Cybercriminelen gebruiken dezelfde slimme verkooptrucs die in het dagelijkse leven worden toegepast, om werknemers zover te krijgen dat ze gevoelige informatie verstrekken, bijlagen met malware openen of op kwaadaardige links klikken.
Een nieuw rapport van Intel Security – genaamd
Hacking the Human Operating System – laat zien welke slimme technieken cybercriminelen gebruiken om werknemers zo ver te krijgen.
Het rapport verschijnt een week na de onthulling dat ruim 100 banken over de hele wereld het slachtoffer zouden zijn geworden van malware die tot
wel $1 miljard aan schade zou hebben aangericht. De computers van banken werden het slachtoffer van doelgerichte phishingaanvallen. Dit onderstreept de inherente zwakheden van de ‘menselijke firewall’ en wijst op de noodzaak om werknemers goed in te lichten over de overredingstechnieken die cybercriminelen hanteren om hun doel te bereiken.
1.
Wederkerigheid – als mensen iets krijgen, voelen ze zich vaak verplicht om iets terug te doen.
2.
Consistentie – wanneer een slachtoffer eenmaal heeft beloofd om iets te doen, zullen ze zich daar vaak aan houden omdat ze niet als onbetrouwbaar willen overkomen. Een hacker kan zich bijvoorbeeld voordoen als een IT-medewerker van de organisatie en de werknemer er wijzen dat hij zich aan het beveiligingsbeleid van het bedrijf dient te houden. Vervolgens kan gevraagd worden om handelingen te verrichten die ogenschijnlijk nodig zijn om aan dit beleid te voldoen.
3.
Schaarste – wanneer mensen het idee hebben dat iets schaars is of dat ze binnen korte tijd moeten reageren, zijn ze eerder bereid om in te gaan op verzoeken. Een voorbeeld zijn phishingmails die van een bank afkomstig lijken te zijn en die de ontvanger verzoeken om snel te reageren (door op een link te klikken), omdat ze anders het risico lopen dat hun account binnen 24 wordt geblokkeerd.
4.
Aardig vinden – mensen zijn eerder geneigd om mee te werken als de ‘social engineer’ iemand is die ze aardig vinden. Een cybercrimineel kan bijvoorbeeld heel charmant en overtuigend overkomen aan de telefoon, om zo zijn slachtoffer zo ver te krijgen dat hij of zij voldoet aan een verzoek om gevoelige informatie.
5.
Autoriteit – mensen zijn eerder geneigd om te voldoen aan verzoeken die afkomstig lijken te zijn van iemand met autoriteit. Bijvoorbeeld in een doelgerichte e-mail aan het financiële team, die afkomstig lijkt te zijn van de CEO of directeur.
6.
Sociale validatie – mensen zijn eerder geneigd om iets te doen als ze denken dat anderen dat ook doen. Een phishingmail kan bijvoorbeeld zo opgesteld zijn dat het lijkt alsof deze naar een hele groep werknemers of de hele afdeling gestuurd is. Dit kan de werknemer ervan overtuigen dat de e-mail en de informatie of verzoeken daarin legitiem zijn.