Thuiswerkers, pas op voor cybercriminelen: hoe wapent u zich tegen vishing?

Veel mensen werken al maanden thuis door de coronacrisis. Cybercriminelen spelen daarop in. Vishing maakt deel uit van hun aanvalsstrategie. “De criminelen klinken vaak heel geloofwaardig”, zegt Christof Jacques van het cyberbeveiligingsbedrijf Check Point.

Dimitri Dewever

Vishing, een samentrekking van voice en phising, is een vorm van telefoonoplichterij waarbij hackers namen van werknemers, collega’s of zakenpartners gebruiken. Tijdens het gesprek vissen ze naar bedrijfsgevoelige of financiële informatie. Dat kan gaan om bankgegevens, de toegang tot het facturatiesysteem, wachtwoorden voor applicaties of data die ze stelen of blokkeren in ruil voor losgeld. In het jargon heet dat ransomware. Soms verzamelen ze ook inloggegevens om die door te verkopen aan anderen.

De oplichters doen zich meestal voor als iemand van het bedrijf, zoals een medewerker van de financiële, hr- of juridische dienst, of zelfs de CEO. “Omdat ze accentloos Nederlands, Frans of Engels spreken, en heel wat achtergrondinformatie over een medewerker of het bedrijf kennen, klinken ze vaak zeer geloofwaardig”, weet Christof Jacques, beveiligingsexpert bij Check Point, een wereldwijde leverancier van cyberbeveiligingsoplossingen voor overheden en bedrijven. De bellers volgen doorgaans een sterk voorbereid scenario. De informatie die ze gebruiken voor hun telefoonaanvallen komt vaak van publiek toegankelijke internetbronnen.

“Veel mensen smeren hun privéleven breed uit op sociale media zoals Facebook en Twitter, plaatsen reacties op gebeurtenissen of aankondigingen op LinkedIn, of publiceren blogs met persoonlijke of bedrijfsverhalen”, zegt Christof Jacques. Vaak zijn zakencontacten en namen van collega’s ook vrij raadpleegbaar op die sites.

Grote en kleine bedrijven

Eén onachtzaamheid of verspreking op het internet, en cybercriminelen kunnen die inzetten als munitie. Het kan zelfs bedrijven met een ver doorgedreven cybersecurity overkomen. De mens is de zwakste schakel. Tijdens een vishingaanval van afgelopen zomer kon een beller enkele werknemers van het sociale netwerk Twitter ervan overtuigen hem toegang te verlenen tot interne software. De hacker kreeg zo tientallen wereldvermaarde accounts in handen, van onder meer Barack Obama, Joe Biden, Jeff Bezos en Elon Musk. Via gehackte tweets leek het net alsof die hun volgers aanmaanden bitcoins naar een specifiek adres te sturen, in ruil voor een grotere opbrengst. De criminelen versasten het geld naar hun eigen rekening. In enkele uren maakten ze meer dan honderdduizend dollar buit.

Ook kleinere bedrijven kunnen in het vizier komen van goed gecoördineerde cyberaanvallen. Omdat veel mensen momenteel thuis werken, en minder contact met hun collega’s hebben, zijn ze vatbaarder voor telefoonoplichtingen. Check Point merkt een stijging in het aantal meldingen van cyberincidenten bij thuiswerkers. “Sommige criminelen gebruiken verschillende technieken tegelijkertijd of coördineren hun aanvallen in verschillende stadia”, zegt Christof Jacques. “Ze sturen bijvoorbeeld eerst een brief via de post, zoals een factuur. Ze mailen die ook en bellen nadien om de betaling of de verdere afhandeling te regelen. Of ze sturen een mail, een sms en bellen vervolgens. Dat versterkt hun geloofwaardigheid.”

Achter de vishingaanvallen kunnen verschillende criminelenprofielen schuilgaan: van een experimentele student tot een strak georganiseerde internationale bende die op illegale internetfora lokale bellers rekruteert of gespecialiseerde malafide callcenters inhuurt.

Sensibilisering

Werknemers – en zeker telewerkers – moeten leren niet te veel informatie te delen, en om de authenticiteit van degene die hen opbelt voortdurend te controleren, klinkt het. “Zolang er geld mee te verdienen valt, zullen zulke aanvallen blijven bestaan”, zegt Christof Jacques. Ook nieuwe medewerkers zijn een gewilde prooi bij vishingaanvallen. Zij kennen nog maar weinig mensen in de organisatie, en worden door meerdere vertegenwoordigers van het bedrijf gecontacteerd voor technische ondersteuning, hr of door collega’s die ze nog nooit hebben ontmoet.

Zodra de gegevens of het geld zijn buitgemaakt, is dat onomkeerbaar. Bedrijven kunnen alleen de schade nog beperken door zo veel mogelijk wachtwoorden te vernieuwen en het incident te melden. Om de slaagkans van een vishingaanval te minimaliseren, is het voor bedrijven zinvol hun medewerkers te sensibiliseren rond cyberveiligheid. Communiceren over het bestaan van vishingpraktijken kan het besef bij werknemers al vergroten. Maar zo’n bewustmaking mag niet eenmalig gebeuren. “Bedrijven moeten het geheugen van hun mensen geregeld opfrissen”, besluit Christof Jacques. “Alleen zo zullen vishingaanvallen minder succesvol worden.” Bedrijven kunnen zelfs een vishingaanval simuleren, om de waakzaamheid van hun medewerkers te testen.