Cybercriminelen zijn meesters in de gedragspsychologie. Om hun doel te bereiken, maken ze op allerlei manieren misbruik van menselijke emoties en karaktertrekken. We zetten een aantal psychologische trucs op een rij.
Cybersecurity draait niet alleen om technologie, maar ook om mensen. Ruim vier op de vijf cyberincidenten hebben een menselijke component, zo blijkt uit het Verizon Data Breach Investigations Report 2022. Aanvallers versturen bijvoorbeeld phishingmails aan werknemers om inloggegevens te verkrijgen. Of ze proberen hen naar malafide websites te lokken die malware installeren. Daarbij wordt vaak gebruikgemaakt van psychologische trucs om slachtoffers te misleiden: social engineering.
Emotionele triggers
Met social engineering spelen cybercriminelen handig in op menselijk gedrag. Ze bedenken een scenario waarin het logisch of zelfs noodzakelijk lijkt om mee te werken. Meestal wordt hierbij een emotionele trigger gebruikt. Dat is zeer effectief omdat wij mensen vaak beslissingen nemen op basis van intuïtie en gevoel. Daardoor reageren we impulsief en letten we minder goed op. Hoe werkt dit in de praktijk? Een aantal voorbeelden:
Urgentie
Een populaire truc is het creëren van urgentie. De aanvaller stuurt bijvoorbeeld een sms uit naam van een pakketbezorger. Je bent vergeten om invoerrechten te betalen: pas daarna wordt het pakket bezorgd. Of je ontvangt een e-mail over een kortingsactie van je favoriete merk die binnenkort verloopt.
Angst
Niks is urgenter dan iets waar je bang voor bent. Je bank waarschuwt bijvoorbeeld voor een ernstig beveiligingsprobleem: je moet zo snel mogelijk een nieuwe pincode instellen. Of een woedende leverancier dreigt een incassobureau in te schakelen als je niet snel een openstaande factuur betaalt.
Nieuwsgierigheid
Mensen zijn nieuwsgierige wezens. Krijgen we een e-mail over een mysterieuze gewonnen prijs? Of ligt er opeens een USB-stick met een politielogo op ons bureau? Dan zijn we toch geneigd om op onderzoek uit te gaan. Voor je het weet heb je je bankgegevens ingevuld of staat er malware op je laptop.
Autoriteit
Als de directeur je een opdracht geeft, kom je meteen in actie. Dat maakt CEO-fraude zo effectief. Hierbij doet de aanvaller zich voor als iemand met autoriteit. De financiële afdeling krijgt bijvoorbeeld het verzoek om snel een betaling te voldoen. Helaas verdwijnt het geld in de zakken van de crimineel.
Vertrouwen
Een e-mail van een Nigeriaanse prins wekt argwaan. Maar wat als je favoriete collega van de IT-afdeling je inloggegevens nodig heeft? Dan gaan de alarmbellen niet direct af. Hetzelfde geldt voor communicatie vanuit organisaties die je vertrouwt, zoals de overheid. Dat vertrouwen maakt je kwetsbaar.
Hebzucht
Een e-mail dat je 2000 euro hebt gewonnen in een loterij. Of de Belastingdienst laat weten dat je honderden euro’s terugkrijgt. Het klinkt onwaarschijnlijk, maar wat nou als het wél klopt? Sommige mensen klikken dan toch op die link. Zeker in economisch zware tijden is hebzucht een krachtige motivator.
Liefde
Via een datingapp heb je de man of vrouw van je dromen gevonden. Maar na een paar maanden begint die persoon om geld te vragen, bijvoorbeeld voor een levensreddende operatie. In werkelijkheid gaat hierachter een keiharde crimineel schuil die weet dat liefde blind maakt.
Wederkerigheid
Wanneer je een compliment krijgt, voelt het natuurlijk om iets aardigs terug te zeggen. Ook cybercriminelen passen dit principe van wederkerigheid toe. Ze bieden bijvoorbeeld gratis technische ondersteuning aan en vragen je dan om je antivirussoftware uit te schakelen voor een systeemupdate.
Empathie
De meest harteloze oplichters maken misbruik van je medemenselijkheid. Ze doen zich voor als een goed doel en smeken je bijvoorbeeld om geld te doneren voor slachtoffers van oorlogen of onderzoek naar kinderziekten. Liefdadigheidsfraude komt altijd voor, maar piekt doorgaans na grote rampen.
Commitment
Als een persoon besluit om ergens mee te helpen, is de kans groter dat hij ook meewerkt aan vervolgverzoeken die in het verlengde daarvan liggen. Daarom vragen cybercriminelen soms eerst iets kleins en eenvoudigs, en werken ze langzaam toe naar meer gedetailleerde en persoonlijke vragen.
Luister niet altijd naar je gevoel
Emoties maken ons menselijk. Het is nu eenmaal niet mogelijk om ze uit te schakelen. Maar we kunnen wel voorkomen dat cybercriminelen ons manipuleren met emotionele triggers. Meldt iemand zich met een urgent probleem, een vreemd verzoek of een aanbieding die te mooi klinkt om waar te zijn? Blijf altijd kritisch nadenken en neem geen overhaaste beslissingen. Ook als je gevoel zegt dat je dat wél moet doen.
Wil je meer weten over de psychologische trucs van cybercriminelen? Meld je dan nu aan voor NLSecure[ID] op 24 januari.
Aanmelden
