Internetcriminelen spelen heel slim in op onze emoties

Beeld Trouw

U bent de zwakste schakel. Dat is nooit leuk om te horen, maar als het aankomt op de veiligheid op internet, is dat de realiteit, zegt de Britse consultant Jessica Barker. Met een achtergrond in psychologie en sociologie specialiseerde zij zich in de menselijke kant van de computerbeveiliging.

Want je kunt nog zoveel technische maatregelen nemen - bijvoorbeeld een sterk wachtwoord kiezen of een goede virusscanner installeren -dan nog gaat het meestal mis bij de mens, zegt Barker, die momenteel in Nederland is vanwege de GSMA-conferentie over cybersecurity, de koepelorganisatie voor mobiele providers. "Iemand klikt op een link in een e-mail, waarna een virus op zijn computer wordt geïnstalleerd. Of een werknemer reageert op een verzoek om geld over te maken omdat het afkomstig lijkt van de directeur. En eigenlijk kun je dat hem niet eens zo kwalijk nemen."

We weten inmiddels toch dat we moeten oppassen met dat soort verzoeken en met valse e-mails?
Barker: "Dat we het weten, betekent nog niet dat we ernaar handelen. Kijk naar wachtwoorden: de meeste mensen weten wel dat die niet te simpel moeten zijn, maar alsnog worden wachtwoorden als 123456 en password1 het meeste gebruikt. Kun je dat iemand kwalijk nemen? Gemiddeld hebben we iets van 27 accounts met wachtwoord, sommige bedrijven verwachten ook nog dat we die regelmatig veranderen. Het groeit mensen boven het hoofd, met als gevolg dat ze de kop in het zand steken en denken: ze gaan toch niet achter mijn account aan.

"Ondertussen hebben cybercriminelen zich geprofessionaliseerd. Ze sturen niet alleen maar massa-mails rond in de hoop dat iemand reageert. Vooral het zogenoemde spear phishing is een toenemend probleem: criminelen verdiepen zich dan eerst in hun slachtoffer voordat ze een gericht en vaak persoonlijk verzoek doen."

Dat klinkt als erg veel moeite.
"Dat valt wel mee hoor. Kijk maar eens hoeveel informatie er over iemand te vinden is op verschillende sites. Op LinkedIn vinden criminelen bijvoorbeeld de naam van de directeur van een bedrijf, die op Twitter zegt dat hij op reis is. Vervolgens sturen ze de financiële man van het bedrijf - ook via LinkedIn te vinden -een e-mail die afkomstig lijkt van de directeur, met het verzoek geld over te maken. Vaak wordt daarin ingespeeld op de emotie van de werknemer, met zinnen als: 'Ik vraag het jou omdat ik je vertrouw', of 'Ik heb je nodig om een probleem op te lossen'. Daarbij komt dan vaak nog haast: het moet snel, vandaag nog."

Waarom doen criminelen dat?
"Het gaat om manipuleren. Daarom spelen ze in op emoties als hebzucht, trots of angst, maar ook op stress. Uit onderzoek blijkt bijvoorbeeld dat de meeste phishing mails tussen dinsdag en donderdag worden gestuurd. Op momenten dat we druk zijn, dat we veel e-mails krijgen en we ze dan weer op de computer, dan weer op de smartphone lezen. Het zijn momenten dat we niet altijd even goed opletten."

En we denken: in phishing mails trappen, dat overkomt mij niet.
"Dat speelt zeker mee. Dat is ook waarom mensen zich behoorlijk dom kunnen voelen als ze erin getrapt zijn. Je denkt altijd: mij manipuleren ze niet, ik weet wel beter. Dat is ook een vorm van je kop in het zand steken."

Wat is volgens u de oplossing?
"Het is belangrijk dat we als cybersecurity-industrie niet alleen het angstverhaal vertellen. Dat doen we ook al jaren op het gebied van de schadelijke gevolgen van roken, maar mensen steken nog steeds sigaretten op. Je zou internetters veel meer oplossingen moeten bieden. Leg mensen uit waarom iets voor hen van belang is en wat ze concreet kunnen doen om zich te beschermen. Kunnen ze wachtwoorden niet onthouden, leg dan uit hoe een wachtwoord-manager werkt, een programma waarmee je veilig je wachtwoorden kunt opslaan."

Een op de negen Nederlanders de klos

In 2015 werd een op de negen Nederlanders slachtoffer van cybercriminaliteit, blijkt uit de Veiligheidsmonitor van het Centraal Bureau voor de Statistiek. Mensen kregen te maken met identiteitsfraude, gehackte accounts en computers.

Vorig jaar waarschuwde het Nationaal Cyber Security Centrum van het ministerie van veiligheid en justitie ook voor een nieuwe trend: social engineering, een vorm van cybercriminaliteit waarbij het draait om het misleiden van slachtoffers. Eerst verzamelen criminelen zoveel mogelijk informatie over iemand, bijvoorbeeld via sociale media, zodat ze vervolgens een zo overtuigend mogelijk verhaal kunnen ophangen als ze hun slachtoffer via e-mail of telefoon benaderen.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden