Smishing en vishing zijn vormen van phishingaanvallen waarbij wordt geprobeerd slachtoffers te lokken via sms-berichten en telefoongesprekken. Beide maken gebruik van dezelfde emotionele argumenten die bij traditionele phishing worden gebruikt en zijn bedoeld om u tot dringende actie aan te zetten. Het verschil is de leveringsmethode.
“Cyberdieven kunnen manipulatietechnieken toepassen op vele vormen van communicatie omdat de onderliggende principes constant blijven,” legt security awareness leider Stu Sjouwerman, CEO van KnowBe4, uit. “Lok slachtoffers met aas en vang ze vervolgens met haken.”
Wat is smishing?
Smishing-definitie: Smishing (SMS phishing) is een soort phishing-aanval die wordt uitgevoerd met behulp van SMS (Short Message Services) op mobiele telefoons.
Net als e-mail phishing scams, bevatten smishing-berichten meestal een bedreiging of verleiding om op een link te klikken of een nummer te bellen en gevoelige informatie te overhandigen. Soms wordt er voorgesteld om beveiligingssoftware te installeren, die malware blijkt te zijn.
Smishing-voorbeeld: Een typisch smishing-bericht zou iets kunnen zeggen in de trant van: “Uw ABC Bank-rekening is opgeschort. Om uw rekening te deblokkeren, tikt u hier: https://bit.ly/2LPLdaU” en de verstrekte link zal malware downloaden op uw telefoon. Oplichters zijn ook bedreven in het aanpassen aan het medium dat ze gebruiken, dus u kunt een sms-bericht krijgen dat zegt: “Is dit echt een foto van u? https://bit.ly/2LPLdaU” en als u op die link tikt om erachter te komen, downloadt u opnieuw malware.
Wat is vishing?
Vishing definitie: Vishing (voice phishing) is een soort phishing-aanval die per telefoon wordt uitgevoerd en vaak gericht is op gebruikers van Voice over IP (VoIP)-diensten zoals Skype.
Het is gemakkelijk voor oplichters om nummerweergave te vervalsen, zodat het lijkt alsof ze vanuit een lokaal netnummer bellen of zelfs vanuit een organisatie die u kent. Als u niet opneemt, laten ze een voicemailbericht achter met de vraag of u terug wilt bellen. Soms maken dit soort oplichting gebruik van een antwoorddienst of zelfs een call center dat niet op de hoogte is van de misdaad die wordt gepleegd.
Nogmaals, het doel is om credit card gegevens, geboortedata, account sign-ins, of soms gewoon om telefoonnummers te oogsten uit uw contacten. Als u reageert en terugbelt, kan er een geautomatiseerd bericht zijn waarin u wordt gevraagd gegevens te overhandigen en veel mensen zullen dit niet in twijfel trekken, omdat ze geautomatiseerde telefoonsystemen nu als onderdeel van het dagelijks leven accepteren.
Hoe smishing en vishing te voorkomen
We zijn tegenwoordig wat meer op onze hoede met e-mail omdat we gewend zijn spam te ontvangen en oplichting gebruikelijk is, maar sms-berichten en telefoontjes kunnen voor veel mensen nog steeds meer legitiem aanvoelen. Omdat we meer winkelen, bankieren en andere activiteiten online doen via onze telefoons, nemen de mogelijkheden voor oplichters toe. Om te voorkomen dat je slachtoffer wordt, moet je stoppen en nadenken.
“Gezond verstand is een algemene beste praktijk en zou de eerste verdedigingslinie van een individu moeten zijn tegen online of telefonische fraude,” zegt Sjouwerman.
Hoewel het advies over hoe te voorkomen dat je verslaafd raakt aan phishing-zwendel werd geschreven met e-mailzwendel in het achterhoofd, is het net zo goed van toepassing op deze nieuwe vormen van phishing. In principe is niemand vertrouwen een goede plek om te beginnen. Tik of klik nooit op links in berichten, zoek nummers en website-adressen op en voer ze zelf in. Geef geen informatie aan een beller tenzij u zeker weet dat ze legitiem zijn – u kunt ze altijd terugbellen.
Het is beter om veilig te zijn dan sorry te zeggen, dus wees altijd aan de kant van de voorzichtigheid. Geen enkele organisatie zal u berispen als u ophangt en hen vervolgens rechtstreeks belt (nadat u het nummer zelf hebt opgezocht) om er zeker van te zijn dat ze echt zijn wie ze zeggen dat ze zijn.
Update your awareness training
Hoewel op je hoede blijven een solide advies is voor individuen in het dagelijks leven, is de realiteit dat mensen op de werkplek vaak onvoorzichtig zijn. Ze kunnen afgeleid zijn, onder druk staan en graag verder willen met hun werk en zwendel kan duivels slim zijn. Wat als het sms’je van de CEO lijkt te komen, of als het telefoontje van iemand van HR lijkt te komen? Met de juiste training en een duidelijk beleid kunt u uw medewerkers harder maken en uw verdediging versterken.
Elk bedrijf zou een soort verplichte, regelmatige training in beveiligingsbewustzijn moeten hebben. Het kan best practices voor algemene veiligheid bevatten, maar ook beleid definiëren, zoals met wie contact moet worden opgenomen in het geval van iets verdachts, of regels over hoe bepaalde gevoelige communicatie zal worden behandeld, waardoor pogingen tot misleiding veel gemakkelijker te herkennen zijn.
Als u toch te maken krijgt met enige vorm van phishingaanval, breng dan wijzigingen aan om ervoor te zorgen dat het nooit meer gebeurt – het moet ook uw beveiligingstraining informeren.
De meerderheid van de smishing- en vishingaanvallen wordt niet gemeld en dit speelt cybercriminelen in de kaart. Misschien bent u slim genoeg om de laatste verdachte sms of oproep te negeren, maar misschien wordt Marge van de boekhouding of Dave van HR wel het slachtoffer. Als u een systeem hebt waarmee mensen deze pogingen tot aanvallen kunnen melden, en mogelijk zelfs een kleine beloning om dit te doen, dan biedt dit u een kans om anderen te waarschuwen.
Nadat phishing zich blijft ontwikkelen en nieuwe aanvalsvectoren vindt, moeten we waakzaam zijn en onze strategieën ter bestrijding ervan voortdurend bijwerken.