Het exploiteren van kwetsbaarheden in de ‘eerste lijn van cyberdefensie’

Cyberbeveiliging
Hacking the Human Mind

Mensen zijn complexe wezens met bewustzijn, emoties en het vermogen om te handelen op basis van gedachten. In het steeds evoluerende domein van cyberbeveiliging blijven mensen voortdurend het voornaamste doelwit van aanvallers. In de loop der jaren hebben deze aanvallers hun expertise ontwikkeld in het exploiteren van verschillende menselijke kwaliteiten, waarbij ze hun vaardigheden hebben aangescherpt om vooroordelen en emotionele triggers te manipuleren met als doel menselijk gedrag te beïnvloeden om de veiligheid in gevaar te brengen, of het nu gaat om persoonlijke of organisatorische veiligheid.

Meer dan alleen een ‘menselijke factor’

Begrijpen wat onze menselijkheid definieert, herkennen hoe onze kwaliteiten als kwetsbaarheden kunnen worden gezien, en begrijpen hoe onze geest kan worden aangevallen, vormen de basis voor het identificeren en reageren wanneer we onvermijdelijk het doelwit worden.

De menselijke geest is een complex landschap dat is geëvolueerd door jarenlange blootstelling aan de natuurlijke omgeving, interacties met anderen en lessen getrokken uit ervaringen uit het verleden.

Als mensen onderscheidt onze geest ons, gekenmerkt door een veelheid aan eigenschappen en emoties, vaak te ingewikkeld om precies te verwoorden.

Menselijk gedrag is complex

Enkele van onze fundamentele eigenschappen kunnen als volgt worden beschreven:

  • Vertrouwen – Mensen stellen hun vertrouwen in anderen en gaan uit van inherente goedheid.
  • Empathie – Mensen tonen zorg voor anderen en hun gevoelens.
  • Ego – Mensen koesteren een competitieve geest en streven ernaar hun leeftijdsgenoten te overtreffen.
  • Schuld – Mensen ervaren spijt voor hun daden, vooral als ze anderen schade berokkenen.
  • Hebzucht – Mensen verlangen naar bezittingen en kunnen bezwijken voor impulsiviteit.
  • Urgentie – Mensen reageren snel op situaties die onmiddellijke aandacht vereisen.
  • Kwetsbaarheid – Mensen worstelen vaak met angst en zijn openhartig over hun emoties.

Hoewel deze lijst niet uitputtend is, vat zij wel algemene en begrijpelijke aspecten samen die menselijk gedrag sturen. Menselijke interacties hebben een essentiële waarde, geven het leven betekenis en bevorderen culturele normen. Voor aanvallers die ons willen uitbuiten, biedt de sociale constructie van mens-tot-mens-interacties echter een mogelijkheid tot manipulatie.

Onze van nature sociale aard dwingt ons om terug te keren naar deze eigenschappen. Emoties dienen als vangnet voor communicatie, probleemoplossing en verbindingen in ons dagelijks leven en we zijn erop gaan vertrouwen dat onze emotionele reacties ons verder zullen begeleiden en beschermen in een verscheidenheid aan situaties.

Ik denk, daarom, dat ik gemanipuleerd kan worden

Aanvallers maken misbruik van dit vangnet (emoties en fundamentele eigenschappen) wanneer ze zich op mensen richten, omdat het kan worden gemanipuleerd om hun doelstellingen te bereiken. Dit vangnet wordt zelfs nog zwakker als we ons in het ‘online’ domein begeven, omdat bepaalde waarborgen falen vanwege een gebrek aan inzicht. De abstractie van communicatie via een naam op het scherm misleidt vaak onze geest bij het interpreteren van situaties op een manier waarop onze emoties niet nauwkeurig kunnen navigeren.

Op het gebied van manipulatie zijn door de eeuwen heen verschillende modellen en methoden gebruikt om menselijk gedrag te beïnvloeden. In de huidige context misbruiken aanvallers deze modellen om menselijke kwetsbaarheden te identificeren, die worden gekenmerkt als zwakheden binnen het systeem die kunnen worden uitgebuit.

Naast het direct manipuleren van fundamentele eigenschappen door middel van zorgvuldig gerichte aanvallen, hebben aanvallers de neiging zich op mensen te richten via vormen van beïnvloeding en overreding. Deze kunnen als volgt worden samengevat, en mensen hebben de neiging mentaal op deze gebieden te opereren:

  • Wederkerigheid – Mensen voelen zich gedwongen om te beantwoorden wat ze hebben ontvangen.
  • Autoriteit – Mensen zijn geneigd zich te houden aan gezaghebbende/bekende figuren.
  • Schaarste – Mensen verlangen naar items die minder haalbaar zijn.
  • Betrokkenheid en consistentie – Mensen geven de voorkeur aan routine en structuur.
  • Liken – Mensen vormen emotionele verbindingen.
  • Sociaal bewijs – Mensen zoeken bevestiging en roem.

Deze aspecten kunnen worden gezien als potentiële kwetsbaarheden in de menselijke geest wanneer ze worden gecombineerd met emoties en fundamentele eigenschappen. Aanvallers maken gebruik van deze aspecten om directe controle over onze acties te krijgen, een gebeurtenis die nu wordt erkend als social engineering. Social engineering omvat verschillende technieken en tactieken, maar in de kern exploiteert het een of meer van de hierboven genoemde gebieden door middel van nauwkeurig vormgegeven interacties.

Het hacken van de menselijke geest

Formule voor aanval

Om de modus operandi te beschrijven voor aanvallers die zich op mensen richten, kunnen we eenvoudige formules formuleren.

Een standaard aanvallerformule is als volgt:

(Doel) + (Kwetsbaarheid) + (Exploit) = Compromis

Maar toegepast op de mens zou het als volgt kunnen zijn:

(Menselijke geest) + (Emotionele trigger/eigenschap) + (Sociale engineeringtechniek) = Beoogd doel door resulterende reactie

Het hacken van de menselijke geest

De aanvalsketen wordt zichtbaar door te kijken hoe deze formules zich verhouden tot triggers en technieken in combinatie met kwetsbaarheden.

Het hacken van de menselijke geest
Het hacken van de menselijke geest

Exploitatietechnieken, die vaak voorkomen in digitale kanalen zoals e-mail, telefoontjes of sms-berichten, worden vaak gebruikt voor phishing. Deze tactieken manipuleren gevestigde interacties om verschillende doelstellingen te bereiken, zoals het misleiden van individuen om afstand te doen van geld, het openen van kwaadaardige bestanden, het indienen van inloggegevens of het onthullen van gevoelige gegevens. De gevolgen van deze aanvallen kunnen variëren van individuele verliezen tot organisatorische inbreuken.

Onszelf verdedigen

Om ons te beschermen tegen deze aanvallen op onze geest, moeten we onze cognitieve normen afstemmen op emotionele triggers door vragen te stellen als; wat is het doel, de verwachting en de legitimiteit van de interactie. Deze vragen kunnen impulsieve reacties voorkomen en introspectie mogelijk maken.

Het creëren van een ‘stop en beoordeel’-mentaliteit fungeert als een mentale firewall, versterkt door waakzaamheid, om de persoonlijke en organisatorische veiligheid te vergroten. Door potentiële aanvallen te overwegen, vergroten we ons bewustzijn van kwetsbaarheden en werken we aan veerkracht. Dit bewustzijn, gekoppeld aan een proactieve aanpak, helpt de bedreigingen voor onze geest en de mensheid te verminderen, door samenwerking te bevorderen om aanvallers te ontwapenen en hun operaties te verzwakken.

Blijf waakzaam, blijf op de hoogte en blijf alles in twijfel trekken.

Dit is slechts één van de verhalen in de Security Navigator. Ander opwindend onderzoek, zoals een onderzoek naar hacktivisme en een analyse van de toename van cyberafpersing (evenals een heleboel andere interessante onderzoeksonderwerpen), is daar ook te vinden. Het is gratis, dus neem gerust een kijkje. Het is het waard!

Opmerking: Dit artikel is vakkundig geschreven door Ulrich Swart, Trainingsmanager & Technisch Teamleider bij Orange Cyberdefense.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google heeft een manier waarmee u ontbrekende Drive-bestanden kunt herstellen

Facebook Messenger verhoogt de beveiliging, maakt het bewerken van berichten mogelijk en meer

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]