Blogs

Security nieuws ESET - De dreiging van pretexting

Dit artikel werd oorspronkelijk gepubliceerd op ESET Digital Security Guide.

Als IT-manager speel je een belangrijke rol in het beschermen van je organisatie tegen social engineering-dreigingen. De uitdaging is niet alleen om de systemen en gegevens van het bedrijf te beschermen, maar ook om ervoor te zorgen dat jouw werknemers waakzaam blijven tegen deze tactieken.

Wat is pretexting?

Pretexting is een meer uitgebreide en geduldige aanpak in vergelijking met traditionele phishing. Het is gebaseerd op een verzonnen maar geloofwaardig excuus of verhaal om het slachtoffer ertoe te verleiden informatie vrij te geven of specifieke acties uit te voeren. De aanvaller kan zich bijvoorbeeld voordoen als een vertrouwde collega, dienstverlener of autoriteitsfiguur om het vertrouwen van het slachtoffer te winnen en informatie los te krijgen. Vaak bouwt de aanvaller een band op met zijn doelwit en gaat hij uitgebreide gesprekken of meerdere interacties aan om geleidelijk de gewenste informatie te verkrijgen zonder argwaan te wekken.

Hoe werkt pretexting?

Deze vorm van online oplichting is gebaseerd op een verzonnen verhaal om toegang te krijgen tot waardevolle informatie of bezittingen. Om het verhaal overtuigend te maken, zijn geloofwaardige personen en een interessant verhaal nodig.

Vaak doet de oplichter zich voor als iemand die je écht kunt vertrouwen of iemand met een bepaalde vorm van autoriteit, zoals je baas, een overheidsmedewerker of een bekende organisatie. In sommige gevallen kan hij zich zelfs voordoen als iemand die je echt kent.

De in scène gezette situaties kunnen algemeen zijn, bijvoorbeeld een verzoek om je wachtwoord te wijzigen. In sommige gevallen zijn de situaties specifieker, zoals het verzoek om de betaalgegevens van een leverancier in bedrijfssystemen te wijzigen.

Om het verhaal geloofwaardiger te maken, gebruiken aanvallers vaak online verzamelde informatie over de interesses, professionele details of zelfs persoonlijke relaties van hun doelwitten. Volgens een rapport van Omdia kunnen hackers met ongeveer 100 minuten eenvoudig Googelen voldoende informatie uit openbare bronnen (voornamelijk sociale media) verzamelen om een overtuigend verhaal te creëren.

Jouw bedrijf verdedigen tegen pretexting

Hoewel de tactieken die worden gebruikt bij pretexting complex zijn, blijven de verdedigingsprincipes hetzelfde als bij elke andere vorm van social engineering-aanval. Dit is wat jouw werknemers moeten weten:

  • Voorzichtigheid en waakzaamheid
    Wees voorzichtig met ongevraagde verzoeken, vooral als ze dringend zijn. Pauzeer en evalueer de situatie voordat je verder gaat.

  • Verificatie voor actie
    Controleer altijd de echtheid van verzoeken, zelfs als ze uit betrouwbare bron lijken te komen. Gebruik bekende contactgegevens om ongebruikelijke of gevoelige verzoeken te bevestigen.

  • Gevestigde kanalen kiezen
    Communiceer in een bedrijfsomgeving alleen via vooraf goedgekeurde communicatiekanalen.

  • Tegenstrijdigheden opsporen
    Wees alert op inconsistenties in e-mails, zoals ongewoon taalgebruik, spelfouten of veranderingen in schrijfstijl.

Wat kun je zelf doen binnen jouw organisatie?

  • Voortdurende educatie
    Blijf op de hoogte van evoluerende dreigingen en aanvalstechnieken en probeer een sterk cyberbewustzijn in jouw bedrijf op te bouwen. Regelmatige training kan jouw team in staat stellen om verdachte activiteiten te herkennen en erop te reageren.

  • Gevoelige gegevens beschermen
    Bescherm jouw persoonlijke en organisatiegegevens door middel van een sterk wachtwoordbeleid, tweefactorauthenticatie, encryptie en het veilige opslaan van gegevens en documenten.

  • Voorbereiding en reactie
    Realiseer je dat zelfs met de beste preventiemaatregelen sommige aanvallen kunnen slagen, dus zorg voor een responseplan om de schade te beperken en snel de gevolgen te verzachten in het geval van een succesvolle aanval.

Op weg naar een veiligere digitale toekomst

Pretexting is een voorbeeld van de voortdurende vooruitgang die cybercriminelen - helaas - boeken. Hoewel er geen waterdicht schild bestaat tegen cyberdreigingen, kun je al een heel eind komen door jezelf te wapenen. Onthoud dat veilig zijn een reis is. Het gaat om het minimaliseren van risico's, effectief reageren als er iets door de mazen van het net glipt en je voortdurend aanpassen aan het steeds veranderende landschap van digitale beveiliging.

ESET Fourtop ICT pretexting

Inschrijven per email