Wat is social engineering?
Social engineering is een kunst die criminelen (social engineers) toepassen om mensen te manipuleren, verleiden en misleiden. Social engineers spelen in op menselijke eigenschappen zoals onwetendheid, nieuwsgierigheid, hebzucht, angst en vertrouwen. Het uiteindelijke doel van social engineers: data, geld en allerlei andere zaken stelen.
Zes principes van overtuiging
Mensen zijn van nature sociale wezens. De gedachtegangen van anderen hebben daarom een grote invloed op onze besluitvorming. De kunst van social engineering is een psychologisch spelletje tussen de social engineer en een slachtoffer, waarbij de social engineer verschillende psychologische technieken toepast om het gedrag te beïnvloeden.
Waarom zeggen mensen ‘ja’ op verzoeken? Dit is de vraag die dr. Robert Cialdini, emeritus hoogleraar psychologie en marketing aan de Arizona State University en oprichter van Influence at Work, zichzelf afvroeg. Om antwoord te krijgen op deze vraag heeft dr. Cialdini een onderzoek gestart dat heeft geleid tot de zes principes van overtuiging: wederkerigheid, consistentie, sociale bewijskracht, autoriteit, sympathie en schaarste. De zes overtuigingsprincipes van dr. Cialdini worden vaak toegepast door social engineers, maar hoe werkt deze zes principes precies?
Principe 1: wederkerigheid
Je kent het wel – na een heerlijk etentje in een restaurant ontvang je de rekening. Op tafel ligt een schoteltje met daarop een bonnetje en een aantal pepermuntjes of snoepjes. Hoewel deze pepermuntjes en snoepjes ogen als een aardig gebaar vanuit het restaurant, is het eigenlijk een strategie om meer fooi te krijgen. Dit heeft alles te maken met het eerste overtuigingsprincipe: wederkerigheid.
Als iemand ons een geschenk geeft hebben we de neiging om iets terug te geven aan deze persoon. Hetzelfde gebeurd met pepermuntjes of snoepjes in restaurants. Omdat je iets lekkers krijgt heb je sneller de neiging om (meer) fooi te geven aan het personeel. Uit onderzoek is gebleken dat mensen 18 tot 21 procent meer fooi geven als ze iets lekkers krijgen bij de rekening.
Principe 2: consistentie
Slaap je wel eens in het hotel? Dan heb je vast en zeker wel eens een kaartje in de badkamer zien staan met het verzoek om je handdoeken te hergebruiken. De manier waarop het hotel dit verzoek doet, heeft invloed op jouw gedrag. Samen met dr. Noah J. Goldstein en Steve J. Martin heeft dr. Cialdini onderzoek gedaan naar dit fenomeen.
In samenwerking met een hotel hebben de drie onderzoekers twee verschillende kaartjes achtergelaten in de badkamers van het hotel waar het experiment plaatsvond. Het eerste kaartje vroeg gasten om hun handdoeken te hergebruiken om het milieu te redden, en hun respect aan de natuur te tonen. Het tweede kaartje gaf aan dat de meerderheid van de hotelgasten hun handdoeken minimaal één keer hergebruikt tijdens het verblijf. En wat blijkt: gasten die verteld werden dat de meeste gasten hun handdoeken hergebruiken, waren 26 procent meer geneigd om hun handdoeken te hergebruiken dan degene die een boodschap kregen over milieubescherming.
Dit is een goed voorbeeld van het eerste overtuigingsprincipe consistentie. Het principe stelt dat mensen onbewust geneigd zijn om zich te gedragen op een manier die consistent is aan het verleden. Hotelgasten die de boodschap kregen dat de meeste hotelgasten hun handdoeken hergebruiken, hadden veel vaker de neiging om hun handdoeken te hergebruiken omdat dit consistent is aan het gedrag in het verleden.
Principe 3: sociale bewijskracht
Heb je na urenlang slenteren door een nieuwe stad zin in een verfrissend drankje en een lekker hapje? Grote kans dat je plaats neemt bij het drukste restaurant. Dit is hoe het derde principe, sociale bewijskracht, werkt.
Op het moment dat veel mensen een bepaalde handeling op een vergelijkbare manier uitvoeren, gaan we er vanuit dat dit de juiste manier is. Zien we een overvol restaurant en een leeg restaurant dan gaan we er vanuit dat het overvolle terras de beste keuze is, zonder te weten wat het lege restaurant te bieden heeft.
Principe 4: autoriteit
Het vierde principe, autoriteit, houdt in dat we geneigd zijn om het voorbeeld van experts te volgen. Als je een tandpasta reclame voorbij ziet komen waarin een tandarts een nieuwe tandpasta promoot, ben je eerder geneigd om de tandpasta aan te schaffen dan wanneer een brandweerman dezelfde tandpasta promoot.
Principe 5: sympathie
We worden makkelijker overtuigd door mensen die we leuk vinden, dan door mensen die we niet leuk vinden. Dat is het vijfde overtuigingsprincipe. Er zijn drie wetenschappelijke essentiële factoren waarop we baseren of we iemand leuk vinden.
- We vinden mensen leuk die vergelijkbaar aan ons zijn
- We vinden mensen leuk die ons complimenten geven
- We vinden mensen leuk waarmee we aan gezamenlijke doelen kunnen werken
Na een paar maanden intensief gebruik zijn je sportschoenen versleten. Je besluit nieuwe te kopen en gaat daarom naar een grote sportwinkel. Je vraagt de dichtstbijzijnde winkelmedewerker om hulp, maar je krijg een ongeïnteresseerd antwoord. Al gouw heeft de medewerker je ontmoedigd om een aankoop te doen. Een nieuwe medewerker komt aangelopen die ziet dat je hulp nodig hebt. Toevallig doen jij en de medewerker aan dezelfde sport. Doordat jij en de medewerker aan dezelfde sport doen ontstaat er een klik tussen jullie, waardoor je met plezier de schoenen bij Jurre (inmiddels weet je de naam van de medewerker) koopt.
Principe 6: schaarste
Het zesde principe stelt: als we het niet kunnen krijgen, willen we het des te meer. Deze eeuwenoude psychologische truc wordt veelvoudig gebruikt door oplichters van allerlei soorten en maten. Niet alleen in real-life maar ook online wordt de zwendeltruc toegepast.
Ook winkels maken gebruik van dit principe. Na urenlang scrollen op de webwinkel kom je dat ene perfecte item tegen. Je twijfelt alleen nog over de prijs. Is het item wel zoveel geld waard? Je besluit nog even te wachten met de aankoop van het item tot je de melding ziet ‘nog maar 1 item beschikbaar’. Om te voorkomen dat je het item misloopt besluit je het item aan jouw winkelwagentje toe te voegen en te betalen.
Social engineering technieken
Social engineers passen de zes principes van overtuiging toe om je op te lichten. Ze gebruiken hiervoor verschillende technieken. Wij lichten er een aantal toe!
Phishing
Een van de meest voorkomende vormen van social engineering is phishing. In het geval van phishing ontvang je een bericht dat ‘net echt’ lijkt. In het bericht wordt je gevraagd om een geldbedrag over te maken, op een link te klikken of om een bijlage te openen. Vaak blijkt een link of bijlage kwaadaardige software te bevatten waardoor de social engineer toegang krijgt tot jouw systemen.
Quid pro quo
Quid pro quo is een vorm van oplichting waarbij social engineers om jouw persoonlijke gegevens vragen, in ruil voor iets. Zo wordt je bijvoorbeeld gevraagd om een account aan te maken op een website, in ruil hiervoor ontvang je een gratis product. Het gratis geschenk zal je nooit ontvangen, maar de social engineer heeft nu wel jouw gegevens in handen die hij kan gebruiken of verkopen.
Baiting
Baiting is een vorm van social engineering die lijkt op phishing. Het grootste verschil is dat de social engineer je een belofte doet om je te verleiden. Dit doen ze bijvoorbeeld door gratis films en series aan te bieden. Er zit alleen wel een addertje onder het gras. Om de films en series te kunnen kijken moet je jouw inloggegevens geven.
Beschermen tegen social engineering
Wil jij jezelf beter beschermen tegen social engineering? Dat kan! Allereerst is het verstandig door op te passen met de informatie die je verspreid. Geef nooit zomaar gevoelige informatie weg. Voor je het weet gaat een social engineer met jouw persoonlijke gegevens aan de haal!
Het kan zo zijn dat je per ongeluk toch op een kwaadaardige link of bijlage klikt. Je wilt dan natuurijk zo snel mogelijk weten dat er schadelijke software op jouw apparaat staat. Maak daarom gebruik van een cyberaanval detectie programma. Deze programma’s scannen jouw internetverkeer op schadelijke software, en geven meteen een melding als er schadelijke software geconstateerd wordt.
Daarnaast is het verstandig om je software te updaten. Verouderde software bevat kwetsbaarheden waardoor social engineers nog makkelijker jouw systeem binnen komen.
Ook kan je gebruik maken van een VPN-verbinding. Dit is een beveiligde verbinding tussen jou en het internet. Door gebruik te maken van deze verbinding worden jouw gegevens versleuteld, en kan niemand meekijken met jouw internetverkeer. Social engineers kunnen hierdoor niet langer meekijken met wat jij doet.
Maak gebruik van GOOSE VPN
Wil jij gebruikmaken van een VPN-verbinding? GOOSE VPN is hiervoor de perfecte oplossing. Met onze betrouwbare, eenvoudige en betaalbare VPN-verbinding ben jij beter online beveiligd en kunnen social engineers niet langer meekijken met jouw internetgedrag.
Daarnaast kan je bij GOOSE VPN het Cyber Alarm gebruiken. Het Cyber Alarm is een extra toevoeging dat jouw internetverkeer 27/7 monitort op schadelijke software. Wordt er schadelijke software geconstateerd, dan ontvang je meteen een melding!
Meld je nu aan bij GOOSE VPN
Bescherm jezelf tegen social engineering met de VPN-verbindingen en het Cyber Alarm van GOOSE VPN! Meld je nu aan bij GOOSE VPN en ontvang 30 dagen geld terug garantie.
