Social engineering

Wat is social engineering?

Social engineering is het misbruiken van menselijke eigenschappen zoals nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid. Criminelen (social engineers) proberen vertrouwelijke informatie van iemand los te krijgen. Ze willen bijvoorbeeld persoonlijke gegevens (phishing) en beveiligingscodes te weten komen of malware installeren.

Hoe werkt social engineering?

  • U biedt iets te koop aan op bijvoorbeeld Marktplaats. Een crimineel benadert u en doet net alsof hij een potentiële koper is. De misleiding is dat de boef doet voorkomen alsof het overmaken van het geld voor wat u aanbiedt op Marktplaats via een zakelijke rekening anders is dan een overboeking via een lopende rekening. Om uw vertrouwen te winnen stuurt hij (of zij) via WhatsApp een kopie van zijn ID-kaart of rijbewijs en bankpas en vraagt u hetzelfde te doen. Hij vraagt u ook om in te loggen via de computer op internetbankieren want hij is op zoek naar beveiligingscodes. Bij u gaan nu direct alarmbellen rinkelen. Stop het gesprek, stuur niets op en log ook niet in op internetbankieren. Op deze webpagina van de politie kunt aangifte doen en controleren of er meldingen over het telefoonnummer zijn.
  • U biedt iets aan te koop op bijvoorbeeld Marktplaats. De crimineel vraagt of u een klein bedrag (vaak € 0,01) via een betaallink (betaalverzoek) naar hem overmaakt, ter controle. Hij geeft aan dat hij dat nodig heeft om uw identiteit te controleren. Hij stuurt u via WhatsApp een nep-betaalverzoek. De link gaat alleen niet naar iDEAL, Tikkie, Bunq of naar een bank maar naar een nep iDEAL-website. Zo kan de crimineel uw inloggegevens van internetbankieren ontvreemden. Let op: Niet iedere betaallink is vals. Consumenten kunnen een betaallink ontvangen van ondernemers én van consumenten. Ook WhatsApp mag gebruikt worden voor echte betaallinks. Controleer de betaalpagina goed zodat u niet opgelicht wordt.
  • Iemand biedt concertkaarten te koop aan op internet. Deze verkoper wil graag zeker weten dat u betaalt en en vraagt daarom ter controle een kopie van een geldig legitimatiebewijs per e-mail te sturen en om een symbolisch bedrag over te maken. Lees meer
  • Bij bezoek aan een website krijgt u een pop-up die vermeldt dat er een virus op uw computer is aangetroffen, met het aanbod gratis een virusscanner te installeren. Deze virusscanner bevat malware.
  • Enkele dagen na het invullen van een phishingmail belt uw bank u met het verhaal dat er iets mis is met uw account. Als u de aanwijzingen opvolgt om het ‘probleem te verhelpen’, wordt er geld van uw rekening afgeschreven.
  • U krijgt een e-mail die van uw bank afkomstig lijkt met het verzoek een bijgevoegde update te installeren om een lek in de beveiliging van internetbankieren te dichten. Dit bestand bevat malware.
  • U vindt op internet een filmpje. Uit de titel blijkt dat een beroemdheid uit de kleren gaat. Om het filmpje af te spelen moet u een speciale plugin installeren. Deze plugin bevat malware.
  • U krijgt een e-mail met een aanbieding die te mooi is om waar te zijn. Als u de bijgevoegde foto’s opent of link klikt, raakt uw computer besmet met malware.
  • U krijgt via social media zoals Twitter of Facebook een bericht van een bekende dat er foto’s van hem op internet staan, compleet met een link. Als u de link aanklikt, raakt uw computer besmet met malware.
  • U typt uw wachtwoord voor internetbankieren in terwijl iemand over uw schouder meekijkt naar de toetsaanslagen.
  • U krijgt per e-mail het aanbod om snel en makkelijk geld te verdienen door een paar uur per week wat werk te doen voor een buitenlandse onderneming. Als u hierop ingaat, ontvangt u geld op uw rekening en instructies wat te doen. U bent nu een zogeheten geldezel.
  • Iemand levert een pakket bij u af. U moet er nog voor betalen, maar als u pint bij de bezorger gaat er iets mis. U krijgt het pakket niet en uw pas en pincode zijn gekopieerd.
  • Na het klikken op een link naar een interessante site of interessant bericht verschijnt de mededeling dat er iets fout is gegaan. U wordt geadviseerd software te installeren om de fout te herstellen.

Phishing

Phishing is een vorm van social engineering. Voorbeelden:

  • Enkele dagen na het per ongeluk invullen van een phishingmail belt uw bank u met het verhaal dat er iets mis is met uw account. Als u de aanwijzingen opvolgt om het ‘probleem te verhelpen’, wordt er geld van uw rekening afgeschreven.
  • U krijgt een e-mail die van uw bank afkomstig lijkt met het verzoek een bijgevoegde update te installeren om een lek in de beveiliging van internetbankieren te dichten. Dit bestand bevat malware.

Wat doet de bank?

Banken kunnen niet meer doen dan u uitgebreid te informeren over social engineering en u te waarschuwen hiervoor.

Wat kunt u doen?

Zoals aangegeven komt social engineering in veel gedaanten voor waardoor het lastig is om eenduidige richtlijnen te geven. Wees in ieder geval alert als:

  • U wordt gevraagd persoonlijke informatie af te geven aan willekeurige (onbekende) personen, zoals een kopie van een paspoort.
  • Aanbiedingen te mooi klinken om waar te zijn.
  • Er iets mis lijkt te gaan tijdens het surfen en er direct een pop-up verschijnt om u uit de brand te helpen.
  • U de mededeling krijgt dat er iets mis is gegaan bij het bezoek aan een site en vervolgens het advies een link te klikken om dit probleem op te lossen.
  • Een e-mail van een bekende u vreemd voorkomt.
  • U e-mail krijgt van een afzender die u niet kent.
  • Er via internet persoonlijke gegevens aan u worden gevraagd.
  • U tijdens een chatsessie wordt gevraagd met iDEAL of met internetbankieren te betalen voor bijvoorbeeld een filmpje of foto’s.

Tip

Kijk ook hier voor informatie over fraude

Confidental Infomation