Of u vindt deze sleutelbos zelf, in de lift, de bedrijfskantine of een vergaderzaal. Van wie zouden de sleutels zijn? Gelukkig hangt er ook een USB-stick aan. Misschien kunt u via de documenten op de USB-stick achterhalen van wie de sleutels zijn en ze terugbezorgen, toch? Fout. Als u dat doet zou u zomaar het slachtoffer kunnen worden van baiting.

Wat is baiting?

Het Engelse werkwoord ‘to bait’ betekent ‘van lokaas voorzien’. Baiting wordt, net als andere vormen van social engineering zoals mail-phishing en voice-phishing, door cybercriminelen gebruikt om toegang te krijgen tot uw netwerk, financiële gegevens en/of bedrijfsgeheimen.

Baiting werkt als volgt: cybercriminelen laten een vooraf geprogrammeerde datadrager achter op een plaats waar veel van uw medewerkers komen, zoals in de bedrijfskantine, bij de receptie of op de parkeerplaats. Een andere sluwe methode is het opsturen per post van een datadrager, voorzien van uw logo, met de boodschap dat deze elders gevonden is.

Oorspronkelijk werden bij baiting voornamelijk USB-sticks gebruikt. Omdat daar steeds minder gebruik van wordt gemaakt worden er tegenwoordig ook andere soorten datadragers ingezet, zoals leuke gadgets. Alle gadgets zijn ervoor geschikt, zolang ze maar kunnen worden aangesloten op een computer. Zo worden bijvoorbeeld mini-robots toegestuurd onder het mom van een marketingactie, die bepaalde handelingen uitvoeren op het moment dat ze worden aangesloten op een computer. Voor een medewerker lijkt het dus interessant om deze aan te sluiten, maar eigenlijk is het een lokmiddel om toegang te krijgen tot de computer van de medewerker.

Met baiting maken cybercriminelen dus misbruik van uw nieuwsgierigheid en/of hulpvaardigheid. U wordt namelijk verleid om de datadrager via de USB-poort aan te sluiten op uw computer. Bijvoorbeeld omdat u de USB-stick graag wilt terugbezorgen bij de eigenaar en via de documenten op de USB-stick wilt achterhalen wie dat is. Of omdat uw nieuwsgierigheid geprikkeld wordt: wat zou er op de datadrager staan?

Op het moment dat u de datadrager aansluit op uw computer zijn er twee mogelijkheden:

  • Sommige datadragers zijn zo geprogrammeerd dat ze werken als een soort mini-computer. Bij het aansluiten wordt direct kwaadaardige software (malware) uitgevoerd waardoor de cybercrimineel, van wie de datadrager afkomstig is, direct toegang heeft tot uw systeem.
  • Andere datadragers, zoals USB-sticks, zijn zo geprogrammeerd dat u eerst een bestandje moet aanklikken om de malware te activeren. Deze bestanden kunnen eruit zien als bijvoorbeeld een Word- of PDF-document en hebben een naam die verleidt tot klikken, zoals ‘Salarissen 2019’ of ‘cv’. Op het moment dat u uit nieuwsgierigheid het bestand opent, wordt de malware uitgevoerd en hebben de cybercriminelen toegang tot uw systeem.

U ziet in beide gevallen niet dat de malware actief is, waardoor de crimineel rustig kan zoeken in uw bestanden.

Waarom is baiting gevaarlijk?

Met baiting kunnen, net als met mail-phishing en voice-phishing, grote hoeveelheden gevoelige en/of vertrouwelijke gegevens buitgemaakt worden. Deze gegevens kunnen vervolgens gebruikt worden om fraude te plegen, u te beconcurreren of u af te persen.

Wat kunt u tegen baiting doen?

Zoals u van ons gewend bent, hierbij een aantal belangrijke adviezen waarmee u op het gebied van organisatie, mens en techniek stappen kunt nemen om te voorkomen dat uw bedrijf schade lijdt door baiting:

  • Ontwikkel beleid: spreek met uw medewerkers af dat zij een datadrager waarvan zij de herkomst niet 100% kunnen vertrouwen nooit op een USB-poort aan te sluiten. Vinden zij een USB-stick? Laat ze dan een foto maken en deze delen. Dan zijn zij toch hulpvaardig, maar loopt uw netwerk geen gevaar.
  • Zorg dat medewerkers het beleid kennen en zich ernaar gedragen. Ga na of het mogelijk is voor iedereen om zich hieraan te houden en test ook regelmatig in welke mate het beleid wordt nageleefd.
  • Zorg dat uw bedrijf goede preventieve maatregelen neemt tegen malware.

Meer weten?

Wilt u meer advies over wat u kunt doen om baiting of andere vormen van social engineering tegen te gaan? Heeft u vragen over dit onderwerp?
Neem dan gerust contact op met onze afdeling Cybersecurity via

088- 298 66 00 of via info@hoffmann.nl.

We zijn u graag van dienst.

Cybersecurity & Security Risk Management

De informatiebeveiliging op orde: wat is dat eigenlijk?

Afgelopen zaterdag stond er een groot artikel in de Volkskrant: het interne (operationele) netwerk van honderden bedrijven in Nederland was maandenlang toegankelijk voor onbevoegden. Gisteren reageerde Minister van Justitie Ferdinand Grapperhaus in het Financieel Dagblad op dat nieuws: hij wil kunnen ingrijpen bij organisaties die hun digitale beveiliging niet op orde hebben.

Cybersecurity & Security Risk Management

Terugblik kennissessie CEO-fraude in de Hermitage

Op uitnodiging van Trigion, de beveiliger van de Hermitage, organiseerde Hoffmann samen met het CFO platform van Alex van Groningen een kennissessie over CEO Fraude in de Hermitage. Fred Teeven leidde de sessie en deelde eigen ervaringen waardoor mooie open discussies met de deelnemers ontstond

Cybersecurity & Security Risk Management

Videopresentatie Inge Wetzer

Steeds meer organisaties zijn ervan overtuigd dat medewerkers zich cyberveilig moeten gedragen. Maar in plaats van sturen op gedrag, worden veel initiatieven op awareness ingezet. Opvallend, want er zit een flinke kloof tussen awareness en gedrag. De psychologie laat zien dat mensen vaak wel wéten wat ze zouden moeten doen, maar toch anders handelen. In deze presentatie legt sociaal psycholoog Inge Wetzer uit hoe gedrag veranderd kan worden.


 

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.