Social engineering: verfijnde leugens en manipulatie

Cybercrime is een groeiend probleem dat veel ondernemers raakt. Naast de technische aspecten van veiligheid speelt social engineering hierbij een belangrijke rol. Ook bij offline fraude maken fraudeurs gebruik van manipulatieve tactieken. In dit artikel leggen we uit wat social engineering is, welke tactieken fraudeurs hierbij gebruiken en hoe jij jezelf weerbaar maakt.

Ben je als gevolg van social engineering slachtoffer geworden van cybercrime, ga dan naar de Hackhelpdesk. Ben je slachtoffer van fraude middels social engineering of ben je geconfronteerd met een poging daartoe, neem contact op met de Fraudehelpdesk. Voor meer nieuws, tips en tools, volg het PVO Brabant-Zeeland op LinkedIn.

Wat is social engineering?

Ik deed het als puber: bij concerten en festivals een kletsverhaal ophangen om backstage te komen. De buit was dan gratis drank, eten en de kans om contact te leggen met artiesten. Dat is ook precies wat social engineering inhoudt: een kletsverhaal ophangen om toegang te krijgen die je niet hoort te hebben. Feitelijk is social engineering daarmee een geraffineerde vorm van liegen en bedriegen. Criminelen zijn slecht, maar ze zijn niet dom. Wetenschappelijke inzichten over gedragsbeïnvloeding en sociale psychologie worden ook door fraudeurs in de praktijk toegepast.

De link tussen social engineering en cybercrime

Bij het bestrijden van cybercrime komt meer kijken dan alleen techniek. Zelfs als je alle technische aspecten op orde hebt, blijft de mens over als zwakste schakel. In tegenstelling tot computers zijn mensen niet geprogrammeerd om regels consequent en nauwkeurig op te volgen. Naarmate bedrijven hun technologie beter op orde krijgen, richt cybercrime zich daarom meer en meer op de mens. Het wordt daarom steeds belangrijker dat jij en je medewerkers weerbaar zijn tegen manipulatie.

Phishing als voorbeeld

Een van de bekendste voorbeelden van cybercrime is tegelijkertijd een van de bekendste voorbeelden van social engineering: phishing. Criminelen sturen emails in de hoop dat enkelen van de duizenden beoogde slachtoffers op de bijgevoegde links of bestanden klikken. Ook zien we steeds vaker het zogenaamde “spear fishing”, een meer doelgerichte variant waarbij de beoogde slachtoffers bewust worden gekozen. Juist hier zijn de slachtoffers vaak bedrijven of organisaties waar de fraudeur via medewerkers binnen probeert te komen. Vaak gaat het niveau van phishing-aanvallen omhoog naarmate deze doelgerichter worden. De fraudeur weet dan immers wie het slachtoffer is en kan zijn strategie daarop aanpassen. 

Welke strategieën gebruiken fraudeurs voor social engineering?

Je kunt op veel manier worden geconfronteerd met social engineering: via de mail, de telefoon of gewoon ouderwets aan de balie. Voor fraudeurs is elk communicatiemiddel een instrument om hun leugens te verspreiden. Hieronder bespreken we een paar van de strategieën en tactieken die ze hierbij toepassen.

De urgentie is hoog…

Een van de strategieën van fraudeurs is om urgentie te gebruiken als drukmiddel. Ook fraudeurs weten namelijk dat mensen onder tijdsdruk sneller slechte beslissingen nemen. De fraudeur zal je daarom vaak vertellen dat je onmiddellijk moet handelen om te voorkomen dat er iets misgaat. Door een vals gevoel van urgentie te creëren, voorkomt de fraudeur dat jij als slachtoffer de controles doet die je hoort te doen. In plaats van toe te geven aan die druk, is het daarom belangrijk dat je dit signaal herkent. Gebruikt iemand urgentie als drukmiddel om jou onmiddellijk te laten handelen, dan is dat juist een reden om die spreekwoordelijke pas op de plaats te maken.

…of er is juist niks aan de hand

Ook het tegenovergestelde is vaak waar. Een andere strategie van fraudeurs is om te doen alsof er niets aan de hand is. Bij deze aanpak maakt de fraudeur de interactie zo normaal mogelijk, in de hoop dat jij of je werknemer op die spreekwoordelijke “automatische piloot” blijven. Hierdoor ben je minder kritisch en ga je sneller mee in wat de fraudeur je opdraagt. Bij deze strategie zal de fraudeur zich vaak voordoen als iemand met wie het voor jou normaal is om zaken te doen: iemand van de bank, de verzekeraar, een leverancier of juist een klant. Ben daarom altijd kritisch en doortastend als iemand je vraagt om iets te doen. Diegene brengt het als een normaal verzoek, maar is het dat ook? 

Ze willen je helpen…

Helpdeskfraude is een ernstig probleem waar zowel particulieren als bedrijven steeds vaker mee te maken krijgen. In het klassieke voorbeeld is dit iemand van “Microsoft” die toegang tot je PC moet krijgen omdat je “gehackt bent” of “een virus hebt”. Ook hierop zien we echter steeds meer steeds creatievere variaties. Kenmerkend voor deze strategie is dat de fraudeur zich behulpzaam voordoet: je hebt een probleem dat je oplost door te doen wat de fraudeur zegt. Deze strategie werkt zodra jij je meer zorgen maakt over het zogenaamde probleem dan over het risico op fraude. Niet doen wat de fraudeur zegt levert immers ook een risico op, tenzij je op tijd beseft dat het probleem volstrekt fictief is. Vooral voor bedrijven vormt helpdeskfraude een groot risico: de buit is hier vaak meer dan alleen geld.

…of hebben juist dringend je hulp nodig

Criminelen bieden niet alleen hulp, ze vragen het ook. Met hulpvraagfraude richten fraudeurs zich vooral op particulieren. Ze doen zich dan voor als een dierbare die in acute geldnood zit. Je dochter is bestolen van haar telefoon en pinpas. Daarom heeft ze ineens een onbekend nummer en moet je geld overmaken naar een vage rekening. Dat klinkt doorzichtig, maar als je denkt dat je kind in de problemen zit, heeft dat zijn weerslag op je beoordelingsvermogen. Bovendien zien we ook op deze strategie steeds meer en steeds verfijndere variaties. Ook bedrijven kunnen slachtoffer worden van hulpvraagfraude. Vaak is het dan een medewerker die acuut geld nodig heeft, bijvoorbeeld een chauffeur in het buitenland die een torenhoge boete meteen moet betalen. Het bovengenoemde gevoel van urgentie speelt bij hulpvraagfraude meestal een grote rol.

Ze gaan je belonen…

Fraudeurs zullen je vaak een niet-bestaande wortel voorhouden. Dit kan geld zijn, maar ook een baan, een vakantie of iets anders waar jij warm voor loopt. Naarmate steeds minder mensen in de klassieke voorschotfraude trappen, wordt ook deze strategie verfijnd. De hack waar Twitter in 2020 mee te maken kreeg is hier een voorbeeld van. Hier was het middel social engineering en het doel nog meer social engineering. Door werknemers van het bedrijf te manipuleren, verschaften fraudeurs zich toegang tot de Twitter-accounts van diverse prominente leden als Barack Obama, Joe Biden en Elon Musk. Via deze accounts plaatsten ze vervolgens de boodschap dat ze “iets terug gingen geven aan de gemeenschap”. Als je duizend dollar overmaakte in Bitcoin, kreeg je het dubbele terug. Een erg doorzichtige voorschotfraude, maar omdat de fraudeurs toegang hadden tot prominente accounts, haalden ze toch honderdduizenden dollars binnen.

…of juist bestraffen

Naast de wortel die we hierboven bespraken werken fraudeurs ook graag met een stok. De fraudeur doet dan of hij jou iets kan maken. Vaak is dit ordinaire chantage op basis van een bluf. In deze vorm kan de beoogde buit geld zijn, maar ook gevoelige bedrijfsinformatie of toegang tot systemen. Behalve jezelf niet chantabel te maken, moet je er dus ook alert op zijn dat je jezelf niet wijs laat maken dat je chantabel bent. We zien ook dat fraudeurs zich uitgeven voor vertegenwoordigers van opsporingsinstanties of justitie. Ze proberen je dan bijvoorbeeld aan te praten dat je iets strafbaars hebt gedaan en dat je de cel in dreigt te draaien. De beoogde buit komt dan in de vorm van een “schikkingsvoorstel”. Dat klink niet erg kansrijk, maar fraudeurs weten dat mensen zich sneller aan laten praten dat ze iets verkeerd hebben gedaan dan je misschien zou vermoeden.

De oplossing: controle en verificatie

Deze strategieën zijn te doorprikken, mits je niet te inschikkelijk en meegaand bent. Verifieer bij twijfel altijd of degene met wie je contact hebt echt is wie hij of zij zegt te zijn. Houd zelf de controle over de interactie en laat jezelf niet van de wijs brengen. Controleer nummers en email-adressen zorgvuldig. Twijfel je nog, neem dan via een vertrouwd kanaal contact op met de organisatie die diegene zegt te vertegenwoordigen. Bel bijvoorbeeld naar het centrale nummer van je bank of verzekeraar, of leg contact met degene met wie je bij die klant of leverancier normaal zaken doet. Als werkgever is het belangrijk dat je je werknemers de tijd geeft om deze controles uit te voeren. De fraudeur treft graag iemand die het eigenlijk al net iets te druk heeft. Dat zijn namelijk de mensen die doen wat je zegt om maar van je af te zijn.