Baiting

Baiting wordt in het nederlands vertaald naar ‘lokaas’. Dit lokaas zetten criminelen in bij social engineering of phishing om hun doelwit over te halen tot een bepaalde actie.

Hoe werkt baiting?

Criminelen proberen vaak op sluwe manieren toegang te krijgen tot informatie. Informatie die vaak achter slot en grendel ligt, maar waar personen wel toegang tot hebben. Ze zetten baiting in om hun doelwit een bepaalde actie uit te laten voeren. Denk bijvoorbeeld aan het delen van wachtwoorden, pincodes of identiteitsbewijzen. Criminelen maken hierbij gebruik van psychologische triggers en spelen in op menselijke emoties.

Eigenlijk werkt baiting hetzelfde als het gebruiken van lokazen tijdens het vissen: wanneer de visser een aantrekkelijk lokaas aan zijn hengel hangt, hapt de juiste vis vanzelf toe. Zo gemakkelijk kan dat ook gaan met mensen. Kijk maar naar de verschillende vormen en voorbeelden van baiting hieronder:

Verschillende vormen van baiting

Baiting komt voor in verschillende vormen. Afhankelijk van de aanpak van phishing of social engineering, kiest een crimineel voor een bepaald lokaas. Hieronder delen we enkele bekende vormen van baiting:

  • Prijzen en gratis producten
  • Spoofing
  • Urgentie

Prijzen en gratis producten

Criminelen verleiden slachtoffers met de boodschap dat ze een gratis product hebben gewonnen zoals gratis software, een exclusief abonnement of een cadeaukaart. In andere gevallen feliciteren ze slachtoffers met het winnen van een prijsvraag of wedstrijd. Deze prijsvragen en wedstrijden bestaan vaak niet en de gratis producten worden in deze gevallen nooit geleverd. In plaats daarvan installeert het slachtoffer kwaadaardige software of deelt men onbewust persoonlijke informatie met criminelen.

Voorbeeld van baiting met prijzen en gratis producten: 

baiting voorbeeld met prijzen en gratis producten

Spoofing

De identiteit van een vertrouwd persoon of bekende organisatie wordt aangenomen om geloofwaardig over te komen bij het slachtoffer. Voorbeelden hiervan zijn nepmails van de bank of valse telefoontjes van de overheid. Hiervoor kopiëren criminelen herkenbare elementen zoals logo’s, kleuren, namen en opmaak van mails. Dit lokaas wordt vaak gebruikt bij phishing.

Een voorbeeld van baiting met spoofing:

Baiting met spoofing

Urgentie

Een van de meest succesvolle en bekende tactieken is het uitvoeren van urgentie. Het slachtoffer wordt onder druk gezet met een kort tijdslimiet. Hierdoor is er weinig tijd om logisch na te denken, alle controles uit te voeren of het bericht voor te leggen bij een ander persoon. Voorbeelden hiervan zijn onder andere: een beveiligingsmelding, een factuur die nog niet betaald is en een account dat dreigt te bevriezen.

Een voorbeeld van baiting met urgentie:

Baiting met urgentie

Angst

Angst is een primaire emotie waar wij als mensen erg vatbaar voor zijn. Criminelen zetten angstaanjagende berichten in om het slachtoffer bang te maken. Vaak hangt er een negatieve consequentie vast aan dit angstaanjagende bericht, waardoor het slachtoffer weinig ruimte voelt voor alternatieven. Wees behoedzaam met zinnen als “installeer deze nieuwe beveiligingsupdate, anders lopen je gegevens gevaar” of “als je de betaling vandaag niet overmaakt, riskeer je een boete” .

Voorbeeld van baiting met angst:

Baiting angst

De gevaren van baiting

Het grootste gevaar van baiting is dat het in veel gevallen erg geloofwaardig overkomt. Door verschillende vormen en technieken toe te passen, wordt het doelwit (veelal) onbewust beïnvloed.

De schade kan ontzettend groot zijn als de aanval is gelukt. Denk hierbij aan:

  • Financiele schade
  • Reputatieschade
  • Juridische problemen

Train je medewerkers in het herkennen van baiting

Herkennen jouw collega’s phishing of zullen ze toehappen bij een van bovengenoemde vormen van baiting? Train je collega’s en verklein de risico's op cyberincidenten en datalekken. Maak nu een gratis testaccount aan en maak vrijblijvend kennis met Awaretrain, hét security awareness platform waarmee jij jouw collega’s bewust maakt. Begin vandaag nog met het trainen van je collega’s en het verzenden van phishingsimulaties.

+31 (0)88 018 16 00 info@awaretrain.com