Laat u niet beetnemen door baiting

Of u vindt deze sleutelbos zelf, in de lift, de bedrijfskantine of een vergaderzaal. Van wie zouden de sleutels zijn? Gelukkig hangt er ook een USB-stick aan. Misschien kunt u via de documenten op de USB-stick achterhalen van wie de sleutels zijn en ze terugbezorgen, toch? Fout. Als u dat doet zou u zomaar het slachtoffer kunnen worden van baiting.

Wat is baiting?

Het Engelse werkwoord ‘to bait’ betekent ‘van lokaas voorzien’. Baiting wordt, net als andere vormen van social engineering zoals mail-phishing en voice-phishing, door cybercriminelen gebruikt om toegang te krijgen tot uw netwerk, financiële gegevens en/of bedrijfsgeheimen.

Baiting werkt als volgt: cybercriminelen laten een vooraf geprogrammeerde datadrager achter op een plaats waar veel van uw medewerkers komen, zoals in de bedrijfskantine, bij de receptie of op de parkeerplaats. Een andere sluwe methode is het opsturen per post van een datadrager, voorzien van uw logo, met de boodschap dat deze elders gevonden is.



Oorspronkelijk werden bij baiting voornamelijk USB-sticks gebruikt. Omdat daar steeds minder gebruik van wordt gemaakt worden er tegenwoordig ook andere soorten datadragers ingezet, zoals leuke gadgets. Alle gadgets zijn ervoor geschikt, zolang ze maar kunnen worden aangesloten op een computer. Zo worden bijvoorbeeld mini-robots toegestuurd onder het mom van een marketingactie, die bepaalde handelingen uitvoeren op het moment dat ze worden aangesloten op een computer. Voor een medewerker lijkt het dus interessant om deze aan te sluiten, maar eigenlijk is het een lokmiddel om toegang te krijgen tot de computer van de medewerker.

Met baiting maken cybercriminelen dus misbruik van uw nieuwsgierigheid en/of hulpvaardigheid. U wordt namelijk verleid om de datadrager via de USB-poort aan te sluiten op uw computer. Bijvoorbeeld omdat u de USB-stick graag wilt terugbezorgen bij de eigenaar en via de documenten op de USB-stick wilt achterhalen wie dat is. Of omdat uw nieuwsgierigheid geprikkeld wordt: wat zou er op de datadrager staan?

Op het moment dat u de datadrager aansluit op uw computer zijn er twee mogelijkheden:

• Sommige datadragers zijn zo geprogrammeerd dat ze werken als een soort mini-computer. Bij het aansluiten wordt direct kwaadaardige software (malware) uitgevoerd waardoor de cybercrimineel, van wie de datadrager afkomstig is, direct toegang heeft tot uw systeem.
• Andere datadragers, zoals USB-sticks, zijn zo geprogrammeerd dat u eerst een bestandje moet aanklikken om de malware te activeren. Deze bestanden kunnen eruit zien als bijvoorbeeld een Word- of PDF-document en hebben een naam die verleidt tot klikken, zoals ‘Salarissen 2019’ of ‘cv’. Op het moment dat u uit nieuwsgierigheid het bestand opent, wordt de malware uitgevoerd en hebben de cybercriminelen toegang tot uw systeem.

U ziet in beide gevallen niet dat de malware actief is, waardoor de crimineel rustig kan zoeken in uw bestanden.

Waarom is baiting gevaarlijk?

Met baiting kunnen, net als met mail-phishing en voice-phishing, grote hoeveelheden gevoelige en/of vertrouwelijke gegevens buitgemaakt worden. Deze gegevens kunnen vervolgens gebruikt worden om fraude te plegen, u te beconcurreren of u af te persen.

Wat kunt u tegen baiting doen?

Zoals u van ons gewend bent, hierbij een aantal belangrijke adviezen waarmee u op het gebied van organisatie, mens en techniek stappen kunt nemen om te voorkomen dat uw bedrijf schade lijdt door baiting:

• Ontwikkel beleid: spreek met uw medewerkers af dat zij een datadrager waarvan zij de herkomst niet 100% kunnen vertrouwen nooit op een USB-poort aan te sluiten. Vinden zij een USB-stick? Laat ze dan een foto maken en deze delen. Dan zijn zij toch hulpvaardig, maar loopt uw netwerk geen gevaar.
• Zorg dat medewerkers het beleid kennen en zich ernaar gedragen. Ga na of het mogelijk is voor iedereen om zich hieraan te houden en test ook regelmatig in welke mate het beleid wordt nageleefd.
• Zorg dat uw bedrijf goede preventieve maatregelen neemt tegen malware.