Social engineering is een vorm van manipulatie waarbij een aanvaller misleidende tactieken gebruikt om mensen te verleiden tot het verstrekken van vertrouwelijke informatie, het uitvoeren van acties of het nemen van beslissingen die in strijd zijn met hun belangen of de belangen van hun organisatie. In plaats van te vertrouwen op technische kwetsbaarheden, maakt social engineering gebruik van menselijke psychologie en sociaal gedrag om toegang te krijgen tot systemen, gegevens of fysieke locaties.

Social engineering kan verschillende vormen aannemen, waaronder:

1. Phishing: Een vorm van social engineering waarbij aanvallers misleidende e-mails, berichten of telefoontjes gebruiken om mensen te verleiden om persoonlijke gegevens, zoals wachtwoorden of creditcardnummers, te onthullen.
2. Pretexting: Hierbij doet de aanvaller zich voor als een vertrouwde persoon of entiteit om informatie te verkrijgen of om bepaalde acties uit te voeren. Dit kan bijvoorbeeld inhouden dat de aanvaller zich voordoet als een IT-ondersteuningsmedewerker om toegang te krijgen tot het systeem van een slachtoffer.
3. Baiting: Dit omvat het aanbieden van iets waardevols of aantrekkelijks, zoals een gratis software-download of een prijs, om mensen te verleiden om schadelijke acties uit te voeren, zoals het installeren van malware of het delen van vertrouwelijke informatie.

Het doel van social engineering is om de menselijke factor te exploiteren, aangezien mensen vaak de zwakste schakel in de beveiligingsketen zijn. Om zichzelf en hun organisaties te beschermen tegen social engineering-aanvallen, is het belangrijk dat mensen zich bewust zijn van de tactieken die worden gebruikt, hun gegevens en informatie alleen delen met vertrouwde bronnen, en dat ze waakzaam blijven voor verdachte verzoeken of situaties. Daarnaast is het essentieel om training en bewustwordingsprogramma’s te implementeren om medewerkers op te leiden over de gevaren van social engineering en hoe ze deze kunnen herkennen en vermijden.