Als je mijn columns op dit platform een beetje volgt, heb je de volgende zin vast al eerder gelezen: cybercriminelen zijn continu op zoek naar nieuwe manieren om de beveiliging van organisaties te omzeilen. Nu hoor ik je denken ‘Leuk Mo, maar wat kunnen wij doen om te voorkomen dat wij het slachtoffer worden van een hack?’ Dat zal ik je vertellen: zorgen dat het onderwerp cyberveiligheid een integraal onderdeel uitmaakt van je jaarcyclus, periodiek je informatiebeveiliging testen én zorgen dat je op de hoogte bent van de nieuwste modus operandi. Over een van die modus operandi wil ik het in deze column hebben: voice phishing. Een verschijnsel dat, zeker in combinatie met spoofing en deepfake technieken, de laatste tijd een vlucht heeft genomen.
Voice phishing
Met de term phishing ben je inmiddels vast bekend. In een van mijn eerdere columns gaf ik je al eens 10 tips om phishing tegen te gaan. In dat artikel ging het over mail phishing. In deze column wil ik het hebben over voice phishing: een vorm van social engineering waarbij een crimineel de telefoon gebruikt om je te misleiden en/of toegang te krijgen tot de systemen. Zo kan een crimineel zich bijvoorbeeld met een smoes voordoen als medewerker van de helpdesk of servicedesk en je vragen om je inlognaam en wachtwoord af te geven. Maar hij kan zich ook voordoen als een belangrijke leverancier die de administratie vraagt om bij betaling van de laatste factuur het rekeningnummer te wijzigen.
Voice phishing is voor criminelen een van de meest lucratieve manieren om aan persoonsgegevens te komen, bij bedrijven binnen te dringen en zich te verrijken. En steeds vaker worden kleine en middelgrote bedrijven hiervan het slachtoffer. De schade voor die bedrijven kan niet te overzien zijn. Denk aan financieel verlies, imagoschade en verstoring van productiviteit.
Spoofing en deepfake
Zoals ik in de inleiding al schreef, voice phishing is nóg effectiever op het moment dat het wordt ingezet in combinatie met spoofing en/of deepfake technieken. En dat gebeurt al heel regelmatig. Waar moet je dan aan denken?
Spoofing: spoofing is een techniek waarbij de beller door middel van software een bestaand telefoonnummer gebruikt van een bestaande persoon of organisatie. Het is een legitieme techniek, die ook door grote bedrijven wordt gebruikt, bijvoorbeeld om de doorkiesnummers van medewerkers af te schermen.
Deepfake audio: bij deepfake audio wordt met behulp van kunstmatige intelligentie de stem van iemand anders nagebootst.
Met deze levensgevaarlijke combinatie kan het zijn dat een van jouw collega’s op finance gebeld wordt door een manager uit jullie organisatie. Jouw collega heeft geen argwaan, want het telefoonnummer klopt én hij herkent de stem van de manager. Dat het een wat plotseling telefoontje is, op dringende toon en met een verzoek dat niet vaak wordt gedaan, neemt je collega maar voor lief. Die grote spoedoverboeking komt eraan! Tot jij er een paar dagen later achterkomt dat het helemaal niet die manager was die aan de lijn hing, maar een handige cybercrimineel.
Niet zomaar
Dit soort resultaten boeken die criminelen natuurlijk niet zomaar. Vaak gaat hier een gedegen voorbereiding aan vooraf, waarbij de criminelen zich verdiepen in het bedrijf, de mensen die er werken en de manier waarop zij met elkaar communiceren (lang leve Twitter, Instagram en LinkedIn!). Ook stelen (of kopen) ze gegevens van hun targets en de bedrijven waarmee zij zakendoen – zoals leveranciers, klanten, de bank, een creditcardbedrijf of een nutsbedrijf.
Vervolgens nemen ze telefonisch contact op. Door de gebruikte technieken is de slagingskans van deze vorm van phishing erg hoog. Tijdens de tests die Hoffmann uitvoert hebben we in 95% van de gevallen binnen maximaal 3 telefoontjes ons doel al bereikt!
Wat kan je doen?
Hoffmann zou Hoffmann niet zijn als ik je bij deze waarschuwing niet meteen een aantal tips zou meegeven waarmee je kunt voorkomen dat jullie het slachtoffer worden van voice phishing. Hier komen ze:
- Wees je ervan bewust dat een stem met AI akelig goed na te bootsen is. Het feit dat je de stem van de beller herkent, zegt niets over de betrouwbaarheid van de beller.
- Word je gebeld door iemand met een onbekend nummer die claimt een hoge managementfunctie te vervullen? Bel dan ter controle eerst terug naar een bekend telefoonnummer van die persoon.
- Stel jezelf altijd de vraag: is dit een normaal verzoek? Laat je niet onder druk zetten om mee te werken als je sceptisch bent. Oók niet als je het nummer en de stem van de beller herkent.
- Pas nooit zomaar betaal- of accountgegevens aan zonder goedkeuring van de verantwoordelijke manager(s). Zeker niet op verzoek van iemand die zich plotseling telefonisch (of via e-mail) bij je meldt.
- Open geen spraakberichten en andere audiobestanden die binnenkomen via e-mail en klik niet op links in dit soort e-mails.
- Het is niet eenvoudig om voice pishing of een poging tot oplichting met deepfake-audio te herkennen. Vooral deepfake-audio is een relatief nieuw verschijnsel. Waarschijnlijk hebben veel van je collega’s er nog nooit van gehoord. Organiseer dus regelmatig securitytrainingen waarin dit soort nieuwe bedreigingen aan bod komen.
- Implementeer Two-Factor-Authentication (2FA). Want daarmee kan een cybercrimineel, op het moment dat een wachtwoord is gecompromitteerd, geen toegang krijgen tot het systeem of het netwerk dat hij heeft getarget.
Lees ook:
- Waarom je regelmatig een cybercrisis moet oefenen
- Een cyberaanval hoort wereldwijd tot drie grootste bedrijfsrisico’s