Om deze reden hebben we echter ook enkele beschermingsmaatregelen bedacht die deze aanvallen kunnen helpen voorkomen. Dit is wat u tegen deze aanvallen kunt doen:

• Blijf vragen stellen, ook al zijn er geen twijfels

Het is nooit zonde om vragen te stellen, vooral als iemand u om bankgegevens en andere soorten persoonlijke informatie vraagt. Zodra u uw vragen stelt over wat en waarom bepaalde gegevens moeten worden verstrekt, zorg er dan voor dat u goed luistert naar de antwoorden.

• Controleer nogmaals de identiteit van de persoon met wie u praat

Als iemand u e-mails, sms-berichten of telefoontjes stuurt waarin om uw gegevens wordt gevraagd; als ze beweren iemand te zijn die je kent, bijvoorbeeld van de bank of van je bedrijf, zorg er dan voor dat je om de gegevens van de persoon vraagt. Controleer of de persoon echt bestaat, in plaats van in een online zwendel.

• Zoek naar fouten

Niet elke aanvaller is bedreven in de Engelse taal of welke taal dan ook. Zoek naar spel- of grammaticafouten. Controleer op leestekens etc. Als iets niet klopt of niet erg professioneel lijkt, sla het dan over. Als het belangrijk is, wordt er weer contact met je opgenomen.

• Gebruik een VPN-service

Deze maatregel is een van de beste. Ten eerste is een VPN, een afkorting van Virtual Private Network, ontworpen om gebruikers online, hun gegevens en privacy te beschermen.

Er zijn extra voordelen, zoals toegang Amerikaanse Netflix of andere streamingdiensten, maar veiligheid is het belangrijkste voordeel. FastestVPN biedt beveiligingsfuncties die van topklasse zijn. Het kan zelfs helpen voorkomen dat u op willekeurige links van verschillende kwaadaardige pop-upadvertenties klikt.

• Bescherm uw apparaat en software

Een VPN kan helpen uw apparaat of uw browsen te beschermen een extensie ervoor, maar het is niet het enige waarin u geïnteresseerd zou moeten zijn. Gebruik een sterk wachtwoord, antivirus software, 2FA, en andere soorten noodzakelijke voorzorgsmaatregelen. In plaats van alleen in elke browser naar websites te gaan, moet u ervoor zorgen dat u alleen de veiligste browsers die populair zijn.

Concluderen

Klaar is kees. U kent nu enkele soorten social engineering-aanvallen die momenteel gebruikers over de hele wereld treffen. Tegelijkertijd heb je ook inside-kennis over hoe je sommige hiervan kunt aanpakken met onze gids over hoe je beschermd kunt blijven. Hoe dan ook, zorg ervoor dat je waakzaam blijft en maak verbinding met een VPN-service voor betere online bescherming.

Abonneren op de nieuwsbrief

Ontvang de trending posts van de week en de laatste aankondigingen van FastestVPN via onze e-mailnieuwsbrief.

E-mailadres