 |
| Afbeelding via Pixabay |
Vorige
week stond ik, zoals je in de vorige Security (b)log kon lezen, voor een groep
meiden van de middelbare school. Deze week was ik gevraagd voor een volgende
generatie: de Young IT-Auditors van Belastingdienst, Douane en FIOD, die de
jaarlijkse YIA-dag het thema cybersecurity hadden gegeven. Dat “young” bleek
overigens niet zozeer op de leeftijd van de deelnemers te slaan, maar op hoe
lang ze in het auditors-vak zitten. En laat ik het zo zeggen: dit publiek was
nog bekend met Facebook. Gelukkig had ik mijn presentatie niet afgestemd op een
al te jeugdig publiek (-;
In
deze Utrechtse zaal had ik het onder andere over actuele ontwikkelingen. De
laatste tijd lees ik steeds meer zorgelijke verhalen uit Amerika over
misselijke criminele activiteiten. Zoals dit relaas. Een vrouw wordt gebeld
door haar zoon, die vertelt dat hij een verkeersongeluk heeft gehad en dat hij
de telefoon overhandigt aan een politieagent, die haar meer zal vertellen. De
agent zegt dat haar zoon het ongeluk, waarbij een zwangere vrouw gewond is
geraakt, heeft veroorzaakt en dat hij daarom in hechtenis wordt genomen. Hij
kondigt aan dat een ingeschakelde advocaat haar zal bellen over de verdere gang
van zaken.
Even
later belt die advocaat. Zoonlief zit diep in de nesten, maar het is mogelijk
om hem op borgtocht vrij te krijgen. Als moeder $ 15.000 in contanten meegeeft
aan een koerier die de advocaat regelt, dan hoeft haar oogappel niet in de cel
te overnachten. En bij de bank moest ze maar niet vertellen waar het geld voor is,
want dan zouden ze daar moeilijk gaan doen. Zo gezegd, zo gedaan.
In
werkelijkheid werd die moeder helemaal niet door haar zoon gebeld. Het was een deepfake,
waarbij met kunstmatige intelligentie op basis van een bestaande geluidsopname (met
dank aan social media) een nieuwe tekst met dezelfde stem werd gefabriceerd. De
moeder hoorde dus wel de stem van haar zoon, maar die tekst had hij zelf nooit
uitgesproken. Dat de telefoon gauw aan de agent werd overgedragen was nodig om
geen gesprek tussen moeder en zoon te laten ontstaan. En die advocaat, die even
later belde, was natuurlijk helemaal geen advocaat, maar net zo’n crimineel als
de nepagent.
In
bovenstaand verhaal zien we een aantal elementen terug uit de theorieën van
Robert Cialdini en Ian Mann*. Cialdini zegt dat mensen autoriteiten
gehoorzamen. Nu vraag ik me af in hoeverre die vlieger in Nederland opgaat,
maar in veel landen zal men inderdaad snel geloven dat men inderdaad te maken
heeft met een gezagsdrager, ook al is het maar aan de telefoon. Een kwestie van
de juiste toon aanslaan. Mann vertelt ons dat mensen goedgelovig zijn. Dat kan
twee kanten op werken. Enerzijds wil je graag de beloning ontvangen die een
Afrikaanse prins je in het vooruitzicht stelt als je hem helpt bij het
vrijmaken van een bijzonder goed gevulde bankrekening, anderzijds schiet je
natuurlijk in de stress als het erop lijkt dat je kind in de penarie zit en
geloof je al gauw wat allerlei figuren je vertellen. Bovendien, zo zegt Mann,
maakt bewust onbekwaam ook volgzaam: als je van jezelf weet dat je van bepaalde
zaken (zoals een arrestatie) geen verstand hebt, dan volg je gemakkelijk iemand
die op z’n minst uitstraalt dat hij op dat vlak deskundig is.
In
een ander verhaal werd iemand gebeld door de FBI, met de mededeling dat zij het
slachtoffer was geworden van identiteitsdiefstal. Omdat onder haar naam
gefraudeerd was, zouden haar banktegoeden bevroren worden. Om er toch voor te
zorgen dat ze een poosje vooruit kon, bood de behulpzame agent aan om een flink
deel van het spaargeld op een veilige rekening te zetten, die buiten de
inbeslagname zou blijven. Ook dat geld moest in contanten worden aangeleverd en
je raadt het al: foetsie. En er was helemaal geen sprake van
identiteitsdiefstal.
In
deze zaak speelde ICT helemaal geen rol, maar de crimineel deed wel alsof daar
de bron van de ellende lag, want echte identiteitsdiefstal wordt nu eenmaal
gefaciliteerd door ICT. Ook de volgende zaak had geen ICT-achtergrond, maar dat
had gemakkelijk gekund: een 81-jarige Amerikaan werd afgeperst, en toen de door
de crimineel bestelde Über voorreed om “een pakje” (met het geld) op te halen,
schoot hij de chauffeuse dood, in de veronderstelling dat zij in het complot
zat.
Mocht
je ooit in zo’n onwerkelijke situatie terechtkomen, probeer dan niet te
handelen vanuit je emotie. Negeer instructies om niemand erbij te betrekken,
maar vraag juist hulp aan een vertrouwd iemand. Wees alert als het opeens over
geld gaat; probeer je zoon eerst maar eens te bellen om te checken of hij écht
een ongeluk heeft gehad. Sommigen vinden het misschien wat eng, maar in ons
gezin kunnen we, met wederzijds goedvinden, in een app zien waar iedereen is. Dat kan je in zo’n situatie enorm helpen.
* Robert
Cialdini, Influence: The psychology of Persuasion, 1984; Ian Mann, Hacking
the human: Social Engineering Techniques and Security Countermeasures, 2008
En in de grote boze buitenwereld …
- werken deepfake-detectie-tools niet altijd accuraat.
- dreigen criminelen met de publicatie van een database waarin criminelen staan.
- hebben de Russen het voorzien op westerse infrastructuur.
- moet je natuurlijk wel het juiste doelwit uitzoeken.
- maken verkeerslichten ook al inbreuk op je privacy.
- krijgen telecom-medewerkers geld geboden om mee te werken aan sim-swapping.
- heeft een Britse computer het verkeerde echtpaar gescheiden.
- wordt er een Nederlandse ID-wallet ontwikkeld.
Geen opmerkingen:
Een reactie posten