Dit zijn de trucs die cybercriminelen gebruiken

Ondanks campagnes als '3 keer kloppen' blijken mensen nog steeds te vallen voor de trucs van cybercriminelen. Dat is ook niet zo vreemd, zo onthult een door Intel Security uitgebracht rapport.

Het rapport, 'Hacking the Human Operating System', laat zien hoe cybercriminelen te werk gaan. Dat de gebruikte trucs, door Intel Security 'social engineering trucs' genoemd, effectief zijn blijkt, want volgens onderzoek van McAfee bedraagt de schade die cybercriminaliteit de Nederlandse economie jaarlijks maar liefst 8,8 miljard euro.

De vier social engineering stappen in een cyberaanval
De vier social engineering stappen in een cyberaanval.

Trucs

Om werknemers voor te bereiden op de trucs, is het natuurlijk zaak hen hier alert op te maken. Intel heeft daarom de zes bekendste trucs op een rij gezet:

    1. Wederkerigheid - als mensen iets krijgen, voelen ze zich vaak verplicht om iets terug te doen.
       
    2. Consistentie – wanneer een slachtoffer eenmaal heeft beloofd om iets te doen, zullen ze zich daar vaak aan houden, omdat ze niet als onbetrouwbaar willen overkomen. Een hacker kan zich bijvoorbeeld voordoen als een it-medewerker van de organisatie en de werknemer er wijzen dat hij zich aan het beveiligingsbeleid van het bedrijf dient te houden. Vervolgens kan gevraagd worden om handelingen te verrichten die ogenschijnlijk nodig zijn om aan dit beleid te voldoen.
       
    3. Schaarste - wanneer mensen het idee hebben dat iets schaars is of dat ze binnen korte tijd moeten reageren, zijn ze eerder bereid om in te gaan op verzoeken. Een voorbeeld zijn phishingmails die van een bank afkomstig lijken te zijn en die de ontvanger verzoeken om snel te reageren (door op een link te klikken), omdat ze anders het risico lopen dat hun account binnen 24 wordt geblokkeerd.
       
    4. Aardig vinden – mensen zijn eerder geneigd om mee te werken als de ‘social engineer’ iemand is die ze aardig vinden. Een cybercrimineel kan bijvoorbeeld heel charmant en overtuigend overkomen aan de telefoon, om zo zijn slachtoffer zo ver te krijgen dat hij of zij voldoet aan een verzoek om gevoelige informatie.
       
    5. Autoriteit – mensen zijn eerder geneigd om te voldoen aan verzoeken die afkomstig lijken te zijn van iemand met autoriteit. Bijvoorbeeld in een doelgerichte e-mail aan het financiële team, die afkomstig lijkt te zijn van de ceo of directeur.
       
    6. Sociale validatie – mensen zijn eerder geneigd om iets te doen als ze denken dat anderen dat ook doen. Een phishingmail kan bijvoorbeeld zo opgesteld zijn dat het lijkt alsof deze naar een hele groep werknemers of de hele afdeling gestuurd is. Dit kan de werknemer ervan overtuigen dat de e-mail en de informatie of verzoeken daarin legitiem zijn.

Het volledige rapport is hier te downloaden