‘Social engineering’ is ook voor online bedrijven een urgent thema

Binnen het brede thema van cybersecurity krijgt ‘social engineering’ terecht heel wat aandacht. Want hoewel je bij beveiliging vooral aan technologie denkt, is de ‘menselijke firewall’ van wezenlijk belang. Wat is social engineering eigenlijk en waarom is dit voor online en e-commercebedrijven een thema?

Social engineering is de zachte kant van de security. Bij computerveiligheid denken we aan firewalls en het hebben van de beste antivirusprogramma’s. Maar er is ook een menselijke component. Wordt de mens verleid tot het negeren van bestaande procedures en afgeven van persoonlijke informatie, dan verliezen zelfs de beste technieken in ieder geval een deel van hun werking.

‘Saus van verleiding’

Beschouw social engineering als een ‘saus van verleiding’ om te bereiken wat een hacker met alleen technologie niet lukt. In de modernste variant van social engineering wordt techniek daarom gecombineerd met die verleiding. Een mail die daadwerkelijk van de baas afkomstig lijkt, lokt uit tot het klikken op een link naar malware. Een phishingmail van een bank vraagt wegens ‘veiligheidsredenen’ een wachtwoord te veranderen. Door middel van een officieel ogend bericht vraagt een ‘leverancier’ zijn betaalgegevens te wijzigen in de administratie.

Eenmaal verleid, gaat er niet direct iets zichtbaar mis. Social engineering is meestal niet het begin of einde van een aanval. Het is een kleine tussenstap. Een achterdeur wordt opengezet of informatie wordt verzameld. Dat kan een wachtwoord zijn, maar ook iets heel onschuldigs. Met die informatie kan een kwaadwillende iemand in een later stadium op zijn gemak stellen – ‘Doe je ook aan racefietsen? Wat een toeval’ – om vervolgens nog meer informatie te ontfutselen. Het totaalplaatje zorgt ervoor dat een wachtwoord uiteindelijk makkelijker is te kraken of dat iemand die mail met malware toch vertrouwt en niet in de spambox laat staan.

Met andere woorden: social engineering is een menselijke manier om de poorten te openen die security-experts gesloten hebben. Soms hebben kwaadwillenden er niet eens een doel mee voor ogen. Ze proberen een beeld te krijgen van de organisatie – wie werkt waar, heeft welke machtiging en kan van waarde zijn. Het heet ‘phishing’ met een reden. En juist de kleine stappen die worden gezet, zijn moeilijk terug te vinden in een beveiligingslog.

Actueel thema onlinebedrijven

Veel van de ‘data breaches’ waar onlinebedrijven mee te kampen hebben, zijn niet het resultaat van verbluffend hackwerk. Bijna altijd is er sprake van menselijk falen. Dat varieert van zwakke wachtwoorden, mismanagement van cloudapps, het niet updaten van e-commerceplatformen tot onoplettendheid.

Ook bij bedrijven in retail en e-business hebben zich de afgelopen jaren situaties voorgedaan waar de mens de zwakste schakel bleek. In 2014 werd online veilinghuis eBay slachtoffer van één van de grootste digitale inbraken ooit. Gegevens van niet minder dan 145 miljoen accounts zijn hierdoor in handen van hackers beland. Ze beschikten hiermee over namen, adressen, geboortedata, telefoonnummers, e-mailadressen en versleutelde wachtwoorden. Gelukkig werden financiële gegevens op een andere plek opgeslagen. De hackers waren met de logins van een aantal medewerkers het eBay-netwerk binnengedrongen.

Een jaar later kwam Starbucks om ogenschijnlijk dezelfde reden in het nieuws. Anders dan in het geval van eBay was er echter geen sprake van een daadwerkelijke hack. Er bleek bij accounts van mensen die de Starbucks-app gebruikten te zijn ingebroken. Hoogstwaarschijnlijk waren zwakke wachtwoorden daarvan de oorzaak. Omdat de app ook een digitale portemonnee is en mensen er hun betaalkaart aan koppelen, werden deze met de ‘auto-load’ functie leeg getrokken. Opnieuw bleek de mens de zwakste schakel. Starbucks zelf was niets te verwijten, maar zag zich wel genoodzaakt de schade te vergoeden om reputatieschade te voorkomen.

Wat kun je doen als bedrijf?

• Het beste is om de eigen organisatie te testen. Uitlokking is in veel situaties niet wenselijk, maar begin door te kijken of medewerkers hun Facebookprofiel ‘open’ hebben staan. Kleine stukjes privéinformatie zijn al bruikbaar. Is iemand op vakantie of heeft diegene een ziek kind en is daarom thuis? Dat geeft een hacker al aanleiding om telefonisch te hengelen. ‘Ik probeer in systeem ‘X’ te komen, maar het lukt niet. ‘Y’ is net lekker op vakantie, die helpt me normaal gesproken. Kun jij zien wat ik verkeerd doe?’
• Informeer zowel medewerkers als klanten over veelgebruikte trucs. Geef medewerkers bovendien altijd een ‘get-out’. Medewerkers willen beleefd zijn en zijn bang klanten voor het hoofd te stoten. Breng hen bij zich altijd te beroepen op ‘sorry, we mogen niks zeggen over collega’s’. Geef procedures zo vorm dat het niet raar is om naar een verificatie te vragen. Ook als een zogenaamde meerdere vist, kan er worden teruggegrepen op die procedure.
• Laat zien dat je zelf ook voorzichtig omgaat met gegevens. Niet zelden treffen we accountmanagers die aan de ene klant onbedoeld informatie doorspeelt over een andere. ‘Wie garandeert me dat hij niet ook over mij dat soort dingen vertelt?’ Klanten vertrouwen je informatie toe, geef het goede voorbeeld.
• Richt altijd een plek in waar medewerkers en klanten verdachte situaties kunnen melden – bijvoorbeeld op security@bedrijf.nl. Moedig ook aan melding te maken van iedere gekke vraag. Er moet immers iemand in staat zijn tijdig een patroon te herkennen in vreemd gedrag. Alleen techniek is niet voldoende, de menselijke firewall moet echt worden beschouwd als extra beveiligingslaag.