Waarom telefonische phishing nog altijd uiterst effectief is

07 jun 2018
Bij telefonische phishing, of voice phishing, proberen wij uw medewerkers te manipuleren om vertrouwelijke gegevens af te geven

Zijn uw medewerkers te manipuleren? test het met een social engineering onderzoek.

Hoe goed een organisatie ook technisch beveiligd is, tegen een goede social engineering aanval is geen organisatie 100% beveiligd. Criminelen richten zich hierbij op de werknemers en proberen hen te misleiden. Ook zijn mensen in privésituaties vaak het doelwit. De mens speelt dus een gigantisch grote rol in cybersecurity. Vooral tijdens de zomermaanden zijn social engineering aanvallen populair. De human hackers spelen dan in op de afwezigheid van personeel. Een veelgebruikte methode van criminelen is om mensen telefonisch te misleiden en hen bepaalde gegevens te laten delen en handelingen te laten verrichten. In deze blog alles over telefonische phishing, waarom het zo effectief is en wat je moet doen.

Waarom werkt het?

In principe geldt voor alle social engineering methodes hetzelfde: criminelen spelen in op factoren waar mensen gevoelig voor zijn:

  • Zakelijke of persoonlijke gevolgen door dreigementen
  • Tijdsdruk (directe actie nodig want anders gaat een bepaalde deal niet door)
  • Goedgelovigheid en behulpzaamheid van mensen
  • Het uitstralen van autoriteit (bijvoorbeeld de CEO. Wordt vaak gebruikt bij grote organisaties, want daar is contact tussen werknemers en de CEO schaars)

Criminelen die telefonische phishing als methode gebruiken komen echt niet alleen uit Afrikaanse of Aziatische landen. Door mensen netjes te benaderen, hun vertrouwen te winnen door een goed onderbouwd verhaal te gebruiken en gebruik te maken van bovenstaande factoren is men vaak geneigd om in deze frauduleuze val te trappen.

Wat te doen als je nattigheid voelt?

Maar zeker ook wanneer je geen nattigheid voelt en er van overtuigd bent dat het om een legitiem verzoek gaat zonder kwade bedoelingen: volg altijd de procedures die jouw organisatie heeft opgesteld bij telefonische verzoeken, zoals bij het delen van persoonlijke gegevens, het wijzigen van bankgegevens of het doen van transacties. Wijk hier nooit van af, ook al belt iemand van het hoger management. Een aantal punten die we je willen meegeven zijn:

  1. Strikt persoonlijke gegevens zoals wachtwoorden hoef je NOOIT te delen.
  2. Twijfel je? Vraag bijvoorbeeld een collega om verzoeken te dubbelchecken.
  3. Geef bij verdachte verzoeken aan dat je terugbelt op het algemeen bekende nummer van de persoon of organisatie die belt.
  4. Meld verdachte verzoeken ALTIJD!

Voor organisaties is het belangrijk dat zij zorgen dat de medewerkers adequate kennis hebben van de technieken die criminelen gebruiken om organisaties te duperen. Bewustwording is hier essentieel. Vaak zien we dat organisaties pas actie ondernemen als er zich een incident heeft plaatsgevonden. Wees criminelen dus een stap voor door personeel goed op te leiden, want het kan elke organisatie en elke persoon een keer overkomen.

Onze ervaringen

Wij helpen regelmatig organisaties bij het in kaart brengen van de risico’s van telefonische phishing. Hierbij richten we ons op het achterhalen van wachtwoorden, inloggegevens en vertrouwelijke informatie, zoals bijvoorbeeld cliëntgegevens. We bellen vaak als ICT-medewerker met het bericht dat er een systeemupdate is mislukt en dat wij van afstand het probleem kunnen verhelpen. Door eventueel openbaar te vinden informatie te gebruiken, zoals het achterhalen van de ICT-manager via LinkedIn, winnen we het vertrouwen van de medewerker en zijn we in veel gevallen in staat om inloggegevens te achterhalen. Bekijk onderstaande video voor een impressie van onze werkwijze. Per organisatie kijken we natuurlijk welke aanpak het beste past.

Onlangs hebben we een onderzoek uitgevoerd waarbij we maar liefst bij 80% van de gebelden het wachtwoord wisten te achterhalen. Dit is een extreem geval, maar laat wel zien hoe makkelijk en effectief telefonische phishing is.

NextTech Security: specialist in social engineering onderzoeken

Laat medewerkers het gevaar van een social engineering aanval ervaren. Kunnen zij gemanipuleerd worden om vertrouwelijke gegevens af te geven? Test het! NextTech Security is specialist op het gebied van social engineering onderzoeken en Security Awareness. Wij richten ons primair op het creëren van bewustwording en gedragsverandering bij uw medewerkers om social engineering incidenten, zoals (telefonische) phishing, af te kunnen wenden. Maak van medewerkers de sterkste schakel in informatiebeveiliging!

Bel ons of stuur een bericht naar info@nexttech.nl voor meer info. Kijk ook eens op nexttech.nl/social-engineering voor het complete overzicht van onze onderzoeken en metingen.

Terug naar het overzicht