Volgens privacydeskundige Jeroen Terstegge heeft de CEO-fraude bij Pathé niets van doen met de #AVG. Heeft hij gelijk?

Op Twitter heb ik al enige tijd een interessante ‘discussie’ met de Nederlandse privacydeskundige Jeroen Terstegge van PM Partners over het koppelen van de AVG op deze site aan een bericht over de CEO Fraude bij de bioscoopketen Pathé. “Dit heeft echt niets met de #AVG te maken. Niet elk securityprobleem is een AVG-probleem”, twitterde Terstegge. Ik was stomverbaasd.

Terstegge reageerde op 11 november 2018 op de volgende tweet van mij:

CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid goo.gl/FrMcMU #AVG #GDPR #Privacywet

 

Tsja, dan begin je als privacymanager toch aan jezelf te twijfelen. En wat te denken van iedereen die sowieso al twijfelt over de AVG? CEO fraude heeft volgens een van de meest vooraanstaande privacydeskundigen van Nederland dus niets te maken met de Algemene Verordening Gegevensbescherming (AVG)?

Veel mensen zijn geneigd om op Twitter meteen impulsief te reageren. Ik besloot dat niet te doen. Ik besloot om na te denken over de tweet van Terstegge die ik net als veel collega’s hoog heb zitten. En niet voor niets.

Lees zijn bio op de site van PM Partners maar:

Jeroen Terstegge is een van Nederlands meest vooraanstaande privacy juristen. Hij heeft ruim 25 jaar ervaring op privacy gebied en was als Privacy Officer van Philips een van de geestelijk vaders van de Binding Corporate Rules (BCRs). Jeroen’s stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen en complexiteit terug te brengen tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren zoals e-commerce, energie, finance, ICT en HRM.

Waarom heeft CEO fraude niets te maken met de AVG?

Ik begrijp de tweet niet. De AVG verplicht organisaties toch om medewerkers te trainen hoe ze cyberrisico’s kunnen herkennen? De Autoriteit Persoonsgegevens (AP) hamert voortdurend op security awareness.

Twee topmanagers van Pathé worden door gewiekste cybercriminelen via social engineering misleid en bezorgen hun werkgever daardoor een miljoenenstrop.

CEO-fraude.

Social engineering.

Die woorden komen toch echt aan bod bij iedere security awareness training.

Ik besluit op 22 november 2018 Jeroen Terstegge via Twitter om uitleg te vragen.

Hallo Jeroen, ik reageer laat. Bewust. Heb nagedacht over jouw reactie. Was verbaasd. Waarom hier geen AVG? Dit was social engineering cybercrime. Hoort toch bij awareness training?

Jeroen Terstegge antwoordt meteen:

Social engineering is alleen een AVG-probleem als de directeuren in kwestie persoonsgegevens hebben vrijgegeven. In casu is ze geld afhandig gemaakt. Kortom, geen AVG-, wel security-issue. Er is overlap tussen privacy en security, maar die twee zijn niet hetzelfde.

 

 

Terstegge is een jurist, besef ik. Juristen denken anders. Ze kunnen hele wetteksten oprafelen.

Associeren daardoor ook meteen juridisch. Dat zou als volgt kunnen gaan:

  • Twee topmanagers zijn de mist ingegaan door CEO-fraude. Er zijn miljoenen Euro’s verloren gegaan, maar er zijn geen persoonsgegevens verloren gegaan.
  • AVG = persoonsgegevens…
  • Geen persoonsgegevens betekent geen zaak voor de Autoriteit Persoonsgegevens (AP).

 

Als je het Pathéverhaal op die manier juridisch analyseert heeft Terstegge gelijk.

Maar wat hij vergeet is dat de Autoriteit Persoonsgegevens er voortdurend op hamert dat de AVG meer is dan een wet. Meer dan een juridisch instrument.

De AVG moet iedereen ook bewust maken van alle cyberrisico’s die we tegenwoordig lopen. Organisaties moeten aantonen dat ze een goed privacybeleid hebben ontwikkeld. En dat ze dat beleid ook in de praktijk ook uitvoeren.

Wat dat betreft heeft Pathé wel degelijk een AVG-probleem. Hebben de managers die de fout in gingen wel een security awareness training gehad? Een van hen beweerde van niet.

Op 24 november 2018 besloot ik nogmaals te reageren richting Jeroen Terstegge. Het komt zelden voor dat een tweet me zo lang triggert.

Ik denk dat je het artikel niet helemaal hebt gelezen. Pas op het eind wordt een verband gelegd met de AVG, maar dan alleen in verband met de verplichte security awareness trainingen. Wat dat betreft is er natuurlijk wel een link naar de AVG. Maar inderdaad niet qua boetes of AP.

Opnieuw antwoordt Terstegge snel. En opnieuw verbaast het antwoord me:

Het ging mij eigenlijk meer om die hashtags. Die slaan nergens op in dit verband.

 

Jeroen is een topjurist. Ik ben behalve privacymanager ook NextMarketeer. En ik kan daarom heel goed onderbouwen dat Terstegge met dit antwoord de plank volledig misslaat.

De AVG wordt door het grote publiek automatisch geassocieerd met cybercrime. CEO-fraude en social engineering vallen onder cybercrime.

Mensen die op internet naar informatie over cybercrime zoeken maken ook gebruik van de hashtag #AVG.

Als je als privacyspecialist online gevonden wilt worden zul je dezelfde woorden moeten gebruiken als je doelgroep. En dan helpt het ook als marketeers merken dat je hun vak begrijpt.

Qua marketing is het gebruik van de hashtag #AVG dus wel degelijk relevant.

En wat mij betreft zeer zeker ook in relatie tot security awareness. En dat valt toch echt onder de AVG.

Maar dat is mijn bescheiden mening.

No hard feelings, Jeroen.

Wat vind jij? Heeft Jeroen Terstegge gelijk? Moet je CEO-fraude en social engineering niet aan de AVG koppelen? We zijn benieuwd naar jouw reactie.

Deze AVG awareness video moet je echt zien! Een cybercrimineel neemt niet alleen je online leven over, maar ook jouw echte leven

Het lijkt het scenario van een film. Een cybercrimineel kopieert op basis van online gegevens jouw gedrag en steelt jouw inloggegevens. Vervolgens plundert hij niet alleen jouw bankrekening. Hij wordt een levensechte nachtmerrie. Een menselijke clone van jou.

Je kunt het je waarschijnlijk niet voorstellen dat jou zoiets in het echt zou overkomen. Dat dit echt mogelijk is. Toch is het zo. Iemand anders kan op een dag dankzij online gegevens zo jouw leven stelen. Zoals bij Tom! Deze AVG awareness video is een aanrader.

De AIVD zoekt een acquisiteur cyber. In normale taal een spion die verstand heeft van ICT en social engineering

Tussen de berichten op Flipboard komt opeens een opvallende vacature voorbij. De overheid zoekt een aquisiteur cyber. Een wat? Iemand die internet verkoopt?

“Wil jij meehelpen om Nederland digitaal weerbaar te maken? Maar niet vanachter je computer?”, opent de vacaturetekst wervend.

Nederland digitaal weerbaar maken… Heeft op het eerste gezicht weinig met aquisitie van doen.

“Ben je sociaal en vind je het interessant om met mensen om te gaan? Dan is de functie van acquisiteur cyber wellicht interessant voor jou”, vervolgt de tekst.

Ben je sociaal? De context neigt er naar dat het hier niet over aquisitie gaat, maar om social engineering. De manier waarop cybercriminelen doelwitten psychologisch misleiden.

 

“Nederland is dagelijks doelwit van digitale aanvallen. Deze aanvallen zijn deels gericht op de overheid en de vitale infrastructuur”, vervolgt de tekst. “Andere staten proberen op deze manier gevoelige informatie buit te maken. De AIVD doet onderzoek naar deze aanvallen en de organisaties die hierachter zitten.”

Okay. De aap komt uit de mouw. Dit is een advertentie van de Algemene Inlichtingen en Veiligheidsdienst. De AIVD. De Nederlandse geheimedienst. De aquisiteur cyber is een spion.

 

“Het werk van de acquisiteur gaat in de kern over mensen. In nauw overleg met het betrokken team leg je contact met mensen in binnen- en buitenland”, legt de AIVD uit.

“Je verdiept de relaties en bouwt deze uit. Wanneer nodig maak je hierbij gebruik van bijzondere bevoegdheden uit de Wet op de inlichtingen- en veiligheidsdiensten.”

Je mag dus dingen doen die anderen niet mogen. Je krijgt als het ware een license to kill voor cyberspace. Voor het internet. Het doel heiligt de middelen.

“Je verzamelt unieke inlichtingen die voor onze overheid niet openlijk te verkrijgen zijn. Soms is het net dat ene ontbrekende puzzelstukje. Jouw activiteiten kunnen dan ook een directe impact hebben op de nationale veiligheid.”

De Nederlandse digitale James Bond moet verstand hebben van ICT en van mensen. Die combinatie gaat zelden op. ICT-ers spreken een hele andere taal dan mensen die graag met mensen omgaan.

“Als acquisiteur cyber in een buitenfunctie heb je verstand van techniek en begrijp je hoe tegenstanders te werk gaan. Je beschikt over uitstekende interpersoonlijke en communicatieve vaardigheden.”

De AIVD zoekt dus een spion die als social engineer een schaap met vijf poten zou kunnen word.

“Je weet wat mensen beweegt en bent vaardig in het achterhalen van drijfveren. Je weet met deze kennis en gave mensen te binden en te beïnvloeden.”

“Ga jij de uitdaging aan? Voor de sollicitatieprocedure zie de ‘bijzonderheden’“, sluit deze overheidsvacature af. Als je wilt solliciteren moet dat met een korte videobooschap die je versleuteld naar de AIVD moet sturen. Op die manier voorkomt de geheime dienst natuurlijk dat persoonsgegevens van potentiele spionnen al kunnen worden onderschept voordat ze daadwerkelijk zijn begonnen.

Chinese cyberspionnen vormen een risico voor kleine en grote ondernemingen

Het ministerie van Binnenlandse Zaken van de Duitse deelstaat Baden-Württemberg is sinds 2012 op de hoogte van 8 gevallen van industriële spionage uit China. Dat blijkt uit het antwoord op vragen van de Duitse liberale partij FDP.

De Duitse Autoriteit Persoonsgegevens –
het Federaal Bureau voor Informatiebeveiliging (BSI) neemt het rapport zeer serieus.

Hoewel de cijfers laag lijken, heeft de ervaring geleerd dat er waarschijnlijk veel vaker sprake is van industriële spionage vanuit China dan gemeld wordt.

“Beveiligingsincidenten in de IT-omgeving worden vaak niet gemeld door bedrijven, bijvoorbeeld uit angst voor reputatieschade,” aldus de overheid in Baden-Württemberg.

De Chinese bedrijfsspionnen richten zich niet alleen op middelgrote ondernemingen.

Eén van de spionagezaken die ontdekt is betreft een “cyberaanval op een voertuigfabrikant uit Stuttgart”.

In Stuttgart bevindt zich het hoofdkantoor van Mercedes-Benz.

Zes cyberspionagezaken in de Duitse deelstaat zijn nog in onderzoek. De advocaat-generaal heeft in vier van deze zaken een procedure ingeleid.

Spyware per e-mail

De Chinese cyberspionnen maken gebruik van social engineering om binnen te komen. De “menselijke factor” is nog steeds het grootste zwakke punt. Dit geldt zowel voor geïnfiltreerde medewerkers als voor bezoekers die bijvoorbeeld een demonstratie van de productiefaciliteiten krijgen.

De e-mails of berichten in sociale netwerken zijn zo ontworpen dat er interesse wordt gewekt en spyware via direct contact kan worden binnengesmokkeld.

In sociale netwerken zouden ook profielen worden gecreëerd om contact te leggen met westerse tegenhangers.

De FDP riep de federale regering van Baden-Württemberg op om de mogelijke effecten van industriele spionage door Chineze te verduidelijken.

AVG Awareness test: op welk phishing e-mail onderwerp zou jij geklikt hebben? Phishing top 10

KnowBe4 heeft de top 10 van phishing e-mail onderwerpregels bekend gemaakt waar in het derde kwartaal van 2018 het meest op is geklikt. KnowBe4 is een Amerikaans bedrijf dat wereldwijd privacy awareness trainingen verzorgt en trainingstools aanbiedt.

Een van de tools die KnowBe4 aanbiedt is een phishingtest waarbij bedrijven een fake phishingmail naar hun medewerkers kunnen laten sturen. Zo kunnen ze in de praktijk testen of medewerkers iets hebben opgestoken van een AVG privacy awareness training.

 

Social engineering

Cybercriminelen maken gebruik van social engineering. Ze passen psychologische manipulatieve trucs toe om hun slachtoffers in een phishingval te laten trappen.

Volgens Kwow2Be spelen cybercriminelen de laatste tijd bij phishingmail overduidelijk in op de angst bij gebruikers om gehackt te worden. Mensen zijn sneller geneigd te reageren op een oproep om een wachtwoord te wijzigen.

Nieuwsgierigheid is een risico

Daarnaast wordt ook ingespeeld op nieuwsgierigheid naar een nieuwe voicemail of online bestelling.
“Cybercriminelen profiteren van de wens van een individu om bewust of goed geïnformeerd te blijven op het gebied van veiligheid door met zijn psyche te spelen”, zegt Perry Carpenter, Chief Evangelist en strategisch medewerker bij KnowBe4.

“Ze doen dit door iemand te laten geloven dat hij of zij risico’s loopt of dat iets onmiddellijk aandacht nodig heeft. Dit type aanval is effectief omdat het ervoor zorgt dat een persoon snel reageert voordat hij of zij logischerwijs nadenkt over de legitimiteit van de e-mail. Het wordt steeds moeilijker om het voortdurende probleem van social engineering te overwinnen, omdat aanvallers menselijke emoties zoals angst en nieuwsgierigheid opwekken.”

Gesimuleerde phishingtests

In het derde kwartaal van 2018 onderzocht KnowBe4 tienduizenden e-mailonderwerpen uit gesimuleerde phishingtests om uit te vinden wat een gebruiker erop doet klikken.

Het bedrijf heeft ook onderzoek gedaan naar de werkelijke onderwerpregels die aantonen dat de e-mails die gebruikers ontvangen en aan hun IT-afdelingen melden verdacht zijn.

Top 10 meest geklikte phishing e-mail onderwerp regels wereldwijd voor Q3 2018:

  • Controleer uw wachtwoord – 34%.
  • Je hebt een spraakbericht – 13%
  • Uw bestelling is onderweg – 11%.
  • Wijzig uw wachtwoord onmiddellijk – 9%.
  • Deactivering van uw e-mailbox – 8%.
  • UPS-levering 1ZBE312TNY00015011 – 6% – UPS-levering
  • Herziene reis- en ziekterichtlijnen – 6%.
  • U heeft een document ontvangen om te ondertekenen – 5%.
  • Spam hint: 1 nieuw bericht – 4%
  • {Actie vereist} – Mogelijke schending van de Gebruiksvoorwaarden 4%.

Onderstaande E-mailonderwerpen zijn een combinatie van gesimuleerde phishingberichten die door KnowBe4 voor klanten zijn gemaakt.

  • U heeft een nieuw versleuteld bericht 
  • IT: Synchronisatiefout – geretourneerde berichten
  • HR: Contactgegevens
  • FedEx: We hebben u gemist.
  • Microsoft: Meerdere aanmeldingspogingen
  • IT: Belangrijk – Nieuwe server back-up
  • Wells Fargo: Onregelmatige activiteiten op uw creditcard rekening
  • LinkedIN: Uw account is in gevaar!
  • Microsoft/Office 365: {herinnering}: Uw gecodeerd bericht
  • Coinbase: uw Crypto Valuta portemonnee: het veranderen van Two-Factor Authenticatie

Tijd voor professioneel privacybeleid?

PrivacyZone is gespecialiseerd in privacymanagement en privacymarketing. Wij ondersteunen bij DPIA’s, algemene voorwaarden, verwerkersovereenkomsten, privacy- en cookiebeleid, actieplannen en praktijkgerichte awareness trainingen. Meer weten? Neem contact met ons op via info@privacyzone.nl of bel 06-31995740.

Wat gebeurt er eigenlijk als je op een spam e-mail reageert?

Bij AVG Awareness wordt veel aandacht besteed aan het risico van e-mail. We laten zien hoe slimme cybercriminelen met psychologische social engineering trucs er in slagen om mensen te verleiden dingen te doen waarvan ze eigenlijk zelf al weten dat het niet goed is.

De mens is de grootste risicofactor als het gaat om cyberveiligheid. De mailbox is de gevaarlijkste plek.

Maar hoe slim zijn die cybercriminelen eigenlijk? 

We krijgen allemaal iedere dag vele spam-mailberichten in onze mailbox.

Veel van die berichten zijn uitermate slordig en slecht geschreven. 

Je kunt je niet voorstellen dat er mensen zijn die er in trappen. Maar toch gebeurt het. 

Die mailtjes worden in zulke grote aantallen verstuurd dat er altijd wel een paar mensen zijn die zo stom zijn om er op te reageren.

Wees eerlijk: de aanbiedingen die je krijgt zijn soms toch ook bijna te mooi om waar te zijn. Je hoeft alleen maar een erfenis van een onbekend iemand op je bankrekening te accepteren om vele miljoenen rijker te worden.

Wie wil dat nou niet?

James Veitch wilde wel eens weten wat er gebeurt als je reageert op zo’n fantastische aanbieding in een spambericht. 

Zou hij de spammer in zijn eigen val kunnen laten lopen?

Het leverde Veitch een fantastische mailwisseling op. En een enorm succes als spreker bij TEDtalk. Ruim 17 miljoen mensen hebben de presentatie al bekeken op YouTube.

Zijn verhaal begint als volgt:

“Een paar jaar geleden kreeg ik een spam e-mail. Het drong door mijn spamfilter. Ik weet niet hoe, maar hij kwam in mijn inbox. Hij was van ene Solomon Odonkoh.”

Het publiek lacht al. De naam van de spammer is te mooi om waar te zijn. 

“Ik weet het”, reageert Veitch.

“Het ging als volgt: Er stond: “Hallo James Veitch, ik wil een interessant zakelijk voorstel met je delen, Solomon.”

Logischerwijs hing mijn hand boven de verwijderknop. Ik keek naar mijn telefoon en dacht: “Ik kan dit verwijderen. Of, ik kan doen wat iedereen waarschijnlijk wel eens zou willen doen.”

Ik schreef: “Solomon, je mail intrigeert me.”

We kunnen zijn presentatie hier natuurlijk gaan uitwerken. Maar dat is zonde van onze tijd en van de humoristische manier waarop Veitch presenteert. Je moet de presentatie echt zelf bekijken. Een aanrader.

De mens is en blijft de zwakste schakel bij de beveiliging tegen cybercriminelen

Zeventig procent van de bedrijven wil investeren in technische maatregelen om persoonsgegevens van personeel en klanten beter te beveiligen. Dat is een nobel streven. Maar die technische maatregelen alleen zijn niet afdoende.

Uit diverse onderzoeken blijkt dat de meeste datalekken en hacks veroorzaakt worden door nalatigheid van mensen.

Manipulatietechnieken om vertrouwelijke informatie te verkrijgen

Cybercriminelen passen “social engineering” toe. Frauduleuze manipulatietechnieken om vertrouwelijke informatie te verkrijgen van medwerkers van bedrijven, overheid of van particulieren.

Om hun doel te bereiken maken criminelen gebruik van menselijke kwaliteiten en zwakheden, zoals hulpvaardigheid, maar ook het luisteren naar autoriteiten. En de methode werkt bij medwerkers van veel bedrijven en overheidsinstellingen.

Werknemers delen gevoelige bedrijfsinformatie via e-mail

Een op de zes medewerkers reageert volgens onderzoek op een nep-e-mail van de directie en onthult gevoelige bedrijfsinformatie.

Dergelijke informatie over verantwoordelijkheden binnen het bedrijf, de samenstelling van afdelingen, interne processen of organisatiestructuren is van grote waarde voor criminelen.

Uit het onderzoek blijkt ook dat medewerkers zich slechts in beperkte mate actief inzetten voor IT-beveiliging:

  • Meer dan de helft van de ondervraagde medewerkers luistert actief naar zichzelf over IT-beveiliging op de werkplek (58 procent).
  • Maar bijna 42 procent van de ondervraagden zegt zelf niets te doen.
  • Ongeveer 18 procent van de ondervraagden vertrouwt op de werkgever om het bedrijfsnetwerk voldoende te beveiligen.
  • En 13 procent gelooft dat het bedrijf hen zal adviseren wanneer ze beveiligingsmaatregelen moeten nemen.

Grotere organisaties zijn het meest kwetsbaar.

Cybercriminelen hebben met hun social engineering techniek het meeste succes in grotere organisaties.

De daders bereiden zich zorgvuldig voor. Ze winnen eerst uitgebreide informatie in over de organisatie en de omgangsvormen van het bedrijf.

Met deze kennis krijgen zij toegang tot het bedrijfsnetwerk via e-mail of telefonisch contact met geselecteerde medewerkers.

Of ze overtuigen slachtoffers zelfs om financiële transacties uit te voeren.

Door de pretentieuze haast en aangemoedigd door de vermeende autoriteit van de fraudeur, geven de slachtoffers vaak toe, soms zelfs door dubbele controletechniek (double optin) te omzeilen.

Managers die hun organisatie privacyproof willen krijgen doen er goed aan om behalve in veilige techniek ook in awareness trainingen van hun personeel te investeren. Medewerkers leren sceptisch te worden over oproepen en e-mails van onbekende “collega’s” of “leidinggevenden”. Zuinig omgaan met professionele informatie in sociale netwerken.

Uit diverse onderzoeken blijkt dat awareness beleid terugkerend moet zijn. Een enkele training is niet afdoende.

PrivacyZone kan helpen bij het ontwikkelen van awareness binnen bedrijven.

CEO-fraude: daders doen zich voor als bestuurders en sluizen kapitalen weg. Zo beperk je de risico’s

Ooit gehoord van CEO-fraude? Nee, het gaat niet over witte boorden criminaliteit. Niet over managers die hun zakken vullen. Het gaat over cybercrime.

CEO fraude is een methode die cybercriminelen toepassen om organisaties te misleiden. Ze doen zich voor als de CEO.

De daders verzamelen eerst uitgebreide informatie over de gewoonten en verantwoordelijkheden van een bedrijf.

Met deze kennis krijgen zij toegang tot het bedrijfsnetwerk of geven via e-mail en telefonisch contact aan geselecteerde medewerkers opdrachten voor banktransacties.

RTL-Z maakte er een item over met een praktijkvoorbeeld uit de bankwereld.

De cybercriminelen gebruiken ‘social engineering’ methoden om aan gevoelige informatie over de CEO’s te komen.

De term ‘social engineering’ te maken vat manipulatieve technieken samen die gebruikt worden om misbruik te maken van menselijke eigenschappen zoals behulpzaamheid, vertrouwen of respect voor autoriteiten. Op slinkse wijze kunnen onbevoegden zo wachtwoorden lospeuteren voor het bedrijfsnetwerk of bijvoorbeeld bancaire overschrijvingen goedkeuren van de bedrijfsrekening.

CEO Fraude: daders doen zich voor als bestuurders

De cybercriminelen vermommen zich daarbij als CEO, gedelegeerd bestuurder of bestuurslid en kunnen door hun voorkennis vaak heel goed omgangsvormen nabootsen.

In de meeste gevallen doen de daders ook alsof ze onder tijdsdruk staan en dringen ze er bij hun slachtoffers op aan om het bevel vertrouwelijk te behandelen.

Op deze manier willen de fraudeurs voorkomen dat er vragen worden gesteld en dat het gebruikelijke beginsel van dubbele controle wordt gehanteerd.

Als de slachtoffers het gevraagde bedrag overmaken, is de kans om het volledig in te vorderen klein en alleen met enorme inspanningen mogelijk.

De financiële gevolgen en de schade aan het imago en de zakelijke relaties kunnen voor bedrijven ingrijpend zijn.

De meest effectieve bescherming tegen social engineering is het gebruik van gezond verstand.

De meesteffectieve bescherming tegen maakbaarheid is het gebruik van gezond verstand.

De volgende beschermingsmaatregelen maken het voor de aanvaller moeilijker:

Gebruik persoonlijke en professionele informatie spaarzaam op sociale netwerken.

Met name uitnodigingen voor het netwerk van persoonlijk onbekende personen dienen met voorzichtigheid te worden behandeld. Omdat internetcriminelen informatie uit allerlei bronnen gebruiken en deze combineren tot een zo gedetailleerd mogelijk beeld van hun potentiële slachtoffers.

Deze informatie kan zo dienen om de identiteit van gebruikers in een vervalst contact zeer authentiek weer te geven en in hun rol bij social engineeringaanvallen te sluipen.

Onbekenden moeten voorzichtig zijn wanneer zij bellen of contact opnemen via e-mail, vooral als het gaat om gevoelige gegevens. Open nooit wachtwoorden of accountinformatie per telefoon of e-mail.

E-mails kunnen worden onderworpen aan een eerste korte controle op plausibiliteit en betrouwbaarheid met behulp van de 3-seconden controle.

Je kunt ook proberen de authenticiteit van de vermeende afzender te controleren door te bellen.

Wie de motivatie en trucs van social engineering aanvallers kent en begrijpt, is al goed voorbereid. In geval van twijfel is het echter beter om nogmaals te vragen dan nodig is.