Social engineering: oude wijn in nieuwe zakken

  1. 21 dec 2015
  2. 0 reacties

Het online bankieren is al lang goed ingeburgerd, maar het blijkt nog steeds een interessante bron van inkomsten te zijn voor lieden met minder goede bedoelingen. Social engineering blijkt een succesvolle manier om online gebruikers geld afhandig te maken. Het is een techniek die mensen ertoe aanzet gevoelige informatie prijs te geven. Een concept dat nog steeds effectief en doeltreffend is.

De bekendste en meest gebruikte manier van social engineering is phishing. Daarbij wordt een e-mail verstuurd onder valse voorwendselen en wordt gevraagd om bijvoorbeeld logingegevens of creditcarddetails te delen.

Volgens een rapport van Kaspersky Lab was 37% van de pishingaanvallen gericht op financiële instellingen in het eerste kwartaal van 2015. Bij 21% van de aanvallen probeerde men om financiële informatie los te peuteren en 17% mikte op sociale netwerken. De massamails met slecht geformuleerde boodschappen in gebrekkig Nederlands zijn intussen genoegzaam bekend onder de internetgebruikers, dus het aantal geopende e-mails ligt op slechts 3%. Echter, als hackers de moeite nemen om de aanhef te personaliseren en persoonlijke informatie in de e-mail te verwerken - het zogenaamde spearphising - dan stijgt het aantal spectaculair. Maar liefst 70% van de spearphishing e-mails wordt geopend.

Een andere efficiënte techniek is het zogenaamde vishing, waarbij het slachtoffer wordt opgebeld door iemand die zich voordoet als een werknemer van de bank. 23% van de mensen die werden gecontacteerd, gaf gevoelige informatie door. Bijna 40% kon niet aangeven of het telefoontje eerlijk dan wel malafide was. Wij mensen houden er immers van om iemand te vertrouwen. Daar spelen phishingaanvallers handig op in. Als de persoon aan de andere kant van de lijn rustig, vriendelijk en beleefd is, dan stellen wij met plezier vertrouwen in hem of haar en geven we confidentiële informatie door.

Pishingaanvallen kosten organisaties vaak miljoenen. Gartner schat dat banken in de Verenigde Staten jaarlijks 2,8 miljard dollar verliezen aan fraudegevallen veroorzaakt door phishing. Sommige kosten kunnen berekend worden, maar door kosten gelinkt aan imagoverlies lopen die bedragen in werkelijkheid veel hoger op.

De gebruiker blijft de zwakste schakel

Hackers proberen op de gemakkelijkste manier hun doel te bereiken. Ze plegen dus geen aanval op de technologie, omdat ze weten dat het veel te moeilijk is om algoritmes en beveiligingssystemen te kraken. In de plaats daarvan misbruiken ze het vertrouwen en de onwetendheid van de online gebruiker. Alle ontradings-, waarschuwings- en informatiecampagnes ten spijt blijft de gebruiker de zwakste schakel in het beveiligingsverhaal.

Ten tweede kan de gebruiker maar moeilijk de authenticiteit van de boodschap verifiëren. Een hacker kan dus een frauduleuze transactiecontext tonen aan de gebruiker door hem om te leiden naar een valse webpagina. Vaak zien gebruikers het verschil niet tussen de echte website van de bank en een valse website van een hacker. Als de gebruiker een boodschap krijgt die lijkt op die van de bank, dan stelt hij de authenticiteit niet in vraag. Daarom blijven social engineeringaanvallen zo succesvol.

De bank neemt het roer opnieuw in handen

Om social engineeringaanvallen te voorkomen, komt het erop aan om de controle over de data te verschuiven van de zwakste schakel - de gebruiker - naar de bank. Het is de bedoeling dat enkel de bank de verrichting kan initiëren, waardoor de beslissing uit de handen van de gebruiker wordt genomen. Dat kan met zogenaamde visuele transactie signing. Deze technologie maakt gebruikt van een geavanceerde, gekleurde QR-code. Op vraag van de gebruiker, toont de bank deze QR-code op het scherm van de computer, tablet of smartphone van de gebruiker. Het cryptogram wordt berekend op basis van de transactie-informatie, zoals het bedrag, de accountgegevens van de ontvanger en informatie over het gebruikte toestel. Deze data wordt geëncrypteerd en kan enkel worden ontcijferd door de gebruiker die de juiste decryptiecode heeft. Dat wil zeggen dat de gekleurde QR-code een persoonlijk bericht is en niet opnieuw kan worden gebruikt.

Daarnaast is het principe What You See Is What You Sign (WYSIWYS) belangrijk. De informatie van de transactie wordt voor het tekenen ter bevestiging naar de gebruiker gestuurd, zodat hij kan controleren of de gegevens correct zijn. Pas daarna kan de transactie worden getekend. Zo verhindert de bank dat een gebruiker zomaar iets ondertekent zonder het te beseffen. Bovendien kan de bank gebruikers waarschuwen als het gaat om een transactie met een hoog risico.

Deze technologie garandeert een veilige en betrouwbare transactie. Als de bank de volledige controle wegneemt bij de gebruiker en zo de zwakste schakel beschermt, dan zullen social engineeringaanvallen binnenkort tot het verleden behoren.