Hoe ziet de toekomst van social engineering eruit?

Hij waarschuwt: “Social engeering is het manipuleren van mensen. Cybercriminelen zullen altijd nieuwe technologie aangrijpen om dit te kunnen doen. Dus wacht niet, maar ga mensen hierover nu al informeren en laat zien waar ze op moeten letten.”

Iedereen kent phishing wel en weet dat het niet verstandig is om zomaar op links te klikken in e-mails. Toch is phishing nog steeds de meest gebruikte methode van social engineering. Wieringa ziet echter een verschuiving naar spear phishing. “Dat zijn heel gerichte aanvallen op één persoon of een afdeling van een organisatie. Dat is heel geraffineerd. Mensen en bedrijven helpen cybercriminelen daar onbewust ook op allerlei manieren bij. In company blogs of LinkedIn-accounts is zoveel informatie te vinden die cybercriminelen kunnen misbruiken. Daarnaast bellen cybercriminelen ook regelmatig gewoon naar een organisatie om daar informatie op te vragen. Ze verzamelen dus heel gerichte informatie uit openbare en gesloten bronnen”, legt hij uit.

Mainstream

Met deepfake-technologie kun je video’s, foto’s, spraakberichten en ook teksten maken die echt lijken, maar niet authentiek zijn. Wieringa: “Stel je krijgt eerst een e-mail vanaf het e-mailadres van de directeur met de vraag geld over te maken en daarna nog een voicemailbericht met de stem van de directeur met de vraag of het geld al is overgemaakt? Met deepfake-technologie kan dat. Voice modulation is al heel echt.”

Wieringa is ervan overtuigd dat deepfake-video’s ook snel mainstream worden binnen social engineering. “Het is nu namelijk al relatief simpel om een deepfake-video te maken, zelfs voor een leek. Geef het een jaartje of twee en de technologie is zo ver doorontwikkeld dat het nauwelijks van echt te onderscheiden is. Maar waar moeten mensen dan (nu al) op letten? Soms zijn het minuscule dingetjes, maar als je er eenmaal één ziet, dan vind je er vaak meer. Kijk bijvoorbeeld goed rond de ogen, neus en mond. Vaak sluit de beweging van de mond namelijk niet helemaal aan. Bij alle bewegende delen zie je vaak dat het blurt.”

FBI

De FBI heeft in maart 2021 al gewaarschuwd voor het gebruik van deepfakes door cybercriminelen. “Het feit dat de FBI daarmee komt, geeft aan dat we dit echt serieus moeten nemen. Voor Spear phishing is het een krachtige tool, omdat cybercriminelen hiermee verschillende lagen kunnen opbouwen, waardoor phishing nog overtuigender wordt.”

Daarom is het volgens Wieringa cruciaal om nu al te beginnen met security awareness-trainingen die hierop in gaan. “Laat je security-leverancier hier iets over vertellen of je CISO. Zorg dat je mensen binnen de organisatie bewust maakt van wat er al mogelijk is. Ook ransomware gaat veel verder dan vroeger, het wordt complexer en geavanceerder. Cybercriminelen saboteren hele omgevingen die gericht zijn op werkprocessen. Want als je fabriek niet kan draaien, dan doe je bijna alles om weer up and running te raken.”

Zijn er dan geen andere manieren om te voorkomen dat je ‘geraakt’ wordt door deepfakes? “De eerste startups die deepfakes kunnen detecteren zijn er al, maar het is nog niet mainstream. Het is nog heel kostbaar, dus het is nu echt nog het domein voor bijvoorbeeld banken en grote mediabedrijven. Reden te meer om de bewustwording van dit fenomeen binnen jouw organisatie te vergroten”, besluit Wieringa.