Wat is vishing?

Vishing, ofwel voice phishing, is een phishing-aanval waarbij telefoongesprekken worden gebruikt om je te misleiden persoonlijke, vertrouwelijke en gevoelige informatie te verstrekken, vaak financiële gegevens.

DIGITAL FOOTPRINT SCAN

Misschien heb je dit scenario wel eens op het nieuws gehoord: Iemand krijgt een dringende telefoontje van de Belastingdienst met de mededeling dat hij een groot bedrag aan achterstallige belastingen verschuldigd is. Er wordt gedreigd dat er een agent aan de deur komt als er niet meteen betaald wordt. In paniek stuurt het slachtoffer van de vishing-aanval direct een elektronische betaling. Wanneer het slachtoffer uiteindelijk zijn fout inziet, is het te laat – de financiële instelling vertelt dat het geld weg is.

Wat is een vishing aanval?

Een vishing-aanval is een type phishing-aanval waarbij een bedreiger social engineering-tactieken via stemcommunicatie gebruikt om een doelwit op te lichten. Het woord "vishing" is een combinatie van "voice" of "VoIP" (Voice over Internet Protocol) en "phishing". De oplichter kan proberen het slachtoffer te overtuigen om geld te sturen of om de volgende gevoelige informatie te delen:

  • Naam
  • Adres
  • Geboortedatum
  • Gebruikersnamen
  • Wachtwoorden
  • Creditcardgegevens
  • Bankgegevens
  • Overheidsuitgegeven nummers (bijv. Social Security of Social Insurance).

Wat onderscheidt vishing, smishing, quishing en phishing van elkaar?

Vishing, net als smishing en quishing, kan worden beschouwd als phishing-aanvallen. Alle drie de soorten aanvallen verschillen alleen in de bedreigingsvectoren die ze gebruiken. Phishing bestaat al sinds de vroege dagen van e-mail, en zowel vishing als smishing zijn combinaties van het woord "phishing" en de gebruikte communicatiemethode. Vishing (voice phishing) gebeurt via spraakcommunicatie, en smishing (sms-phishing) gebruikt sms-berichten als aanvalsmiddel. Quishing is een phishing-aanval via frauduleuze QR-codes.

Wat is een social engineering-aanval?

Verschillende vormen van phishing, waaronder vishing, kunnen social engineering tactieken gebruiken. In termen van cybersecurity is sociale engineering het manipuleren van menselijke emoties om het rationele denken van een slachtoffer te verminderen en hen te dwingen twijfelachtige acties te ondernemen. Laten we eens kijken naar enkele manieren waarop social engineering een vishing-aanval kan versterken:

  • Angst: Tijdens een belastingdienstoplichterij kan een oplichter een doelwit bang maken om nepgeld te betalen met dreigementen van gevangenisstraf.
  • Gierigheid: Een kwaadwillende kan een slachtoffer vertellen over een nep-loterijwinst en vragen om betaling van belastingen en vergoedingen vooraf.
  • Liefde: Iemand van een criminele bende kan zich voordoen als een romantische partner om om geld te vragen voor een vliegreis of noodgeval. Vaak beginnen dergelijke oplichtingen op sociale media en ontwikkelen ze zich later tot vishing-aanvallen.
  • Woede: Een oplichter kan woede manipuleren door te vragen om donaties tegen een impopulaire politieke kandidaat, bijvoorbeeld.
  • Mededogen: Een nep-goededoelenorganisatie kan mensen koud opbellen in de hoop geld in te zamelen voor een ramp, noodgeval of andere schijnbaar nobele oorzaak. Evenzo kunnen in een klassiek voorbeeld van ouderfraude oplichters ouderen oplichten door zich voor te doen als hun familieleden of bekenden aan de telefoon.

Hoe wordt vishing gedaan?

Vishing werkt door het samenvoegen van social engineering met stemcommunicatietools. Een aanvaller kan gebruikmaken van robocalls, internationale telefoonnummers, of Voice over Internet Protocol (VOIP) software om een aanval uit te voeren. Oplichters kunnen ook frauduleuze sms-berichten sturen die slachtoffers aanmoedigen hen te bellen via links of telefoonnummers. Vishing kan individuen en organisaties als doelwit hebben. Een bedreiger kan zo’n aanval gebruiken om bijvoorbeeld inlichtingen van een bedrijf te verzamelen.

Voorbeeld van een vishing-aanval.

Helaas trappen elk jaar weer veel mensen in vishing-zwendelpraktijken. Vaak is de dreiging van overheidsschulden overtuigend en angstaanjagend genoeg voor slachtoffers om te betalen. In de VS doen vishing-oplichters zich vaak voor als agenten van de Internal Revenue Service (IRS) die belastingen innen en dreigen met gevangenisstraf als het slachtoffer niet betaalt wat zij zogenaamd verschuldigd zijn.

Hetzelfde gebeurt in Canada, waar een aantal Canadezen 'gevoished' is door bedreigers die beweren van de Canadian Revenue Agency (CRA) te zijn. Een slachtoffer van deze oplichting vertelde hoe stom hij zich voelde dat hij erin was getrapt, en zei dat dat voor hem een van de moeilijkste delen van de hele situatie was.

Soms kunnen vishing-aanvallen beroemd mislukken, zoals toen Keniel Aeon Thomas uit Jamaica het verkeerde doelwit koos. De oplichter dacht waarschijnlijk dat hij een makkelijke prooi had toen de 90-jarige William Webster de telefoon opnam. Thomas vertelde meneer Webster dat hij en zijn vrouw Lynda $15,5 miljoen en een Mercedez-Benz hadden gewonnen. Maar voordat hij de winst met hen kon delen, moesten de Websters een bankoverboeking van $50.000 sturen om de belastingen te dekken. De afperser wist niet dat Webster een voormalig CIA-directeur, FBI-directeur en federale rechter was. Het echtpaar nam contact op met de FBI zodat een agent de gesprekken kon afluisteren, en uiteindelijk belandde de oplichter achter de tralies dankzij het snelle handelen van de Websters.

Helaas lopen de meeste vishing-verhalen niet zo goed af. Voordat Thomas werd veroordeeld, had hij 30 mensen opgelicht voor honderdduizenden dollars. Daarom is het belangrijk om vishing of oplichtersoproepen te herkennen, zodat je jezelf kunt beschermen als je de volgende oproep krijgt.

Hoe stop je vishing?

Mensen die slachtoffer worden van vishing-aanvallen kunnen goed geïnformeerd zijn over het risico maar toch overrompeld worden. Bedreigers veranderen hun tactieken regelmatig om mensen op nieuwe manieren te misleiden. Je kunt een oproep beantwoorden op een drukke dag, wanneer je net niet verwacht dat het een vishing-aanval is, of de beller kan informatie gebruiken die vertrouwd genoeg klinkt om overtuigend te zijn. Om alert te blijven en klaar te zijn als je een van deze oproepen krijgt, zijn hier enkele dingen om te onthouden:

  • Let op de toon van de beller. Oplichters kunnen ook een onbeleefde of ongeduldige toon gebruiken om urgentie te impliceren of angst te creëren, anders dan de getrainde medewerkers van de organisatie die zij beweren te vertegenwoordigen.
  • Blijf kalm en haal diep adem. Vishing-aanvallers creëren een vals gevoel van urgentie door je emoties te misbruiken. Geef geen gevoelige informatie over de telefoon zonder de identiteit van de beller te verifiëren. Je kunt hun organisatie opzoeken en direct bellen.
  • Blijf op je hoede, zelfs als de beller wat van je informatie heeft. Ze kunnen bijvoorbeeld wat van je openbaar beschikbare gegevens van het internet verzameld hebben, zoals je naam, locatie of IP-adres.
  • Gebruik de nummerherkenning om je gesprekken te screenen en neem geen onbekende of verdachte nummers op. Wacht tot de beller je een voicemailbericht achterlaat om te beslissen of je terugbelt. Vergeet niet dat veel robocall-zwendelpraktijken een herkenbaar script volgen.
  • Wees voorzichtig en hang eenvoudig op als je vermoedt dat het een oplichter is.

Hoe meld ik vishing?

Neem in de VS contact op met de FTC en de FBI om vishing-zwendelpraktijken te melden, of met de juiste wetshandhavingsinstantie in je eigen land. Je kunt ook bellen naar de instantie die een oplichter gebruikt om te proberen je te manipuleren, zoals contact opnemen met de IRS als je vermoedt dat je het doelwit bent van een IRS-oplichterij. Als de beller zegt dat hij van een bepaalde organisatie is, zoek dan het officiële telefoonnummer van die organisatie op en bel hen rechtstreeks om te informeren over de oproepen. 

Gerelateerde artikelen