We weten inmiddels allemaal echt wel van het bestaan van phishingmails, de risico’s van openbare wifi-netwerken en het belang van veilige wachtwoorden. Hackers zitten echter ook niet stil. Zij blijven slinkse manieren ontwikkelen om u tóch om de tuin te leiden. Manieren waarmee ze misbruik maken van jouw goedgelovigheid. Want is alles wel wat het lijkt? We geven je inzicht in enkele geheimen van moderne cybercriminelen.
Social engineering
Hackers proberen op steeds meer manieren nietsvermoedende mensen onder valse voorwendselen zover te krijgen dat ze bepaalde acties ondernemen of persoonlijke informatie delen. De overkoepelende term voor deze aanvalstechnieken is social engineering. Hierbij maakt de cybercrimineel misbruik van menselijke eigenschappen door psychologische trucs toe te passen. Denk aan het kweken van vertrouwen of een beroep doen op schuldgevoel. En de tijd dat hackers uitsluitend vanachter hun computer aan de slag gingen, is verleden tijd. Tegenwoordig lopen ze doodleuk uw organisatie binnen en slaan ze hun slag. Hoe? We geven je graag een aantal voorbeelden.
Truc 1: Autoriteit
Een zeer succesvol psychologisch wapen van hackers is het misbruiken van autoriteit. Wist je bijvoorbeeld dat er manieren zijn om e-mails te versturen vanaf andermans adres? Dat betekent dat je een e-mail kunt ontvangen die ogenschijnlijk van een directeur of manager is, maar in feite verstuurd is door een hacker. Als een medewerker een e-mail van de directeur ontvangt, waarin deze vraagt om het schoonmaakbedrijf toegang te geven tot de documentopslag, dan zal hij dit hoogstwaarschijnlijk gedachteloos doen. En laat de schoonmaker nu eigenlijk geen schoonmaker zijn, maar een hacker die vertrouwelijke bestanden wil inzien.
Truc 2: Tijdsdruk
Een tweede aspect waar mensen gevoelig voor zijn, is tijdsdruk. Dit wordt door hackers ingezet door een situatie te creëren die een snelle beslissing vereist. Stel bijvoorbeeld dat een hacker toegang wil krijgen tot het account van een medewerker. In veel gevallen is de gebruikersnaam van systemen het e-mailadres van de gebruiker. De hacker voert een aantal keer een foutief wachtwoord in, waardoor het account geblokkeerd wordt. Hij belt vervolgens de IT helpdesk en zegt dat hij niet in het systeem kan, terwijl hij over vijf minuten een belangrijke presentatie moet geven. Deze tijdsdruk zal er waarschijnlijk voor zorgen dat de helpdeskmedewerker telefonisch een nieuw wachtwoord doorgeeft, zodat de “medewerker” toch nog zijn presentatie kan geven. De medewerker is alleen geen medewerker, maar een hacker die nu overal toegang tot heeft.
Truc 3: Vertrouwensband
Mensen zijn ook gevoelig voor persoonlijke banden. Via social media kan een hacker gemakkelijk achterhalen waar zijn slachtoffer op school heeft gezeten of welke personen hij kent. Door te refereren aan zogenaamde gemeenschappelijke achtergronden of kennissen bouwt hij een mate van vertrouwen op. Elk verzoek dat hij vervolgens doet, is voor zijn slachtoffer lastiger te weigeren.
Truc 4: Herkenbaarheid
Herkenbaarheid zorgt voor vertrouwen bij mensen. Door het gebruik van de juiste kleding, bestickerde busjes en visitekaartjes, zorgt een hacker ervoor dat zijn slachtoffer denkt dat hij te maken heeft met een betrouwbare medewerker van bijvoorbeeld de telefonieleverancier, het beveiligingsbedrijf of de gemeente. In grotere organisaties kan het noemen van namen van collega’s, kennis van werkwijzen of het gebruik van jargon ervoor zorgen dat het slachtoffer denkt dat hij met een collega te maken heeft. Een collega die hij vervolgens onterecht toegang geeft tot de organisatie.
Ook wordt het concept van herkenbaarheid veel toegepast bij het opzetten van open wifi-netwerken. Als je in de trein zit en verbinding kunt maken met het “NS free wifi”-netwerk, dan zul je dit waarschijnlijk proberen. Vervolgens heeft een hacker toegang tot alle data die je via het netwerk verstuurt.
Truc 5: Hulp
Mensen zijn relatief snel bereid om iemand te helpen. Een hacker kan gemakkelijk een kantoor binnenlopen met het verzoek om de bedrijfsprinter te gebruiken, omdat zijn eigen printer is vastgelopen. Uitgerekend op het moment dat hij een sollicitatieformulier moet inleveren. Voor het gemak heeft hij het bestandje op een USB-stick gezet. Het lijkt relatief onschuldig, maar de behulpzame medewerker weet niet dat de stick is geïnfecteerd met malware.
Dit zijn slechts vijf voorbeelden waarmee hackers psychologie inzetten om slachtoffers te manipuleren. Het is bijna onmogelijk om je hier volledig tegen te wapenen. Toch kunt u met het creëren van bewustwording al heel veel voorkomen.
Wilt u meer weten over awareness trainingen? Neem dan contact met ons op!