Vishing en CEO-fraude: telefonische oplichting herkennen
Cybercriminelen bellen uw medewerkers op of sturen WhatsApp-berichten namens de directie. Hoe herkent u deze sluwe tactieken?
De opmars van telefonische oplichting (Vishing)
Vishing (Voice Phishing) is een vorm van sociale manipulatie waarbij oplichters telefonisch contact opnemen om gevoelige informatie of geld te ontfutselen. In België hebben instellingen zoals het Centrum voor Cybersecurity België (CCB) en Safeonweb recent een sterke toename gemeld van deze aanvallen gericht op zowel burgers als bedrijven.
De oplichters doen zich vaak voor als betrouwbare instanties, zoals de lokale politie, bekende banken (bijvoorbeeld Argenta, KBC, of BNP Paribas Fortis), of telecomproviders zoals Proximus. Ze creëren een vals gevoel van urgentie om hun slachtoffers onder druk te zetten.
Hoe een vishing-aanval verloopt
Een typisch vishing-scenario begint met een telefoontje over een 'probleem'. De beller beweert bijvoorbeeld dat er verdachte transacties op de bankrekening van het bedrijf zijn gedetecteerd, of dat de IT-infrastructuur is gecompromitteerd. De oplossing die wordt voorgesteld, klinkt vaak logisch: het geld moet dringend worden overgemaakt naar een 'veilige rekening', of men moet een programma installeren om het probleem op te lossen (wat in werkelijkheid malware is).
Aanvallers maken soms gebruik van 'spoofing', waardoor het lijkt alsof ze daadwerkelijk bellen vanaf het officiële nummer van de bank of de helpdesk. Dit maakt de aanval zeer overtuigend en vormt een flinke uitdaging voor de cyberweerbaarheid van de organisatie.
CEO-fraude via messaging apps
Een gerelateerde en zeer schadelijke dreiging is CEO-fraude, ook wel 'Whaling' genoemd. Terwijl dit vroeger voornamelijk via e-mail gebeurde, zien we nu een verschuiving naar messaging platforms zoals WhatsApp. De aanvaller doet zich voor als de CEO of een andere hooggeplaatste bestuurder en stuurt een bericht naar een medewerker op de financiële administratie.
Het bericht bevat vaak het verzoek om met grote spoed een belangrijke factuur of overname te betalen. De communicatie wordt vertrouwelijk en urgent gehouden, zodat de medewerker niet de tijd neemt om de standaardprocedures te volgen. Met de toevoeging van AI en deepfake audio kunnen deze aanvallen zelfs vergezeld gaan van een kort, zeer overtuigend voicemessage.
Verdedigingsmechanismen voor bedrijven
Cybersecurity voor bedrijven tegen vishing en CEO-fraude rust sterk op strikte interne procedures. Implementeer een 'vier-ogen-principe' voor alle grote financiële transacties, ongeacht wie de opdracht geeft. Een procedurele drempel kan voorkomen dat een spoedverzoek blindelings wordt uitgevoerd.
Train medewerkers om nooit inloggegevens, pincodes of MFA-tokens telefonisch te delen. Geen enkele bonafide bank, helpdesk of overheidsinstantie zal hiernaar vragen.
Verifieer via een onafhankelijk kanaal
De vuistregel bij onverwachte en dringende verzoeken is: verifieer. Als de 'CEO' via WhatsApp vraagt om een overschrijving, bel hem of haar dan op via het bekende bedrijfsnummer om dit te bevestigen. Als de 'bank' belt over een fraudegeval, hang dan op en bel zelf de bank terug via het nummer dat op hun officiële website staat.
Een gezonde dosis wantrouwen is essentieel in het beschermen van de bedrijfsfinanciën en vormt een integraal onderdeel van de IT risicoanalyse.