Social engineering (phishing en misleidende sites)

Social engineering is content die via een list bezoekers ertoe aanzet iets gevaarlijks te doen, zoals vertrouwelijke informatie openbaar maken of software downloaden. Als Google vaststelt dat je website content met betrekking tot social engineering bevat, kan de Chrome-browser een waarschuwing over een misleidende site weergeven wanneer bezoekers je site willen bekijken. Als je het rapport Beveiligingsproblemen bekijkt, kun je controleren of pagina's op je site ervan worden verdacht dat ze social-engineeringaanvallen bevatten.

Het rapport Beveiligingsproblemen openen

Overzicht

Wat is social engineering?

Er is sprake van een social-engineeringaanval wanneer een internetgebruiker ertoe wordt verleid online iets gevaarlijks te doen.

Er zijn verschillende soorten social-engineeringaanvallen:

  • Phishing: De site verleidt gebruikers ertoe hun persoonlijke gegevens (zoals wachtwoorden, telefoonnummers of creditcardnummers) openbaar te maken. De content doet zich voor (of ziet eruit en komt over als) een vertrouwde entiteit, zoals een browser, besturingssysteem, bank of overheid.
  • Misleidende content: De content probeert je ertoe te verleiden iets te doen wat je normaal gesproken alleen doet voor een vertrouwde entiteit, zoals een wachtwoord delen, technische support bellen of software downloaden. De content kan ook een advertentie bevatten die ten onrechte claimt dat apparaatsoftware verouderd is, waarbij gebruikers worden gevraagd ongewenste software te installeren.
  • Onvoldoende gelabelde services van derden: Met een service van derden wordt iemand bedoeld die een site of service uitvoert namens een andere entiteit. Als je (als derde partij) een site uitvoert namens een andere (eerste) partij zonder deze relatie duidelijk te maken, kan dit worden gemarkeerd als social engineering. Als je (als eerste partij) bijvoorbeeld een liefdadigheidswebsite beheert die een website voor donatiebeheer (de derde partij) gebruikt om donaties voor je site te innen, moet op de donatiesite duidelijk worden aangegeven dat het een platform van derden is dat namens de betreffende liefdadigheidssite handelt. Anders kan dit worden beschouwd als social engineering.

Google Safe Browsing beschermt internetgebruikers door ze te waarschuwen voordat ze pagina's bezoeken die zich constant bezighouden met social engineering.

In de volgende gevallen worden webpagina's beschouwd als social engineering:

  • Wanneer ze zich voordoen als of eruitzien als een vertrouwde entiteit, zoals je eigen apparaat of browser of de website zelf.
  • Wanneer ze je proberen te verleiden om iets te doen wat je normaal gesproken alleen doet voor een vertrouwde entiteit, zoals een wachtwoord delen, technische support bellen of software downloaden.

Social engineering in ingesloten content

Social engineering kan ook voorkomen in content, meestal in advertenties, die is ingesloten in websites die verder goedaardig zijn. Ingesloten content met betrekking tot social engineering vormt een beleidsschending voor de hostpagina.

Soms is de ingesloten content met betrekking tot social engineering op de hostpagina zichtbaar voor gebruikers, zoals in de onderstaande voorbeelden. In andere gevallen bevat de hostpagina geen zichtbare advertenties, maar worden gebruikers via pop-ups, pop-unders of andere omleidingen naar pagina's met social engineering gebracht. In beide gevallen resulteert dit type ingesloten content met betrekking tot social engineering tot een beleidsschending voor de hostpagina.

Ik houd me helemaal niet bezig met social engineering

Misleidende content met betrekking tot social engineering kan worden opgenomen via bronnen die zijn ingesloten in de pagina, zoals afbeeldingen, andere componenten van derden of advertenties. Dergelijke misleidende content kan sitebezoekers ertoe verleiden ongewenste software te downloaden. 

Daarnaast kunnen hackers onschuldige sites overnemen en gebruiken om content met betrekking tot social engineering te hosten of te verspreiden. De hacker kan de content van de site aanpassen of extra pagina's toevoegen aan de site, vaak met de intentie bezoekers via een list ertoe aan te zetten persoonlijke gegevens (zoals creditcardnummers) openbaar te maken. Je kunt het rapport Beveiligingsproblemen in Search Console bekijken om na te gaan of je site is geïdentificeerd als site die content met betrekking tot social engineering hosts of verspreidt.

Bekijk onze Hulp voor webmasters van gehackte sites als je van mening bent dat je site is gehackt.

Voorbeelden van schendingen met betrekking tot social engineering

Voorbeelden van misleidende inhoud

Hier volgen enkele voorbeelden van pagina's waarvoor gebruik wordt gemaakt van social engineering:

Social engineering popup that tries to make the user install an unwanted application.
Misleidende pop-up die is bedoeld om de gebruiker malware te laten installeren.
Example of social engineering attempt claiming a browser update is required
Misleidende pop-up die de gebruiker zogenaamd helpt om zijn browser te updaten.
Nagemaakte Google-inlogpagina. Merk de misleidende URL op. Andere phishingsites zoals deze kunnen je ertoe verleiden andere persoonlijke gegevens (zoals creditcardgegevens) openbaar te maken. Phishingsites kunnen er precies hetzelfde uitzien als de echte site. Controleer dus in de adresbalk of de URL correct is en controleer ook of de website met https:// begint.

Voorbeelden van misleidende advertenties

Hier volgen enkele voorbeelden van misleidende content in ingesloten advertenties. Deze advertenties lijken deel uit te maken van de pagina-interface en worden niet gepresenteerd als advertenties.

Deceptive ad claiming to be a media player update on the page.
Misleidende pop-up met een bericht dat de software van de gebruiker is verouderd.
Deceptive ad claiming to be an installer for a required component.
Misleidende pop-up die afkomstig lijkt te zijn van de FLV-ontwikkelaar
Deceptive ads claiming to be playback controller buttons on the host page.
Advertenties die zijn vermomd als knoppen waarmee acties op een pagina kunnen worden uitgevoerd.

Het probleem oplossen

Als je site is gemarkeerd als een site die content met betrekking tot social engineering (misleidende content) bevat, moet je ervoor zorgen dat je pagina vrij is van de praktijken die hierboven worden beschreven, en volg je deze stappen:

  1. Ga naar Search Console
    • Verifieer dat je de eigenaar van je site bent in Search Console en dat er geen nieuwe, verdachte eigenaren zijn toegevoegd.
    • Controleer in het rapport Beveiligingsproblemen of wordt aangegeven dat je site misleidende content bevat (de rapportageterm voor social engineering). Bezoek een aantal gemarkeerde voorbeeld-URL's die in het rapport worden vermeld. Gebruik echter een computer in een ander netwerk dan het netwerk waarin je website zich bevindt (slimme hackers kunnen hun aanvallen uitschakelen als ze denken dat de bezoeker een webmaster van de site is).
  2. Verwijder misleidende content. Zorg ervoor dat geen van de pagina's op je site misleidende content bevat. Als je van mening bent dat Safe Browsing een webpagina ten onrechte heeft geclassificeerd, kun je dat hier melden.
  3. Controleer bronnen van derden die zijn opgenomen op je site. Zorg ervoor dat advertenties, afbeeldingen of andere ingesloten bronnen van derden op de pagina's van je site niet misleidend zijn.
    • Houd er rekening mee dat advertentienetwerken de advertenties kunnen rouleren die op de pagina's van je site worden weergegeven. Je moet een pagina daarom mogelijk enkele keren vernieuwen voordat social-engineeringadvertenties worden weergegeven.
    • Bepaalde advertenties kunnen er verschillend uitzien op mobiele apparaten en desktopcomputers. Met de URL-inspectietool kun je de mobiele en desktopweergave van je site bekijken.
    • Volg de hieronder beschreven richtlijnen voor services van derden voor services van derden (zoals betalingsservices) die je gebruikt op je site.
  4. Vraag een beoordeling aan. Nadat je alle content met betrekking tot social engineering hebt verwijderd van je site, kun je een beveiligingscontrole aanvragen via het rapport Beveiligingsproblemen. Een controle kan een aantal dagen in beslag nemen.

Richtlijnen voor services van derden

Als je een service van derden opneemt op je site, moet je voldoen aan de volgende voorwaarden om te voorkomen dat je site wordt aangemerkt als social engineering:

  • Op elke pagina van de site van de derde partij moet het merk van de derde partij duidelijk worden weergegeven op zo'n manier dat gebruikers begrijpen wie de site uitvoert. Dit kan bijvoorbeeld door het merk van de derde partij bovenaan de pagina weer te geven.
  • Vermeld expliciet op elke pagina waarop het merk van de eerste partij staat wat de relatie is tussen de eerste en de derde partij. Geef daarnaast een link voor meer informatie.  Hier vind je een voorbeeld van een verklaring:

      Deze service wordt gehost door Example.com namens Example.charities.com. Meer informatie

Een goede richtlijn voor gebruiksgemak is of een gebruiker die alleen deze pagina bekijkt, begrijpt op welke site hij of zij zich bevindt en te allen tijde begrijpt wat de relatie is tussen de eerste en derde partij.

Praktische tip: Als je een derde partij nodig hebt om een algemene supportservice uit te voeren voor je site, is het een goed idee een derde partij te gebruiken die voldoet aan de branchenorm voor die service. Voor het beheren van gebruikersverificatie op je site kun je bijvoorbeeld beter OAuth gebruiken in plaats van de verificatie zelf te beheren.
Was dit nuttig?
Hoe kunnen we dit verbeteren?