De basistechniek van cybercriminelen
De afgelopen jaren horen we steeds meer over ‘hackers’ – mensen die op schijnbaar magische wijze steeds weer op nieuwe manieren onze persoonlijke gegevens weten te stelen. In nieuwsberichten zien we meldingen over nieuwe vormen van ransomware, phishingPhishing is een type cyberaanval waarbij een cybercrimineel, meestal via e-mail, sms of andere berichtendiensten, contact met je opneemt met het doel je persoonlijke informatie... en andere bedreigingen. Uiteraard zijn er continu nieuwe vormen van malwareKwaadaardige software die aanvallers op een digitaal systeem zetten om er op afstand bij te kunnen, het te vernielen of informatie te stelen. Malware is... om rekening mee te houden, maar de basis achter veelgebruikte technieken is al een aantal jaar hetzelfde. Om de technieken die cybercriminelen gebruiken beter te kunnen herkennen, is het belangrijk om te kijken naar één van de basis begrippen: social engineeringAls een aanvaller iemand misleidt door bijvoorbeeld in te spelen op nieuwsgierigheid of behulpzaamheid. Op deze manier probeert de aanvaller bijvoorbeeld aan informatie te komen....
Wat is social engineering en hoe kun je het herkennen?
Ben je wel eens gebeld door een medewerker van ‘Microsoft’? In een dergelijk gesprek neemt een medewerker, vaak in het Engels, contact op om aan te geven dat jouw PC besmet is met een virusVorm van schadelijke software die men op een computersysteem zet met als doel om het systeem uit te schakelen, te beschadigen of gegevens te stelen..... Uiteraard is deze medewerker ook zo vriendelijk om jou hier direct mee te helpen. Nadat jij de instructies hebt gevolgd om hem of haar op afstand verbinding te laten maken met jouw apparaat, laat de medewerker een aantal schermen zien met een hoop uitroeptekens en rode teksten. Gelukkig kan deze persoon het probleem direct oplossen! Je mag uit een aantal pakketten kiezen om jouw PC op te schonen; de kosten variëren gemiddeld tussen €50 en €300.
Het scenario dat we hierboven omschrijven, is een typisch voorbeeld van social engineeringAls een aanvaller iemand misleidt door bijvoorbeeld in te spelen op nieuwsgierigheid of behulpzaamheid. Op deze manier probeert de aanvaller bijvoorbeeld aan informatie te komen.... Kwaadwillenden maken hierbij gebruik van psychologische manipulatie om andere mensen zo ver te krijgen dat ze persoonlijke informatie delen of zelfs handmatig geld overmaken. Door aan de telefoon te benadrukken dat er direct actie nodig is om schade aan jouw bestanden en computer te voorkomen, spelen aanvallers in op een aantal van onze kwetsbare punten: van angst en vertrouwen tot gewoonten. Het is dus helemaal niet zo vreemd dat je begint te twijfelen of er niet écht iets aan de hand is en misschien ingaat op het verzoek om de beller mee te laten kijken op je computer. Je wil er tenslotte zeker van zijn dat jouw vakantiefoto’s, werkbestanden en de kopie van je paspoort geen gevaar lopen, of erger nog: straks helemaal verdwenen zijn.
De ‘Microsoft’-bellers zijn maar één voorbeeld van hoe social engineeringAls een aanvaller iemand misleidt door bijvoorbeeld in te spelen op nieuwsgierigheid of behulpzaamheid. Op deze manier probeert de aanvaller bijvoorbeeld aan informatie te komen... kan worden toegepast; denk ook aan WhatsApp-fraude, overtuigende phishing e-mails over postbezorging, pinpassen die vervallen en betalingsherinneringen.
Wat kan je doen ter zelfbescherming?
Hoe herken je social engineeringAls een aanvaller iemand misleidt door bijvoorbeeld in te spelen op nieuwsgierigheid of behulpzaamheid. Op deze manier probeert de aanvaller bijvoorbeeld aan informatie te komen... en hoe kun je het beste reageren in zo’n situatie? Hieronder geven we je een aantal tips:
1. Laat niemand zomaar meekijken of jouw apparaat op afstand besturen. Het lijkt misschien gemakkelijk om hier hulp bij te krijgen, maar hierdoor ontstaan er kansen voor kwaadwillenden om informatie te verzamelen of bijvoorbeeld ransomware te installeren.
2. Doe geen betalingen of overschrijvingen zonder hier duidelijke afspraken over te hebben gemaakt met familie of vrienden. WhatsApp-fraude of Vriend-in-nood-fraude is een heel populaire vorm van oplichting. In dit artikel lees je hoe je Whatsapp-fraude kunt herkennen en in dit artikel leggen wij uit wat je kunt doen wanneer je het slachtoffer bent geworden van WhatsApp-fraude.
3. Deel geen persoonlijke gegevens en beperk informatie die op sociale media beschikbaar is. Het klinkt logisch, maar het gaat sneller dan je misschien verwacht. Informatie zoals de naam van je kinderen of ouders, een telefoonnummer dat zichtbaar is op je profiel of een foto van je hele familie met daarin alle accounts van deze personen getagd, geven veel inzage voor kwaadwillenden. Deze informatie kunnen zij vervolgens slim inzetten voor social engineeringAls een aanvaller iemand misleidt door bijvoorbeeld in te spelen op nieuwsgierigheid of behulpzaamheid. Op deze manier probeert de aanvaller bijvoorbeeld aan informatie te komen....
4. Wees waakzaam. Het is vreemd als een bedrijf zelf contact opneemt zonder aanleiding vanaf jouw kant. Bedrijven zoals Microsoft of Apple hebben immers geen toegang tot informatie over jouw apparaat; in dit geval kun je de telefoon dus gelijk ophangen. Belt iemand van een ander bedrijf? Check bij de instantie zelf of de persoon die jou benadert legitiem is en verstrek geen informatie aan deze persoon totdat je dit hebt gedaan.
Veel vormen van social engineeringAls een aanvaller iemand misleidt door bijvoorbeeld in te spelen op nieuwsgierigheid of behulpzaamheid. Op deze manier probeert de aanvaller bijvoorbeeld aan informatie te komen... vallen onder de categorie ‘phishing’. Daarom is het belangrijk om naast de bovenstaande tips ook ons artikel over phishing te lezen. In dit artikel lees je – met behulp van meer voorbeelden – hoe je deze berichten kunt herkennen en wat je kunt doen wanneer je een phishingbericht hebt ontvangen.