Vishing, een samentrekking van voice en phishing, is een vorm van telefoonoplichting waarbij hackers namen van werknemers, collega's of zakenpartners gebruiken. Tijdens het gesprek vissen ze naar bedrijfsgevoelige of financiële informatie. Dat kan gaan om bankgegevens, de toegang tot het facturatiesysteem, wachtwoorden voor applicaties of data die ze stelen of blokkeren in ruil voor losgeld. In het jargon heet dat laatste ransomware. Soms verzamelen ze ook inloggegevens om die door te verkopen aan anderen.
...

Vishing, een samentrekking van voice en phishing, is een vorm van telefoonoplichting waarbij hackers namen van werknemers, collega's of zakenpartners gebruiken. Tijdens het gesprek vissen ze naar bedrijfsgevoelige of financiële informatie. Dat kan gaan om bankgegevens, de toegang tot het facturatiesysteem, wachtwoorden voor applicaties of data die ze stelen of blokkeren in ruil voor losgeld. In het jargon heet dat laatste ransomware. Soms verzamelen ze ook inloggegevens om die door te verkopen aan anderen. De oplichters doen zich meestal voor als iemand van het bedrijf, zoals een medewerker van de financiële, hr- of juridische dienst, of zelfs de CEO. "Omdat ze accentloos Nederlands, Frans of Engels spreken en heel wat achtergrondinformatie over een medewerker of het bedrijf kennen, klinken ze vaak heel geloofwaardig", weet Christof Jacques, beveiligingsexpert bij Check Point, een wereldwijde leverancier van cyberbeveiligingsoplossingen voor overheden en bedrijven. De bellers volgen doorgaans een sterk voorbereid scenario. De informatie die ze gebruiken voor hun telefonische aanvallen komt vaak van publiek toegankelijke internetbronnen. "Veel mensen smeren hun privéleven breed uit op sociale media, plaatsen reacties op gebeurtenissen of aankondigingen op LinkedIn, of publiceren blogs met persoonlijke of bedrijfsverhalen", zegt Christof Jacques. Vaak zijn zakencontacten en namen van collega's vrij raadpleegbaar op die websites. Eén onachtzaamheid kan voor cybercriminelen genoeg zijn om die informatie te gebruiken als munitie. Het kan zelfs ondernemingen met een ver doorgedreven cybersecurity overkomen. De mens is de zwakste schakel. Tijdens een vishingaanval van afgelopen zomer kon een beller enkele werknemers van het sociale netwerk Twitter ervan overtuigen hem toegang te verlenen tot interne software. De hacker kreeg zo tientallen wereldvermaarde accounts in handen, onder meer van Barack Obama, Joe Biden, Jeff Bezos en Elon Musk. Via gehackte tweets leek het alsof die hun volgers aanmaanden bitcoins naar een specifiek adres te sturen, in ruil voor een grotere opbrengst. De criminelen versluisden het geld naar hun eigen rekening. In enkele uren maakten ze meer dan honderdduizend dollar buit. Ook kleine bedrijven kunnen in het vizier van goed gecoördineerde cyberaanvallen komen. Omdat veel mensen thuis werken en minder contact met hun collega's hebben, zijn ze vatbaarder voor telefoonoplichting. Check Point merkt een stijging van het aantal meldingen van cyberincidenten bij thuiswerkers. "Sommige criminelen gebruiken verschillende technieken tegelijkertijd of coördineren hun aanvallen in verschillende stadia", zegt Christof Jacques. "Ze sturen bijvoorbeeld eerst een brief via de post, zoals een factuur. Ze mailen die ook en bellen nadien om de betaling of de verdere afhandeling te regelen. Of ze sturen een mail, een sms en bellen vervolgens. Dat versterkt hun geloofwaardigheid." Achter de vishingaanvallen kunnen verschillende criminelenprofielen schuilgaan: van een experimenterende student tot een strak georganiseerde internationale bende die op illegale internetfora lokale bellers rekruteert of gespecialiseerde malafide callcenters inhuurt. Werknemers - en zeker telewerkers - moeten leren niet te veel informatie te delen en de identiteit van degenen die hen opbellen voortdurend te controleren, benadrukt Jacques. "Zolang er geld mee te verdienen valt, zullen zulke aanvallen blijven bestaan." Ook nieuwe medewerkers zijn een gewilde prooi van vishingaanvallen. Zij kennen nog maar weinig mensen in de organisatie en worden gecontacteerd door meerdere mensen die zich uitgeven voor personeelsleden van het bedrijf die ze nog nooit hebben ontmoet, bijvoorbeeld voor technische ondersteuning. Zodra de gegevens of het geld zijn buitgemaakt, is dat onomkeerbaar. Bedrijven kunnen de schade alleen nog beperken door zo veel mogelijk wachtwoorden te vernieuwen en het incident te melden. Om de slaagkans van een vishingaanval te minimaliseren, is het voor bedrijven zinvol hun medewerkers te sensibiliseren rond cyberveiligheid. Communiceren over het bestaan van vishingpraktijken kan het besef bij werknemers al vergroten. Maar die bewustmaking mag niet eenmalig zijn. "Bedrijven moeten het geheugen van hun mensen geregeld opfrissen", besluit Christof Jacques. "Alleen zo hebben vishingaanvallen minder kans op slagen." Bedrijven kunnen zelfs een vishingaanval simuleren, om de waakzaamheid van hun medewerkers te testen.