20 InformatieBeveiliging MAGAZINE

Steeds meer organisaties zien de bewustwording van medewerkers als een

belangrijk onderdeel van informatiebeveiliging. Eén manier om een bijdrage te

leveren aan awareness is door de inzet van een social engineer[1]. In de praktijk

krijgt deze social engineer vaak de titel ‘mystery guest’. Dit artikel gaat in op de

theorie van Cialdini en laat met voorbeelden zien hoe de mystery guest de

psychologie van overtuiging in de praktijk inzet.

HOE DE ZES GEHEIMEN VANHET OVERTUIGEN DE MYSTERYGUEST HELPEN

IB1 Mystery Guest_Opmaak 1 23-01-18 11:55 Pagina 20

InformatieBeveiliging MAGAZINE 21

hoe de zes geheimen van het overtuigen de mystery guest helpen

Wat is het doel van een mystery guest?Bij een mystery guest-aanval wordt op verzoek van eenopdrachtgever een locatie gecontroleerd aangevallen.Een mystery guest-aanval kan verschillende doelenhebben: • inzicht krijgen in de mate waarin een bepaald

doelobject weerstand kan bieden aan pogingen omonbevoegd toegang te krijgen tot bedrijfsmiddelen.Een doelobject kan bijvoorbeeld een fysieke locatie,een informatiesysteem of de paspoortenkluis zijn;

• meten van het huidige niveau van de weerbaarheidtegen social engineering;

• verhogen van de bewustwording van de medewerkers;• meten van de effectiviteit van reeds genomen

maatregelen;• verkrijgen van inzicht in te nemen maatregelen;• vergaren van (beeld)materiaal voor verdere

bewustwordingscampagnes.Om deze doelen te bereiken, maakt de mystery guestgebruik van de zes principes van Cialdini.

Zes overtuigingsprincipes van Cialdini‘Een brutaal mens heeft de halve wereld’, zo luidt een oudspreekwoord. Natuurlijk moet een mystery guest overbrutaliteit en lef beschikken: het is spannend om aan tevallen! Echter, van een mystery guest wordt meergevraagd dan brutaliteit alleen, anders zou hij snel tegende lamp lopen. Het doel van een mystery guest is ommensen te beïnvloeden tot het vrijgeven van informatie ofhet uitvoeren van handelingen. Met andere woorden:zaken die onder normale omstandigheden niet zoudengebeuren.

Robert Cialdini is hoogleraar psychologie en auteur vanhet boek ‘Invloed: de zes geheimen van het overtuigen’. Indit boek presenteert hij zes wetenschappelijkonderbouwde overtuigingstechnieken uit de socialepsychologie. Deze technieken worden niet alleen gebruiktin de marketing, maar worden ook veelvuldig ingezet doormystery guests.

WederkerigheidBij wederkerigheid maakt de mystery guest gebruik van hetprincipe ‘geven en nemen’. Wanneer jij iets voor eenandere persoon doet, is deze sneller geneigd iets voor jouterug te doen. Dit geldt extra zwaar in het geval van eenongevraagde gunst. Dan ontstaat een schuldgevoel bij deontvanger van de ongevraagde gunst, dat ertoe kanleiden dat deze persoon eerder in zal stemmen met hetdoen van een gunst die groter is dan de gunst die hij zelfheeft ontvangen.

“Als galant persoon houd ik de deur voor iedereenopen. Natuurlijk vooral de deuren die niet zijnafgesloten. Ik doe dit om te zorgen dat eenmedewerker de volgende deur, die wel afgeslotenis, voor mij open doet. Dit is meestal het geval,want het zou toch onaardig zijn om dan ineens tevragen wat iemand komt doen.”

“Ik doe mij graag voor als helpdesk-medewerker. Ikzeg tegen een medewerker dat zijn device kurenvertoont en hij misschien al zijn werk kwijt raakt,maar dat ik hem natuurlijk kan helpen om dit tevoorkomen! Als de medewerker mij zijnwachtwoord geeft, los ik het op en kan hij snel weer

André van Soest en Patricia van Schaik werken als consultants

informatiebeveiliging bij LBVD. Zij voeren opdrachten uit voor grote en kleine

organisaties in allerlei branches. Als mystery guests voeren zij veel aanvallen

uit en passen hierbij de principes van Cialdini toe. André en Patricia zijn

bereikbaar via avansoest@lbvd.nl en pvanschaik@lbvd.nl.

Figuur 1 – Overtuigen.

IB1 Mystery Guest_Opmaak 1 23-01-18 11:55 Pagina 21

22 InformatieBeveiliging MAGAZINE

verder werken. Medewerkers met mindertechnische kennis gaan snel overstag en zijn blij datje hen helpt, want stel je toch eens voor dat ze hunwerk kwijt zijn.”

Commitment en consistentieVreemd genoeg hebben mensen over het algemeen eensterke drang naar consistentie. Als een persoon eenbepaalde beslissing genomen heeft, dan blijft deze ervaak consistent mee, of dat nu verstandig is of niet. Verderzijn mensen geneigd om in toekomstige situaties tehandelen naar keuzes die ze eerder in soortgelijke situatieshebben gemaakt. Dit principe uit zich bijvoorbeeld in hetfeit, dat indien mensen op meerdere opeenvolgendevragen ‘Ja.’ hebben geantwoord, de kans groter is dat zijde eerstvolgende vraag op dezelfde manier zullenbeantwoorden.

“Ik zeg dat ik ingehuurd ben door de afdeling ICT,omdat er netwerkproblemen zijn en dat ik hetprobleem kom onderzoeken. Ik vraag aan demedewerker of hij ook last heeft van het tragenetwerk. Als hij dit positief beantwoordt, laat ik eenapparaatje zien (USB-keylogger) en vertel dat ikdaarmee de netwerksnelheid kan meten enverbeteren. Dit zal het probleem van demedewerker oplossen. Ik vraag de medewerker omtoestemming om het apparaatje aan te sluiten. Alshet antwoord ook nu positief is, sluit ik hetapparaatje aan en zeg dat de medewerker de PCmoet afsluiten en weer moet inloggen. Mijnervaring is dat de werknemer meewerkt, want hijheeft steeds meegewerkt en wil dat het probleemwordt opgelost. Hij heeft niet door, dat ik hiermeezijn gebruikersnaam en wachtwoord afvang.”

“Ik gebruik het volgende principe om eenmedewerker af te leiden en zijn werkplekonbeheerd achter te laten, zodat een collegamystery guest toe kan slaan. De vraag ‘Mag ik ietsvragen?’ wordt vrijwel altijd met ‘Ja.’ beantwoord.De vervolgvraag: ‘Bent u bekend op deze gang?’heeft ook een grote kans om met ‘Ja.’ beantwoordte worden, aangezien de medewerker op dedesbetreffende gang werkt. De derde vraag: ‘Kuntu mij alstublieft laten zien waar de brandslanghangt?’ zal waarschijnlijk ook positief wordenbeantwoord, wat maakt dat de medewerkeronverwachts zijn werkplek verlaat. Mogelijk zonderde PC te vergrendelen en met vertrouwelijkedocumenten op het bureau. Nu kan de anderemystery guest toeslaan.”

Sociale bewijskrachtHet derde principe speelt in op het feit dat als anderen ietsdoen, de kans groot is dat jij dit ook gaat doen. Niet alleenkinderen zeggen ‘Maar hij deed het eerst!’. Hetreferentiekader van mensen, ook volwassen mensen, wordtbeïnvloed door te kijken naar wat anderen (niet) doen ofvinden. De effectiviteit van dit principe is mede afhankelijkvan de onzekerheid van de medewerker.

“Ik vraag aan een medewerker of hij toegang totde serverruimte heeft. Als hij daar positief opantwoordt, geef ik aan dat we alle kamers enruimten hebben onderzocht op ‘brandmelders,brandblussers en nooduitgangen’. Ik zeg datcollega’s van de man daar al bij hebben geholpenen ik alleen nog moet kijken naar de voorzieningenin de serverruimte. Vaak loopt de medewerker meenaar de ruimte. Eenmaal in de ruimte kan de enemystery guest bij de medewerker blijven en hemafleiden, terwijl de ander mogelijk malware kaninstalleren of een Raspberry PI kan plaatsen, zodattoegang vanaf buiten mogelijk is.”

“Kan je de deur voor mij openen? Je collega heeftme net ook binnengelaten!”

“Wanneer we de specifieke opdracht krijgen omwachtwoorden te ontfutselen, maken we een lijstmet fictieve wachtwoorden bij bestaande e-mailadressen. Deze lijst laten we aan medewerkerszien. Daarbij geven we aan dat hun collega’s alwel hun wachtwoord hebben opgeschreven voorhet onderzoek naar de kwaliteit van dewachtwoorden. Dit trekt de twijfelendemedewerker vaak over de streep om toch zijnwachtwoord op te schrijven.”

SympathieEen mystery guest wil mensen beïnvloeden tot hetvrijgeven van informatie of het uitvoeren van handelingen.Het is dus belangrijk voor de mystery guest om mensen ‘Ja’te laten zeggen. Cialdini stelt in zijn boek ‘Influence’, datmensen eerder ‘Ja’ zeggen tegen personen die ze kennenen sympathiek vinden. Daarom maakt een mystery guestregelmatig gebruik van een aantal factoren die meeraantrekkelijk en sympathiek maken.

“Binnenkomen met een grote doos en zeggen: ‘Ikheb mijn handen vol. Wil jij alsjeblieft even de deurvoor mij openen? Mijn pas zit in mijn binnenzak.’Iedereen herkent de situatie dat je met vollehanden voor een dichte deur staat en is graagbehulpzaam.”

IB1 Mystery Guest_Opmaak 1 23-01-18 11:55 Pagina 22

InformatieBeveiliging MAGAZINE 23

“Wanneer ik binnenkom, bied ik bij de receptiedirect mijn excuses aan en zeg dat er vorige weekal een inspectie heeft plaatsgevonden. Helaas zijnbij een computerstoring alle gegevens gewist,waardoor de inspectie over moet. Ik zeg zuchtend,dat het altijd gedoe is met de computers en vraagof ze het herkennen. Na dit praatje zeg ik, dat hetniet nodig is om de facilitaire medewerker weervan zijn werk te houden om mij te begeleiden; alsde receptiemedewerker mij toegang geeft, loop ikeven snel door het gebouw, en is het zo geregeld.”

“Ik houd van vleierij en zeg dingen als: ‘Wat heb jeeen leuke bril of toffe schoenen.”

“Ik rook al jaren niet meer, maar als mystery gueststeek ik graag een sigaretje op. De rookplek is eenmakkelijke ingang; andere rokers doen altijd dedeur voor je open.”

“Ik doe er alles aan om mij te kleden als demensen in de organisatie. Ik heb hiervoor diverseoutfits; van bouwhelmen tot legerkleding enlaboratoriumjassen. Eenmaal binnen groet ikiedereen op een vrolijke manier, alsof ik niets teverbergen heb. Het liefst eet ik mee in de kantine,daarna ‘hoor je erbij’. Ik merk dat de gesprekkenmet mensen die mij in de kantine hebben gezienveel eenvoudiger gaan, en dat ik sneller mijn doelbereik.”

AutoriteitAutoriteit heeft alles te maken met gezag. Uit diverseonderzoeken is gebleken, dat mensen geneigd zijn omgehoor te geven aan autoriteit. In de meeste gevallenzonder daar zelf bij na te denken. Een mystery guest maakt

veelvuldig misbruik van dit principe, ook bij de keuze vande dekmantel. Er wordt vaak voor een autoritairedekmantel gekozen. Een bekend voorbeeld is hetuitvoeren van een inspectie. Bij voorkeur in opdracht vaneen (nog hogere) autoriteit.

“Wanneer mensen assertief zijn en vragen of ik ietsof iemand zoek, geef ik aan dat ik geen hulp nodigheb en bezig ben met een onaangekondigdeinspectie. Na deze boodschap draai ik mijnlichaam af en ga door met waar ik mee bezig was.De meeste mensen schrikken van deze autoritairereactie en vragen niet meer door.”

“Ik noem vaak de directie van het desbetreffendebedrijf als opdrachtgever en zeg dat deze mij heeftingehuurd om een inspectieronde uit te voeren. Ikzeg erbij, dat de directie heeft gevraagd om het temelden als mensen niet meewerken. De namenvan de directie staan meestal op dewebsite/LinkedIn-pagina van de organisatie enwanneer het nodig is, gebruik ik ze. Deze aanpakwerkt het beste bij grotere organisaties. Ook dan ishet zaak dat je wegblijft van de directievloer.”

SchaarsteBij dit principe zijn mensen geneigd om zaken diemoeilijk(er) te verkrijgen zijn, waardevoller in te schatten.Ondanks dat dit principe door een mystery guestbeduidend minder wordt toegepast dan de andere vijfprincipes, wordt het wel degelijk toegepast.

Bij het versturen van phishing e-mails wordt het principeveel gebruikt. Mensen zijn bereid persoonsgegevens af testaan, als ze kans maken op een aanbieding,concertkaartjes of een bijna uitverkocht product.

hoe de zes geheimen van het overtuigen de mystery guest helpen

Fysieke aantrekkingskracht Aantrekkelijke mensen zijn beter in het misleiden van mensen en het veranderenvan de houding van mensen.

Gelijksoortigheid Het blijkt dat mensen eerder geneigd zijn om in te gaan op een verzoek vaniemand die net zo is als hijzelf.

Lof / vleierij Het geven van complimenten kan sympathie opwekken. Een mystery guest pasthier wel mee op, want als het voor de ander niet oprecht aanvoelt, kan het eentegengesteld effect hebben.

Vertrouwen Wanneer het contact onder positieve omstandigheden plaatsvindt, kanherhaaldelijk contact de sympathie bevorderen.

Associatie Wanneer je iemand wilt beïnvloeden, moet je de indruk wekken dat je op diepersoon lijkt. Een social engineer zal zoeken naar overeenkomsten en hieropinspelen.

IB1 Mystery Guest_Opmaak 1 23-01-18 11:55 Pagina 23

toepasbaarheid van de principes is weergegeven met eenscore per branche.

ConclusieWe concluderen dat tijdens het uitvoeren van de mysteryguest-aanvallen alle principes van Cialdini zijn toegepast.Wij kunnen niet zeggen of andere social engineers dezeprincipes op dezelfde wijze toepassen.

We hebben de overtuigingsprincipes effectiever kunnengebruiken bij overheden dan bij commerciële organisaties.Dit kan te maken hebben met de dienstbaarheid vanmedewerkers die bij de overheid werken. De principes‘Wederkerigheid, Commitment, Sociale bewijskracht,Sympathie en Autoriteit’ zijn effectiever bij overheden.‘Schaarste’ is juist doeltreffender bij commerciëleorganisaties. Bij commerciële organisaties is hetpercentage medewerkers dat op een phishing e-mail kliktof een gevonden USB-stick in de computer prikt veel groterdan bij de andere branches.

Gebleken is dat in het onderwijs de principes het minsteffectief zijn. Dit komt mogelijk, doordat het onderwijs eenopen cultuur heeft en erg toegankelijk is. Bij de meesteonderwijsinstellingen loop je direct naar binnen zonder datmen je aanspreekt of tegenhoudt. Dit draagt er,bijvoorbeeld, aan bij dat de principes ‘Sociale bewijskrachten Sympathie’ minder effectief zijn. Uit de analyse isgebleken, dat als scholen wel bewaking entoegangspoorten hebben, de principes ‘Socialebewijskracht en Sympathie’ wel effectief zijn.

Referenties[1] In dit artikel worden de social engineer en mystery guest

aangeduid met hem/hij. Hiermee willen we de vrouwelijke social

engineers/mystery guests niet tekort doen, ook zij zijn zeer

succesvol.

24 InformatieBeveiliging MAGAZINE

hoe de zes geheimen van het overtuigen de mystery guest helpen

“Wij sturen een phishing e-mail naar medewerkers,waarin staat dat de organisatie iets extra’s wil doenvoor de medewerkers vanwege hun inzet deafgelopen periode. Wij lokken de medewerkers metde mededeling dat er een beperkt aantal gratiskaarten beschikbaar is voor een theatervoorstellingin de buurt van de vestigingsplaats van deorganisatie. Wil men gebruik maken van deaanbieding, dan dient men op de link te klikkenvoor meer informatie over data en voorwaarden.”

“Door phishing USB-sticks op parkeerplaatsen teleggen, over hekken bij bedrijven te gooien, op testuren of gewoon rond te laten slingeren, bereik jeveel resultaat. Mensen willen de USB-stick hebbenof kunnen hun nieuwsgierigheid niet bedwingen. Inapril 2017 hebben we een onderzoek gedaan met25 USB-sticks; een derde daarvan is op zakelijkePC’s/laptops aangesloten.”

Cialdini versus mystery guest In dit artikel hebben we met praktijkvoorbeelden laten zienhoe de mystery guest de psychologie van overtuiginginzet. In de afgelopen vijf jaar hebben we als mysteryguests meer dan honderd aanvallen uitgevoerd bijverschillende organisaties. Op basis van de verkregeninformatie hebben we in kaart gebracht of detoepasbaarheid van de overtuigingsprincipes van Cialdinivoor alle organisaties hetzelfde is. Hiervoor hebben we deresultaten van deze principes vergeleken per branche. Wemaken daarbij een onderscheid tussen overheden,commerciële organisaties en onderwijs.

In figuur 2 is per branche onderzocht in welke mate wij deprincipes toepasten (hoe wordt een slachtoffer benaderd)en hoe effectief dit was. Hiervoor hebben wij per brancheminimaal dertig bevindingenrapportages genalyseerd. De

Figuur 2 -Overtuigingsprincipes vanCialdini.]

IB1 Mystery Guest_Opmaak 1 23-01-18 11:55 Pagina 24