Social Engineering

Twintig jaar geleden kreeg iedereen dezelfde slechte mail van een “Saoedische prins” die miljoenen beloofde als je bepaalde informatie achterliet. Inmiddels trapt bijna niemand daar nog in. Die tijd is voorbij, en dat is precies het probleem. Cyberaanvallen zijn niet minder geworden, alleen slimmer. Veel slimmer. Waar phishing ooit vooral draaide om slecht geschreven mails met een vaag verhaal, zien we nu gepersonaliseerde aanvallen, deepfake-audio én AI-gegenereerde berichten die nauwelijks van echt te onderscheiden zijn. Dat kennen we als social engineering.

Volgens Remco is social engineering de afgelopen jaren sterk veranderd. “Aanvallers gebruiken openbare informatie, interne structuren en zelfs onze eigen online aanwezigheid tegen ons”. En wie denkt dat een goed spamfilter voldoende is, komt van een koude kermis thuis. Laten we eens inzoomen op wat er precies verandert. En vooral: hoe herken je die nieuwe generatie aanvallen?

Met Remco van Santen, TISO bij Innvolve.

Van bulk-phishing naar social engineering

Phishing begon ooit als bulkproductie. Aanvallers stuurden miljoenen identieke berichten en hoopten dat een paar mensen zouden happen. Weinig moeite, lage opbrengst, maar met genoeg volume toch lucratief. Maar dat werkt niet meer. Mensen zijn alerter, filters zijn slimmer en organisaties zijn beter voorbereid en getraind. Aanvallers moeten zich dus aanpassen om “resultaat” te behalen. Hoe? Ze zijn gaan personaliseren in hun aanvallen.

OSINT

Het klinkt onschuldig: een LinkedIn-profiel, een bedrijfswebsite of een interview in een vakblad. Maar voor cybercriminelen is dit heel veel waard. Openbare informatie (ook wel: OSINT) vormt de basis voor spearphishing. Dat zijn hypergerichte berichten die specifiek op een persoon of functie binnen de organisatie zijn afgestemd. Zo kan iemand die net een nieuwe functie heeft aangekondigd opeens een “welkomstbericht van HR” ontvangen met daarin een link naar een zogenaamd onboardingsportaal. Of een financieel medewerker krijgt een nette mail met interne tone-of-voice, inclusief handtekening en juiste aanspreektitel. Niet omdat de aanvaller je kent, maar omdat je alles zelf online hebt gezet. Dit maakt de content ontzettend geloofwaardig.

CEO-fraude

CEO-fraude bestaat al een tijdje, maar door OSINT en AI wordt het steeds makkelijker én geloofwaardiger. Waar aanvallers vroeger nog moesten gokken naar namen en functies, zien ze nu in één blik wie waar werkt, welke teams er zijn en hoe de besluitvorming loopt.

Met die informatie kunnen ze een perfecte mail of ander bericht opstellen, die precies past bij jouw functie en zelfs situatie waarin je je bevindt. Een paar voorbeelden:

  • Een welkomstbericht van HR;
  • Een mail die lijkt te komen van de CFO;
  • Een Teams-bericht van een “invalmanager”;
  • Of een telefoontje dat dankzij deepfake-audio exact precies als je directeur die vraagt om een spoedbetaling.

En als de directie vaak onderweg is of internationale kantoren heeft, is het al snel aannemelijk dat iemand een keer buiten werktijd, of via een ander kanaal, contact zoekt. Aanvallers rekenen op dat soort aannames.

Phishing en social engineering

Vroeger waren phishingmails heel makkelijk te herkennen aan slechte vertalingen of spelling. “Uw rekening is blokkeerd,” bijvoorbeeld. Maar dat is niet meer aan de orde. AI schrijft inmiddels foutloze, geloofwaardige teksten die volledig zijn afgestemd op bijvoorbeeld taalgebruik en cultuur.

Ook sectorgerichte phishing wordt steeds populairder. Aanvallers weten bijvoorbeeld precies:

  • Welke SaaS-oplossingen in jouw branche veel gebruikt worden;
  • Welke leveranciers typisch zijn voor jouw regio;
  • Welke complianceprocessen gelden binnen jouw sector.

Het resultaat: een e-mail die perfect past bij jouw dagelijkse (werk)situatie. Eentje die niet meer wordt gezien als “spam”, maar je even serieus moet controleren. En dat is meteen de boodschap die we willen meegeven. Denk bijvoorbeeld altijd na of je een bepaalde mail of vraag had kunnen verwachten.

Deepfakes: zien is niet langer geloven

Waar e-mail nog te controleren is, wordt de grens echt gevaarlijk bij deepfake-audio en -video. Een werknemer die een voicemail ontvangt waarin zijn of haar leidinggevende klinkt alsof hij een nieuwe taak geeft. Een belangrijke klant die “in een video” een update vraagt. Allemaal voorbeelden die aantonen dat AI ervoor zorgt dat een aanvaller heel makkelijk een geloofwaardige stem kan genereren op basis van een paar seconden audio. Denk aan audio van een podcast, webinar of short video. AI kan dit combineren met eerder verzamelde OSINT, wat leidt tot een aanval die zelfs goed getrainde medewerkers niet makkelijk herkennen.

“De kans dat medewerkers tóch ergens intrappen wordt groter, juist omdat de aanvallen steeds menselijker en realistischer ogen.”

En daarom trappen we er dus toch nog weleens in. Aanvallen worden menselijker, realistischer én contextgerichter. Dat maakt ze simpelweg effectiever. Het is de combinatie van een overtuigend verhaal met tijdsdruk.

Hoe herken je de nieuwe generatie aanvallen?

Het is lastiger geworden, maar niet onmogelijk. Je herkent moderne phishing en social engineering onder andere aan het volgende:

  1. Onverwachte urgentie
    Een plotseling verzoek dat “direct” moet, vooral buiten werktijden of via ongebruikelijke kanalen
  2. Net iets te specifiek
    E-mails die heel specifiek lijken: de juiste manager, de juiste projectnaam, de juiste tool. Te perfect klopt meestal niet
  3. Verzoek tot ongebruikelijk gedrag
    Een nieuwe betaalprocedure, een wijziging van bankrekeningnummer, of een “tijdelijke workaround” die nooit eerder is benoemd
  4. Een onbekend kanaal
    Een WhatsApp-bericht van de directeur, een privé-gmailaccount van HR, een SMS van een leverancier waar je normaalgesproken alleen via e-mail contact mee hebt
  5. Intuïtie
    Misschien wel de belangrijkste. Als iets voelt als “vreemd” of “net niet”, klopt dat vaak

Wat doe je als organisatie tegen social engineering?

Een phishingtest en awareness training is lang wel voldoende geweest om aanvallen te dekken. Maar helaas is dat al lang niet meer het geval: de verdediging moet meebewegen met het niveau van de aanvallen. Wat is belangrijk om als organisatie sowieso te doen?

  1. Train op scenario’s, niet alleen op e-mails
    Maak deepfake-calls, WhatsApp-fraude en spearphishing na. Hierdoor test je de alertheid van werknemers en maak je ze weerbaarder voor modernere methoden van cyberaanvallen. Waar het misgaat, kan je trainingen op aanbieden
  2. Versterk verificatieprocessen
    Introduceer vaste procedures. Betalingen worden nooit goedgekeurd zonder verificatie via een tweede kanaal. Daarmee dek je meteen het verlies van alertheid dat met tijdsdruk komt
  3. Houd OSINT van je organisatie in de gaten
    Wat staat er online over jullie medewerkers en processen? Wat kun je beperken?
  4. Maak melden makkelijk
    Hoe sneller iemand een aanval meldt, hoe kleiner de schade. Verlaag de drempel en beloon alertheid

Conclusie

Phishing is veel slimmer geworden. De aanvallen zijn veel persoonlijker en menselijker dan ooit. Maar dat betekent niet dat je er niets meer tegen kunt doen. Met de juiste kennis, processen en alertheid kun je ook deze nieuwe generatie aanvallen herkennen en tegengaan. En misschien is dat wel de belangrijkste les. Vertrouw niet blind op technologie, maar blijf altijd kritisch.

We kunnen altijd eens met je meekijken naar de grootste uitdagingen voor jouw organisatie op het gebied van (moderne) cyberaanvallen. Of we denken mee over een goed trainingsprogramma voor je werknemers. Neem gerust contact met ons!

Dit alles valt of staat met het gedrag van je werknemers. Dat maakt de betrokkenheid van gebruikers ook ontzettend belangrijk richting digitale veiligheid. In het volgende blog van deze serie schrijven we over medewerkers intrinsiek betrokken krijgen.

 

 Over de auteur

Remco van Santen is Technical Information Security Officer in het security-team van Innvolve. Voor klanten én intern werkt hij aan sterke cybersecurity-oplossingen om moderne cyberaanvallen geen enkele kans te geven.

 

Benieuwd naar de rest van de serie?

Blog 1. Cybersecurity Awareness – méér dan een jaarlijks traininkje

Blog 3. Cultuur van veiligheid: hoe krijg je medewerkers intrinsiek betrokken?

Blog 4. Security Fatigue: van mensen die afhaken naar processen die ondersteunen

Gerelateerd

Meer innformatie?

Wil je meer weten over Hoe herken je de nieuwe generatie aanvallen?, neem dan contact met ons op.