Inleiding en context
Allemaal een goede maandagmorgen, 22 februari 2021. Wat een heerlijk weekeinde, voorjaarstemperaturen, vrolijke mensen, spelende kinderen, het is bijna weer zoals het ´normale leven´ van ruim elf maanden geleden. Gisteren heerlijk hard gelopen van Leiden naar Leidschendam langs de Vliet, een euforie van ´kicks voor niks´. Maar goed nu weer naar een nieuwe werkweek, dus ook weer een nieuwe ´kennisparel´, dit keer over het onderwerp ´social engineering´ en de mate van effectiviteit van interventies die hierop gericht zijn.
Social engineering is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te manipuleren. Computerkrakers maken hierbij gebruik van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid. De aanval is gericht op het verkrijgen van vertrouwelijke of geheime informatie, waarmee de hacker dichter bij het aan te vallen object kan komen. Kenmerkend voor social engineering is dat er geen aanval op de techniek zelf wordt uitgevoerd. Een aanvaller tracht om:
- de nieuwsgierigheid van een slachtoffer te wekken
- medelijden bij een slachtoffer te wekken
- een slachtoffer angstig of argwanened te maken
De hacker doet zichzelf voor als iemand anders. Dit doet de aanvaller met het doel via de aangenomen, vertrouwenwekkende rol informatie te verkrijgen die op een andere manier niet of met aanzienlijk meer inspanning of hogere kosten te krijgen is. De hacker probeert persoonlijk contact te leggen met het slachtoffer. Hij kan zich bijvoorbeeld voordoen als helpdeskmedewerker en de gebruiker opbellen met het verzoek aan diens gebruikersnaam en wachtwoord door te geven om een probleem te verhelpen. Vooraf aan dit contact verzamelt de hacker gerelateerde informatie over het slachtoffer zodat hij het slachtoffer een overtuigend verhaal kan vertellen. Hiervoor worden zoekmachines als Google, sociale netwerksites als Facebook en andere informatiebronnen op het internet gebruikt. Dit is in de praktijk een eenvoudige en effectieve techniek. De belangrijkste maatregel tegen social engineering is het creëren van beveiligingsbewustzijn (security awareness). Daarbij is het enerzijds van belang de eindgebruikers te informeren over het belang van informatiebeveiliging en hen anderzijds te trainen op het herkennen van oneigenlijk gebruik. Bijgesloten meta-analyse gaat in op de mate waarop de interventies effectief zijn bij het voorkomen van slachtofferschap van computercriminaliteit. Beide auteurs zijn trouwens werkzaam bij de Universiteit van Twente en Marianne Junger is een oud-collega van mij. Maar nu naar de samenvatting van bijgesloten ´kennisparel´.
Bron
Bulle, Jan-Willem & Marianne Junger (December 2020). How effective are social engineering interventions? A meta-analysis. Information and Computer Security, vol. 28, no. 5, pp. 801-830. https://www.emerald.com/insight/content/doi/10.1108/ICS-07-2019-0078/full/html
Summary
Social engineering is a prominent aspect of online crime. Various interventions have been developed to reduce the success of this type of attacks. This paper aims to investigate if interventions can help to decrease the vulnerability to social engineering attacks. If they help, the authors investigate which forms of interventions and specific elements constitute success. The authors selected studies which had an experimental design and rigorously tested at least one intervention that aimed to reduce the vulnerability to social engineering. The studies were primarily identified from querying the Scopus database. The authors identified 19 studies which lead to the identification of 37 effect sizes, based on a total sample of N = 23,146 subjects. The available training, intervention materials and effect sizes were analysed. The authors collected information on the context of the intervention, the characteristics of the intervention and the characteristics of the research methodology. All analyses were performed using random-effects models, and heterogeneity was quantified. The authors find substantial differences in effect size for the different interventions. Some interventions are highly effective; others have no effect at all. Highly intensive interventions are more effective than those that are low on intensity. Furthermore, interventions with a narrow focus are more effective than those with a broad focus. The results of this study show differences in effect for different elements of interventions. This allows practitioners to review their awareness campaigns and tailor them to increase their success. The authors believe that this is the first study that compares the impact of social engineering interventions systematically.
Afsluitend
Social engineering is momenteel een ´hot topic´. Zeker in tijden waar steeds meer mensen gebruik maken van het Internet neemt het misbruik en slachtofferschap bijna evenredig toe. Ook hier is criminaliteitspreventie het antwoord om misbruik via sociale manipulatie en psychologische trucs tegen te gaan. Veel kan geleerd worden van concepten uit de (sociale) psychologie. Waarom worden bepaalde groepen veelvuldig het slachtoffer van computercriminaliteit? Hoe maken daders gebruik en misbruik van de tekortkomingen in het menselijk gedrag? Allemaal relevante vragen die de maatregelen en interventies gericht op het voorkomen van social engineering beter vorm kan geven. Bijgesloten onderzoeksynthese geeft daar een prima overzicht van. Opnieuw kennis om te consumeren en vooral om van te leren.