Veel cyberaanvallen zijn succesvol omdat cybercriminelen misbruik maken van het menselijk handelen. Cybercriminelen sturen bijvoorbeeld valse facturen om wachtwoorden te achterhalen of nep sms-berichten vanuit Bpost om slachtoffers geld afhandig te maken. De mens is dan ook meestal de zwakste schakel. Cybercriminelen weten dit als geen ander en gebruiken hiervoor psychologische tactieken om slachtoffers erin te luizen, we noemen dit ook wel social engineering.
Maar hoe komt het dat mensen massaal op gevaarlijke linkjes klikken terwijl we wel de risico’s kennen? En waarom geven we zo snel onze vertrouwelijke informatie aan cybercriminelen? Volgens gedragsonderzoeker Robert Cialdini zijn er zes universele principes van beïnvloeding waardoor het gedrag van de mens wordt bepaald. Social engineers gebruiken deze beïnvloedingsprincipes om hun potentiële slachtoffers te manipuleren en bepaald gedrag op te wekken. De zes principes van beïnvloeding zijn: wederkerigheid, consensus, consistentie, sympathie, autoriteit en schaarste.
De zes principes van beïnvloeding
Het principe van wederkerigheid houdt in dat mensen zich op een bepaalde manier schuldig voelen naar iemand die iets voor hen heeft gedaan of hen iets heeft aangeboden of gegeven. Cybercriminelen bieden in dit geval bijvoorbeeld een korting aan, waardoor het slachtoffer klikt op een kwaadaardige link. Een ander punt is consensus. Als mensen onzeker zijn, kijken ze naar anderen om hen te helpen een mening te formuleren. Zelfs als ze zeker zijn van hun overtuigingen, kunnen consensusadviezen erg overtuigend zijn. Als er bijvoorbeeld een ramp is, zijn er vaak cybercriminelen die zich als liefdadigheidsinstelling voordoen om donaties op te halen.
Het principe van consistentie is gebaseerd op het feit dat we graag consistent willen handelen met onze eerder ingenomen standpunten. Door ‘commitment’ voelen we een zekere druk om ons op een bepaalde manier te gedragen. Doen we dat niet? Dan voelen we ons daar niet prettig bij. De meeste mensen hechten hierdoor waarde aan integriteit. We bewonderen eerlijkheid en betrouwbaarheid in anderen, en we proberen dit in ons eigen leven in de praktijk te brengen. Cybercriminelen maken hier misbruik van door zich voor te doen als IT-manager en te zeggen dat ze bepaalde aanpassingen moeten maken voor de cyberveiligheid, waardoor ze vervolgens eenvoudig toegang krijgen tot het netwerk.
Cybercriminelen maken vaak gebruik van hun charmes. Door sympathiek over te komen aan de telefoon, proberen ze slachtoffers zo ver te krijgen dat ze voldoen aan een verzoek om gevoelige informatie te geven. Soms spelen ze ook in op autoriteit door bijvoorbeeld een nep-mail te sturen vanuit een CEO, waarin wordt gevraagd om ‘even’ een factuur van €15.000 over te maken. Mensen zijn geneigd hier gehoor aan te geven, aangezien het verzoek van een hooggeplaatst persoon komt. Het laatste principe is schaarste. Wanneer mensen het idee hebben dat iets schaars is of dat ze binnen korte tijd moeten reageren, zijn ze eerder bereid om in te gaan op verzoeken. Een voorbeeld zijn phishingmails die zogenaamd van de belastingdienst komen, met het verzoek om snel te reageren door op een link te klikken, omdat ze anders het risico lopen op een boete.
Psychologische impact slachtoffers
Naast deze psychologische tactieken heeft cybercrime ook een psychologische impact op slachtoffers. De meeste mensen denken dat de impact van een online misdrijf kleiner is, maar uit recent onderzoek van het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR) blijkt dit niet zo te zijn. Digitale misdrijven blijken een vergelijkbare impact te hebben op slachtoffers als traditionele vormen van criminaliteit. Doorgaans vinden mensen het moeilijk te begrijpen dat iemand slachtoffer kan worden van cybercrime. Dit terwijl online misdrijven op grote schaal plaatsvinden en iedereen immers slachtoffer kan worden. Door het gebrek aan begrip blijken slachtoffers van online misdrijven vaker te maken te krijgen met victim blaming. Slachtoffers krijgen bijvoorbeeld verwijtende opmerkingen van vrienden, familie of collega’s, terwijl cybercrime iedereen kan overkomen. Het is daarom belangrijk dat het kennisniveau rondom online misdrijven omhoog wordt gebracht, zodat slachtoffers kunnen rekenen op steun en erkenning. Een e-learning training, zoals de G DATA Security Awareness Training, is hier ideaal voor.
Daarnaast is het belangrijk om regelmatig preventief te zoeken naar signalen. Cybercriminelen kunnen zich soms wekenlang in een netwerk schuilhouden voordat ze hun slag slaan. Voer daarom regelmatig een netwerkscan uit met moderne security oplossingen, die voorzien zijn van intelligente mechanismen zoals: heuristiek, gedragsanalyse en exploitbeveiliging. Wees er zeker van dat al je apparaten volledig geüpdatet en gepatcht zijn en verwijder ook altijd de software die niet meer wordt gebruikt, waardoor er geen kwetsbaarheden kunnen ontstaan. Monitor daarnaast het netwerk regelmatig, weet wie waar toegang heeft tot het netwerk en welke apparatuur toegang heeft tot de systemen. Maak ook back-ups en vergeet niet om deze regelmatig te testen op volledigheid en functionaliteit. Dit zal de impact bij een data inbreuk verminderen en het herstelproces versnellen.
Gezien de meeste succesvolle cyberaanvallen komen door de mens, is het belangrijk om meer aandacht te besteden aan de psychologische aspecten. Er is bijvoorbeeld nog weinig bekend wat voor impact cybercrime heeft op slachtoffers. Daarnaast zal er meer onderzoek moeten worden gedaan hoe we kunnen voorkomen dat mensen toch op linkjes klikken. Misschien dat we op deze manier de hoeveelheid slachtoffers van online criminaliteit kunnen verminderen.
Dirk Cools, Country Manager BeLux en Frankrijk bij G DATA CyberDefense
