Pretexting kan overal en altijd gebeuren. Het is dus belangrijk om te weten wat het is en hoe u uw werknemers ertegen kunt beschermen. U kunt uw organisatie beschermen tegen pretexting door niet op ongewenste links te klikken, geen persoonlijke gegevens online te delen en door werknemers te informeren over pretexting-technieken.
Lees verder voor meer informatie over pretexting en de technieken die cybercriminelen gebruiken om gevoelige gegevens te verkrijgen van slachtoffers.
Wat is pretexting?
Pretexting is een soort social engineering-aanval, waarbij een cybercrimineel een verhaal verzint om het slachtoffer ervan te overtuigen gevoelige gegevens te verstrekken, waardoor de cybercrimineel onbevoegde toegang krijgt tot systemen.
Pretexting kan op veel verschillende manieren gebeuren, waaronder in levenden lijve, in een telefoongesprek en in een sms. De cybercrimineel probeert een relatie op te bouwen met het slachtoffer om overtuigender over te komen. Vaak gebruiken ze informatie die ze online over het slachtoffer vinden om hem of haar te overtuigen dat ze zijn wie ze zeggen dat ze zijn. Ze gebruiken onder andere informatie over het werkverleden en de huidige baan van het slachtoffer om vertrouwen op te bouwen.
Soorten technieken voor pretexting
Cybercriminelen gebruiken veel soorten pretexting-technieken om gevoelige gegevens te bemachtigen en onbevoegde toegang tot systemen te verkrijgen. Hier zijn enkele van de vele pretexting-technieken die cybercriminelen gebruiken.
Piggybacking
Piggybacking is een vorm van pretexting waarbij de cybercrimineel toegang probeert te krijgen tot een netwerk, systeem of fysiek gebouw. Cybercriminelen kunnen toegang krijgen tot een netwerk of systeem als de gebruikte wifi onbeveiligd is. In levenden lijve kunnen cybercriminelen toegang krijgen tot een gebouw door de goedheid van een werknemer te misbruiken om binnen te komen.
Het kan vooral gevaarlijk zijn als een cybercrimineel een gebouw binnendringt waar veel werknemers vaak weggaan van hun apparaten terwijl ze nog steeds zijn ingelogd. De cybercrimineel heeft dan eenvoudig toegang tot de gevoelige gegevens en kan ze stelen met een paar klikken.
Een cybercrimineel die de piggyback-techniek gebruikt, heeft als doel om toegang te krijgen tot een netwerk of een fysiek gebouw, waar hij kwaadaardige activiteiten kan uitvoeren.
Tailgating
Tailgating lijkt op piggybacking, maar er is één groot verschil dat ze van elkaar onderscheidt. Bij tailgating proberen cybercriminelen, net als bij piggybacking, in een fysiek gebouw binnen te dringen waar ze geen toegang toe hebben. Het verschil is dat bij tailgating cybercriminelen toegang krijgen tot een gebouw zonder dat andere mensen het weten. Cybercriminelen kunnen door een open deur glippen op het moment dat deze dichtgaat, waardoor het lijkt alsof ze bevoegde toegang tot het gebouw hebben gekregen. Met de tailgating-techniek weten werknemers niet wie er net het gebouw is binnengekomen, waardoor alle bedrijfsgegevens het risico lopen om te worden gelekt.
Phishing
Phishing is een van de populairste pretexting-technieken die wordt gebruikt. In het derde kwartaal van 2022 meldde de Anti-Phishing Working Group (APWG) dat er in totaal 1.270.883 phishingaanvallen waren, volgens hen een nieuw record.
Bij een phishing-aanval is het de bedoeling om de persoon die het doelwit is te overtuigen om gevoelige gegevens vrij te geven, waaronder inloggegevens en creditcardnummers. Pogingen tot phishing zien er meestal uit als een dringende e-mail die zogenaamd afkomstig is van een betrouwbare bron. Het doel van een phishing-aanval is dat het doelwit onmiddellijk actie onderneemt door zonder enige aarzeling een bijlage of link te openen. Het klikken op ongewenste links en bijlagen kan malware-infecties veroorzaken, waardoor al uw gegevens in gevaar komen.
Vishing
Vishing is zoals een phishing-aanval, maar geavanceerder en effectiever. Vishing is wanneer een echt persoon u belt en zich voordoet als iemand anders. Het doel is hetzelfde als bij een phishing-aanval: het doelwit gevoelige gegevens laten vrijgeven die ze daarna voor hun eigen kwaadaardige doeleinden kunnen gebruiken.
Manieren om uzelf en uw organisatie te beschermen tegen pretexting
Zorg ervoor dat u en uw organisatie niet het slachtoffer worden van pretexting door deze tips te volgen.
Klik niet op ongewenste links of bijlagen
Als u een onverwachte e-mail of sms ontvangt, klik dan niet op links of bijlagen. Zoals gezegd loopt u het risico op een malware-infectie als u erop klikt, waardoor de cybercrimineel toegang krijgt tot al uw gegevens.
Tegenwoordig zijn er veel socialmediaplatforms en het kan verleidelijk zijn om uw hele leven en al uw ervaringen erop te delen, maar wees vooral voorzichtig. Deel geen persoonlijke gegevens die cybercriminelen in het echt of online tegen u kunnen gebruiken.
Het is niet alleen belangrijk dat u oplet wat u online deelt, maar u moet ook op uw hoede zijn van mensen die uw vragen naar persoonlijke gegevens. Wanneer iemand u om persoonlijke of gevoelige gegevens vraagt, stel uzelf dan de vraag waarom ze die nodig hebben.
U bent niet verplicht om gevoelige of persoonlijke gegevens te verstrekken aan mensen die u niet kent, dus voel u nooit gedwongen om dat te doen.
Train werknemers om pretexting-technieken te identificeren
Pretexing-technieken zoals piggybacking en tailgating kunnen in realtime plaatsvinden. Zorg ervoor dat uw werknemers altijd achteromkijken als ze het kantoorgebouw binnenlopen, zodat er niemand zonder toestemming binnenkomt. U kunt zelfs overwegen om extra personeel in te zetten aan de lobby van uw gebouwen om onbevoegde personen tegen te houden.
Naast de pretexting-technieken in levenden lijve is het ook belangrijk dat werknemers zich bewust zijn van alle andere pretexting-technieken zoals phishing en vishing. U kunt dit doen door phishing-trainingen te houden in uw organisatie. Met phishing-trainingen kunnen werknemers phishing-e-mails leren herkennen, zodat ze weten waar ze op moeten letten. Een ander trainingsprogramma voor security awareness is KnowBe4. KnowBe4 is een trainingsprogramma dat u kunt implementeren in uw organisatie. Het heeft verschillende leermodules voor werknemers en verstuurt ook gesimuleerde phishing-e-mails, zodat werknemers deze zelf kunnen herkennen.
Gebruik een wachtwoordmanager voor ondernemingen
Een wachtwoordmanager voor ondernemingen is van de belangrijkste oplossingen voor cybersecurity die u kunt implementeren om bedrijfsgegevens veilig te houden. Een wachtwoordmanager voor ondernemingen is een tool waarmee u wachtwoordvereisten voor werknemers kunt afdwingen terwijl u ze ook veilig opslaat. Met een wachtwoordmanager kunt u gevoelige gegevens en inloggegevens veilig delen zonder dat ze in gevaar komen.
Als uw organisatie ooit slachtoffer van pretexting wordt, kunt u met een wachtwoordmanager eenvoudig uw accounts beveiligen door nieuwe sterke, unieke wachtwoorden te genereren voor elk account om verdere schade te voorkomen.
Blijf beschermd tegen pretexting
Het is eenvoudig om slachtoffer te worden van pretexting-technieken door het social engineering-aspect, maar als u werknemers bewust maakt van de gevaren en typische tekenen van pretexting-technieken kunt u voorkomen dat ze slachtoffer worden.
Ervoor zorgen dat uw werknemers de risico’s kennen van het online delen van persoonlijke gegevens kan het verschil maken om uw hele organisatie veilig te houden. Investeer in een cybersecurity-oplossing zoals Keeper, zodat uw gevoelige gegevens altijd beveiligd zijn – koop vandaag nog Keeper voor uw onderneming.