Social engineering is een kunst die gebruikt wordt door criminelen (social engineers) om mensen te manipuleren, verleiden en misleiden. Social engineers spelen met hun social engineering technieken in op menselijke eigenschappen zoals onwetendheid, nieuwsgierigheid, hebzucht, angst en vertrouwen. Het uiteindelijke doel is om persoonlijke informatie, geld en allerlei andere dingen te stelen.

De sociaal ingenieur

Wie zijn deze sociale ingenieurs precies? Social engineers doen zich vaak voor als iemand anders. Je krijgt bijvoorbeeld een bericht van de belastingdienst of een e-mail van een bedrijf waar je vaak winkelt. In werkelijkheid heb je contact met iemand anders. Dit kan de vriendelijke buurman zijn die elke ochtend naar je zwaait, maar het kan net zo goed een spion uit China zijn die het netwerk van je werkgever wil binnendringen. 

Technieken voor social engineering 

Onwetendheid, nieuwsgierigheid, hebzucht, angst en vertrouwen. Deze eerder genoemde menselijke eigenschappen zijn de reden waarom social engineers een groot aantal technieken voor social engineering in huis hebben. Wat zijn deze technieken? We zetten er een paar op een rij!

Phishing 

Een van de meest gebruikte technieken van social engineering is phishing. Bij phishing ontvang je een bericht dat er "net echt" uitziet. Het bericht vraagt je om een geldbedrag over te maken, op een link te klikken of een bijlage te openen. Vaak blijkt een link of bijlage kwaadaardige software te bevatten waarmee de social engineer toegang krijgt tot je systemen. 

Tegenprestatie 

Quid pro quo is een vorm van oplichting waarbij social engineers om je persoonlijke gegevens vragen in ruil voor iets. Je wordt bijvoorbeeld gevraagd om een account aan te maken op een website, in ruil daarvoor krijg je een gratis product. Je zult het cadeau nooit ontvangen, maar de social engineer heeft nu jouw gegevens in handen die hij kan gebruiken of verkopen.

Lokaas 

Baiting is een vorm van social engineering die lijkt op phishing. Het belangrijkste verschil is dat de social engineer een belofte doet om je te verleiden. Dit doen ze bijvoorbeeld door gratis films en series aan te bieden. Er zit echter een addertje onder het gras. Om de films en series te bekijken, moet je je inloggegevens geven!

Zes overtuigingsprincipes 

Mensen zijn van nature sociale wezens. Daarom hebben de denkprocessen van anderen een grote invloed op onze besluitvorming. De kunst van social engineering is een psychologisch spel tussen de social engineer en een slachtoffer, waarbij de social engineer verschillende psychologische technieken toepast om gedrag te beïnvloeden. 

Waarom zeggen mensen "ja" op verzoeken? Dat is de vraag die Dr. Robert Cialdini, emeritus hoogleraar psychologie en marketing aan de Arizona State University en oprichter van Influence at Work, zichzelf stelde. Om deze vraag te beantwoorden startte Dr. Cialdini een onderzoek dat leidde tot de zes principes van overtuigen: wederkerigheid, consistentie, sociaal bewijs, autoriteit, sympathie en schaarste. De zes overtuigingsprincipes van Dr. Cialdini worden vaak toegepast door sociale ingenieurs, maar hoe werken deze zes principes precies?

Principe 1: Wederkerigheid 

Je kent het wel - na een heerlijk diner in een restaurant krijg je de rekening. Op tafel staat een schoteltje met een bonnetje en wat pepermuntjes of snoepjes. Hoewel deze muntjes en snoepjes lijken op een aardig gebaar van het restaurant, is het een strategie om meer fooi te krijgen. Dit heeft alles te maken met het eerste overtuigingsprincipe: wederkerigheid.

Als iemand ons een cadeau geeft, hebben we de neiging om iets terug te doen voor die persoon. Hetzelfde gebeurt met muntjes of snoepjes in restaurants. Omdat je iets lekkers krijgt ben je geneigd het personeel sneller (meer) fooi te geven. Onderzoek heeft aangetoond dat mensen 18 tot 21 procent meer fooi geven als ze iets lekkers bij de rekening krijgen.

Social engineers kunnen dit principe toepassen op hun social engineering technieken. Je ontvangt bijvoorbeeld een e-mail met een coupon voor 25 euro korting op je favoriete website. Het enige wat je hoeft te doen is een account aanmaken. Uit enthousiasme hoef je hier geen seconde over na te denken. Binnen een minuut is je nieuwe account aangemaakt, maar de korting van 25 euro werkt niet. De social engineer heeft nu allerlei gegevens over je die voor kwade doeleinden gebruikt kunnen worden. 

Principe 2: consistentie

Slaap je wel eens in een hotel? Dan heb je vast wel eens een kaartje in de badkamer gezien met het verzoek om je handdoeken te hergebruiken. Hoe het hotel dit verzoek doet, beïnvloedt je gedrag. Samen met Dr. Noah J. Goldstein en Steve J. Martin deed Dr. Robert Cialdini onderzoek naar dit fenomeen.

In samenwerking met een hotel lieten de drie onderzoekers twee verschillende kaartjes achter in de badkamers van het hotel waar het experiment plaatsvond. Het eerste kaartje vroeg gasten om hun handdoeken te hergebruiken om het milieu te sparen en hun respect voor de natuur te tonen. Het tweede kaartje gaf aan dat de meerderheid van de hotelgasten hun handdoeken ten minste één keer tijdens hun verblijf hergebruikten. En wat meer is, gasten die te horen kregen dat de meeste gasten hun handdoeken hergebruiken, waren 26 procent meer geneigd om hun handdoeken opnieuw te gebruiken dan degenen die een boodschap over milieubescherming kregen.

Dit is een goed voorbeeld van het eerste overtuigingsprincipe van consistentie. Dit principe stelt dat mensen onbewust geneigd zijn zich te gedragen op een manier die consistent is met het verleden. Hotelgasten die de boodschap kregen dat de meeste hotelgasten hun handdoeken hergebruiken, waren veel eerder geneigd om hun handdoeken te hergebruiken omdat dit consistent is met gedrag in het verleden.

Het tweede principe, consistentie, wordt ook regelmatig toegepast op social engineering technieken. De social engineer stuurt bijvoorbeeld namens iemand anders een e-mail. De e-mail bevat de belangrijke vraag of je een klein bedrag wilt overmaken. Je maakt het geld over. Later ontvang je nog een e-mail, en nog een, en nog een. Het bedrag dat gevraagd wordt, wordt hoger en hoger en hoger. Omdat mensen de neiging hebben om consequent te blijven, blijf je uiteindelijk het geldbedrag overmaken. Maar niet naar de persoon van wie je denkt dat het is.

Principe 3: Sociale bewijskracht

Heb je na uren slenteren door een nieuwe stad zin in een verfrissend drankje en een lekkere snack? Grote kans dat je plaatsneemt in het drukste restaurant. Zo werkt het derde principe, sociale bewijskracht.

Op het moment dat veel mensen een bepaalde handeling op dezelfde manier uitvoeren, nemen we aan dat dit de juiste manier is. Als we een druk restaurant en een leeg restaurant zien, nemen we aan dat het drukke terras de beste keuze is, zonder te weten wat het lege restaurant te bieden heeft.

Hoe wordt dit derde principe toegepast op social engineering-technieken? Social engineers laten je bijvoorbeeld kwalificeren met een advertentie. De advertentie laat zien dat er een geweldige nieuwe app op de markt is die iedereen gebruikt. Je wilt niet achterblijven bij de rest, dus klik je op de link in de advertentie. De link zorgt er uiteindelijk voor dat er kwaadaardige software op je apparaat wordt geïnstalleerd.

Principe 4: autoriteit

Het vierde principe, autoriteit, betekent dat we geneigd zijn het voorbeeld van experts te volgen. Als je een tandpastareclame voorbij ziet komen waarin een tandarts een nieuwe tandpasta aanprijst, is de kans groter dat je de tandpasta koopt dan wanneer een brandweerman dezelfde tandpasta aanprijst.

Iemand met autoriteit is voor velen van ons een vertrouwde bron. Social engineers zijn zich hiervan bewust en gebruiken dit in hun social engineering technieken. Vaak sturen social engineers een bericht namens de IRS met daarin een betalingsverzoek. De meeste mensen maken blindelings geld over. Het is tenslotte de belastingdienst, dan moet het wel goed zijn. Maar zonder het te beseffen is een social engineer een paar honderd euro rijker.

Principe 5: Vindbaarheid

We worden gemakkelijker overgehaald door mensen die we aardig vinden dan door mensen die we niet aardig vinden. Dit is het vijfde overtuigingsprincipe. Er zijn drie wetenschappelijk essentiële factoren waarop we baseren of we iemand aardig vinden.

• We houden van mensen die op ons lijken
• We houden van mensen die ons complimenten geven
• We houden van mensen met wie we aan gemeenschappelijke doelen kunnen werken

Na een paar maanden intensief gebruik zijn je sportschoenen versleten. Je besluit nieuwe te kopen en gaat naar een grote sportwinkel. Je vraagt de dichtstbijzijnde winkelmedewerker om hulp, maar je krijgt een ongeïnteresseerd antwoord. Al snel raadt de medewerker je af om een aankoop te doen. Een nieuwe medewerker komt aanlopen en ziet dat je hulp nodig hebt. Het toeval wil dat jij en de medewerker dezelfde sport beoefenen. Het feit dat jij en de medewerker dezelfde sport beoefenen creëert een klik tussen jullie, dus je koopt de schoenen graag bij Jurre (nu weet je de naam van de medewerker).

Het vijfde principe, sympathie, wordt ook vaak toegepast op social engineering-technieken. Gebruik je sociale media? Dan komt het wel eens voor dat je een vriendschapsverzoek krijgt van een onbekende. Of je een verzoek accepteert of niet, kan grote gevolgen hebben.

Je bekijkt de naam en de profielfoto van de persoon en scrollt een tijdje over de pagina. Uiteindelijk besluit je het verzoek te accepteren. Na een paar dagen is er steeds meer contact tussen jou en je nieuwe vriend of vriendin. Jullie weten alles van elkaar. Nou ja, de ander weet alles van jou. Jij weet alles van een fictief persoon. Na een tijdje komt de allesbepalende vraag of je geld wilt overmaken. Dat doe je, en dan nog een paar keer, totdat je niets meer hoort van die goede vriend of vriendin.

Principe 6: Schaarste

Het zesde principe stelt: als we het niet kunnen krijgen, willen we het des te meer. Deze eeuwenoude psychologische truc wordt vaak gebruikt door oplichters in alle soorten en maten. De oplichterstruc wordt niet alleen in het echte leven gebruikt, maar ook online.

Winkels gebruiken dit principe ook. Na uren door de online winkel te hebben gescrold, kom je dat ene perfecte artikel tegen. Je twijfelt alleen nog over de prijs. Is het artikel zoveel geld waard? Je besluit te wachten met de aankoop van het artikel totdat je de melding 'slechts 1 artikel beschikbaar' ziet. Om te voorkomen dat je iets mist, besluit je het artikel aan je winkelwagentje toe te voegen en te betalen.

Schaarste, het zesde principe, wordt ook vaak toegepast op social engineering technieken. Een voorbeeld hiervan zijn tijdslimieten in een e-mail. Social engineers kunnen e-mails sturen met een speciaal veld om zogenaamd je inloggegevens te wijzigen. De reden hiervoor? Ze hebben verdachte activiteiten op je account gezien en willen je beschermen. Je aarzelt wat je moet doen, maar dan zie je een aftelklok. Je hebt maar 24 uur om de gegevens te veranderen. Omdat je bang bent dat de link zal verlopen, verander je je gegevens. Het account wordt niet gewijzigd en de social engineer heeft alle benodigde gegevens om je verder op te lichten.

Beschermen tegen social engineering

Wil je jezelf beter beschermen tegen social engineering? Dat kan! Ten eerste is het verstandig om voorzichtig te zijn met de informatie die je verspreidt. Geef nooit zomaar gevoelige informatie weg. Voor je het weet gebruikt een social engineer jouw persoonlijke informatie!

Het kan zijn dat je per ongeluk op een kwaadaardige link of bijlage klikt. In dat geval wil je zo snel mogelijk weten dat er kwaadaardige software op je apparaat staat. Gebruik daarom een detectieprogramma voor cyberaanvallen, zoals Cyber Alarm van GOOSE VPN. Deze programma's scannen je internetverkeer op kwaadaardige software en brengen je op de hoogte wanneer er kwaadaardige software wordt gedetecteerd.

Daarnaast is het verstandig om je software te updaten. Verouderde software bevat kwetsbaarheden waardoor sociale engineers nog gemakkelijker je systeem kunnen binnendringen.

Je kunt ook een VPN-verbinding gebruiken. Dit is een beveiligde verbinding tussen jou en het internet. Door deze verbinding te gebruiken, worden je gegevens versleuteld en kan niemand meekijken met je internetverkeer. Sociale engineers kunnen niet meer zien wat je doet. Sommige social engineers gebruiken je persoonlijke informatie in hun social engineering technieken. Daarom is het goed om jezelf beter te beschermen.

Gebruik GOOSE VPN

Wil je een VPN-verbinding gebruiken? GOOSE VPN is de perfecte oplossing. Met onze betrouwbare, eenvoudige en betaalbare VPN-verbinding ben je online beter beschermd en kunnen social engineers niet langer meekijken met jouw internetgedrag.

Daarnaast kun je met GOOSE VPN het Cyber Alarm gebruiken. Het Cyber Alarm is een extra toevoeging die je internetverkeer 27/7 controleert op kwaadaardige software. Als er kwaadaardige software wordt gedetecteerd, krijg je daar direct bericht van!

Meld je nu aan bij GOOSE VPN

Bescherm jezelf tegen social engineering met GOOSE VPN-verbindingen en Cyber Alarm! Meld je nu aan bij GOOSE VPN en ontvang 30 dagen geld-terug-garantie.