In dit blogartikel bespreken we hoe cybercriminelen voice, SMS en QR-codes gebruiken om toegang te krijgen tot de IT-systemen van organisaties.
Voordat cybercriminelen hun slag kunnen slaan hebben ze toegang nodig tot je IT-systemen. Hoewel sommige cybercriminelen scripts gebruiken en talloze wachtwoorden proberen (“brute force attacks”), krijgen ze vaker toegang door het “gewoon” aan gebruikers te vragen.
Zo “vragen” ze dat via e-mail bijvoorbeeld, middels de welbekende phishing mails. Varianten op deze techniek waarbij specifieke (top)functionarissen gericht worden aangevallen noemen we ook wel “spearphishing” of “whaling”. Maar criminelen zijn creatief en beperken zich niet enkel tot het traditionele phishing via e-mail – ze gebruiken ook “vishing”, “smishing” en “quishing” om toegang te krijgen tot belangrijke IT-systemen.
Wat deze technieken precies zijn en hoe cybercriminelen deze inzetten lees je in dit blogartikel.
Vishing = phishing via Voice
Naast phishing bevat het arsenaal van cybercriminelen tegenwoordig ook Vishing. Hierbij maken ze gebruik van voice, meestal via telefoon of voicemail, om hun doelwit te benaderen.
Met AI bijvoorbeeld kan een stem van een CEO of CFO behoorlijk geloofwaardig worden nagemaakt. Maar het gebeurt ook minder geavanceerd: zo doen cybercriminelen zich ook voor als iemand die je niet persoonlijk kent, zoals de assistent van de CFO of een medewerker van de bank. Met een goed verhaal waarin ze een aantal details van de organisatie benadrukken zijn veel mensen te overtuigen.
Smishing = phishing via SMS
Ook Smishing is een bekende “vistechniek” voor cybercriminelen. Hierbij sturen ze een SMS om iemand te verleiden tot het klikken van een link naar een malafide pagina. Op een telefoon kun je namelijk niet zo gemakkelijk zien of een link veilig of kwaadaardig is – en daar maken criminelen dankbaar gebruik van.
Over het algemeen wordt er in zo’n SMS’je ook behoorlijk wat tijdsdruk gecreëerd. In het bericht wordt bijvoorbeeld gedaan alsof het de laatste kans is om een erfenis op te eisen, een belangrijk pakketje te ontvangen, of om een vervallen factuur te betalen en te voorkomen dat het incassobureau langskomt.
Quishing = phishing via QR-code
De laatste tool in de gereedschapskist van cybercriminelen die we bespreken is het moderne Quishing. Deze techniek is uit dezelfde categorie als Smishing, namelijk het verleiden van gebruikers om een link te openen maar dan via een QR-code.
Zulke QR-codes kunnen weergeven worden op websites en andere online communicatiekanalen, maar bij een gerichte aanval op een organisatie kan het ook gedaan worden via QR-codes op flyers of stickers op de parkeerplaatsen in de buurt bijvoorbeeld. Aangezien je aan de voorkant niet kunt zien waar een QR-code van is, worden nieuwsgierige types geprikkeld om de code te scannen om te achterhalen waar deze naartoe leidt. Daarnaast kan er bij de code natuurlijk ook een valse belofte in tekst worden gemaakt (bijvoorbeeld om iets te winnen), of wordt de code geplaatst bij een onschuldig lijkende instructie om de parkeerplaats te betalen.
Phishing technieken bieden oneindig veel kansen
De verschillende variaties op phishing lijken misschien doorzichtig, maar toch vormen ze een grote kwetsbaarheid voor organisaties. De oplettende gebruikers onder ons zal het misschien niet zomaar bij lukken, maar met deze technieken gaan ze even gemakkelijk door naar een volgend potentieel slachtoffer. Bovendien kunnen cybercriminelen ook talloze variaties maken op e-mails, SMS’jes, QR-codes en zelfs stemmen.
Het is daarom belangrijk om zulke malafide “vistechnieken”, in wat voor vorm dan ook, altijd te rapporteren binnen de organisatie. Op deze manier kunnen afzenderadressen en/of telefoonnummers geblokkeerd worden en de andere collega's zo snel mogelijk gewaarschuwd worden voor het gevaar.
Ben je benieuwd naar het laatste blogartikel uit deze serie over cybersecurity kwetsbaarheden in organisaties? Volg ons dan op LinkedIn en blijf op de hoogte met cybersecurity nieuws, tips & tricks om jouw organisatie veilig te houden.