Wat is eigenlijk
social engineering?

G DATA Guidebook

Ze is mooi, single en haar berichtjes zijn net zo verleidelijk als haar blonde haar. En voordat de ontvanger van haar vriendaanvraag op Facebook het weet, schrijven ze een stroom van korte, plagende berichten aan elkaar. En lange, zeer intieme e-mails op sommige dagen. Het is waanzinnig hoeveel hij en zijn toevallige online kennis met elkaar gemeen hebben. Hij voelt zich voor het eerst in jaren veilig en goed begrepen, hoewel ze elkaar nooit persoonlijk ontmoet hebben. Het lot brengt sommige mensen bij elkaar - en anderen worden ingepakt door een oplichter. Dat is wat social engineering heet.

Zonder dat de slachtoffers er ook maar een seconde over nadenken, onthullen ze vertrouwelijke informatie over hun werk of maken ze geld over aan mensen die ze eigenlijk helemaal niet kennen. Social engineering brengt mensen ertoe om dingen te doen die ze anders nooit zouden doen. Social engineering is echter tegen de verwachting in geen motivatietechniek, maar een bijzonder verfijnde vorm van fraude. We leggen uit wat social engineering is, wie ermee te maken kan krijgen en hoe je jezelf daartegen kunt beschermen.

Hoe is social engineering ontstaan?

Het idee van social engineering komt oorspronkelijk uit de filosofie. Karl Popper bedacht de term in 1945 en verwees daarmee in eerste instantie naar sociologische en psychologische elementen ter verbetering van sociale structuren. Popper's principe was vooral gebaseerd op de veronderstelling dat mensen als machines geoptimaliseerd kunnen worden. In de jaren zeventig breidden Poppers opvolgers zijn theorie uit met bepaalde psychologische trucjes. Hun oorspronkelijke doel was echter niet gegevensdiefstal - ze wilden mensen aansporen tot betere interactie en een groter gezondheidsbewustzijn. Het ging weliswaar om manipulatie, maar met een ander doel. Tegenwoordig noemen we social engineering vaak een frauduleuze vorm van subliminale manipulatie.

Hoe werkt social engineering?

Sommige hackers gebruiken liever gerichte psychologische manipulatie in plaats van te vertrouwen op zuiver technische methoden.

Sommige criminelen focussen op gerichte psychologische manipulatie in plaats van te vertrouwen op zuiver technische methoden.

Hoewel de methoden trouw blijven aan hun filosofische wortels, zijn de motieven van de daders aanzienlijk veranderd. Iedereen die begrijpt wat mensen beweegt, kan ze met een beetje instinct en wat criminele bedoelingen heel precies manipuleren. Vaak nemen de oplichters de rol van kennis- of vertrouwenspersoon op zich, of doen ze alsof ze van een bank of zelfs van de brandweer zijn. Op deze manier winnen de daders vertrouwen - en vaak ook gevoelige gegevens.

Kortom, oplichters proberen mensen uit te buiten voor hun eigen doeleinden. Eén van de bekendste social engineers is de hacker Kevin Mitnick. Door het grote aantal computers dat hij wist binnen te dringen, werd Mitnick al snel een van de meest gezochte mensen in de Verenigde Staten. Hij zou honderden keren tot enkele van de best beveiligde netwerken in de VS zijn doorgedrongen; hij zou ook het ministerie van Defensie en zelfs de NSA hebben bespioneerd. In zijn boek "The Art of Deception" schrijft Mitnick dat social engineering een beduidend snellere manier is om de gewenste informatie te krijgen dan louter technische methoden. In plaats van spyware te ontwikkelen, programmeerde Mitnick de wil van zijn medemensen.

Hoe ziet social engineering er op internet uit?

In het digitale tijdperk gebruiken oplichters deze tactiek ook op het internet. Vaak begint het allemaal met een e-mail, of soms met een bericht via een sociaal netwerk. De klassieker is de phishing e-mail die mensen naar een perfecte valse website lokt. Iedereen die daar zijn gegevens invoert, geeft deze direct door aan de criminelen. Soms spelen de cybercriminelen ook in op de nieuwsgierigheid van hun slachtoffers en sturen ze e-mails met een link die zou leiden tot een groet van een kennis. Maar in plaats van een leuk bericht, wacht een malware-download op de gebruiker na erop te hebben geklikt.

Voorbeeld: Robin Sage

Een bekend voorbeeld van social engineering via sociale netwerken is Robin Sage. Sage was jong, aantrekkelijk - en volledig verzonnen. In 2010 creëerde de Amerikaanse IT-expert Thomas Ryan een social media-profiel met een foto en de interesses van een aantrekkelijke jonge vrouw met de naam Robin Sage. Ryan's fictieve figuur wond militairen, industriëlen en politici systematisch om haar vinger en haalde vertrouwelijke en zeer gevoelige informatie uit hen. Geen van de getroffenen heeft daarbij daadwerkelijk een ontmoeting gehad met Sage. Ryan stuurde alleen al via sociale media geloofwaardige en verleidelijke boodschappen die zijn slachtoffers geen reden tot twijfel gaven - en ze kletsten vrijuit. Voor Ryan ging het niet zo zeer om de verstrekte informatie. Hij wilde aantonen dat mensen een veiligheidslek vormen, wat hij op indrukwekkende wijze wist te bereiken.

Wie wordt door social engineering bedreigd?

Social engineering komt overal voor waar mensen de sleutel zijn tot geld of interessante informatie. Op die manier kunnen nationale instellingen en overheden, maar ook bedrijven of particulieren worden gemanipuleerd en bespioneerd. Volgens onderzoek van de IT-branchevereniging Bitkom kosten digitale industriële spionage, sabotage en gegevensdiefstal Duitse bedrijven jaarlijks zo'n 51 miljard euro. 19 procent van de ondervraagde bedrijven geeft aan dat social engineering hierbij een rol speelt. Naast geld is het niet ongebruikelijk dat intellectueel eigendom of vertrouwelijke gegevens openbaar worden gemaakt. Degene die de informatie lekt heeft niets in de gaten.

Hoe worden mensen slachtoffer van de oplichters?

Gezien de soms verbijsterende bedragen die oplichters los weten te peuteren, moet één vraag worden gesteld en beantwoord: Hoe worden mensen op deze manier misleid? Om te beginnen hoef je niet naïef te zijn om slachtoffer te worden van social engineering. In 2015 deed een Amerikaanse schooljongen verschillende CIA-agenten geloven dat hij een IT-expert was en kreeg daardoor belangrijke toegangsgegevens in handen. Drie dagen lang had hij toegang tot het e-mailaccount van de directeur van de CIA. De ironie hier is dat, in tegenstelling tot het National Security Agency (NSA), de CIA als één van zijn speerpunten heeft het verkrijgen van informatie van mensen. CIA-agenten zijn dus zeer vertrouwd met het principe van social engineering.

Welk psychologisch mechanisme zit erachter?

Dat social engineering zo succesvol kan zijn, ligt aan de relatieve voorspelbaarheid van menselijk denken en gedrag. Social engineering maakt vooral gebruik van specifieke basiseigenschappen. In één onderzoek vonden de psychologen Myles Jordan en Heather Goudey 12 factoren die ten grondslag lagen aan de meest succesvolle voorbeelden van social engineering tussen 2001 en 2004. Deze omvatten onervarenheid, nieuwsgierigheid, hebzucht en de behoefte aan liefde. Dit zijn zeer fundamentele emoties en persoonlijke eigenschappen, en soms kunnen ze elkaar zelfs wederzijds versterken. Dat maakt het de daders gemakkelijk. Een belangrijke basis van social engineering is dat mensen in de ban zijn van hun emoties en dat het verstand nauwelijks een rol speelt in hun besluitvorming.

Voorbeeld: De truc van de Russische bruid

[Translate to Dutch:] behind the mask of an attractive young woman there is often a person trying to get hold of his victims’ money.

Dit wordt vooral duidelijk met het voorbeeld van de truc van de Russische bruid, die gericht was tegen alleenstaande mannen in West- en Centraal-Europa. In spam-mails probeerden jonge, meestal zeer aantrekkelijke Russische meisjes mannen goederen of buitenlands geld naar hen toe te laten sturen of hen te ontmoeten. In de hoop op een grote liefdesaffaire, of op zijn minst een snelle flirt, werden de mannen onbewust onderdeel van witwasoperaties en smokkelactiviteiten. Veel slachtoffers hebben op deze manier al hun geld verloren.

Verzoeken zoals: "Ik kan je alleen bezoeken als ik over de juiste papieren beschik, maar iedereen hier is corrupt. Stuur me geld voor de documenten en advocaten" worden door de daders gebruikt om toegang tot de portemonnee van de slachtoffers te krijgen. Later vragen ze ook geld voor de reis of voor nieuwe kleren. Ze blijven misbruik maken van hun slachtoffers totdat ze achterdochtig worden - of het geld opraakt. Maar niet alleen de foto's van de jonge vrouwen, maar hun gehele bestaan is vaak een misleiding. In plaats van een Russisch meisje dat wil trouwen, zijn de afzenders van de verleidelijke boodschappen vaak mannen van allerlei verschillende leeftijden uit een groot aantal landen.

Wat weten aanvallers over hun potentiële slachtoffers?

De fraudeurs gaan op zeer verschillende manieren te werk om iemand een onwetende handlanger te maken. En hun kennis van het toekomstige slachtoffer varieert. Met conventionele spam weten de fraudeurs niets over hun slachtoffers. Deze methode is puur gebaseerd op massa e-mails en werkt als een massief sleepnet. Met een groot aantal ontvangers is de kans groot dat de daders enkele slachtoffers maken. Anderzijds doen andere methoden meer denken aan het vissen op een bepaalde vissoort - gericht en met kennis van het aas dat de vis zal vangen. Dergelijke gespecialiseerde phishingactiviteiten worden ook wel "spear phishing" genoemd, omdat de daders specifiek naar hun slachtoffers op zoek gaan, zoals bij speervisserij. Als de vis iets groter is, bijvoorbeeld een hooggeplaatst medewerker in een internationaal bedrijf, spreken experts ook van "whaling" oftewel "walvissenjacht". Kennis van het slachtoffer hangt dus vooral af van de prijs die ze hopen te winnen.

Hoe vinden de daders informatie over hun slachtoffers?

Oplichters kunnen verschillende nuttige dingen vinden in het vuilnis.

Een mix van offline en online inspanningen om informatie te vergaren heet "Afvalcontainer duiken". De fraudeurs zoeken door het afval van het doelwit om zoveel mogelijk te weten te komen over zijn gewoonten, interesses en levenssituatie. Babyluiers, medicijndoosjes, pizzadozen, weggegooid papierwerk - oplichters kunnen belangrijke informatie afleiden uit dergelijke schijnbare kleinigheden. Veel prettiger dan rommelen door stapels afval is het doorlichten van mensen op social media platforms. Argeloze gebruikers tonen hun persoonlijkheid aan de daders op een presenteerblaadje, in openbare posts, likes of foto's, en maken het gemakkelijk voor de fraudeurs om zichzelf onder valse voorwendselen in hun leven te laten komen.

Hoe kan ik mijzelf beschermen tegen social engineering?

  • Social Media: Bedenken wat voor privé-gegevens je wel en niet moet delen is de eerste en meest essentiële stap.

  • E-mail: U kunt uzelf beschermen tegen manipulatie door voorzichtig te zijn. Als u bijvoorbeeld de afzender van een e-mail niet kent en niet zeker weet hoe de afzender uw e-mailadres in handen heeft gekregen, is dit een rode vlag. Neem bij twijfel telefonisch contact op met de afzender en vraag hem of haar naar het bericht dat u hebt ontvangen.

  • Telefoon: Hetzelfde geldt voor mensen die opbellen: als u die persoon niet kent, geef dan geen gevoelige informatie op via de telefoon.

  • Koppelingen: Klik niet op links die beweren dat ze u naar een website login leiden, wat het bericht ook zegt. Ideaal is dat u bladwijzers heeft voor uw belangrijke websites zoals bank- of winkelportalen. Gebruik uw bladwijzers om de inlogpagina te openen.

  • "Gefeliciteerd, u hebt gewonnen!": Als u een prijs of grote sommen geld wordt beloofd, gebruik dan uw gezond verstand. Mensen geven meestal niet zomaar geld of prijzen weg, zeker niet aan willekeurige vreemden. Reageer niet op sms'jes, e-mails of telefoongesprekken.

  • Beveiligingssoftware: Door spam uit te filteren en betrouwbare phishingbescherming te gebruiken, kunt u het risico dat u slachtoffer wordt van één van deze oplichterspraktijken tot een minimum beperken.

More information and sources

  • G DATA Internet Security
  • Jordan, M., Goudey, H. (2005) "The Signs, Signifiers and Semiotics of the Successful Semantic Attack". In: Proceedings of the EICAR 2005 Conference, S. 344-364.
  • Mitnick, Kevin D., Simon, William (2003) "Die Kunst der Täuschung". mitp-Verlag