De menselijke factor als zwakke schakel RISICOBEHEER Informatisering en automatisering leiden in principe tot een betere veiligheid binnen de bedrijven. Toch blijft de menselijke ingreep noodzakelijk in de procedures die toegang verschaffen tot informatie. Net hier ligt het gevaar. Fouten als gevolg van onwetendheid of nalatigheid zijn altijd mogelijk, en daarbovenop kunnen we ook het slachtoffer worden van social engineering. S ocial engineering is een eeuwenoud verhaal. Een van de eerste voorbeelden is waarschijnlijk het paard van Troje in de Griekse mythologie. Door zich te verstoppen in een grote houten paard dat ze aan de Trojanen schenken, slagen Griekse strijders er in om de Homerische stad binnen te dringen en te veroveren. De naam van het houten paard is in ons cybertijdperk ook overgenomen om een categorie van malware aan te wijzen. In 2007 slaagde een man erin edelstenen ter waarde van 21 miljoen euro te stelen uit de kluis van de bank ABN Amro, in het hart van de diamantwijk in Antwerpen. De dief werkte meer dan twee jaar lang aan zijn slag. Hij werd een regelmatige klant van de financiële instelling, en slaagde er zo geleidelijk in het vertrouwen van het personeel in te winnen. De eerlijk uitziende gentleman verleidde de bankmedewerkers met chocolade en gulle tips. De vriendelijke klant en zijn riante buit verdwenen voorgoed... Dit soort verhalen zijn uitzonderlijk, maar tonen een constante aan in de modus operandi van de oplichters: het vertrouwen inwinnen van potentiële slachtoffers. Deze techniek is nu wijdverbreid: wie kent de e-mail niet van de e-mailprovider met de vraag om het wachtwoord door te sturen om te vermijden dat het account wordt geschrapt? Dit is een klassiek voorbeeld van phishing. In 2011 slaagde een oplichter er in $ 8.000.000 van het tijdschrift Vogue betaald te krijgen door zich eenvoudigweg voor te doen als hun drukker die hen een nieuw bankrekeningnummer meedeelde! Hij werd uiteindelijk gearresteerd. De aanpak is soms nog verraderlijker: in de e-mail krijgt het slachtoffer een link naar een pagina die lijkt op die van zijn vertrouwde onderneming. De gebruiker krijgt de vraagt persoonlijke informatie vrij te geven, die de cybercrimineel 26 BECI - Brussel metropool - december 2016 opslaat. Of erger: een vermeende leverancier van mijn bedrijf benadert u, nodigt u uit om te gaan lunchen en slaagt er dan in vertrouwelijke informatie af te persen. De voorbereiding Om zijn prooi te verleiden gebruikt de oplichter alle mogelijke communicatiemiddelen: e-mail, post, ontmoeting, telefoon tot zelfs interactieve voice-systemen. Als hij echter succes wil boeken, moet hij zich grondig voorbereiden. De dader moet zijn slachtoffer dus vooral erg goed kennen, en sociale netwerken vormen hiervoor een uitstekende bron van informatie. Vaak zijn er de naam, het e-mailadres, het telefoonnummer, de contacten, of de interesses van de persoon op terug te vinden. De oplichter kiest bij voorkeur jonge, laaggeschoolden of maatschappelijk achtergestelde slachtoffers. Of het andere extreem: ouderen, die over het algemeen minder vertrouwd zijn met nieuwe technologieën. Als dat niet volstaat, kan hij zelfs overgaan tot het uitpluizen van vuilnisbakken, telefonische enquêtes, sollicitatiegesprekken of zelfs passief afluisteren op openbare plaatsen. Zodra hij alle nodige gegevens heeft verzameld, gaat de vijand over tot de aanval. De aanval Het Franse bedrijf Digital Network publiceerde een handleiding over de psychologische overtuigingstechnieken die cybercriminelen gebruiken. De typische aanpak is als volgt samen te vatten: “Laat me u helpen.” Dit geeft het slachtoffer vertrouwen, aangezien we altijd de neiging hebben om onze helpers ook een tegenprestatie te gunnen. De tweede en meer verderfelijke benadering is van het type “Kunt u mij helpen?” Het geeft inderdaad een goed gevoel om iemand te helpen en zich bedankt en gewaardeerd te voelen. Daarna komt het gezagsargument. In grote bedrijven en administraties zorgt dit meestal niet voor vraagtekens. De oplichJulien Ide © Thinkstock
29 Online Touch Home