Wat is vishing?
Vishing is een vorm van oplichting waarbij wordt geprobeerd slachtoffers te verleiden gevoelige persoonlijke informatie via de telefoon af te staan. Hoewel dit klinkt als een ouderwetse oplichting, hebben vishing-aanvallen hightech-elementen: er wordt bijvoorbeeld gebruikgemaakt van geautomatiseerde spraaksimulatietechnologie, of de oplichter gebruikt persoonlijke informatie over het slachtoffer uit eerdere cyberaanvallen om hen op hun gemak te stellen.
Of er nu technologie wordt gebruikt, de opzet van de aanval volgt een bekend social engineering-script: Een aanvaller creëert een scenario om te azen op menselijke emoties, meestal hebzucht of angst, en overtuigt het slachtoffer om gevoelige informatie vrij te geven, zoals creditcardnummers of wachtwoorden. In dat opzicht zijn vishing-technieken een afspiegeling van de phishing-zwendel die al sinds de jaren negentig bestaat. Maar vishing-oproepen maken gebruik van het feit dat we eerder geneigd zijn een menselijke stem te vertrouwen – en kunnen zich richten op ouderen en technofoben die naïef zijn en geen ervaring hebben met dit soort oplichting.
Vishing-statistieken
Deze opmerkelijke cijfers bieden een idee van de stand van zaken met betrekking tot vishing en waarom het een lucratieve business kan zijn voor aanvallers.
- Vishing-aanvallen zijn de afgelopen jaren in opmars geweest. In 2018 vertegenwoordigden oplichtingsoproepen bijna 30% van alle inkomende mobiele oproepen.
- Het mag dus geen verrassing zijn dat deze vreemde term meer algemeen erkend begint te worden. Proofpoint’s 2020 State of the Phish-rapport ontdekte dat 25% van de werknemers in hun wereldwijde enquête de term correct kon definiëren.
- 75% van de scamslachtoffers meldt dat vishers al enige persoonlijke informatie over hen hadden, die ze gebruikten om hen te targeten en nog meer informatie te krijgen.
- Van de mensen die bij de FTC melding maken van vishing-zwendel door bedriegers van de overheid, had slechts 6% daadwerkelijk geld verloren – maar degenen die dat deden, verloren nogal wat, met een mediaan verlies van $ 960.
Vishing vs. phishing vs. smishing: wat is het verschil?
Phishing is de grootvader van allemaal, en CSO heeft een complete uitleg met alle details, maar in essentie gaat het om het verzenden van gerichte e-mailberichten om ontvangers te misleiden. “Phish” wordt uitgesproken zoals het gespeld wordt, dus als het woord “vis” – de analogie is die van een visser die een aas uitgooit (de phishing e-mail) en hoopt dat je bijt. De term ontstond in het midden van de jaren negentig bij hackers die AOL-gebruikers probeerden te verleiden hun inloggegevens af te staan. De “ph” maakt deel uit van een traditie van grillige hackersspellingen, en is waarschijnlijk beïnvloed door de term “phreaking”, een afkorting van “phone phreaking”, een vroege vorm van hacken waarbij geluidstonen in telefoontoestellen werden afgespeeld om gratis telefoongesprekken te krijgen.
Vishing is, in wezen, phishing via telefoongesprekken. Net zoals phishing wordt beschouwd als een subgroep van spam, is vishing een uitwas van VoIP-spam, ook bekend als spam over telefonie, of SPIT. De term “vishing” bestaat al sinds eind jaren ’00.
“Smishing” is een vergelijkbaar type aanval waarbij sms-berichten worden gebruikt in plaats van e-mails of telefoongesprekken; het woord is een portmanteau van “SMS” en “phishing.” Voor meer over smishing, bekijk onze uitleg over het onderwerp.
Vishing-technieken
Alle vishing-aanvallen hebben een paar dingen gemeen. De telefoontjes worden in eerste instantie gepleegd via VoIP-diensten (Voice over IP), waardoor het voor de vishers gemakkelijker is om het proces geheel of gedeeltelijk te automatiseren en moeilijker te traceren is voor slachtoffers of rechtshandhavingsinstanties. En het uiteindelijke doel van de aanvallers is om op de een of andere manier van u te profiteren – hetzij door bankrekeninginformatie of andere persoonlijke gegevens te verzamelen die ze kunnen gebruiken om toegang te krijgen tot uw bankrekeningen, of door u te verleiden om hen rechtstreeks te betalen.
Maar binnen het universum van vishing-zwendel, is er een breed scala aan technieken en strategieën. Ze lopen uiteen van grotendeels geautomatiseerde “shotgun”-aanvallen gericht op veel potentiële slachtoffers in de hoop op een paar beten tot lasergerichte oplichting die zich richt op een specifiek doelwit van hoge waarde.
De meest wijdverbreide vorm van vishing begint misschien met zogeheten “wardialing” – dat wil zeggen, honderden of duizenden geautomatiseerde oproepen naar honderden of duizenden nummers. Het potentiële slachtoffer (of zijn voicemail) krijgt een opname te horen die bedoeld is om hem bang te maken of te verleiden om zelf een telefoontje te initiëren naar de oplichters. Vaak beweren de oplichters van de belastingdienst of een andere overheidsinstantie te zijn, of van een bank of kredietvereniging. De oplichters richten zich op een specifiek netnummer en gebruiken de naam van een lokale instelling in de hoop echte klanten te vinden.
Een variatie op deze techniek bestaat uit het gebruik van popup-vensters op uw computer, vaak geplaatst door malware, om een waarschuwing van uw besturingssysteem te simuleren over een technisch probleem. Het slachtoffer krijgt te horen dat hij “Microsoft Support” of iets dergelijks moet bellen en krijgt een telefoonnummer. Dit brengt hen aan de lijn met de vishers, die uiteindelijk een combinatie van echte en geautomatiseerde voice responses kan gebruiken tijdens uw gesprek – ook hier is het doel om het meeste rendement uit weinig inspanning te halen.
Spear vishing
In dit soort shotgun-aanvallen, weten de vishers over het algemeen vrijwel niets over u en zullen ze moeten bluffen om u te laten denken dat zij zijn wie ze zeggen dat ze zijn; hierdoor kunnen ze relatief gemakkelijk worden opgemerkt. Veel verontrustender zijn echter vishers die zich specifiek tot jou richten. Deze techniek staat bekend als “spear vishing”; net als bij spear phishing moeten de aanvallers al enige gegevens over hun doelwit hebben. Een spear-visher weet bijvoorbeeld al je huisadres en bij wie je bankiert voordat hij je belt, wat het voor hem gemakkelijker maakt om je te verleiden je pincode te geven.
Maar hoe weten ze al zo veel over je? “Veel van deze gegevens komen van het dark web, dat vaak voortkomt uit datalekken”, zegt Paige Schaffer, CEO van Global Identity en Cyber Protection-diensten voor Generali Global Assistance (GGA). Dus als u leest over grote datalekken, weet dan dat ze vishing een stuk eenvoudiger kunnen maken. Het lijkt misschien vreemd dat een aanvaller die uw persoonlijke gegevens al heeft, graag meer wil, maar zoals Schaffer aangeeft, “hoe meer informatie een oplichter heeft, hoe meer schade hij kan aanrichten. Waarom tevreden zijn met de laatste vier SSN-cijfers als ze u mogelijk de andere vijf kunnen laten geven? Met een volledig SSN kunnen ze frauduleuze creditcards, leningen en meer openen.”
Als dit allemaal klinkt als veel meer werk dan iemand de wacht aanzeggen en zeggen dat je van de belastingdienst bent, dan heb je gelijk. Maar de meeste mensen – vooral hoogwaardige doelwitten, die vaak hoger opgeleid en cyberavvy zijn – doorzien deze eenvoudigere zwendel. Als de beloning groot genoeg is, kan het de tijd waard zijn om een overtuigende identiteit op te bouwen en informatie los te schudden van het slachtoffer. “Een hacker kan geduldig hebben gewerkt aan het verkrijgen van informatie van het slachtoffer via phishing e-mails, of het vastleggen via malware,” zegt Schaffer. “Wanneer spear vishers achter grotere ‘vissen’ (bij wijze van spreken) zoals CEO’s aangaan, noemen we dat ‘whaling’.” En naarmate de spraaksimulatietechnieken verbeteren, hebben de walvisvaarders nog meer hulpmiddelen in hun arsenaal, met de mogelijkheid om specifieke mensen te imiteren om te proberen hun slachtoffers te misleiden.
Vishingvoorbeelden
Tot nu toe zijn we nogal vaag geweest over de specifieke trucs die vishers uithalen om je geld of persoonlijke informatie te krijgen. HashedOut splitst deze op in vier brede categorieën:
Telemarketingfraude. Dit soort oplichting dateert eerlijk gezegd van voor het vishing tijdperk, maar heeft veel van hun technieken overgenomen. De viser belt u op zonder echt te weten wie u bent en doet u een aanbod dat te mooi is om waar te zijn: u hebt een loterij gewonnen waaraan u nooit hebt meegedaan, u hebt een gratis Marriott-vakantie aangeboden gekregen, u kunt de rente op uw creditcard verlagen, enzovoort. Meestal zijn er vooraf kosten verbonden aan het verkrijgen van uw “gratis” geld, en natuurlijk komt het beloofde aas nooit aan.
Overheidsimitaties. Een veel voorkomende zwendel bestaat uit het insinueren dat een probleem de uitkeringen blokkeert die het slachtoffer zou moeten ontvangen, zoals Medicare- of socialezekerheidsuitkeringen; het aanbieden om het probleem te “verhelpen” opent de deur om het slachtoffer te verleiden tot het overhandigen van persoonlijke informatie, zoals sofi- of bankrekeningnummers. Een agressievere versie hiervan komt van nep-“onderzoekers” van de belastingdienst, die vaak beweren dat de slachtoffers nog belastingen moeten betalen en hen bedreigen met boetes of gevangenisstraf. Deze video toont een politieagent in interactie met een van deze oplichters.
Het is niet ongebruikelijk dat dit soort oplichters eisen te worden betaald door het slachtoffer Amazon gift cards te kopen en hen vervolgens de nummers van de achterkant voor te lezen, omdat de kaartaankopen niet kunnen worden getraceerd. Dit is een goede tip dat u niet te maken heeft met een overheidsinstelling!
Fraude met technische ondersteuning. We hebben dit hierboven al besproken – oplichters kunnen profiteren van de technologisch naïeve mensen en hun zorgen om gehackt te worden, door gebruik te maken van popup-advertenties of malware die zich voordoet als een waarschuwing van het besturingssysteem om slachtoffers te verleiden de oplichters te bellen. Kapersky waarschuwt voor een variant op deze zwendel die in feite een soort ransomware is: malware vergrendelt een pc maar biedt een nummer voor “technische ondersteuning”, waar een vriendelijke “technicus” – die in werkelijkheid deel uitmaakt van de bende die de malware in de eerste plaats heeft geïnstalleerd – uw computer zal repareren, tegen een prijs, waardoor u denkt dat ze u daadwerkelijk hebben geholpen.
Vishing-aanvallen op bankrekeningen. Toegang krijgen tot uw bankgegevens is natuurlijk de heilige graal van een visher. En als een aanvaller al toegang heeft tot een aantal van uw persoonlijke gegevens van een andere bron, zoals we eerder hebben besproken, kunnen ze gemakkelijk het soort legitieme telefoontjes imiteren dat men zou verwachten van hun financiële instelling, op een manier die zelfs de meest slimme onder ons voor de gek kan houden. Panic Inc. oprichter Caleb Sasser vertelde Krebs on Security een schrijnend verhaal over een bijna-succesvolle vishing aanval. De aanvaller slaagde erin zijn telefoonnummer zo te vervalsen dat het overeenkwam met dat van Wells Fargo, de bank van Sasser, en beweerde dat hij een aantal mogelijk frauduleuze rekeningen ging opvolgen. Omdat de “bank” aanbood om een nieuwe pinpas op te sturen, ging Sasser bijna zo ver om een nieuwe PIN-code in te voeren in zijn telefoon voordat hij zich op het laatste moment terugtrok; had hij dat gedaan, dan hadden de oplichters zijn kaart kunnen klonen en vrij kunnen gebruiken.
Dit soort oplichters zijn het meest geneigd om op jacht te gaan, op zoek naar zeer waardevolle doelwitten om hen te helpen snel rijk te worden. Een variant is bekend geworden als de “vrijdagmiddagzwendel”, waarbij de oplichters helemaal aan het einde van de werkweek een beleggingsfirma of een ander rijk doelwit bellen, erop rekenend dat de persoon die de telefoon beantwoordt moe en afgeleid is en zijn waakzaamheid laat verslappen.
Hoe vishing te voorkomen
Als u op zoek bent naar het identificeren en voorkomen van vishing, hopelijk zal het materiaal dat we tot nu toe hebben behandeld u helpen te weten waar u op moet letten. De FTC heeft een goede samenvatting van de belangrijkste punten die iedereen zou moeten weten:
- Wees achterdochtig bij een telefoontje waarin wordt beweerd dat het van een overheidsinstantie komt en waarin om geld of informatie wordt gevraagd. Overheidsinstanties bellen u nooit uit het niets om geld te vragen – of aan te bieden. Hang bij twijfel op, zoek zelfstandig het echte nummer van de instantie en bel ze om te achterhalen of ze u proberen te bereiken.
- Betaal nooit voor iets met een cadeaubon of een bankoverschrijving. Dat is een sterk teken van oplichterij.
- Betrouw nummerweergave niet. Het is heel gemakkelijk te vervalsen.
Kapersky heeft nog een goede vuistregel: een ding dat elke vishing-zwendel gemeen heeft, is een poging om een vals gevoel van urgentie te creëren, waardoor u denkt dat u in de problemen zit of op het punt staat een kans te missen en nu meteen moet handelen. Het kan nooit kwaad om even te pauzeren, informatie over de beller op te schrijven zonder zelf iets aan te bieden, en dan terug te bellen nadat u onderzoek hebt gedaan.
Als u proactieve stappen wilt nemen om uw organisatie te beschermen, kunt u misschien vishing opnemen als onderdeel van een beveiligingsbewustzijnstraining. Verschillende leveranciers bieden gesimuleerde vishingplatforms aan waarmee u kwetsbaarheden in de houding van uw personeel kunt ontdekken en de aard van de dreiging aan uw werknemers kunt laten zien.