Uiteraard moet u tal van technische maatregelen nemen om uw IT-security op punt te zetten, maar uiteindelijk hangt het vaak van uw medewerkers af of uw organisatie het slachtoffer wordt van cybercrime. Social hacking of social engineering is de moderne vorm van cybercrime die focust op de zwakste schakel in IT-security: de eindgebruiker.
In het verleden kon u vrij eenvoudig een phishing mail detecteren, bijvoorbeeld aan de hand van een vreemd e-mailadres met speciale karakters. Maar ook hackers worden steeds slimmer. Vandaag versturen cybercriminelen steeds meer frauduleuze e-mails via accounts van gekende contactpersonen in uw bedrijf of bij één van uw klanten. Awareness rond informatieveiligheid is dan ook enorm belangrijk.
Uitdaging: 6 vragen om social hacking te herkennen (ook als de e-mail van gekende personen komt)
Hoe kan u een social hacking e-mail herkennen? Stel bij uzelf de volgende zes vragen en wees altijd alert.
1) Verwacht u de e-mail?
Stuurt een klant na zes maanden radiostilte uit het niets een e-mail met een rapport? Dan moet u zich de vraag stellen waarom hij deze mail nu stuurt. Met andere woorden: verwacht u de e-mail? Indien niet, dan is alertheid aangewezen.
2) Moet u op een link klikken?
Hackers proberen eindgebruikers te verleiden om op een link te klikken. Deze links kunnen verwijzen naar externe bronnen, maar evengoed naar 'zogezegd' bekende tools zoals OneDrive of Teams. Indien de afzender van de e-mail vraagt om op een link te klikken, wees dan op uw hoede. Voor u het weet proberen hackers uw paswoord te ontfutselen of uw data te encrypteren.
3) Moet u een paswoord ingeven?
Klikt u toch op een link en wordt er vervolgens gevraagd om uw gebruikersnaam en paswoord in te geven? Doe dit nooit, tenzij u er absoluut zeker van bent dat dit een normale stap is in het proces. Hackers bouwen dergelijke inlogschermen (bijvoorbeeld Microsoft Office365 Login) namelijk identiek na en proberen zo de logingegevens van uw mailbox te verkrijgen.
Wanneer de hacker deze te pakken krijgt kan hij onmiddellijk inloggen en vanuit uw mailbox phishing mails naar al uw contacten (klanten, prospecten, leveranciers,...) sturen. Met reputatieschade als gevolg.
4) Is de e-mail 'dringend'?
Heeft de boodschap van de e-mail een 'dringend karakter'? Wees dan extra alert. Het woordje 'dringend' behoort tot het typische vocabularium van hackers. Wacht desnoods af. Indien het echt dringend is, zal u dit ook op een andere manier vernemen van uw contactpersoon.
5) Wordt uw 'nieuwsgierigheid' getriggerd?
Mensen zijn van nature uit nieuwsgierig. Als e-mails duidelijk uw nieuwsgierigheid proberen te triggeren, wees dan extra waakzaam en laat u niet vangen. Typisch zijn 'clickbait' titels met misleidende inhoud.
6) Gaat het om centen?
Wordt er over centen gesproken? Of wordt er zelfs een overschrijving gevraagd? Dan moeten er alarmbellen afgaan. Geld verdienen is het uiteindelijke doel van de hackers. Zij focussen zich doorgaans in eerste instantie op het management en medewerkers van de boekhoudafdeling.
Actie: B & B Buikgevoel en bellen
Krijgt u een e-mail die u niet verwacht? Beroep u dan op bovenstaande zes vragen én ga af op uw buikgevoel. Is er enige twijfel bij een e-mail van één van uw contactpersonen? Vraag geen extra informatie via e-mail of het telefoonnummer in de e-mail, maar bel deze persoon via het gekende telefoonnummer. Hebt u geen telefoonnummer van uw contact? Bel dan het algemeen nummer van het bedrijf dat u vindt op hun website en vraag naar de betrokken persoon.
Niet enkel via e-mail
Hoewel e-mail nog steeds het favoriete kanaal is van hackers, laten ze zich ook gelden via andere kanalen zoals LinkedIn, Facebook en sms. Hier moet u op dezelfde manier alert zijn.
Vandaag zijn er bovendien heel wat oplichters actief die iemand opbellen vanop een buitenlands nummer (bijvoorbeeld Italiaans nummer +39) en dan onmiddellijk inhaken. Wie terugbelt krijgt zogezegd een beltoon te horen, maar eigenlijk hoort u een bandje en belt u naar een duur betaalnummer.
Kent u het telefoonnummer niet? Check het eens op Google. Is het een buitenlands nummer dat u niet kent? Bel dan niet terug.
Meer info
Meer info over IT-security, andere trends in cybercrime of het beschermen van uw Office 365 omgeving? Of wil u meer weten over ISO 27001, de internationale norm rond informatieveiligheid? Contacteer gerust de experten van Orbid, wij helpen u graag verder.