De bibliotheek voor digitale criminaliteit

De evolutie van phishing: hoe beschermen we onszelf?

Gepubliceerd op 30 oktober 2020 om 14:00

Dat criminelen creatieve methodes verzinnen om je geld te ontfutselen, weten we al langer dan vandaag. Echter, het herkennen van de slimme trucs wordt steeds moeilijker. Waar we enkele  jaren geleden nog konden adviseren hoe je een phishing mail of nep website herkent, is het nu haast  niet meer uit te leggen aan gebruikers.

Slachtoffer worden van oplichting of cybercrime is daarom geen schande. Er zijn voor elke doelgroep listen die een crimineel kan inzetten. Van aanvallen op burgemeesters, wethouders, CEO's, penningmeesters, jongeren tot medewerkers van bedrijven.

Eigen schuld dikke bult

Vaak lees ik opmerkingen als: "hoe kun je nu hier intrappen", "ja dat had je kunnen verwachten" of "als je daar nu intrapt dan heb je het ook verdiend om slachtoffer te worden". Maar ik kan jullie beloven, dat iedereen van jong tot oud, van medewerker tot CEO, in een  cybercrime aanval kan trappen.

Vergelijk het maar met een woning - durf jij te beweren dat het onmogelijk is om in je huis in te breken?

Stel.. je zet een advertentie in de krant: "Wie lukt het om in mijn super-beveiligd huis in te breken? Als het lukt ontvang je duizend euro" . Met als motivatie: zijn er nog kwetsbaarheden aan mijn huis waar mogelijk inbrekers kunnen indringen? Dan zullen er zeker wat mensen op reageren, maar ik denk niet dat iemand uit Nigeria op het vliegtuig zou stappen om deze uitdaging aan te gaan.

Maar stel je voor dat ik deze vraag stel en het woord 'mijn huis' vervang door 'mijn computer'. Dan is de kans groter dat deze inwoner van Nigeria waarschijnlijk wel een poging zal wagen. Als je dan beseft dat heel de wereld deze uitdaging zou kunnen aangaan, dan begrijp je dat de kans dat iemand het voor elkaar krijgt om je computer binnen te dringen veel groter is dan in de fysieke wereld.

Durf je nog te beweren dat je nergens intrapt of dat je computer zo goed beveiligd is dat het onmogelijk is om je computer binnen te dringen? 

Het beste van beide werelden

Een voorbeeld van een aanval waarbij criminelen het beste uit de fysieke wereld en het beste uit de digitale wereld bij elkaar brengen, is 'phishing per post'. Hierbij voert de aanvaller een spearphishing-aanval (gerichte aanval) uit via de fysieke post om vervolgens over te gaan tot het digitaal plunderen van de bankrekening. Lees hieronder het verhaal van Carola & Debbie.

"Nieuwe manier van oplichting: Mijn vader heeft vrijdag een brief ontvangen van de Rabobank (dacht hij). 's Avonds toen ik papa zag, zei hij: Je moet even de pinpas opsturen want deze is bijna verlopen , staat in de brief en dan moet je ook even dit allemaal invullen. Bij mij ging er meteen een lichtje branden. Toen ik op de pinpas keek stond daar een hele andere datum op dan in de brief en op het formulier wat bijgevoegd was om je pincode in te vullen. Toen wist ik het heel zeker. Pap dit klopt niet, zo gaat de Rabobank niet te werk. Dit is oplichting! Ben van morgen al vroeg naar de Rabobank toe gegaan en inderdaad. Zo iets versturen wij nooit was het antwoord. Deze manier van oplichting is bij de Rabobank Druten nog niet bekend. Ze hebben alles gescand en ik ben ook even doorgereden naar de politie. Ook daar hetzelfde antwoord. Dit is een nieuwe manier en ook niet bekend. De politie heeft er ook een foto van gemaakt en het wordt op diverse Facebook pagina's bekend gemaakt. Dus wees alert en waarschuw iedereen voor deze nieuwe praktijken. Zeker bij oudere mensen, want die trappen hier in. Voor privacy redenen heb ik de envelop links boven op papa's adres gelegd. Zouden jullie dit bericht willen delen dan is het bereik groter. Een gewaarschuwd mens telt voor 2. Laat die vieze honden niet de kans krijgen om op deze laffe manier aan geld van andere mensen te komen die er WEL kei hard voor werken of hebben gewerkt."

Broodje aap

Deze berichten had ik al eerder voorbij zien komen, maar ik dacht in eerste instantie dat dit 'een broodje aap' verhaal was. Tot ik meerdere vragen ontving via de website Cybercrimeinfo.nl.

Vervolgens ben ik me er in gaan verdiepen. Ik ben op ondergrondse fora gaan snuffelen of er diensten waren (Crime as a service) die dergelijke tools of handleidingen aanboden. In eerste instantie kon ik deze niet zo snel vinden. Maar door het ook uit te zetten binnen mijn netwerk, kreeg ik een tip. En inderdaad; er zijn criminelen die deze diensten aanbieden waarbij ze bij succes een percentage ontvangen van het gestolen geld. Zorgelijk.. als je nu ook al niet meer hoeft te investeren om dergelijke criminele diensten te gebruiken. Dan wordt het wel heel verleidelijk voor  potentiële criminelen. Maar door de jaren heen verbaas ik me niet meer over dergelijke praktijken.

"Criminelen moeten ook hun dure auto en huis blijven betalen"

Het lijkt steeds gekker en lucratiever te worden, waarbij Corona digitale oplichting en cybercrime een boost heeft gegeven. Want zoals mijn collega destijds zei: "criminelen moeten ook hun dure auto en huis blijven betalen en deze criminelen kunnen geen aanvraag indienen voor ondersteuning bij de overheid" aldus Hans van afdeling politieprofessie in maart jongstleden. 

En inderdaad, voor criminelen is er nu minder te halen op straat en inbreken in woningen is ook lastig nu iedereen thuis werkt. Dus digitale criminaliteit wordt steeds interessanter. De cijfers bevestigen dat de traditionele misdaad zoals woninginbraak afneemt in deze Corona tijd. En dat digitale criminaliteit toeneemt.

Conclusie: hoe beschermen we onszelf?

Uiteraard denk ik hier ook over na. Hoe kunnen we nu mensen 'digi-weerbaar' maken voor deze complexe en steeds veranderende digitale criminaliteit?

Tijdens dit onderzoek naar 'phishing per post',  kwam ik tot een conclusie. Uitleggen hoe men nep-berichten herkent, is haast niet meer haalbaar. Want het wordt steeds moeilijker te herkennen. Zelfs voor deskundigen.


Wat we ons zullen moeten aanleren, is 
om bij alle handelingen een zogenaamde 'tweede stap verificatie' uit te voeren. Dit is echt de enige manier om het 'koren van het kaf' te scheiden. VERIFIEER de echtheid van berichten ALTIJD door via de officiële kanalen van een afzender te checken. Dit kun je bij alles doen, zoals je bank, de overheid, een bedrijf of andere afzenders van berichten. Vertrouw in de basis nooit zomaar een bericht dat je voorgeschoteld krijgt, maar CHECK de echtheid.

Samengevat, doe altijd een 'tweede check' alvorens te handelen. Het kost wat meer tijd maar het zal een hoop ellende schelen. Alleen dan kunnen we ons weren tegen de slimme trucs van criminelen.


Meer tips en tricks over digitale veiligheid kun je hier bekijken.

#waarschuwing #bewustwording #bekwaamheid #geenslachtoffer #NoTimeToWaste

Schrijver blog: Peter Lahousse

Bron: Facebook, Darkweb, diverse communicatie middelen, ethisch hacker


Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.