Phishingaanvallen blijven een van de grootste dreigingen voor organisaties. Phishing bestaat al jaren, hoewel de Nigeriaanse prins en de slecht vertaalde berichten inmiddels wel echt tot het verleden behoren. Cybercriminelen maken steeds vaker gebruik van geavanceerde technologieën, zoals kunstmatige intelligentie (AI) en deepfakes, om hun aanvallen te perfectioneren. Het onderscheiden van phishing op basis van slecht taalgebruik, opmaak of gebruikt mailadres wordt daardoor steeds lastiger. Dat we inmiddels massaal emails op onze telefoon lezen maakt het er ook niet makkelijker op.
Het herkennen van phishing kan echter een stuk gemakkelijker worden als we de psychologische principes begrijpen die aan de basis liggen van deze aanvallen. In deze blog bespreken we de principes van invloed van Robert Cialdini. Door de onderliggende principes te begrijpen, in combinatie met nieuwe technologieën, kunnen we ook in de toekomst de dreiging van phishing het hoofd bieden.
Wat is phishing en waarom is het gevaarlijk?
Phishing is een type cyberaanval waarbij kwaadwillenden zich voordoen als betrouwbare entiteiten, zoals een bedrijf, een bekende leverancier of een collega, om vertrouwelijke informatie te verkrijgen. Deze informatie kan worden gebruikt voor identiteitsdiefstal, financiële fraude of toegang tot gevoelige bedrijfsdata.
Wat phishing zo gevaarlijk maakt, is niet alleen de techniek, maar ook de psychologische manipulatie die eraan ten grondslag ligt. Phishingaanvallen spelen in op menselijke emoties zoals urgentie, sympathie, en de wens om te helpen. Daarbij maken criminelen steeds vaker gebruik van technologieën zoals AI en deepfakes om geloofwaardigheid te winnen. Om medewerkers alert op phishing te houden is daardoor best een uitdaging.
Cialdini’s principes van invloed
Robert Cialdini, een expert in gedragspsychologie, identificeerde zes principes die veelvuldig worden gebruikt in marketing en communicatie. Cybercriminelen passen deze principes toe in phishingaanvallen. Immers, zij willen in dit geval hun slachtoffers overtuigen en hen laten doen wat zij willen. Laten we de zes principes van Cialdini bekijken en hoe ze in phishingaanvallen worden toegepast. Zo kunnen jouw medewerkers ze straks herkennen en zijn ze voorbereid.
Wederkerigheid: het gevoel van verplichting
Mensen hebben van nature de neiging om een gunst terug te verlenen wanneer ze iets ontvangen. Phishingaanvallen maken hier gebruik van door bijvoorbeeld “gratis” diensten of voordelen aan te bieden. Zo kan een phishingaanval beginnen met een e-mail die een beloning geeft voor het harde werken, een korting of zelfs een softwareupdate of beveiligingswaarschuwing.
Met de opkomst van AI kunnen criminelen steeds realistischere en gepersonaliseerde berichten versturen. Dit versterkt het gevoel van een persoonlijke interactie. Wanneer je bijvoorbeeld een phishing-e-mail ontvangt waarin staat dat je een beloning krijgt, kan dit gevoel van verplichting ervoor zorgen dat je zonder na te denken je gegevens verstrekt.
Tip: Zorg dat je medewerkers weten dat ze altijd voorzichtig moeten zijn als er mails binnen komen met een mooi aanbod/voordeel. Train de medewerkers zodat ze weten welke controles ze kunnen uitvoeren om phishing te herkennen.
Commitment en consistentie: kleine acties leiden tot grotere
Dit principe draait om de menselijke behoefte om consistent te zijn met eerdere keuzes of gedragingen. Cybercriminelen maken gebruik van dit principe door een kleine actie te vragen, zoals het invullen van een onschuldig formulier of het bevestigen van je naam. Zodra een slachtoffer deze kleine stap heeft gezet, zullen ze sneller geneigd zijn om grotere, riskantere verzoeken in te willigen.
Met de introductie van deepfakes kunnen aanvallers zelfs telefoongesprekken simuleren waarbij de medewerker wordt gevraagd om eerst een kleine handeling uit te voeren (zoals het verifiëren van een wachtwoord), waardoor de kans op verdere beïnvloeding groter wordt.
Tip: Zorg ervoor dat medewerkers zich bewust zijn van de psychologische valkuilen van kleine toezeggingen of het geven van kleine beetjes informatie. Dit kan onderdeel zijn van een groter plan. Maak hen ervan bewust dat de aanvaller hen kan aanzetten tot grotere acties na een ogenschijnlijk onschuldige stap of de gegeven informatie kan gebruiken in een vervolgstap.
Sociale bewijskracht: iedereen doet het, dus jij ook
Mensen hebben de neiging om anderen te volgen, vooral als ze denken dat die anderen beter geïnformeerd zijn of als ze een grotere autoriteit hebben. Phishingaanvallen gebruiken dit principe vaak door te suggereren dat andere mensen of medewerkers al hebben gereageerd of dat een actie dringend is.
AI kan worden ingezet om social engineering-aanvallen te verfijnen, bijvoorbeeld door in te spelen op de interacties van medewerkers met externe partijen. Hierdoor kunnen aanvallers berichten maken die lijken op bestaande bedrijfscommunicatie, met een boodschap die lijkt te komen van een vertrouwde bron.
Tip: Leg uit dat medewerkers altijd kritisch moeten zijn op mails en verzoeken die binnenkomen. Blijf de checks uitvoeren om de echtheid van een mail te controleren. Maak je medewerkers duidelijk dat ze kunnen helpen om de organisatie en andere collega’s te waarschuwen voor nep-aanbiedingen of verzoeken die zogenaamd door hun collega’s al zijn goedgekeurd.
Sympathie: mensen vertrouwen degenen die ze leuk vinden
Phishingaanvallen spelen vaak in op de menselijke neiging om sympathie voor anderen te voelen. Cybercriminelen gebruiken dit principe door berichten te sturen die persoonlijk en vriendelijk lijken, zoals een e-mail die afkomstig lijkt van een collega of en toeleverancier die hulp nodig heeft.
Met deepfakes kunnen aanvallers zelfs audio- of video-opnamen genereren die lijken op echte collega’s of leidinggevenden. Dit verhoogt de kans dat een medewerker bereid is een actie te ondernemen zonder verdere controle.
Tip: Help medewerkers om zich eigen te maken dat berichten die een persoonlijke benadering gebruiken (zoals een zogenaamd verzoek om hulp) altijd via een ander kanaal geverifieerd worden. Gebruik daarvoor gegevens die je al hebt van deze persoon, en niet de gegevens die in het ontvangen bericht staan.
Autoriteit: volg de instructies van betrouwbare bronnen
Phishingaanvallen doen zich vaak voor als communicatie van autoriteitsfiguren, zoals managers, CEO’s of officiële instanties. Aanvallers proberen hun slachtoffers te dwingen om snel te handelen door zich voor te doen als een autoriteit die dringend actie vereist.
AI kan worden ingezet om e-mails en berichten van leidinggevenden of instanties te repliceren, waardoor de phishingaanvallen geloofwaardiger en moeilijker te herkennen worden. Ook deepfakes kunnen hiervoor ingezet worden waardoor het lijkt of de CEO echt in de (video) call zit.
Tip: Moedig medewerkers aan om altijd eerst een betrouwbare interne bron te raadplegen voordat ze reageren op e-mails of verzoeken van zogenaamd autoritaire bronnen. Leer je medewerkers om zich af te vragen of het logisch is om het verzoek te ontvangen. Bij twijfel geldt ook in dit geval: controleer het verzoek via een ander kanaal.
Schaarste: het gevoel van urgentie
Het principe van schaarste draait om de overtuiging dat iets waardevoller is wanneer het schaars is. Phishingaanvallen gebruiken dit door te stellen dat er een beperkte tijd is om actie te ondernemen of dat een aanbod snel zal vervallen.
AI kan dit principe versterken door echt lijkende e-mails te genereren die urgentie uitstralen, zoals een waarschuwing over een vermeend probleem met je account dat snel opgelost moet worden.
Tip: Waarschuw medewerkers dat berichten die urgent lijken, vaak phishing-pogingen zijn. Druk om snel te handelen is een veelgebruikte techniek om de denkprocessen te omzeilen. Neem daarom de tijd om het bericht te verifieren en even rustig na te denken. Behandel deze verzoeken daarom niet snel tussendoor of bijvoorbeeld op vakantie.
Sinds een aantal jaren is er een zevende principe: eenheid.
Eenheid: het gevoel dat zender en ontvanger dezelfde identiteit delen
Medewerkers willen graag bij een groep horen. We vergelijken onszelf graag met anderen en willen deel uitmaken van een groter geheel. Dat kan zijn een organisatie, een universiteit waar de medewerker is afgestudeerd of een kennisgroep op Linkedin. Eenheid gaat daarbij verder dan oppervlakkige overeenkomsten. De tip is vergelijkbaar met die van punt 4. Help medewerkers om zich eigen te maken dat berichten die een persoonlijke benadering gebruiken (zoals een zogenaamd verzoek om hulp) altijd via een ander kanaal geverifieerd worden. Ook is het belangrijk dat medewerkers zichzelf eigen maken dat ze voorzichtig zijn met het verstrekken van informatie over zichzelf, anderen of de organisatie aan vreemden. Zo komen er bijvoorbeeld via LinkedIn verzoeken om te sparren over het vakgebied. Wees daarbij voorzichtig met het geven van bedrijfsinformatie of informatie over anderen. Deze informatie kan later weer gebruikt kunnen worden.
Hoe bereid jij je medewerkers voor?
Het herkennen van phishingaanvallen is een cruciaal onderdeel van de cybersecuritycultuur binnen je organisatie. Door Cialdini’s principes te begrijpen en medewerkers te trainen om deze psychologische tactieken te herkennen, kun je de effectiviteit van phishingaanvallen aanzienlijk verminderen. Zo zorg je ervoor dat je medewerkers en je organisatie altijd een stap voor blijven op cybercriminelen.
