Sommige digitale cadeautjes kan de kerstman beter zelf houden
Het zal niemand zijn ontgaan: Sinterklaas is weer in het land en in sommige huiskamers staat zelfs de kerstboom al. De schoencadeautjes, cadeautjes voor in de zak en voor straks onder de boom zijn niet aan te slepen. Maar let op, ook cybercriminelen pakken graag uit. Krijg je een mailtje waarin je een cadeautje krijgt aangeboden namens Sint of de kerstman? Dikke kans dat het een phishingmail is en dat je iets heel anders cadeau krijgt dan je wordt voorgehouden.
FOMO
Cybercriminelen spelen hiermee heel slim in op onze menselijke angst om iets te missen. Deze angst – onze Fear Of Missing Out, ook wel bekend als FOMO – werd uitgebreid besproken door Robert Cialdini, Amerikaans oud-hoogleraar psychologie en marketing, in zijn boek over de zeven overtuigingsprincipes. Het lijkt wel of wij mensen zodra we een cadeautje krijgen aangeboden, stoppen met nadenken, of het nu van de sint, van de kerstman, van een digitale Valentijn of van bol.com afkomstig is.
Angstaanjagend
Als ethical hackers gebruiken we ook weleens een cadeautje als lokkertje bij onze phishingtests. Zo boden we eens een sinterklaascadeautje aan alle medewerkers aan, met daarin een aanmeldlink. Tot in het vroege voorjaar kregen we nog aanmeldingen van mensen die terugkwamen van een lange reis of zwangerschapsverlof en hun cadeautje nog graag wilde innen. In de aanloop naar Valentijnsdag gaven we een zogenaamde bitcoin-wallet weg. Mensen hoefden ‘alleen maar’ een stukje software te installeren. Angstaanjagend hoeveel mensen dat deden. En toen we een gratis pas voor stad x aanboden, in ruil voor het invullen van een Excel-sheet en het accepteren van een aantal macro’s die ‘wat dingetjes’ uitvoerden, was dat maar voor weinig mensen een probleem. Hoe goed we ook weten dat we de herkomst van een mail moeten checken en niet zomaar op links moeten klikken, op het moment dat er de angst ontstaat dat we iets mislopen, gooien we alle realiteitszin aan de kant en klikken we erop los.
Niet dubbelfoppen
Dus ben je van plan een phishingtest uit te laten voeren, dan is het slim in te spelen op het schaarsteprincipe. Het is wel slim daarbij een beetje rekening te houden met het gevoel van je medewerkers. Zo kregen medewerkers van ABN Amro eind 2017 een mail over de terugkeer van het eerder afgeschafte kerstpakket. Het bleek een phishingtest. De medewerkers voelden zich dubbelgefopt. Niet alleen voelde de phishingtest als een motie van wantrouwen, daarbovenop werden ze ook nog eens blij gemaakt met een niet-bestaand kerstcadeau.
Testen met respect
Als wij worden gevraagd een phishingtest te doen, overleggen we altijd goed met de klant over het onderwerp en waken we voor gevoeligheden. Ook geven we nooit namen prijs van mensen die op een link in een test-phishingmail geklikt hebben. Naming en shaming is nooit het doel van een phishingtest. Het doel is om je medewerkers – van laag tot hoog – veilig kennis te laten maken met phishing en ze te laten ervaren hoe ingenieus sommige van die mails in elkaar zijn gezet.
Meer weten?
Wil je ook je medewerkers bewust maken van het gevaar van phishingmails? Of ben je benieuwd wat wij met onze hacker mindset nog meer voor jouw organisatie kunnen betekenen? Neem gerust contact met ons op, we denken graag met je mee.