Phishing vanuit het perspectief van het slachtoffer

Delores zat midden in weer een drukke dag. Omdat ze onderbemand was, werden de mensen van de non-profit waar ze werkte voortdurend overstelpt. Ze was bij het bureau begonnen toen haar vriendin (nu haar baas) haar in dienst nam. Omdat ze vrienden waren, vroegen Delores en haar baas elkaar vaak om gunsten. Kort voor Kerstmis vorig jaar ontving Delores een e-mail van haar baas waarin ze om een van die gunsten vroeg. Dit is wat er volgde:

Baas: "Heb je het druk?"

Delores: "Nee"

Baas: "Kun je me een plezier doen?"

Delores: "Tuurlijk, wat is er?"

Baas: "Ik ben mijn handtas verloren met mijn telefoon erin. Ik leen de telefoon van een vriend; kun je me een sms sturen op dit nummer: xxx-xxx-xxxx?"

Delores sms'te het nummer.

Telefoon van vriend: "Ik zit in een lastig parket, ik moet cadeaubonnen hebben voor alle andere teamleden om uit te delen als prijs voor het vakantiefeest. Ik ben mijn tas verloren met alles erin en kan ze niet kopen. Ik moet ze vandaag hebben, zodat we ze op tijd hebben voor het feest. Kunt u me helpen?"

Delores: Hoewel dit een ongebruikelijk verzoek was, was Delores blij dat ze haar vriendin kon helpen. Na een paar uur kocht ze online voor $1.600 aan iTunes-cadeaubonnen en stuurde ze die door naar haar baas.

Telefoon van vriend: "Hou dit alsjeblieft geheim, het is een verrassing voor het vakantiefeest."

De echte verrassing kwam toen Delores zich realiseerde dat het niet haar baas was voor wie ze de kaarten had gekocht. De recente verschuiving naar thuiswerken heeft geleid tot een hausse van online social engineering aanvallen. [1] Ik heb massa's slachtoffers geïnterviewd om te begrijpen hoe en waarom mensen ten prooi vallen aan deze zwendel. Zo kwam ik in contact met Delores (niet haar echte naam).

Haar interview hielp me een beter beeld te krijgen van oplichting vanuit het oogpunt van het slachtoffer. Wat voor mij "rode vlaggen" zouden zijn, werd duidelijk in de context van Delores.

Wanneer ik presentaties geef aan beveiligingsprofessionals, hoor ik vaak gegniffel of opmerkingen over de naïviteit van slachtoffers. Maar na jaren van onderzoek op dit gebied, ben ik tot de overtuiging gekomen dat de context de vatbaarheid bepaalt.

Top-down vs. bottom-up cognitieve verwerking

De menselijke cognitieve verwerking werkt in twee "richtingen": van "beneden naar boven", zoals bij het waarnemen van informatie uit de omgeving en het maken van gevolgtrekkingen, en van "boven naar beneden", zoals wanneer wij een verwachting hebben en de gaten invullen. Terwijl "zien is geloven", is het omgekeerde - "geloven is zien" - ook vaak waar.

Een gemakkelijke manier om dit zelf te ervaren is door te kijken naar dubbelzinnige cijfers. Als je kijkt naar een site als deze een , dan zul je zien dat cijfers het een of het ander lijken te zijn. Maar als je van tevoren wordt verteld wat je kunt verwachten te zien, dan zul je eerder die vorm zien. Dit kan ertoe leiden dat mensen hints missen, zelfs als ze er rechtstreeks naar kijken.

Een fantastisch voorbeeld werd gedemonstreerd toen mensen de opdracht kregen naar een video van een basketbalwedstrijd te kijken en het aantal passen tussen de spelers te tellen. Zonder dat de waarnemers het wisten, liep er tijdens de video duidelijk een persoon in een gorillakostuum door het midden van de scène. [2] De meeste waarnemers "zien" de persoon in het gorillakostuum niet, zelfs niet als ze er direct naar kijken, zoals blijkt uit oogvolgonderzoek. [3]

De gevolgen van niet klikken

Uit een studie van het National Institute of Standards and Technology bleek dat mensen eerder geneigd waren op de links in phishing-e-mails te klikken wanneer de vooronderstelling van de e-mail overeenkwam met de functie of de verwachtingen van de betrokkene ten aanzien van een e-mail. Dit is misschien niet verrassend. Maar wat opzienbarend was, was hoe vaak diezelfde mensen aanwijzingen in de e-mail opmerkten, zoals een hyperlink die niet klopte of een spelfout, die ze in twijfel trokken, maar vervolgens goedkeurden omdat de e-mail aan hun verwachtingen voldeed.

Uit dit onderzoek bleek ook dat mensen die op hyperlinks in phishing-e-mails klikten, dit deden omdat ze bezorgd waren over de gevolgen van het niet klikken op de link. [4] Hoeveel werknemers in uw organisatie zijn berispt omdat ze geen gevolg hebben gegeven aan een legitieme e-mail?

De meest overtuigende phishing-e-mail die ik ben tegengekomen, ging uit van een te late waarschuwing voor een gemiste opleidingstermijn. De e-mail toonde het bedrijfslogo, gebruikte correcte grammatica en dreigde de supervisor van de werknemer te waarschuwen als de training niet onmiddellijk werd voltooid. Helaas maken deze tactieken gebruik van onze cognitieve processen tegen ons, en er is weinig dat we kunnen doen om dat te veranderen. Maar dat betekent niet dat alles verloren is.

De kern van de zaak

Hier zijn drie punten om in gedachten te houden bij het voorlichten van gebruikers over phishing-dreigingen:

• Begrijp dat gebruikers die in phish vallen waarschijnlijk een situatie zijn tegengekomen die nauw aansloot bij hun verwachtingen of overtuigingen. Als de omstandigheden iets anders waren geweest, waren ze misschien niet ten prooi gevallen aan de oplichter.
• bewustmaking is weliswaar een noodzakelijke eerste stap, maar op zichzelf niet genoeg. Mensen moeten veilige e-mailgewoonten ontwikkelen. Onder paramedici is er een adagium: "Welke patiënt heeft een besmettelijke ziekte? Allemaal." Paramedici behandelen elke patiënt als potentieel besmettelijk. Het opbouwen van consequent veilige e-mailgewoonten is van cruciaal belang, zelfs voor het afhandelen van persoonlijke e-mails. De "repeat clickers" die ik heb geïnterviewd kunnen het juiste beveiligingsbeleid aanhalen, maar gedragen zich er niet naar. Zij hebben slechte gewoonten, geen gebrek aan kennis.
• Tot slot, denk na over hoe het beleid kan werken tegen de veiligheid. In het voorbeeld van de e-mail met trainingsberichten is een werknemer die ernstige gevolgen ondervindt van het niet voltooien van een training kwetsbaarder dan een werknemer die minder te verliezen heeft. Vraag jezelf af hoe aanvallers goedbedoelde beleidsregels in hun voordeel kunnen gebruiken.

[1] " 820% stijging in e-gift card bot aanvallen sinds COVID-19 lockdowns begonnen ," TechRepublic

[2] " The Invisible Gorilla ," Christopher Chabris and Daniel Simons

[3] " The Invisible Gorilla Strikes Again ," Trafton Drew, Melissa L. H. Vo en Jeremy M. Wolfe

[4] " User Context: An Explanatory Variable in Phishing Susceptibility ," Kristen K. Greene, Michelle P. Steves, Mary F. Theofanos, Jennifer Kostick