Voice phishing

Cybercriminelen breken allang niet meer in via complexe codes; ze bellen simpelweg een medewerker. Voice phishing, ook bekend als vishing, begint vaak met een vriendelijk en overtuigend "goedemorgen". Vervolgens is de boodschap persoonlijk, urgent en vaak veel effectiever dan de beste phishingmail. Het klinkt als een behulpzame collega, maar het kan een groot datalek veroorzaken.

Het recente datalek bij Odido liet pijnlijk zien dat iedere organisatie kwetsbaar is op het vlak van de menselijke factor. De aanval begon hoogstwaarschijnlijk met e-mail phishing, maar het was een geraffineerde vishing-call (voice phishing) die de doorslag gaf. De aanvaller won het vertrouwen van een medewerker en kreeg zo de MFA-code in handen, met ongeautoriseerde toegang tot klantgegevens als gevolg.

In het kader van onze RANSOMWEAR-campagne dagen we CISO’s uit om dit onderwerp niet alleen te managen, maar echt ‘(uit) te dragen’. Een weerbare organisatie begint namelijk bij medewerkers die de manipulatie herkennen, nog voordat de beller in de buurt kan komen van je systemen.

Een vishing-aanval begint met online voorbereiding. Via publieke bronnen zoals LinkedIn worden telefoonnummers, namen van managers en projecten verzameld. Met een ‘spoof’ zorgt de beller dat er een vertrouwd intern nummer in het scherm verschijnt, wat direct een gevoel van legitimiteit geeft. Eenmaal aan de lijn overtuigt de aanvaller door in te spelen op onze natuurlijke reflexen:

• Autoriteit: de naam van de CISO, of die van een andere manager, wordt als breekijzer gebruikt. Dit verlaagt onbewust de kritische drempel voor een medewerker: "Als de CISO het goed vindt, zal het wel veilig zijn."
• Sociale norm: de aanvaller suggereert dat 'vele collega's' al zijn geholpen. Dit valideert het gedrag en speelt in op de diepgewortelde sociale neiging om een collega snel uit de brand te helpen.
• Wederkerigheid: de aanvaller meldt een urgent probleem (bijvoorbeeld "er is een virus gedetecteerd") en in ruil voor een paar minuutjes van je tijd ontvangt jouw medewerker direct de 'oplossing'.

Tegen een behulpzame stem aan de lijn is weinig software bestand. Uit onze benchmarks blijkt dat gemiddeld 4 op de 10 medewerkers (41%) de instructies van een vishing-aanvaller opvolgt. Het recente datalek bij Odido is daar een goed voorbeeld van. Of het nu gaat om het installeren van software of het delen van inloggegevens; onze bereidheid om te helpen is de grootste kwetsbaarheid.

Gelukkig is weerbaarheid trainbaar. Bij organisaties waar wij een nulmeting uitvoerden, zagen we het percentage medewerkers dat meewerkte drastisch dalen van 56% naar slechts 11% na gerichte bewustwordingscampagnes en realistische vishing-simulaties van Awareways.

In de wereld van ransomware is één geslaagde aanval genoeg om het volledige netwerk plat te leggen. Die 11% betekent dat de deur nog steeds op een kier staat. De technieken van aanvallers evolueren constant en stilstand is in deze context letterlijk een risico. 

Een weerbare cultuur bouw je niet met regels alleen, maar door te blijven herhalen en te oefenen. Ontdek hoe ons platform jouw medewerkers helpt om vishing-pogingen resoluut af te slaan en van gedragsverandering een dagelijkse routine te maken. Plan een vrijblijvende kennismaking en ontvang direct een RANSOMWEAR-sjaal waarmee je (uit)draagt dat je cyberbewust bent.