Iedereen die een telefoon heeft en oproepen kan ontvangen, is vatbaar voor een voorwendselaanval. Voorwendende aanvallers kunnen u onder valse voorwendselen bellen, zoals doen alsof u van de technische afdeling van een bedrijf bent of een ander team met toegang tot wachtwoorden, om u te manipuleren en informatie te verkrijgen. Deze aanvallers kunnen deze gegevens verkopen of misbruiken, dus u moet uw informatie actief beschermen.
Dus wat is voorspellen? Hoe kun je jezelf beschermen?
Wat is voorwenden?
Voorwenden, een vorm van social engineering, treedt op wanneer een hacker misleidende middelen gebruikt om toegang te krijgen tot een systeem, netwerk of andere informatie. De aanvaller bedenkt een vals scenario, bekend als het voorwendsel, waarbij hij zich voordoet als iemand met ervaring, zoals een IT-personeel, HR-manager of zelfs een overheidsagent. Deze aanval kan online en persoonlijk plaatsvinden.
Pretexting begon in het Verenigd Koninkrijk in de vroege jaren 2000 toen journalisten die op zoek waren naar sappige primeurs over beroemdheden, extreme maatregelen namen om hen te bespioneren. De concurrentie tussen nieuwsmerken was hevig, waardoor journalisten nieuwe manieren bedachten om aan privé-informatie te komen.
Ten eerste was het zo simpel als snuffelen in de voicemail van de beoogde beroemdheid. Voicemails kwamen met een standaardpincode die veel gebruikers niet de moeite namen om te wijzigen, en de journalisten maakten hier misbruik van. Als de standaardpincode was gewijzigd, gingen sommigen zelfs zo ver dat ze hun doelwitten belden en zich voordeden als technici van het telefoonbedrijf. Ze zouden de voicemail-pincodes verkrijgen en toegang krijgen tot informatie die daar verborgen is.
Over het algemeen hebben pretext-scenario's meestal het gevoel dat ze veel urgentie of sympathie van het potentiële slachtoffer vereisen. De aanvallers kunnen e-mails, telefoontjes of sms-berichten gebruiken om in contact te komen met hun doelwitten.
Elementen van een voorwendselaanval
In een pretextscenario zijn er twee hoofdelementen: het "personage" gespeeld door de oplichter en de "plausibele situatie" bedoeld om het doelwit voor de gek te houden door te geloven dat het personage recht heeft op de informatie die zij hebben zijn na.
Stel u voor dat u een transactie probeert te verwerken en dat deze niet doorgaat. Je krijgt de bestelde pizza niet en de online winkel is gesloten. Wat een tegenvaller! Maar dat is niet alles. Een paar minuten later kom je er door een onverklaarbare fout achter dat er van je rekening is afgeschreven.
Kort daarna belt de aanvaller en doet alsof hij een medewerker van de klantenservice van uw bank is. Omdat u een telefoontje verwacht, valt u voor deze plausibele situatie en geeft u uw creditcardgegevens door.
Hoe werkt voorwenden?
Pretexting maakt gebruik van zwakke punten in identiteitsverificatie. Tijdens spraaktransacties is fysieke identificatie bijna onmogelijk, dus nemen instellingen hun toevlucht tot andere methoden om hun klanten te identificeren.
Deze methoden omvatten het vragen om verificatie van geboortedatum, nabestaanden, aantal nakomelingen, contactadres, meisjesnaam moeder of rekeningnummer. De meeste van deze informatie kan online worden verkregen via de sociale media-accounts van het doelwit. Pretexters gebruiken deze informatie om de authenticiteit van hun personage te "bewijzen".
De oplichters gebruiken uw persoonlijke gegevens om u meer gevoelige informatie te laten onthullen die zij kunnen gebruiken. Het verkrijgen van deze persoonlijke informatie vereist zorgvuldig onderzoek, want hoe specifieker de verkregen gegevens zijn, des te meer zult u gedwongen worden om nog waardevollere informatie op te geven.
Oplichters hebben ook andere directe informatiebronnen dan sociale media. Ze kunnen spoof het telefoonnummer of e-mail de domeinnaam van de organisatie die ze nabootsen om meer geloofwaardigheid toe te voegen aan de plausibele situatie die aan het doelwit wordt verkocht.
3 opmerkelijke pretexting-technieken
Er zijn verschillende pretexting-technieken die oplichters en hackers gebruiken om toegang te krijgen tot gevoelige informatie.
1. Vishing en Smishing
Deze technieken lijken erg op elkaar. Vishing-aanvallen omvatten het gebruik van spraakoproepen om een slachtoffer over te halen de informatie op te geven die de oplichter nodig heeft. Smishing-zwendel, aan de andere kant, gebruik SMS of tekstberichten.
Vishing heeft een grotere kans op succes omdat doelwitten eerder sms-berichten negeren dan directe oproepen van ogenschijnlijk essentieel personeel.
2. Aas
Baiting omvat het gebruik van een grote beloning om informatie te verzamelen en kan ook het vervalsen van een betrouwbare bron inhouden.
De oplichter kan zich voordoen als een advocaat die beweert dat u een erfenis heeft van een ver familielid en heeft uw financiële gegevens nodig om de transactie te verwerken. Ook hooggeplaatst personeel van een doelorganisatie kan het slachtoffer zijn.
Een andere veel voorkomende manoeuvre is het afgeven van een envelop met daarin een USB-stick met het logo van het bedrijf en een bericht om aan een urgent project te werken. De flashdrive zou vol zitten met malware die de hackers zouden gebruiken om toegang te krijgen tot de servers van het bedrijf.
3. Scareware
Bij deze methode gebruiken de hackers angst als tactiek. Een opmerkelijk voorbeeld is een pop-up op een onveilige site, die u vertelt dat er een virus op uw apparaat zit en u vervolgens vraagt een antivirusprogramma te downloaden dat eigenlijk malware is. De scareware kan ook worden verspreid via e-mails en links in sms-berichten.
Hoe u uzelf kunt beschermen tegen voorwendsels
Pretext-aanvallen komen zo vaak voor dat er bijna geen manier is om ze volledig te stoppen. Er kunnen echter maatregelen worden genomen om ze aanzienlijk te beteugelen.
Een stap is e-mailanalyse. Als u naar de domeinnaam van een e-mail kijkt, kunt u zien of deze vervalst of echt is. Pretext-aanvallen kunnen dat echter wel vervalste e-maildomeinen dus ziet er bijna identiek uit aan het origineel, waardoor het buitengewoon moeilijk is om deze voorwendsels te herkennen.
Maar met de vooruitgang van complexe AI-technologie is e-mailanalyse toegankelijker geworden. AI kan nu phishing-patronen herkennen en zoek naar tekenen van voorwendsel. Het kan anomalieën in het verkeer en vervalste weergavenamen van e-mails identificeren, evenals zinsdelen en tekst die veel voorkomen bij voorwendselaanvallen.
Gebruikerseducatie is natuurlijk essentieel. Niemand mag om uw bankwachtwoord, creditcardpincode of serienummer vragen. U dient een verzoek hieromtrent onmiddellijk te melden aan de bevoegde autoriteiten. Verder uw familie, vrienden en werknemers eraan herinneren om niet op onbekende links te klikken en deze te vermijden het bezoeken van onveilige websites kan voldoende zijn om te voorkomen dat malware uw bedrijf binnendringt servers.
Trap niet in het voorwenden van oplichting
Een smoesoperatie uitvissen is misschien niet eenvoudig, maar er zijn eenvoudige stappen die u kunt nemen om te voorkomen dat u het slachtoffer wordt. Klik niet op links op onveilige websites en geef uw inloggegevens aan niemand door. Er zijn geverifieerde klantenservicelijnen op het online platform van uw bank. Wanneer een medewerker van de klantenservice contact met u opneemt, zorg er dan voor dat de nummers overeenkomen met de officiële lijn.