Intel waarschuwt voor phishing-trucs

Aantal fasen

Voordat iemand het slachtoffer kan worden van social engineering, gaat de dader eerst een aantal stappen doorlopen. Het slachtoffer moet eerst worden geïsoleerd uit zijn groep, wat door middel van identificatietechnieken op internet plaatsvindt. Is dat gebeurd, dan wordt een lijntje uitgeworpen, in de hoop een contact tot stand te brengen. Als dat is gebeurd, kan het eigenlijke viswerk beginnen. In het rapport worden de volgende technieken geïdentificeerd:

Wederkerigheid: Door mensen iets te geven, voelen ze zich verplicht om wat terug te doen. Een slachtoffer krijgt bijvoorbeeld een code waarmee hij of zij ergens korting kan krijgen. In uil wordt dan wel een inlognaam of password terugegeven.

Schaarsheid: Mensen zijn best bereid om te helpen als ze doorkrijgen dat iets schaars is en zij de gelegenheid hebben om in die leemte te voorzien. Bijvoorbeeld: er wordt gezegd dat het aantal bankrekeningnummers bijna op is, en het slachtoffer zijn rekening alleen kan houden als hij een paar eenvoudige vragen beantwoordt.

Consistentie: Als een slachtoffer eenmaal een toezegging heeft gedaan - bijvoorbeeld om mee te doen aan een korte enquête - dan zal hij dat ook doen, om niet onbetrouwbaar over te komen. Zelfs vragen over gevoelige informatie worden zo beantwoord.

Vriendelijkheid: Een phisher die zich eerder heeft gemeld, bijvoorbeeld via de telefoon, en daar een uitermate vriendelijke indruk heeft achtergelaten krijgt later heel wat gedaan als het gaat om gevoelige informatie.

Autoriteit: Het blijkt dat mensen sneller bereid zijn om antwoord te geven op vragen over gevoelige informatie, wanneer die vragen worden geteld door iemand met autoriteit, al bestaat die alleen maar in de ogen van het slachtoffer.

Groepsgevoel: Een sterk argument is het groepsgevoel, waarbij het slachtoffer het idee krijgt dat al zijn collega's al aan het onderzoekje hebben meegedaan en hij niet als enige wil weigeren.