Social engineering, social wat?

Social engineering: de Dikke van Dale noemt het een eufemisme en Wikipedia houdt het op computerkrakers die computersystemen aanvallen via de zwakste schakel in de computerbeveiliging, namelijk de mens. Ik huldig de omschrijving dat de social engineer een ander iets wil laten zeggen of doen, zonder dat diegene in de gaten heeft dat hij dat niet mag zeggen of doen. Zo wil de social engineer informatie vergaren om daar munt uit te slaan. Een voorbeeld? De social engineer komt met een grote doos aanlopen en een ander houdt de deur open. Hoppa, binnen. De eerste hobbel is genomen. Eenmaal binnen gaat die op zoek naar een niet-vergrendelde werkplek of naar een netwerkaansluiting om de eigen laptop op aan te sluiten. Maar vaak hoeft de social engineer niet eens fysiek aanwezig te zijn en kan hij zich bedienen van technische foefjes, zoals phishing.

En dan? Hoe krijgt de social engineer zijn beoogde slachtoffer(s) zo ver dat ze doen wat hij wil? In zijn boek ‘Influence: The psychology of persuation’ noemt Robert Cialdini de twee voor social engineers belangrijkste beïnvloedingsprincipes: autoriteit en schaarste. Mensen zijn geneigd om iemand die fysieke of mentale autoriteit uitstraalt te gehoorzamen: ik ben jou de baas óf ik ben jouw baas. En het creëren van schaarste kom je tegen in bijvoorbeeld een phishing mail: deze geweldige aanbieding is slechts één dag geldig én op = op. Dus niet te lang nadenken en snel op de link te klikken.

Ian Mann liet zien dat de mens gemakkelijk instructies opvolgt: hij liep een zaal in en verzon iets over hypnotiseren. Hij stelde zijn gehoor gerust: “Ik ga u niet hypnotiseren hoor, maar wilt u wel even allemaal opstaan?” Toen iedereen stond, zei hij triomfantelijk: “Zie je wel hoe gemakkelijk de mens instructies opvolgt?” Mann zei ook dat uitzicht op een beloning goedgelovig maakt. De 419-scam is daarop gestoeld: een Afrikaanse prins stelt je een grote beloning in het vooruitzicht als je hem helpt om een paar miljoen van een geblokkeerde bankrekening vrij te maken. Natuurlijk vraag je je af hoe dit kan en waarom die prins uitgerekend bij jou komt. En tóch zijn er altijd weer mensen - ook nu nog - die er weer intuinen. Want als je hieraan meedoet, krijg je op een gegeven moment het verzoek om een bepaald bedrag over te maken dat nodig is om dat geld vrij te maken en uiteraard zie je dat geld nooit meer terug, laat staan die vette beloning. 419 is trouwens het fraude-artikel in het Nigeriaanse Wetboek van Strafrecht. 

Een social engineer komt ook graag goed beslagen ten ijs. Hij zoekt allerlei aangrijpingspunten om jou informatie te ontfutselen of dingen te laten doen: hij wil zo vertrouwd mogelijk overkomen, want je wist het nog niet, maar hij is je vriend! En hoe komt hij te weten wie jij bent? Hoe jouw sociale en werkomgeving eruitzien? Wat je hobby’s zijn? Nou, wat denk je? Social media natuurlijk! De kans is groot dat Facebook, LinkedIn, Instagram en Twitter zo’n beetje alles van je weten wat van belang is voor social engineers.

Phishing is bij het grote publiek de meest bekende vorm van social engineering. Wie kent niet de verleidelijke e-mailtjes een een link of een bijlage? Zo’n bijlage zorgt ervoor dat malware op je computer wordt geïnstalleerd, waarmee de crimineel zich toegang tot jouw systeem verschaft of met je mee kan kijken om bijvoorbeeld jouw inlogcodes van je bankrekening in handen te krijgen. Als de phishingmail een link bevat, kom je vaak op de nepsite van een bekend bedrijf terecht waar je wordt gevraagd om allerlei gegevens in te vullen. Of er wordt malware geïnstalleerd.

Bij bulk phishing schiet de crimineel met hagel: hij verstuurt heel veel mailtjes in de hoop dat een aantal mensen zullen toehappen. En spear phishing richt zich weer op zorgvuldig geselecteerde, specifieke personen in een organisatie, ook weer met dank aan die sociale media. Een heel specifieke vorm van spear phishing is de CEO-fraude, waarbij de crimineel zich voordoet als een hoge manager en in een dringend én dwingend mailtje iemand van de financiële administratie opdracht geeft om een flink bedrag over te maken naar een buitenlandse bankrekening. Iets wat erg goed werkt bij grote organisaties waar de afstand tussen administratie en directie groot is en de administrateur het niet in z’n hoofd haalt om de opdracht te verifiëren. Zo verloor de Belgische Crelan-bank in 2015 zeventig miljoen euro, de Amerikaanse speelgoedfabrikant Mattel een jaar later drie miljoen dollar en onze eigen Pathé-bioscopen moesten vorig jaar negentien miljoen euro aftikken. Iedere keer door één e-mailtje.

Kijk dus goed uit als je e-mailtjes ontvangt waarin je gevraagd wordt iets te doen. Check waar een link je naar toe wil brengen, door de cursor boven de link te laten zweven zonder te klikken. Onderin de statusbalk van je browser zie je dan het adres en ziet dat er ‘raar’ uit, dan is dat een flinke rode vlag. Op een mobiel apparaat druk je lang op de link om het adres in beeld te krijgen.

Maar er zijn geniepigere trucs. Zie je verschil tussen google.com en googIe.com? Nee, in dit lettertype niet, en ook niet in je browser, want in schreefloze lettertypes zien de kleine letter L en de hoofdletter i er hetzelfde uit. De cybercrimineel registreert het domein googie.com en stuurt jou een link die je leest als google.com. En dan zijn er nog de homogliefen: letters uit andere schriftsoorten die op ons Latijnse schrift lijken. Een Cyrillische a ziet er bijvoorbeeld hetzelfde uit als zijn Latijnse collega, maar wordt door computers anders gecodeerd, waardoor het domein niet is wat jij denkt. En impersonatie is wéér een andere vorm, waarin de social engineer zich in allerlei onechte rollen manoeuvreert, zoals de hoofdpersoon in het boek of de film ‘Catch me if you can’.

Europol schreef vorig jaar dat social engineering groeit, met phishing als voornaamste verschijningsvorm. Vooral West-Afrikaanse fraudeurs gaan een grotere rol spelen, omdat hun internetgebruik het snelst groeit. En nu we het toch over Afrika hebben: Kijk eens naar de TED-talk van James Veitch, die heeft gedaan wat we stiekem allemaal wel zouden willen. Hij heeft een mailtje van de Afrikaanse prins beantwoord. Informatiebeveiliging als amusement – het kan!