Hebt u zich ooit zo op uw gemak gevoeld dat u gewoon met de stroom meegaat en beslissingen neemt zonder echt na te denken? Dat is precies wat pretexting-oplichters willen, en ze gebruiken allerlei trucs om dat voor elkaar te krijgen. Lees verder om te zien wat pretexting precies is, hoe u een pretexting-aanval herkent en hoe u kunt voorkomen dat u wordt opgelicht met behulp van uitgebreide beveiligingssoftware.
Pretexting is een socialengineering-truc waarbij scammers plausibele verhalen (pretexts) verzinnen om slachtoffers te verleiden persoonlijke informatie of accounttoegang te geven. Dergelijke oplichtingspraktijken presenteren een vals, maar geloofwaardig scenario om het vertrouwen van slachtoffers te winnen, zodat ze voldoende vertrouwen hebben om bepaalde informatie vrij te geven.
Wat pretexting onderscheidt van andere vormen van social engineering is het zeer gedetailleerde of specifieke verhaal (de pretext) dat de oplichter creëert. Dit is puur om slachtoffers te manipuleren het verhaal te geloven en zo te verleiden gevoelige gegevens te delen, zoals accountwachtwoorden, BSN-nummers en zelfs creditcardgegevens.
In tegenstelling tot andere cyberdreigingen zijn pretexting-aanvallen niet afhankelijk van computerhacking of andere technische methoden om systemen te kraken. In plaats daarvan maken pretexting-oplichters misbruik van het vertrouwen van mensen en verleiden ze hen om hun eigen veiligheid in gevaar te brengen door vrijwillig persoonlijke informatie vrij te geven.
Bij pretexting-methoden speelt de oplichter meestal een overtuigend personage dat wordt gebruikt om een verzonnen, maar plausibel verhaal op te zetten waarin het slachtoffer zich kan inleven. Deze verhalen spelen in op de emoties van het slachtoffer en eventuele twijfels weg te nemen.
Pretexting-scams kunnen social-engineeringmethoden gebruiken om misbruik te maken van de gevoelens van een slachtoffer.
Omdat dit soort social-engineeringaanvallen volledig steunt op de geloofwaardigheid van het pretexhting-verhaal voor het slachtoffer en de bereidheid van het slachtoffer op de verzoeken van de aanvaller in te gaan, richten oplichters zich meestal op slachtoffers met de volgende eigenschappen:
Goed van vertrouwen
Kwetsbaar
Invloedrijk
Geen kennis van dreigingen
Niet technisch onderlegd
Gezagsgetrouw
Afhankelijk van op wie ze zich richten en de gegevens die ze op het oog hebben, maken oplichters gebruik van een heel draaiboek aan pretexting-methoden. Laten we eens kijken naar enkele specifieke technieken die kunnen worden gebruikt in pretexting-scams
De overgrote meerderheid van de pretexting-scams bestaat uit phishing-aanvallen die zijn ontworpen om mensen te verleiden persoonlijke informatie vrij te geven of op een koppeling te klikken die tot een malware-infectie kan leiden. Maar in tegenstelling tot gewone phishing, wordt bij social-engineeringpretexting vaak een gerichtere spear phishing-aanval gebruikt om een meer langdurige band tot stand te brengen en in stand te houden.
Phishing-aanvallen proberen mensen op schadelijke koppelingen te laten klikken.
Een pretexting-scenario kan bijvoorbeeld een phishingmail zijn waarin u wordt uitgenodigd voor een verrassingsfeestje voor iemand die u vaag kent, zoals een collega van een andere afdeling. De mail kan worden gevolgd door een andere e-mail over een bijdrage voor een cadeau. Uiteindelijk ontvangt u een sms met een schijnbaar legitieme betaalkoppeling waarmee uw geld wordt gestolen.
Phishing is uitgegroeid tot zo'n groot cyberbeveiligingsprobleem dat vishing (voice phishing) een eigen subgroep heeft gekregen. Smishing (sms-phishing) gebeurt wanneer een crimineel u via sms in de val probeert te lokken.
Als smishing wordt als onderdeel van pretexting wordt gebruikt, kan de sms iets eenvoudigs en ogenschijnlijk onschuldigs zijn om de weg vrij te maken voor een grotere aanval. Social-engineeringpretexting gaat vaak gepaard met een uitvoerig achtergrondverhaal en smishing maakt daarom deel uit van een cyberbeveiligingsaanval.
In pretexting-scenario's waarbij iemand zich fysiek toegang verschaft tot een gebouw of faciliteit wordt vaak gebruik gemaakt van tailgating en piggybacking ("bumperkleven" en "meeliften"). Bij tailgating glipt iemand achter een bevoegd persoon een gebouw binnen, terwijl piggybacking eerder op social engineering vertrouwd dan op stiekeme handelingen.
Een 'piggybacking' dreigingsacteur vertelt een bevoegd persoon een geloofwaardig verhaal en overtuigt hem of haar er zo van om hem binnen te laten in de faciliteit. Ze zeggen bijvoorbeeld dat ze hun toegangspasje zijn vergeten en doen zich soms zelfs voor als een bezorger.
Als phishing de kleine visjes binnenhaalt, dan vangt whaling de grootste wezens in de zee. Whaling is een pretexting-methode waarbij hooggeplaatste werknemers worden gemanipuleerd als onderdeel van een grotere bedrijfsaanval. Zelfs leidinggevenden zijn vatbaar voor spear phishing- en whaling-aanvallen, omdat deze zijn gebaseerd op social engineering, wat inspeelt op menselijke zwakheden en kwetsbaarheden.
Whaling-aanvallen zijn gericht op hooggeplaatste personen.
Pretexting houdt vaak in dat iemand zich voordoet als een officiële werknemer, een medewerker van een nutsbedrijf of iemand van wie wordt aangenomen dat deze recht heeft op toegang tot gevoelige informatie of toegang moet hebben. Zo'n imitatie hoeft niet altijd heel geraffineerd te zijn, want mensen hebben de neiging om mensen in gezaghebbende posities of mensen die in een officiële hoedanigheid handelen van nature te respecteren en te vertrouwen.
Een veelvoorkomend voorbeeld van dit soort pretexting-aanvallen is technische-ondersteuningsfraude, waarbij een oplichter zich voordoet als een vertegenwoordiger van een groot en bekend bedrijf om op afstand toegang te krijgen tot uw apparaat, u te verleiden om op een schadelijke koppeling te klikken of u te verleiden nepbetalingen te doen.
Controleer of de communicatie die u van merken ontvangt legitiem is.
Baiting is ontworpen om een slachtoffer te verleiden tot actie met de valse belofte van een beloning zoals een nepterugbetaling of geldprijs. Bij pretexting creëert de oplichter een scenario waardoor het slachtoffer zich zeker voelt en het aas (bait) pakt. Dit kan ook spoofing omvatten. Hierbij lijkt communicatie afkomstig te zijn van een vertrouwde contactpersoon of organisatie.
Scareware is een type malware dat u bombardeert met alarmerende berichten over dreigingen en ernstige gevolgen als u niet onmiddellijk actie onderneemt, zoals het downloaden van nepvirussoftware. Door paniek te zaaien, kan scareware ervoor zorgen dat slachtoffers irrationeel handelen en ondoordacht beslissingen nemen. Iets wat ze normaal niet zouden doen.
Scareware probeert u ervan te overtuigen dat er malware op uw apparaat staat.
Voorbeelden van pretexting in het echte leven omvatten talrijke hackaanvallen op bekende bedrijven en hooggeplaatste personen, maar ook de honderdduizenden gewone mensen die elk jaar het doelwit zijn. De meest voorkomende soorten pretexting-scams zijn:
Scams met cadeaubonnen
Een scam met cadeaubonnen begint vaak met een sms of e-mail waarin u wordt gevraagd op een koppeling te klikken of contactgegevens te verstrekken om een prijs te claimen.
ISP-trucs (Internet Service Provider)
Hierbij doen mensen zich voor als uw ISP om u over te halen gevoelige informatie vrij te geven.
Verzoeken in e-mailonderwerpen
Deze pretexting-aanvallen komen via e-mails met pakkende onderwerpregels die uit een betrouwbare bron afkomstig lijken te zijn.
'Grandparent'-scams
Bij dit soort pretexting-aanvallen worden dringende verzoeken gedaan om geld over te maken om een familielid te helpen dat blijkbaar in grote nood verkeert.
Relatiescams
Bij deze scams probeert een oplichter u te verleiden een valse online relatie aan te gaan die zich ogenschijnlijk tot een echte relatie zou kunnen ontpoppen. Vaak vraagt de fraudeur om financiële hulp (dit wordt ook wel catfishing genoemd).
Venmo-scams
Online betalingsfraude, zoals Venmo-scams, doet zich voor wanneer oplichters u overhalen om hun geld te sturen via een populaire betaalapp zoals Venmo.
Gezien de vele verschillende benaderingen, personages en scenario's die oplichters bedenken om hun slachtoffers te misleiden, zijn er vrijwel eindeloos veel variaties van elk type pretexting-aanval. Daarom is het vaak zo moeilijk voor slachtoffers om deze vorm van fraude te detecteren en te vermijden.
Pretextingaanvallen kunnen ook verbazingwekkend geraffineerd zijn en meerdere jaren lopen voordat ze aan het licht komen. We wijzen op een pretexting-oplichter die $ 100 miljoen ontfutselde aan Google en Facebook door tussen 2013 en 2015 een reeks valse facturen te sturen.
Hoewel phishing en pretexting erg op elkaar lijken, is phishing een aanvalsmedium, terwijl pretexting een aanvalsmethode is. De twee kunnen elkaar overlappen, zoals in een zeer gerichte spear phishing e-mail waarin de afzender zich voordoet als een vriend, familielid of werkgever van het doelwit. Maar hoewel phishing-communicatie deel uitmaakt van veel pretexting-aanvallen, bevatten niet alle pretexting-scams een phishing-component.
Pretexting-aanvallen zijn opzettelijk moeilijk te herkennen, maar er zijn een aantal duidelijke kenmerken die erop kunnen wijzen dat iets niet is wat het lijkt. Hier zijn enkele rode vlaggen waar u op moet letten omdat ze u kunnen waarschuwen voor dit soort oplichterij:
Dringende taal: Om hun aanvallen snel af te ronden, kunnen pretexters proberen een gevoel van urgentie te creëren door taal te gebruiken als 'z.s.m', 'onmiddellijk' of 'nu'.
Vreemde verzoeken: Wees op uw hoede voor elk verzoek om gevoelige informatie, het overmaken van geld of het uitvoeren van ongebruikelijke downloads, zelfs als het de normale communicatiekanalen en gespreksstijlen volgt.
Valse vertrouwdheid: Wees op uw hoede als u uit het niets een bericht ontvangt met een opening als "Heb je nu even tijd?" of "Kun je iets voor me doen?", zelfs als het zogenaamd van iemand komt die je kent.
Voortdurende communicatie vermijden: Pretexters verzinnen vaak allerlei smoesjes om voortdurende communicatie te vermijden en ze ontmoedigen het slachtoffer om de verzoeken van de oplichter in twijfel te trekken of te verifiëren.
Vervalste domeinen: Aanvallers die een legitieme website imiteren, kunnen vergelijkbare e-mail- of URL-domeinen gebruiken, mogelijk met gemakkelijk te missen spelfouten of discrepanties in de e-mail van de afzender of de gekoppelde URL.
Vaak, tegen de tijd dat u een pretexting scam hebt geïdentificeerd, is de phishing- of hackaanval al te ver gevorderd en is er al een datalek geweest. Desondanks moet u internetscams altijd melden en de nodige stappen ondernemen om uw gecompromitteerde accounts en apparaten te beveiligen, wat helpt om identiteitsdiefstal te voorkomen.
Tekenen van een vervalste e-mail zijn onder andere valse e-mailadressen, verdachte koppelingen en ontbrekende of valse contactgegevens.
De meest waardevolle stap die een organisatie of individu kan nemen om pretexting te voorkomen, is zichzelf informeren over e-mailbeveiliging en veelvoorkomende pretexting-methoden. Als u weet hoe pretexting werkt en waar u op moet letten, kunt u voorkomen dat u hier het slachtoffer van wordt.
Volg deze stappen om pretexting-scams gericht op u en uw gegevens te voorkomen:
Wees alert op rode vlaggen zoals dringende taal, vervalste e-mailadressen of verdachte verzoeken.
Klik niet op niet-geverifieerde koppelingen en download geen verdachte bijlagen.
Deel geen gevoelige informatie met iemand voordat u hun identiteit hebt geverifieerd.
Neem contact op met de afzender via een geverifieerd kanaal om hun verzoek te verifiëren.
Meld verdachte correspondentie aan uw leidinggevenden en IT-professionals.
Meld de fraude bij uw lokale autoriteiten. In de VS kunt u fraude melden bij de FTC.
Elke vorm van pretexting met frauduleuze bedoelingen is illegaal in de VS. Het is niet alleen verboden om u uit te geven voor autoriteiten zoals wetshandhavers, maar de Telephone Records and Privacy Protection Act van 2006, die gegevens van telecommunicatiebedrijven beschermt, stelt ook dat smishing, vishing en andere pretexting-aanvallen strafbaar zijn.
Daarnaast maakt de Gramm-Leach-Bliley Act het illegaal om klantgegevens van een financiële instelling te verkrijgen of proberen te verkrijgen, openbaar te maken of proberen openbaar te maken, wanneer deze zijn verkregen door middel van fraude of bedrog. Dit maakt het overgrote deel van beveiligingspretexting om persoonlijke bankgegevens te verkrijgen illegaal.
Hoe kundig en kritisch u ook bent, geavanceerde social-engineeringmethoden kunnen erg overtuigend zijn. AVG AntiVirus FREE helpt u scams te herkennen voordat ze plaatsvinden, dankzij de automatische detectie van dreigingen die phishingkoppelingen helpt te blokkeren, waarschuwt voor nepwebsites, scareware uitschakelt en malware in realtime in quarantaine plaatst. Voorkom dat pretexting-scammers toegang krijgen tot uw gegevens. Installeer AVG vandaag nog helemaal gratis.
Privacy | Kwetsbaarheid melden | Contact opnemen met beveiliging | Licentieovereenkomsten | Verklaring over moderne slavernij | Cookies | Toegankelijkheidsverklaring | Verkoop mijn gegevens niet | | Alle handelsmerken van derden zijn eigendom van hun respectieve eigenaren.
