Waarom awareness voor social engineering niet werkt

We hebben allemaal de adviezen wel eens gehoord om "awareness" te verhogen. "Klik niet op links in verdachte e-mails", "Klik niet op links in e-mails van afzenders die je niet kent" of "Klik niet op links in e-mails met spelfouten" zijn adviezen die niet kunnen werken. Want wanneer is een e-mail nou precies verdacht? En wat nu als je de afzender wel kent? Of als de e-mail in foutloos Nederlands is geschreven?

Social engineering werkt. Keer op keer blijkt dat velen onverstandige dingen doen als zij een e-mail krijgen met informatie over een bestelling (die ze niet geplaatst hebben), gegevens bij een bank moeten verifiëren (maar niet jouw eigen eigen bank), details ontvangen over boete voor een snelheidsovertreding (in een plaats waar je helemaal niet was), etc. Dan wordt er op links in de e-mail geklikt en bijlagen worden geopend en voor je het weet heb je een malware besmetting te pakken. Sommigen zijn zo fortuinlijk dat ze ergens een USB stick vinden. Die laten zo'n buitenkansje niet gaan en steken die in de computer, een andere manier om een malware besmetting op te lopen.

Er zijn bedrijven die awareness trainingen geven, om mensen bewuster te maken van de gevaren waar ze aan blootstaan en hen te trainen om zich verstandiger en verantwoordelijker gaan gedragen. Maar als na enkele maanden een follow up wordt georganiseerd, blijkt dat de meesten opnieuw vallen voor social engineering. Dit soort awareness campagnes lijken dan ook niet zo goed te werken. Dat is ook niet gek, want behalve dat de cursisten dingen zijn vergeten, zijn de nieuwe voorbeelden, demo's en oefeningen net iets anders dan de vorige keer. Daaruit blijkt maar weer dat zelfs als je erop bent getraind om een specifieke vorm van social engineering te herkennen, dat je er toch nog intrapt als de aanval net iets anders is. Soms zelfs maar een klein beetje anders. Daarom ontvang je nog steeds e-mails waarin staat dat je bankpas geskimd is en dat je een blokkade kunt vermijden door snel op de volgende link te klikken, etc. Niet omdat jij daarin loopt! Jij bent daar te verstandig voor! Maar er zijn genoeg anderen die er wel inlopen. Zo veel, dat het de moeite loont om dergelijke e-mails te sturen. Zo veel, dat het zelfs de moeite loont om die mails in in correct Nederlands op te stellen.

We hebben allemaal de adviezen wel eens gehoord om "awareness" te verhogen. "Klik niet op links in verdachte e-mails", "Klik niet op links in e-mails van afzenders die je niet kent" of "Klik niet op links in e-mails met spelfouten" zijn adviezen die niet kunnen werken. Want wanneer is een e-mail nou precies verdacht? En wat nu als je de afzender wel kent? Of als de e-mail in foutloos Nederlands is geschreven? Het bezwaar van deze adviezen is dat de ontvanger dat moet gaan beoordelen of de e-mail wel of niet betrouwbaar is en daar zijn de meeste mensen heel slecht in.

Als de social engineering aanval wordt herkend en afgeslagen, dan bedenken de social engineers gewoon een nieuwe, andere aanval en opnieuw vallen er slachtoffers.

Zijn we dan helemaal kansloos tegen social engineering?

Niet echt. De adviezen zijn bijna goed. Je moet ze alleen niet opvolgen onder bepaalde omstandigheden, maar altijd!

Dit heeft nogal wat gevolgen. Om te beginnen wordt je on-line gedrag een stuk veiliger. Het wordt veel lastiger om om jou te verleiden om domme dingen te doen. Maar het nadeel is dat het we eraan gewend zijn geraakt. We zijn als het ware getraind om op linkjes te klikken bij het resetten van wachtwoorden, om de status van een bestelling te bekijken, om een foto te zien die schijnbaar is verzonden door een familielid of vriend, enz.

Als je een bericht krijgt van een koerier met informatie over je bestelling, klik dan niet op de link in de e-mail. In plaats daarvan ga je naar de website van de koerier, tik daar het tracking-nummer in en je weet de status van je bestelling. Het kost nauwelijks meer moeite en het is veilig. Als de website dan meldt dat het tracking-nummer niet bestaat (en je hebt het nummer juist ingevoerd), dan ben je op dat moment ontsnapt aan malware. Voor het resetten van wachtwoorden zijn ook veilige oplossingen beschikbaar waarbij je niet op een link hoeft te klikken om het nieuwe wachtwoord te activeren. Enzovoort, enzovoort ...

Als niemand nog klikt op links of bijlagen opent, dan passen de social engineers gewoon hun aanval aan in de hoop opnieuw slachtoffers te maken. Maar als er dan weer niemand klikt en bij de volgende keer ook niet, dan levert het de social engineer niets meer op.

Er bestaat een uitzondering waarin je wel veilig kunt klikken op links in e-mail of om bijlagen te openen, n.l. als je de afzender van een e-mail ten volste vertrouwt en bovendien de identiteit van de afzender onomstotelijk vaststaat. Maar de identiteit van de afzender staat (bijna) nooit onomstotelijk vast. En dus (bijna) nooit veilig om te klikken op linkjes in e-mail of om attachments te openen! Ook niet als de e-mail er bonafide uitziet! Ook niet als je de afzender kent! Ook niet als je net hebt aangegeven dat je je wachtwoord wil resetten! Nooit!

Als je vindt dat deze werkwijze niet meer van deze tijd is, dan is dat je goed recht. Ik verwacht dat er ook onder de lezers van dit artikel mensen zijn, die de huidige werkwijze veel handiger vinden dan het alternatief. Ga dan gerust door met het klikken op links, openen van files in e-mail, gebruiken van gevonden USB-sticks en andere onverstandige dingen. Maar als je identiteit gestolen wordt, realiseer je dan dat dit er ook bij hoort als je te lui of naïef bent om veilige alternatieven te gebruiken.

En zeg niet dat ik je niet gewaarschuwd heb, want dat heb ik zojuist gedaan.