Het is geen geheim dat de snelle digitalisering van de samenleving de persoonlijke en zakelijke relaties ingrijpend heeft veranderd. Studies tonen aan dat in 2024 de financiële verliezen door online oplichting zijn gestegen tot 10,1 miljard R$, een toename van 17% ten opzichte van het voorgaande jaar.
Deze transformatie heeft echter ook het aanvaloppervlak voor cybercriminelen vergroot, die steeds meer afhankelijk zijn van social engineering om geavanceerde frauduleuze schema's uit te voeren.
Onder de meest voorkomende zijn phishing, smishing en vishing — praktijken die, hoewel verschillend in de gebruikte methoden, hetzelfde doel delen: slachtoffers misleiden om gevoelige informatie te stelen, vooral inloggegevens. Hoewel ze traditioneel worden geassocieerd met oplichterijen tegen consumenten, zijn deze vormen van social engineering ook zeer effectief in de bedrijfsomgeving. De oplichters richten zich op bedrijven om toegang te krijgen tot interne systemen, toeleveringsketens te compromitteren en grootschalige financiële fraude uit te voeren.
Zijn phishing, smishing en vishing dezelfde bedreigingen?
Om de uitleg te beginnen, is het belangrijk te begrijpen dat de term sociale engineering verwijst naar een reeks technieken die door oplichters worden gebruikt om slachtoffers emotioneel en sociaal te manipuleren, waardoor ze handelen tegen hun eigen belangen en hun veiligheid in gevaar brengen.
Phishing is het meest bekende type van dit soort oplichting. E-mail phishingkits kunnen worden gevonden op het dark web. Voor die oplichters die geen experts in het onderwerp zijn, zijn er mensen die de dienst voor hen uitvoeren. Het omvat meestal het verzenden van e-mails of berichten die zich voordoen als betrouwbare instellingen, zoals banken, detailhandelaren of online diensten.
Het doel is om de ontvanger te misleiden zodat hij op kwaadaardige links klikt die leiden naar valse sites, zeer vergelijkbaar met de originele, met als bedoeling wachtwoorden en andere gevoelige informatie te verkrijgen, zoals documentnummers of creditcardgegevens. Volgens gegevens van Serpro blijft phishing een van de meest voorkomende vormen van fraude in Brazilië, en criminelen verbeteren hun strategieën door gebruik te maken van kunstmatige intelligentie (AI) en deepfakes om nog overtuigender en gepersonaliseerde inhoud te creëren. Een recent geval was de arrestatie van een man wegens deelname aan een criminele groep die oplichting pleegde met behulp van gemanipuleerde video's met deepfake, met beeld en stem van presentator Marcos Mion.
De oplichters voeren ook fraude uit zoals Business Email Compromise (BEC) en de nep-CEO-zwendel, met e-mails die zich voordoen als executives om werknemers te laten overmaken of inloggegevens te verstrekken.
Aan de andere kant gebruikt smishing (een combinatie van SMS en phishing) tekstberichten om slachtoffers te misleiden. Met de popularisering van berichtentoepassingen zoals WhatsApp en Telegram heeft deze methode aan kracht gewonnen, door in te spelen op de neiging van mensen om snel te reageren op berichten die urgent of belangrijk lijken.
Vishing (stemphishing) wordt uitgevoerd via telefoongesprekken, waarbij de oplichter zich voordoet als een vertegenwoordiger van een bedrijf of instelling. Een overtuigende toon, gecombineerd met het gebruik van eerder verkregen gegevens uit lekken, maakt slachtoffers meer geneigd om vertrouwelijke informatie telefonisch te delen. Dit soort oplichting treft steeds meer Braziliaanse bedrijven, vooral grote ondernemingen.
Oude rekeningen zijn de meest waardevolle activa voor criminelen
De groei van deze fraude's is rechtstreeks gerelateerd aan de waarde die op rekening gebaseerde ecosystemen vertegenwoordigen. Een oud en betrouwbaar account is waardevoller voor criminelen dan directe diefstal van geld. Dit komt doordat accounts met een geschiedenis van legitieme activiteiten minder kans hebben om automatisch gedetecteerd te worden door traditionele fraudedetectiesystemen.
De oplichters gebruiken phishing en zijn variaties samen om toegang te krijgen tot deze accounts, die jarenlange relaties en transacties kunnen hebben die hun reputatie bevestigen. Eenmaal binnen kan de crimineel het aankoopgeschiedenis, gedragspatronen bestuderen en in sommige gevallen zelfs contact opnemen met de klantenservice, zich voordoend als de rechtmatige houder van de rekening.
Volgens een rapport van Nethone bouwen sommige fraudeurs relaties op met supportmedewerkers, om hen te misleiden om wijzigingen aan te brengen in het account die de uitvoering van de fraude vergemakkelijken — een proces dat bekend staat als account takeover (accountovername). Dit soort aanvallen veroorzaakt niet alleen directe financiële verliezen, maar ondermijnt ook het vertrouwen in digitale platforms en diensten.
De impact van kunstmatige intelligentie en automatisering op fraude
Historisch gezien vereisten campagnes voor sociale engineering planning, tijd en een bepaald niveau van handmatige personalisatie. No entanto, de grootschalige adoptie van generatieve taalmodellen (LLMs) heeft dat scenario volledig veranderd.
Vandaag de dag kunnen criminelen met geautomatiseerde tools gebaseerd op generatieve AI binnen enkele minuten phishingcampagnes creëren en lanceren. Goed geschreven teksten, die vroeger vloeiendheid of tijd vereisten om te worden opgesteld, worden nu automatisch gegenereerd met een hoog niveau van verfijning. Als gevolg hiervan zijn het volume en de frequentie van deze aanvallen alarmerend toegenomen.
Deze groei weerspiegelt niet alleen de grotere reikwijdte van frauduleuze campagnes, maar ook de efficiëntie van de nieuwe technieken gebaseerd op AI en automatisering.
Wie denkt dat phishing, smishing en vishing exclusieve risico's voor individuele consumenten zijn, heeft het mis. Bedrijven zijn ook vaak het slachtoffer van deze fraude, vooral wanneer bedrijfsgegevens worden blootgesteld op het dark web. Volgens een analyse van Nethone kunnen oplichters gelekte gegevens van werknemers verkrijgen, waardoor ze privileged toegang krijgen tot interne systemen en gevoelige databases.
Vanaf dat moment maken ze subtiele bewegingen: ze bestuderen het koop- of bedrijfsoperatiegedrag, creëren interacties met de technische of commerciële ondersteuning en manipuleren geleidelijk interne processen om frauduleuze transacties uit te voeren zonder onmiddellijke verdenking op te wekken. Deze praktijk brengt niet alleen de veiligheid van de organisatie in gevaar, maar ook het vertrouwen met klanten en partners.
Hoe jezelf te beschermen tegen deze bedreigingen?
De bescherming tegen phishing, smishing en vishing omvat een combinatie van technologie, processen en bewustwording.
Onderwijs en bewustwording:De eerste verdedigingslinie is altijd de persoon. Zowel bedrijven als gebruikers moeten worden opgeleid om veelvoorkomende tekenen van deze fraude te herkennen, zoals spelfouten, overdreven urgentie in berichten, verzoeken om gevoelige informatie en ongewone communicatiekanalen.
Multifactor Authenticatie (MFA):Zelfs als de inloggegevens gecompromitteerd zijn, maakt het gebruik van meerdere authenticatielagen ongeautoriseerde toegang moeilijk.
Monitoring van inloggegevens:Tools die de blootstelling van inloggegevens op het dark web monitoren, zijn essentieel zodat bedrijven en individuen snel gewaarschuwd worden voor datalekken.
AI-gebaseerde fraudedetectiesystemen:Net als criminelen moeten bedrijven gebruikmaken van kunstmatige intelligentie om onregelmatige gedragspatronen te detecteren die wijzen op mogelijke inbraken of frauduleuze pogingen.
In tijden waarin vertrouwen een waardevolle munt is, is het beschermen van inloggegevens en het handhaven van een waakzame houding essentieel om de digitale integriteit van individuen en bedrijven te behouden.
