Wat is sms'en?
door
Leestijd: 5 min
Pretexting is een social engineering-techniek die wordt gebruikt in cyberbeveiliging om mensen te verleiden gevoelige informatie vrij te geven of acties uit te voeren die ze normaal niet zouden doen. De aanvaller creëert meestal een vals voorwendsel, of een verzonnen verhaal, om het vertrouwen van het slachtoffer te winnen en hen te overtuigen de gewenste actie uit te voeren.
Pretexting-aanvallen kunnen vele vormen aannemen, zoals zich voordoen als een vertrouwde autoriteit (zoals een bankvertegenwoordiger), een technische ondersteuningsmedewerker of een verkoper die gevoelige informatie nodig heeft om een bestelling af te ronden. De aanvaller kan verschillende tactieken gebruiken om het slachtoffer te overtuigen, zoals het veinzen van urgentie, het creëren van een gevoel van belangrijkheid of zich voordoen als iemand die het slachtoffer kent of vertrouwt.
Zodra het slachtoffer is overgehaald, kan het gevoelige informatie vrijgeven, zoals wachtwoorden of rekeningnummers, of acties uitvoeren zoals het downloaden en installeren van malware op hun computer, het openen van een schadelijke e-mailbijlage of het bezoeken van een phishingwebsite.
Belangrijkste punten
- Pretexting is een social engineering-techniek die misbruik maakt van menselijk vertrouwen om gevoelige informatie van slachtoffers te ontfutselen.
- Aanvallers kunnen verschillende personas aannemen, zoals autoriteitsfiguren of hulpverleners, om slachtoffers te manipuleren.
- Phishing, vishing en smishing zijn veelgebruikte technieken waarmee mensen worden misleid om persoonlijke gegevens vrij te geven.
- Organisaties moeten werknemers leren hoe ze pogingen tot smoesjes herkennen en de juiste verificatieprocedures toepassen voordat ze gevoelige informatie delen.
- Het monitoren van netwerkactiviteiten kan helpen om verdacht gedrag te detecteren en de risico's van pretexting-aanvallen te beperken.
Elk jaar worden meer dan 71 miljoen mensen het slachtoffer van cybercriminaliteit.~Comparitech.
Pretexting aanvallen kunnen moeilijk te detecteren zijn omdat ze vaak gebruik maken van menselijke kwetsbaarheden, zoals vertrouwen en sociale normen, in plaats van technische kwetsbaarheden in software of hardware. Daarom is het belangrijk dat personen en organisaties waakzaam en voorzichtig zijn bij het delen van gevoelige informatie of het uitvoeren van acties als reactie op onverwachte verzoeken of ongebruikelijke omstandigheden.
Pretexting in cyberbeveiliging - definities en overzicht
Pretexting is een vorm van fraude waarbij smoesjes worden gebruikt om toegang te krijgen tot de persoonlijke gegevens van iemand anders. Pretexting wordt ook wel imitatie, identiteitsdiefstal of identiteitsfraude genoemd.
Aanvallers zullen pretexting gebruiken, social engineeringom te krijgen wat ze van je willen door je ervan te overtuigen dat ze een legitieme reden hebben om ze te geloven.
Criminelen die zich bezighouden met pretexting combineren soms verschillende vormen van social engineering, zoals imitatie of phishing, met hun kenmerkende tactiek, een aannemelijk klinkende pretext of verzonnen verhaal.
Pretexting is een tactiek die wordt gebruikt door aanvallers om toegang te krijgen tot gevoelige informatie of om je geld te laten geven. Elke elektronische of verbale communicatie, inclusief maar niet beperkt tot sms-berichten, e-mails, telefoongesprekken en persoonlijke ontmoetingen, kan worden gebruikt voor pretexting.
De pretexting-aanvaller moet een overtuigend verhaal verzinnen waardoor je denkt dat het bericht afkomstig is van iemand die je kunt vertrouwen.
Pretexting aanvalstechnieken
Pretexting wordt vaak gebruikt door hackers wanneer ze proberen financiële of persoonlijke informatie van je te krijgen. Ze gebruiken de volgende trucs:
Phishing-aanvallen
Phishing is een vorm van fraude waarbij slachtoffers via e-mail worden verleid tot het verstrekken van persoonlijke informatie, zoals wachtwoorden en creditcardgegevens. De e-mails zijn zo ontworpen dat het lijkt alsof ze zijn verzonden door een legitiem bedrijf, zoals een bank of online winkel. Het doel is om het slachtoffer op links in de e-mail te laten klikken, die hen vervolgens naar een valse website leiden die door de oplichter is opgezet.
Gerelateerd lezen Phishing vs Spam
Bumperkleven
Tailgating Dit is een social engineering-aanval waarbij de aanvaller de referenties van iemand anders gebruikt om ongeautoriseerde toegang te krijgen tot een gebouw of faciliteit. Om dit te doen, volgt de aanvaller iemand met legitieme toegang op de voet en gebruikt vervolgens de identificatiebadge van die persoon om door dezelfde deur naar binnen te komen.
Piggybacking
Piggybacking is een social engineering-aanval waarbij een onbevoegd persoon toegang krijgt tot een beveiligde faciliteit door bovenop een ander bevoegd persoon (of voertuig) te gaan zitten. Piggybacking kan worden uitgevoerd met of zonder toestemming van de persoon. Een aanvaller kan bijvoorbeeld bovenop de auto van een andere persoon rijden en een beveiligde faciliteit binnengaan alsof hij of zij bevoegd is om deze te betreden.
Scareware
Scareware is kwaadaardige software (malware) die valse berichten en waarschuwingen weergeeft om gebruikers ervan te overtuigen dat hun computers geïnfecteerd zijn met virussen of spyware. Deze berichten verplichten gebruikers vaak om antivirussoftware te kopen of te betalen voor ondersteuningsservices voordat ze weer toegang krijgen tot hun systemen.
Imitatie
Er is sprake van imitatie als iemand zich voordoet als iemand anders om toegang te krijgen tot vertrouwelijke informatie of het vertrouwen van anderen te winnen. Imitators kunnen social engineering-tactieken gebruiken zoals het maken van nepprofielen op sociale mediasites of het vervalsen van e-mails om toegang te krijgen tot gevoelige informatie.
Lokaas
Baiting houdt in dat informatie over mensen of organisaties wordt gebruikt om gevoelige gegevens van hen te verkrijgen via e-mail of telefoontjes; bijvoorbeeld door zich voor te doen als een leidinggevende van een bedrijf die persoonlijke informatie vraagt aan werknemers die denken dat ze hun baas helpen met iets belangrijks, maar zich niet realiseren dat ze hun gegevens blootgeven.
Vishing en Smishing
Vishing (voice phishing) en smishing ( sms-phishing ) zijn andere vormen van pretexting waarbij de ontvanger wordt gebeld of sms't. Vishing maakt gebruik van VoIP-technologie (Voice-over-Internet Protocol) om de indruk te wekken dat de beller belt vanaf een legitiem zakelijk telefoonnummer, terwijl hij of zij zich ergens anders ter wereld bevindt.
Bij smishing wordt tekstinhoud gespamd via SMS-berichten (Short Message Service) die naar mobiele telefoons worden gestuurd. Deze berichten bevatten vaak koppelingen naar schadelijke websites of bijlagen die kunnen worden gebruikt om malware te installeren op de computers van slachtoffers.
Gerelateerd lezen: Soorten social engineering
Bescherm uw organisatie tegen een Pretexting-aanval
Als je vermoedt dat jouw organisatie het doelwit is geweest van een pretexting-aanval, zijn hier enkele stappen die je kunt nemen om jezelf te beschermen:
DMARC gebruiken
Pretexting houdt vaak in dat je je voordoet als iemand anders. Daarom is een valse e-mail die legitiem lijkt essentieel. Daarom is spoofing een essentieel hulpmiddel voor communicatie via e-mail. De meest gebruikte verdedigingsmethode tegen e-mail spoofing, Domain-based Message Authentication, Reporting, and Conformance (DMARC), is beperkt omdat er constant en complex onderhoud voor nodig is.
Bovendien voorkomt DMARC precieze domeinspoofing, maar geen naamspoofing of spoofing met behulp van nevendomeinen, die veel vaker voorkomen bij spear-phishingaanvallen. Omdat DMARC zo goed werkt, zijn aanvallers geavanceerdere methoden gaan gebruiken.
Leer jezelf kennen
Omdat veel mensen moeten begrijpen hoe pretexting werkt, realiseren ze zich misschien pas dat hun organisatie een doelwit is geworden als het te laat is. Informeer jezelf en je werknemers, zodat ze weten hoe pretexting eruit ziet en hoe ze moeten reageren als ze vermoeden dat het gebeurt.
Altijd identificatie zien
Als iemand je kantoor binnenkomt om informatie te vragen over een werknemer, vraag dan altijd om een identificatie voordat je informatie verstrekt. Laat iemand anders de identiteit verifiëren van de persoon die om de informatie vraagt.
Onderzoek het voorwendsel zorgvuldig
Voordat je op een verzoek of instructie ingaat, moet je nagaan of het zinvol is. Als iemand je bijvoorbeeld vraagt om gevoelige gegevens via e-mail of sms te sturen, wees dan op je hoede - dit kan een list zijn om je informatie te stelen. Vertrouw er niet automatisch op dat wat je wordt gevraagd te doen legitiem of veilig is, alleen omdat het lijkt op iets wat je baas zou doen. Verifieer het liever direct bij je baas voordat je een taak uitvoert waar gevoelige gegevens of geld mee gemoeid zijn.
De omgeving controleren op kwaadaardige activiteiten
Gebruik beveiligingssoftware die alle activiteit op je netwerk controleert en je waarschuwt als er verdachte activiteiten plaatsvinden. Controleer de activiteit in realtime zodat je tijd hebt om te reageren als er een aanval begint.
Laatste woorden
Pretexting is een geweldige strategie om achter de hand te hebben als het nodig is, maar het kan ook averechts werken als je niet voorzichtig bent. Zorg ervoor dat je van plan bent om door te zetten waar je aan begint en dat je anderen het voordeel van de twijfel geeft totdat ze het tegendeel bewijzen.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Ahona is de Marketing Manager bij PowerDMARC, met 5+ jaar ervaring in het schrijven over cybersecurity onderwerpen, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een postdoctorale graad in Journalistiek en Communicatie, en heeft haar carrière in de beveiligingssector sinds 2019 verstevigd.
Laatste berichten van Ahona Rudra (Bekijk alle berichten)
- PowerDMARC erkend als leider in DMARC-software voor winter 2025 - 4 december 2025
- LaunDroMARC: Hoe een maas in de wet van Microsoft SRS vervalste e-mails witwast - 4 december 2025
- Top 6 DMARC-oplossingen voor MSP's in 2026 - 3 december 2025
