Cybercrime is een groeiend probleem dat veel ondernemers treft. Naast de technische aspecten van veiligheid speelt social engineering hierbij een belangrijke rol. Ook bij offline fraude maken fraudeurs gebruik van manipulatieve tactieken. In dit artikel leggen we uit wat social engineering is, welke tactieken fraudeurs hierbij gebruiken en hoe jij jezelf en je organisatie weerbaar maakt.
Ben je als gevolg van social engineering slachtoffer geworden van cybercrime, ga dan naar de Hackhelpdesk. Ben je slachtoffer van fraude door social engineering of ben je geconfronteerd met een poging daartoe, neem contact op met de Fraudehelpdesk. Voor meer nieuws, tips en tools, volg het PVO Brabant-Zeeland op LinkedIn.
Wat is social engineering?
Uw redacteur deed het in zijn puberjaren: bij concerten en festivals een kletsverhaal ophangen om backstage te komen. De buit was dan gratis drank, eten en de kans om contact te leggen met bekende artiesten. Dat is ook precies wat social engineering inhoudt: met manipulatie toegang krijgen die je niet hoort te hebben. Feitelijk is social engineering daarmee een geraffineerde vorm van liegen en bedriegen. Criminelen zijn slecht, maar ze zijn vaak ook slim. We zien dan ook dat wetenschappelijke inzichten over gedragsbeïnvloeding en sociale psychologie in de praktijk worden aangewend voorfraude.
De link tussen social engineering en cybercrime
Bij het bestrijden van cybercrime komt meer kijken dan alleen techniek. Zelfs als je alle technische aspecten op orde hebt, blijft de mens over als zwakste schakel. In tegenstelling tot computers zijn mensen niet geprogrammeerd om regels consequent en nauwkeurig op te volgen. Naarmate bedrijven hun technologie beter op orde krijgen, richt cybercrime zich daarom meer en meer op de mens. Het wordt daarom steeds belangrijker dat jij en je medewerkers weerbaar zijn tegen manipulatie.
Phishing als voorbeeld
Een van de meest voorkomende vormen van cybercrime is tegelijkertijd een van de bekendste voorbeelden van social engineering: phishing. Criminelen sturen duizenden e-mails in de hoop dat enkele ontvangers op de bijgevoegde links of bestanden klikken. We zien ook steeds vaker het zogenaamde “spear phishing,” een meer gerichte aanpak waarbij specifieke slachtoffers worden gekozen. In dit geval zijn de doelwitten vaak bedrijven of organisaties waar fraudeurs via medewerkers toegang proberen te krijgen. De kwaliteit van phishing-aanvallen verbetert naarmate ze gerichter worden, omdat de fraudeur dan precies weet wie het doelwit is en zijn strategie daarop kan afstemmen.
Welke strategieën gebruiken fraudeurs voor social engineering?
Je kunt op veel manier worden geconfronteerd met social engineering: via de mail, de telefoon of gewoon ouderwets aan de balie. Voor fraudeurs is elk communicatiemiddel een instrument om hun leugens te verspreiden. Hieronder bespreken we een paar van de strategieën en tactieken die ze hierbij toepassen.
Bij sommige van deze strategieën denk je misschien: “Wie trapt daar nou in?!” Dat is logisch, want uit onderzoek blijkt dat vrijwel iedereen onderschat hoe vatbaar hij of zij is voor manipulatie. Juist die zelfoverschatting is koren op de molen van fraudeurs. We nodigen je daarom uit om je zelfvertrouwen te temperen en te beseffen dat al die andere slachtoffers ook dachten dat zij er niet in zouden trappen.
De urgentie is hoog…
Fraudeurs weten dat mensen onder tijdsdruk vaak slechtere beslissingen nemen. De fraudeur zal je daarom vaak vertellen dat je onmiddellijk moet handelen om te voorkomen dat er iets misgaat. Door een vals gevoel van urgentie te creëren, voorkomt de fraudeur dat jij als slachtoffer de controles doet die je hoort te doen. In plaats van toe te geven aan die druk, is het daarom belangrijk dat je dit signaal herkent. Gebruikt iemand urgentie als drukmiddel om jou onmiddellijk te laten handelen, dan is dat juist een reden om die spreekwoordelijke pas op de plaats te maken.
…of er is juist niks aan de hand
Ook het tegenovergestelde is vaak waar. Een andere strategie van fraudeurs is om te doen alsof er niets aan de hand is. Bij deze aanpak maakt de fraudeur de interactie zo normaal mogelijk, in de hoop dat jij of je werknemer op die spreekwoordelijke “automatische piloot” blijven. Hierdoor ben je minder kritisch en ga je sneller mee in wat de fraudeur je opdraagt. Bij deze strategie zal de fraudeur zich meestal voordoen als iemand met wie het voor jou normaal is om zaken te doen: iemand van de bank, de verzekeraar, een leverancier of juist een klant. Ben daarom altijd kritisch en doortastend als iemand je vraagt om iets te doen. Diegene brengt het als een heel normaal verzoek, maar is het dat ook echt?
Ze willen je helpen…
Helpdeskfraude is een ernstig probleem waar zowel particulieren als bedrijven steeds vaker mee te maken krijgen. In het klassieke voorbeeld is dit iemand van “Microsoft” die toegang tot je PC moet krijgen omdat je “gehackt bent” of “een virus hebt”. Ook hierop zien we echter steeds meer steeds creatievere variaties. De gemene deler: de fraudeur gaat jou helpen, maar daarvoor moet je wel doen wat hij zegt. Het doel is daarbij dat jij je meer zorgen maakt over wat er misgaat als je niet naar de fraudeur luistert, dan over wat er misgaat als je wél luistert. Vooral voor bedrijven vormt helpdeskfraude een groot risico: de buit is hier vaak meer dan alleen geld.
…of hebben juist dringend je hulp nodig
Criminelen bieden niet alleen hulp, ze vragen het ook. Met hulpvraagfraude richten fraudeurs zich vooral op particulieren. Ze doen zich dan voor als een dierbare die in acute geldnood zit. Je dochter is bestolen van haar telefoon en pinpas. Daarom heeft ze ineens een onbekend nummer en moet je geld overmaken naar een onbekende rekening. Dat klinkt doorzichtig, maar als je denkt dat je kind in de problemen zit, heeft dat zijn weerslag op je beoordelingsvermogen. Bovendien zien we ook op deze strategie steeds meer en steeds verfijndere variaties. Ook bedrijven kunnen slachtoffer worden van hulpvraagfraude. Vaak is het dan een medewerker die acuut geld nodig heeft, bijvoorbeeld een chauffeur in het buitenland die een torenhoge boete meteen moet betalen. Het eerder genoemde gevoel van urgentie speelt bij hulpvraagfraude meestal een grote rol.
Ze gaan je belonen…
Fraudeurs zullen je vaak een niet-bestaande wortel voorhouden. Dit kan geld zijn, maar ook een baan, een vakantie of iets anders waar jij warm voor loopt. Dit varieert van de klassieke voorschot fraude – er wacht geld op je, maar je moet eerst de administratieve kosten betalen – tot veel verfijndere vormen. Voor ondernemers betekent het vaak dat jij of je medewerkers worden omgekocht met valse beloften. Zo zien we regelmatig dat fraudeurs zich voordoen als concurrent van het bedrijf van de werknemer. In ruil voor toegang tot bedrijfsprocessen of gevoelige informatie, wordt medewerkers dan een glansrijke carrière bij deze concurrent in het vooruitzicht gesteld.
…of juist bestraffen
Naast de wortel die we hierboven bespraken werken fraudeurs ook graag met een stok. De fraudeur doet dan of hij jou iets kan maken. Vaak is dit ordinaire chantage op basis van een bluf. In deze vorm kan de beoogde buit geld zijn, maar ook gevoelige bedrijfsinformatie of toegang tot systemen. Behalve jezelf niet chantabel te maken, moet je er dus ook alert op zijn dat fraudeurs hierover bluffen.
We zien ook dat fraudeurs zich uitgeven voor vertegenwoordigers van opsporingsinstanties of justitie. Ze proberen je dan bijvoorbeeld wijs te maken dat je iets strafbaars hebt gedaan en dat je daarvoor wordt bestraft. De beoogde buit komt dan in de vorm van een “schikkingsvoorstel”. Je zou verwachten dat vrijwel niemand daar intrapt, maar niets is minder waar. Onder druk en manipulatie laten mensen zich vrij gemakkelijk valse herinneringen aanpraten.
De oplossing: controle en verificatie
Deze strategieën zijn te doorprikken, mits je niet te inschikkelijk en meegaand bent. Verifieer bij twijfel altijd of degene met wie je contact hebt echt is wie hij of zij zegt te zijn. Houd zelf de controle over de interactie en laat jezelf niet van de wijs brengen. Controleer nummers en email-adressen zorgvuldig. Twijfel je nog, neem dan via een vertrouwd kanaal contact op met de organisatie die diegene zegt te vertegenwoordigen. Bel bijvoorbeeld naar het centrale nummer van je bank of verzekeraar, of leg contact met degene met wie je bij die klant of leverancier normaal zaken doet. Als werkgever is het belangrijk dat je je werknemers de tijd geeft om deze controles uit te voeren. De fraudeur treft graag iemand die het eigenlijk al net iets te druk heeft. Dat zijn namelijk de mensen die doen wat je zegt om maar van je af te zijn.