Blog
Social engineering, voorkom dat je erin trapt!
Intro
Bij social engineering proberen cybercriminelen vertrouwelijke informatie in handen te krijgen of zich toegang te verschaffen waarbij zij gebruik maken van technieken en psychologische beïnvloeding. Doel is je te bewegen om handelingen te verrichten, zoals het afgeven van persoonlijke gegevens, beveiligingscodes of
creditcardgegevens waarmee de crimineel direct of indirect toegang heeft tot jouw bankrekening. In deze blog gaat het over de combinatie van social engineering
methoden.
De mens als zwakste schakel
Cybercriminelen jagen constant op de enige kwetsbaarheid die niet kan worden hersteld: de mens. En omdat de mens emoties heeft als nieuwgierigheid, angst en vertrouwen, weten criminelen dit haarfijn te gebruiken in hun beïnvloeding technieken. De uitspraak dat alleen maar oudere goedgelovige mensen slachtoffer worden is inmiddels achterhaald. Veel hoog opgeleide mensen trappen eveneens in de sluwe technieken. Cybercriminelen ‘hacken’ als het ware de psyche van de mens en zijn experts in het maskeren, manipuleren en beïnvloeden hun slachtoffers. Op deze manier verkrijgen zij toegang tot informatie die de mogelijkheid biedt om bijvoorbeeld geld over te maken naar eigen rekeningen.
Corona als kans voor criminelen
Juist nu de meeste mensen worden geconfronteerd met angsten en zorgen over het COVID-19-virus en veel mensen hierdoor thuis werken, zien Cybercriminelen hun kans schoon om persoonlijke informatie afhandig te maken door gebruik te maken van social engineerings-technieken via e-mail, sms, whats app en telefoon. Sinds de corona crisis is er een aanzienlijke toename in het aantal pogingen om nietsvermoedende slachtoffers naar kwaadaardige sites te lokken, op kwaadaardige links te laten klikken of persoonlijke informatie te laten verstrekken via telefoon.
Combinatie phising door sms, whats app en spoofing
Door gebruik te maken van een combinatie van methoden vergroten Cybercriminelen hun kans op succes. Een strategie waar veel gedupeerden geen verweer tegen hebben is de combinatie van phishing en spoofing. Hoe gaat een crimineel nu te werk?
De eerste stap is het sturen van een whats app of sms met een bericht wat impulsief gedrag uitlokt. Dit betekent dus geen bericht waarover je gaat nadenken, analyseren en overwegen, maar een bericht dat direct het emotionele brein in werking zet. Veelal is dit bijvoorbeeld dat je bankrekening om een bepaalde reden geblokkeerd wordt als je geen actie verricht. Als je wilt dat er geen blokkade komt, is de boodschap dat je dient je in te loggen om dit te voorkomen. Stel dat het bericht angst heeft opgeroepen, je clickt om in te loggen, dan kom je in werkelijkheid op
een nagebootste website van criminelen die, met de door jou ingetoetste inloggegevens, jouw bankrekening kunnen inzien. Op deze manier hebben zij veel gegevens in handen om bij de volgende actie vertrouwen te wekken.
Niet veel later word je gebeld met een gespooft nummer, waarbij de beller zich voordoet als een medewerker van de bank die vraagt of je wellicht per ongeluk op een link van een sms of whatts app hebt geklikt. De beller geeft hierbij aan dat criminelen zich hierbij toegang hebben verschaft tot jouw rekening en deze nu proberen leeg te halen. Daarnaast probeert de beller/crimineel hierbij extra vertrouwen te creëren door het huidige saldo van jouw rekening te benoemen, de laatste betaling etc. Als het principe van ’the bad and the good guy’ werkt, ’helpt’ de vermomde crimineel je met de stappen die je moet uitvoeren om direct het bedrag van je rekening veilig te stellen op diverse tijdelijke kluisrekeningen. Overigens heeft de crimineel ook een rustige vertrouwen wekkende stem met op de achtergrond geluiden van kantoormedewerkers om de omgeving zo realistisch mogelijk na te bootsen.
Nadat je je hebt laten ‘helpen’ bij het uitvoeren van de stappen zoals ook het verstrekken van de autorisatiecode, is het kwaad geschied. Het bedrag is niet op een veilige kluis terecht gekomen, maar op rekeningen van diverse geldezels die op hun beurt het bedrag van de rekening pinnen.
Hoe voorkomen?
1. Tel tot 10 als je een link ziet waarop je wilt klikken.
2. Realiseer je dat je nooit door een bank of instantie wordt gebeld om direct een actie te
verrichten.
3. Kijk regelmatig naar consumentenprogramma’s waarbij het gaat over cybercriminaliteit.
4. Kijk op de website van de fraudehelpdesk.
5. Kijk daarna op de website van https://www.politie.nl/themas/cybercrime.html voor meer
bruikbare tips tegen cybercriminaliteit.
Kenniscentrum
Lees meer blogs
Blog
Social engineering, trap er niet in
Blog
Kenmerken phishing E-mails
Blog
Identiteitsdiefstal