Hacken gebeurt niet alleen op technisch niveau. Steeds vaker dringen kwaadwillende hackers het netwerk van bedrijven binnen dankzij zwakke plekken bij… de mens zelf. Dit fenomeen wordt social engineering of social hacking genoemd. Welke vijf vormen van zulke aanvallen passen indringers het meeste toe? En hoe kun je je ertegen wapenen? Ik bespreek het in deze blog.

1. Achtervolging (Tailgating)

Stel: je wil net het bedrijf waarvoor je werkt binnenlopen als een bezorger van een postonderneming vanachter opduikt en vraagt of je de deur voor hem wil openhouden. Hij komt een pakketje afleveren. Zegt hij. En denk jij. Hij draagt immers bedrijfskleding en heeft een doos in zijn hand. Jij, goed van vertrouwen als je bent, doet dat. Het is immers de postbode maar. En daar gaat het fout. Die vriendelijke man is helemaal geen postbode, maar doet zich alleen zo voor om binnen te dringen. In werkelijkheid is hij een hacker. Hij heeft maar één doel voor ogen: toegang tot het bedrijfsnetwerk verkrijgen om gegevens te stelen.

Deze gewiekste manier van inbraak – eerst in de fysieke omgeving, vervolgens in de digitale omgeving – met behulp van ‘achtervolging’ wordt ‘tailgating’ genoemd. Het is een van de meest voorkomende vormen van social engineering, waarbij hackers in eerste instantie misbruik maken van kwetsbaarheden van de mens. Hacken op menselijk niveau dus.

2. Over de schouder meekijken (Shoulder surfing)

Terug naar de zogenaamde pakketbezorger. Hij is binnen, trekt snel zijn bedrijfspolo uit en beweegt zich onopgemerkt door het pand. Het is een groot bedrijf, dus hij valt niet snel op. Stiekem kijkt hij over de schouder van een medewerker mee als die zijn wachtwoord invoert om het systeem in te komen. Het is de tweede veelvuldig toegepaste vorm van social hacking: shoulder surfing. Met de gegevens in handen kan de hacker daadwerkelijk toeslaan.

3. Smoes om wachtwoord te bemachtigen (Pretexting)

De hacker doet zich via de telefoon voor als medewerker van de IT-dienstverlener van een bedrijf. Hij meldt dat hij het wachtwoord nodig heeft voor een software-update. De gebelde werknemer denkt: een vertrouwde naam, en trapt erin. Deze beproefde social hacking-methode heet pretexting.

4. Misbruik van nieuwsgierigheid (Dropped drive attack)

Ook misbruik van de nieuwsgierigheid van de mens komt voor. Voorbeeld: de hacker gooit een geïnfecteerde usb-stick op de bedrijfsparkeerplaats. Een medewerker vindt ‘m, is benieuwd wat erop staat, steekt ‘m in zijn laptop en voor hij het weet verspreidt het virus zich razendsnel over het systeem.

5. Nabootsen openbaar, onbeveiligd netwerk (Wifi-hijacking)

De laatste in de top 5 van methodes van social hacking is wifi-hijacking. Stel: je maakt gebruik van een openbaar, onbeveiligd netwerk in een restaurant. Een hacker heeft dat netwerk nagebootst en wel zo sterk, dat je die verbinding kiest. Zonder dat je het weet ben je verbonden met zijn apparatuur. Het is slechts een kwestie van tijd voordat hij beschikt over wachtwoorden of gevoelige informatie.

Wees voorzichtig!

Gelukkig kun je voorkomen dat je in één van deze menselijke valkuilen stapt. Laat nooit iemand die je niet kent zomaar het bedrijf binnen, hoe vriendelijk hij of zij ook is. Het is niet asociaal om iemand even bij de receptie te laten wachten. Kijk altijd goed om je heen bij het invoeren van wachtwoorden: wie kijkt er mee? IT-dienstverleners horen normaliter niet om een gebruikerswachtwoord te vragen via de telefoon. Gebeurt dat wel, check dan met een belletje naar het bedrijf of het klopt dat ernaar gevraagd wordt. Stop nooit een vreemde usb-stick in je laptop of pc. Wanneer je denkt je eigen usb-stick teruggevonden te hebben, dan kun je die altijd bij ons laten checken op virussen. En wat wifi-hijacking betreft: maak liever geen verbinding met openbare netwerken. Doe je het wel, gebruik dan een VPN-netwerk. Controleer bij het bezoeken van een website of het veilige, groene slotje links boven in de adresbalk verschijnt. Maar bovenal: wees voorzichtig, denk logisch na bij elke handeling die je uitvoert!