Je werkt op de financiële afdeling en ontvangt een e-mail van de directeur met een speciaal verzoek waarvoor jouw onmiddellijke actie nodig is. In verband met een belangrijke grote opdracht moet er zo snel mogelijk een geldbedrag van € 47.589 overgemaakt worden. De bankgegevens heeft hij in de e-mail meegestuurd. Hij geeft aan dat het van groot belang is dat je direct actie onderneemt. Je kijkt nog eens goed. Klopt het e-mail adres van de afzender? Ja, dat klopt. Het is het e-mail adres van de directeur. Ook de afsluiting van de e-mail ziet er vertrouwd uit: Hij sluit zijn e-mails namelijk altijd af met “M.vr.gr.” in plaats van “Met vriendelijke groet”.
Diegenen onder u die bewust zijn van de verschillende vormen van internetfraude herkennen het bovenstaande scenario. Dit zou wel eens een poging kunnen zijn van CEO-fraude, nietwaar? Als het geld wordt overgemaakt komt het terecht op een bankrekening van een cybercrimineel. Op deze manier zijn reeds veel bedrijven bestolen. De schade kan oplopen tot vele miljoenen Euro’s, zoals bij de bioscoopketen Pathé die door deze truc 19 miljoen Euro is kwijtgeraakt.
Met een 4- of 6-ogen beleid voor het overmaken van grotere geldbedragen wordt de echtheid van zo’n verzoek door meerdere personen geverifieerd zodat het geldbedrag niet zomaar wordt overgeboekt naar een rekening van een cybercrimineel.
Maar hoe kan dat dan? Het afzender e-mailadres klopte toch?
Het gevaar van dergelijke situaties is dat er soms gebruik gemaakt wordt van een techniek die aangeduid wordt met de Engelse term “Spoofing”. Google Translate vertaalt het Engelse “spoofing” naar het Nederlands “foppen” of “in de maling nemen”. Anderen vertalen het woord weer als “namaken” of “nabootsen”.
Bij spoofing neemt de crimineel een andere identiteit aan. Een crimineel stuurt dan bijvoorbeeld een e-mail met een aangepast afzender-adres. Het mailtje lijkt dan echt van een ander afkomstig te zijn!
Verschillende vormen van spoofing
Er zijn verschillende vormen van spoofing die door cybercriminelen gebruikt worden om hun slachtoffers over te halen om ergens op te klikken of om bepaalde acties te ondernemen zoals bijvoorbeeld een snelle betaling van een geldbedrag. Hieronder 3 voorbeelden.
E-mail spoofing
Bij e-mail spoofing wordt een e-mail verstuurd met een gemanipuleerd afzender e-mail adres. Dit is mogelijk als een e-mail systeem niet goed is geconfigureerd. Als het mogelijk blijkt te zijn om jouw e-mail adres te spoofen kan iedereen dus namens jou e-mails versturen. Het is daarom zeker de moeite waard om eens te controleren of spoofing bij jullie ook mogelijk is. Het is heel eenvoudig te testen en de IT-mensen kunnen maatregelen nemen om het te beveiligen.
Maak medewerkers daarom bewust van de gevaren van de verschillende vormen van social engineering en phishing e-mails. De afzender-adressen van phishing e-mails kunnen ook gemanipuleerd zijn waardoor ze echt lijken. Ik kom graag met iedereen in gesprek over de mogelijkheden van awareness vergroting. Contact opnemen kan eenvoudig via het formulier onder dit artikel of via de contact pagina op de website www.kochconsultancy.nl
Website spoofing
Het is voor cybercriminelen redelijk eenvoudig om een website na te maken. Dit kan bijvoorbeeld een bank-website zijn die op het eerste gezicht niet van de originele bank-website is te onderscheiden. Gebruikers die op zo’n nagemaakte website terecht komen hebben dan niet in de gaten dat de informatie die ze invoeren (bijvoorbeeld usernaam en password om in te loggen) wordt onderschept door de hackers. Het sturen van phishing e-mails is de favoriete manier van cybercriminelen om mensen naar zo’n nep-website te lokken.
Let daarom héél goed op als je per mail of SMS een link ontvangt waarmee je naar de website van een organisatie kan gaan. Het is beter om dat niet via die link te doen, maar gewoon handmatig het URL-adres van de organisatie in te toetsen (bijv. www.ing.nl).
Let ook op e-mails die je ontvangt met berichten over pakketjes die klaarliggen of dat er iemand wil linken met je via een social Media programma. Ga dan zelf (handmatig) naar de website van de pakketdienst of je Social Media programma.
Telefoonnummer spoofing
Ook bij het normale telefoonverkeer is het soms mogelijk om te bellen vanuit een ander nummer. Diegene die het gesprek ontvangt ziet dan het nummer van een bekende organisatie in het display terwijl het telefoontje wordt gepleegd door een cybercrimineel. Zo wordt er veel gebeld namens een bank of namens de Microsoft helpdesk. De slachtoffers worden dan verleid om toegang te geven tot hun computersysteem.
Een ander voorbeeld is dat er iemand belt die zegt van de bank te zijn. Die persoon vertelt dan dat er criminele activiteiten zijn geconstateerd op je bankrekening en dat het saldo met spoed overgeboekt moet worden naar een “veilige rekening”. Drie keer raden wie de beheerder is van die veilige rekening!
Tijdens mijn awareness presentaties adviseer ik iedereen altijd om hierover te praten met je kinderen en je ouders. Met name de ouderen onder ons trappen vaak in deze vorm van criminaliteit.
Meer weten over awareness presentaties? Neem gerust contact op via het formulier onder dit artikel of via de contact pagina op de website www.kochconsultancy.nl
U kunt natuurlijk ook bellen naar 06-53233269
Reactie plaatsen
Reacties