Allereerst: Ik wens iedereen een gezond, gelukkig en informatieveilig 2023 toe! 2022 herinnert ons dat cyberdreigingen nog steeds zeer actueel, van grote impact en dichter bij huis is dan men denkt. Ik hoop dat wij in 2023 hier bewuster van zullen worden en meer weerbaarheid kunnen tonen op het gebied van informatieveiligheid.
In dit eerste securityblog van 2023 duiken we dieper in op de overtuigingsprincipes van Dr. Robert Cialdini en hoe cybercriminelen deze toepassen. Cialdini spreekt over 7 overtuigingsprincipes in zijn boek ‘Overtuigen’ om gedaan te krijgen wat je wil. Cybercriminelen gebruiken deze principes maar al te vaak om hiermee hun slachtoffers te manipuleren.
Mensen hebben de neiging om iets terug te geven aan iemand waarvan zij iets hebben ontvangen. Dit heet wederkerigheid. Indien mensen alleen maar nemen en niets geven, vinden wij ze minder sympathiek en daar doen we minder snel iets voor terug.
Een goed voorbeeld van wederkerigheid is bijvoorbeeld als een partij u een ticket e-mailt van de WK-finale. Dit is volledig kosteloos. Of u wel even wil inloggen op hun website met uw gegevens om de ticket te bemachtigen. U gaat ervanuit dat dit legitiem is en een kleine moeite om terug te doen, namelijk inloggegevens afgeven aan een cybercrimineel.
Laat men A zeggen, dan volgt B vanzelf. Consistentie is de sleutel tot een geslaagde actie van een cybercrimineel.
Consistentie in de praktijk kan bijvoorbeeld als volgt: Een cybercrimineel belt een slachtoffer om bankgegevens te bemachtigen. Hiervoor probeert hij/zij eerst een band te creëren met het slachtoffer waarbij de crimineel eerst om kleine gunsten vraagt, zoals het ‘controleren’ van NAW-gegevens. Stap voor stap vraagt de crimineel meer en gaat zelfs zo ver dat de crimineel om inloggegevens/bankgegevens vraagt. Door consistent gedrag te tonen leidt het slachtoffer zichzelf in de val, zonder daar bewust van te zijn.
De behoefte om ergens bij te willen horen: Sociale bewijskracht. Men identificeert zich snel met de meerderheid wanneer zich een onzekere situatie afspeelt.
Een voorbeeld waarbij sociale bewijskracht goed wordt afgebeeld is wanneer u op zoek bent naar een verjaardagscadeau op het internet. U komt een website tegen met een leuk ‘koopje’ dat bijna is uitverkocht. U mag dit koopje niet missen, omdat heel veel mensen u voor zijn geweest en het zo meteen niet meer verkrijgbaar is. U kijkt even naar de reviews op de website, en die zijn allemaal lovend over de website. U beslist al snel om een bestelling te plaatsen. Na het invoeren van al uw NAW en bankgegevens, mag u uzelf slachtoffer noemen van een cyberaanval, want een cybercrimineel heeft een ‘fake’ website opgezet om mensen te lokken en haar persoons/bankgegevens achter te laten.
“Dit is de nummer 1 tandpasta van Nederland!” schreeuwt een meneer in een witte doktersjas. U kent de persoon niet, maar u gaat ervan uit dat hij expert is door zijn kleding. Dit is de overtuigingsprincipe Autoriteit en wordt vaak toegepast door cybercriminelen.
Een goed voorbeeld hierbij is een inspecteur die het kantoorpand van uw bedrijf komt controleren. De inspecteur heeft netjes zijn gele/groene hesje aan en heeft een pas van de ‘ARBO’. Eenmaal binnen, is er niemand die deze persoon aanspreekt, want: “die zal wel weten waar die mee bezig is”. De inspecteur is klaar met zijn ‘inspectie’ en gaat er weer vandoor.
Niemand heeft doorgehad dat deze ‘inspecteur’ eigenlijk een cybercrimineel was die op zoek was naar persoonsgegevens/bedrijfsgegevens. Een simpel hesje en badge heeft ervoor gezorgd dat deze persoon legitiem overkwam, waarmee de overtuigingsprincipe Autoriteit uitstekend werd toegepast.
Dit was alweer deel 1 van deze blog! In dit blog hebben we kennis gemaakt met 4 overtuigingsprincipes en hoe cybercriminelen deze principes toepassen in hun criminele activiteiten. Benieuwd naar de overige overtuigingsprincipes en wat u er tegen kan doen? Hou dan onze website in de gaten voor deel 2.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.