Voorkom smishing

Voorkom smishing

Door •

Alsof klassieke phishing-zwendel via e-mail nog niet genoeg impact had, is er nu een escalerende dreiging met onbetrouwbare sms-berichten die naar uw smartphone worden gestuurd. Deze social engineering spin-off staat bekend als smishing, een samenvoeging van “SMS” en “phishing”. Het doel is gebruikers te verleiden gevoelige informatie vrij te geven of mobiele malware te downloaden. Deze berichten doen zich meestal voor als betrouwbare bedrijven of personen en kunnen links bevatten die leiden naar phishingpagina’s met referenties.

Het concept van smishing is in de loop der jaren overigens geëvolueerd, en de kanalen voor het opzetten van deze campagnes zijn niet meer beperkt tot traditionele sms-berichten. Fraudeurs verspreiden steeds vaker malafide sms-berichten via populaire mobiele messaging-apps, zoals WhatsApp, Facebook Messenger en WeChat. Het gebruik van deze op internet gebaseerde platforms heeft het malafide proces “gedemocratiseerd”, waardoor misdadigers hun bereik aanzienlijk kunnen vergroten.

Soorten sms-berichten waarbij u alert moet zijn

Om de doeltreffendheid van hun sms’jes te vergroten, hebben oplichters in de loop der tijd een flink aantal smishingtechnieken onder de knie gekregen. Elke techniek trekt op zijn eigen manier aan de touwtjes van de ontvangers om ze te laten afglijden. De volgende thema’s domineren momenteel dit bedreigingslandschap:

Valse waarschuwingen over dubieuze accountactiviteiten

Om bedrijfsmiddelen beter te beschermen tegen ongeoorloofd gebruik in een bedrijfswereld waarin steeds meer op afstand wordt gewerkt, dwingen organisaties een extra verificatiestap af in scenario’s waarin toegang tot een bedrijfsaccount wordt verkregen vanaf een niet-standaardapparaat of -locatie. Kwaadwillenden kunnen op deze voorzichtigheid inspelen door nepbevestigingsverzoeken naar werknemers te sturen.

In veel gevallen worden deze berichten gecamoufleerd als onderdelen van een authenticatieketen met twee factoren (two-factor authentication, 2FA). Het doel is de nietsvermoedende gebruiker ervan te overtuigen op de ingesloten link te tikken, die leidt naar een credential phishing pagina of een malware payload.

Berichten die doen alsof ze van een bank komen

Geldgerelateerde problemen behoren aantoonbaar tot de meest gevoelige onderwerpen voor de gemiddelde leek, en oplichters weten dat. Het zal u dan ook niet verbazen dat smishingberichten zich vaak voordoen als een financiële instelling. Ze informeren het potentiële slachtoffer verkeerd over een verdachte transactie op hun rekening, verklaren dat hun kredietkaart is geblokkeerd wegens een overtreding van de voorwaarden van de bankservice, of bevatten een waarschuwing voor een debetstand. Om het vermeende probleem op te lossen, wordt de persoon verteld een link te volgen en identiteitscontroles uit te voeren.

“U heeft een prijs gewonnen!” Ja, natuurlijk.

Een andere truc in het repertoire van oplichters is iemand te laten geloven dat ze iets hebben gewonnen, of het nu gaat om een loterij, een cadeaubon of een nieuwe glanzende smartphone. Om meer te weten te komen en de vermeende prijs te claimen, wordt de gebruiker verondersteld op een link te tikken. Het goede nieuws is dat de meeste van deze hoaxes gemakkelijk te onderscheiden zijn. De kans dat men aan de haak slaat is echter vrij groot wanneer criminelen van tevoren wat verkenningswerk doen en echte aanbiedingen gebruiken van grote winkels in de buurt van het slachtoffer.

Enquêtes die niet zijn wat ze lijken te zijn

Sommige boobytraps bieden ontvangers aan om deel te nemen aan een enquête. Aangezien de meeste mensen niet graag meedoen aan tijdrovende marketingonderzoeken zoals deze, moeten de boeven buiten de gebaande paden denken om de geesten van hun doelwitten te bereiken. Een voorbeeld van een veelgebruikt lokaas is de belofte van een korting of prijs nadat de vragenlijst is ingevuld.

Berichten die ogenschijnlijk door de overheid worden verstuurd

Om mensen tijdens de pandemie te helpen, hebben de meeste regeringen over de hele wereld verschillende hulpinitiatieven gelanceerd, zoals werkloosheidsuitkeringen en programma’s voor leningen tegen lage rente. Het is voorspelbaar dat kwaadwillenden uit naam van lokale overheden valse berichten hebben verstuurd over verschillende soorten uitkeringen. Elk bericht met betrekking tot een van deze sociale programma’s past in de huidige context en zal waarschijnlijk niet worden genegeerd.

Hoe uw bedrijf smishing-aanvallen kan voorkomen

Vergeet niet dat smishing, net als phishing via e-mail, een vorm van bedrog is – het is afhankelijk van het voor de gek houden van het slachtoffer om mee te werken door op een link te klikken of informatie te verstrekken. De eenvoudigste bescherming tegen deze aanvallen is om helemaal niets te doen. Als u niet reageert, kan een kwaadaardige tekst niets doen.

  • Handhaaf een BYOD-beleid.
    Organisaties die hun personeel toestaan hun persoonlijke smartphones te gebruiken voor het werk, moeten duidelijke regels hebben voor Bring Your Own Device (BYOD), waarin staat hoe om te gaan met verdachte berichten.
  • Pas toegangscontrole toe.
    Het principe van het minste privilege is een van de pijlers van een goed doordachte bedrijfsbeveiliging. Het betekent dat werknemers alleen toegang hebben tot bedrijfsmiddelen die ze nodig hebben voor hun taken. Dit minimaliseert het aanvalsoppervlak als een gebruiker in een smishing-truc trapt en zijn verificatiegegevens weggeeft.
  • Verhoog het bewustzijn van uw teams.
    Beveiligingsbewustzijnstrainingen voor personeel moeten uitgebreide aanbevelingen bevatten over hoe social engineering in het algemeen en smishing in het bijzonder kan worden voorkomen. Overweeg ook om periodiek onderzoek te doen naar de waakzaamheid van gebruikers op dit gebied.
  • Behandel dringende teksten met voorzichtigheid.
    Beperkte aanbiedingen en andere berichten waarin u wordt gevraagd onmiddellijk iets te doen, kunnen oplichterij zijn. Een beetje paranoia is in dergelijke gevallen geen overbodige luxe. Denk twee keer na voordat u antwoordt. Een bericht dat u lokt om te antwoorden is mogelijk dubieus, zelfs als het lijkt op een verzoek om u af te melden van een ongewenste dienst door “STOP” terug te sturen. Dit kan een poging zijn om actief in gebruik zijnde telefoonnummers te achterhalen.
  • Tik niet op links in SMS.
    Als algemene regel geldt dat dit een slecht idee is, zeker als het bericht afkomstig is van een onbekende afzender. Deel geen persoonlijke informatie. Als een willekeurig bericht u vraagt om gevoelige gegevens, met name financiële gegevens, ga er dan niet op in.
  • Rapporteer.
    Zorg ervoor dat werknemers uw beveiligingsteam op de hoogte stellen van smishing-pogingen voor tijdig advies en verder onderzoek. Het is ook de moeite waard om dergelijke incidenten aan de mobiele telefoonprovider te melden, omdat dit helpt om fraudecampagnes in te dammen. Gebruik tools om berichten te blokkeren. Een andere effectieve techniek is om te voorkomen dat onbetrouwbare sms-berichten u überhaupt bereiken. Veel mobiele providers bieden diensten aan waarmee berichten van verdachte afzenders kunnen worden gefilterd.
  • Maak optimaal gebruik van twee-factor authenticatie.
    Zelfs als een fraudeur uw wachtwoord achterhaalt, kan hij het niet gebruiken om in te loggen op uw werkaccount zolang 2FA is ingeschakeld. Er is een extra geheime sleutel nodig, en u bent de enige persoon die deze kent.
  • Houd uw apparaten up-to-date.
    Software-updates brengen belangrijke beveiligingsfixes en verbeteringen die de lat hoger leggen voor oplichters die u proberen te belazeren. Met de beschermingsfuncties in iOS, Android en uw webbrowser kunt u de meeste smishing-aanvallen de kop indrukken.

Maak uw medewerkers bewust

Door uw medewerkers en uzelf te trainen op het gebied van cyberveiligheid en best practices, creëert u een gevoel van empowerment, niet alleen op kantoor, maar ook op afstand. U kunt er zeker van zijn dat uw medewerkers zelfverzekerd zullen zijn in de beslissingen die ze nemen bij het aanmaken van nieuwe wachtwoorden, het filteren van verdachte e-mails of het surfen op internet.

Een bewustmakingstraining over cyberbeveiliging zal het bewustzijnsniveau van uw werknemers onmiddellijk verhogen en hen de praktische vaardigheden bijbrengen die nodig zijn om uw bedrijf beter te beschermen tegen de gevaren van gegevensinbreuken, netwerkaanvallen en ransomwarebedreigingen.

Wilt u meer weten hoe u daadwerkelijk gedragsverandering kan bereiken en wat er moet gebeuren om uw medewerkers zo weerbaar mogelijk te maken? Wij staan klaar om u te helpen bij het samenstellen van uw eigen privacy & security awareness programma!

Vragen?

U kunt altijd contact met SolidBE opnemen mocht u een vraag hebben over een van de besproken onderwerpen (Awareness, Strategie, Training ) of wanneer u assistentie nodig heeft om netwerk- of security vraagstukken op te lossen. Wij helpen u graag bij de beheren van een veilige en solide ICT omgeving!

Auteur

Maarten Schouten is Digital Specialist bij SolidBE. Hij doet onderzoek en schrijft artikelen over de meest uiteenlopende onderwerpen binnen het netwerk en security domein. Ook houdt hij het nieuws bij op ons blog.

Meer artikelen van Maarten Schouten | @LinkedIN

Tags: Awareness, Strategie, Training
Lees meer

Ook interessant

Scroll naar boven