Innovatie

Trap er niet in! Zo halen cybercriminelen je over

0

Vervuld van medelijden lezen we hoe bejaarden worden opgelicht met de klassieke babbeltruc. Met een mooi verhaal worden de bankpas en de pincode losgepraat. Vervolgens verdwijnt het AOW-geld van de bankrekening naar de zakken van de crimineel.

Dat is zielig. Maar zelf staan we ook geregeld oog in oog met oplichters. Dat wil zeggen: via het beeldscherm. Een berichtje van je dochter via WhatsApp, een SMS’je van je bank of een e-mail van een bezorgdienst? Daar kan een cybercrimineel achter zitten. Je moet goed opletten, want anders ga je net zo makkelijk voor de bijl als die bejaarden.

In dit artikel kijken we welke psychologische principes cyberoplichters gebruiken. Welke instincten en emoties maken ze in je wakker? Hoe krijgen ze jou zover dat je klikt op de link in hun e-mail?

Social engineering

Verrassing: eigenlijk is een oplichter een soort marketeer. Hij gebruikt dezelfde overtuigingsprincipes om zijn ‘klanten’ aan het ‘kopen’ te krijgen. Deze principes zijn geïdentificeerd door marketingprofessor Robert Cialdini als:

  • wederkerigheid,
  • schaarste,
  • autoriteit,
  • commitment en consistentie,
  • sympathie,
  • sociale bewijskracht, en
  • eenheid.

Dit zijn dus de bouwstenen voor de social engineering van de cybercriminelen.

Kennis is macht

Het eerste dat cybercriminelen doen, is informatie verzamelen over het slachtoffer. Over jou dus. Internet maakt dit ‘marktonderzoek’ simpel. Google maar eens op je naam: meteen verschijnt er een schat aan handige aanknopingspunten.

Denk bijvoorbeeld aan je functie, het bedrijf waar je werkt en je contactgegevens. Bijzonder handig zijn de gevonden pagina’s op social media. Daar vindt de oplichter dikwijls ook informatie over je collega’s, interesses, hobby’s of gezinssamenstelling. Met je professionele profielfoto kan een cybercrimineel eveneens ‘leuke’ dingen doen.

Uiteraard biedt de Kamer van Koophandel ook nuttige aanknopingspunten. Hoe concreter en specifieker de informatie, hoe beter de crimineel je straks in de luren kan leggen.

Voorbeeld: de bankmedewerker

Nu heeft hij je helder in het vizier. Het wordt tijd om de val te openen. Laten we eens kijken naar een veelgebruikte techniek: het telefoontje.

We kennen allemaal de ‘Microsoft-medewerker’ met een Indiaas accent, die je pc op afstand wil overnemen. Maar op dit moment doen cybercriminelen zich vooral graag voor als bankmedewerker. Als de crimineel lijkt te bellen via het nummer van de bank (spoofing) ziet dat er meteen heel overtuigend uit. Nog meer als hij blijkt te weten waar je de afgelopen week hebt geshopt.

Hij vertelt je dat er vreemde activiteiten op je rekening zijn gesignaleerd. Sterker nog: hij belt juist omdat er grote haast bij is: terwijl jullie praten, verdwijnen er bedragen naar onduidelijke rekeningen!

Gelukkig heeft hij ook een snelle oplossing: je geld kan veilig worden geparkeerd op een depositorekening. Dat is een hele geruststelling. Fijn om te horen dat je bank zo goed voor je zorgt.

Uiteraard komt de kater later: je geld is weg en de crimineel lacht in zijn vuistje.

Hoe doet hij het?

In dit voorbeeld past de crimineel diverse marketingprincipes toe. Om te beginnen autoriteit. Je krijgt niet dagelijks telefoon van de bank. Het is een solide organisatie waar je je spaarcentjes aan hebt toevertrouwd. Bovendien blijkt dit geen gewone bankmedewerker, maar een lid van het fraudeteam! Dus die weet waar hij het over heeft. Als hij dan ook nog schermt met allerlei financiële en IT-begrippen, zijn er maar weinig mensen die met hem in discussie zullen gaan. Je wordt overbluft.

Het tweede principe is schaarste. Om precies te zijn: schaarse tijd. Je wordt onder druk gezet om meteen te handelen, want anders is je geld weg. Hetzelfde gebeurt bij social engineering via SMS, Whatsapp of e-mail: je wordt als slachtoffer getriggerd om te kiezen voor de snelste oplossing die voorhanden is. Zo voorkomt de crimineel meteen dat je gaat controleren of zijn verhaal wel klopt. Bijvoorbeeld door het gesprek te verbreken en zelf naar de bank te bellen.

Het derde principe is wederkerigheid. De crimineel wil je helpen om je geld niet kwijt te raken. Of om bijvoorbeeld tijd te besparen of een extra heffing te voorkomen. Hij heeft het beste met je voor. En jij hoeft alleen maar even mee te werken…

Tot slot het principe van de commitment & consistentie. Als de crimineel belt, ben je meteen één en al oor, want je spaargeld is in gevaar! Vervolgens komt hij met een reeks vragen die zijn verhaal steeds geloofwaardiger maken. Hij weet bijvoorbeeld waar je geshopt hebt. Zo wordt je steeds verder de fuik in gezogen.

Goed opletten

Deze strategie heeft maar al te vaak succes: iedereen kan het slachtoffer worden van social engineering. Het enige wat helpt is goed opletten. Want niet alles op internet is onschuldig. Bijvoorbeeld die site die vertelt waar jouw geboorteplaats bekend om staat. Of dat grappige testje waar je in een moment van verveling op klikt. Het voorspelt je toekomst aan de hand van je geboortedatum. Maar de werkelijke toekomst is dat je wordt aangevallen door een cybercrimineel.

Wees zuinig met informatie

Weet welke informatie je online deelt, op welke platformen en met wie. Posts delen met ‘vrienden van vrienden’ is voor je aantal volgers geweldig, maar daar kunnen ook cybercriminelen tussen zitten. Denk na bij wat je doet op social media: maak alleen dingen publiek waarvan geen misbruik kan worden gemaakt.

Laat je niet opjagen

Cybercriminelen proberen je in hun berichten onder druk te zetten met woorden als ‘nu’, ‘direct’ of ‘vóór 17.00 uur’. Trap daar niet in. Neem contact op met de afzender door zelf naar het jou bekende nummer te bellen. Check of het verhaal klopt. Als je bank belt, vraag dan de naam van de medewerker en de afdeling. En bel zelf terug.

Ongewoon is verdacht

Krijg je een mailtje van iemand die normaal nooit mailt? Is het taalgebruik in een appje anders dan je van de afzender gewend bent? Of is het een verzoek dat je nooit van haar zou verwachten? Check! Neem contact op met de afzender. Natuurlijk niet als reply maar langs een andere weg. En check of die persoon inderdaad contact met je heeft gezocht.

Dit geldt al helemaal als het gaat om geld. Een betalingsverzoek of de wijziging van een rekeningnummer vraagt om voorzichtigheid. Check dus of het klopt, ook als er haast bij lijkt te zijn. Die tien minuten extra kunnen je een hoop ellende besparen.