Onderwerp van zijn proefschrift is ‘social engineering’. Bullee, onderzoeker bij de vakgroep Services, Cybersecurity and Safety van psychologie: ‘Daarmee bedoel ik dat de dader manipulatie en psychologische trucs gebruikt, zodat het slachtoffer zélf helpt bij de aanval. Dat menselijke aspect in cybercrime vind ik interessant.’
Nauwelijks data
Bij aanvang van zijn promotietraject had Bullee een probleem. Er waren nauwelijks gegevens beschikbaar over geslaagde en mislukte cyberaanvallen. ‘Je hoort wel verhalen van geslaagde hacks, maar we hebben geen idee wat erachter zit. Hoe vaak wordt een poging gedaan en wat is de slaagkans? Organisaties zijn niet genegen om informatie te delen. Ik heb de indruk dat we pas het topje van de ijsberg zien.’
De oplossing om data te verzamelen is mensen zelf hacken en die gegevens vastleggen. Bullee deed dat op drie fronten. ‘We stuurden zo’n zeshonderd medewerkers een phishing-e-mail met de vraag om persoonsgegevens. De helft van de mailtjes had een algemene aanhef, de andere helft was persoonlijk. Ruim 19 procent van de mensen met een algemene mail ging op het verzoek in. Bij de persoonlijke mail was dat een stuk hoger: 28,9 procent.’
Persoonlijk contact blijkt nog beter te werken. ‘In het tweede experiment probeerden we bij ruim 160 mensen de kantoorsleutel te krijgen door een babbeltruc. In totaal gaf 59 procent de kantoorsleutel aan een volstrekt vreemde. Sterker: we kregen regelmatig de gehele sleutelbos mee.’ Bij het derde experiment werden 142 mensen opgebeld met de vraag of ze software wilden downloaden. ‘Dat deed 40 procent’, aldus Bullee.
'Iemand gaf aan dat ze mij vertrouwde, omdat ik een Achterhoekse tongval heb.’
Trage pc
Christian Orriëns (master Conflict, Risk and Safety bij psychologie) werkte twee jaar geleden samen met de promovendus en zette de zogenaamde aanvallen uit. ‘Dat was best spannend’, zegt hij. ‘We werkten vanuit het script van Jan-Willem Bullee. We belden op en zeiden dat er een probleem was met de computer en vroegen of de medewerker had gemerkt dat de pc trager was geworden. Bijna altijd kregen we daar een bevestiging van. We werkten vervolgens naar een oplossing toe, namelijk het installeren van software. Dat lukte verassend vaak.’
Na de scam gaf de student zelf een toelichting aan het slachtoffer. ‘Eén dame werd echt kwaad. Ze begon over ethische kaders en privacy. Maar de meeste mensen konden er wel om lachen. Iemand gaf aan dat ze mij vertrouwde, omdat ik een Achterhoekse tongval heb.’
Nooit sleutel afgeven
Social engineering werkt dus, concludeert Bullee. ‘Door een aanval persoonlijk te maken, vergroot je de kans op succes aanzienlijk. Ook bij mensen die denken niet vatbaar te zijn voor een truc. We interviewden vooraf nog medewerkers waarbij 97 procent aangaf dat ze hun kantoorsleutel nooit aan een vreemde zouden afgeven.’
Voorlichting is volgens de onderzoeker essentieel om de kans op hacken te verkleinen. ‘Een deel van de proefpersonen kreeg vooraf informatie over het herkennen van bedrog. Die scoorden veel beter bij onze aanvallen’, zegt de onderzoeker. ‘Van die groep gaf nog 37 procent een sleutel af en 17 procent installeerde software. Een duidelijke verbetering dus. Maar de houdbaarheid is beperkt. Hoe meer tijd er zit tussen de informatie en de aanval, hoe groter het percentage is dat er weer in trapt.’
