Het is belangrijk voor IT-professionals om te begrijpen op welke manieren social engineers misbruik maken van emoties bij het uitvoeren van een aanval. Wij kijken in dit artikel naar de vier emoties en gedragingen die hackers het meest gebruiken en naar enkele manieren waarop jij en je collega's je kunnen wapenen tegen dat soort aanvallen.

Angst

Het is de meest gemanipuleerde emotie tijdens social engineering-campagnes. Of het nou een nepmail is met de melding dat je bank-account is gehackt en er een wachtwoord gewijzigd moet worden of dat er een openstaande boete zo snel mogelijk moet worden betaald, deze manier van oplichting zorgt ervoor dat mensen snel (en geschrokken ) reageren met alle gevolgen van dien.

Een mooi (of eigenlijk verschrikkelijk) voorbeeld is dat cybercriminelen misbruik maakten van de Amerikaanse belastingdienst. Tijdens de belastingteruggave-periode stalen de criminelen gegevens van de belastingdienst. Vervolgens belden de criminelen met hun slachtoffers en werden meteen agressief. Ze dreigden meteen met juridische stappen als het geld niet zo snel mogelijk werd overgemaakt naar een nep-rekeningnummer om "te veel teruggekregen geld" terug te storten.

Gehoorzaamheid

De meeste social engineering-scams zijn vermomd als een e-mail, instant message of zelfs een telefoontje van een persoon of groep die een tree hoger op de autoriteitsladder staat. Mensen als de politie of de baas van een groot bedrijf. Het zit niet in onze aard om de in twijfel te trekken wat die schrijven en veel mensen doen daarom maar snel wat er van hen wordt gevraagd.

Toch is het goed om enige achterdocht te hebben op zulke momenten. Vraag dat maar aan speelgoedmaker Mattel, dat bijna 3 miljoen dollar overmaakte naar een cybercrimineel die zichzelf uitgaf voor als de CEO van het bedrijf. Deze nep-CEO stuurde een e-mail naar een finance executive met instructies een betaling naar een leverancier in China goed te keuren. Gelukkig is het goed afgelopen voor Mattel. Chinese autoriteiten konden het geld terugstorten, maar het was wel een harde les voor Mattel.

Hebzucht

Als er wordt ingespeeld op hebzucht gaat dat meestal gepaard met een, meestal financiële, beloning. Een typisch voorbeeld is de maar al te vaak aangehaalde "Nigerian scam". Cybercriminelen claimen meestal een belangrijk persoon uit Nigeria te zijn. Er wacht een flinke beloning op de gemailde persoon zolang deze z'n bankgegevens en/of andere informatie maar netjes deelt.

In 2013 liet een slachtoffer uit Australië weten voor 300.000 dollar te zijn opgelicht. Vier jaar lang wist een cybercrimineel geld af te troggelen van de dame. Sommige mensen gaan daarin heel erg ver.

Behulpzaamheid

Niet alle cybercriminelen maken misbruik van negatieve emoties om hun social engineering-skills op los te laten. Soms wordt er ook misbruik gemaakt van de behulpzaamheid van de mens. Deze campagnes zijn meestal gericht op klantondersteuning of klantenservice. Aanvallers hopen gegevens los te krijgen door zich voor te doen als hulpeloze klant en proberen op deze manier informatie los te krijgen die ze normaal gesproken niet zouden (moeten) krijgen.

Amazon.com heeft deze fout ooit eens gemaakt. Een hacker nam contact op met de klantenservice van Amazon. De hacker had een naam en e-mail adres en probeerde samen met de medewerker het account te "verifiëren". Door de juiste vragen te stellen kreeg de hacker de juiste informatie in handen en kon met deze gegevens inloggen op het account van het slachtoffer en de gekoppelde creditcard misbruiken.

De medewerkers deden alleen maar hun werk, maar de hacker wist precies hoe deze behulpzaamheid misbruikt kon worden.

Voorkomen

In enterprise-omgevingen kun je social engineering het beste voorkomen door strenge policies in te stellen en medewerkers op te leiden. Interne dreigingen zijn de meest voorkomende en gevaarlijkste dreiging voor de beveiliging van een organisatie. 43% van alle data-diefstal/misbruik bleek van binnenuit te komen. De helft daarvan waren onbedoelde ongelukjes.

Ook moeten medewerkers getraind worden achterdochtig te zijn en terughouden te zijn als er bijvoorbeeld een verdachte mail binnen komt. Veel van deze tips zijn misschien logisch voor de gemiddelde IT-professional, maar de gemiddelde medewerker herkent de eigenschappen van een phising-mail zo makkelijk.