Hoe bescherm je jezelf en jouw organisatie tegen menselijke beïnvloeding door cybercriminelen?
Social engineering is de aanvalstechniek waarbij misbruik wordt gemaakt van menselijke eigenschappen om vertrouwelijke informatie te verkrijgen of iemand te verleiden een bepaalde handeling te laten verrichten. In dit artikel wordt de psychologie achter social engineering toegelicht, wordt geschetst welke technologische middelen cybercriminelen anno 2016 gebruiken en laten we zien hoe men zichzelf en de eigen organisatie hiertegen kan wapenen.
- Social engineering is het manipuleren van menselijk gedrag door gebruik te maken van beïnvloedingsprincipes.
- Mensen vertonen voorgeprogrammeerd gedrag waar cybercriminelen misbruik van maken.
- Social engineering wordt steeds breder toegepast via digitale kanalen.
- Leren door te ervaren kan burgers en organisaties bewust en minder kwetsbaar maken.
In de informatiebeveiliging wordt de mens vaak omschreven als de zwakste schakel. Ondanks alle beveiligingsmaatregelen zoals firewalls, wachtwoorden en bewakingspersoneel die indringers buiten de deur moeten houden, is het vaak kinderlijk eenvoudig om toegang te krijgen tot vertrouwelijke informatie door gebruik te maken van menselijke beïnvloeding. Het gedrag van mensen en de bescherming van vertrouwelijke informatie zijn sterk met elkaar verbonden. Zonder het zelf door te hebben, kan iemand die onoplettend is de digitale deuren openen voor hackers en hen toegang verschaffen tot vertrouwelijke informatie, waarmee bijvoorbeeld identiteitsfraude of bedrijfsspionage kan worden gepleegd. Mensen worden voortdurend gemanipuleerd, beïnvloed en misleid. Niet alleen door reclamemakers, callcentermedewerkers, webshops en autoverkopers, maar ook door collega’s, vrienden én cybercriminelen die iets van hen willen. Steeds vaker zien we dat cybercriminelen gebruik maken van de kwetsbaarheden van de mens en dit breed toepassen.
De psychologie achter social engineering
Er is, en er wordt nog steeds, veel onderzoek gedaan naar het gedrag van de mens. Hoe komt het dat de mens massaal in phishingmails trapt en we social engineers zomaar toegang geven tot onze vertrouwelijke informatie? Het antwoord op deze vragen vinden we in de theoriën van gedragsonderzoeker is Robert Cialdini. Cialdini stelt dat er zes universele principes van beïnvloeding zijn waardoor het gedrag van de mens wordt bepaald. Social engineers gebruiken deze beïnvloedingsprincipes om hun potentiële slachtoffer te manipuleren en bepaald gedrag op te wekken. De zes principes van beïnvloeding zijn:
- De drang om te moeten compenseren wat andere mensen ons hebben gegeven. Door het gevoel te hebben iemand anders iets verschuldigd te zijn, wordt makkelijker aan een wederverzoek voldaan dan normaal.
- Commitment en consistentie. De drang om te handelen in overeenstemming met dat wat we daarvoor hebben gedaan/gezegd. Als we een mening verkondigen of een keuze maken, dan zijn we ook geneigd om in toekomstige situaties in overeenstemming te handelen met voorafgaande soortgelijke keuzes.
- Sociale bewijskracht. Ons oordeel over correct of incorrecte gedrag hangt samen met het gedrag van anderen. Wanneer veel mensen een handeling op gelijke wijze uitvoeren, bestempelen we deze als correct.
- Sympathie. Het niet voldoen aan een dringend verzoek is onvriendelijk. Indien er druk wordt uitgeoefend door een herkenbare situatie te schetsen, wordt het weigeren van een verzoek al een stuk lastiger.
- Autoriteit. Vanaf de geboorte wordt ons bijgebracht dat gehoorzaamheid aan goede autoriteiten juist is. Doordat zij zoveel macht hebben, lijkt het vaak wijs om deze autoriteiten te gehoorzamen. Wie wantrouwt een brandweerman die de rookmelders komt controleren?
- Schaarste. Sommige dingen gaan we meer waarderen naarmate er minder van beschikbaar is. Wanneer er nog maar één artikel op voorraad is, zijn we al snel geneigd te denken dat we die kans moeten grijpen voordat het te laat is. Bij de kans om iets te verliezen zijn we geneigd ons daar sterk tegen te verzetten (hebzucht).
Naast deze zes principes, speelt ook de tijd die iemand krijgt om een keuze te maken voor de juiste handeling een belangrijke rol. Tijdens een social engineering aanval moet een slachtoffer in veel gevallen binnen een kort tijdsbestek anticiperen op de situatie. Zo wordt in phishingmails regelmatig gedreigd met het blokkeren van bankpassen en accounts wanneer de ontvanger niet binnen 24 uur reageert door in te loggen op het legitiem ogende, maar door de hacker nagemaakte, inlogportaal van de bank. Het slachtoffer baseert zijn of haar keuze op de beperkte informatie die op dat moment wordt aangereikt, en wanneer bovenstaande principes succesvol worden toegepast zal het slachtoffer door de tijdsdruk vertrouwen op de inhoud. Dat vertrouwen wordt bijvoorbeeld vergroot omdat veel phishing mails persoonlijke informatie van het potentiële slachtoffer bevatten, zoals volledige naam, adres of bankrekeningnummer.
Naast het genoemde vertrouwen en de neiging tot hebzucht blijkt dat de mens vooral nieuwsgierig is. De mens wil graag hebben wat hij nog niet heeft en vooral voorkomen dat hij iets kwijt raakt. Wanneer de mens iets écht graag wil, dan laat hij de negatieve of wantrouwende gevoelens even achterwege en vertoont hij het welbekende oogkleppengedrag. Het opwekken van nieuwsgierigheid en hebzucht wordt veel toegepast in phishingaanvallen, waarbij de cybercrimineel zijn slachtoffer verleidt om mee te doen aan bv. een iPad-winactie.
Steeds breder toegepast
Waar social engineering vroeger enkel werd toegepast om binnen te dringen op fysieke locaties, zijn er in de loop van de jaren verschillende technische (hulp)middelen ontwikkeld die cybercriminelen in staat stellen om eenvoudig op grote schaal en via digitale kanalen hun aanvallen uit te voeren:
- Phishing per mail en telefoon: Phishing is de verzamelnaam voor digitale activiteiten die tot doel hebben persoonlijke informatie (zoals inloggegevens) aan mensen te ontfutselen. In het jaarlijkse NCSC-rapport Cyber Security Beeld Nederland wordt benadrukt dat phishing afgelopen jaren één van de machtigste en meest gebruikte aanvalsmethodes is van cybercriminelen. Gebruikte principes van beïnvloeding: autoriteit, schaarste, vertrouwen.
- USB drop. Steeds vaker maken cybercriminelen gebruik van USB-sticks met daarop schadelijke software. Deze worden bijvoorbeeld tijdens een treinreis in een tas van het slachtoffer “gedropt”, ergens achtergelaten of uitgedeeld. Wanneer de vinder de USB-stick in de computer steekt om te achterhalen wie de eigenaar is, is het al te laat: de hacker is binnen. Gebruikte kwetsbaarheden: nieuwsgierigheid en hebzucht.
- Roque WiFi access point: Het nabootsen van voor de gebruiker herkenbare en vertrouwde (meestal openbare) WiFi hotspots laat smartphones gemakkelijk contact maken met het internet. De hacker kan vervolgens het internetgedrag van het slachtoffer afluisteren en manipuleren. Gebruikte kwetsbaarheden: vertrouwen en consistentie.
- Combinatie van aanvalstechnieken. Het kan nog geraffineerder: een phishingmail wordt steeds vaker aangekondigd door een beller die een aantal gerichte vragen stelt over onderwerpen waar iemand beroepsmatig of privé interesse in heeft. Na dat gesprek stuurt de beller diegene een mail met daarin de link waarop hij of zij mag klikken, met alle gevolgen van dien. Ook worden ransomeware en malware vaker als bijlage toegevoegd aan phishingmails, waardoor het niet eens meer nodig is om de ontvanger op een link te laten klikken: het openen van de bijlage is genoeg.
Word geen slachtoffer, wapen jezelf!
In deze wetenschap dringt de vraag zich op of de mens zich überhaupt adequaat kan beschermen tegen cybercriminelen die gebruik maken van menselijke beïnvloeding. Waar wij geneigd zijn te zeggen dat cybercriminelen, als ze écht willen, altijd wel een weg vinden, is het wel degelijk van belang een aantal belangrijke maatregelen te nemen en de kans op op schade door social engineering te verkleinen.
Voor het individu:
- Gebruik indien mogelijk tweefactor authenticatie of inlogverificatie voor toegang tot o.a. Gmail, Hotmail en social media accounts. Cybercriminelen kunnen, wanneer zij in het bezit zijn van jouw wachtwoord – en ja, die hebben ze in een handomdraai – niet inloggen zonder de tweede factor (bv. Sms-code, vingerafdruk, token of tan-code) of jouw directe toestemming (inlogverificatie).
- Zet bij openbare WiFi-netwerken de optie ‘automatisch verbinding maken’ UIT zodat je geen verbinding maakt met een Roque WiFi access point.
- Wees alert en luister naar je verstand! Banken vragen nooit om jouw inloggegevens en al helemaal niet in een e-mail.
Voor organisaties:
- Social engineering assessment: tijdens een social engineering assessment zal een getrainde social engineer binnen proberen te dringen in een organisatie en proberen toegang te verkrijgen tot de ‘kroonjuwelen’. Een goede meting van de kwetsbaarheid van de fysieke beveiliging, die tegelijkertijd voor bewustwording zorgt.
- Phishing audit: het machtigste middel om een organisatie weerbaar te maken tegen phishingaanvallen is het ‘leren door te ervaren’. Veel organisaties voeren daarom periodiek een phishing audit uit: een methode om het veiligheidsbewustzijn van medewerkers te meten en direct te vergroten, door het uitvoeren van een gecontroleerde phishingaanval en het meten van de respons. Let op: zowel bij het organiseren en uitvoeren van een phishing audit als een social engineering assessment dient rekening gehouden te worden met verschillende juridische, ethische en technische aspecten. Om incidenten te voorkomen, is het dan ook aan te raden om dergelijke activiteiten door een ervaren cyber security expert uit te laten voeren.
- Geavanceerde cyber oefening als ultieme test: combinatie van phishing, hacking, usb-drop en rogue wifi access. Tijdens de gesimuleerde aanval worden de belanghebbende medewerkers getest en getraind op hun weerbaarheid.
- Technische maatregelen: e-mailauthenticatie met behulp van SPF, DKIM en DMARC en het herkenbaar maken van authentieke e-mails die naar een breed publiek worden verstuurd. Tevens is het raadzaam om indien mogelijk tweefactor authenticatie te gebruiken om het risico op ongeautoriseerde toegang te minimaliseren. Dit is van groot van belang wanneer systemen via het internet kunnen worden benaderd.
Voor de overheid
- Het continu bewustmaken van de burger met bewustwordingscampagnes van overheid is een preventieve maatregel die bijdraagt aan het voorkomen van schade door social engineering en andere cyberaanvallen. Voorbeelden zijn de reclamecampagnes van Veilig Internetten (voorheen: DigiBewust) en de bekende commercial ‘Hang op, klik weg, bel uw bank!’.
Het blijft kinderlijk eenvoudig om toegang te krijgen tot vertrouwelijke informatie door gebruik te maken van menselijke beïnvloeding. Cybercriminelen passen deze methodieken dan ook steeds vaker toe en de ontwikkeling van de technologie stelt ze in staat om social engineering op grote schaal uit te voeren. Om geen slachtoffer te worden van social engineering zullen zowel burgers en medewerkers, als de overheid en het bedrijfsleven de juiste maatregelen moeten nemen om hun vertrouwelijke informatie te beschermen. Training en bewustwording zijn hiervoor een goede eerste stap.
Dit artikel is afkomstig uit Trends in Veiligheid, het jaarlijkse visierapport voor zowel bestuurders als beleidsmakers. Het beschrijft in heldere taal waar Nederland staat op het gebied van digitale veiligheid en waar de uitdagingen nog liggen. Het rapport bestaat uit artikelen geschreven door experts van Capgemini en Capgemini Consulting aangevuld met een onderzoek door TNS NIPO naar de mening van Nederlanders over veiligheid. Lees het volledige rapport op de website: www.trendsinveiligheid.nl