Aanleiding voor ons onderzoek is de vraag in hoeverre de Nationale Assemblée bestand is tegen digitale aanvallen en hoe onze DNA-leden omgaan met criminaliteit op het internet.
De uitkomst kan helpen om de digitale beveiliging te verbeteren en de algehele bewustwording rondom online oplichting te vergroten.
Overal op internet hoor en lees je immers wel eens van dit soort berichten;
Voor veel mensen zal het direct duidelijk zijn dat hier om oplichters gaat die geen geld willen geven, maar juist willen krijgen.
Toch trappen velen er nog in waardoor dit soort criminele praktijken zeer lonend kunnen zijn voor de mensen die achter deze berichten schuilgaan.
De gebruikte methoden om online mensen op te lichten worden dan ook steeds geavanceerder en zijn allang niet meer afkomstig van wereldvreemde mensen zonder sociaal leven die de hele dag in een afgesloten ruimte stiekem achter hun laptop zitten.
Het gaat bij deze aanvallen om zeer goed georganiseerde, internationale bendes die letterlijk goud geld verdienen door massaal sms'jes te sturen, e-mails te spammen of ongewenste berichten op je timeline te plaatsen.
Vaak is hun doel niet om direct snel geld te verkrijgen, maar om langdurig en structurele controle te krijgen over jouw telefoon, computer en uiteindelijk zelfs jouw digitale identiteit.
Op het moment dat dit laatste gebeurt, is er sprake van identiteitsdiefstal en dat kan zeer grote gevolgen hebben.
Voor het stelen van iemands online identiteit is meer nodig dan een simpele e-mail of bericht in je messenger; je moet daadwerkelijk gehackt worden voor het zo ver is.
Wanneer je iemands telefoon of computer wilt hacken, maak je effectief gebruik van de zwakste schakels tussen jou en het beoogde slachtoffer.
In de praktijk betekent dit dat je bijvoorbeeld op zoek gaat naar computers of telefoons die al jaren oud zijn en dus kwetsbare software draaien. Vaak gebruiken deze oude systemen onveilige codes die misbruikt kunnen worden om zo toegang tot alle apparatuur te verkrijgen.
Maar er is nog een andere zwakke schakel die vaak over het hoofd wordt gezien en veel eenvoudiger misbruikt kan worden; de eigenaar van de telefoon of computer zelf.
Social engineering – een laagdrempelige vorm van hacken
Wanneer je niet via verouderde telefoons en complexe computercodes iemand probeert te hacken, maar juist de eigenaar van de telefoon of computer zelf hiervoor inzet, is er sprake van social engineering.
Dit laatste houdt in dat je via de sociale zwaktes van een persoon er voor zorgt dat deze jou vrijwillig – maar onbewust – toegang geeft tot alle informatie die je wilt hebben.
Feitelijk zit de aanvaller bij deze tactiek te hengelen in een vijver vol gegevens en hoopt op die manier informatie boven water te krijgen, daarom wordt deze methodiek ook wel phishing (vissen naar informatie) genoemd.
Online phishing
– digitale veiligheid –
Een duidelijk voorbeeld van social engineering en phishing is dat je bijvoorbeeld een instantie opbelt en jezelf voordoet als vertegenwoordiger van een beveiligingsbedrijf.
Vervolgens meld je bij de persoon aan de andere kant van de lijn dat hun computers onveilig zijn en dat jouw bedrijf de opdracht heeft gekregen deze systemen beter te beveiligen.
Om die computers veiliger te kunnen maken, moet je echter wel even de gebruikersnaam en het wachtwoord krijgen zodat je kan inloggen om de onveiligheid er uit kan halen.
Dit klinkt misschien onwaarschijnlijk en doorzichtig, maar in de praktijk gebeurt het maar al te vaak dat criminelen de inloggegevens krijgen door er simpelweg naar te vragen.
Meestal zullen ze niet direct zeggen “hé vriend, geef mij even je wachtwoord!” – want dat doet natuurlijk niemand – maar gebruiken ze daarvoor tal van zeer effectieve, sociale trucjes.
70% van de DNA-leden is gevoelig voor online oplichting
Bijvoorbeeld doordat ze zich voordoen als een familielid of vertegenwoordiger van de bank. Een andere veel gebruikte methode is het inzetten van openbare informatie om hiermee vervolgens verborgen informatie te verkrijgen.
Denk hierbij bijvoorbeeld aan de informatie op websites als LinkedIn of Facebook die voor iedereen toegankelijk zijn. Als iemand via deze sites jouw voornaam en familienaam weet te achterhalen en ook nog jouw hobby's, dan wordt het al veel eenvoudiger om onbewust slachtoffer te worden van online oplichting.
“Hallo Mario, mijn naam is Eugene en ik heb jouw gegevens gekregen via de schaakclub in Alkmaar waar je elke donderdag heen gaat.
Ze hebben mij gevraagd om jouw foto op hun Facebook te zetten, omdat je één van hun beste schakers bent.
Kan je mij even je WhatsApp geven zodat we samen kunnen kijken welke afbeelding het beste is?”
Grote kans dat bovenstaande introductie al een stuk vertrouwder zal overkomen. De aanvaller heeft immers op Facebook gelezen dat je graag schaakt, donderdagavond meestal in Alkmaar bij de lokale schaakclub zit en daar niet onverdienstelijk presteert.
Via deze openbare gegevens kan de crimineel dus eenvoudig aan een ander persoonlijk gegeven komen; je telefoonnummer.
En als deze eenmaal jouw nummer heeft, kan hij zichzelf een maand later via WhatsApp voordoen als een oude, vergeten schoolvriend. Deze “vriend” wil graag weer eens met je afspreken, maar is net ontslagen en heeft wat kleingeld nodig voor de bus.
Als jij wat geld op zijn rekening stort, dan geeft hij jou dat bij de eerste ontmoeting direct weer terug en trakteert hij jou ook nog eens op een ijskoude bier als teken van dank. Natuurlijk wil jij die oude vriend wel weer eens een keer ontmoeten en dus maak je wat kleingeld over via de bank.
WhatsApp fraude
– digitale veiligheid –
“Wat kan er misgaan, ik maak een heel klein bedrag over en dat is alles”, denk je nog bij jezelf…
Behalve dat je hiermee jouw rekeningnummer kenbaar maakt, bevestig je onbewust dat alle openbare gegevens rondom jouw identiteit kloppen en verstrek je ook nog aanvullende gegevens zoals je woonplaats en adres.
Twee maanden later blijkt je geldrekening geplunderd;
De aanvaller heeft via aanvullende technieken inmiddels jouw volledige online identiteit achterhaald en deze zelfs succesvol weten over te nemen.
Social engineering en phishing gaan dus hand in hand en zorgen er samen voor dat via de ene zwakke schakel een ander wordt verkregen totdat de ketting compleet is en men je kan chanteren, oplichten en zelfs nog erger.
Vanwege de eenvoud van social engineering is het onderzoek naar de online kwetsbaarheid van onze Nationale Assemblée dan ook volledig via deze methodiek samengesteld.
De uitkomst hiervan is zeer verontrustend; zeker 65% van de DNA-leden heeft onlangs alle fases van onze online oplichting doorlopen.
Morgen volgt deel twee : het onderzoek en de werkwijze.
Bron : Kees Christoffel Donk / github.io
Bent u zich bewust van alle online gevaren?
Bron : Suriname Nieuws
Wat vindt u van dit artikel?
Wilt u reageren op de vraag?
Lees verder in de gratis app!