Wat zijn phishing en social engineering aanvallen?
Phishing gebeurt zowel per telefoon als per e-mail. Hierbij doet de crimineel zich voor als betrouwbare instantie. Zo kunt u een e-mail krijgen die van uw bank afkomstig lijkt, met het verzoek om voor controle persoonlijke gegevens, zoals uw naam, adres, telefoonnummer, rekeningnummers en beveiligingscodes in te voeren op een website. In sommige gevallen kan de crimineel hiermee al misbruik maken van uw rekening. Ook kan u worden gevraagd een telefoonnummer te bellen, omdat anders uw rekening geblokkeerd wordt. In andere gevallen kan de crimineel met de verkregen informatie u later bellen en zich voordoen als bankmedewerker. Hij of zij vraagt dan bijvoorbeeld om uw beveiligingscodes, omdat er problemen zouden zijn met uw rekening en de medewerker wil controleren of alles in orde is.
Bij Social Engineering proberen criminelen vertrouwelijke informatie van u te verkrijgen. Zij proberen u een bepaalde handeling te laten verrichten, zoals het afgeven van persoonlijke gegevens (phishing), beveiligingscodes of creditcardgegevens of het installeren van malware.
In mijn whitepaper 'hacking revealed' heb ik ook het aspect social engineering beschreven. Social engineering is eerder een psychologische aanvalsvector dan een technische. Het is de mensgerichte manier van inbreken in bedrijfs- en persoonlijke computers om zo informatie te verkrijgen. Social engineering is een methode om de zwakste schakel (namelijk de mens) te verleiden iets te doen of om gevoelige informatie af te staan zonder dat dat nodig of noodzakelijk is. Waar hacken vooral steunt op technische vaardigheden, steunt social engineering vooral op de techniek van het overtuigen: de social engineer probeert zijn slachtoffer over te halen informatie te geven waarmee hij kan inbreken in het systeem. In de meeste gevallen gebeurt dat niet face-to-face. Ze kennen elkaar niet. Social engineering maakt gebruik van het menselijke besluitvormingsproces dat bekend staat als ‘redeneerfout of denkfout’.
Maar wat kunt u er tegen doen?
Maatregelen tegen phishing:
Herkennen van phishing:
Herkennen van social engineering:
Social engineers gebruiken verschillende technieken, een overzicht:
Voorbeelden van social engineering:
Waarom zijn er phishing en social engineering aanvallen?
Phishing en social engineering aanvallen zijn een lucratief businessmodel voor cybercriminelen. Recent werd in Nederland een bende opgepakt en voor de rechter gebracht. In korte tijd hebben zij 0,5m€ buit gemaakt. De Officier van Justitie eist voor hoofdverdachte Furgel R. (34) uit Diemen 4 jaar straf, voor zijn partner Virgina E. (34) uit Amsterdam 3 jaar cel en voor medeverdachte Ricardo G. (25) uit Den Helder moet 18 maanden zitten.
De slachtoffers in deze zaak.
De Bridgeclub Essenburg die 13.000 euro kwijtraakte. De Bond voor Ouderen in Drunen die 27 mille afhandig werd gemaakt en het Rode Kruis in Soest dat bijna ruim 7000 euro kwijtraakte. Zomaar een greep uit de lijst met slachtoffers van de phishingorganisatie waarvan de kopstukken deze dagen terechtstaan. In totaal werden zo'n 100 verenigingen en stichtingen benadeeld en in totaal heeft de organisatie volgens het OM 1,4 miljoen euro van de ene naar de andere rekening verplaatst. Daarvan is uiteindelijk ongeveer 0,5 miljoen euro daadwerkelijk buitgemaakt. De overige transacties konden door de banken, die zeker in de periode van het onderzoek intensief optrokken met de politie, worden tegengehouden.
De hoofdverdachte Furgel R. beroept zich in deze zaak op zijn zwijgrecht, en dat is wel een beetje flauw, of zeker vreemd als je van een 'gewiekste babbeltruc' feitelijk je (criminele) beroep gemaakt hebt. Praten is daarbij een elementaire vaardigheid.
Achtergronden
In Nederland zien we momenteel dat cybercriminelen de migratie naar IBAN-rekeningnummers en het nieuwe Europese betaalsysteem SEPA aangrijpen om phishingaanvallen uit te voeren. De Nederlandsche Bank heeft inmiddels al meer dan dertig phishingsites laten blokkeren waar de migratie werd aangegrepen om gegevens te ontfutselen. De phishingsites stelden dat slachtoffers hun rekeningnummers aan IBAN konden aanpassen. Een andere phishingmail liet ontvangers weten dat ze een gratis IBAN-betaalpas konden aanvragen. De e-mail waarschuwde dat er extra kosten in rekening zouden worden gebracht als de pas later werd besteld.
U bent gewaarschuwd!
Toch ook goed nieuws. Door de verbeterde samenwerking tussen de banken, het openbaar ministerie, politie en de hostingprovidors in Nederland vonden er in de eerste helft van 2013 maar 443 unieke phishingaanvallen plaats, waarbij 375 unieke domeinnamen werden gebruikt. 31 .NL domeinnamen werden door de phishers zelf geregistreerd. Nederlandse phishingsites zijn gemiddeld 35 minuten online voordat ze uit de lucht worden gehaald.
Kijk hier voor de modus operandi van cybercriminelen en hackers of lees eens mijn andere Blogs.
Phishing gebeurt zowel per telefoon als per e-mail. Hierbij doet de crimineel zich voor als betrouwbare instantie. Zo kunt u een e-mail krijgen die van uw bank afkomstig lijkt, met het verzoek om voor controle persoonlijke gegevens, zoals uw naam, adres, telefoonnummer, rekeningnummers en beveiligingscodes in te voeren op een website. In sommige gevallen kan de crimineel hiermee al misbruik maken van uw rekening. Ook kan u worden gevraagd een telefoonnummer te bellen, omdat anders uw rekening geblokkeerd wordt. In andere gevallen kan de crimineel met de verkregen informatie u later bellen en zich voordoen als bankmedewerker. Hij of zij vraagt dan bijvoorbeeld om uw beveiligingscodes, omdat er problemen zouden zijn met uw rekening en de medewerker wil controleren of alles in orde is.
Bij Social Engineering proberen criminelen vertrouwelijke informatie van u te verkrijgen. Zij proberen u een bepaalde handeling te laten verrichten, zoals het afgeven van persoonlijke gegevens (phishing), beveiligingscodes of creditcardgegevens of het installeren van malware.
In mijn whitepaper 'hacking revealed' heb ik ook het aspect social engineering beschreven. Social engineering is eerder een psychologische aanvalsvector dan een technische. Het is de mensgerichte manier van inbreken in bedrijfs- en persoonlijke computers om zo informatie te verkrijgen. Social engineering is een methode om de zwakste schakel (namelijk de mens) te verleiden iets te doen of om gevoelige informatie af te staan zonder dat dat nodig of noodzakelijk is. Waar hacken vooral steunt op technische vaardigheden, steunt social engineering vooral op de techniek van het overtuigen: de social engineer probeert zijn slachtoffer over te halen informatie te geven waarmee hij kan inbreken in het systeem. In de meeste gevallen gebeurt dat niet face-to-face. Ze kennen elkaar niet. Social engineering maakt gebruik van het menselijke besluitvormingsproces dat bekend staat als ‘redeneerfout of denkfout’.
Maar wat kunt u er tegen doen?
Maatregelen tegen phishing:
- wees u ervan bewust dat criminelen op uw gegevens uit kunnen zijn;
- wees altijd heel kritisch voor u (persoonlijke) gegevens afgeeft;
- bedenk dat uw bank u nooit zal vragen om beveiligingscodes;
- maak gebruik van een spamfilter en verwijder verdachte e-mails direct;
- heeft u onverhoopt toch persoonlijke gegevens afgegeven? meld dit dan direct bij uw bank.
Herkennen van phishing:
- een niet verwachte e-mail van uw eigen of andere bank, waarin u wordt gevraagd naar beveiligingscodes en/of persoonlijke gegevens;
- taalkundig slecht geschreven e-mails;
- de e-mail is niet aan u persoonlijk gericht;
- in de e-mail vraagt de beveiligingsafdeling van uw bank u iets te doen;
- er wordt gedreigd met gevolgen als u niet direct reageert;
- u wordt gevraagd op een link te klikken of te beantwoorden met persoonlijke gegevens;
- in plaats van mailtjes met tekst, versturen de internetcriminelen de phishingmails vaak met plaatjes met tekst. Dit wordt gedaan om spamfilters te omzeilen;
- uw bank stuurt u hoogst zelden mails voorzien van bijlagen. Ontvangt u dan ook een mail met bijlagen zogenaamd van uw bank, open deze dan niet en zeker geen bijlagen met de extensie '.exe'.
- kijk naar de afzender van de mail (bovenin de mail). Staat er na '@' wel de juiste naam van uw bank, dus de naam van de site waar u altijd op inlogt? Dus bijvoorbeeld abnamro.nl, rabobank.nl of ing.nl? Nee, gooi deze mail dan direct weg.
Herkennen van social engineering:
Social engineers gebruiken verschillende technieken, een overzicht:
- Pre-texting: een vals scenario creëren waar een beoogd slachtoffer zich in kan vinden en zich comfortabel genoeg voelt om informatie te geven. Deze techniek behelst meer dan simpel liegen. In sommige gevallen is een gezaghebbende en eerlijk klinkende stem voldoende, maar meestal doet de social engineer zich voor als een bekende (iemand die het slachtoffer vertrouwd) zodat men denkt dat het OK is om de gevraagde informatie te geven;
- Diversion theft: het doel hiervan is om goederen om te leiden naar een andere locatie. De social engineer haalt de beheerder of het transportpersoneel over om de chauffeur te instrueren de goederen naar een ander adres te transporteren;
- Phishing: een populaire frauduleuze e-mailtechniek met als doel persoonlijke informatie te verkrijgen. Een e-mail wordt verzonden van wat lijkt een betrouwbare organisatie te zijn en het bericht bevalt meestal een soort waarschuwing dat het consequenties heeft als de ontvanger zijn gegevens niet afstaat. Phishing gaat soms ook samen met websites die lijken op de website van een legitieme organisatie, maar dat niet zijn, om slachtoffers te overtuigen dat het OK is om financiële of persoonlijke details af te verschaffen;
- IVR of phone phishing: het idee is hetzelfde als bij phishing maar in dit geval worden beoogde slachtoffers gevraagd, via een e-mail of brief van een gefungeerde autoriteit, om hen terug te bellen. Deze methode van phishing wordt ook wel ‘vishing’ genoemd;
- Baiting: een techniek zoals die van het ‘echte’ Trojaanse Paard die fysieke apparaten (opslagmedia) gebruikt en die gokt op de nieuwsgierigheid en hebzucht van het slachtoffer. De social engineer laat een media-apparaat, zoals een USB-stick of CD-rom met een legitiem uitziende label dat de nieuwsgierigheid wekt, achter op een plek waar het zeker gevonden. Doel is dat de vinder het apparaat gaat inlezen. Doet hij dat, dan wordt er malware geïnstalleerd waarmee de social engineer volledig toegang heeft tot de PC of het interne netwerk van het slachtoffer;
- Quid pro quo: ofwel: “ik geef wat, jij geeft wat”. De social engineer biedt zijn beoogde slachtoffer iets aan (geld, cadeau) in ruil voor wachtwoorden of andere persoonlijke informatie.
Voorbeelden van social engineering:
- u wordt gevraagd persoonlijke informatie af te geven, zoals beveiligingscodes, inlog-gegevens, BSN-nummer, kopie van een identiteitsbewijs;
- als een aanbiedingen te mooi is om waar te zijn dan is dat meestal een reden om alert te zijn;
- er gaat iets mis tijdens het surfen en er verschijnt direct een pop-up om u uit de brand te helpen;
- een e-mail van een bekende u vreemd voorkomt.
- u e-mail krijgt van een afzender die u niet kent.
- er via internet persoonlijke gegevens aan u worden gevraagd.
- u wordt tijdens een chatsessie gevraagd met iDEAL of met internetbankieren te betalen voor bijvoorbeeld een filmpje of foto's.
Waarom zijn er phishing en social engineering aanvallen?
Phishing en social engineering aanvallen zijn een lucratief businessmodel voor cybercriminelen. Recent werd in Nederland een bende opgepakt en voor de rechter gebracht. In korte tijd hebben zij 0,5m€ buit gemaakt. De Officier van Justitie eist voor hoofdverdachte Furgel R. (34) uit Diemen 4 jaar straf, voor zijn partner Virgina E. (34) uit Amsterdam 3 jaar cel en voor medeverdachte Ricardo G. (25) uit Den Helder moet 18 maanden zitten.
De slachtoffers in deze zaak.
De Bridgeclub Essenburg die 13.000 euro kwijtraakte. De Bond voor Ouderen in Drunen die 27 mille afhandig werd gemaakt en het Rode Kruis in Soest dat bijna ruim 7000 euro kwijtraakte. Zomaar een greep uit de lijst met slachtoffers van de phishingorganisatie waarvan de kopstukken deze dagen terechtstaan. In totaal werden zo'n 100 verenigingen en stichtingen benadeeld en in totaal heeft de organisatie volgens het OM 1,4 miljoen euro van de ene naar de andere rekening verplaatst. Daarvan is uiteindelijk ongeveer 0,5 miljoen euro daadwerkelijk buitgemaakt. De overige transacties konden door de banken, die zeker in de periode van het onderzoek intensief optrokken met de politie, worden tegengehouden.
De hoofdverdachte Furgel R. beroept zich in deze zaak op zijn zwijgrecht, en dat is wel een beetje flauw, of zeker vreemd als je van een 'gewiekste babbeltruc' feitelijk je (criminele) beroep gemaakt hebt. Praten is daarbij een elementaire vaardigheid.
Achtergronden
In Nederland zien we momenteel dat cybercriminelen de migratie naar IBAN-rekeningnummers en het nieuwe Europese betaalsysteem SEPA aangrijpen om phishingaanvallen uit te voeren. De Nederlandsche Bank heeft inmiddels al meer dan dertig phishingsites laten blokkeren waar de migratie werd aangegrepen om gegevens te ontfutselen. De phishingsites stelden dat slachtoffers hun rekeningnummers aan IBAN konden aanpassen. Een andere phishingmail liet ontvangers weten dat ze een gratis IBAN-betaalpas konden aanvragen. De e-mail waarschuwde dat er extra kosten in rekening zouden worden gebracht als de pas later werd besteld.
U bent gewaarschuwd!
Toch ook goed nieuws. Door de verbeterde samenwerking tussen de banken, het openbaar ministerie, politie en de hostingprovidors in Nederland vonden er in de eerste helft van 2013 maar 443 unieke phishingaanvallen plaats, waarbij 375 unieke domeinnamen werden gebruikt. 31 .NL domeinnamen werden door de phishers zelf geregistreerd. Nederlandse phishingsites zijn gemiddeld 35 minuten online voordat ze uit de lucht worden gehaald.
Kijk hier voor de modus operandi van cybercriminelen en hackers of lees eens mijn andere Blogs.