E-mailbeveiliging en de psychologie van vertrouwen: waarom gebruikers een verloren spel spelen

Het definiëren van impliciet en routinematig vertrouwen

Afhankelijkheid is een essentieel onderdeel van de vertrouwensrelatie. Het in staat zijn om een routine van vertrouwen op te bouwen, gebaseerd op het behouden van vertrouwen in plaats van het vestigen van vertrouwen, wordt na verloop van tijd impliciet in het dagelijks leven. Het worden gewoontes. Beslissingen op basis van impliciet vertrouwen worden niet actief, maar passief genomen. Passieve cognitie kan echter zorgen voor onoplettende blindheid, waarbij het individu zich abstract bewust is van zijn keuze, maar het is niet de focus van hun denkproces of wordt niet actief erkend als een beslissing.

Vertrouwen en technologie

Dezelfde impliciete vertrouwenssystemen die ons in staat stellen om tussen sociale interacties te navigeren, hebben ook betrekking op onze interacties met technologie. Vooral het principe van afhankelijkheid is hier belangrijk, omdat de moderne mens volledig afhankelijk is van technologie en er dus niet omheen kan om hierop te vertrouwen. Werknemers hebben bijvoorbeeld te maken met verschillende technologieën, apparaten en diensten waar ze dagelijks mee moeten communiceren. Na verloop van tijd ontstaat hetzelfde impliciete vertrouwen tussen de gebruiker en de technologie. Het belangrijkste verschil tussen interpersoonlijk vertrouwen en technologisch vertrouwen is dat bedrog vaak veel moeilijker te identificeren is.

Impliciet vertrouwen in werkplektechnologie

Organisaties vertrouwen op IT-leveranciers voor de werking (en vaak de beveiliging) van hun apparaten. Zij vertrouwen er ook op dat hun werknemers (gebruikers) die technologieën gebruiken binnen het geaccepteerde beleid en de operationele richtlijnen. Medewerkers vertrouwen er op hun beurt op dat hun organisatie bepaalt welke producten en diensten veilig of onveilig zijn.

Impliciet vertrouwen komt voor in elke laag van de organisatie, maar vaak wordt de keuze voor vertrouwen alleen jaarlijks gemaakt door een klein beveiligingsteam in plaats van voortdurend te worden geëvalueerd. Systemen en programma’s worden vaak jaren gebruikt omdat ‘het altijd zo is geweest’, Binnen deze context is uitbuiting van dat vertrouwen door cybercriminelen enorm lastig te identificeren.

Veel organisaties gebruiken bijvoorbeeld e-mailcommunicatie om software-updates te promoten. Meestal bestaat dit uit e-mails waarin werknemers wordt gevraagd om nieuwe softwareversies direct van leveranciers of van openbare marktplaatsen, zoals de App Store of Microsoft Store, bij te werken. Als dat soort e-mails worden nagebootst zou er geen reden zijn voor de werknemer om die e-mail in twijfel te trekken, gezien het vertrouwen dat bestaat door het gewone gebruik van die dienst of dat programma.

Onoplettende blindheid: hoe de hersenen verandering negeren

Gebruikers zijn geneigd om routinematig gebruikte technologieën en diensten te vertrouwen. Veranderingen in deze technologieën kunnen leiden tot onoplettende blindheid, een fenomeen waarbij de hersenen sensorische informatie overschrijven met wat de hersenen verwachten te zien in plaats van wat daadwerkelijk wordt waargenomen. Een goed voorbeeld is dit bekende experiment. Het benadrukt hoe belangrijke details door de hersenen over het hoofd kunnen worden gezien.

Hoe kunnen we gebruikers nog voorbereiden op een schending van dat vertrouwen of hen ervan bewust maken wanneer hun hersenen onbewust vertrouwensbeslissingen nemen en signalen negeren die een verandering suggereren?

Hoe cybercriminelen misbruik maken van ons impliciete vertrouwen in technologie

De meeste cybercriminelen zijn erop uit om het impliciete vertrouwen dat mensen in technologie hebben uit te buiten. Het meest voorkomende voorbeeld hiervan is spoofing. Spoofing is het nabootsen van een vertrouwde gebruiker of dienst. Het kan op verschillende manieren worden opgezet, zoals het maken van een nepdomein van een vertrouwde leverancier, zoals Microsoft, of een nep e-mailaccount dat lijkt op iemand van HR of iemand van het IT- of beveiligingsteam.

Gebruikers worden bijvoorbeeld aangespoord om instructies op te volgen van een geaccepteerde autoriteit of serviceprovider, wiens acties normaal gesproken moeten worden nageleefd. Deze gevallen zijn vaak moeilijk te herkennen wanneer alleen het adres van de afzender of de tekst van de e-mail wordt bestudeerd, en het is nog lastiger te detecteren of een account gecompromitteerd is.

Hoe kunnen oplossingen voor e-mailbeveiliging het probleem van impliciet vertrouwen oplossen?

Hoe kunnen organisaties dreigingen verminderen die zijn ontworpen om impliciet vertrouwen uit te buiten? Het antwoord is door e-mailbeveiligingsoplossingen te gebruiken die werken op basis van gedragsanalyse via anomaliedetectie, in plaats van traditionele e-mailgateways.

Anomatiedetectie, dat mogelijk wordt gemaakt door machine learning en artificial intelligence (AI), verwijdert de onoplettende blindheid van menselijke gebruikers en maakt het mogelijk om afwijkingen van de norm effectief te identificeren. Het gebruik van anomaliedetectie vermindert de impact van menselijke bias, waardoor dreigingen effectiever geïdentoficeerd kunnen worden, hoe nieuw of slim verpakt ook.

Machine learning bootst de voordelen van menselijke besluitvorming na en maakt het mogelijk om patronen te identificeren en informatie te categoriseren zonder framing en vooroordelen. Stel bijvoorbeeld dat je een slim geschreven e-mail ontvangt die wordt verzonden vanaf een adres dat een aan Microsoft gelieerde organisatie lijkt te zijn. Hierin wordt gesuggereerd dat software gepatcht moet worden vanwege de ontdekking van een nieuwe kwetsbaarheid. De afzender lijkt legitiem en er circuleren nieuwsberichten over deze kwetsbaarheid. Als er op de link wordt geklikt, wordt de gebruiker echter doorgestuurd naar een (vervalste) inlogpagina om hun Microsoft-referenties te verifiëren voordat een nieuwe versie van de software kan worden gedownload. Wanneer een gebruiker dit programma installeert, heeft de cybercrimineel toegang tot de inloggegevens van de gebruiker en kan het malware activeren als de software is gedownload.

Door het impliciet vertrouwen in Microsoft-services is er een grote kans dat gebruikers ingaan op deze e-mail in plaats van deze in twijfel te trekken. Op anomaliedetectie-gebaseerde e-mailbeveiliging zou deze e-mail wel in twijfel trekken omdat het afwijkingen ziet, zoals het feit dat deze e-mail verstuurd wordt vanaf een IP-adres dat geen eigendom is van Microsoft. De taal kan duiden op een verzoek, een poging om de gebruiker te verleiden tot actie, en de link kan worden gemarkeerd omdat deze een verborgen omleiding of op maat gemaakte informatie bevat die de gebruiker niet kan zien omdat deze bijvoorbeeld verborgen is onder de tekst ‘klik hier’ of achter een verkorte link. Al deze informatie is aanwezig en vindbaar in de phishing-e-mail, maar vaak onzichtbaar voor menselijke gebruikers vanwege de vertrouwensbeslissingen die maanden of zelfs jaren geleden zijn genomen voor deze bekende producten en diensten.

AI gedreven e-mailbeveiliging is de toekomst

E-mailbeveiligingsoplossingen die gebruikmaken van anomaliedetectie zijn cruciale wapens voor beveiligingsteams in de strijd tegen cyberaanvallen, die elk jaar geavanceerder worden. De aard van de technologie, in combinatie met onze enorme afhankelijkheid hiervan, zorgt ervoor dat ons impliciete vertrouwen steeds meer zal worden uitgebuit. De veranderende aard van phishing en social engineering, mogelijk gemaakt door generatieve AI, is slechts een druppel in de oceaan van de mogelijke dreigingen waarmee organisaties worden geconfronteerd. Anomaliedetectie en AI-gestuurde e-mailbeveiliging zijn de meest praktische oplossingen voor beveiligingsteams die gericht zijn op het voorkomen, detecteren en beperken van gebruikers- en technologietargeting waarbij misbruik wordt gemaakt van ons vertrouwen.

Door: Hanah Darley, Head of Threat Research bij Darktrace