Social engineering is een vorm van cybersecurity-aanval waarbij aanvallers menselijke zwakheden en emoties exploiteren om toegang te krijgen tot vertrouwelijke informatie of systemen. In plaats van te proberen technische beveiligingsmaatregelen te omzeilen, richt social engineering zich op het misleiden van mensen door middel van manipulatie, bedrog en misleiding.
Voorbeelden van social engineering-aanvallen zijn onder meer phishing-e-mails waarin gebruikers worden gevraagd om hun inloggegevens of andere vertrouwelijke informatie te verstrekken, of aanvallen waarbij de aanvaller zich voordoet als een bekende persoon of instantie om vertrouwen te winnen. Andere voorbeelden zijn het gebruik van valse verzoeken om informatie of hulp om toegang te krijgen tot systemen of het gebruik van USB-sticks of andere apparaten om toegang te krijgen tot systemen via de fysieke toegang tot een computer of netwerk.
Organisaties kunnen zich beschermen tegen social engineering-aanvallen door middel van training en bewustmaking van medewerkers over de risico’s en de technieken die worden gebruikt door aanvallers. Dit kan helpen om verdachte activiteiten te herkennen en te voorkomen dat werknemers informatie of toegang tot systemen delen met onbekende personen. Daarnaast kunnen technische beveiligingsmaatregelen, zoals multi-factor authenticatie en netwerksegmentatie, helpen bij het voorkomen van social engineering-aanvallen.