De psychologie achter Spear-phishing

Veel kwetsbaarheden zitten in het hoofd. Hoe kun je deze neutraliseren?

Als we het hebben over kwetsbaarheden, dan hebben we het meestal over fouten in codering en systeemkwetsbaarheden. Maar er zijn andere kwetsbaarheden die zich in het hoofd van het slachtoffer bevinden.

Het is geen kwestie van gebrek aan bewustzijn over of negeren van cybersecurity – de manier om met die problemen om te gaan is duidelijk. Nee, het is simpelweg dat het brein van de gebruiker soms net iets anders werkt dan IT-veiligheidsguru’s zouden willen, onder invloed van social engineering.

Social engineering is in feite een mix tussen sociologie en psychologie, een reeks technieken waarbij een omgeving wordt gecreëerd met een beoogd doel. Er wordt gespeeld met menselijke gevoelens, zoals angst en cybercriminelen kunnen hiermee toegang krijgen tot nuttige informatie. Het is voornamelijk deze ”wetenschap” die schuilt achter de aanvallen van tegenwoordig.

Vier gevoelens waar oplichters op azen:

  • Nieuwsgierigheid
  • Medeleven
  • Angst
  • Hebzucht

Het zou niet juist zijn om dit kwetsbaarheden te noemen; het zijn simpelweg menselijke emoties. Invloedsfactoren zou een accuratere term zijn, waarmee manipulators hun slachtoffers proberen te beheersen, het liefst op een manier dat het brein automatisch handelt, zonder kritisch na te denken. Om dit te bereiken, hebben cybercriminelen genoeg trucjes op voorraad.

Natuurlijk werken bepaalde strategieën beter dan andere, maar we kijken naar de meest voorkomende en leggen uit hoe ze precies werken.

Respect voor autoriteit

Dit behoort tot de cognitieve denkfouten – systematische patronen van afwijking in gedrag, perceptie en denkwijze. Het is de neiging om onvoorwaardelijk iemand te volgen die in zekere zin ervaring of macht heeft, zonder een eigen oordeel in acht te nemen.

In de praktijk kan het gaan om een phishing e-mail, zogenaamd van je baas. Als het bericht een instructie zou zijn om jezelf twerkend te filmen en het te sturen naar tien vrienden, dan zou er waarschijnlijk een alarmbel gaan rinkelen. Maar als je leidinggevende zegt dat je een document over een nieuw project moet lezen, dan ben je waarschijnlijk eerder geneigd om de bijlage te openen.

Tijdsdruk

Een van de meest voorkomende vormen van psychologische manipulatie is het creëren van een noodsituatie. Bij het maken van een rationeel besluit, is het goed om relevante informatie te bestuderen, en dat kost tijd. En juist deze situatie proberen oplichters uit te sluiten voor hun slachtoffers.

Manipulators zaaien angst (”We hebben ongebruikelijke aanmeldactiviteiten in uw account gedetecteerd. Was u dit niet, klik dan zo spoedig mogelijk op deze link…”) of situaties die leiden tot gelddorst (”Alleen de eerste tien krijgen korting, mis het niet…”). Als de klok door blijft tikken, is de kans op de activatie van instinct en het maken van een emotionele beslissing groter dan rationeel en doordacht handelen.

De berichten in deze categorie bevatten woorden zoals ‘dringend’ en ‘belangrijk’. Relevante woorden worden vaak in het rood gemarkeerd, de kleur van gevaar, dat het effect vergroot.

Automatisme

In de psychologie worden automatismen beschreven als handelingen die worden verricht zonder bewust na te denken. Er zijn twee soorten automatismen: primaire (aangeboren, niet overwogen) en secundaire (niet langer overwogen, maar aanvankelijk wel bewust). Daarnaast zijn er verschillende categorieën: motorische, spraak, mentale.

Cybercriminelen proberen automatismen uit te lokken met berichten die bij bepaalde mensen het gewenste effect opleveren. Voorbeelden zijn ‘Het e-mailbericht kan niet worden afgeleverd, klik hier om het opnieuw te versturen’, vervelende newsletters met een aanlokkelijk grote afmeldknop, en nepmeldingen over nieuwe commentaren in sociale media. De reactie in dit geval is het resultaat van secundaire motorische en mentale automatismen.

Onverwachte openbaringen

Dit is nog een veel gebruikte vorm van manipulatie. Informatie die verhuld wordt in de vorm van een openhartige opmerking wordt automatisch minder kritisch bestudeerd.

In de praktijk kan het bericht er als volgt uitzien: ”Helaas moeten we u informeren dat er een wachtwoord lek heeft plaatsgevonden. Controleer alstublieft of u in de lijst staat van gestolen wachtwoorden.”

Wat te doen

Vertekeningen zijn een biologisch fenomeen en cybercriminelen maken er gretig gebruik van. Het is het resultaat van de evolutie van het brein zodat de mens zich kan aanpassen aan de wereld en om zo tijd en energie te besparen. Het merendeel van de vertekeningen komen door een gebrek aan kritisch denken, en veel aanpassingen zijn niet geschikt voor de moderne werkelijkheid. Maar wees gerust, manipulatie kan voorkomen worden met een beetje kennis over de menselijke geest, en door het volgen van een aantal simpele stappen:

  1. Stel voor jezelf de regel vast om berichten afkomstig van hogerop altijd kritisch te lezen. Waarom vraagt je baas om een bestand te openen dat bescherm is met een wachtwoord en staat dat wachtwoord in hetzelfde bericht? Waarom zou een manager die toegang tot de rekening heeft, aan jou vragen om geld over te maken naar een nieuwe partner? Waarom zou iemand een niet-standaard opdracht via e-mail sturen in plaats van op de gebruikelijke manier? Als iets er vreemd uitziet, vraag dan om opheldering via een ander kanaal.
  1. Reageer niet onmiddellijk op berichten die vragen om een urgente handeling. Houd het hoofd koel, zelfs als de inhoud van het bericht jou zenuwachtig maakt. Controleer altijd de afzender, de domeinnaam, en link alvorens ergens op te klikken. Twijfel je nog steeds, neem dan contact op met IT.
  1. Mocht je de neiging hebben om automatisch bepaalde soorten berichten te beantwoorden, probeer dan bewust te worden van je handelingen. Dit kan je op weg helpen om het proces te de-automatiseren – het belangrijkste is om je bewustzijn te activeren op precies het juiste moment.
  1. Onthoud de tips die we in een andere post hebben gegeven over het voorkomen van phishing:
  1. Gebruik veiligheidsoplossingen met betrouwbare antiphishing-technologieën. De meeste pogingen tot inbraak zullen bij het eerste obstakel aan het licht komen.
Tips