E mailoplichting wordt steeds persoonlijker cyberbeveiligingsexperts worden zelfs om de

E-mailoplichting wordt steeds persoonlijker – cyberbeveiligingsexperts worden zelfs om de tuin geleid

Als een e-mail alarmbellen doet rinkelen, controleer dan de gegevens van de afzender's Shutterstock

We denken allemaal graag dat we immuun zijn voor oplichting. We spotten met e-mails van een onbekende afzender die ons 2 miljoen pond aanbiedt, in ruil voor onze bankgegevens. Maar het spel is veranderd en oplichters hebben nieuwe, ijzingwekkende tactieken ontwikkeld. Ze kiezen voor een persoonlijke benadering en speuren het internet af naar alle details die ze over ons kunnen vinden.

Oplichters worden er zo goed in dat zelfs cyberbeveiligingsexperts er in worden geluisd.

Een van ons (Oliver Buckley) herinnert zich dat hij in 2018 een e-mail kreeg van de pro-vice chancellor van zijn universiteit.

Dit is het, dacht ik. Ik krijg eindelijk erkenning van de mensen aan de top. Iets klopte er echter niet. Waarom gebruikte de vice-kanselier zijn Gmail adres? Ik vroeg hoe ik hem kon ontmoeten. Ik moest voor hem iTunes-cadeaubonnen ter waarde van 800 pond kopen en ik hoefde alleen de achterkant maar af te strepen en hem de code te sturen. Ik wilde hem niet teleurstellen en bood hem aan om naar het kantoor van zijn assistent te gaan en hem het briefje van £5 te lenen dat ik in mijn portefeuille had. Maar ik heb nooit meer iets van hem gehoord.

De beruchte “prins van Nigeria” emails raken uit de mode. In plaats daarvan speuren oplichters de sociale media af, vooral die met een zakelijk karakter zoals LinkedIn, om mensen te benaderen met op maat gesneden berichten. De sterkte van een relatie tussen twee mensen kan worden gemeten door hun berichten en opmerkingen aan elkaar te inspecteren. In het eerste kwartaal van 2022 was LinkedIn wereldwijd goed voor 52% van alle phishing-zwendel.

Menselijke neigingen

Psychologen die onderzoek doen naar gehoorzaamheid aan gezag weten dat wij eerder geneigd zijn in te gaan op verzoeken van mensen die hoger in onze sociale en professionele hiërarchie staan. En fraudeurs weten dat ook.

Oplichters hoeven niet veel tijd te besteden aan het onderzoeken van bedrijfsstructuren. “Ik ben op de conferentie en mijn telefoon heeft geen beltegoed meer. Kunt u XXX vragen om mij een XXX rapport te sturen?” is een typisch oplichtingsbericht.

Uit gegevens van Google Safe Browsing blijkt dat er nu bijna 75 keer zoveel phishingsites als malwaresites op het internet zijn. Bijna 20% van alle werknemers klikt op links in phishing-e-mails, en maar liefst 68% van hen voert zijn gegevens in op een phishingwebsite.

Wereldwijd kost e-mailspam bedrijven elk jaar bijna 20 miljard dollar (17 miljard pond). Uit onderzoek van bedrijfsadviseur en belastingcontroleur BDO blijkt dat zes van de tien middelgrote bedrijven in het Verenigd Koninkrijk in 2020 het slachtoffer werden van fraude, met een gemiddeld verlies van £245.000.

Doelwitten worden gewoonlijk gekozen op basis van hun rang, leeftijd of sociale status. Soms maakt spamming deel uit van een gecoördineerde cyberaanval tegen een specifieke organisatie, zodat doelwitten worden geselecteerd als ze werken voor of banden hebben met deze organisatie.

Fraudeurs gebruiken spambots om in contact te komen met slachtoffers die reageren op de initiële haakmail. De bot gebruikt recente informatie van LinkedIn en andere sociale mediaplatforms om het vertrouwen van het slachtoffer te winnen en hen te verleiden tot het geven van waardevolle informatie of het overmaken van geld. Dit begon de afgelopen twee tot drie jaar met de toevoeging van chatbots aan websites om de interactie met klanten te vergroten. Recente voorbeelden zijn de Royal Mail chatbot scam, DHL Express, en Facebook Messenger. Helaas voor het publiek bieden veel bedrijven gratis en betaalde diensten aan om een chatbot te bouwen.

En er zijn tegenwoordig meer technische oplossingen beschikbaar voor oplichters om hun identiteit te verhullen, zoals het gebruik van anonieme communicatiekanalen of valse IP-adressen.

Sociale media maken het voor oplichters makkelijker om geloofwaardige e-mails te maken, spear phishing genaamd. De gegevens die we elke dag delen, geven fraudeurs aanwijzingen over ons leven die ze tegen ons kunnen gebruiken. Het kan iets eenvoudigs zijn als een plaats die u onlangs hebt bezocht of een website die u gebruikt. In tegenstelling tot algemene phishing (grote aantallen spamberichten) maakt deze genuanceerde aanpak gebruik van onze neiging om betekenis te hechten aan informatie die enig verband houdt of voor ons van belang is. Als we onze volle inbox checken, pikken we er vaak iets uit dat een snaar raakt. Dit wordt in de psychologie de illusoire correlatie genoemd: dingen als verwant zien terwijl ze dat niet zijn.

Hoe bescherm je jezelf

Zelfs als je in de verleiding komt om e-mail scammers te lokken, doe het niet. Zelfs als u bevestigt dat uw e-mailadres in gebruik is, kunt u een doelwit worden voor toekomstige oplichting. Er zit ook een menselijker element aan deze zwendel, vergeleken met de algemene bomaanslag die oplichters de laatste twee decennia hebben toegepast. Het is griezelig intiem.

Een eenvoudige manier om niet bedrogen te worden is om de gegevens van de afzender en de e-mail headers dubbel te controleren. Denk na over de informatie die er over jou kan zijn, niet alleen over wat je ontvangt en van wie. Als je op een andere manier contact kunt opnemen met die persoon, doe dat dan.

We moeten allemaal voorzichtig zijn met onze gegevens. De vuistregel is, als je niet wilt dat iemand het weet, zet het dan niet online.

Hoe geavanceerder de technologie wordt, hoe makkelijker het is om een menselijke benadering te kiezen. Video call technologie en messaging apps brengen je dichter bij je vrienden en familie. Maar het geeft mensen die je kwaad willen doen een venster in je leven. Dus moeten we onze menselijke afweer gebruiken: ons buikgevoel. Als iets niet goed aanvoelt, let dan op.

The Conversation

De auteurs werken niet voor, geven geen advies aan, hebben geen aandelen in, en ontvangen geen financiering van bedrijven of organisaties die baat zouden hebben bij dit artikel, en hebben geen relevante banden buiten hun academische aanstelling bekendgemaakt.