Wat is vishing?

Vishing is een vorm van phishing. Zowel de uitspraak als schrijfwijze lijken erg op elkaar, maar wat is precies het verschil? In dit artikel gaan wij in op die vraag en leggen wij uit wat vishing inhoudt. Tot slot bespreken wij ook een aantal voorbeelden.

Vishing is een vorm van cybercriminaliteit waarbij de telefoon wordt gebruikt om persoonlijke informatie van slachtoffers te verkrijgen. De ‘v’ van vishing staat in dit geval voor ‘voice’. Cybercriminelen gebruiken social engineering-technieken om slachtoffers via telefoongesprekken te dwingen gevoelige informatie te verstrekken en toegang tot bijvoorbeeld bankrekeningen te verlenen. Omdat deze tactiek via een telefoongesprek wordt uitgevoerd, is er sprake van voice phishing, ofwel vishing.

1. Hoe werkt vishing?

Vishing is, net als phishing en smishing, gebaseerd op het overhalen van slachtoffers om gevoelige gegevens te delen. De beller doet zich meestal voor als iemand van de overheid, de belastingdienst, de politie of de bank van het slachtoffer.

Cybercriminelen gebruiken dreigementen en overtuigende retoriek om slachtoffers ervan te overtuigen dat zij geen andere keuze hebben dan de gevraagde informatie vrij te geven. Sommige cybercriminelen gebruiken vijandige taal, terwijl anderen frauduleus beweren dat zij het slachtoffer helpen strafvervolging te voorkomen. Een andere veelgebruikte tactiek is het inspreken van dreigende voicemails, waarin de luisteraar wordt meegedeeld dat hij het risico loopt de gevangenis in te gaan, zijn bankrekening bevroren wordt, of erger.

Vishing gedijt goed wanneer criminelen enige voorkennis hebben van de interesses van een gebruiker. Zij gebruiken deze kennis om meer betrouwbaar over te komen en het vertrouwen van het slachtoffer te misbruiken.

Volgens de BBC werd er in 2015 wereldwijd voor 16 miljard dollar gefraudeerd met creditcards, en was vishing goed voor 1 miljard dollar.

2. Voorbeelden van vishing

Omdat vishing steeds vaker voorkomt, maken bedreigers gebruik van verschillende technieken om slachtoffers mee te lokken in hun plannen. Hieronder volgen enkele van de meest voorkomende vishing-praktijken die op de werkplek worden gebruikt.

2.1 Financiële Vishing

Vishing-criminelen kunnen zich voordoen als uw bank, creditcardaanbieder of een andere financiële organisatie om toegang te krijgen tot uw financiële rekeningen. In dit geval beweert de fraudeur meestal dat de rekening van het slachtoffer abnormaal gedrag vertoont of frauduleus is en vraagt hij om validatie van de bankgegevens, het rekeningnummer en/of het postadres van het slachtoffer.

2.2 Oplichting bij technische ondersteuning

De beller doet zich voor als een vertegenwoordiger van een gerenommeerd bedrijf, zoals bijvoorbeeld Google of Apple. Ze sturen regelmatig een waarschuwing naar het account van het slachtoffer, stellen hen op de hoogte van verdacht gedrag en vragen om bevestiging van hun accountgegevens. Ze kunnen ook een e-mailadres zoeken om het slachtoffer een software-update te sturen, met de instructie deze op hun computer te installeren ter bescherming tegen account-hijacking. In werkelijkheid bevat de software-update malware om de pc van het slachtoffer te infecteren.

2.3 Belastingfraude

Een opgenomen voicemailbericht waarin het slachtoffer wordt gewaarschuwd voor een probleem met zijn belastingaangifte, wordt vaak gebruikt bij dit soort vishingaanvallen. Meestal volgt dan een dreiging met arrestatie als u niet terugbelt.

3. Wat kunt u doen om vishing te voorkomen?

In de prakijk kunt u vishing niet direct voorkomen. Als uw gegevens worden blootgesteld aan hackers bijvoorbeeld, dan kan een crimineel u op een gegeven moment bellen. Bewustzijn is echter de grootste stap en beste verdediging tegen elke vorm van cybercriminaliteit.

Wanneer u een nummer niet herkent of een situatie verdacht aanvoelt, wees dan op uw hoede. Geef nooit gegevens vrij via de telefoon. Indien u twijfelt, bel dan altijd zelf de instantie terug of bezoek hen op hun postadres. Criminelen kunnen telefoonnummers ook spoofen, waardoor het lijkt alsof bijvoorbeeld uw bank u daadwerkelijk belt, terwijl dit niet zo is.

Voor bedrijven raden wij een cyber security awareness training aan voor medewerkers om het bewustzijn omtrent de cybercrime gevaren te vergroten.