Voice phishing
Voice phishing
Dagelijks worden ondernemingen gebeld door verschillende partijen zoals potentiële & bestaande klanten, leveranciers en collega’s. Maar wat als de persoon aan de andere kant zich voordoet als zo’n partij, maar dat helemaal niet is? Naast het klassieke e-mail phishing zetten cybercriminelen ook voice phishing in, beter bekend als ‘vishing’.
Bij deze social engineering aanval gebruikt de aanvaller de telefoon om potentiële slachtoffers te misleiden om gevoelige informatie te vestrekken, zoals inloggegevens, financiële gegevens en/of andere vertrouwelijke gegevens. De aanvaller doet zich vaak voor als een betrouwbare entiteit zoals een bankmedewerker, overheidsfunctionaris, technische ondersteuning of vertegenwoordiger van een bekend bedrijf. Maar zeker bij grote organisaties kan een aanvaller zich ook voordoen als collega.
Een enkel telefoontje kan voor een cybercrimineel genoeg zijn om een groot incident te veroorzaken. Onze voice phishing acties zijn een goede graadmeter van het bewustzijnsniveau van uw organisatie en verhogen de weerbaarheid tegen deze vorm van phishing.
Hoe werkt voice phishing?
Tijdens de voice phishing aanval gebruiken aanvallers verschillende manipulatieve tactieken, zoals angst, urgentie of behulpzaamheid om de slachtoffers onder druk te zetten of te verleiden om hen zover te krijgen de gevraagde informatie te verstrekken. Hierbij maken cybercriminelen gebruik van geavanceerde social engineering technieken om het vertrouwen van de slachtoffers te winnen en hen te overtuigen dat de oproep legitiem is.
Cybercriminelen proberen onder de radar te blijven en dankzij hulpmiddelen slagen zij daar doorgaans in. De slagingskans van een voice phishing aanval is hoog. Dat komt omdat zij onder andere gebruik maken van spoofing technieken. Bij caller ID spoofing wordt een legitiem telefoonnummer gebruikt van een bestaande persoon of organisatie. Ook kan het zijn dat cybercriminelen anoniem bellen. Het is daarom erg moeilijk om aan de andere kant van de lijn te herkennen dat je te maken hebt met een cybercrimineel.
Waarom moet mijn organisatie een voice phishing test uitvoeren?
Organisaties kunnen hun medewerkers trainen in het herkennen van voice phishing aanvallen en het implementeren van beleid en procedures om gevoelige informatie te beschermen.
Voice phishing is vergeleken met andere phishing-methoden lastig te herkennen. Bij de voice phishing simulaties van NFIR bootsen we de social engineering technieken na en spelen we in op menselijke eigenschappen om vertrouwelijke gegevens te verkrijgen of om medewerkers bepaalde handelingen uit te laten voeren. We geven de resultaten uit het onderzoek overzichtelijk weer in een rapportage en geven uw organisatie adviezen mee om zich te weren tegen deze aanvallen.
