Vishing is een vorm van phishing. De uitspraak en spelling zijn erg vergelijkbaar, maar wat is precies het verschil? In dit artikel zullen we die vraag beantwoorden en uitleggen wat vishing inhoudt. Ten slotte zullen wij een aantal voorbeelden bespreken.

Betekenis Vishing

Vishing, afgeleid van voice phishing, is een tactiek die door cybercriminelen wordt gebruikt om individuen telefonisch te manipuleren en hen te misleiden om gevoelige informatie prijs te geven of ongeautoriseerde handelingen uit te voeren. In tegenstelling tot traditionele phishingaanvallen die via e-mail of tekstberichten worden uitgevoerd, maakt vishing gebruik van spraakcommunicatie om menselijke zwakheden uit te buiten en het vertrouwen van slachtoffers te winnen.

Het verschil tussen phishing en vishing

Hoewel vishing overeenkomsten vertoont met phishing, zijn er verschillen in de toegepaste methoden. Phishing maakt meestal gebruik van elektronische communicatie, terwijl vishing afhankelijk is van telefoongesprekken. Vishing-aanvallers gebruiken technieken voor social engineering om een gevoel van urgentie, angst of autoriteit te creëren, waardoor slachtoffers vertrouwelijke gegevens prijs geven of handelingen uitvoeren die de veiligheid in gevaar brengen.

Vishing gedijt het beste wanneer criminelen enige voorkennis hebben van de interesses van een gebruiker. Zij gebruiken deze kennis om betrouwbaarder over te komen en misbruiken het vertrouwen van het slachtoffer.

Volgens de BBC vond er wereldwijd voor $16 miljard aan creditcardfraude plaats in 2015, waarvan $1 miljard aan vishing werd toegeschreven.

Waarom vinden vishing aanvallen plaats?

Vishers worden gemotiveerd door verschillende factoren, waaronder financieel gewin, identiteitsdiefstal of toegang tot waardevolle informatie. Zij maken gebruik van verschillende technieken om hun slachtoffers te misleiden, zoals het vervalsen van telefoonnummers (spoofing) om zich voor te doen als vertrouwde organisaties, het zich voordoen als gezaghebbende figuren of klantenservice-medewerkers, en het gebruiken van overtuigende verhalen om emoties te manipuleren en gevoelige gegevens te verkrijgen.

Voorbeelden van vishing

Financiële vishing

Vishing-criminelen kunnen zich voordoen als uw bank, creditcardaanbieder of andere financiële organisatie om toegang te krijgen tot uw financiële rekeningen. In dit geval beweert de fraudeur meestal dat er abnormaal gedrag is gedetecteerd op het account van het slachtoffer en vraagt om validatie van de bankgegevens, het rekeningnummer en/of het postadres van het slachtoffer.

Technische ondersteuning

De beller doet zich voor als een vertegenwoordiger van een gerenommeerd bedrijf, zoals Google of Apple. Ze sturen regelmatig een waarschuwing naar het account van het slachtoffer waarin ze informeren over verdacht gedrag en vragen om bevestiging van de accountgegevens. Ze kunnen ook op zoek gaan naar een e-mailadres om het slachtoffer een software-update te sturen met instructies om deze op hun computer te installeren ter bescherming van hun account. In werkelijkheid bevat de software-update malware om de pc van het slachtoffer te infecteren.

Belastingfraude

Een ingesproken voicemail dat het slachtoffer waarschuwt voor een probleem met zijn belastingaangifte wordt vaak gebruikt bij dit type aanval. Hierop volgt meestal een dreiging van arrestatie als er niet wordt teruggebeld.

Vishing-technieken

Aanvallers maken gebruik van verschillende technieken om hun doelwitten te misleiden en te manipuleren tijdens telefoongesprekken. Het begrijpen van deze technieken is belangrijk voor het herkennen en beschermen tegen dergelijke aanvallen. Veelvoorkomende toegepaste technieken zijn:

Caller ID-spoofing

Caller ID-spoofing is een techniek die door aanvallers wordt gebruikt om het weergegeven telefoonnummer op de telefoon van de ontvanger te manipuleren. Door legitieme telefoonnummers te vervalsen of vertrouwde netnummers te gebruiken, kunnen aanvallers hun oproepen laten lijken alsof ze afkomstig zijn van vertrouwde bronnen zoals banken, overheidsinstanties of gerenommeerde organisaties. Deze manipulatie van de caller-ID helpt vishers het vertrouwen van hun slachtoffers te winnen en vergroot de kans op succesvolle sociale manipulatie.

Imitatie van vertrouwde entiteiten

Aanvallers doen zich vaak voor als bekende en vertrouwde entiteiten om geloofwaardig over te komen en hun doelwitten te misleiden. Ze kunnen zich voordoen als bankvertegenwoordigers, overheidsfunctionarissen, technische ondersteuningspersoneel of klantenservice-medewerkers. Door deze rollen aan te nemen, maken vishers misbruik van het vertrouwen dat individuen hebben in deze organisaties of autoriteiten.

Pretexting en overtuigende verhalen

Pretexting houdt in dat er een fictieve situatie of verhaal wordt gecreëerd om de emoties en het gedrag van het doelwit te manipuleren. Aanvallers creëren vaardig scenario’s die urgentie, angst of een noodzaak tot onmiddellijke actie opwekken.

Hoe kan ik mijzelf beschermen tegen vishing aanvallen?

In de praktijk kun je vishing niet direct voorkomen. Als je gegevens bijvoorbeeld worden blootgesteld aan hackers, kan een crimineel je op een bepaald moment bellen. Bewustwording is echter de belangrijkste stap en de beste verdediging tegen elke vorm van cybercriminaliteit.

Als je een oproep ontvangt of een situatie die verdacht lijkt, wees dan op je hoede. Geef nooit gegevens door via de telefoon. Als je twijfelt, bel dan altijd zelf de autoriteit of bezoek hen op hun postadres. Criminelen kunnen ook telefoonnummers vervalsen, waardoor het lijkt alsof je bank je daadwerkelijk belt, terwijl dit niet het geval is.

Voor bedrijven raden wij een security awareness training aan voor medewerkers om het bewustzijn omtrent de cybercrime gevaren te vergroten.

FAQ

Wat moet ik doen als ik een verdacht telefoontje ontvang?

Als je een verdacht telefoontje ontvangt, is het belangrijk om waakzaam te blijven. Verstrek tijdens het telefoongesprek geen persoonlijke of financiële informatie. Hang op en verifieer onafhankelijk de identiteit van de beller door contact op te nemen met de organisatie die zij beweren te vertegenwoordigen, gebruikmakend van officiële contactgegevens van hun officiële website of andere vertrouwde bronnen.

Kunnen organisaties het doelwit zijn van vishing aanvallen?

Ja, organisaties kunnen het doelwit zijn van vishing aanvallen, vooral als ze waardevolle gegevens of gevoelige informatie bewaren. Aanvallers kunnen zich richten op werknemers in belangrijke posities of vishing gebruiken als onderdeel van een grotere campagne voor sociale manipulatie.