Social engineering: 8 veelmisbruikte tactieken

Social engineering is, volgens organisatie-adviseur Hans Dalhuijsen, “een in oorsprong positief politicologisch begrip, dat is verworden tot zoiets als het gebruiken van sociale vaardigheden om anderen te beïnvloeden en vooral te benadelen”. De term is sterk in diskrediet gebracht door figuren als Kevin Mitnick, de beroemde hacker die in de jaren ’90 van de vorige eeuw naast wat technische handigheidjes vooral gebruikmaakte van sociale vaardigheden om toegang te verkrijgen tot systemen waar hij niets te zoeken had. Volgens experts maken hackers en crackers tot op de dag van vandaag gebruik van dezelfde (en een paar nieuwe!) slimme foefjes om mensen ongemerkt wachtwoorden te ontfutselen, van malware te voorzien en van geld te ontdoen.

Bij deze een opfriscursus over enkele van de meest voorkomende social-engineeringstrucs die je via telefoon, mail en het web tegemoet kunt zien.

Het belangrijkste doel van een social engineer die gebruikmaakt van de telefoon als modus operandi, is zijn doelwit ervan te overtuigen dat hij hetzij een collega is, hetzij een betrouwbare externe partij (zoals iemand van de gemeente, of een accountant). Hoewel het ultieme doel natuurlijk is bepaalde informatie los te krijgen van of over werknemer X, is het goed mogelijk dat zijn eerste telefoontjes (of mails) binnenkomen bij een collega.

Het oude spelletje van de zes graden van verwijdering heeft in de criminaliteit een paar graden extra gekregen. Volgens Sal Lifrieri, een Amerikaan die ondernemingen schoolt in social engineering tactieken, kunnen er heel goed tien stappen zitten tussen het doelwit van de crimineel en de persoon die hij of zij in een organisatie als eerste benadert.

“In mijn voordrachten vertel ik mensen dat je altijd een klein beetje paranoïde moet zijn, omdat je nooit echt weet wat een persoon nou echt van je wil,” zegt Lifrieri. Criminelen beginnen soms helemaal bij de koffiejufrouw of de parkeerwacht. “De secretaresse of de receptionist waar de criminelen mee beginnen zit soms wel tien stappen verwijderd van de persoon waar ze toegang toe proberen te krijgen.”

Volgens Lifrieri gebruiken criminelen eenvoudige tactieken om de meer toegankelijke mensen in een organisatie zo gek te krijgen dat ze informatie vrijgeven over mensen die hoger in de hiërarchie staan. “De meest gebruikte techniek is simpelweg vriendelijk zijn,” zegt Liefrieri. “Iets als: ‘Ik wil je beter leren kennen. Wat doe je zoal overdag?’ Het duurt meestal niet lang of ze krijgen informatie die je een paar weken daarvoor absoluut niet zou hebben vrijgegeven.”

Iedere bedrijfstak heeft zijn eigen dialect, zegt Lifrieri. Een crimineel die social engineering inzet, maakt zich die taal meester en zorgt dat hij als het nodig is met iedereen mee kan praten.

“Het draait allemaal om sociale kringen,” stelt hij. “Als ik je aanspreek in een taal die je herkent, dan ben je geneigd me te vertrouwen. Je bent meer genegen me de informatie te geven die ik nodig heb, als ik de afkortingen en termen gebruik die je gewend bent te horen.”

Succesvolle scammers hebben alleen tijd, geduld en volharding nodig, stelt Lifrieri. Aanvallen verlopen vaak traag en systematisch. En in de aanloop worden niet alleen persoonlijke gegevens van mensen verzameld, maar ook andere ‘sociale signalen’ die vertrouwen wekken en de ander het idee geven dat ze te maken hebben met een collega, terwijl dat niet zo is.

Een succesvol voorbeeld is het opnemen van de wachtmuziek, die een bedrijven gebruiken als bellers moeten wachten aan de lijn. “Zo’n crimineel belt met zijn potentiële slachtoffer, en na een minuutje zegt hij dan: ‘Wacht even, ik krijg een andere lijn binnen’, en dan zet hij zijn slachtoffer in de wacht. Vervolgens speelt hij het melodietje af dat hij eerder die dag heeft opgenomen, waardoor zijn slachtoffer onbewust denkt: ‘Hé, dat is ons melodietje, hij werkt kennelijk bij ons’. Het is gewoon een psychologisch trucje.”