“Goedemiddag, u spreekt met de servicedesk’. Het nummer op mijn display laat inderdaad het nummer van de servicedesk zien. ‘Er is iets mis met uw e-mail account. Kunnen wij samen de instellingen nalopen? Kunt u voor mij naar de volgende website gaan of uw gebruikersnaam en wachtwoord geven ter verificatie?’ Achteraf klinkt het zo logisch dat ik deze gegevens nooit via de telefoon had moeten afgeven, maar ik geloofde echt dat ik de servicedesk aan de lijn had. En ik wilde echt geen problemen met mijn e-mail account!”

Een voorbeeld uit onze dagelijkse praktijk. Het afgelopen jaar gaf 70% van de door ons geteste medewerkers van onze klanten hun loginnaam en wachtwoord af via de telefoon. Een techniek die voice-phishing (vhishing) wordt genoemd en waar Hoffmann haar klanten bewust van maakt en mee helpt om zo te voorkomen dat gevoelige informatie in verkeerde handen komt.

Maar een tweede techniek maakt het ineens nog veel moeilijker om kwaadwillenden buiten de deur te houden: Caller ID spoofing. Met caller ID spoofing doet iemand zich voor als een ander, door te bellen met een eigen telefoon, terwijl het telefoonnummer van een ander op het display verschijnt.

Deze techniek is al langer bekend en wordt vaak op een legale manier door bedrijven gebruikt, bijvoorbeeld om de doorkiesnummers van medewerkers af te schermen. Zij sturen dan alleen het algemene telefoonnummer mee. Een goede manier om de gewenste informatie bij de klant te krijgen.

Caller ID spoofing is extreem eenvoudig toe te passen. Er zijn meerdere websites die deze dienst aanbieden. Op deze websites wordt de dienst gepromoot voor privé (“Houd je familie en vrienden voor de gek!”) en zakelijke (“Uw klanten zien alleen uw zakelijke nummer.”) doeleinden. Maar juist omdat het zo eenvoudig is, wordt er ook misbruik van gemaakt.

Fraudeurs  kunnen hierdoor eenvoudig een valse hoedanigheid aannemen conform artikel 326 Wetboek van Strafrecht. Met caller ID spoofing kunt u zich voor doen als iemand anders, zoals bijvoorbeeld: een systeembeheerder, servicedeskmedewerker, leverancier, bankier, accountant of - in grote bedrijven - de directeur. En uw medewerkers kunnen door het zien van het “juiste” telefoonnummer op het verkeerde been worden gezet. De fraudeur kan dan tijdens het telefoongesprek informatie proberen te verkrijgen zoals:

  • Gebruikersnamen en wachtwoorden van uw medewerkers, indien mogelijk accounts resetten bij de servicedesk, om zo uw netwerk binnen te kunnen dringen.
  • Privacygevoelige persoonsgegevens, zoals BSN-nummers, rekeningnummers en adresgegevens
  • Vertrouwelijke informatie, bijvoorbeeld over patenten of andere bedrijfsgeheimen.

Omdat u denkt dat u een collega, relatie of leverancier aan de telefoon hebt, kan het zijn dat u gevraagd wordt een rekeningnummer te wijzigen, bestanden te wijzigen. Geldbedragen over te maken namens de directie. Deze laatste vorm van fraude wordt ook wel CEO-fraude genoemd. Het kan hierbij gaan om flinke bedragen.

Wat kunt u doen?

Natuurlijk ligt hier een taak voor de overheid en telecomproviders. De overheid zou maatregelen moeten nemen om het spoofen van telefoonnummers tegen te gaan. Daarnaast zouden telecomproviders maatregelen kunnen nemen om dit soort telefoontjes te blokkeren.

Omdat het in Nederland nog niet zover is, delen wij hier de vier belangrijkste tips om te voorkomen dat uw bedrijf schade lijdt door caller ID spoofing en voice-phishing:

  • Zorg dat uw medewerkers zich bewust zijn van dit gevaar.
  • Spreek met uw medewerkers af dat zij in een inkomend telefoongesprek nooit persoonlijke en/of vertrouwelijke informatie verstrekken. Laat ze in plaats daarvan vragen of ze op een later moment kunnen terugbellen.
  • Spreek met uw medewerkers af dat zij nooit telefonisch betalingsopdrachten aannemen. Van wie dan ook, ook niet van de CEO of CFO. En omdat het tegenwoordig ook mogelijk is om e-mailadressen te spoofen, leest u hier meer over hoe uw medewerkers om moeten gaan met betalingsverzoeken via de e-mail.
  • Maak goede afspraken met externe leveranciers over telefonische communicatie. Spreek bijvoorbeeld met hen af dat er nooit telefonisch over inloggegevens en wachtwoorden zal worden gecommuniceerd.

Meer weten?

Heeft u vragen over dit onderwerp? Of wilt u advies op maat, bijvoorbeeld over awareness en gedragsbeïnvloeding op de werkvloer? Neem dan gerust contact op met ons via

088- 298 66 00

info@hoffmann.nl

We zijn u graag van dienst.
Nieuws: Defensie (bijna) gehackt door China, hoe zit het met uw organisatie?
Cybersecurity

Defensie (bijna) gehackt door China, hoe zit het met uw organisatie?

Vorige week maakte de MIVD bekend dat het geavanceerde Chinese spionagesoftware heeft aangetroffen op een computersysteem van de Nederlandse krijgsmacht. Het ging om malware waarmee de Chinezen gebruik maakten van een bekende kwetsbaarheid in FortiGate-apparaten van Fortinet. Volgens de MIVD en de AIVD past deze aanval binnen een bredere trend, waarin publiek benaderbare edge devices, zoals firewalls, VPN-servers en e-mailservers worden misbruikt om een organisatie binnen te dringen.

Lees meer
Nieuws: informatiezuil gehackt, uw organisatie plat?
Cybersecurity

Informatiezuil gehackt, uw organisatie plat?

Stel, u heeft een elektronicawinkel. En daar heeft u een aantal laptops, tablets en mobiele telefoons opgesteld staan. Voor klanten, om te testen en uit te proberen. Of u heeft in uw winkel een digitale informatiezuil staan. Daarop kunnen uw klanten bijvoorbeeld opzoeken wat er in andere vestigingen nog op voorraad is. Hoe voorkomt u dan dat via deze apparatuur uw complete netwerk wordt gehackt?

Lees meer
Nieuws - Het is niet de vraag of u slachtoffer wordt van een cyberaanval, maar wannneer
Cybersecurity

Het is niet de vraag óf u het slachtoffer wordt van een cyberaanval, maar wanneer

Op 6 december 2022 werd de stad Antwerpen getroffen door een grote cyberaanval. Hackers drongen de IT-systemen binnen en legden ze plat. De hack heeft tot op de dag van vandaag gevolgen voor het personeel en de inwoners van de stad. Zo werken de systemen van het zwembad, de bibliotheek en de afdeling die vergunningen moet verlenen nog steeds niet naar behoren. Bovendien kost de hack de gemeente minstens 95 miljoen euro, zo werd onlangs bekend. Ook is inmiddels gebleken dat de gemeente meerdere malen gewaarschuwd was voor kwetsbaarheden.

Lees meer

 

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.