nl
Uw uitdagingen
Onze diensten voor u
Mens
Proces
Technologie
Geïntegreerde Aanpak
Psycholoog Sophie Jellema
Mensen vragen Secura vaak: wat is social engineering eigenlijk, en kan ik er iets tegen doen? Een hacker heeft informatie nodig om binnen te dringen in een netwerk of systeem. Wachtwoorden, bijvoorbeeld.
Om daaraan te komen gebruiken criminelen social engineering. Hoe werkt dat? Psycholoog Sophie Jellema beantwoordt 6 vragen over social engineering.
Social engineering is mensen hacken, zegt Sophie Jellema. Zij is psycholoog bij Secura en werkt in opdracht van bedrijven als ethisch social engineer. ‘Een social engineer snapt hoe een mens werkt, en hoe je informatie van iemand kunt achterhalen.’
‘Bij hacken denk je aan code kraken, maar je kunt ook mensen hacken. We zien dat ook steeds vaker gebeuren, omdat bedrijven technisch alles veel beter beveiligen. Criminelen kiezen de makkelijkste weg, en dat is de mens.’
Sophie Jellema doing a vishing call
‘Als ik op wachtwoordenjacht ga, gebruik ik meestal de telefoon’, zegt Jellema. ‘Nogmaals: ik doe dit alleen met toestemming van een bedrijf. Als ik een medewerker van dat bedrijf bel, geef ik me vaak uit als iemand van IT. Ik zeg: ‘We zien wat rare dingen bij je account, kunnen we dat samen checken?’
‘Dan kijk ik zogenaamd met iemand mee. Ik vraag bijvoorbeeld: ‘Is je computer langzaam?’ Computers zijn altijd langzaam dus daar heb ik mijn eerste ‘ja’ van een medewerker. Vervolgens stel ik iemand gerust, we praten wat.’
‘Dan vraag ik: ‘Het ziet er allemaal netjes uit. Je bent ingelogd om half negen, klopt dat?’ De meeste mensen loggen rond negen uur in, dus vaak klopt dat. Dan komt het. Ik zeg: ‘Ik zie hier ook een wachtwoordreset. Was jij dat ook? Gek, er staat nu als wachtwoord ‘welkom01’.’
‘Dat klopt vast niet, toch? Ik heb wel het juiste wachtwoord nodig, wil je ‘m even voor me spellen?’ Gemiddeld 60% van de mensen die ik aan de telefoon spreek geeft mij uiteindelijk hun wachtwoord. En dat binnen zo’n twee minuten.’
Jellema gebruikt aan de telefoon de 7 principes van beïnvloeding die de Amerikaanse psycholoog Robert Cialdini in 1984 opstelde. Bijvoorbeeld: wederkerigheid, tijdsdruk en sympathie. ‘Deze principes komen uit de marketing, en ze werken heel goed als je iets van mensen wilt hebben’.
Ik zeg: ‘Het lijkt alsof er nú iets van je account wordt weggesluisd. Ik ga dit voor je oplossen, maar dan heb ik wel je hulp nodig.’ Hier geldt de regel van tijdsdruk en wederkerigheid. Ik creëer een beetje paniek met die tijdsdruk en tegelijkertijd ben ik echt heel aardig en begripvol; als ik jou help, dan werk jij ook met mij mee.’
Jellema gebruikt dezelfde trucs als echte oplichters. ‘Als ik dit niet voor mijn werk zou doen, zou ik me ontzettend schuldig voelen. Daarom doe ik direct een nagesprek met de mensen die ik heb ‘opgelicht’. Ik bespreek met hen wat ik heb gedaan, waarom ze er misschien zijn ingetrapt. Misschien zijn ze geschrokken, dan stel ik ze gerust. Ik geef ze na afloop ook altijd mijn echte naam, en ik maak duidelijk dat ik dit heb gedaan in opdracht van hun werkgever.’
Social engineering kent veel vormen
There are many forms of social engineering. The best-known is phishing. You can fish for information in all kinds of ways, Jellema explains: 'What I do on the phone is called voice phishing, or vishing. And of course everybody knows email phishing. We also see smishing: phishing via SMS. For example, in The Netherlands there are fake text messages from the tax authorities going around: ‘Please pay us 17.95 euro’s.’
Er zijn veel vormen van social engineering. De bekendste vorm is phishing. Eigenlijk betekent phishing: hengelen naar informatie. Dat kun je op allerlei manieren doen, legt Jellema uit: ‘Wat ik aan de telefoon doe heet voice phishing, of vishing. Maar je hebt natuurlijk ook het bekende e-mailphishing. Of smishing: phishing via SMS. Denk bijvoorbeeld aan de fake SMS-berichten van de Belastingdienst dat je nog 17,95 euro moet betalen.’
De laatste tijd zien Jellema en haar collega’s steeds vaker ‘tailored phishing’. Dat is grootschalige, geautomatiseerde phishing, maar met op maat gemaakte mails of sms’jes. ‘Criminelen scrapen daarvoor informatie van social media. Daardoor lijkt het alsof het bericht écht voor jou is.’
‘Het is niet alleen: ‘Hee voornaam, achternaam,’ maar ook: ‘Je werkt nu al 4 jaar voor dit bedrijf.’ Onze teamgenoot Romy Schellekens doet onderzoek naar tailored phishing, samen met de faculteit Mathematics and Computer Science van de TU Eindhoven. De hypothese is dat veel meer mensen klikken op links in dit soort e-mails.’
Welke vorm van social engineering ook in het spel is, het gaat volgens Jellema altijd om vertrouwen winnen of interesse wekken. Bij ‘baiting’ zorgt een social engineering voor ‘aas’: ‘Ik stuur dan bijvoorbeeld een interessante bijlage bij een mail die ‘per ongeluk’ naar het hele bedrijf gaat, met als bestandsnaam misschien ‘Bonussen bestuur komend jaar’. In dat bestand zit mijn malware verstopt.’
Pretexting betekent: je voordoen als iemand anders om vertrouwen te winnen. ‘Dat gebeurt vaak in meerdere stappen. Een social engineer doet zich voor als je dochter. Die appt vanaf een ander nummer omdat haar telefoon gestolen is.’
‘Als jij die ‘pretext’ of het voorwendsel gelooft, dan vraagt de social engineer of je geld wilt overmaken naar ‘de rekening van een vriend.’ Want niet alleen de telefoon, ook de portemonnee is gestolen.’
Een social engineer gebruikt dus vaak technologie om mensen te hacken. Maar social engineering kan ook zonder computer of telefoon, zegt Jellema: ‘Ik ga vaak op pad als mystery guest. Dan word ik betaald om in te breken. Niet zo lang geleden was ik bijvoorbeeld bij een museum.’
‘De opdracht was: kijk hoe ver je kunt komen in het gebouw. Toen iemand een deur opendeed met een toegangspas, heb ik m’n voet tussen de deur gezet. Zo kwam ik in de gang naar het restauratieatelier.’
Zo’n opdracht is best spannend, zegt Jellema: ‘Die gang zat hermetisch dicht. Ik zag een camera hangen. In de verte het hokje met bewakers. Geen enkele plek om mezelf te verstoppen, behalve een wc. Ik heb toen 10 minuten in het wc-hokje geschuild. Bij dit bezoek hebben de hoofdbewakers me onderschept en me niet meer losgelaten. Dat is wat je wil: laat mij niet meer los. Of zet me bij de receptie. Als je mij alleen laat, dan blijf ik niet zitten, net als een echte social engineer.’
Je bent op kantoor en daar is iemand die er niet hoort. Wat moet je dan doen? Jellema adviseert: ‘Laat mensen niet zomaar meelopen naar binnen. Dat voelt misschien wat onbeschoft, maar ik zeg zelf dan: ‘We hebben afgesproken dat we met z’n allen dit gebouw beveiligen. Dus ik kan je niet binnenlaten als ik niet weet je hier doet.’
Als iemand al binnen is, en de situatie voelt veilig: spreek die persoon aan. Zeg: ‘Ik ken je niet. Wat doe je hier?’ Als iemand onbevoegd blijkt te zijn, breng die persoon dan naar de receptie of diens contactpersoon. Je hoeft iemand echt niet in de handboeien te slaan. Hou het vriendelijk.’
Misschien ben je aan de telefoon met iemand, en vertrouw je het niet. Dan adviseert Jellema: ‘Deel geen informatie. Heb je dat al gedaan: beëindig het gesprek en maak zo snel mogelijk een melding bij iemand die verder onderzoek kan doen.
Waarschijnlijk ken je de slogan: ‘Stop, hang op, bel je bank.’ Doe dat echt. Heb je op je werklaptop op een rare link geklikt? Stop, klik weg, en bel IT. Iedereen is op vrijdagmiddag wel eens ergens anders met z’n hoofd. Het gebeurt mij ook. Ik trap ook in phishingmails. Maar meld het!’
Wilt u de medewerkers van uw bedrijf trainen tegen social engineering? Dan is het Security Awareness & Behavior Programma [SAFE] van Secura iets voor u. Neem vrijblijvend contact met ons op voor meer informatie.
Mail of bel ons voor een vrijblijvend adviesgesprek over het trainen van de medewerkers van uw bedrijf tegen social engineering. We reageren binnen één werkdag.
