Dit artikel werd oorspronkelijk gepubliceerd op ESET Digital Security Guide.
Als IT-manager speel je een belangrijke rol in het beschermen van je organisatie tegen social engineering-dreigingen. De uitdaging is niet alleen om de systemen en gegevens van het bedrijf te beschermen, maar ook om ervoor te zorgen dat jouw werknemers waakzaam blijven tegen deze tactieken.
Pretexting is een meer uitgebreide en geduldige aanpak in vergelijking met traditionele phishing. Het is gebaseerd op een verzonnen maar geloofwaardig excuus of verhaal om het slachtoffer ertoe te verleiden informatie vrij te geven of specifieke acties uit te voeren. De aanvaller kan zich bijvoorbeeld voordoen als een vertrouwde collega, dienstverlener of autoriteitsfiguur om het vertrouwen van het slachtoffer te winnen en informatie los te krijgen. Vaak bouwt de aanvaller een band op met zijn doelwit en gaat hij uitgebreide gesprekken of meerdere interacties aan om geleidelijk de gewenste informatie te verkrijgen zonder argwaan te wekken.
Deze vorm van online oplichting is gebaseerd op een verzonnen verhaal om toegang te krijgen tot waardevolle informatie of bezittingen. Om het verhaal overtuigend te maken, zijn geloofwaardige personen en een interessant verhaal nodig.
Vaak doet de oplichter zich voor als iemand die je écht kunt vertrouwen of iemand met een bepaalde vorm van autoriteit, zoals je baas, een overheidsmedewerker of een bekende organisatie. In sommige gevallen kan hij zich zelfs voordoen als iemand die je echt kent.
De in scène gezette situaties kunnen algemeen zijn, bijvoorbeeld een verzoek om je wachtwoord te wijzigen. In sommige gevallen zijn de situaties specifieker, zoals het verzoek om de betaalgegevens van een leverancier in bedrijfssystemen te wijzigen.
Om het verhaal geloofwaardiger te maken, gebruiken aanvallers vaak online verzamelde informatie over de interesses, professionele details of zelfs persoonlijke relaties van hun doelwitten. Volgens een rapport van Omdia kunnen hackers met ongeveer 100 minuten eenvoudig Googelen voldoende informatie uit openbare bronnen (voornamelijk sociale media) verzamelen om een overtuigend verhaal te creëren.
Hoewel de tactieken die worden gebruikt bij pretexting complex zijn, blijven de verdedigingsprincipes hetzelfde als bij elke andere vorm van social engineering-aanval. Dit is wat jouw werknemers moeten weten:
Pretexting is een voorbeeld van de voortdurende vooruitgang die cybercriminelen - helaas - boeken. Hoewel er geen waterdicht schild bestaat tegen cyberdreigingen, kun je al een heel eind komen door jezelf te wapenen. Onthoud dat veilig zijn een reis is. Het gaat om het minimaliseren van risico's, effectief reageren als er iets door de mazen van het net glipt en je voortdurend aanpassen aan het steeds veranderende landschap van digitale beveiliging.