Social engineering / OSINT


Social engineering

Social engineering is het misbruiken van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid. Social engineering is zo oud als de mensheid en kent vele vormen.

Criminelen proberen vertrouwelijke informatie van u te verkrijgen. Zij proberen u een bepaalde handeling te laten verrichten, zoals het afgeven van persoonlijke gegevens (phishing), beveiligingscodes of creditcardgegevens of het installeren van  malware.

Voorbeelden

  • U biedt iets te koop aan op bijvoorbeeld Marktplaats. Dan wordt u benaderd door een crimineel die zich voordoet als potentiële koper. Het contact loopt vaak via WhatsApp. Nadat u de prijs bent overeengekomen, stuurt de crimineel via WhatsApp een kopie van zijn ID-kaart of rijbewijs en bankpas en vraagt u hetzelfde te doen. Op dat moment geeft de crimineel aan dat hij de betaling alleen via zijn zakelijke rekening kan voldoen. Hij vraagt u dan om in te loggen via de computer op internetbankieren. En leidt u naar het activeren van mobiel bankieren en zegt daarbij nog expliciet dat u niet de inlogcode aan hem moet geven. Dan geeft de crimineel aan welke type telefoon moet worden aangeklikt. De crimineel vraagt u dan de bevestigingscode aan hem via WhatsApp door te geven. Want die heeft hij nodig om de betaling aan u uit te voeren. Maar u geeft hiermee de crimineel toegang tot al uw bankrekeningen en -gegevens. Zo kan de crimineel uw rekeningen leeghalen en daarbij ook nog gebruikmaken van uw doorgegeven identiteitsgegevens.

  • U biedt iets aan te koop op bijvoorbeeld Marktplaats. De crimineel vraagt of u een klein bedrag (vaak € 0,01) via een betaallink naar hem overmaakt, ter controle. Hij geeft aan dat hij dat nodig heeft om uw identiteit te controleren. Hij stuurt u via WhatsApp een nep-betaalverzoek. De link gaat alleen niet naar iDEAL, Tikkie, Bunq of naar een bank maar naar een nep iDEAL-website. Zo kan de crimineel uw inloggegevens van internetbankieren ontvreemden. Let op: Niet iedere betaallink is vals. Consumenten kunnen een betaallink ontvangen van ondernemers én van consumenten. Ook WhatsApp mag gebruikt worden voor echte betaallinks. Controleer de betaalpagina goed.

  • Iemand biedt concertkaarten te koop aan op internet en deze wilt u graag hebben. Deze verkoper wil graag zeker weten dat u betaalt en en vraagt daarom ter controle een kopie van een geldig legitimatiebewijs per e-mail te sturen en een symbolisch bedrag over te maken.

  • Bij bezoek aan een website krijgt u een pop-up die vermeldt dat er een virus op uw computer is aangetroffen, met het aanbod gratis een virusscanner te installeren. Deze virusscanner bevat  malware.

  • Enkele dagen na het invullen van een phishingmail belt uw bank u met het verhaal dat er iets mis is met uw account. Als u de aanwijzigen opvolgt om het ‘probleem te verhelpen’, wordt er geld van uw rekening afgeschreven.

  • U krijgt een e-mail die van uw bank afkomstig lijkt met het verzoek een bijgevoegde update te installeren om een lek in de beveiliging van internetbankieren te dichten. Dit bestand bevat  malware.

  • U vindt op internet een filmpje. Uit de titel blijkt dat een beroemdheid uit de kleren gaat. Om het filmpje af te spelen moet u een speciale plugin installeren. Deze plugin bevat  malware.

  • U krijgt een e-mail met een aanbieding die te mooi is om waar te zijn. Als u de bijgevoegde foto’s opent of link klikt, raakt uw computer besmet met  malware.

  • U krijgt via social media zoals Twitter of Facebook een bericht van een bekende dat er foto’s van hem op internet staan, compleet met een link. Als u de link aanklikt, raakt uw computer besmet met  malware.

  • U typt uw wachtwoord voor internetbankieren in terwijl iemand over uw schouder meekijkt naar de toetsaanslagen.

  • U krijgt per e-mail het aanbod om snel en makkelijk geld te verdienen door een paar uur per week wat werk te doen voor een buitenlandse onderneming. Als u hierop ingaat, ontvangt u geld op uw rekening en instructies wat te doen. U bent nu een zogeheten geldezel.

  • Iemand levert een pakket bij u af. U moet er nog voor betalen, maar als u pint bij de bezorger gaat er iets mis. U krijgt het pakket niet en uw pas en pincode zijn gekopieerd.

  • Na het klikken op een link naar een interessante site of interessant bericht verschijnt de mededeling dat er iets fout is gegaan. U wordt geadviseerd software te installeren om de fout te herstellen.

Zonder Toestemming

We delen graag foto's - of het nu gaat om vakanties, vieringen en privémomenten - direct met elkaar. Dat is prachtig en verbindt ons. Echter, eenmaal online geplaatst, zijn deze persoonlijke gegevens wereldwijd en voor onbepaalde tijd beschikbaar. En dat kan onvoorziene gevolgen hebben. Een voorbeeld hiervan wordt gegeven aan de hand van het verhaal van Ella. Om misbruik te voorkomen, zijn we allemaal aangeroepen. We moeten onze mediawijsheid versterken, onze eigen aanpak van gegevensbescherming en gegevensbeveiliging herzien en zo ongewenste schade vanaf het begin afwenden. Bij het omgaan met gevoelige gegevens moet bijzondere zorg en aandacht worden besteed.


OSINT - Open Source Intelligence

Wat is OSINT zult u zich wellicht afvragen?

OSINT staat voor Open Source Intelligence en omvat de methode om informatie en inlichtingen middels openbare bronnen te verzamelen. Dit hoeft niet altijd in de vorm van geschreven tekst te zijn.

Ook (digitale) foto’s, video- en audiofragmenten kunnen, indien zij op de juist wijze geanalyseerd en verwerkt worden, cruciale inlichtingen bevatten welke gebruikt kunnen worden voor het effectief bestrijden van criminele activiteiten, zoals fraude of oplichting, het handhaven van de openbare orde of het waarborgen van de internationale veiligheid.

Informatie is, in ons huidige medialandschap, overal en in overvloed verkrijgbaar. Vrijwel alle informatie is vandaag de dag terug te vinden op het World Wide Web.

Kranten worden gedigitaliseerd en ook televisieprogramma’s zijn terug te kijken via dit digitale medium. Maar ook gerechtelijke uitspraken, verslagen van hoorzittingen of de financiële achtergronden van personen en bedrijven zijn tegenwoordig op eenvoudige wijze terug te vinden.

Onderzoek wijst uit dat de meeste mensen het Internet voornamelijk gebruiken om met elkaar te communiceren. Zo maken op dit moment meer dan 9 miljoen Nederlanders gebruik van Facebook.

Opsporingsinstanties, particuliere fraudebestrijders en inlichtingendiensten maken uiteraard dankbaar gebruik van de, in sommige gevallen, vertrouwelijke informatie die men bewust of onbewust publiceert op dergelijke social media-accounts.

Deze vorm van het vergaren van inlichtingen wordt ook wel aangeduid als SOCMINT (Social Media Intelligence).

Wat kunt u doen?

Zoals aangegeven komt social engineering in veel gedaanten voor waardoor het lastig is om eenduidige richtlijnen te geven. Wees in ieder geval alert als:

  • U wordt gevraagd persoonlijke informatie af te geven aan willekeurige (onbekende) personen, zoals een kopie van een paspoort.

  • Aanbiedingen te mooi klinken om waar te zijn.

  • Er iets mis lijkt te gaan tijdens het surfen en er direct een pop-up verschijnt om u uit de brand te helpen.

  • U de mededeling krijgt dat er iets mis is gegaan bij het bezoek aan een site en vervolgens het advies een link te klikken om dit probleem op te lossen.

  • Een e-mail van een bekende u vreemd voorkomt.

  • U e-mail krijgt van een afzender die u niet kent.

  • Er via internet persoonlijke gegevens aan u worden gevraagd.

  • U tijdens een chatsessie wordt gevraagd met iDEAL of met internetbankieren te betalen voor bijvoorbeeld een filmpje of foto’s.



Maart 2023
December 2021
Januari 2021
Juli 2020

Cybercops, in de digitale kamer

Hoe vang je iemand die op internet nepkleding aanbiedt? Of een 'geldezel', die zijn rekening laat misbruiken voor Tikkie-fraude? In de 'Digikamer' van de politie sporen ze boeven op nieuwe manieren op.

Lees meer »

De achterkant van TikTok

De video app TikTok is de rage van het moment. Het biedt gebruikers de mogelijkheid om video’s, waarin ze zelf zingen, playbacken en/of dansen op te nemen, te bewerken met effecten en met andere gebruikers te delen. Het oogt als een onschuldige app en is enorm populair onder kinderen en jongeren. In korte tijd heeft TikTok al meer dan 100 miljoen gebruikers aan zich weten te binden. Er zijn echter ook diverse geluiden en onderzoeken die aangeven dat de video app niet zo onschuldig is als het lijkt; gebruikers zouden een substantieel privacy risico lopen en de beveiliging van de app zou onvoldoende zijn. Een kort overzicht van wat er tot op heden over TikTok bekend is.

Lees meer »
Juni 2020
Februari 2020

Verborgen is niet altijd verborgen, denk dus na wat je op internet plaatst

Instagram toont bij berichten sinds enige tijd niet meer het specifiek tijdstip of de specifieke datum wanneer een bericht is geplaatst. Ook in bij Instagram Stories staat er doorgaans iets van aantal uren of dagen sinds het bericht online is gezet. Tijdens OSINT-trainingen geven cursisten regelmatig aan dat er toch wel behoefte is om een specifieke datum en tijdstip te achterhalen. Meer dus dan standaard wordt getoond:

Lees meer »