Telefoonnummers binnen jouw bedrijf zijn veel meer dan alleen een communicatiemiddel. Ze zijn een toegangspoort tot gevoelige bedrijfsinformatie en een potentiële zwakke plek in jouw beveiligingsstrategie. Kwaadwillenden zien deze nummers als waardevolle doelen, waarmee ze niet alleen toegang kunnen krijgen tot persoonlijke gegevens van medewerkers, maar ook tot jouw bedrijfsnetwerken en financiële middelen.
In dit artikel richten we ons op waarom telefoonnummers een aantrekkelijk doelwit zijn voor oplichters en welke risico’s een compromittering met zich meebrengt voor jouw bedrijf.
De winstgevende oplichtingsindustrie
Kwaadwillenden genereren aanzienlijke winsten met verschillende vormen van fraude. Vaak opereren deze criminelen vanuit georganiseerde netwerken die wereldwijd actief zijn, zoals in Zuidoost-Azië, waar mensen gedwongen worden deel te nemen aan complexe fraude-operaties.
Fraudeurs gebruiken steeds geavanceerdere technieken om bedrijven te misleiden, waaronder phishing, social engineering, en het simuleren van zakelijke situaties die onmiddellijke actie vereisen. Zo kunnen ze zich bijvoorbeeld voordoen als een bank die toegang probeert te krijgen tot jouw bedrijfsrekening of als een partnerbedrijf met een dringende betalingsaanvraag.
Social engineering en phishing zijn nog steeds de kern van veel van deze fraudepraktijken. Het lage risico en de hoge opbrengst, in combinatie met de mogelijkheid om mensen wereldwijd aan te vallen, maken deze methoden bijzonder aantrekkelijk voor oplichters. Voor jouw bedrijf kan één geslaagde aanval voldoende zijn om aanzienlijke financiële en reputatieschade te veroorzaken.
Waarom telefoonnummers van bedrijven zo waardevol zijn
Telefoonnummers zijn een cruciaal onderdeel van de digitale communicatie-infrastructuur van bedrijven. Ze worden vaak gebruikt voor authenticatie en accountherstel, en kunnen daarom gemakkelijk worden misbruikt om toegang te krijgen tot kritieke bedrijfsinformatie.
Smishing en hacking
Oplichters kunnen jouw medewerkers benaderen met berichten die lijken te komen van betrouwbare bronnen, maar in werkelijkheid malware of phishing-links bevatten. Door op deze links te klikken, kunnen medewerkers onbewust spyware op hun apparaten installeren, waardoor cybercriminelen toegang krijgen tot bedrijfsgegevens.
Smishing-bericht aast op je PayPal-gegevens (lees hier meer|afbeelding bron: BleepingComputer)
Een recent voorbeeld is de GoldPickaxe-malware, zoals gerapporteerd in de ESET Threat Report H1 2024. Deze malware gebruikt een multistage social engineering-aanpak om slachtoffers te overtuigen een Mobile Device Management-profiel te installeren, waardoor cybercriminelen volledige controle over het zakelijke apparaat van de medewerker krijgen.
Doorschakelen, SIM-swaps en Caller ID-spoofing
Ondanks de toename van digitale communicatie, blijven telefoongesprekken en berichten een vertrouwde manier om vertrouwelijke bedrijfsinformatie te delen. Dit maakt bedrijven kwetsbaar voor specifieke vormen van fraude:
- Bij doorschakelscams wordt jouw bedrijfsnummer omgeleid naar een nummer dat door kwaadwillende wordt beheerd. Dit kan gebeuren zonder dat jouw medewerkers zich hiervan bewust zijn, met als gevolg dat vertrouwelijke bedrijfsinformatie in de verkeerde handen terechtkomt.
- SIM-swapping is een methode waarbij criminelen de mobiele provider van een medewerker misleiden om hun SIM-kaart onder de naam en het nummer van de medewerker te activeren. Dit zorgt ervoor dat de oplichters alle communicatie en verificatiecodes van de medewerker ontvangen.
- Caller ID-spoofing stelt fraudeurs in staat om zich voor te doen als een vertrouwde zakelijke contactpersoon, waardoor ze gemakkelijker gevoelige informatie kunnen ontfutselen of fraude kunnen plegen.
Een ander voorbeeld van een smishing-poging (lees hier meer )
Waarom zijn deze scams zo gevaarlijk voor bedrijven?
Het compromitteren van een bedrijfsnummer kan ernstige gevolgen hebben. Telefoonnummers worden vaak gebruikt voor tweefactorauthenticatie (2FA) en accountherstel. Wanneer een nummer is gecompromitteerd, kunnen oplichters deze beveiligingslagen omzeilen en toegang krijgen tot bedrijfsaccounts en systemen.
Daarnaast kunnen oplichters zich voordoen als jouw medewerkers om klanten, partners of zelfs jouw eigen organisatie te misleiden. Dit kan niet alleen leiden tot financiële verliezen, maar ook tot reputatieschade en verlies van vertrouwen bij jouw stakeholders.
Phishing en CEO-fraude
Telefoonnummers worden ook gebruikt bij gerichte aanvallen op bedrijven, zoals CEO-fraude. Dit is een vorm van Business Email Compromise (BEC) waarbij fraudeurs zich voordoen als een leidinggevende van jouw bedrijf om frauduleuze betalingsopdrachten door te geven.
Stel dat jouw financiële afdeling een telefoontje krijgt van iemand die zich voordoet als de CEO, met de dringende opdracht om een grote som geld over te maken voor een ‘kritisch’ zakelijk project. Omdat de oproep lijkt te komen van het werknummer van de CEO, wordt de transactie mogelijk uitgevoerd zonder verdere verificatie. Deze vorm van fraude wordt steeds geavanceerder door het gebruik van AI, waaronder stemklonen, om de geloofwaardigheid van de aanval te vergroten.
Bescherm jouw bedrijf tegen telefoonscams
Gelukkig zijn er verschillende strategieën die bedrijven kunnen toepassen om zich te beschermen tegen deze vormen van fraude:
- Valideer altijd: Valideer door altijd zelf contact op te nemen met diegene die mogelijk iets van je nodig heeft.
- Verhoogde providerbeveiliging: Werk samen met jouw telecomprovider om extra beveiligingslagen toe te voegen, zoals SIM-locks en uitgebreide verificatieprocedures, om ongeautoriseerde wijzigingen te voorkomen.
- Beperk openbare blootstelling: Zorg ervoor dat bedrijfsgegevens, inclusief telefoonnummers, niet onnodig openbaar worden gedeeld. Dit verkleint de kans dat oplichters voldoende informatie verzamelen om zich als een medewerker voor te doen.
- Gebruik app-gebaseerde authenticatie: Schakel over van SMS-gebaseerde 2FA naar app-gebaseerde oplossingen. Dit verkleint het risico dat verificatiecodes worden onderschept.
- Implementeer sterke mobiele beveiliging: Zorg ervoor dat alle mobiele apparaten die toegang hebben tot bedrijfsnetwerken zijn uitgerust met krachtige beveiligingssoftware. Overweeg ook de inzet van mobile threat defense en veilige authenticatieoplossingen voor jouw hele organisatie.
Het beschermen van jouw (zakelijke) telefoonnummer is essentieel om jouw organisatie te behoeden voor aanzienlijke financiële verliezen en reputatieschade. Aangezien phishing en andere vormen van social engineering steeds geavanceerder worden, is het belangrijk om proactief maatregelen te nemen en jouw medewerkers bewust te maken van de risico's.