Social Engineering

Beveiligingsbewustzijn onderzocht

Met onze social engineering testen krijgt u inzicht in het niveau van beveiligingsbewustzijn van uw medewerkers of collega’s. Tijdens onze test laten wij medewerkers zelf ervaren hoe een aanval verloopt, zodat zij dit in de toekomst beter kunnen herkennen en voorkomen!

Gebruikte methoden

Hieronder lichten wij een aantal methoden die wij regelmatig inzetten kort toe. Vaak wordt tijdens de social engineering test een aantal aanvalsmethoden gecombineerd om een optimaal effect te bereiken.

(Spear)phishing

Criminelen investeren steeds meer tijd en aandacht in het uitwerken van een phishing campagne. Het wordt hierdoor steeds moeilijker om phishing e-mails te herkennen. Vooral wanneer gerichte (spear-phishing) e-mails  naar een of meerdere medewerkers worden gezonden blijkt het percentage slachtoffers hoog te zijn. Het risico van deze e-mails is infectie met malware zoals een cryptolocker, het onbedoeld invullen van inloggegevens op een vervalste website of het opdracht geven tot een betaling (CEO-fraude).

Bijlagen met beacons

Wij kunnen de phishing campagne uitbreiden met aangepaste documenten waarin een beacon is opgenomen. Bij het openen van het document geeft het document een signaal naar onze server, zodat inzichtelijk wordt of medewerkers ontvangen documenten openen. Hiermee wordt een aanvalsvector van een professionele aanval gesimuleerd.

Vishing

Vishing, ofwel voice-phishing, is een vorm van social engineering die per telefoon wordt uitgevoerd. Door zich voor te doen als iemand anders en het vertrouwen van het slachtoffer te winnen, bereikt de aanvaller zijn doel. Dat doel kan het verkrijgen van vertrouwelijke gegevens zijn, zoals inloggegevens voor het bedrijfsnetwerk of het banksaldo van een klant. Maar ook kan het slachtoffer malware installeren op verzoek van de aanvaller, waardoor deze toegang krijgt tot het bedrijfsnetwerk.

Messaging en social media

Veel organisaties bieden messaging aan hun klanten, bijvoorbeeld via WhatsApp of Skype. Daarnaast gebruiken medewerkers vaak producten zoals Skype for Business voor onderlinge communicatie. Ook zijn veel organisaties actief op social media, bijvoorbeeld Facebook en Twitter. Via al deze kanalen kunnen wij gesimuleerde aanvallen uitvoeren tegen uw organisatie.

Mystery man

Wij kunnen social engineering combineren met een fysieke pentest. Hierbij maken wij gebruik van verschillende methoden en technieken om toegang te krijgen tot uw vertrouwde of beschermde locaties. Onderdeel van het mystery man bezoek is het observeren van de reacties van de medewerkers op de aanwezigheid van een onbekend persoon.

USB-keys

Een klassieke aanval is het achterlaten van USB-keys op een plek waar deze door uw medewerkers of collega’s worden gevonden. In de praktijk blijkt een groot deel van de medewerkers deze USB-key in de computer te steken en de bestanden te openen. Meestal wordt de computer van het slachtoffer hierdoor besmet met malware die de aanvaller toegang geeft tot het bedrijfsnetwerk. Wij kunnen deze aanval simuleren met documenten waarin een beacon is opgenomen.

Terugkoppeling van resultaten

Wij adviseren de social engineering aanvallen te combineren met een security awareness workshop. De uitkomsten van de gesimuleerde aanval worden direct gekoppeld aan onze adviezen. In de praktijk zorgt dat voor een betere acceptatie en positief leermoment. Natuurlijk is het ook mogelijk om de resultaten in de vorm van een rapportage te ontvangen. Hierbij maken wij zoveel mogelijk gebruik van verkregen beeldmateriaal.

 

Benieuwd naar hoe wij u kunnen ondersteunen? Onze experts staan voor u klaar Maak nu een afspraak