Bij de beveiliging van online systemen blijkt de mens keer op keer de zwakste schakel. Promovendus Jan-Willem Bullee voerde op de Universiteit Twente daarom verschillende ‘sociale aanvallen’ uit en onderzocht de effectiviteit van tegenmaatregelen. Enkele resultaten: een gepersonaliseerde phishing e-mail is de helft effectiever. Veertig procent van de werknemers installeerde na een beltruc malafide software. En voorlichting werkt, als er maar niet te veel tijd tussen de voorlichting en de aanval zit.
Bij ‘social engineering’ gebruikt een dader manipulatie en psychologische trucs zodat het uiteindelijke slachtoffer helpt bij de aanval op zichzelf. Bekende voorbeelden hiervan zijn e-mail phishing en telefoonfraude. In zijn promotieonderzoek voerde cybercrime-expert Jan Willem Bullee een drietal ‘sociale aanvallen’ uit op honderden proefpersonen om na te gaan hoe effectief de aanvallen zijn, en belangrijker nog: hoe je het aantal slachtoffers kunt terugdringen.
Drie aanvallen
Bullee stuurde bijna 600 werknemers van de UT een phishing e-mail met daarin de vraag om persoonsgegevens af te staan. De helft van de e-mails had een algemene aanhef, de rest was gepersonaliseerd. 19,3 procent van de collega’s die een algemene e-mail ontving gehoorzaamde de aanvaller, tegenover 28,9 procent die een gepersonaliseerde email kreeg. Kortom: de naam van de ontvanger toevoegen maakt een aanval de helft effectiever.
Daarnaast voerde Bullee een experiment uit waarin hij bijna 200 medewerkers met een babbeltruc verleidde om hun kantoorsleutel af te staan aan een vreemde. Maar liefst 59 procent deed dit. Bullee: “Vaak kregen we zelfs de complete sleutelbos mee, inclusief huis- en autosleutels.”
Bij het derde experiment benaderde hij 162 medewerkers via de telefoon en vroeg ze malafide software te downloaden, software die in de praktijk uiteraard onschadelijk was. Veertig procent van de medewerkers installeerde de software.
Niet verwacht
Opvallend is dat mensen er van overtuigd zijn zelf geen slachtoffer te zullen worden van deze misleiding. Voordat de experimenten plaatsvonden gaven alle geïnterviewde medewerkers aan dat ze nooit de software zouden installeren en 97 procent gaf aan dat ze kantoorsleutel zeker niet zouden afstaan aan een vreemde.
Uit de drie onderzoeken komt verder naar voren dat mannen, vrouwen, ouderen en jongeren vergelijkbaar presteren. Bij e-mail fishing maakt het wel uit hoe lang je in dienst bent. Medewerkers die er minder dan vier jaar werkten werden vaker slachtoffer.
Voorkomen
De belangrijkste vraag is uiteraard hoe je sociale aanvallen het beste kunt voorkomen. Uit het onderzoek van Bullee komt naar voren dat voorlichting op zich werkt. De proefpersonen werden vooraf opgedeeld in groepen. De groep die informatie kreeg over hoe je bedrog kan herkennen scoorde veel beter bij zowel het weggeven van sleutels (37 versus 59 procent) als het installeren van software (17 versus 40 procent procent). Maar, als de tijd tussen de voorlichting en aanval groter wordt neemt het leereffect af. Daarom is het volgens Bullee van groot belang om de boodschap te blijven herhalen wen mensen alert te houden.
Promotie
Jan-Willem verdedigde zijn proefschrift getiteld Experimental Social Engineering op vrijdag 6 oktober aan de Universiteit Twente. Zijn promotoren zijn prof. dr. Pieter Hartel en prof. dr. Marianne Junger.
Bron: UT