U kunt uzelf beschermen tegen identiteitsdiefstal door uw burgerservicenummer en andere gevoelige documenten te beschermen, regelmatig uw kredietrapporten te controleren, een tool voor dark web-monitoring te
Een pretexting-aanval is een soort social engineering-aanval waarbij de dreigingsactor zijn doelwit overtuigt gevoelige informatie te onthullen of geld te sturen door een verhaal te verzinnen, vandaar het woord ‘pretext’ dat smoes of verzinsel betekent in het Engels. Pretexting-aanvallen kunnen op veel verschillende manieren plaatsvinden, zoals via een telefoongesprek, een sms’je, een e-mail of zelfs met een persoonlijke ontmoeting. Voordat de dreigingsactor een pretexting-aanval uitvoert, verzamelt hij zoveel mogelijk informatie over zijn doelwit, zodat hij hem gemakkelijk kan overtuigen dat hij een bekende is.
Lees verder voor meer informatie over pretexting en wat u kunt doen om uzelf te beschermen tegen dit soort cyberaanvallen.
Pretexting of phishing: wat is het verschil?
Pretexting en phishing allebei aanvallen die gebruik maken van social engineering en daarom lijken ze op elkaar. In beide gevallen verzamelt een dreigingsactor informatie over zijn mogelijke doelwit om de persoon door middel van psychische manipulatie te overtuigen gevoelige informatie te onthullen of geld te sturen.
Pretexting en phishing hebben echter één belangrijk verschil. Pretexting is gebaseerd op een verzonnen verhaal, waarmee de cybercrimineel geloofwaardig wil overkomen. Iemand die een pretexting-aanval uitvoert, kan zich bijvoorbeeld voordoen als een belangrijk persoon, zoals een lid van het IT-team, om zo te proberen fysiek toegang te krijgen tot een gebouw. Aan de andere kant werkt een phishing-aanval juist met een gevoel van urgentie en angst. Phishing-e-mails bevatten bijvoorbeeld vaak zinsneden zoals: “Reageer nu direct” en wordt er gedreigd met heftige gevolgen. Er wordt bijvoorbeeld beweerd dat “uw bankrekening permanent geblokkeerd zal worden.” Dit gevoel van urgentie zet slachtoffers aan om snel te reageren, zonder dat ze er goed over nadenken.
Het is belangrijk om op te merken dat phishing-aanvallen vaak gebruik maken van verzinsels zoals in pretexting en er bij pretexting ook urgentie of angst gebruikt wordt. In phishing-e-mails en -sms-berichten wordt vaak beweerd dat u een bekende bent, zoals een collega of een vriend.
Hoe werken pretexting-aanvallen?
Pretexting begint, net als bij veel andere social engineering-aanvallen met het onderzoek dat een cybercriminelen uitvoeren. Ze bekijken o.a. waar hun mogelijke slachtoffers werken en welke sociale mediaprofielen ze hebben om te begrijpen wie ze zijn. Zodra ze voldoende informatie voor hun aanval hebben verzameld, plannen ze welke bekende van het slachtoffer past bij hun voorwendsel en welk verhaal ze gaan gebruiken om hun mogelijke slachtoffer te overtuigen.
De meest voorkomende pretexting-aanvallen
Dit zijn enkele veelvoorkomende soorten pretexting-aanvallen.
Oplichting van grootouders
Oplichting van grootouders wordt met de ontwikkeling van technologie steeds geavanceerder. Bij deze vorm van oplichting doet de oplichter zich voor als het kleinkind of een ander familielid van het slachtoffer en wordt er geprobeerd om het slachtoffer te overtuigen dat er een noodsituatie is. Iemand kan bijvoorbeeld beweren dat hij in de gevangenis zit en geld nodig heeft voor om de borgsom te betalen. De dreigingsactor kan het telefoonnummer spoofen, zodat het lijkt dat de inkomende oproep afkomstig is van een bekende. Als het slachtoffer de smoes gelooft, geeft de dreigingsactor instructies hoe het geld verstuurd moet worden.
Oplichting van grootouders is geavanceerder geworden vanwege de geavanceerde mogelijkheden van kunstmatige intelligentie (AI). Door AI te gebruiken, kunnen dreigingsactoren de stem van een geliefde namaken en lijkt hun verzonnen verhaal nog realistischer.
Romantische zwendels
Bij romantische zwendel doen dreigingsactoren zich voor alsof ze geïnteresseerd zijn om online een liefdesrelatie op te bouwen en winnen daarmee het vertrouwen van hun slachtoffers. Dit soort oplichting is ook pretexting en kan weken, maanden of zelfs jaren duren. Gedurende de hele oplichting vraagt de dreigingsactor langzaam om informatie over bijvoorbeeld een lening voor een noodgeval of om dure cadeaus.
In 2022 ontving het Internet Crime Complaint Center (IC3) van de FBI meer dan 19.000 klachten over in romantiek verhulde oplichtingen, met een gerapporteerd verlies van bijna 740 miljoen dollar.
Voordoen als een CEO
Door zich voor te doen als de CEO of leidinggevende van een slachtoffer, kan een cybercrimineel proberen het slachtoffer te overtuigen om geld te sturen, vaak in de vorm van een cadeaubon, of om gevoelige informatie te verstrekken. Bij deze aanval maakt de dreigingsactor gebruik van phishing-technieken, zodat het overkomt alsof het dringend is.
In sommige gevallen van deze fraude stuurt de oplichter het slachtoffer meerdere keren een e-mail of een bericht voordat hij daadwerkelijk zijn vraag stelt. Zo wordt de oplichter als geloofwaardig gezien en wint hij het vertrouwen van het slachtoffer.
Technieken die bij pretexting-aanvallen worden gebruikt
Dit zijn enkele technieken die cybercriminelen gebruiken bij het uitvoeren van pretexting-aanvallen:
Impersonatie
Impersonatie is het voordoen als een persoon die het slachtoffer kent. Door zich als een vriend of collega voor te doen, wint een dreigingsactor het vertrouwen van het slachtoffer. Dat vertrouwen is essentieel om het slachtoffer ervan te overtuigen de instructies op te volgen en de aanval te laten slagen.
Phishing
Phishing is bedoeld om een slachtoffer te overtuigen gevoelige informatie vrij te geven via dringende e-mails die van legitieme bronnen lijken te komen. Phishing is de meest voorkomende pretexting-techniek, omdat mensen er gemakkelijk in trappen. Phishing-e-mails bevatten vaak geïnfecteerde links en bijlagen. Wanneer het slachtoffer erop klikt, wordt zijn apparaat geïnfecteerd met malware. Malware is kwaadaardige software waarmee dreigingsactoren toegang krijgen tot gevoelige gegevens op het apparaat van hun slachtoffer.
Piggybacking
Piggybacking is een pretexting-techniek waarbij een dreigingsactor op een systeem, netwerk of fysieke locatie binnen probeert te komen door mee te liften met een andere persoon die zich daar niet bewust van is. Om toegang te krijgen tot een fysiek gebouw volgt de dreigingsactor iemand op de voet en glipt naar binnen voordat de deur weer in het slot valt.
Een ander voorbeeld van piggybacking is wanneer iemand zijn apparaat onbeheerd achterlaat zonder voorzorgsmaatregelen te nemen, door bijvoorbeeld het scherm te vergrendelen of uit te loggen. Door een apparaat onbeheerd en onvergrendeld achter te laten kan een dreigingsactor het apparaat en alle gegevens erop gemakkelijk in gevaar brengen. Als u uw computer in een café niet vergrendeld en kort onbeheerd achterlaat, kan een ander tijdens uw afwezigheid gemakkelijk toegang krijgen tot gevoelige gegevens, zoals uw bankrekening.
Hoe kunt u uzelf tegen pretexting-aanvallen beschermen?
Dit zijn enkele manieren waarop u uzelf tegen pretexting-aanvallen kunt beschermen:
Beveilig uw accounts
Als u in een pretexting-aanval met een phishing-e-mail trapt, dan zou u willen dat uw accounts bij voorbaat al goed beschermd zijn. Dit betekent dat u voor al uw accounts sterke, unieke wachtwoorden gebruikt en dat u multifactorauthenticatie (MFA) hebt ingeschakeld.
Een wachtwoordmanager maakt het verbeteren van de beveiliging van uw account eenvoudig, omdat u met zo’n programma wachtwoorden kunt genereren, beheren en veilig kunt opslaan. Een wachtwoordmanager maakt het daarnaast ook makkelijker om tweefactorauthenticatie (2FA) aan uw accounts toe te voegen, omdat het de 2FA-codes automatisch voor u kan invullen, zodat u geen aparte applicatie nodig heeft om uw 2FA-code te vinden en die code dan handmatig in moet voeren.
Wees voorzichtig met informatie die u online deelt
Om pretexting-aanvallen uit te voeren, pluizen cybercriminelen uw werk- en privéleven helemaal uit. Met de informatie die ze vinden kunnen ze hun technieken verbeteren en u nog beter overtuigen om gevoelige informatie te verstrekken. Om uzelf tegen dit soort aanvallen te beschermen, moet u voorzichtig zijn met wat u online plaatst en uw digitale voetafdruk opschonen. Door uw digitale voetafdruk op te schonen, wordt het voor criminelen moeilijker om informatie over uw leven te vinden en wordt het lastiger om u met gepersonaliseerde cyberaanvallen te benaderen.
Ontdek hoe u oplichting via phishing kunt herkennen
Het kan lastig zijn om oplichting via phishing te herkennen, omdat de technieken de afgelopen steeds geavanceerder zijn geworden. Toch is het niet onmogelijk. Dit zijn een aantal aanwijzingen waaraan u kunt herkennen dat een e-mail, sms of telefoongesprek een oplichtingspoging is:
- Onverwachte vragen om persoonsgegevens
- Grammaticale fouten en spelfouten in e-mails of sms-berichten
- Dringende taal
- Ongevraagde links en bijlagen die naar u worden verzonden
Klik nooit op ongewenste links of bijlagen
Door te klikken op links of bijlagen waar u niet om heeft gevraagd, kan uw computer worden geïnfecteerd met malware, waardoor al uw gegevens gevaar lopen te worden gecompromitteerd of gestolen. Voordat u op links klikt waar u niet om heeft gevraagd, kunt u controleren of het een veilige link is. Om de veiligheid van een link te controleren, gaat u met uw muisaanwijzer over de tekst van de link om het adres van de website te zien of kopieert u de link en plakt u die in een URL-checker, zoals Transparantierapport van Google.
Wat betreft ongewenste bijlagen: klik niet op bijlagen die u niet had verwacht. Als iemand beweert een bekende te zijn, neem dan via een andere communicatiemethode contact op om navraag te doen naar de bijlage voordat u deze opent.
Installeer antimalware- en antivirussoftware
Anti-malwaresoftware en anti-virussoftware lijken op elkaar, maar anti-malware kan de regels sneller bijwerken, waardoor het beter beschermt tegen nieuwere versies van malware en virussen. Voor optimale beveiliging kunt u het beste zowel anti-malware- als anti-virussoftware op uw computer installeren, zodat u beschermd bent tegen zowel oudere als nieuwere bedreigingen die op het internet op de loer liggen.
Bescherm uzelf tegen pretexting-aanvallen
Pretexting-aanvallen kunnen meer schade aanrichten dan alleen gegevensdiefstal en kan zelfs uitlopen in financiële verliezen. Daarom is het van cruciaal belang om te leren hoe u uzelf tegen dit soort aanvallen kunt beschermen. De eerste stap om uzelf te beschermen is het beveiligen van uw accounts, wat u eenvoudig kunt doen met behulp van een wachtwoordmanager. Start vandaag nog met een gratis 30-daagse proefversie van Keeper Password Manager om pretexting-aanvallen voor te blijven.