“Het kan iedereen gebeuren”, stelt Pavlo Burda meteen gerust. En hij kan het weten. De afgelopen jaren bestudeerde hij in detail het hoe en waarom van phishing-aanvallen. Woensdag 24 januari verdedigt hij zijn proefschrift aan de faculteit Mathematics and Computer Science. Want hoewel er afgelopen jaren steeds meer aandacht is voor het criminele ‘hengelen’ naar vertrouwelijke informatie, is het soms knap lastig om een phishing-mail te herkennen. “Je krijgt een mail van een op het oog betrouwbare bron, met je naam en enkele persoonlijke gegevens erin. Vaak met een dringend verzoek om op een bepaalde link te klikken, die naar een valse website leidt. En de gegevens die je daar invult, laat je rechtstreeks bij cybercriminelen achter. De gepersonaliseerde mails en websites zijn vaak niet van echt te onderscheiden. Van bijvoorbeeld een bank, internetprovider of pakketverzender. En links zijn nu eenmaal gemaakt om op te klikken.”

Hacken van mensen

Maar welke elementen in een phishing mail zorgen er nu precies voor dat mensen doorklikken en gegevens achterlaten? Burda besloot in zijn onderzoek juist een phishing-aanval vanuit de psychosociale hoek te onderzoeken. “Er werd heel lang gedacht dat we phishing alleen konden aanpakken met een technologische oplossing. Natuurlijk is het goed om te investeren in de ontwikkeling van detectiefilters, in het verbeteren van machine learning. Maar het dagelijkse mailverkeer ligt zo hoog, een nauwkeurigheid van 99% is niet genoeg. Daarom is het noodzakelijk om vanuit meerdere perspectieven naar phishing te kijken.”

Burda legt uit dat phishing een vorm van social engineering is, het manipuleren van mensen om vertrouwelijke informatie te achterhalen. Cybercriminelen maken gebruik van verschillende menselijke eigenschappen, zoals angst, nieuwsgierigheid, vertrouwen, hebzucht en onwetendheid. “Het draait eigenlijk om het hacken van mensen. Hoe kun je iemand zo manipuleren dat ze doen wat je van ze wilt? We hebben de beïnvloedingsprincipes van de Amerikaanse psycholoog Robert Cialdini onder de loep gelegd: Beïnvloeding is geen geluk of magie, maar pure psychologie.”

Frauduleuze e-mail

En daarom kroop Burda in de huid van een cybercrimineel en verstuurde – uiteraard volgens een strikt goedgekeurd protocol – een phishing mail naar een groep van zo’n 300 TU/e-medewerkers, en een even grote groep medewerkers van een internationaal consultancy bedrijf. Die mail werd in verschillende versies verstuurd, met elk een nadruk op een verschillend overtuigingsprincipe. “We hebben specifiek tailored phishing onderzocht. Bij deze phishing-op-maat worden berichten gepersonaliseerd voor grote groepen mensen, vaak mogelijk door geautomatiseerde verzameling van online persoonsgegevens. In ons geval ontvingen de medewerkers een persoonlijke mail van HR waarin hen om persoonsgegevens werd gevraagd. En dat lukte beter dan verwacht, schrikbarend.”

Vooral mensen die relatief kort in dienst zijn gaven zowel in de TU/e- als de consultancygroep sneller hun gegevens prijs, zeker als de mail een hoog autoriteitsgehalte had. Voor de TU/e-medewerkers leidde vooral de combinatie autoriteit en sterke personalisatie tot meer reacties, vertelt Burda. “Bij de consultancymedewerkers zagen we in alle subgroepen dat zo’n dertig procent gegevens doorstuurde. Van de PhD/postdoc groep aan de TU/e reageerde zo’n twintig procent op de nep-mail, de senior staf was met tien procent wat voorzichtiger. Maar deze percentages zijn echt veel te hoog. Een tiental reacties zijn al voldoende om een netwerk te infiltreren en ransomware te plaatsen.”

Toch gloort er volgens Burda hoop. Onder de ontvangers van de nep-mail zaten ook flink wat medewerkers die extreem snel doorhadden dat het bericht frauduleus was. “Zij ondernamen direct actie en schakelden het Computer Emergency Response Team van de TU/e in. Deze ‘anti-phishers’ kunnen voor een organisatie van grote waarde zijn. We moeten kijken hoe hun meldingen op een slimme manier ingezet kunnen worden om het aantal slachtoffers van een cyberaanval te verminderen.”

Veilig klikken

En wat kan je zelf doen om je beter tegen phishing te beschermen? Burda geeft advies: “Een open deur, maar wees altijd alert. Een goed idee om nieuwkomers op de TU/e bijvoorbeeld met een alertheidscursus op phishing te wijzen; doordat ze nog niet volledig bekend zijn met de organisatie zijn zij extra kwetsbaar. Afgelopen jaren is de IT-security aan de TU/e bovendien op meerdere fronten sterk verbeterd, bijvoorbeeld door de Multi-Factor Authentication. Natuurlijk kun je zelf ook een aantal simpele dingen doen om minder aantrekkelijk te zijn voor cybercriminelen. Zo kun je je je instellingen zoveel mogelijk op een privémodus zetten om je persoonsgegevens te beschermen. Denk bijvoorbeeld ook bij je LinkedIn na welke informatie je in de openbaarheid zet, en wat alleen zichtbaar is voor je connecties. En natuurlijk is het makkelijk om op je telefoon snel door je mailbox heen te gaan, maar door het kleine scherm blijft soms belangrijke data achterwege die nodig is om de authenticiteit te bepalen. Twijfel je over een bericht waarin je aangezet wordt om op een bepaalde link te klikken? Dan liever vanachter je laptop dan op je smartphone. Klikken mag, maar doe het wel veilig.”