Het social engineering aanvalsoppervlak is het geheel van kwetsbaarheid van een individu of een staf voor bedrog.
Social engineering aanvallen maken meestal gebruik van de menselijke psychologie: het verlangen naar iets gratis, de vatbaarheid voor afleiding, of de wens om aardig gevonden te worden of om behulpzaam te zijn. Social engineering wordt vaak gebruikt door hackers en andere dieven.
Een paar voorbeelden van social engineering-aanvallen:
- Een vals telefoontje naar IT dat zich voordoet als een werknemer om een wachtwoord te krijgen.
- Media drops, die veel weg hebben van een fysiek Trojaans paard: Een werknemer van een onderneming kan bijvoorbeeld op de parkeerplaats een ogenschijnlijk verloren flashdrive oppikken, die bij gebruik automatisch lopende code uitvoert die tot een datalek leidt.
- Nep dienstverleners, zoals conciërges, reparateurs of elektriciens die toegang krijgen tot serverkasten.
Het belangrijkste wat men kan doen om het social engineering-aanvalsoppervlak te verkleinen, is werknemers voorlichten over bekende risico's en over hoe social engineering-hackers doorgaans te werk gaan. Deze informatie kan hen helpen bij het herwaarderen van onschuldig lijkende interacties die kunnen leiden tot inbreuken op gegevens, inbraken en verloren bedrijfstijd.
Veel aanvalsmethoden maken gebruik van een combinatie van aanvalsgebieden om toegang te krijgen tot bronnen. Social engineering wordt bijvoorbeeld vaak gebruikt om fysieke toegang te krijgen, waardoor een inbreker kwetsbaarheden in de software kan uitbuiten.
Zie ook: software aanvalsoppervlak, netwerk aanvalsoppervlak, fysiek aanvalsoppervlak