Cybercriminelen proberen op verschillende manieren werknemers te manipuleren en te misleiden om toegang te krijgen tot bedrijfskritische data. Phishing blijft een van de belangrijkste social engineering-technieken die ze hiervoor gebruiken. Een relatief nieuwe techniek die cybercriminelen toepassen heet ‘pig-butchering’.
Pig-butchering is ontstaan in de Chinese onderwereld. Cybercriminelen manipuleren hun slachtoffer net zolang tot een vertrouwensband of zelfs liefdesband hebben opgebouwd, waardoor het slachtoffer bereid is een flinke som geld over te maken. Daar is ook de verwijzing naar pig-butchering; het slachtoffer wordt eerst vetgemest en daarna volledig kaalgeplukt.
Geflirt
Meestal is een dating-platform het startpunt voor pig-butchering. Cybercriminelen maken hier een aantrekkelijk profiel aan van zichzelf en doen zich voor als een iemand die er niet alleen goed uitziet, maar ook genoeg geld op de bank heeft staan. Via dit profiel benaderen ze eenzame jonge vrouwen of mannen en als ze echt goed hun best hebben gedaan stromen de berichtjes vanzelf binnen. Na de eerste chatgesprekken, worden telefoonnummers uitgewisseld en geflirt via appjes of zelfs videogesprekken. De ene crimineel gaat sneller te werk dan andere, maar uiteindelijk is het doel om een vertrouwensband op te bouwen met het slachtoffer.
Onvermijdelijk is dat het op een gegeven moment gaat over de vraag hoe het toch komt dat de ‘aantrekkelijke partner’ zoveel geld heeft verdiend. Het antwoord: beleggen in cryptocurrency. En daar heeft hij inmiddels ‘zoveel verstand van’ dat hij het slachtoffer ‘maar al te graag op weg helpt om ook flink te cashen’. En voor wie is wat meer financiële zekerheid geen overbodige luxe?
De cybercrimineel is zo vriendelijk om een rekening voor het slachtoffer te openen, die vervolgens alleen maar een bedrag hoeft over te maken. Om het zo geloofwaardig mogelijk te maken voor het slachtoffer, geven ze hem of haar toegang tot een beleggingsapp- of platform dat er betrouwbaar uitziet en zo door kan gaan voor de omgeving van een legitieme financiële instelling. Als er al twijfel bij het slachtoffer bestond, dan is die vanaf dat moment vaak helemaal verdwenen. Meestal blijft het niet bij een eenmalige transactie. Via de app kan het slachtoffer zijn of haar vermogen zien groeien dankzij de stijgende aandelenkoersen van de succesvolle bedrijven waarin hij of zij heeft belegd. Dit verlaagt de drempel om nog meer geld in te zetten, waardoor de cybercrimineel zonder veel extra moeite een nog groter bedrag weet binnen te slepen. Vaak verliest het slachtoffer duizenden euro’s.
Geraffineerder
Pig-butchering laat zien dat cybercriminelen steeds geraffineerder te werk gaan om hun slachtoffers geld afhandig te maken. Des te belangrijker is het dat mensen, die volgens het Data Breach Investigations Report van Verizon betrokken zijn bij zeker tachtig procent van de cyberaanvallen, zich bewust zijn van de social engineering-technieken die cybercriminelen gebruiken. Door structureel security awareness-trainingen aan te bieden, zijn mensen steeds beter in staat om red flags te herkennen en niet te vallen voor de verleidingstrucs van cybercriminelen.
Wil je meer weten over pig-butchering? De BBC maakte recentelijk een programma over hoe pig-butchers te werk gaan en hoe hun slachtoffers hier de dupe van zijn geworden.
