“Schat, ik zit bij de notaris en mijn betaalpas werkt niet, kun je geld overmaken?” Het is altijd oppassen geblazen wanneer je dit soort berichten krijgt. Want misschien is het niet je partner, maar een cybercrimineel. Zo verloren tientallen mensen onlangs miljoenen euro’s door phishingfraude bij onlinebank Bunq. Op welke manieren kun je slachtoffer worden van social engineering? En hoe kun je je er tegen weren? In deze column leggen we deze – en andere – vragen voor aan expert Patrick Jordens. Hij is directeur van de Trusted Third Party (TT3P): een Nederlands bedrijf gespecialiseerd in cybersecurity. TT3P helpt bedrijven zich beter te beschermen tegen, onder meer, hackers die bedrijfssystemen gijzelen of onrechtmatig gegevens bemachtigen.
Patrick Jordens
Patrick Jordens (1969) is een ondernemer met een hart voor digitale veiligheid. Hij is directeur van de Trusted Third Party en oprichter van DMCC Group, dat organisaties helpt voldoen aan alle externe wet- en regelgeving en interne beleidsregels op het gebied van privacy en consumentenrecht. Ook is hij gastdocent marketing, data privacy en ethiek aan de Hogeschool van Rotterdam.
Wat houdt social engineering precies in?
“Social engineering draait om het manipuleren van personen om iets te bereiken. Een cybercrimineel probeert het vertrouwen van zijn slachtoffer te winnen en hem of haar te overtuigen vertrouwelijke informatie vrij te geven. Ze doen zich vaak voor als iemand anders. Denk bijvoorbeeld aan een chatgesprek op Linkedin, of aan een mail van een ‘collega’.”
Welke rol speelt AI hierin?
“Met de komst van ChatGPT, maar ook met AI-stemgeneratoren, wordt het voor criminelen steeds makkelijker om zich voor te doen als iemand anders. Een jongentje van 15 kan met ChatGPT eenvoudiger een geloofwaardige mail opstellen dan ooit. En dat geldt ook voor criminelen uit Rusland of China. Overigens, ChatGPT zal niet zomaar een phishingmail voor je schrijven. Maar als je zegt dat je een cybersecuritytrainer bent die een phishingmail wil bespreken, dan krijg je het toch voor elkaar. De techniek om stemmen te kunnen nabootsen met AI is ook al vergevorderd. Je kan gebeld worden door je ‘moeder’ die vraagt om geld en dan lijkt het net echt.”
Dus phishingmails zijn een vorm van social engineering?
“Het zijn verwante concepten. In phishingmails wordt social engineering toegepast. Criminelen sturen massaal mails de deur uit en zorgen er bijvoorbeeld voor dat je stress krijgt door te zeggen dat je computerbeveiliging niet meer up to date is, om je vervolgens op een linkje te laten klikken. Het overgrote deel van de cyberaanvallen start met phishing. Dit soort mails worden trouwens ook steeds beter. Soms moet ik zelf ook even drie keer kijken voordat ik weet of ik te maken heb met phishing.
Zodra iemand op een verkeerde link in de mail klikt, krijgt de hacker toegang. Hij maakt zich vaak niet meteen bekend en gaat eerst rustig rondkijken in het systeem van een individu of bedrijf. Vervolgens vindt er weer volop social engineering plaats. Hij zoekt contact met werknemers probeert uit te vinden welke collega’s contact met elkaar hebben, en of hij bijvoorbeeld een e-mail kan sturen uit naam van de directeur naar de financiële administratie. Als je pech hebt, voert de crimineel een ransomaanval uit. Dan ligt je hele systeem plat.”
Een aantal statistieken op een rijtje
Het aantal phishingpogingen bij bedrijven is vertienvoudigt in slechts één jaar tijd, blijkt uit onderzoek van KPN. Waar voorheen 4% van de Nederlandse bedrijven slachtoffer werd van phishing, is dat nu 24%. Bijna de helft van de ondernemers geeft toe niet goed voorbereid te zijn op cyberaanvallen en phishing.
Heb je tips zodat mensen zich beter kunnen weren tegen social engineering?
“Het is vooral heel belangrijk om bedachtzaam te zijn en niet zomaar geld over te maken of gegevens uit te wisselen. Wat betreft phishingmails zijn er een aantal zaken waar je op kunt letten. Kijk bijvoorbeeld altijd goed naar het e-mailadres van de verzender. Misschien zit er een ‘typo’ in de naam. Soms zijn er andere details die het weggeven. Als cybercriminelen een mail namens mij zouden schrijven, kijken ze op mijn LinkedIn naar de vermelde functietitel: ‘oprichter’. Dan krijg je een mail met ‘Met vriendelijke groet, Patrick Jordens, oprichter van TT3P’, terwijl die functietitel ongebruikelijk is voor e-mailcorrespondentie.
Ik kan het niet genoeg benadrukken: bedrijven moeten investeren in cyberveiligheid. Niet alleen door hun systemen te beveiligen, maar ook door middel van personeelstraining. Zo leren medewerkers hoe phishingmails eruitzien en welke nieuwe technieken er op de markt zijn.”