De cybercrimineel die informatie of geld steelt van een klein bedrijf is waarschijnlijk een meester in bedrog en manipulatie, evenals een techno-expert.

Toen Nancy Butler twee jaar geleden een telefoontje kreeg van iemand die beweerde van haar informatietechnologiedienst te zijn, ze nam aan dat het een routinecontrole was door een legitieme medewerker. Dus, zoals ze vaak had gedaan tijdens zulke gesprekken, Butler vroeg de beller om haar rekeningnummer en andere informatie te bevestigen, zodat "ik er zeker van kon zijn dat ze waren wie ze zeiden dat ze waren."

"Nadat alles was bevestigd, liet ik ze de computer binnen om te ontdekken dat ze me onmiddellijk van mijn computer sloten, ingezien en gestolen van een bankrekening, creditcard en verschillende online rekeningen, " zegt Butler, een business coach en motiverende spreker gevestigd in Waterford, Connecticut. De dieven eisten ook betaling voordat ze haar weer in haar computer zouden laten - ze betaalde niet, en ze vond een informatietechnologiebedrijf dat het kon ontgrendelen.

Naarmate cybercriminelen hun aanvallen op zowel bedrijven als individuele computergebruikers opvoeren, ze vertrouwen meer op social engineering, de praktijk van het bedriegen of manipuleren van iemand, vaak met e-mail maar ook met telefoontjes, om persoonlijke of financiële informatie te krijgen. Wanneer een bedrijf wordt aangevallen, klant- en leveranciersgegevens lopen gevaar. Cybersecurity-experts zeggen dat kleine bedrijven steeds vaker het doelwit zijn.

Bij phishing wordt vaak gebruik gemaakt van social engineering. De oplichting is meestal vermomd in realistisch ogende e-mails die de ontvanger aanmoedigen om op een link of bijlage te klikken; die klik downloadt schadelijke software die bekend staat als malware die informatie kan vastleggen en terugsturen naar de crimineel. De e-mails kunnen eruitzien alsof ze afkomstig zijn van de bank van een bedrijf of een ander bedrijf. Phishing is ook een manier voor ransomware, kwaadaardige software die computers vergrendelt, op een apparaat worden geplant. Hoewel sommige cybercriminelen zich richten op kleine bedrijven, malware kan ook worden geplant wanneer een werknemer op een persoonlijke e-mail op een bedrijfscomputer klikt.

Als het gaat om het hacken van websites, cybercriminelen zoeken nog steeds naar kwetsbaarheden die ze kunnen misbruiken, maar het is hun vermogen om bedrijven op te lichten die veel van de problemen veroorzaakt, zegt Terry Kasdan, eigenaar van atCommunications, een website-ontwikkelingsbedrijf gevestigd in Northbrook, Illinois.

Het soort ervaring dat Butler had, wordt steeds gewoner met website-aanvallen.

"Een hacker kan een bedrijf bellen, iets zeggen in de trant van, 'Ik werk voor uw webhost, ' en voeg de naam van de echte host toe om de oproep geloofwaardigheid te geven, ", zegt Kasdan. Hackers kunnen informatie over een website en het hostingbedrijf krijgen uit online directory's; als ze een werknemer kunnen manipuleren om een ​​wachtwoord op te geven, ze kunnen de site betreden, informatie stelen en deze beschadigen of uitschakelen.

Een bedrijf kan indirect het slachtoffer worden:zijn eigen systemen hoeven niet te worden aangevallen voor een cyberdief om informatie of geld te stelen.

Tjernlund Products mailde een nabestelling bij een van zijn leveranciers in China en kreeg een e-mail terug waarin stond dat het bedrijf een nieuwe bank had waaraan Tjernlund Products zijn betalingen zou moeten doen. Dit was geen ongebruikelijke situatie; de leveranciers van het bedrijf in China wisselen vaak van bank, zei Andrew Tjernlund, marketingdirecteur voor het White Bear Lake, De in Minnesota gevestigde maker van de maker van componenten voor ventilatiesystemen.

Maanden later, nadat de zending nooit is aangekomen, Tjernlund Products heeft contact opgenomen met de leverancier, die het onderzocht en ontdekte dat zijn e-mail was gehackt. Tjernlund Products was ongeveer $ 20 kwijt, 000, hoewel zijn leverancier het bedrijf een aanzienlijke pauze gaf bij zijn volgende bestelling om een ​​deel van het verlies te compenseren.

Andrew Tjernlund zegt dat hij en zijn collega-managers zich realiseerden dat ze indirect het slachtoffer waren van een hacking, and that they were too trusting that the bank change was legitimate. They're more wary now.

"We test our suppliers when they change banks, ask them about what color hair we have or when we last met in person—things like that, " Tjernlund says.

The government and some private companies like insurers keep count of the number of reported cyberattacks including those that use social engineering, but many companies don't tell authorities when they've been attacked. Business owners don't want to publicize the fact that their systems or websites have been hacked; they worry about losing customers and being shunned by vendors who fear their systems could also be compromised. Cybercriminals are able to hack into one company's system through another's—when discount retailer Target had a data breach in 2013 hackers first invaded the system of a Target supplier.

The more employees and devices a company has, the more vulnerable it is, says Tyler Olson, owner of Shyld, a cybersecurity startup based in Minneapolis.

"There's an unlimited offensive capability and defense is really hard, " Olson says. "It takes only one entry point in the organization."

The entry point could be the employee who clicks on an email. "Once they're inside the network, they can potentially find additional vulnerabilities. They can sit and wait or they can do some destruction immediately, " Olson says

Olson, who also owns an information technology company, got the inspiration for his cybersecurity firm from his experience working on the technology team for the 2008 re-election campaign of then-Sen. Norm Coleman (R-Minn.). A video posted on YouTube showed how to hack into the campaign database; a hacker did that and the personal and credit card information of thousands of contributors to Coleman's campaign were posted on the internet, with Wikileaks claiming responsibility for disseminating the data.

© 2019 The Associated Press. Alle rechten voorbehouden.