NATIONALE HELPDESK VOOR VRAGEN EN MELDINGEN OVER FRAUDE.

De Fraudehelpdesk is er voor al uw vragen en meldingen over fraude.
Onze helpdesk zit klaar op werkdagen tussen 9.00 en 17.00 uur. Op woensdag vanaf 12.00 uur.
U kunt ons bereiken via 088-7867372 of vul het meldformulier in.
11 okt 2017

´Voorlichting helpt bij voorkomen cybercrime’

Bij de beveiliging van online systemen blijkt de mens keer op keer de zwakste schakel. Met een smoes zijn gebruikers al snel over te halen geheime informatie prijs te geven. Nieuw onderzoek wijst uit dat voorlichting over de gevaren blijkt te werken.

Promovendus Jan-Willem Bullee voerde op de Universiteit Twente (UT) verschillende ‘sociale aanvallen’ uit en onderzocht de effectiviteit van tegenmaatregelen. Enkele resultaten: een gepersonaliseerde phishing e-mail is de helft effectiever dan een e-mail met een algemene tekst. Veertig procent van de werknemers installeerde na een beltruc malafide software. En voorlichting werkt, als er maar niet te veel tijd tussen de voorlichting en de aanval zit.

Bij ‘social engineering’ gebruikt een dader manipulatie en psychologische trucs zodat het uiteindelijke slachtoffer zelf meehelpt aan de aanval. Bekende voorbeelden hiervan zijn phishingmails en telefoonfraude, zoals Microsoftbellers. In zijn onderzoek voerde Bullee een drietal ‘sociale aanvallen’ uit op honderden proefpersonen om na te gaan hoe effectief de aanvallen zijn. Ook vroeg hij zich af hoe je het aantal slachtoffers kunt terugdringen.

Drie gesimuleerde aanvallen
Zo kregen bijna 600 werknemers van de UT een phishingmail met daarin de vraag om persoonsgegevens af te staan. De helft van de e-mails had een algemene aanhef, de rest was gepersonaliseerd. 19,3 procent van de collega’s die een algemene e-mail ontving gehoorzaamde de aanvaller, tegenover 28,9 procent die een gepersonaliseerde e-mail kreeg. Kortom: de naam van de ontvanger toevoegen maakt een aanval aanmerkelijk effectiever.

Voorbeelden van social engineering

Zou u in social engineering trappen? In het onderzoek staan verschillende doortrapte voorbeelden:

Stel, je hebt de hele dag gereisd en komt aan in je hotel. Je checkt in en gaat naar je kamer. Dan gaat al snel de telefoon. De dame aan de lijn stelt zich voor als Rebecca van de receptie. Helaas is er wat misgegaan bij de check-in en ze vraagt je je creditcardgegevens nog even te herhalen. Wat doe je?

Nog een:

De deur van kantoor is afgesloten en alleen via een speciale key toegankelijk voor personeel. Op een ochtend word je aangesproken door Jack Smulders die zegt te werken voor het bedrijf dat de key levert. Er blijken problemen te zijn en hij vraagt of hij even jouw sleutel mag uitlezen. Hij legt hem op een apparaatje en zegt dat er niks mis mee is. Wel geeft hij aan dat de key nu even opnieuw geactiveerd moet worden in de bus die voor het bedrijf staat. Geef je de sleutel mee?

Daarnaast voerde Bullee een experiment uit waarin hij bijna 200 medewerkers met een babbeltruc verleidde hun kantoorsleutel af te staan aan een vreemde. Maar liefst 59 procent deed dit. Bullee: “Vaak kregen we zelfs de complete sleutelbos mee, inclusief huis- en autosleutels.”

Bij het derde experiment benaderde hij 162 medewerkers via de telefoon en vroeg ze malafide software te downloaden, software die in de praktijk uiteraard onschadelijk was. Veertig procent van de medewerkers installeerde de software.

Eigen kennis hoog ingeschat
Opvallend is dat mensen ervan overtuigd zijn zelf geen slachtoffer te zullen worden van deze misleiding. Voordat de experimenten plaatsvonden gaven alle geïnterviewde medewerkers aan dat ze nooit de software zouden installeren en 97 procent gaf aan dat ze kantoorsleutel zeker niet zouden afstaan aan een vreemde.

Uit de drie onderzoeken komt verder naar voren dat mannen, vrouwen, ouderen en jongeren vergelijkbaar presteren. Bij phishingmails maakt het wel uit hoe lang je in dienst bent. Medewerkers die minder dan vier jaar in dienst waren werden vaker slachtoffer.

Voorlichting ter preventie
De belangrijkste vraag is uiteraard hoe je sociale aanvallen het beste kunt voorkomen. Gebleken is dat goede voorlichting effectief kan zijn. De proefpersonen werden vooraf opgedeeld in groepen. De groep die informatie kreeg over hoe je bedrog kan herkennen scoorde veel beter bij zowel het weggeven van sleutels (37 versus 59 procent) als het installeren van software (17 versus 40 procent). Maar, als de tijd tussen de voorlichting en aanval groter wordt neemt het leereffect af. Daarom is het van groot belang om de boodschap te blijven herhalen en mensen alert te houden, stelt de onderzoeker.

Bron foto: Dayna Bateman/Flickr.com, CC BY-NC-SA 2.0.