Arne

Social engineering op Reddit

Door de komst van geavanceerde encryptie zijn de dagen dat hackers handmatig je wachtwoord kunnen kraken lang verleden tijd. Dit wilt echter niet zeggen dat je nu veiliger bent. De laatste jaren zien we een enorme toename in online scams en oplichterspraktijken waarbij ingespeeld wordt op de zwakste schakel van elk netwerk, de gebruiker zelf.

Image
Foto van een hacker voor artikel reddit scam

Betekenis social engineering

Social engineering op bedrijfsniveau is een methode waarbij criminelen proberen een werknemer te ‘hacken’ om zo toegang te krijgen tot geheime of vertrouwelijke bedrijfsinformatie. 

In plaats van het hacken van een database, server of website gaan ze op zoek naar iemand die ze dusdanig kunnen manipuleren tot het vrijgeven van inloggegevens of vertrouwelijke informatie. De hackers proberen misbruik te maken van de gebrekkige kennis van gebruikers of werknemers binnen een bedrijf. 

Door de snelle technologische vooruitgangen van het laatste decennium zijn veel werknemers nog niet 100% mee in het hele cyber security verhaal. De oplichters doen zich voor als IT-medewerkers, HR-medewerkers of collega’s van een andere branche.

Merendeel van de social engineering attacks focust zich echter niet op bedrijven maar wel op gewone internetgebruikers. Zulke internetgebruikers zijn vaak makkelijke doelwitten en met de losgekregen informatie kan je direct aan het werk. Ook kunnen ze je proberen overtuigen om rechtstreeks geld over te maken.

Een van de oudste en meest bekende social engineering attacks is een phishingmail van een ‘Nigeriaanse prins’ die op zoek is naar iemand om te helpen een erfenis op te strijken. 

In ons artikel over bitcoin phishing mails laten we je 9 verschillende voorbeelden zien van hoe de oplichters te werk gaan als ze het gemunt hebben op de crypto sector.

Naar welke informatie zijn social engineers op zoek?

Afhankelijk van het type aanval kunnen de criminelen op zoek gaan naar allerhande vertrouwelijke informatie:

  • Kredietkaartgegevens
     
  • Inloggegevens (bank, e-mail, crypto, werk)
     
  • Persoonlijke gegevens (e-mail, adres, geboortedatum, werkschema, kapitaal)
     
  • Bedrijfsgegevens (accounts, werknemers, e-mail, uitgaven/inkomsten, locatiegegevens)

Gebruikte mediums

E-mail: E-mail is het meest gebruikte medium voor het faciliteren van social engineering attacks. Hackers versturen professioneel uitziende mails naar gebruikers om vertrouwelijke informatie los te krijgen of om ervoor te zorgen dat de gebruiker een virus of stukje malware installeert op zijn computer. Dit fenomeen staat ook wel bekend als phishing. De criminelen doen zich voor als collega's, IT-medewerkers, werknemers van bedrijven waar je een account op hebt of iemand met veel macht en geld (Nigeriaanse prins).

Sociale media: De meeste aanvallen op gewone gebruikers vinden momenteel plaats op sociale media zoals Facebook, Twitter, Youtube en Reddit. Ook websites zoals Kapaza en 2dehands.be staan bekend voor phishing attacks met een hoge sociale lading. Wie herinnert zich de beruchte “Stort 1 euro naar mij via deze link om te laten zien dat je het meent” methode die op tweedehands verkoopsites werd gebruikt om gebruikers hun kredietgegevens te laten invullen op een vals bankportaal?

Telefoon: In mindere mate worden ook telefoongesprekken en sms-verkeer gebruikt om aanvallen uit te voeren. Telefoongesprekken worden bijna uitsluitend gebruikt door professionele hackers bij een gesofisticeerde aanval op een groot bedrijf. Een phishing sms daarentegen is gemaakt voor gewone gebruikers en zal trachten jou te laten klikken op een onveilige link om zo malware te installeren.

In real life: Als de buit groot genoeg is dan zullen de hackers het veilige digitale landschap verlaten en zich wagen aan een echte ontmoeting. Een crimineel die zichzelf toegang verschaft tot vertrouwelijke ruimtes door zich voor te doen als een werknemer of door het verzamelen van brieven en documenten uit de afvalbak (Dumpster Diving) zijn enkele voorbeelden hiervan. Zelfs een aannemer die met voorbedachte rade valse beloftes maakt en liegt over projecten om er halverwege met je geld vandoor te gaan kan je zien als een vorm van social engineering.

Wat zijn de fases van een persoonlijke social engineering aanval?


Fase 1 : Vertrouwen winnen

Het eerste doel van de oplichters is om het vertrouwen van het slachtoffer te winnen. Ze doen zich voor als iemand anders (IT-medewerker, collega, bedrijf of ethisch persoon met veel kennis en geld) met de intentie om jou een veilig gevoel te geven. Een valse e-mail die er exact hetzelfde uitziet als die van een online service die je in gebruik hebt of een persoon die ineens een gesprek met je aanknoopt kunnen indicatoren zijn dat je het slachtoffer bent van een aanval.

Fase 2 : Informatie inwinnen

Eens ze het vertrouwen van het slachtoffer hebben gewonnen dan is het tijd om precies te weten te komen wat voor iemand ze voor zich hebben. Hoe intelligent is het slachtoffer, tot welke informatie hebben zij toegang of hoeveel geld kan de hacker verwachten als de aanval succesvol is? In deze fase is het belangrijk dat de oplichter de vertrouwensband geleidelijk aan verder opbouwt.

Fase 3 : Aanbod/aanval

Afhankelijk van de leeftijd, het geslacht, de kennis en de antwoorden van het slachtoffer zal de crimineel een aangepast game plan ontwikkelen. Hoe meer tijd en moeite ze hebben gestoken in de vorige twee fases, hoe aanlokkelijker en preciezer ze het aanbod kunnen maken. In deze fase is het belangrijk dat de oplichter alle barrières wegneemt die het slachtoffer sceptisch maken.

Fase 4 : Verdwijnen

Als de aanval succesvol is dan zal de oplichter zo snel mogelijk proberen alle bewijzen uit te wissen. Het e-mailadres of sociale media kanaal waarmee je gecontacteerd werd wordt verwijderd of de valse website waar je je gegevens hebt ingevuld wordt offline gehaald. De meeste hackers gebruiken ook technieken om hun IP-adres geheim te houden.

Social engineering voorbeeld

Hoewel deze fases vrij duidelijk zijn en iedereen zich hierbij wel wat kan voorstellen, is het bijzonder interessant om zo’n oplichter effectief aan het werk te zien. Een van de moderators in onze Discord community, een fervent Reddit gebruiker, krijgt regelmatig te maken met social engineering attacks. We vroegen hem om mee te gaan in het verhaal van een crimineel en om screenshots te nemen van het gesprek. 

De scammer heeft als gebruikersnaam “brucemiller4l”.

Door zijn zinsbouw, woordkeuze en technische uitleg te ontleden kunnen we al direct enkele dingen opmerken. 

  • Engels is niet zijn moedertaal. Hij maakt meerdere grammaticale fouten en de berichten lezen soms alsof ze vertaalt zijn naar het Engels vanuit een andere taal.
  • Hoewel hij doet alsof hij veel van crypto en het handelen ervan afweet is dit helemaal niet zo. Zijn technische uitleg over wat Bitcoin mining is en wat het doet is niet correct.
  • Hij is geen goede social engineer. Deze oplichter heeft niet genoeg tijd besteed aan het winnen van vertrouwen en het analyseren van wat voor iemand hij voor zich heeft.
  • Verblind door hebzucht begrijpt hij geen sarcasme

Om privacy redenen hebben we natuurlijk de naam van onze moderator onleesbaar gemaakt.

We zullen hem Dirk noemen.

Het gesprek wordt volledig in het Engels gevoerd maar we plaatsen de Nederlandse vertaling ervan onder ieder screenshot.

Image
Screenshot van Social engineering op Reddit

Brucemiller: Hallo

Dirk : Hallo, alles goed?

Brucemiller : Hallo vriend, hoe gaat het met jou?

Dirk : Met mij gaat alles goed bedankt

Image
Screenshot van Crypto scam

Brucemiller : Van waar ben je?

Dirk : België en jij?

Brucemiller : r/ Connecticut USA (Staat in Amerika)

Brucemiller : Hoe is het weer bij jullie?

Dirk : Het is aan het regenen lol (laughing out loud, lache)

Brucemiller : Lol, met wat houdt ge u zoal bezig?

Dirk : Tv aan het kijken haha

(Ik vermoed dat Dirk hier “What are you doing?” “Wat ben je aan het doen?” gelezen had)

Image
Social engineering aanval deel 3

Hebt ge een minuutje? Ik heb een zakelijk voorstel in verband met cryptovaluta mining en forex handelen waar je misschien wel geïnteresseerd in bent. Dit neemt niet veel tijd en beslag en omdat je geen geld moet versturen is het totaal risicovrij. Ik ben heel zeker dat je dit extreem interessant zal vinden.

Natuurlijk vriend!

Ik hou van crypto

Bedankt

Ik ben Bruce van Connecticut in Amerika, ik zit in een financieel groei instituut, ook ben ik een handelaar in Bitcoin, Forex, aandelen en andere cryptomunten. Ben je geïnteresseerd in Bitcoin mining? 

Ja

Het is heel interessant

Ja natuurlijk met crypto mining en Forex kan je grote winsten maken zonder veel stress.

Het is heel leuk om je hier te ontmoeten en ik ben zeer bereid om je alles te leren over handelen op de beurs. Om je te coachen in hoe je moet investeren in en werken met cryptomunten.

Image
Social engineering aanval deel 4

Ik hou ervan om te praten over crypto met gelijkgezinde mensen! Ook leuk om jou te ontmoeten

Ik handel en manage accounts voor andere mensen. Ik moet zeggen dat Bitcoin en cryptomunten handelen een zeer lucratieve bezigheid is.

Ik ga akkoord lol

Ik ben slecht in handelen op de beurs.

Ik zou graag meer leren hierover

Image
Social engineering aanval deel 5

Bitcoin mining is de basis manier om je Bitcoin te laten groeien. Het primaire doel van mining is om Bitcoin nodes tot een veilige en fraudebestendige consensus te laten komen.

Mining is ook het mechanisme dat gebruikt wordt om nieuwe bitcoin in het systeem te introduceren. Miners worden betaald met transactiekosten en een incentief van nieuwe gecreëerde munten genaamd het block reward.

Beide hebben als doel het verspreiden van nieuwe munten op een gedecentraliseerde manier alsook het motiveren van mensen om het systeem veiliger te maken met behulp van mining.

Oh cool

Ja ik kan je helpen je bitcoins te minen in geweldige rendementen.

En ik kan ook helpen om je trading account (account bij een broker of exchange om te handelen op de beurs of op de crypto markt) te managen om zo grote winsten te verdienen.

Heb je al veel goede winsten gemaakt voor anderen in het verleden?

Omdat ik geïnteresseerd ben in iets zoals dit

Image
Social engineering aanval deel 6

Ja natuurlijk ik heb een heel goed trading verleden

Ik help individuen en organisaties met het managen van hun trading account.

Misschien vind je het interessant om te weten dat ik al langer dan 5 jaar een trader (beurshandelaar) ben

Oh wow

Dat is veel ervaring

Dat vind ik leuk

Ja het komt met ervaring

Als je geïnteresseerd bent kan ik je helpen om hoge rendementen te genereren

Heb je Telegram (Social media app)?

Image
Social engineering aanval deel 7

Ik heb geen computer om te minen maar als je mij kan helpen om cryptomunten te handelen voor meer rendement dan wil ik dat graag

Ik heb jammer genoeg geen Telegram account

Zeker, Natuurlijk kan ik helpen om je trading account te managen.

De deal is echter wel dat van het rendement dat je zal verdienen, jij 15% aan mij moet geven voor mijn diensten.

Gebruik je Whatsapp?

Hmmmm 15%...Daar kan ik mee leven, dat klinkt eerlijk. Hoeveel procent denk je dat je me maandelijks kan verdienen?

Ook geen Whatsapp sorry, Ik ken niet veel smartphone apps.

Ik heb wel Reddit

Image
Social engineering aanval deel 8

Dat hangt ervan af hoeveel je wilt investeren.

Ik kan 30.000$ investeren

Ik zou je graag bereiken via een ander medium waar ik je screenshots kan sturen.

In Ethereum (Vervolg op zijn vorige bericht)

Dat is een goed begin

Ethereum? Waarom wil je niet investeren in Bitcoin?

Een vriend vertelde me om Ethereum te kopen lol

Image
Social engineering aanval deel 9

Ja Ethereum is het volgende grote ding

Hoe beginnen we hiermee?

Hoeveel is je Ethereum nu waard?

30.000 dollar.

Eerst moet je een gratis trading account creëren op mijn brokerage platform en dan moet je daar je 30.000 dollar naar storten.

Ok dus een account maken en dan mijn Ethereum versturen naar dat adres?

Image
Social engineering aanval deel 10

Ja

Ok klinkt goed, ik kan dat doen.

Ok goed

Kunnen we nu beginnen?

Ik kan niet wachten lol 

lol

Bedankt om me te helpen man

Image
Social engineering aanval deel 9

Ik wil dat je Telegram download.

Het is ok man

Ok geef me de link naar brokerage platform en ik zal een trading account maken en ook een telegram account.

Ok

Auxi.. (Website van een ongereguleerde forex broker)

Image
Social engineering aanval deel 11

Dirk : Bedankt

Brucemiller : Ik ben aan het wachten op je

Dirk : Wat is je Telegram naam en hoe kan ik je toevoegen?

Dirk : Gebruikersnaam

Brucemiller : @fore…..

Dirk : Ok bedankt, Ik zal het allemaal doen nu

Brucemiller : Ok vriend

 

Dit is jammer genoeg het einde van de conversatie tussen onze twee hoofdrolspelers. Onze moderator blokkeerde Brucemiller omdat het spelletje nu wel lang genoeg duurde.

Maar wat zou er gebeuren als iemand wel ingaat op het aanbod en zijn cryptomunten verstuurt naar dat brokerage platform?

Op de website personal-reviews kan je precies te weten komen wat er dan gebeurt.

Lees vooral de reactie onderaan het artikel.

 

Online fraude melden

Als je het slachtoffer bent van online oplichters dan kan je dit melden op de website van Meldpunt, een online portaal voor de aangifte van online fraude, of rechtstreeks de politie contacteren. Zo hebben de autoriteiten weet van het soort oplichting, kunnen ze potentieel je geld terughalen en vallen er minder nieuwe slachtoffers.

Inwoners van Nederland kunnen terecht op de website van de Rijksoverheid om aangifte te doen.

Deel deze pagina met vrienden of collega's

Of praat erover in onze crypto community

 

Gerelateerde artikels