Veel mensen werken al maanden thuis door de coronacrisis. Cybercriminelen spelen daarop in. Vishing maakt deel uit van hun aanvalsstrategie. “Zulke criminelen klinken vaak heel geloofwaardig”, zegt Christof Jacques van het cyberbeveiligingsbedrijf Check Point.
Vishing, een samentrekking van voice en phishing, is een vorm van telefoonoplichting waarbij hackers namen van werknemers, collega’s of zakenpartners gebruiken. Tijdens het gesprek vissen ze naar bedrijfsgevoelige of financiële informatie. Dat kan gaan om bankgegevens, de toegang tot het facturatiesysteem, wachtwoorden voor applicaties of data die ze stelen of blokkeren in ruil voor losgeld. In het jargon heet dat laatste ransomware. Soms verzamelen ze ook inloggegevens om die door te verkopen aan anderen.
Ze sturen eerst een brief, zoals een factuur. Ze mailen die ook en bellen nadien om de betaling te regelen. Dat versterkt hun geloofwaardigheid’ Christof Jacques, Check Point
De oplichters doen zich meestal voor als iemand van het bedrijf, zoals een medewerker van de financiële, hr- of juridische dienst, of zelfs de CEO. “Omdat ze accentloos Nederlands, Frans of Engels spreken en heel wat achtergrondinformatie over een medewerker of het bedrijf kennen, klinken ze vaak heel geloofwaardig”, weet Christof Jacques, beveiligingsexpert bij Check Point, een wereldwijde leverancier van cyberbeveiligingsoplossingen voor overheden en bedrijven. De bellers volgen doorgaans een sterk voorbereid scenario. De informatie die ze gebruiken voor hun telefonische aanvallen komt vaak van publiek toegankelijke internetbronnen.
“Veel mensen smeren hun privéleven breed uit op sociale media, plaatsen reacties op gebeurtenissen of aankondigingen op LinkedIn, of publiceren blogs met persoonlijke of bedrijfsverhalen”, zegt Christof Jacques. Vaak zijn zakencontacten en namen van collega’s vrij raadpleegbaar op die websites.
Grote en kleine bedrijven
Eén onachtzaamheid kan voor cybercriminelen genoeg zijn om die informatie te gebruiken als munitie. Het kan zelfs ondernemingen met een ver doorgedreven cybersecurity overkomen. De mens is de zwakste schakel. Tijdens een vishingaanval van afgelopen zomer kon een beller enkele werknemers van het sociale netwerk Twitter ervan overtuigen hem toegang te verlenen tot interne software. De hacker kreeg zo tientallen wereldvermaarde accounts in handen, onder meer van Barack Obama, Joe Biden, Jeff Bezos en Elon Musk. Via gehackte tweets leek het alsof die hun volgers aanmaanden bitcoins naar een specifiek adres te sturen, in ruil voor een grotere opbrengst. De criminelen versluisden het geld naar hun eigen rekening. In enkele uren maakten ze meer dan honderdduizend dollar buit.
Ook kleine bedrijven kunnen in het vizier van goed gecoördineerde cyberaanvallen komen. Omdat veel mensen thuis werken en minder contact met hun collega’s hebben, zijn ze vatbaarder voor telefoonoplichting. Check Point merkt een stijging van het aantal meldingen van cyberincidenten bij thuiswerkers. “Sommige criminelen gebruiken verschillende technieken tegelijkertijd of coördineren hun aanvallen in verschillende stadia”, zegt Christof Jacques. “Ze sturen bijvoorbeeld eerst een brief via de post, zoals een factuur. Ze mailen die ook en bellen nadien om de betaling of de verdere afhandeling te regelen. Of ze sturen een mail, een sms en bellen vervolgens. Dat versterkt hun geloofwaardigheid.”
Achter de vishingaanvallen kunnen verschillende criminelenprofielen schuilgaan: van een experimenterende student tot een strak georganiseerde internationale bende die op illegale internetfora lokale bellers rekruteert of gespecialiseerde malafide callcenters inhuurt.
Geheugen opfrissen
Werknemers – en zeker telewerkers – moeten leren niet te veel informatie te delen en de identiteit van degenen die hen opbellen voortdurend te controleren, benadrukt Jacques. “Zolang er geld mee te verdienen valt, zullen zulke aanvallen blijven bestaan.” Ook nieuwe medewerkers zijn een gewilde prooi van vishingaanvallen. Zij kennen nog maar weinig mensen in de organisatie en worden gecontacteerd door meerdere mensen die zich uitgeven voor personeelsleden van het bedrijf die ze nog nooit hebben ontmoet, bijvoorbeeld voor technische ondersteuning.
Zodra de gegevens of het geld zijn buitgemaakt, is dat onomkeerbaar. Bedrijven kunnen de schade alleen nog beperken door zo veel mogelijk wachtwoorden te vernieuwen en het incident te melden. Om de slaagkans van een vishingaanval te minimaliseren, is het voor bedrijven zinvol hun medewerkers te sensibiliseren rond cyberveiligheid. Communiceren over het bestaan van vishingpraktijken kan het besef bij werknemers al vergroten. Maar die bewustmaking mag niet eenmalig zijn. “Bedrijven moeten het geheugen van hun mensen geregeld opfrissen”, besluit Christof Jacques. “Alleen zo hebben vishingaanvallen minder kans op slagen.” Bedrijven kunnen zelfs een vishingaanval simuleren, om de waakzaamheid van hun medewerkers te testen.
5 tips om zich te wapenen
1. Deel niet te veel
Geef nooit persoonlijke informatie of contactgegevens van collega’s door over de telefoon, tenzij u absoluut zeker weet met wie u spreekt. Wees extra op uw hoede als het gesprek over betalingsdetails gaat.
2. Controleer de echtheid
Bent u onzeker over de identiteit van de beller? Vraag dan zijn of haar nummer, en zeg dat u later op de dag terugbelt. Zo heeft u voldoende tijd om het telefoonnummer online op te zoeken, of het even af te toetsen met een collega.
3. Activeer geen over- schrijvingen via de telefoon
Ga nooit in op voorstellen van een beller om via de telefoon overschrijvingen of virtuele betalingen uit te voeren.
4. Blijf waakzaam
Hoe alerter u bent voor dat soort oplichterij, hoe kleiner de kans dat u er het slachtoffer van wordt. Wees dus altijd op uw hoede.
5. Meld verdachte telefoontjes en e-mails
Meld verdachte oproepen of fraudepogingen zo snel mogelijk. Intern in het bedrijf, of als het van toepassing is bij uw financiële instelling, en bij het Federal Cyber Emergency Team van de overheid (www.cert.be).
Fout opgemerkt of meer nieuws? Meld het hier