Bijna elke week verschijnt er wel een bericht in de media over slachtoffers van babbeltrucs.
De babbelaars doen zich voor als medewerkers van het energiebedrijf, een zorginstantie of post- en pakketdienst. Het doel blijft hetzelfde: binnenkomen, de kamer(s) afstruinen op zoek naar waardevolle zaken, meestal geld, sieraden of uw portemonnee.
Babbelaars maken feitelijk gebruik van onze zwakheden in het menselijke besluitvormingsproces dat bekend staat als ‘cognitieve fout’ ook wel denkfouten of redeneerfouten genoemd. De babbelaars noemen we in IT-security land, social engineers. Social engineering is de mensgerichte manier van inbreken in bedrijfs- en persoonlijke computers om zo informatie te verkrijgen. Social engineering is een methode om de zwakste schakel (namelijk de mens) te verleiden iets te doen of om gevoelige informatie af te staan zonder dat dat nodig of noodzakelijk is. Waar hacken vooral steunt op technische vaardigheden, steunt social engineering vooral op de techniek van het overtuigen: de social engineer probeert zijn slachtoffer over te halen informatie te geven waarmee hij kan inbreken in het systeem.
In dit geval dus het huis van hun slachtoffer. Babbelaars gebruiken hierbij de techniek: pre-texting, waarbij zij een vals scenario creëren waar het slachtoffer zich in kan vinden en zich comfortabel genoeg voelt om informatie te geven. Deze techniek behelst meer dan simpel liegen. In sommige gevallen is een gezaghebbende en eerlijk klinkende stem voldoende, maar meestal doet de social engineer zich voor als een bekende (iemand die het slachtoffer vertrouwd: de medewerker van het energiebedrijf, een zorginstantie of post- en pakketdienst) zodat men denkt dat het okay is om de babbelaar toegang te geven tot de gevraagde informatie of in dit geval binnen te laten in het huis.
Tot zover de theorie, nu de praktijk.
1. In een buurgemeente van Maasland heeft onlangs een woningoverval plaatsgevonden, waarbij de babbelaar/overvaller zich voordeed als een medewerker van TNT. De babbelaar zag er keurig en betrouwbaar uit, dus waarom zo iemand voor de deur laten staan, dat is niet netjes toch? En dat doen we als mens niet graag, toch? Klinkt herkenbaar?;
2. Ook die twee leuke meisjes die komen collecteren voor de armoede in een of ander land. Zij overrompelen het slachtoffer en stappen direct de gang in als de deur geopend wordt, het slachtoffer geeft aan wel te willen doneren en doet zelfs een stap terug of loopt door naar de huiskamer. De meisjes laten de voordeur open voor babbelaar nummer 3, die iets later ongemerkt binnenkomt en de kamers afstruint naar waardevolle zaken;
3. De meteropnemer, die normaal altijd in april komt staat ineens in oktober voor de deur met een smoes dat er wat mis gegaan is met de administratie en hij moet nog even kijken. Voor het slachtoffer het door heeft is de meterstand genoteerd en moeten er nog wat administratieve zaken doorgenomen worden, dat gaat natuurlijk het beste aan de eetkamer tafel. Wederom blijft de voordeur open voor babbelaar nummer 2;
4. Een andere veel voorkomende truc is wanneer het slachtoffer bij een geldautomaat staat en gedurende de transactie wordt het slachtoffer aangesproken dat er geld gevallen is of een ander voorval wordt aangewend. Het slachtoffer wordt afgeleid, kijkt naar het geldbiljet terwijl babbelaar 2 uw ingetoetste pincode heeft afgekeken. Om uw pinpas zelf te bemachtigen is scenario 2 noodzakelijk.
Wat kunt u hier tegen doen:
1. Doe de deur nooit zo maar open! Kijk voordat u opendoet wie er staat, gebruik een deurspion en/ of een kierstandhouder on een deurketting;
2. Als u dan toch de deur opent. Vraag wie de persoon is en vraag om een legitimatiebewijs. Neem het legitimatiebewijs ter hand en noteer of onthoudt de naam van de medewerker en het bedrijf;
3. Medewerkers van de bank, de verzekeringsmaatschappij of een zorginstelling komen nooit zonder afspraak aan huis;
4. Geef nooit uw pincode af, ook niet aan medewerkers van de bank of de politie. Het is niet voor niets een PERSOONLIJK IDENTIFICATIE NUMMER, persoonlijk dus alleen voor u;
5. Als het bezoek onverwacht komt en u bent alleen thuis? Vraag om verplaatsten van de afspraak naar een moment dat het u uitkomt. Niet het moment van de babbelaar;
6. Zielige praatjes en smoesjes worden alleen maar gebruikt om in te spelen op uw gevoelens en om empathie te krijgen voor het voorval;
7. Wanneer u het niet vertrouwt is dat ook meestal zo, uw onderbuik gevoel is een betere graadmeter of iets goed is dan het verhaal dat de buren ook al gedoneerd hebben;
8. Waarschuw de politie als u iets niet vertrouwd, onthoudt de kenmerken van de babbelaar, zoals geslacht, leeftijd, man/vrouw, lengte, haardracht, en dergelijke. Het telefoonnummer van de politie is 0900 8844.
Wilt u meer weten over babbelaars en social engineering lees dan eens mijn andere blogs, of download mijn artikel over hacking revealed met daarin aandacht voor de social engineer.
De babbelaars doen zich voor als medewerkers van het energiebedrijf, een zorginstantie of post- en pakketdienst. Het doel blijft hetzelfde: binnenkomen, de kamer(s) afstruinen op zoek naar waardevolle zaken, meestal geld, sieraden of uw portemonnee.
Babbelaars maken feitelijk gebruik van onze zwakheden in het menselijke besluitvormingsproces dat bekend staat als ‘cognitieve fout’ ook wel denkfouten of redeneerfouten genoemd. De babbelaars noemen we in IT-security land, social engineers. Social engineering is de mensgerichte manier van inbreken in bedrijfs- en persoonlijke computers om zo informatie te verkrijgen. Social engineering is een methode om de zwakste schakel (namelijk de mens) te verleiden iets te doen of om gevoelige informatie af te staan zonder dat dat nodig of noodzakelijk is. Waar hacken vooral steunt op technische vaardigheden, steunt social engineering vooral op de techniek van het overtuigen: de social engineer probeert zijn slachtoffer over te halen informatie te geven waarmee hij kan inbreken in het systeem.
In dit geval dus het huis van hun slachtoffer. Babbelaars gebruiken hierbij de techniek: pre-texting, waarbij zij een vals scenario creëren waar het slachtoffer zich in kan vinden en zich comfortabel genoeg voelt om informatie te geven. Deze techniek behelst meer dan simpel liegen. In sommige gevallen is een gezaghebbende en eerlijk klinkende stem voldoende, maar meestal doet de social engineer zich voor als een bekende (iemand die het slachtoffer vertrouwd: de medewerker van het energiebedrijf, een zorginstantie of post- en pakketdienst) zodat men denkt dat het okay is om de babbelaar toegang te geven tot de gevraagde informatie of in dit geval binnen te laten in het huis.
Tot zover de theorie, nu de praktijk.
1. In een buurgemeente van Maasland heeft onlangs een woningoverval plaatsgevonden, waarbij de babbelaar/overvaller zich voordeed als een medewerker van TNT. De babbelaar zag er keurig en betrouwbaar uit, dus waarom zo iemand voor de deur laten staan, dat is niet netjes toch? En dat doen we als mens niet graag, toch? Klinkt herkenbaar?;
2. Ook die twee leuke meisjes die komen collecteren voor de armoede in een of ander land. Zij overrompelen het slachtoffer en stappen direct de gang in als de deur geopend wordt, het slachtoffer geeft aan wel te willen doneren en doet zelfs een stap terug of loopt door naar de huiskamer. De meisjes laten de voordeur open voor babbelaar nummer 3, die iets later ongemerkt binnenkomt en de kamers afstruint naar waardevolle zaken;
3. De meteropnemer, die normaal altijd in april komt staat ineens in oktober voor de deur met een smoes dat er wat mis gegaan is met de administratie en hij moet nog even kijken. Voor het slachtoffer het door heeft is de meterstand genoteerd en moeten er nog wat administratieve zaken doorgenomen worden, dat gaat natuurlijk het beste aan de eetkamer tafel. Wederom blijft de voordeur open voor babbelaar nummer 2;
4. Een andere veel voorkomende truc is wanneer het slachtoffer bij een geldautomaat staat en gedurende de transactie wordt het slachtoffer aangesproken dat er geld gevallen is of een ander voorval wordt aangewend. Het slachtoffer wordt afgeleid, kijkt naar het geldbiljet terwijl babbelaar 2 uw ingetoetste pincode heeft afgekeken. Om uw pinpas zelf te bemachtigen is scenario 2 noodzakelijk.
Wat kunt u hier tegen doen:
1. Doe de deur nooit zo maar open! Kijk voordat u opendoet wie er staat, gebruik een deurspion en/ of een kierstandhouder on een deurketting;
2. Als u dan toch de deur opent. Vraag wie de persoon is en vraag om een legitimatiebewijs. Neem het legitimatiebewijs ter hand en noteer of onthoudt de naam van de medewerker en het bedrijf;
3. Medewerkers van de bank, de verzekeringsmaatschappij of een zorginstelling komen nooit zonder afspraak aan huis;
4. Geef nooit uw pincode af, ook niet aan medewerkers van de bank of de politie. Het is niet voor niets een PERSOONLIJK IDENTIFICATIE NUMMER, persoonlijk dus alleen voor u;
5. Als het bezoek onverwacht komt en u bent alleen thuis? Vraag om verplaatsten van de afspraak naar een moment dat het u uitkomt. Niet het moment van de babbelaar;
6. Zielige praatjes en smoesjes worden alleen maar gebruikt om in te spelen op uw gevoelens en om empathie te krijgen voor het voorval;
7. Wanneer u het niet vertrouwt is dat ook meestal zo, uw onderbuik gevoel is een betere graadmeter of iets goed is dan het verhaal dat de buren ook al gedoneerd hebben;
8. Waarschuw de politie als u iets niet vertrouwd, onthoudt de kenmerken van de babbelaar, zoals geslacht, leeftijd, man/vrouw, lengte, haardracht, en dergelijke. Het telefoonnummer van de politie is 0900 8844.
Wilt u meer weten over babbelaars en social engineering lees dan eens mijn andere blogs, of download mijn artikel over hacking revealed met daarin aandacht voor de social engineer.