Cybercriminaliteit: Hoe maak je medewerkers weerbaar?

Rick Lemmens, student Journalisatiek aan de Fontys Hogeschool, interviewde Qbit’er Sander Ebbers. Met het interview wil hij meer inzicht geven in oplichtingsmethodes van cybercriminelen.

Posted on January 31, 2019 in Blog.

TILBURG – Hacken lijkt tegenwoordig bij het bedrijfsleven te horen.

Medewerkers in kleine maar ook grote organisaties weten vaak niet hoe ze om moeten gaan met cybercriminaliteit. Sander Ebbers, organisatiepsycholoog bij Qbit Cyber Security, helpt medewerkers met het veranderen van hun onlinegedrag door middel van beïnvloedingstechnieken.

Gedrag en cybercriminaliteit

Sander Ebbers, organisatiepsycholoog bij Qbit, kijkt in zijn dagelijkse werk naar hoe het gedrag van medewerkers zich verhoudt tot de organisatiedoelen en organisatiecultuur. “Dit doen wij door het organiseren van workshops voor medewerkers. Qbit test het gedrag door verschillende praktijkproeven en wetenschappelijk gevalideerde meetinstrumenten in te zetten. Het doel van deze acties is om inzicht te krijgen in de risicoperceptie van medewerkers, oftewel: in hoeverre vinden medewerkers cyber-aanvallen een dreiging en in hoeverre hebben zij het idee dat de geboden ‘maatregelen’ ervoor zorgen dat de dreigingen minder worden.

Bij een maatregel kun je bijvoorbeeld denken aan tweefactoren authenticatie en een phishing-report functie in outlook. Het aanspreken van je collega’s op onveilig gedrag is ook een maatregel. Het is dus zowel technisch als van menselijk van aard. Qbit zet gevalideerde meetinstrumenten in die als een soort ‘thermometer’ werken. Op verschillende momenten in een trainingsprogramma leggen we aan medewerkers een diagnostische vragenlijst voor. We vragen medewerkers in hoeverre ze op de hoogte zijn van bepaalde maatregelen, wat hun houding is ten aanzien van deze maatregelen en of ze in de afgelopen periode hun gedrag hebben veranderd. Aangezien er geen oordeel zit in deze vragenlijsten zijn medewerkers bereid om een eerlijk antwoord te geven. Zo krijgen organisaties op een objectieve manier goed inzicht in het bewustwordingsniveau van hun medewerkers.”  

Hoe kun je gedrag veranderen?

“Er zijn meerdere manieren om gedrag te veranderen. Het belangrijkste is dat je aansluiting vindt bij de stijl van de medewerkers. Onderzoek laat zien dat het belangrijk is dat medewerkers vooral van elkaar leren en niet van de expert. In onze workshops zorgen we er daarom voor dat er voldoende interactie mogelijk is en sturen we ook op kennisuitwisseling tussen medewerkers.

Om kennis te verhogen bij medewerkers biedt Qbit e-learningmodules aan en maken wij bewustwordingsvideo’s met daarin handige tips en tricks. Dit zijn vooral methodes om gemakkelijk een grote groep mensen te bereiken. Bij kleinere organisaties raden wij aan om vooral groepssessies en workshops te organiseren.

Medewerkers leren van elkaar en schatten steeds beter risico’s in. Wanneer medewerkers risico’s herkennen en melden bij hun werkgever laten zij uiteindelijk het gewenste gedrag zien.”  

Waardoor gaat het vaak mis op de werkvloer?

“Bij meer hiërarchische organisaties is het soms lastig om een verantwoordelijkheidsgevoel te kweken bij de ‘normale’ medewerker. Zij voelen niet direct de impact van een cyberaanval. Als je het bijvoorbeeld hebt over gijzelsoftware of DDos-aanvallen, dan is het met name de eindverantwoordelijke die erop wordt aangesproken. De medewerker kan alleen slechts een paar uur niet werken en dat heeft relatief weinig impact.

Daarnaast zien wij vaak dat er goede technische maatregelen worden genomen, maar dat deze niet als functioneel worden gezien door de medewerkers. Waarom zou een medewerker die lastige veilige cloudapplicatie moeten gebruiken als Dropbox of Wetransfer veel gemakkelijker werkt. Zolang het nog nooit mis is gegaan zullen medewerkers niet zomaar ander gedrag gaan vertonen.”  

Welke beïnvloedings-technieken gebruiken oplichters?

“Hackers maken vaak gebruik van openbare bronnen om informatie te vinden over het slachtoffer. Wanneer je erg actief bent op sociale media en fora, dan is het gemakkelijk om veel over jou te weten te komen. Op deze manier kan de hacker gemakkelijk je vertrouwen winnen door te doen alsof hij/zij overlappende interesses heeft. In het geval van sim-swapping, kan de hacker zich daardoor bijvoorbeeld voordoen als jou.”   “Het boek van Robert Cialdini’s, ‘The 6 Principles of Persuasion’, geeft meer inzicht over beïnvloedingstechnieken en is een aanrader om te lezen. Oorspronkelijk is dit boek gebruikt in de marketing, maar hackers gebruiken deze technieken ook veelvuldig. Met name het autoriteitsprincipe gebruiken hackers vaak. Deze blijkt ook vanuit onderzoek het meest succesvol te zijn. Een hacker doet zich voor als de CEO van een bedrijf of als een autoriteit en vraagt om een bepaald geldbedrag over te maken. Recent is dit nog in het nieuws geweest door de CEO-fraude bij Pathé.”

CEO-fraude, cryptojacking en phishingmails

Wat zijn de laatste trends qua oplichtmethodes? “Gijzelsoftware ofwel ransomware en CEO-fraude zijn in de afgelopen jaren behoorlijk toegenomen. Ransomware houdt in dat je bestanden versleuteld worden en dat je ze weer terugkrijgt wanneer je losgeld betaald. Voor CEO-fraude is opnieuw het ‘Pathé-voorbeeld’ een interessant voorbeeld. Je ziet ook steeds vaker dat je computers worden gehackt om vervolgens ingezet te worden voor het minen van cryptovaluta, dit heet cryptojacking. Je merkt hier als gebruiker vaak weinig van, behalve dat je computer wat trager is geworden.”

“Je ziet overigens weinig verschuiving in de gebruikte methodes. Nog steeds gaat het in de meeste gevallen zo dat iemand een phishingmail krijgt met een malafide link of bijlage. In het geval van ransomware zal er naar het klikken op de link een melding staan dat je bestanden zijn versleuteld. Bij CEO-fraude zal het zo zijn dat je gevraagd wordt om een bepaalde factuur te betalen en in het geval van cryptojacking is de kans groot dat je na het klikken niets merkt en ‘gewoon’ verder kunt werken.”

“In alle gevallen zijn 2 dingen het belangrijkste: 1. De gebruikers moeten beseffen dat het iedereen kan overkomen. Onderzoek laat namelijk zien dat zelfs de slimste IT-specialisten slachtoffer van cybercrime kunnen worden en 2. Gebruikers moeten, zodra ze opmerken dat er iets verdacht is, dat ook gelijk melden. Bijvoorbeeld door aangifte te doen bij de politie of door het te melden bij hun ICT-afdeling.”  

Wat is de grootste fout van een medewerker die je je kunt herinneren?

Sander geeft aan niet graag naar specifieke gevallen te kijken. “Daardoor lijkt het dat een medewerker een bewuste fout zou hebben gemaakt. Het ‘mooiste’ is wanneer iemand slachtoffer is geworden en dit gewoon durft te melden. Daardoor kan de politie ermee aan de slag of de ICT-afdeling kan maatregelen nemen om de impact te verlagen.”

Meer weten? Kijk eens bij onze Awareness diensten en trainingen

Sander Ebbers

By Sander Ebbers

Awareness & Training

Any questions about this post or our services? Just Email me or call me on +31 6 29 624 303.

Contact us

Newsletter