Een nieuw rapport van Intel Security – Hacking the Human Operating System – laat zien welke slimme overtuigingstechnieken cybercriminelen gebruiken om werknemers zo ver te krijgen dat ze gevoelige informatie verstrekken, e-mailbijlagen openen of op links klikken.
Het rapport verschijnt slechts enkele dagen na de onthulling dat ruim 100 banken over de hele wereld het slachtoffer zouden zijn geworden van malware die tot wel $1 miljard aan schade zou hebben aangericht. De computers van banken werden het slachtoffer van doelgerichte phishingaanvallen. Dit onderstreept de inherente zwakheden van de ‘menselijke firewall’ en wijst op de noodzaak om werknemers goed voor te lichten over de overredingstechnieken die cybercriminelen hanteren om hun doel te bereiken. Het rapport bevat ook handvatten en tips voor organisaties om medewerkers te wapenen tegen veel gebruikte social engineering-technieken.
“Cybercriminelen richten zich op de mensen bij organisaties die ze zo ver moeten zien te krijgen dat ze een actie ondernemen waardoor ze – vaak onbewust – malware daadwerkelijk op hun systemen installeren”, zegt Wim van Campen, vice president Noord en Oost Europa, Intel Security. “Hoewel veel organisaties inmiddels hun beveiliging technisch gezien wel op orde hebben, is de technologie slechts één onderdeel van het samenspel ‘mensen – processen – technologie’, dat nodig is om cybercriminaliteit het hoofd te kunnen bieden. Het is daarom belangrijk dat de hele organisatie – van het management tot de werknemers – zich goed bewust is van de social engineering trucs die cybercriminelen hanteren.”
McAfee Labs ziet ook een sterke toename in het gebruik van kwaadaardige URLs: eind 2014 waren in totaal ruim 30 miljoen verdachte URLs geïdentificeerd. Deze toename lijkt vooral het gevolg van het gebruik van de nieuwe URL-verkorters, waarmee adressen van kwaadaardige websites worden verborgen. McAfee Labs wijst ook op het feit dat inmiddels twee derde van alle e-mail die wereldwijd wordt verzonden, nu spammails zijn waarmee wordt getracht om ontvangers informatie en geld afhandig te maken. Wereldwijd blijkt dat 18% van de gebruikers die een phishingmail ontvangen, op een kwaadaardige link klikt. De toenemende inzet van dergelijke methodes is dan ook reden voor bezorgdheid.
De zes bekendste trucs om voor te waken:
1. Wederkerigheid – als mensen iets krijgen, voelen ze zich vaak verplicht om iets terug te doen.
2. Consistentie – wanneer een slachtoffer eenmaal heeft beloofd om iets te doen, zullen ze zich daar vaak aan houden omdat ze niet als onbetrouwbaar willen overkomen. Een hacker kan zich bijvoorbeeld voordoen als een IT-medewerker van de organisatie en de werknemer er wijzen dat hij zich aan het beveiligingsbeleid van het bedrijf dient te houden. Vervolgens kan gevraagd worden om handelingen te verrichten die ogenschijnlijk nodig zijn om aan dit beleid te voldoen.
3. Schaarste – wanneer mensen het idee hebben dat iets schaars is of dat ze binnen korte tijd moeten reageren, zijn ze eerder bereid om in te gaan op verzoeken. Een voorbeeld zijn phishingmails die van een bank afkomstig lijken te zijn en die de ontvanger verzoeken om snel te reageren (door op een link te klikken), omdat ze anders het risico lopen dat hun account binnen 24 wordt geblokkeerd.
4. Aardig vinden – mensen zijn eerder geneigd om mee te werken als de ‘social engineer’ iemand is die ze aardig vinden. Een cybercrimineel kan bijvoorbeeld heel charmant en overtuigend overkomen aan de telefoon, om zo zijn slachtoffer zo ver te krijgen dat hij of zij voldoet aan een verzoek om gevoelige informatie.
5. Autoriteit – mensen zijn eerder geneigd om te voldoen aan verzoeken die afkomstig lijken te zijn van iemand met autoriteit. Bijvoorbeeld in een doelgerichte e-mail aan het financiële team, die afkomstig lijkt te zijn van de CEO of directeur.
6. Sociale validatie – mensen zijn eerder geneigd om iets te doen als ze denken dat anderen dat ook doen. Een phishingmail kan bijvoorbeeld zo opgesteld zijn dat het lijkt alsof deze naar een hele groep werknemers of de hele afdeling gestuurd is. Dit kan de werknemer ervan overtuigen dat de e-mail en de informatie of verzoeken daarin legitiem zijn.