Nieuws & blogs

Telefonische social engineering: schrikbarend effectief

Als organisatie kan je jezelf beveiligen met alle denkbare technische ICT beveiligingsoplossingen, maar tegen een goede social engineering aanval is geen organisatie 100% beveiligd. Dit bleek ook uit de grootschalige Twitter-hack, waarbij inloggegevens werden gestolen door telefonische phishing. Nu is Twitter een organisatie waarvan je denkt dat het haar medewerkers goed traint in het herkennen van dergelijke phishingaanvallen. Zo blijkt maar weer dat één moment van onoplettendheid genoeg kan zijn en dat het iedereen kan overkomen. Waar mensen werken worden immers fouten gemaakt.

Ook privé wordt telefonische social engineering vaak succesvol toegepast. Wekelijks komen verhalen naar buiten over gigantische bedragen die zijn overgemaakt naar cybercriminelen.

In dit artikel lees je waarom telefonische social engineering zo effectief is, hoe je moet handelen en wat onze ervaringen zijn tijdens onze telefonische phishing onderzoeken.

18 aug Foto van een man die aan het bellen is en daarbij zeer bedenkelijk kijkt


Waarom is telefonische social engineering zo effectief?

Eigenlijk geldt voor alle social engineering methodes hetzelfde: criminelen spelen in op factoren waar mensen gevoelig voor zijn. Deze factoren leggen we uit aan de hand van een voorbeeld waarin de slachtoffers gebeld werden door hun “bank”, waarna ze 50.000 euro overmaakten naar de bankrekening van criminelen.

  • Grote zakelijke of persoonlijke gevolgen: De slachtoffers in het voorbeeld dreigden al hun spaargeld te verliezen.
  • Tijdsdruk: De bank meldde dat criminelen bezig waren met het leeghalen van hun rekening. Snelle actie was vereist om te voorkomen dat de slachtoffers al hun geld zouden kwijtraken.
  • Het uitstralen van autoriteit: Het telefoonnummer waarmee gebeld werd kwam overeen met het fraudenummer van de ING. Dit kennen we als spoofing. De dame deed zich voor als ING-medewerker en klonk heel netjes en overtuigend. De naam die ze gebruikte kwam ook nog eens overeen met een medewerker die daadwerkelijk bij de bank werkt.
  • Goedgelovigheid en behulpzaamheid: Hoewel er enige twijfel was bij de slachtoffers, was de combinatie tussen bovengenoemde factoren doorslaggevend en besloten de slachtoffers het geld uiteindelijk over te maken. Daarnaast ging het over het spaargeld, waar ze jarenlang hard voor gewerkt hadden. Natuurlijk wordt het dan serieus genomen.

Het beeld dat dergelijke scams vanuit een Afrikaans of Aziatisch land geïnitieerd worden is achterhaald. Net zoals in het voorbeeld hierboven zijn de criminelen vriendelijk, behulpzaam en komen ze met een goed onderbouwd verhaal, waardoor men helaas vaak geneigd is om in deze val te trappen.

Wat te doen als je nattigheid voelt?

Zakelijk gezien is het van levensbelang dat de algemene procedures die binnen de organisatie gelden worden opgevolgd. Het is dan wel essentieel dat deze procedures algemeen bekend zijn. Hier ligt voor de organisatie een belangrijke taak.

Een aantal punten die we je willen meegeven:

  • Strikt persoonlijke gegevens zoals wachtwoorden hoef je NOOIT te delen. Instanties zoals banken vragen nooit telefonisch om inloggegevens.
  • Twijfel je? Vraag bijvoorbeeld een collega of gezinslid om verzoeken te dubbelchecken.
  • Bij twijfel kan je aangeven dat je later terugbelt op het algemeen bekende nummer van de persoon of organisatie.
  • Meld verdachte verzoeken ALTIJD binnen je organisatie!

Onze ervaringen

Uit eigen ervaring weten we hoe schrikbarend effectief telefonische social engineering is. Regelmatig vragen organisaties ons om de risico’s in kaart te brengen. Hierbij richten we ons op het achterhalen van wachtwoorden, inloggegevens en vertrouwelijke gegevens, zoals cliëntgegevens.

We bellen vaak als ICT-medewerker met het bericht dat er een systeemupdate is mislukt en dat we van afstand het probleem kunnen verhelpen door even in te loggen. Via LinkedIn verdiepen we ons in de ICT-afdeling en proberen we het vertrouwen van de medewerkers te winnen, vaak met succes.

Onlangs hebben we een onderzoek uitgevoerd waarbij we maar liefst bij 80% van de gebelde personen het wachtwoord wisten te achterhalen. Dit is een extreem geval, maar laat wel zien hoe effectief telefonische phishing is.

Benieuwd naar onze werkwijze en de leukste reacties die we tijdens onze onderzoeken hoorden? Bekijk dan de video. De reacties zijn nagebootst, maar hebben we wel echt gehoord.

Awaretrain en social engineering

Kunnen jouw medewerkers gemanipuleerd worden om vertrouwelijke gegevens af te geven? Test het met één van onze social engineering onderzoeken. Denk aan telefonische phishing of een mystery guest bezoek. Reguliere e-mail of sms phishing is natuurlijk ook mogelijk.

Liever medewerkers trainen in het herkennen en afwenden van social engineering aanvallen? Maak dan eens kennis met ons online trainingsplatform. In meer dan 40 modules, games en kennistesten verhogen we het veiligheidsbewustzijn van je medewerkers.

Interessant? Neem dan eens contact met ons op. Of download onze whitepaper over verschillende social engineering technieken.

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Volg ons!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Collega's weerbaar maken tegen informatiebeveiligingsrisico's 05 dec
Van zwakste schakel naar sterkste schakel in informatiebeveiliging: zo maak je je collega’s weerbaar Lees meer
Black Friday kortingen oplichting 27 nov
Te goed om waar te zijn? 7 tips om oplichting rondom Black Friday kortingen te vermijden Lees meer
Grootste misverstanden in informatiebeveiliging 02 dec
De 10 grootste misverstanden in informatiebeveiliging Lees meer
Bekijk alle blogs