Baiting wordt in het nederlands vertaald naar ‘lokaas’. Dit lokaas zetten criminelen in bij social engineering of phishing om hun doelwit over te halen tot een bepaalde actie.
Criminelen proberen vaak op sluwe manieren toegang te krijgen tot informatie. Informatie die vaak achter slot en grendel ligt, maar waar personen wel toegang tot hebben. Ze zetten baiting in om hun doelwit een bepaalde actie uit te laten voeren. Denk bijvoorbeeld aan het delen van wachtwoorden, pincodes of identiteitsbewijzen. Criminelen maken hierbij gebruik van psychologische triggers en spelen in op menselijke emoties.
Eigenlijk werkt baiting hetzelfde als het gebruiken van lokazen tijdens het vissen: wanneer de visser een aantrekkelijk lokaas aan zijn hengel hangt, hapt de juiste vis vanzelf toe. Zo gemakkelijk kan dat ook gaan met mensen. Kijk maar naar de verschillende vormen en voorbeelden van baiting hieronder:
Baiting komt voor in verschillende vormen. Afhankelijk van de aanpak van phishing of social engineering, kiest een crimineel voor een bepaald lokaas. Hieronder delen we enkele bekende vormen van baiting:
Criminelen verleiden slachtoffers met de boodschap dat ze een gratis product hebben gewonnen zoals gratis software, een exclusief abonnement of een cadeaukaart. In andere gevallen feliciteren ze slachtoffers met het winnen van een prijsvraag of wedstrijd. Deze prijsvragen en wedstrijden bestaan vaak niet en de gratis producten worden in deze gevallen nooit geleverd. In plaats daarvan installeert het slachtoffer kwaadaardige software of deelt men onbewust persoonlijke informatie met criminelen.
Voorbeeld van baiting met prijzen en gratis producten:
De identiteit van een vertrouwd persoon of bekende organisatie wordt aangenomen om geloofwaardig over te komen bij het slachtoffer. Voorbeelden hiervan zijn nepmails van de bank of valse telefoontjes van de overheid. Hiervoor kopiëren criminelen herkenbare elementen zoals logo’s, kleuren, namen en opmaak van mails. Dit lokaas wordt vaak gebruikt bij phishing.
Een voorbeeld van baiting met spoofing:
.png)
Een van de meest succesvolle en bekende tactieken is het uitvoeren van urgentie. Het slachtoffer wordt onder druk gezet met een kort tijdslimiet. Hierdoor is er weinig tijd om logisch na te denken, alle controles uit te voeren of het bericht voor te leggen bij een ander persoon. Voorbeelden hiervan zijn onder andere: een beveiligingsmelding, een factuur die nog niet betaald is en een account dat dreigt te bevriezen.
Een voorbeeld van baiting met urgentie:
Angst is een primaire emotie waar wij als mensen erg vatbaar voor zijn. Criminelen zetten angstaanjagende berichten in om het slachtoffer bang te maken. Vaak hangt er een negatieve consequentie vast aan dit angstaanjagende bericht, waardoor het slachtoffer weinig ruimte voelt voor alternatieven. Wees behoedzaam met zinnen als “installeer deze nieuwe beveiligingsupdate, anders lopen je gegevens gevaar” of “als je de betaling vandaag niet overmaakt, riskeer je een boete” .
Voorbeeld van baiting met angst:
Het grootste gevaar van baiting is dat het in veel gevallen erg geloofwaardig overkomt. Door verschillende vormen en technieken toe te passen, wordt het doelwit (veelal) onbewust beïnvloed.
De schade kan ontzettend groot zijn als de aanval is gelukt. Denk hierbij aan:
Herkennen jouw collega’s phishing of zullen ze toehappen bij een van bovengenoemde vormen van baiting? Train je collega’s en verklein de risico's op cyberincidenten en datalekken. Maak nu een gratis testaccount aan en maak vrijblijvend kennis met Awaretrain, hét security awareness platform waarmee jij jouw collega’s bewust maakt. Begin vandaag nog met het trainen van je collega’s en het verzenden van phishingsimulaties.
Trainingsmodules
Klanten wereldwijd
Medewerkers getraind
Stap aan boord bij Awaretrain voor structurele security awareness.
