Breng jouw risico’s op een hack in kaart met Social engineering onderzoek

Feit: 100% van de bedrijven krijgt te maken met cybercriminaliteit. Honderd procent: dat is dus ieder bedrijf. Ook dat van jou! Want ga maar na, ook bij jouw organisatie is wel eens een phishingbericht of ransomware mailtje binnengekomen toch?

Met social engineering onderzoek brengen we de risico’s op een hack in kaart.

Waarom wordt er gehackt?

Het is goed om te realiseren dat cybercriminelen vaak vanuit de volgende intenties handelen:
+ 95% van de aanvallen is niet doelgericht op een persoon
+ het doel van de hacker is bijna altijd financieel gewin
+ het verkrijgen van concurrentiegevoelige informatie
+ het plegen van identiteitsfraude
+ en afpersing

We zien helaas nog steeds dat de weerbaarheid van organisaties achterblijft op de snelle groei van deze dreiging, dus de kans dat een hacker slaagt, is relatief groot.

Social engineering maakt misbruik van de mens als zwakste schakel

Social engineering is een techniek waarbij een cybercrimineel computersystemen probeert aan te vallen via de zwakste schakel in de computerbeveiliging, namelijk de mens. Criminelen proberen vertrouwelijke informatie via medewerkers te verkrijgen. Ze spelen daarbij gehaaid in op menselijke eigenschappen zoals vertrouwen, nieuwsgierigheid, angst, hebzucht en onwetendheid.

Verder toont onderzoek aan dat bijna alle werknemers (92%) het volste vertrouwen hebben in de technische beveiligingsmaatregelen die hun werkgever heeft geïnstalleerd. Werknemers gaan er dan ook vanuit dat zij zelf vrijwel niets hoeven te doen als het gaat om security op de werkvloer. Daar schuilt dan ook direct het gevaar: veel veiligheidsincidenten ontstaan door onwetendheid en onachtzaam handelen door eigen medewerkers.

Daarom is het belangrijk om uw medewerkers te trainen op het signaleren van mogelijke dreigingen en ze bewust te laten worden van hun rol hierin. 

Eye opener: social engineering onderzoek

Via een zogenaamd social engineering onderzoek brengen we de risico’s en aandachtspunten van de menselijke factor van informatiebeveiliging bij jouw organisatie in kaart. Wij onderzoeken hiermee in hoeverre medewerkers gemanipuleerd kunnen worden om vertrouwelijke informatie af te geven. De technische factor laten wij hierbij buiten beschouwing.

Zo kunnen wij bijvoorbeeld testen of personeel:
+ Verleid kan worden om op links te klikken of bijlages te openen in een e-mail.
+ Zorgvuldig omgaat met vertrouwelijke data en bestanden.
+ Alert is, als gevraagd wordt om netwerk- en/of inloggegevens te delen.
+ Op de hoogte is van bekende en minder bekende ‘human hacking’ methoden.

De meest gebruikte hackingmethodes in kaart

In overleg kunnen wij een aantal veelgebruikte methodes testen, bijvoorbeeld:

Phishing e-mail
De meest populaire vorm van internetfraude waarbij via e-mail wordt ‘gevist’ naar inlog- of andere gegevens. Wij stellen een risicoloze phishingmail op die binnen de organisatie wordt verstuurd. Vervolgens monitoren we het percentage medewerkers dat de mail opent, op links klikt en/of gegevens achterlaat.

Sms phishing
Criminelen gebruiken steeds vaker sms, WhatsApp of Facebook om slachtoffers te phishen. Veel ontvangers verwachten deze vorm van phishing niet, waardoor het in de praktijk erg succesvol blijkt. Wij versturen een veilige phishing sms, waarbij we doen alsof de ontvanger een voicemail (1233)* heeft ontvangen. De sms bevat een “besmette” link die verwijst naar een landingspagina. Vervolgens monitoren we het aantal kliks.

* Dit vervalsen wordt ‘spoofen’ genoemd: een vervalsing van een op het eerste oog betrouwbare afzender. Hiermee proberen criminelen het vertrouwen van de ontvanger te winnen en hem of haar vervolgens schadelijke links of bijlagen te laten openen

Mystery guest
Een van onze onderzoekers komt langs op locatie, bijvoorbeeld in de rol van printermonteur. We brengen in kaart in hoeverre: er ongeautoriseerd toegang tot het pand en werkruimtes verkregen kan worden, werkstations vergrendeld zijn, inloggegevens achterhaald kunnen worden en toegang is tot vertrouwelijke informatie en dossiers van printers, papierbakken en bureaus.

Vishing: Telefonische phishing
Bij telefonische phishing (vishing genoemd), wordt gekeken in welke mate gegevens of informatie wordt afgegeven als uw medewerkers benaderd worden door één van onze onderzoekers die zich bijvoorbeeld voordoet als ICT-medewerker. Door het vertrouwen te winnen van de betreffende medewerker wordt gekeken in hoeverre onze “crimineel” vertrouwelijke informatie kan achterhalen.

USB-test
Het komt nog steeds voor dat USB-sticks en harde schijven gedeeld en uitgewisseld. Dit kan leiden tot verlies of infectie van vertrouwelijke documenten en data. Door risicoloze USB-sticks te verspreiden of ‘per ongeluk’ te laten vinden kunnen wij monitoren hoeveel werknemers verleid kunnen worden om een USB-stick, die geïnfecteerd had kunnen zijn met malware, aan te sluiten op hun werkstation.

Meer weten over het risico op social engineering voor jouw organisatie?

Wij helpen organisaties met hun digitale transformatie door het creëren van een moderne, op cloud gebaseerde ICT-omgeving. Een werkplek die gericht is op de standaarden van nu, maar ook flexibel en aanpasbaar is ten aanzien van toekomstige ontwikkelingen. Hierin staat een optimale afstemming tussen slim samenwerken en de juiste beveiliging centraal.

Wij bieden oplossingen waarmee medewerkers sneller, makkelijker en veiliger kunnen samenwerken. Daarbij zetten wij in op securitymaatregelen die gebaseerd zijn op drie pijlers: de techniek, proces maar bovenal de mens. Wij nemen onze klanten daarin bij de hand en begeleiden hen in hun route naar het bedrijf van de toekomst, in een tempo dat past bij de klant. Tijd voor een kop koffie?