6 lessen van een social engineer

Laat je niet hacken: 6 lessen van een social engineer

Mensen vragen ons vaak: wat is social engineering precies en kan ik er iets tegen doen? Een hacker heeft informatie nodig om een netwerk of systeem binnen te dringen. Wachtwoorden, bijvoorbeeld. Om deze te verkrijgen, gebruiken criminelen social engineering. Maar hoe werkt dat? Psycholoog Sophie Jellema beantwoordt 6 vragen over social engineering.

1. Wat is social engineering?

Social engineering is het hacken van mensen, zegt Sophie Jellema. Ze is psycholoog bij Bureau Veritas Cybersecurity en helpt bedrijven als ethisch social engineer. "Een social engineer begrijpt hoe mensen werken en hoe je informatie uit een persoon kunt halen. Bij hacken denken we aan het kraken van codes. Maar je kunt ook mensen hacken. We zien dit steeds vaker gebeuren, omdat bedrijven steeds beter worden in het technisch beveiligen van hun informatie. Criminelen kiezen de makkelijkste weg naar binnen, en dat is: mensen."

Een omweg gebruiken

Je hoeft geen psycholoog te zijn om informatie uit mensen te halen, zegt Jellema. "Het gaat erom dat je begrijpt hoe mensen in elkaar zitten. Stel dat ik achter jouw wachtwoord wil komen. Ik zou het rechtstreeks kunnen vragen, maar je  zou waarschijnlijk nee zeggen. Dus gebruik ik een omweg. Ik zeg: "Is het niet vervelend om elke keer 14 tekens te typen? Jij zou kunnen zeggen: Nee, het zijn er maar 8. Nu weet ik iets over de wachtwoordvereisten van jouw bedrijf. Omdat mensen graag hun verhaal vertellen, kun je veel informatie achterhalen." Social engineers verkopen deze informatie vaak via criminele netwerken.

2. Hoe werkt een social engineer?

"Ik gebruik meestal de telefoon als ik op jacht ga naar wachtwoorden," zegt Jellema. "Ik doe dit alleen met toestemming van een bedrijf. Als ik een medewerker van het bedrijf bel, doe ik me meestal voor als iemand van IT. Ik zeg: 'We zien wat vreemde activiteiten op uw account, wil je me helpen dit te controleren?' Ik doe alsof ik hun account kan zien. Ik vraag misschien: 'Is je computer traag?' Computers zijn altijd traag, dus daar krijg ik mijn eerste 'ja'. Ik stel ze gerust, we praten."

Binnen 2 minuten

"Dan zeg ik: 'Alles ziet er hier goed uit. Je bent om 8:30 uur ingelogd, klopt dat?' De meeste mensen loggen rond 9:00 uur in, dus dat klopt meestal wel. Dan zeg ik: 'Ik zie hier ook een wachtwoord reset. Was jij dat? Hm, je wachtwoord is nu 'welkom01'. Dat kan toch niet kloppen? Ik ben bang dat ik wel het juiste wachtwoord nodig heb, kun je dat voor mij spellen?' Gemiddeld geeft 60% van de mensen die ik aan de telefoon spreek mij hun wachtwoord. Binnen ongeveer twee minuten."

3. Welke psychologie gebruikt een social engineer?

Aan de telefoon gebruikt Jellema de 7 overtuigingsprincipes die de Amerikaanse psycholoog Robert Cialdini in 1984 heeft opgesteld. Bijvoorbeeld: wederkerigheid en sympathie. Deze principes komen uit de marketing, en ze werken heel goed om informatie uit mensen te krijgen. "Ik zou kunnen zeggen: 'Het lijkt erop dat er nu iets van jouw rekening wordt doorgesluisd. Ik wil dit voor je oplossen, maar ik heb je hulp nodig.' De regels van sympathie en wederkerigheid zijn hier van toepassing. Ik creëer een beetje paniek met wat tijdsdruk en tegelijkertijd ben ik heel sympathiek en begripvol; als ik jou help, help jij mij ook."

Schuldgevoel

Jellema gebruikt dezelfde trucs als echte oplichters. "Als dit niet mijn werk was, zou ik me ontzettend schuldig voelen. Daarom heb ik altijd meteen een vervolggesprek met mensen die ik heb 'opgelicht'. Ik vertel ze wat ik gedaan heb, waarom ze er misschien ingetrapt zijn. Misschien zijn ze geschokt, dus stel ik ze gerust. Ik geef ze achteraf ook altijd mijn echte naam, en ik maak heel duidelijk dat ik dit namens hun werkgever heb gedaan."

4. Is phishing social engineering?

Er zijn vele vormen van social engineering. De bekendste is phishing. Je kunt op allerlei manieren naar informatie vissen, legt Jellema uit: "Wat ik aan de telefoon doe, heet voice phishing, of vishing. En natuurlijk kent iedereen e-mail phishing. We zien ook smishing: phishing via SMS. In Nederland gaan er bijvoorbeeld valse sms-berichten van de belastingdienst rond: Betaal ons alstublieft 17,95 euro."

Phishing op maat

De laatste tijd zien Jellema en haar collega's meer 'phishing op maat': grootschalige, geautomatiseerde phishing waarbij op maat gemaakte e-mails of sms-berichten worden gebruikt. "Criminelen schrapen hiervoor informatie van sociale media. Het bericht lijkt helemaal voor jou bedoeld. Het is niet alleen: 'Hé, voornaam, achternaam', maar ook: 'Je werkt al 4 jaar voor dit bedrijf.'"

Lokaas

Om welke vorm van social engineering het ook gaat, volgens Jellema gaat het altijd om het winnen van vertrouwen of het wekken van uw interesse. Bij baiting gebruikt de social engineer 'lokaas', zoals de naam al doet vermoeden: "Ik kan bijvoorbeeld een interessante bijlage bij een e-mail voegen en deze 'per ongeluk' naar het hele bedrijf sturen. Misschien is de bestandsnaam 'Bonussen management volgend jaar'. Mijn malware zit verborgen in dat bestand."

Pretexting

Pretexting betekent zich voordoen als iemand anders om vertrouwen te winnen. Dit gaat vaak in verschillende stappen. Een social engineer kan zich voordoen als iemands dochter. Ze sms't vanaf een ander nummer omdat haar telefoon gestolen is. Zodra de ontvanger die smoes gelooft, zal de sociaal ingenieur vragen of deze geld kan overmaken naar "de rekening van een vriend". Want niet alleen de telefoon is gestolen, maar ook de portemonnee.

5. Zijn er nog andere voorbeelden van social engineering?

Een social engineer gebruikt vaak technologie om mensen te hacken. Maar je kunt de klus ook klaren zonder een computer of telefoon te gebruiken, zegt Jellema: "Ik werk soms als mystery guest. Ik word letterlijk betaald om in te breken. Onlangs heb ik bijvoorbeeld een klus gedaan in een museum. De opdracht was: hoe ver kun je het gebouw binnendringen? Als iemand een deur opende met zijn toegangspas, zette ik mijn voet tussen de deur. Zo kwam ik in de gang die naar het restauratieatelier leidde."

Toilethokje

Een opdracht als deze kan behoorlijk zenuwslopend zijn, vertelt Jellema: "Deze gang was hermetisch afgesloten. Ik zag een camera. Iets verderop was het wachthokje van de bewaking. Nergens om te schuilen, behalve in een toilet. Dus: Ik heb me 10 minuten lang in een toilethokje verstopt. Uiteindelijk onderschepten de hoofdbewakers me en lieten me niet meer los. Dat is wat er idealieter gebeurt: verlies me niet uit het oog. Een bewaker kan me bij de receptie afzetten, maar als die me met rust laat, zal ik niet blijven zitten - net als een echte social engineer.

6. Wat kunt u doen tegen social engineering?

Stel, je bent op kantoor en je ziet iemand die daar niet thuishoort. Wat moet je doen? Jellema adviseert: "Laat mensen zonder pasje niet mee naar binnen gaan. Dat voelt misschien een beetje onbeleefd, maar ik zeg altijd tegen vreemden die mij naar binnen proberen te volgen: 'Het spijt me, maar we hebben afgesproken om dit gebouw samen veilig te houden. Dus ik kan u niet binnenlaten als ik niet weet wat u hier doet.'"

Naar de receptie

Als een onbevoegde al in het gebouw is en de situatie veilig aanvoelt: spreek de persoon aan. "Zeg: 'Pardon, ik ken u niet. Wat doet u hier?' Als iemand onbevoegd lijkt, begeleid diegene dan naar de receptie of naar een contactpersoon, als die is genoemd. Het is niet nodig om iemand in de boeien te slaan. Houd het vriendelijk."

Rapporteren

Misschien ben je met iemand aan het bellen en vertrouw je hem of haar niet. In dat geval adviseert Jellema: "Deel geen informatie. Als je dat al hebt gedaan: beëindig het gesprek en meld het zo snel mogelijk aan iemand die het kan onderzoeken."

"In Nederland hebben we de slogan: 'Stop, hang op, bel je bank.' Doe dat echt! Heb je op je laptop op het werk op een vreemde link geklikt? Bel IT. Iedereen kan op vrijdagmiddag afgeleid zijn. Het overkomt mij ook: Ik trap in phishing e-mails. Maar meld het."