1. Blog
  2. Social engineering
  3. De psychologie achter social engineering

De psychologie achter social engineering

Blog door Diana Selck-Paulsson, Threat Research Analyst/TDMC SecureLink

Wat maakt dat mensen ingaan op kwaadwillige verzoeken? Zijn er eigenschappen die ons gemakkelijker te beïnvloeden maken voor social engineering aanvallen? Onderzoek heeft een aantal kenmerken gevonden die de kans groter maken dat mensen vallen voor social engineering. Sommige gedragspatronen zijn meer in onze hersenen geprogrammeerd dan andere. Wanneer er bijvoorbeeld een USB-stick op de grond bij de ingang van een organisatie wordt gevonden, kan dit enerzijds de nieuwsgierigheid van het slachtoffer opwekken of anderzijds de drang om het aan de eigenaar terug te geven uit een verlangen om te behagen of een morele verplichting.

Hoffelijk of onzorgvuldig?

Een ander voorbeeld hiervan is tailgating. Tailgating betekent dat een social engineer iemand volgt terwijl de deur nog open is en dus het eerste obstakel van fysieke toegangscontrole overwint, of het nu gaat om een ​​deurbadge, een pincode of andere toegangscontrole. De meeste mensen vinden dat het open houden van een deur voor iemand hoffelijk is. Een social engineer hoeft slechts deze menselijke kwetsbaarheid te benutten om fysieke toegang tot een doelwit te bereiken of op zijn minst de eerste fysieke hindernis te overwinnen.

Access control

Testen hoe ver aanvallers in uw organisatie komen?

Bekijk dan onze SecureInsight services. Pentesting, Red Teaming, insluipingen, phishing campagnes. Komen we tot uw kroonjuwelen?

Lees meer

Een ander gedragspatroon dat de naleving van een kwaadwillig verzoek garandeert heeft betrekking op het opbouwen van relaties. Dit is een aanval waarbij een aanvaller sociale vaardigheden gebruikt om te zorgen dat het slachtoffer de aanvaller eerder zal vertrouwen wanneer deze op een positieve manier reageert. Een andere menselijke kwetsbaarheid die kan worden uitgebuit is beschikbaarheid: wanneer de tijd om een ​​beslissing te nemen beperkt is. De beschikbaarheidstrigger zorgt ervoor dat het slachtoffer sneller reageert zonder rekening te houden met mogelijke risico’s.

Nette opvoeding als valkuil

Net als bij het voorbeeld van tailgating zijn er andere gedragskenmerken die een persoon ervan kunnen overtuigen om met bepaalde verzoeken in te stemmen als hij of zij denkt dat dit iets is dat van hem of haar wordt verwacht. Nogmaals, dit kan zijn het teruggeven van een opslagmedium aan de rechtmatige eigenaar, het openhouden van een deur voor iemand of iemand helpen door het verstrekken van gevoelige informatie om een ​​probleem op te lossen.

Als een persoon aarzelt om aan een bepaald scenario te voldoen, kan iemand met autoriteit alle twijfels wegnemen. Het is minder waarschijnlijk dat een persoon vraagtekens plaatst bij een verzoek van een gezaghebbend figuur. Een social engineer maakt gebruik van deze kwetsbaarheid door zichzelf te vermommen als iemand met autoriteit zoals een manager of zelfs CEO.

Het initiële niveau van vertrouwen

entering-door

Een ander menselijk kenmerk dat verband heeft met succesvolle pogingen tot social engineering is het initiële niveau van vertrouwen van een individu. Personen met een hoger niveau van vertrouwen zullen eerder worden gemanipuleerd en zullen een lagere weerstand tegen social engineering vertonen. Weerstand kan hier worden gedefinieerd als het vermogen om te gaan met een bepaalde situatie, zoals een aanval, door de eigen sociale bronnen te gebruiken om een ​​situatie op te lossen. Met een laag weerstandvermogen tegen social engineering beschikt een slachtoffer over onvoldoende middelen of vaardigheden om zich uit de situatie terug te trekken.

Afgezien van manipulatietechnieken kunnen slachtoffers zich ook niet bewust zijn van de waarde en gevoeligheid van de gevraagde informatie. Hoe zou informatie over een leverancier, zoals een schoonmaakbedrijf, schadelijk kunnen zijn?

Ook interessant voor u…

secure-insight

Meer over onze SecureInsight services


Social-engineering-1-thumb-website

Social engineering attacks – wat u hiervan moet weten


thumb-website-page-newsletter

Meld u aan voor de nieuwsbrief


Delen