Is social engineering een gevaar voor mijn bedrijf?

Is social engineering een gevaar voor mijn bedrijf?
Ja. Het vormt een groeiend risico voor alle bedrijven, ongeacht hun omvang. Dit komt doordat de focus ligt op individuele menselijke kwetsbaarheid. We beginnen met de conclusie van dit artikel omdat we er niet genoeg de nadruk op kunnen leggen. Maar we willen natuurlijk dat je geïnteresseerd blijft en verder leest. Daarom verklappen we al dat we je ook nog een duidelijk overzicht gaan bieden van de verschillende vormen van social engineering, in begrijpbare taal. We lichten ook toe hoe je de risico’s voor je bedrijf zoveel mogelijk kan beperken.
Wat is social engineering en waarom is het een risico?
Social engineering draait om het beïnvloeden van mensen zodat ze gevoelige informatie prijsgeven of handelingen doen die beveiligingssystemen ondermijnen. Er wordt vaak gebruik gemaakt van tactieken die inspelen op emoties, tijdsgebrek of dringendheid.
Bedrijven zijn enorm afhankelijk geworden van data en computersystemen. Gelukkig groeit het besef bij de meeste bedrijven dat investeren in cybersecurity een absolute noodzaak is. Ondanks deze positieve evolutie blijft vaak nog het menselijke element de zwakste schakel in de beveiliging van een organisatie. Mensen zijn vatbaar voor beïnvloeding en maken soms fouten. Wanneer die mensen dan toegang hebben tot belangrijke informatie of systemen, dan begrijp je waarom hackers zich zo intensief richten op social engineering.
7 vormen van social engineering
In onderstaand overzicht overlopen we zeven van de meest voorkomende social engineering strategieën die cybercriminelen gebruiken om toegang te krijgen tot data en bedrijfssystemen.
1. Wat is phishing?
Cybercriminelen doen zich voor als (gerenommeerde) bedrijven, overheidsinstanties, collega’s, enzovoort, om namens hen e-mails te versturen. Hun doel is om persoonlijke informatie te ontfutselen, je te verleiden tot het klikken op schadelijke links, of besmette bijlagen binnen te halen.
2. Wat is vishing?
Vishing is eigenlijk phishing per telefoon. Hier proberen oplichters informatie te verkrijgen via telefoongesprekken door zich eveneens voor te doen als iemand anders. Vaak doet men zich voor als bank of overheidsinstantie en probeert men mondeling wachtwoorden of financiële gegevens te ontfutselen.
3. Wat is smishing?
Smishing is phishing via sms-berichten. Net zoals bij phishing e-mails sturen cybercriminelen je valse tekstberichten om je te laten klikken op malafide links of om persoonlijke informatie te delen.
4. Wat is spear phishing of whaling?
Hier gaat het om een “grote vangst”: men richt zich namelijk specifiek op de belangrijke personen in een bedrijf, zoals de CEO of hoge leidinggevenden. Meestal hebben deze personen toegang tot de meest kritieke bedrijfsinformatie én ze beschikken ook nog eens vaak over de hoogste toegangsrechten.
5. Wat is pretexting?
Pretexting is het verzinnen van een geloofwaardig verhaal om iemand te misleiden. Het klassieke voorbeeld hier zijn zogezegde technici van Microsoft die je willen ‘helpen’ met een computerprobleem.
6. Wat is een BEC (Business Email Compromise)?
Hierbij worden e-mailsystemen gehackt om valse betalingsinstructies of andere schadelijke acties te versturen, vaak in naam van bevoegde personen (met hoge functies) binnen het bedrijf.
7. Wat is piggybacking?
Misschien wel de meest opvallende in dit lijstje. Een niet-bevoegde persoon probeert fysiek toegang te krijgen tot afgeschermde ruimtes door mee te liften met een medewerker. Serverruimtes zijn natuurlijk een zeer gewild doelwit. Een goed voorbeeld van deze techniek zijn de experimenten waarbij personen door enkel het dragen van een fluohesje vaak heel ver kunnen binnendringen in een bedrijf.
Risico’s beperken
Je ziet het, er zijn tal van creatieve strategieën die cybercriminelen gebruiken om hun doel te bereiken. Daarom is het belangrijk om naast een perfecte beveiliging op technologisch vlak ook heel oplettend te zijn. En dat geldt voor alle niveaus van het organogram. Iedereen die toegangen heeft, is een doelwit. K-Force kan op elk gebied van cybersecurity helpen en begeleiden.
Preventieve en proactieve maatregelen rond cybersecurity
Preventieve en proactieve maatregelen rond cybersecurity op technologisch vlak
Het is belangrijk om op technologisch vlak zo veel mogelijk preventief uit te filteren. Dit kan door bv. een goede beveiliging van je mailboxen. Zo kunnen aanvallen via social engineering gedetecteerd en voorkomen worden, nog voor ze in de inbox terecht komen.
Met onze secured workplace oplossingen zit je wat dat betreft al goed.
We hopen dat je na het lezen van dit artikel (nog meer) inziet dat cybercriminaliteit continu evolueert en dat je verdediging mee moet evolueren. Onze security experts zijn continu in de weer om er achter de schermen voor te zorgen dat onze klantomgevingen zo goed mogelijk beveiligd zijn. Daarnaast loont het om op regelmatige basis een pen test en/of volledige security audit te laten uitvoeren. K-Force organiseert audits om je complete beveiliging overzichtelijk in kaart te brengen en in vraag te stellen.
Preventieve en proactieve maatregelen rond cybersecurity op menselijk vlak
Alle (broodnodige) ICT beveiliging ten spijt, is het vaak een medewerker die op een verkeerd linkje klikt, een onveilige bijlage opent of erger, betaal- of logingegevens invoert op een malafide website. Het is dus van groot belang om die “zwakste schakel” zo goed als mogelijk te wapenen tegen alle nieuwe gevaren. Dit bijvoorbeeld kan door het regelmatig organiseren van cybersecurity trainingen in groep. K-Force beschikt hiervoor over experts in de materie die regelmatig dergelijke sessies organiseren.
Een zeer goede aanvulling, en in bepaalde gevallen zelfs onmisbaar, is om alle medewerkers continu scherp te houden met individuele cybersecurity trainingen en simulaties gebaseerd op hun specifiek profiel. Dit draagt in nog grotere mate bij tot het verkrijgen van een bedrijfscultuur waarbij iedereen zich bewust is van best best practices op het gebied van cyberveiligheid.
Wij bij K-Force doen dit intern ook. Het begint met een nulmeting die je direct een meetbaar inzicht geeft in het niveau van veiligheid. Meer concreet krijg je bv. te zien hoeveel medewerkers op een valse link hebben geklikt.
Gelukkig hebben we hiervoor geen collega nodig die één voor één al die simulaties en trainingsmateriaal moet opzetten, maar gebruiken we hiervoor een geautomatiseerd platform. Dit zorgt voor een uiterst gebruiksvriendelijke ervaring voor de klant.
Vragen of even sparren?
In digitale tijden houden wij nog steeds het meest van persoonlijk contact. Je bent dus zeker welkom voor een koffie om rustig jouw situatie te bekijken.
Ons team van account managers is klaar om je te helpen

Christian

Jordan

Jurgen

Didier

Jean-Marc

Kaj

Kurt
Hoe kunnen we helpen? Contacteer onze experts.
Of bel ons!
