Ons brein houdt ons voor de gek, en dus is iedereen te hacken

Wij mensen voelen ons soms onoverwinnelijk. Met behulp van kennis en technologie komen we ook een eind. Maar de menselijke natuur heeft uiteindelijk de overhand. Uit onderzoek van Kaspersky Lab blijkt dat 91 procent van de datalekken veroorzaakt wordt door een menselijke fout.

Onderzoekers, reclamemakers, veiligheidsdiensten én criminelen weten al heel lang dat vrijwel iedereen te sturen is. Door ons brein een beetje te misleiden, zorgen ze ervoor dat we gewenst gedrag vertonen: of dat nu het kopen van een product is, of het klikken op een kwaadaardige link in een phishing e-mail. Wat niet helpt is dat we over het algemeen goed zijn in het misleiden van een ander – van leugentje om bestwil tot ernstiger vormen van bedrog – maar slecht zijn in het herkennen van misleiding als het onszelf overkomt. Dat heeft een aantal oorzaken.

De jurk

De taak van ons brein is om ‘de werkelijkheid’ te interpreteren en aan ons te presenteren. Maar wat is de werkelijkheid? Die is voor iedereen anders. Zo wisten veel mensen zeker dat de jurk die in 2015 een wereldwijde internethit werd zwart met blauw was, terwijl anderen toch echt een witte jurk met gouden strepen zagen. Ons brein vult dingen voor ons in. Dat komt onder meer omdat onze hersenen graag de kortste route nemen. We bouwen gedurende ons leven allerlei snelkoppelingen in ons brein, zodat we zonder al te veel moeite de wereld om ons heen kunnen begrijpen – ook als we in aanraking komen met nieuwe ervaringen.

En ons brein baseert zich op meer instellingen die tot een onvolledige of onjuiste voorstelling van de realiteit kan leiden. Zo wordt ons denken altijd beïnvloed door vooroordelen en aannames die we in de loop van de tijd hebben verzameld (dit is waarom discussies op Facebook bijna nooit goed eindigen). Ons brein kan bovendien blind zijn voor verandering. Als een situatie sterk lijkt op een eerdere situatie of weergave, vinden onze hersenen het moeilijk om kleine verschillen te spotten. Als je al drie jaar iedere ochtend op dezelfde manier naar je werk reist, kan het zijn dat je eenmaal op kantoor je nauwelijks nog iets herinnert van de reis. Omdat je hersenen ervanuit gingen dat alles wederom hetzelfde was, deed je alles op de automatische piloot.

Luchtgevechten

De niet geheel foutloze werking van onze hersenen kan worden uitgebuit. Internetcriminelen kunnen bijvoorbeeld onze besluitvorming in de war sturen, om ons zover te krijgen om gegevens prijs te geven of geld over te maken. Dat doen ze door op de juiste momenten in te grijpen in ons besluitvormingsproces – dankbaar gebruikmakend van theorieën over hoe mensen tot beslissingen komen.

Zo bedacht de Amerikaanse militair strateeg en oud-gevechtsvlieger John Boyd in de jaren vijftig van de vorige eeuw een model voor besluitvorming, dat straaljagerpiloten moest helpen om in luchtgevechten sneller de juiste beslissingen te maken dan hun tegenstander. De OODA-loop (de letters staan voor Observe, Orient, Decide, Act) bleek succesvol om gevechten mee te winnen, maar bleek ook kwetsbaar. Door bepaalde stimuli op de juiste momenten toe te voegen of juist weg te laten uit het model, konden piloten – en mensen in het algemeen – beïnvloed worden in het maken van keuzes. Je kunt je voorstellen dat je andere keuzes maakt als bepaalde feiten voor je worden achtergehouden, of de context van de situatie anders gepresenteerd wordt dan het geval is.

Internetcriminelen weten dat het oproepen van emoties bij de meeste mensen heel goed werkt om besluitvorming in de war te schoppen. Door bijvoorbeeld een phishing e-mail te sturen over een ongeval op de school van onze kinderen, kunnen hackers het voor elkaar krijgen dat we (voor de zekerheid of in paniek) toch op de link in die e-mail klikken, terwijl we dat anders niet gedaan zouden hebben. Door angst en stress als stimuli te gebruiken, slaan de slachtoffers de eerste drie letters van de OODA-loop over en komen ze meteen in actie.  

Een theorie over ons denken en onze besluitvorming die bij hackers misschien nog wel populairder is, is het onderscheid dat psycholoog en Nobelprijswinnaar Daniel Kahneman maakt tussen twee denksystemen: een snelle en een langzame.

Kahneman stelt dat we zo’n 95 procent van de tijd denken volgens systeem 1: snel en automatisch, dankzij snelkoppelingen, impulsen en intuïtie. Denken volgens dit systeem kost ons weinig moeite, maar we maken daardoor ook meer fouten. Systeem 2 gebruiken we alleen als we hard moeten nadenken om een bepaald probleem op te lossen. In dit systeem nemen we de tijd om alles goed te analyseren en tot de beste conclusie te komen. Het is daardoor betrouwbaarder dan systeem 1 en minder makkelijk te beïnvloeden. Internetcriminelen zullen er alles aan doen om te voorkomen dat we kritisch nadenken volgens systeem 2. Ze vergroten hun kansen op succes aanzienlijk als hun beoogde slachtoffers snelle beslissingen nemen op basis van automatisme, emoties of tijdsdruk.

Social engineering

Het psychologisch manipuleren van mensen om in bezit te komen van gegevens of om controle te krijgen over het computersysteem noemen we social engineering. Phishing, spear phishing en ceo-fraude zijn goede voorbeelden. In veel gevallen wordt een beroep gedaan op emoties of karaktereigenschappen van de ontvangers van de e-mail: behulpzaamheid, urgentie, nieuwsgierigheid, eigenbelang, hebzucht of angst.

Hoe wapenen we onszelf tegen dit soort psychologische trucs? Het slechte nieuws is dat we de manier waarop ons brein werkt maar beperkt kunnen aanpassen. Het goede nieuws is dat we de methodes van internetcriminelen kunnen monitoren en dat we onszelf kunnen aanleren om niet in die methodes te trappen. Door ons bewust te zijn van de manier waarop we tot besluitvorming komen en dat te combineren met actuele kennis over de werkwijze van hackers, zullen we niet meer onnadenkend op een verdachte link klikken.

Doorlopende security awareness training is een heel geschikt middel om bekend te raken met de nieuwste social engineering-tactieken. Zolang de training relevant voelt en ons echt helpt om onszelf en de organisatie waarvoor we werken beter te beschermen, zal het percentage menselijke fouten bij datalekken en ransomware-aanvallen zonder meer dalen.

Jelle Wieringa is security awareness advocate bij KnowBe4