Achter de voordeur

Door 5 november 2020 november 13th, 2020 Blog

Toen ik gisteravond thuiskwam van een gezellige avond met een vriendin, was mijn moeder bezorgd en een beetje van streek. Ik vroeg haar of er iets was gebeurd, waarop zij me vertelde wat er die avond was voorgevallen. Eerlijk gezegd, ik zou ook van streek zijn. Het is namelijk best een eng idee dat vreemde mensen binnen een paar minuten zo’n invloed op je kunnen uitoefenen.

Het gesprek

Mijn moeder werd gisteravond gebeld door het nummer van de ING fraudedesk. De vrouw aan de telefoon vertelde mijn moeder in goed Nederlands dat hackers vanuit Ghana hadden geprobeerd om geld over te maken naar een andere rekening. Ze wilde door middel van een aantal controlevragen verifiëren of mijn moeder het slachtoffer van de hack was. Ze vroeg hoeveel geld er op de rekening stond en om onze postcode en adres. Ook wilde ze weten of het klopte dat ons rekeningnummer eindigde op de drie cijfers die bij hun in het systeem stonden (deze kwamen daadwerkelijk overeen).

Op zich niets om bezorgd over te zijn, echter had ze niet een ING medewerker aan de lijn, maar een zogeheten social engineer. Een social engineer is iemand die door middel van manipulatie mensen gebruikt om hen vertrouwelijke informatie te ontfutselen, om daarmee bijvoorbeeld toegang te krijgen tot systemen of data. Met alle gevolgen van dien. Om mijn moeder te misleiden heeft deze vrouw gebruik gemaakt van “spoofing”, dit is een techniek waarbij je je eigen telefoonnummer vervangt door een ander telefoonnummer. In dit geval het telefoonnummer van de ING fraudedesk.

In huis komen

De vrouw wilde weten of onze computer goed beveiligd was. Ze vroeg of we een virusscanner hadden en een sterk wachtwoord op het wifi-netwerk. Er zou namelijk een kans zijn dat we gehackt waren via onze IP-adressen. De vriendelijke vrouw stelde zelfs nog voor om een monteur langs te laten komen om het een en ander te controleren en eventueel sterker te beveiligen. Vanavond had de monteur geen tijd meer, maar hij zou morgen of overmorgen langs kunnen komen. Ze benadrukte nog een keer dat het erg belangrijk was om hier zo snel mogelijk wat aan te laten doen.

Beveiligd depot?

Voor de verdere afwikkeling verbond de vrouw mijn moeder door met haar collega, die zou uitleggen welke stappen ondernomen zouden moeten worden. Er kwam een man aan de telefoon, wederom goed Nederlands sprekend. Hij begon uit te leggen dat hackers nog lang in de rekeninggegevens kunnen rondsnuffelen. De criminelen waren volgens hem op het moment bij meerdere mensen hun slag aan het slaan, waardoor de ING Fraudedesk het erg druk had. Vanwege de drukte zou de rekening wat langer geblokkeerd blijven. Dit kon voorkomen worden door het geld op de rekening zo snel mogelijk op een andere manier veilig te stellen. Het geld van de spaarrekening zou verplaatst moeten worden naar de lopende rekening, om vervolgens overgemaakt te kunnen worden naar een beveiligd depot met een Nederlands rekeningnummer. Na twee dagen zou alles opgelost zijn en zou mijn moeder instructies ontvangen om het geld vanuit het beveiligde depot weer terug te boeken naar de eigen rekening.

Gedrag & Bewustzijn – overtuigingsprincipes

Social engineers maken in de meeste gevallen dankbaar gebruik van de zeven overtuigingsprincipes waarop mensen te beïnvloeden zijn[1]. Robert Cialdini heeft deze principes geïdentificeerd die van oudsher voornamelijk bekend zijn binnen de marketingwereld De zeven overtuigingsprincipes worden hieronder verder toegelicht:

Wederkerigheid: Door iets weg te geven (zoals een gratis e-book, dienst of een cadeautje), krijgen mensen onbewust het gevoel dat jij iets tegoed hebt. Hiermee zijn mensen sneller geneigd om iets terug te doen.​

Schaarste: Mensen zijn gevoelig voor schaarste en worden hebberig bij een beperkt aantal producten of bij een tijdbeperking op een speciale aanbieding. Daarnaast vinden mensen het nemen van beslissingen onder tijdsdruk vaak moeilijk en zijn ze er ook niet zo goed in.

Autoriteit: Van jongs af aan wordt ons aangeleerd dat bepaalde mensen met autoriteit gelijk hebben. Dit maakt dat we sneller geneigd zijn om experts te geloven. Manieren om autoriteit aan te tonen zijn bijvoorbeeld, functie, gewonnen prijzen, nominaties of keurmerken.

Commitment en consistentie: Dit principe draait om mensen stapsgewijs enthousiast te maken voor iets (commitment) en deze aandacht vast te houden (consistentie). Een nieuwsbrief is bijvoorbeeld een goede eerste stap om loyaliteit te creëren. Hoe vaker mensen ‘ja’ zeggen in een proces, hoe moeilijker het wordt om ‘nee’ te zeggen.​

Sympathie: Mensen zijn sneller geneigd om iets voor iemand te doen die ze sympathiek vinden.

Sociale bewijskracht: Veel mensen zoeken voorafgaand aan een aankoop bevestiging voor hun keuze. Het geeft een koper meer vertrouwen een product of dienst af te nemen waar andere mensen enthousiast over zijn.

Eenheid: Dit principe gaat over de behoefte van mensen om ergens bij te horen. Factoren zoals cultuur, locatie, groepsgevoel en leeftijd spelen mee in die eendracht. Hier kun je op inspelen door onderwerpen te kiezen waar personen zich in herkennen of graag mee identificeren.​

Incident analyse

In deze aanval zijn vijf van deze principes gebruikt in de misleiding. Het eerste principe is autoriteit. In het verhaal hierboven manifesteert het principe autoriteit zich doordat de bellers zich presenteren als het fraudeteam van de ING. Zij zijn een autoriteit op het opsporen van fraude, ze zullen dus wel gelijk hebben met de mogelijke hack vanuit Ghana. Daarnaast gebruikten de social engineers typische IT-begrippen om het slachtoffer te overbluffen.

Het tweede principe is schaarste. Doordat de social engineers in het verhaal hierboven blijven hameren op de beperkte behandeltijd, wordt het slachtoffer getriggerd om te kiezen voor de snelste oplossing die voorhanden ligt. Maar helaas is de snelste oplossing vaak niet de beste oplossing…

Het derde principe is sympathie. De social engineers waren erg behulpzaam en vriendelijk. Zo vriendelijk dat ze meteen klaar stonden om mijn moeder te helpen met haar problemen. Ze wilden zelfs al een afspraak met een monteur voor haar inplannen. Wat een goede klantenservice zeg (…).

Het vierde principe is wederkerigheid. Met een solide, aannemelijk verhaal gaven ze mijn moeder iets, namelijk een snelle hulp van een monteur. Hierdoor was mijn moeder meer bereid om ook iets voor hen terug te doen.

Het vijfde principe is commitment en consistentie. Met een eng verhaal over hackers uit Ghana kregen de social engineers de aandacht en commitment van mijn moeder. Door een geraffineerde opbouw van het verhaal en het stellen van de juiste vragen, wisten ze de aandacht van mijn moeder voor lange tijd vast te houden.

Slot paragraaf

Uiteindelijk liep het goed af: mijn moeder begon te twijfelen en vroeg of ze wel echt iemand van de fraudedienst aan de telefoon had. Hierop werd er geantwoord dat dit zeker het geval was, omdat ze ook niet om haar inloggegevens had gevraagd en nodig hadden. Mijn moeder vertrouwde het niet meer en verbrak hierop de verbinding. Ondertussen was de fraude ook al opgemerkt bij ING. Deze had uit voorzorg de bankrekening al geblokkeerd. De aanbevelingen die ING geeft voor dit soort fraude kan je hier vinden.

Misschien wel het meest schokkende aan dit verhaal is dat de social engineers misschien wel probeerden om binnen te komen in ons huis. Toegegeven, de aanvallers zouden een hoog risico hebben gelopen om gepakt of ontdekt te worden met een kleine kans op winst. Ik denk dan ook eerder dat het aanbod puur was om wederkerigheid te kunnen vragen. Toch is het wel mogelijk, en wellicht een proef om in te kunnen zetten bij de grotere geldbazen. Het standaardpatroon is dan dat ze proberen te komen als iemand (in dit geval mijn moeder) alleen thuis is. Ze komen met zijn tweeën, waarvan er een het slachtoffer afleidt (door bijvoorbeeld de computer aan onderzoek te onderwerpen en vragen te blijven stellen). De ander kan opzoek gaan naar geld of zich bezig houden met het plaatsen van een tap, waardoor er afgeluisterd kan worden.

Achteraf was mijn moeder kwaad op zichzelf dat ze zo stom was om bijna in de oplichting te trappen en dat ze de trucs sneller door had moeten hebben. Gelukkig viel ze niet voor de misleiding en voorkwam daarmee dat er €10.000 gestolen werd. Het schuldgevoel dat mijn moeder ervaarde is begrijpelijk, maar zeker niet terecht! Als mens gaan we graag uit van het goede van de mensen om ons heen. Daarentegen worden de trucs die social engineers vandaag de dag gebruiken steeds meer geslepen. Er wordt bewust en gericht ingespeeld psychologische principes. Het is niet ‘fout’ of ‘jouw schuld’ dat je er intrapt. Het is veel geraffineerder dan je denkt. Het beste wapen is gezond verstand en alertheid, gevoed door het besef dat er bewust misbruik gemaakt kan worden van jouw vertrouwen. Bewustwording zou niet moeten gaan om het ‘verbeteren van fout gedrag’, maar om het ‘herkennen van de technieken’. Geen schuld, maar een handreiking.

Tesorion biedt verschillende manieren om gedrag en bewustzijn met betrekking tot bijvoorbeeld phishing te vergroten. Daarnaast zijn er diverse webinars om je te helpen om te gaan met deze ‘kunst van verleiding’.

[1] Robert B. Cialdini – Influence, The Psychology of Persuasion