Social engineering is een kunst die criminelen (social engineers) toepassen om mensen te manipuleren, verleiden en misleiden. Social engineers spelen met hun social engineering technieken in op menselijke eigenschappen als onwetendheid, nieuwsgierigheid, hebzucht, angst en vertrouwen. Het uiteindelijke doel: persoonlijke informatie, geld en allerlei andere zaken stelen.

De social engineer

Wie zijn die social engineers precies? Social engineers doen zich vaak voor als iemand anders. Zo kan je een berichtje krijgen van de belastingdienst of een e-mail van een bedrijf waar jij vaak winkelt. In werkelijkheid heb je contact met iemand anders. Dit kan de vriendelijke buurman zijn die elke ochtend naar je zwaait, maar ook evengoed een spion uit China die het netwerk van jouw werkgever wil toetreden. 

Social engineering technieken 

Onwetendheid, nieuwsgierigheid, hebzucht, angst en vertrouwen. Deze eerdergenoemde menselijke eigenschappen zijn de reden dat social engineers een tal aan social engineering technieken hebben liggen. Wat deze technieken zijn? Wij zetten er een aantal op een rijtje!

Phishing 

Een van de meest voorkomende social engineering technieken is phishing. In het geval van phishing ontvang je een bericht dat ‘net echt’ lijkt. In het bericht wordt je gevraagd om een geldbedrag over te maken, op een link te klikken of om een bijlage te openen. Vaak blijkt een link of bijlage kwaadaardige software te bevatten waardoor de social engineer toegang krijgt tot jouw systemen. 

Quid pro quo 

Quid pro quo is een vorm van oplichting waarbij social engineers om jouw persoonlijke gegevens vragen, in ruil voor iets. Zo wordt je bijvoorbeeld gevraagd om een account aan te maken op een website, in ruil hiervoor ontvang je een gratis product. Het gratis geschenk zal je nooit ontvangen, maar de social engineer heeft nu wel jouw gegevens in handen die hij kan gebruiken of verkopen.

Baiting 

Baiting is een vorm van social engineering die lijkt op phishing. Het grootste verschil is dat de social engineer je een belofte doet om je te verleiden. Dit doen ze bijvoorbeeld door gratis films en series aan te bieden. Er zit alleen wel een addertje onder het gras. Om de films en series te kunnen kijken moet je jouw inloggegevens geven!

Zes principes van overtuiging 

Mensen zijn van nature sociale wezens. De gedachtegangen van anderen hebben daarom een grote invloed op onze besluitvorming. De kunst van social engineering is een psychologisch spelletje tussen de social engineer en een slachtoffer, waarbij de social engineer verschillende psychologische technieken toepast om het gedrag te beïnvloeden. 

Waarom zeggen mensen ‘ja’ op verzoeken? Dit is de vraag die dr. Robert Cialdini, emeritus hoogleraar psychologie en marketing aan de Arizona State University en oprichter van Influence at Work, zichzelf afvroeg. Om antwoord te krijgen op deze vraag heeft dr. Cialdini een onderzoek gestart dat heeft geleid tot de zes principes van overtuiging: wederkerigheid, consistentie, sociale bewijskracht, autoriteit, sympathie en schaarste. De zes overtuigingsprincipes van dr. Cialdini worden vaak toegepast door social engineers, maar hoe werkt deze zes principes precies?

Principe 1: wederkerigheid 

Je kent het wel – na een heerlijk etentje in een restaurant ontvang je de rekening. Op tafel ligt een schoteltje met daarop een bonnetje en een aantal pepermuntjes of snoepjes. Hoewel deze pepermuntjes en snoepjes ogen als een aardig gebaar vanuit het restaurant, is het eigenlijk een strategie om meer fooi te krijgen. Dit heeft alles te maken met het eerste overtuigingsprincipe: wederkerigheid.

Als iemand ons een geschenk geeft hebben we de neiging om iets terug te geven aan deze persoon. Hetzelfde gebeurd met pepermuntjes of snoepjes in restaurants. Omdat je iets lekkers krijgt heb je sneller de neiging om (meer) fooi te geven aan het personeel. Uit onderzoek is gebleken dat mensen 18 tot 21 procent meer fooi geven als ze iets lekkers krijgen bij de rekening.

Social engineers kunnen dit principe toepassen op hun social engineering technieken. Je ontvangt bijvoorbeeld een e-mail met daarin een coupon van 25 euro korting bij jouw favoriete website. Het enige wat jij hoeft te doen is het aanmaken van een account. Uit enthousiasme hoef je hier geen seconde over na te denken. Binnen een minuut staat jouw nieuwe account maar de korting van 25 euro werkt niet. De social engineer heeft nu allerlei gegevens over jou die gebruik kunnen worden voor kwade doeleinden. 

Principe 2: consistentie 

Slaap je wel eens in het hotel? Dan heb je vast en zeker wel eens een kaartje in de badkamer zien staan met het verzoek om je handdoeken te hergebruiken. De manier waarop het hotel dit verzoek doet, heeft invloed op jouw gedrag. Samen met dr. Noah J. Goldstein en Steve J. Martin heeft dr. Robert Cialdini onderzoek gedaan naar dit fenomeen. 

In samenwerking met een hotel hebben de drie onderzoekers twee verschillende kaartjes achtergelaten in de badkamers van het hotel waar het experiment plaatsvond. Het eerste kaartje vroeg gasten om hun handdoeken te hergebruiken om het milieu te redden, en hun respect aan de natuur te tonen. Het tweede kaartje gaf aan dat de meerderheid van de hotelgasten hun handdoeken minimaal één keer hergebruikt tijdens het verblijf. En wat blijkt: gasten die verteld werden dat de meeste gasten hun handdoeken hergebruiken, waren 26 procent meer geneigd om hun handdoeken te hergebruiken dan degene die een boodschap kregen over milieubescherming. 

Dit is een goed voorbeeld van het eerste overtuigingsprincipe consistentie. Het principe stelt dat mensen onbewust geneigd zijn om zich te gedragen op een manier die consistent is aan het verleden. Hotelgasten die de boodschap kregen dat de meeste hotelgasten hun handdoeken hergebruiken, hadden veel vaker de neiging om hun handdoeken te hergebruiken omdat dit consistent is aan het gedrag in het verleden.

Ook het tweede principe, consistentie, wordt regelmatige toegepast op social engineering technieken. De social engineer stuurt bijvoorbeeld, uit naam van iemand anders, een e-mail. De e-mail bevat de belangrijke vraag of je een klein bedrag wilt overmaken. Je maakt het geld over. Later ontvang je nog een mail, en nog een, en nog een. Het geldbedrag waar om gevraagd wordt, wordt steeds hoger en hoger. Omdat mensen de neiging hebben om consistent te blijven, blijf je uiteindelijk het geldbedrag overmaken. Maar niet naar degene wie je denkt dat het is.

Principe 3: sociale bewijskracht 

Heb je na urenlang slenteren door een nieuwe stad zin in een verfrissend drankje en een lekker hapje? Grote kans dat je plaats neemt bij het drukste restaurant. Dit is hoe het derde principe, sociale bewijskracht, werkt.

Op het moment dat veel mensen een bepaalde handeling op een vergelijkbare manier uitvoeren, gaan we er vanuit dat dit de juiste manier is. Zien we een overvol restaurant en een leeg restaurant dan gaan we er vanuit dat het overvolle terras de beste keuze is, zonder te weten wat het lege restaurant te bieden heeft.

Hoe wordt dit derde principe toegepast op social engineering technieken? Social engineers laten je bijvoorbeeld in aanmerking komen met een advertentie. De advertentie laat zien dat er een geweldige nieuwe app op de markt is waar iedereen gebruik van maakt. Jij wilt niet achterblijven op de rest en klikt daarom op de link in de advertentie. De link zorgt er uiteindelijk voor dat er kwaadaardige software op jouw apparaat geïnstalleerd wordt.

Principe 4: autoriteit 

Het vierde principe, autoriteit, houdt in dat we geneigd zijn om het voorbeeld van experts te volgen. Als je een tandpasta reclame voorbij ziet komen waarin een tandarts een nieuwe tandpasta promoot, ben je eerder geneigd om de tandpasta aan te schaffen dan wanneer een brandweerman dezelfde tandpasta promoot. 

Iemand met autoriteit is voor velen van ons een betrouwbare bron. Social engineers zijn zich hier van bewust en maken hier dan ook gebruik van bij hun social engineering technieken. Vaak sturen social engineers een berichtje namens de belastingdienst met daarin een betaalverzoek. De meeste mensen maken het geld blindelings over. Het is ten slotte de belastingdienst, dat moet wel kloppen. Maar zonder dat je het door hebt is een social engineer een paar honderd euro rijker. 

Principe 5: sympathie 

We worden makkelijker overtuigd door mensen die we leuk vinden, dan door mensen die we niet leuk vinden. Dat is het vijfde overtuigingsprincipe. Er zijn drie wetenschappelijke essentiële factoren waarop we baseren of we iemand leuk vinden. 

1. We vinden mensen leuk die vergelijkbaar aan ons zijn 
2. We vinden mensen leuk die ons complimenten geven 
3. We vinden mensen leuk waarmee we aan gezamenlijke doelen kunnen werken 

Na een paar maanden intensief gebruik zijn je sportschoenen versleten. Je besluit nieuwe te kopen en gaat daarom naar een grote sportwinkel. Je vraagt de dichtstbijzijnde winkelmedewerker om hulp, maar je krijg een ongeïnteresseerd antwoord. Al gouw heeft de medewerker je ontmoedigd om een aankoop te doen. Een nieuwe medewerker komt aangelopen die ziet dat je hulp nodig hebt. Toevallig doen jij en de medewerker aan dezelfde sport. Doordat jij en de medewerker aan dezelfde sport doen ontstaat er een klik tussen jullie, waardoor je met plezier de schoenen bij Jurre (inmiddels weet je de naam van de medewerker) koopt.

Ook het vijfde principe, sympathie, wordt vaak toegepast op social engineering technieken. Maak je gebruik van social media? Dan komt het wel eens voor dat je een vriendschapsverzoek ontvang van een vreemde. Het wel of niet accepteren van een verzoek kan grote gevolgen hebben. 

Je kijkt naar de naam en profielfoto van de persoon en scrolt even over de pagina. Uiteindelijk besluit je het verzoek te accepteren. Na een aantal dagen is er steeds meer contact tussen jou en je nieuwe vriend of vriendin. Jullie weten alles over elkaar. Nou ja, de ander weet alles over jou. Jij weet alles over een fictief persoon. Na een tijdje komt de allesbeslissende vraag of je geld wilt overmaken. Je doet het, en daarna nog een paar keer, tot je niks meer van die goede vriend hoort. 

Principe 6: schaarste 

Het zesde principe stelt: als we het niet kunnen krijgen, willen we het des te meer. Deze eeuwenoude psychologische truc wordt veelvoudig gebruikt door oplichters van allerlei soorten en maten. Niet alleen in real-life maar ook online wordt de zwendeltruc toegepast.

Ook winkels maken gebruik van dit principe. Na urenlang scrollen op de webwinkel kom je dat ene perfecte item tegen. Je twijfelt alleen nog over de prijs. Is het item wel zoveel geld waard? Je besluit nog even te wachten met de aankoop van het item tot je de melding ziet ‘nog maar 1 item beschikbaar’. Om te voorkomen dat je het item misloopt besluit je het item aan jouw winkelwagentje toe te voegen en te betalen. 

Schaarste, het zesde principe, wordt ook regelmatig toegepast op social engineering technieken. Een voorbeeld hiervan zijn tijdslimieten op een e-mail. Social engineers kunnen e-mails sturen met daarin een speciaal veld om zogenaamd jouw inloggegevens te wijzigen. De reden hiervoor? Ze hebben verdachte activiteiten gespot op jouw account en willen je beschermen. Je twijfelt wat je moet doen, maar dan zie je een aftellende klok. Je hebt maar 24 uur om de gegevens te wijzigen. Uit angst dat de link verloopt veranderd je jouw gegevens. Het account wordt niet aangepast en de social engineer heeft alle nodige gegevens om je verder op te lichten.

Beschermen tegen social engineering 

Wil jij jezelf beter beschermen tegen social engineering? Dat kan! Allereerst is het verstandig om op te passen met de informatie die je verspreid. Geef nooit zomaar gevoelige informatie weg. Voor je het weet gaat een social engineer met jouw persoonlijke gegevens aan de haal!

Het kan zo zijn dat je per ongeluk toch op een kwaadaardige link of bijlage klikt. Je wilt dan natuurijk zo snel mogelijk weten dat er schadelijke software op jouw apparaat staat. Maak daarom gebruik van een cyberaanval detectie programma, zoals het Cyber Alarm van GOOSE VPN. Deze programma’s scannen jouw internetverkeer op schadelijke software en geven een melding als er schadelijke software geconstateerd wordt. 

Daarnaast is het verstandig om je software te updaten. Verouderde software bevat kwetsbaarheden waardoor social engineers nog makkelijker jouw systeem binnen komen. 

Ook kan je gebruik maken van een VPN-verbinding. Dit is een beveiligde verbinding tussen jou en het internet. Door gebruik te maken van deze verbinding worden jouw gegevens versleuteld en kan niemand meekijken met jouw internetverkeer. Social engineers kunnen hierdoor niet langer meekijken met wat jij doet. Sommige social engineers gebruiken jouw persoonlijke gegevens bij hun social engineering technieken. Het is daarom prettig om jezelf beter te beschermen.

Maak gebruik van GOOSE VPN

Wil jij gebruikmaken van een VPN-verbinding? GOOSE VPN is hiervoor de perfecte oplossing. Met onze betrouwbare, eenvoudige en betaalbare VPN-verbinding ben jij beter online beveiligd en kunnen social engineers niet langer meekijken met jouw internetgedrag.

Daarnaast kan je bij GOOSE VPN het Cyber Alarm gebruiken. Het Cyber Alarm is een extra toevoeging dat jouw internetverkeer 27/7 monitort op schadelijke software. Wordt er schadelijke software geconstateerd, dan ontvang je meteen een melding!

Meld je nu aan bij GOOSE VPN

Bescherm jezelf tegen social engineering met de VPN-verbindingen en het Cyber Alarm van GOOSE VPN! Meld je nu aan bij GOOSE VPN en ontvang 30 dagen geld terug garantie.