| Afbeelding: Wikipedia |
“Hallo, u spreekt met Peter den Vlieger van de Huisbank*. Ik wil graag nog even wat dingen doornemen met betrekking tot uw nieuwe hypotheek.”
Tot
zover niets aan de hand, tenminste, als je daadwerkelijk een nieuwe hypotheek
bij die bank hebt afgesloten. Wat de klant echter wel vreemd vond is dat de
bankmedewerker ook nog contactgegevens wilde doornemen, ter verificatie. “Ze
bellen mij toch, dan weten ze toch dat ik het ben?”
Wist
je dat phishing niet alleen via e-mail en sms, maar ook via de telefoon kan?
Dan noemen we het vishing (met de v van voice), maar het doel is hetzelfde:
informatie ontfutselen. Stel, die Peter den Vlieger is een crimineel. Dan
begint hij waarschijnlijk niet over een hypotheek, want de kans is groot dat
zijn beoogd slachtoffer helemaal geen hypotheek heeft aangevraagd. Hij zal dus
over iets algemeners beginnen, zoals een spaarrekening of bankpasje.
Stel,
zijn verhaal klinkt plausibel. Vervolgens stelt Peter een aantal vragen zoals
je die zo vaak hoort als jij een bedrijf of instantie belt: je adres,
geboortedatum, misschien wel je bankrekeningnummer of je BSN. Heel logisch als jij
belt – al ben ik vaak verbaasd over het kleine beetje informatie waar ze
genoegen mee nemen. Maar als zij jou bellen, dan wordt het een ander
verhaal.
Want
waarom zouden ze in dat geval jouw identiteit moeten verifiëren? Ze hebben
immers jouw dossier voor hun neus, en daarin staat ook het telefoonnummer dat
ze bellen. Oké, iemand anders zou jouw telefoon kunnen opnemen, maar dat is in
het tijdperk van de mobiele telefonie niet zo waarschijnlijk (vroeger,
jongelui, had je één telefoontoestel (de T65 van de PTT) in huis, die je
slechts zo ver kon verplaatsen als de draad toestond). Als iemand jou namens
een bedrijf belt en om identificerende gegevens vraagt, moet je dus op je hoede
zijn. Want met die gegevens in de hand kan een crimineel gemakkelijk een
bedrijf bellen en doen alsof hij jou is. Met alle gevolgen van dien.
Nee,
als ze jou bellen, dan moet je het spel omdraaien: jij stelt zelf de vragen.
Wat is mijn geboortedatum? Waar woon ik? Wat zijn de laatste vier cijfers van
mijn IBAN? Als ze daar niet op willen (of kunnen!) antwoorden, dan kun je maar
beter ophangen. Twijfel je of het telefoontje misschien toch legitiem was? Bel
het bedrijf dan via een nummer dat je kent of van hun website of brieven haalt.
Ze kunnen je vast wel vertellen of ze jou gebeld hebben.
Maar
natuurlijk hoorde ik ook weer verhalen van mensen die ‘gewone’ phishing hadden
ontvangen, via de mail. Zo ook de collega die een superaanbieding van bol.com
kreeg: sneakers van een bekend merk voor een tientje in plaats van negentig
euro. Als je al eens een presentatie van mij hebt bijgewoond, dan herken je
waarschijnlijk deze tegeltjeswijsheid: als iets te mooi lijkt om waar te zijn,
dan is het dat meestal ook. De collega vond het mailtje in eerste instantie wel
betrouwbaar ogen – hij werd zelfs bij zijn voornaam genoemd. Maar omdat er toch
iets knaagde, vroeg hij AI om hulp. Uitslag: phishing! Dat werd overigens
vooral geconcludeerd omdat het logo van bol.com ontbrak. Dat juist dit de
doorslag gaf is verontrustend, want een beetje professionele phishing
investeert juist in look and feel. Wat zou AI gezegd hebben als het logo er wél
was geweest?
Waarom
wist de crimineel achter dit mailtje hoe onze collega heette? Vanwege Odido. Of
Rituals. Of Basic-Fit. Allemaal grote datalekken waarbij veel gegevens
(waaronder e-mailadressen en namen) van heel veel mensen zijn buitgemaakt. Het
oude criterium, dat de afwezigheid van een persoonlijke aanhef een rode vlag is
– en dus impliciet dat een persoonlijke begroeting juist een groene vlag is –
kan daarmee wel naar de prullenbak.
Of ze
je nu willen phishen, smishen, vishen of quishen**: wees de criminelen te slim
af. Laat mensen als Peter den Vlieger maar lekker crashen door jouw alertheid.
*:
Deze namen zijn verzonnen.
**:
smishing = phishing via sms, vishing via de telefoon, quishing via QR-codes.
En in de grote boze buitenwereld …
- zijn de gevolgen van een cyberaanval op de watervoorziening groter dan je zou denken.
- gaat Meta in de toekomst misschien je stemming analyseren.
- struikelde een jonge hacker over zijn eigen honger.
- is het Rijkscloudbeleid aangescherpt.
- draait cybersecurity niet om het bang maken van mensen.
- had het Japanse leger last van besmette USB-sticks.
- spelen cybercriminelen graag in op actuele gebeurtenissen.
- hoef je je telefoonnummer niet meer te delen om met iemand te kunnen appen.
- zijn wereldwijd duizenden cybercriminelen opgepakt.
- was er een grote aanval op Microsoft 365-accounts.
- is China geïnteresseerd in de mail van westerse wetenschappers.
Geen opmerkingen:
Een reactie posten