Welke risico's zijn er en hoe verklein je ze?

Leestijd
12 minuten

Wat leer je?
In dit onderdeel leer je alle handelingen kennen om zoveel als mogelijk altijd te weten met wie je zowel online als offline te maken hebt, zodat je zeker weet dat je met de juiste persoon data deelt, een contract afsluit of welke andere vorm van zakelijke interactie dan ook hebt.

Samenvatting
Social engineering komt in verschillende vormen en maten voor. De bekendste vormen zijn phishing, spear phishing en whaling. De gebruikte technieken hierbij zijn inmiddels zodanig lastig van echt te onderscheiden, dat via deze methoden vele organisaties voor onder andere grote geldbedragen zijn opgelicht.

Naast de reguliere checks als 'zal mijn bank mij echt via sms vragen om een betaalpas te vernieuwen' is de beste check veelal om de persoon van wie een bericht afkomstig is gewoon even te bellen om het bericht te verifiëren. En mocht het toch een keer fout gaan, dan is het van groot belang om dit direct bij [naam/contactgegevens persoon/afdeling invoegen] te melden.


 
Het kan overal gebeuren...
Denk je eens in hoeveel er eigenlijk van jou te stelen is en op welke plekken jou dit kan overkomen? Niet alleen je werkplek is een potentiële locatie waar kwaadwillenden gegevens van jou, of via jou weer gegevens van anderen buit kunnen maken als je niet oplet. Ook die leuke meneer op Marktplaats kan wel eens heel iemand anders blijken...

 

 

Kun je dan helemaal niemand meer vertrouwen? Natuurlijk wel! Vrijwel alle communicatie die je met interne en externe personen en organisaties hebt is betrouwbaar. Maar net die ene keer dat je toch even niet goed oplet kan heel vervelende gevolgen hebben. Daarom bespreken we onderstaand de belangrijkste manieren om jezelf, jouw collega's en de onderwijsinstelling zo goed mogelijk tegen dit type fraude te beschermen. 


Kun jij per type fraude raden welke manieren van bescherming dat zijn?


 
Phishing

Bij phishing denken we vaak aan die gekke mailtjes of sms'jes die iedereen wel eens krijgt. Net niet helemaal lekker geschreven, een link die naar een vreemde url verwijst en wazige logo's. Nee, die hoef je duidelijk niet te vertrouwen. Maar veel phishing berichten zijn inmiddels vrij geavanceerd en lastig meer van echt te onderscheiden. Het vraagt van jou als mens een zeer kritische houding ten aanzien van alle communicatie die er op je af komt. 


Aangezien er een oneindig aantal vormen van phishing zijn is het lastig om ze hier allemaal uitgebreid te behandelen. We zoeken daarom naar algemene principes waarmee je phishing kunt herkennen en eenvoudige manieren om te checken of berichten echt zijn. En natuurlijk vertellen we je wat je moet doen als het toch mis gaat. 


Eerst eens testen hoe goed je phishing-berichten al kunt herkennen? Doe dan deze phishing test van Google.
.
Wat denk jij dat de vier belangrijkste manieren zijn waarop je phishing berichten kunt herkennen? Bekijk onderstaand het antwoord:


1. Vertrouw je het?

Het klinkt wat flauw, maar toch is dit meestal de beste graadmeter om te weten of een bericht echt van de afzender afkomstig is die de afzender zegt te zijn. Denk logisch na: gaat een bank jou via sms benaderen? Stuurt een overheidsinstelling jou een e-mail zonder persoonlijke aanhef? Loopt er vaker zomaar een technicus zonder identificatie bij jullie op de kamer rond? Luister naar je gezonde verstand en bedenk steeds kritisch of je de communicatie kunt vertrouwen.


2. Check waar je op klikt

We klikken per dag honderden keren op allerlei linkjes, knopjes, bijlagen en afbeeldingen. Vrijwel nooit sta je er echt goed bij stil of de link die achter de klik zit jou ook daadwerkelijk naar de juiste online locatie brengt. En dat is maar goed ook, anders zou surfen op het internet ondoenlijk zijn. Maar vertrouw je een bericht niet helemaal, ga dan alleen even met je muis op de link 'hangen' om te kijken welk adres er achter de link zit. Gaat de link naar bijvoorbeeld abnamro.info, facebook.io, rijksoverheid.gz of een andere net niet kloppende website, dan weet je dat je jezelf een klik kunt besparen.

Pas ook op met bijlagen in bijvoorbeeld e-mails. Veel e-mailbijlagen bevatten malware, zoals ransomware. Bepaalde bestandstypen zijn extra verdacht als ze in een mailbijlage staan, zoals .exe, .zip, .js en .doc.. Op zich zijn Word-documenten niet schadelijk, tenzij ze je na openen vragen of je de macro's wilt inschakelen. Doe dat dan zeker niet. Helaas verbergt Windows standaard de extensies zoals .exe. Je kunt deze bestandextensies inschakelen, zodat je ziet om wat voor bestand het gaat. Typ hiervoor Windows-toets + R, typ in het venster ‘control folders’ en druk op Enter. In het tabblad Weergave verwijder je het vinkje voor ‘Extensies voor bekende bestandstypen verbergen’.


3. Controleer altijd waar het bericht vandaan komt

Kijk altijd goed naar de afzender van een bericht, zoals het telefoonnummer, het e-mailadres of de website. Komt dit niet overeen met de officiële afzender, klik dan zeker niet op het bericht. Een e-mail die bijvoorbeeld verzonden is vanaf info@rabobank.net hoef je niet te vertrouwen, omdat je weet dat het officiële adres van de Rabobank niet rabobank.net maar rabobank.nl is.


4. Social engineeringbestaat ook offline

Social engineering gebeurt dus niet alleen via e-mails, WhatsApp en sms-berichten, maar ook via bijvoorbeeld een brief of de telefoon. Zo kan het gebeuren dat je een telefoontje krijgt van een 'medewerker' van de 'Internet helpdesk', die jou graag helpt met een 'probleem' aan je computer. Let dus op dat social engineering vanuit allerlei richtingen op je af kan komen...


 
Spear phishing

Spear phishing is eigenlijk nog enger dan 'gewone' phishing. Zoals je weet gaat het hierbij niet meer om 'een schot hagel', wat reguliere phishing vaak is, maar om berichten die proberen om een specifieke medewerker of student te verleiden op bijvoorbeeld een link te klikken. En niet altijd omdat die medewerker zelf nou over heel gevoelige informatie beschikt, maar ook om bijvoorbeeld via die persoon malware op het bedrijfsnetwerk te installeren, gegevens van hooggeplaatste personen binnen de organisatie te ontfutselen of zich toegang tot bepaalde bestanden te verschaffen.

Spear phishing kan net als gewone phishing op allerlei manieren voorkomen. Bijvoorbeeld een vader die een Hotmail-adres aanmaakt met de naam van zijn dochter er in, om daarmee de cijferlijst van zijn dochter bij de docent op te vragen. Of een e-mail die vanaf een zogenaamd privé-adres van een directielid bij jou binnenkomt en jou persoonlijk aanspreekt, ook dat is spear phishing! 


Wat denk jij dat de twee belangrijkste manieren zijn om goed met spear phishing om te kunnen gaan? Bekijk onderstaand het antwoord:


1. Gebruik geen reply op e-mail om de echtheid te controleren

Stel, je krijgt een e-mailtje met een wat vreemde vraag, bijvoorbeeld of je snel even een bepaald bedrag over wilt maken, of je bepaalde gevoelige informatie wilt doorsturen of dat men 'even toegang tot jouw account' nodig heeft. Zou je nu een e-mail terugsturen om te vragen of dit bericht wel klopt, dan komt jouw e-mail terecht bij de fraudeur. En die zal je natuurlijk met alle liefde geruststellen zodat je aan zijn of haar verzoek zult voldoen...


2. Bel!

Vertrouw je een persoonlijk bericht aan jou niet helemaal? Bel dan gewoon even. Niemand vind het erg als je een dubbelcheck op een bericht doet; liever vaker gecheckt dan de fout in te gaan. Door te bellen weet je zeker dat je de juiste persoon aan de lijn hebt, die jou snel genoeg kan aangeven of een bericht wel of niet legitiem is.


 
Whaling

Iedere vorm van phishing kan een grote impact hebben, maar whaling draagt misschien wel de grootste risico's met zich mee. De vaak lange opbouw van de aanvaller in de relatie met een hooggeplaatste medewerker zorgt ervoor dat, indien de aanval lukt, de aanvaller veelal grote schade aan een organisatie kan berokkenen. 


Whaling aanvallen kunnen zowel een effect op de hooggeplaatste medewerker als op personen op lagere functies in de organisatie hebben. Beide partijen zijn vaak nodig om bijvoorbeeld een financiële transactie te doen, bestanden naar een externe partij toe te sturen of bepaalde bedrijfsinformatie bij elkaar te verzamelen. De een geeft toestemming, de ander voert uit. Verstandig dus dat alle medewerkers in een organisatie op de hoogte zijn van de kenmerken van een whaling aanval. 


Wat denk jij dat de vier belangrijkste aandachtspunten zijn bij een whaling aanval? Bekijk onderstaand het antwoord:
 
1. Er is altijd sprake van een hiërarchische relatie

Niet iedere medewerker durft een verzoek van een hoger geplaatst persoon binnen de organisatie makkelijk ter discussie te stellen. En dat is precies een van de valkuilen van een whaling aanval. Door de hiërarchische relatie is er een kans dat het verzoek makkelijker ingewilligd wordt. Dus ook hier: vertrouw je het verzoek niet, zeker als het om een financieel verzoek gaat, bel dan altijd (of via je eigen leidinggevende) de persoon waar het verzoek vandaan komt.


2. Bellen in plaats van mailen

Net als bij spear phishing geldt ook hier: stuur nooit een e-mail naar het adres waar het bericht vandaan kwam om het verzoek te checken. Als het adres nep is komt de e-mail direct weer bij de aanvaller terecht. Gebruik altijd de telefoon om een verzoek te checken.


3. Reageer niet op privé mailadressen

Krijg je een verzoek van een leidinggevende of hooggeplaatst persoon binnen de organisatie dat van een privé e-mailadres afkomstig is, reageer dan niet. Iedereen kan elk willekeurig e-mailadres aanmaken en jou zo doen denken dat dit vanaf een echt persoon afkomstig is. Reageer alleen op verzoeken die van een e-mailadres binnen de organisatie afkomstig zijn en check hier altijd voor e-mail spoofing.


4. Check op e-mail spoofing

Controleer bij belangrijke of dubieuze verzoeken altijd of het e-mailadres waar het verzoek vandaan komt wel echt is. Via e-mail spoofing kunnen kwaadwillenden eenvoudig jou doen denken dat een e-mail daadwerkelijk van een leidinggevende afkomstig is, terwijl dat in de praktijk helemaal niet zo is. Ga bijvoorbeeld met je muis over het e-mailadres heen om te kijken welk mailadres er daadwerkelijk achter zit of check dit bij de ICT-afdeling.