Medewerkers bewust maken van social engineering is essentieel voor het waarborgen van cybersecurity voor bedrijven. Als eindgebruikers de belangrijkste kenmerken van deze aanvallen kennen, is het veel waarschijnlijker dat ze ervoor kunnen zorgen dat ze niet vallen. De huidige gegevensbedreigingen discrimineren niet; bedrijven van elke omvang zijn vatbaar voor aanvallen. Het midden- en kleinbedrijf (MKB) is echter vaak minder voorbereid op het omgaan met beveiligingsrisico's dan zijn grotere tegenhangers. De redenen hiervoor variëren van bedrijf tot bedrijf, maar uiteindelijk komt het erop neer dat het MKB vaak minder middelen heeft om zich aan cyberveiligheidsinspanningen te wijden.
$config[code] not foundHier zijn een paar schijnwerpers op het gebied van social engineering
- phishing: De leidende tactiek gebruikt door ransomware hackers van vandaag, meestal geleverd in de vorm van een e-mail, chat, webadvertentie of website die is ontworpen om zich uit te geven voor een echt systeem en organisatie. Vaak gemaakt om een gevoel van urgentie en belangrijkheid te leveren, lijkt de boodschap binnen deze e-mails vaak van de overheid of een grote onderneming te zijn en kan het logo's en merknamen bevatten.
- baiting: Net als phishing, betekent het lokken iets aantrekkelijks aanbieden aan een eindgebruiker in ruil voor privégegevens. Het "lokaas" is er in vele vormen, zowel digitaal, zoals een muziek- of filmdownload, als fysiek, zoals een branded flashdrive met het label "Executive Salary Summary Q3 2016" dat op een bureau achterblijft voor een eindgebruiker om te vinden. Zodra het lokaas is genomen, wordt schadelijke software rechtstreeks op de computer van het slachtoffer afgeleverd.
- Quid Pro Quo: Net als bij het lokken, betekent een tegenprestatie een verzoek om het uitwisselen van privégegevens, maar voor een dienst. Een medewerker kan bijvoorbeeld een telefoontje ontvangen van de hacker die is geposeerd als een technologie-expert die gratis IT-ondersteuning biedt in ruil voor inloggegevens.
- smoes: Is wanneer een hacker een vals gevoel van vertrouwen creëert tussen zichzelf en de eindgebruiker door zich voor te doen als een collega, professionele collega of een autoriteit binnen het bedrijf om toegang te krijgen tot privégegevens. Een hacker kan bijvoorbeeld een e-mail of een chatbericht verzenden dat zich voordoet als hoofd van IT-ondersteuning die privégegevens nodig heeft om te voldoen aan een bedrijfsaudit - dat is niet echt.
- tailgating: Een niet-geautoriseerde persoon volgt een medewerker fysiek naar een besloten bedrijfsterrein of -systeem. Het meest gebruikelijke voorbeeld hiervan is wanneer een hacker een medewerker oproept om een deur voor ze open te houden omdat ze hun RFID-kaart zijn vergeten. Een ander voorbeeld van 'tailgating' is wanneer een hacker een medewerker vraagt om een privé-laptop een paar minuten 'te lenen', waarbij de crimineel snel gegevens kan stelen of kwaadaardige software kan installeren.
Op veilig spelen
Zorg ervoor dat alle medewerkers op hun hoede zijn voor e-mails met een bijlage die ze niet verwachten, vooral als de bijlage een Microsoft Office-bestand is. Voordat u op iets klikt, moet u ervoor zorgen dat ze met de afzender bevestigen (via telefoon, sms, afzonderlijke e-mail) wat deze is voordat u iets opent of klikt. De medewerkers van vandaag zijn elke dag de hele dag met internet verbonden, om mee te communiceren collega's en stakeholders, kritische informatie delen en van site naar site springen. Met hacking, datalekken en ransomwareaanvallen zijn het van essentieel belang dat alle bedrijven plannen maken voor het ergste, met verplichte cyberbeveiligingstraining voor alle medewerkers en met de aanbevolen oplossingen voor het mitigeren van de risico's.
Foto via Shutterstock