The Open Social Engineering Framework Project provides security professionals, researchers, and awareness trainers with a free, comprehensive reference framework for all aspects of social engineering.
Het Open Social Engineering Framework Project biedt security professionals, onderzoekers en bewustzijnstrainers een gratis, uitgebreid referentiekader voor alle aspecten van social engineering.
From reconnaissance to defence every part of the social engineering lifecycle documented and structured.
Van verkenning tot verdediging elk onderdeel van de social engineering lifecycle gedocumenteerd en gestructureerd.
OSINT methods, digital footprinting, open sources, and target analysis prior to an engagement.
OSINT-methoden, digitale voetafdruk, open bronnen en doelanalyse vóór een engagement.
Building convincing personas, scenarios, and legends to obtain access or information.
Het bouwen van geloofwaardige persona's, scenario's en legendes om toegang of informatie te verkrijgen.
Conversation techniques to gather information without direct questions subtle and effective.
Gesprekstechnieken om informatie te vergaren zonder directe vragen subtiel en effectief.
Psychological mechanisms authority, reciprocity, scarcity, social proof, and more.
Psychologische mechanismen autoriteit, reciprociteit, schaarste, sociale bevestiging en meer.
Phishing, vishing, smishing, impersonation, and digital attack methods fully documented.
Phishing, vishing, smishing, impersonatie en digitale aanvalsmethoden volledig gedocumenteerd.
Tailgating, on-site impersonation, dumpster diving, and other physical penetration techniques.
Tailgating, impersonatie op locatie, dumpster diving en andere fysieke penetratietechnieken.
Awareness training, detection methods, policy, and technical countermeasures.
Bewustzijnstraining, detectiemethoden, beleid en technische tegenmaatregelen.
Legal framework (GDPR, criminal law), ethical guidelines, and responsible use of the framework.
Wettelijk kader (AVG, WvSr), ethische richtlijnen en verantwoord gebruik van het framework.
Social engineering is the manipulation of people rather than systems to obtain confidential information, gain unauthorised access, or induce specific behaviour. It is the human factor in cybersecurity.
Social engineering is het manipuleren van mensen in plaats van systemen om vertrouwelijke informatie te verkrijgen, ongeautoriseerde toegang te verkrijgen, of bepaald gedrag te bewerkstelligen. Het is de menselijke factor in cybersecurity.
Attackers exploit fundamental psychological mechanisms: trust, authority, fear, urgency, and helpfulness. Technical security measures are rendered useless when the human is exploited as the weakest link.
Aanvallers maken gebruik van fundamentele psychologische mechanismen: vertrouwen, autoriteit, angst, urgentie en helpgedrag. Technische beveiligingsmaatregelen zijn nutteloos wanneer de mens als zwakste schakel wordt uitgebuit.
An overview of the most widely used social engineering techniques in the wild.
Een overzicht van de meest gebruikte social engineering technieken in het wild.
Deceptive emails posing as legitimate senders to steal credentials or payment information.
Misleidende e-mails die zich voordoen als legitieme afzenders om inloggegevens of betaling te ontfutselen.
Phone-based attacks where the caller assumes an authority role (bank, helpdesk, government).
Telefonische aanvallen waarbij de beller een autoriteitsrol aanneemt (bank, helpdesk, overheid).
SMS and messaging attacks with urgent messages and malicious links or phone numbers.
SMS- en messaging-aanvallen met urgente berichten en malafide links of telefoonnummers.
Physical or digital disguise as a colleague, technician, supplier, or authority for unauthorised access.
Fysieke of digitale vermomming als collega, monteur, leverancier of autoriteit voor ongeautoriseerde toegang.
Following an authorised person through a secured entrance without authorisation of your own.
Het volgen van een bevoegd persoon door een beveiligde doorgang zonder eigen autorisatie.
Targeted attacks on specific individuals with personalised content based on OSINT research.
Gerichte aanvallen op specifieke individuen met gepersonaliseerde inhoud op basis van OSINT-onderzoek.
Leaving infected USB drives, QR codes, or other media in strategic locations.
Het achterlaten van geïnfecteerde USB-sticks, QR-codes of andere media op strategische locaties.
Compromising websites frequently visited by the target audience to spread malware.
Compromittering van websites die de beoogde doelgroep frequent bezoekt om malware te verspreiden.
Searching through waste for confidential documents, credentials, and organisational information.
Het doorzoeken van afval op vertrouwelijke documenten, inloggegevens en organisatorische informatie.
QR code phishing where malicious QR codes on posters, invoices, or emails redirect victims to fake sites.
QR-code phishing waarbij malafide QR-codes op posters, facturen of e-mails slachtoffers omleiden naar nep-sites.
AI-generated video or audio of trusted individuals (CEO, colleague) to obtain authorisation or payment.
AI-gegenereerde video of audio van vertrouwde personen (CEO, collega) om toestemming of betaling te verkrijgen.
Synthetic voice clones of known individuals via AI, deployed in vishing attacks for maximum credibility.
Synthetische stemklonen van bekende personen via AI, ingezet bij vishing-aanvallen voor maximale geloofwaardigheid.
Forging sender identities: email addresses, phone numbers, or IP addresses to appear as trusted sources.
Het vervalsen van afzenderidentiteiten: e-mailadressen, telefoonnummers of IP-adressen om te lijken op vertrouwde bronnen.
Gaining physical access when an employee knowingly or unknowingly lets an unauthorised person in.
Fysieke toegang verkrijgen waarbij een medewerker bewust of onbewust een onbevoegde persoon binnenlaat.
Looking over someone's shoulder while they log in or enter confidential information on a device.
Meekijken over de schouder van iemand die inlogt of vertrouwelijke informatie invoert op een apparaat.
Targeted attacks on C-suite executives or fake requests on behalf of the CEO for urgent payment or data transfer.
Gerichte aanvallen op C-suite executives of nep-verzoeken namens de CEO voor spoedbetaling of data-overdracht.
Compromising or impersonating business email to manipulate employees into fraud or data theft.
Compromittering of imitatie van zakelijke e-mail om medewerkers te manipuleren tot fraude of datadiefstal.
Creating a fabricated scenario and convincing persona to move targets into cooperation.
Het creëren van een verzonnen scenario en geloofwaardige persona om doelwitten tot medewerking te bewegen.
Fake virus warnings or alarm notifications that induce fear to drive victims towards malicious software.
Nep-viruswaarschuwingen of alarmmeldingen die angst induceren om slachtoffers naar malafide software te sturen.
DNS manipulation or hosts file modification that automatically redirects legitimate website visits to fake sites.
DNS-manipulatie of host-bestandswijziging waardoor legitieme websitebezoeken automatisch naar nep-sites worden omgeleid.
The most critical social engineering risks for organisations, ranked by prevalence, exploitability, and impact.
De meest kritieke social engineering risico's voor organisaties, gerangschikt op prevalentie, uitbuitbaarheid en impact.
The OSEFP SE Top 10 is developed based on community consensus, industry surveys, and analysis of reported social engineering incidents.
De OSEFP SE Top 10 is ontwikkeld op basis van community consensus, branche-enquêtes en analyse van gemelde social engineering incidenten.
A social engineering attack follows a recognisable pattern. By understanding this pattern, organisations can intervene at every stage.
Een social engineering aanval volgt een herkenbaar patroon. Door dit patroon te begrijpen kunnen organisaties op elk punt ingrijpen.
Collecting publicly available information about the target: social media, company websites, job postings, data breaches, and more.
Verzamelen van publiek beschikbare informatie over het doelwit: sociale media, bedrijfswebsites, vacatures, lekken en meer.
Crafting a credible scenario and persona based on gathered intelligence. Selecting the attack vector.
Opstellen van een geloofwaardig scenario en persona op basis van de verzamelde informatie. Bepalen van het aanvalsvector.
Making contact and executing the attack via the chosen channel (email, phone, physical, online platform).
Contact leggen en de aanval uitvoeren via het gekozen kanaal (e-mail, telefoon, fysiek, online platform).
Leveraging the obtained access, information, or position for the attacker's ultimate goal.
Benutten van de verkregen toegang, informatie of positie voor het uiteindelijke doel van de aanvaller.
Maintaining the relationship or covering tracks depending on the attacker's objective.
Het bewaren van de relatie of het uitwissen van sporen afhankelijk van het doel van de aanval.
Social engineers exploit fundamental human behavioural patterns. Based on Cialdini's principles and modern behavioural psychology.
Social engineers benutten fundamentele menselijke gedragspatronen. Gebaseerd op de principes van Cialdini en moderne gedragspsychologie.
People obey authority figures fake IT helpdesk, police, management.
Mensen gehoorzamen gezagsfiguren nep-IT-helpdesk, politie, management.
Time pressure suppresses rational thinking. "Your account will be blocked within 1 hour."
Tijdsdruk onderdrukt rationeel denken. "Uw account wordt binnen 1 uur geblokkeerd."
People feel obligated to give back after a favour, even an unsolicited one.
Mensen voelen zich verplicht terug te geven na een gunst, zelfs een ongewenste.
We look to others for socially acceptable behaviour "your colleagues did it too."
We kijken naar anderen voor sociaal aanvaardbaar gedrag "je collega's deden het ook."
The framework is open source and continuously expanding. Contributions from security professionals, researchers, and trainers are very welcome.
Het framework is open source en wordt continu uitgebreid. Bijdragen van security professionals, onderzoekers en trainers zijn van harte welkom.