SoSafe genoemd als Strong Performer in The Forrester Wave™: Human Risk Management Solutions, Q3 2024. Meer informatie.

Een figuur met een hoodie en zonnebril stelt een hacker voor. Deze figuur houd een groene appel in zijn hand met de vorm van een schedel als symbool voor de gevaren van quid pro quo aanvallen in cybersecurity.

Quid pro quo attacks

Een quid pro quo aanval is een misleidende tactiek die door cybercriminelen wordt gebruikt om individuen te verleiden om gevoelige informatie te verstrekken, toegang tot systemen te verlenen of specifieke handelingen te verrichten onder het valse voorwendsel dat zij hier iets voordeligs voor terugkrijgen.

29 juli 2024 · 13 min read

Wat zijn quid pro quo aanvallen?

Quid pro quo aanvallen vallen onder de noemer van social engineering fraude, waarbij de aanvaller een dienst of voordeel aanbiedt in ruil voor informatie of toegang. Stel je voor dat iemand zich voordoet als een supportmedewerker die aanbiedt je computer te sneller te maken. Ze lijken betrouwbaar en zeggen precies de juiste dingen om je te laten geloven dat je hun diensten nodig hebt. Ze helpen je daadwerkelijk om je computer te versnellen, en jij denkt dat je jouw kant van de deal hebt ontvangen. Maar wat als ze, tijdens het versnellen van je computer, toegang krijgen tot gevoelige bestanden en je informatie stelen? Dit is de misleidende wederkerigheid die ten grondslag ligt aan quid pro quo aanvallen.

In de afgelopen jaren hebben we in het digitale domein een toename van social engineering aanvallen gezien, waarbij quid pro quo aanvallen geen uitzondering zijn. Volgens het Internet Crime Report 2023 van de FBI namen tech-supportfraudes – een van de meest voorkomende vormen van fraude op basis van quid pro quo – voor het derde jaar op rij toe. Nog zorgwekkender was dat het de derde kostbaarste cybercriminaliteit was in 2023, wat resulteerde in meer dan $900 miljoen aan verliezen.

De bovenstaande statistieken laten zien welke ernstige financiële gevolgen quid pro quo aanvallen kunnen hebben. Daarnaast benadrukken ze ook het belang van preventieve maatregelen en goed geïnformeerd zijn over de verschillende strategieën die oplichters gebruiken om hun slachtoffers te misleiden.

Een lachende persoon die een laptop gebruikt waarop hij aanbiedingen ontvangt en een hacker met een hoodie die gevoelige informatie verkrijgt.

Anatomie van een quid pro quo aanval: Hoe werkt het?

Van het eerste contact van de aanvaller tot de uiteindelijke uitbuiting zijn quid pro quo aanvallen gebaseerd op een doelbewust en berekend schema waarbij slachtoffers worden misleid voordat ze worden uitgebuit. Het is een methodische aanpak, dus het is de moeite waard om te begrijpen welke stappen worden doorlopen, zodat je een aanval succesvol kunt bestrijden. 

  • Benadering: De aanval begint vaak met een ogenschijnlijk onschuldige en behulpzame benadering. De aanvaller kan zich voordoen als een vriendelijke IT-supporttechnicus of iemand die een fantastische deal aanbiedt, waardoor de benadering legitiem lijkt. Bijvoorbeeld, je kunt een browserpop-up ontvangen die je informeert dat je apparaat virussen heeft met daarbij een aanbieding voor gratis antivirussoftware.
  • Vertrouwen opbouwen: Zodra het slachtoffer toehapt, gaat de aanvaller over naar de volgende fase, het winnen van vertrouwen en het opbouwen van een band. Ze kunnen de beloofde hulp of dienst verlenen, of een schijnbaar legitiem product aanbieden, waardoor het valse gevoel van veiligheid bij het slachtoffer wordt versterkt.
  • Uitbuiting: Wanneer de aanvallers denken genoeg geloofwaardigheid te hebben opgebouwd, exploiteren ze de situatie. Zodra het slachtoffer zich comfortabel voelt, kan de aanvaller om gevoelige informatie of toegang tot een van hun apparaten vragen, en hier klapt de val dicht. De aanvaller heeft zijn doel bereikt, mogelijk toegang verkregen tot vertrouwelijke gegevens of de beveiliging van het slachtoffer gecompromitteerd. 
Een visual met daarop de uitleg van de drie kenmerkende stappen van  quid pro quo aanvallen. De eerste stap, 'Benadering’, toont een aanbod van een uitzonderlijk goede deal. De tweede stap, 'Vertrouwen opbouwen,' beeldt een handdruk uit, wat de acceptatie en het vertrouwen van het slachtoffer in het ogenschijnlijk legitieme product aangeeft. De derde stap, ‘Exploitatie’, illustreert de aanvaller die vraagt ​​om gevoelige informatie en deze inderdaad van het slachtoffer krijgt.

Quid pro quo aanvallen herkennen

Hoewel het lastig kan zijn om een quid pro quo aanval te onderscheiden van een echte aanbieding voor producten of diensten, zijn er enkele kenmerken die je kunnen helpen een quid pro quo poging te herkennen. Als je een van de volgende zaken opmerkt, wees dan voorzichtig en vraag indien nodig om hulp:

  • Ongevraagde aanbiedingen of verzoeken: Een teken van een quid pro quo zwendel is de ongevraagde aard van de aanbieding of het verzoek. Onthoud dat werkgevers doorgaans niet zomaar uit het niets jobaanbiedingen doen en legitieme technische ondersteuning verschijnt niet magisch op je stoep. Hetzelfde geldt voor valide medische oplossingen: die verschijnen niet zonder voorafgaande aanvraag.
  • Tactieken waarbij mensen onder druk worden gezet: Oplichters zijn meesters in het creëren van een gevoel van urgentie om je te laten handelen zonder grondige overweging. Je kunt zinnen tegenkomen zoals “Deze aanbieding is niet lang geldig,” “Andere kopers wachten om in te cashen,” “Veel kandidaten hebben al gesolliciteerd,” of “We hebben maar een beperkt aantal posities beschikbaar.”
  • Verzoeken om persoonlijke of financiële informatie: Omdat quid pro quo zwendel vaak lijkt op een eerlijke uitwisseling, kunnen verzoeken om persoonlijke informatie discreet en noodzakelijk lijken. Let op verzoeken die afwijken van het gewone, zoals vragen om je Burgerservicenummer of bankgegevens. Legitieme transacties vereisen zelden zulke gevoelige informatie vooraf.
  • Onduidelijke of onrealistische beloften: Het spreekwoord “als het te mooi lijkt om waar te zijn, is dat het waarschijnlijk ook” is perfect van toepassing op quid pro quo zwendel. Of het nu gaat om een wondermiddel, een snel rijk worden-schema, of een baan die aanzienlijke inkomsten belooft met minimale inspanning, deze onrealistische aanbiedingen zouden je sceptisch moeten maken. Ze zijn vaak valstrikken die zijn ontworpen om je te verleiden tot het verstrekken van informatie of geld aan fraudeurs.
  • Verdachte betalingsverzoeken: Financiële zaken moeten transparant en redelijk zijn. Als een potentiële dienstverlener plotseling om betaling vraagt voor diensten, training of apparatuur die je niet hebt aangevraagd of die ze niet hebben geleverd, zou dit een rode vlag moeten zijn. Wees voorzichtig met niet-gespecificeerde en onverklaarde betalingsverzoeken en zorg ervoor dat dergelijke transacties eerder zijn geautoriseerd.

Quid pro quo versus baiting aanvallen

Quid pro quo en baiting aanvallen zijn twee social engineering tactieken die gebaseerd zijn op manipulatie. Ze opereren echter op net iets verschillende wijze. Het grootste onderscheid ligt in de uitwisseling zelf. Bij quid pro quo aanvallen wordt een specifiek element aangeboden. Aanvallers initiëren vaak contact door iets aan te bieden, zoals antivirussoftware, een ondersteuningsdienst, of een gratis upgrade, in ruil voor gevoelige informatie of toegang tot je apparaat. Aan de andere kant richten baiting aanvallen zich op het verleiden van slachtoffers zonder expliciete overeenkomst.

Aanvallers gebruiken onweerstaanbare aanbiedingen of inhoud om slachtoffers te verleiden tot handelingen die hun doelstellingen dienen zonder dat een voorafgaande uitwisseling de primaire drijfveer is. Zo kunnen aanvallers bijvoorbeeld kwaadaardige software vrijgeven die zich voordoet als gratis te downloaden software, waardoor malware op je apparaat wordt geïntroduceerd. 

Quid pro quo aanvallen hanteren vaak een meer langdurige en methodische aanpak. Aanvallers bieden hulp of een dienst aan en bouwen geleidelijk vertrouwen op voordat ze dit uitbuiten. Daarentegen zijn baiting aanvallen voornamelijk gebaseerd op bedrog, waarbij gebruik wordt gemaakt van de nieuwsgierigheid of het verlangen van het slachtoffer naar iets verleidelijks. Ze vertrouwen erop dat het slachtoffer een gevoel van urgentie of nieuwsgierigheid ervaart om snelle, vaak impulsieve acties te ondernemen.

Als aanvallers een slachtoffer eenmaal hebben misleid, is het doel bij een quid pro quo aanval om toegang te krijgen tot gevoelige gegevens of systemen. Baiting aanvallen focussen meer op het verleiden van slachtoffers om specifieke acties te ondernemen, zoals het klikken op een kwaadaardige link of het downloaden van een met malware besmet bestand.

Quid pro quo aanvallen werken volgens het psychologische principe van wederkerigheid, waarbij individuen zich verplicht voelen om gunsten terug te geven. Slachtoffers kunnen informatie vrijwillig verstrekken, denkend dat ze de ontvangen hulp op die manier terug betalen. Baiting aanvallen daarentegen leunen meer op dwang, waarbij gebruik wordt gemaakt van het verlangen naar winst of de angst om iets te missen bij het slachtoffer. Slachtoffers kunnen handelen in de veronderstelling iets waardevols te ontvangen, zonder hetzelfde gevoel van wederkerigheid te ervaren.

Een visuele vergelijking van quid pro quo en baiting aanvallen. Links wordt quid pro quo geïllustreerd als een uitwisseling: tools voor gevoelige gegevens, gesymboliseerd door een handdruk en een slot. Rechts wordt baiting afgebeeld als een aanbod: kortingen of geschenken die leiden tot malware, gesymboliseerd door een Trojaans paard en een slot. Onder elk type staat een korte uitleg.

Belangrijkste tactieken gebruikt in quid pro quo aanvallen

Quid pro quo aanvallen komen in verschillende vormen voor. Van verleidelijke vacaturezwendel tot sluw liefdadigheidsbedrog en bedrieglijke investeringsstrategieën. Wat hebben ze gemeen? Ze willen allemaal dat je iets waardevols opgeeft voor iets dat lijkt op een digitale pot met goud. Laten we enkele van de meest voorkomende vormen van deze aanvallen bekijken:

  • Technische ondersteuning: De dader doet zich voor als een legitieme technische ondersteuningsmedewerker, meestal van een bekend bedrijf. Ze beloven een niet-bestaand probleem op je apparaat op te lossen, zoals een denkbeeldig computervirus. In ruil voor hun ‘hulp’ vragen ze om toegang tot je systeem op afstand. Deze ogenschijnlijk onschuldige uitwisseling eindigt vaak met de aanvaller die toegang krijgt tot gevoelige gegevens of kwaadaardige software op je apparaat installeert.
  • Software-upgrade: Hier doen aanvallers zich voor als betrouwbare softwareleveranciers en bieden slachtoffers een verleidelijk aanbod – een gratis of sterk afgeprijsde software-upgrade. Er is echter een addertje onder het gras. Om toegang te krijgen tot deze ogenschijnlijk voordelige upgrade, moeten slachtoffers persoonlijke informatie of inloggegevens verstrekken.
  • Aanbiedingen voor training of loopbaanontwikkeling: In deze sinistere variant komen aanvallers met aanbiedingen voor training of loopbaanontwikkeling. Ze kunnen beweren dat ze toelating tot een prestigieuze instelling of een goedbetaalde baan kunnen regelen, in ruil voor persoonlijke informatie van het slachtoffer.
  • Gratis wifi of toegangspunten: Sluwe aanvallers richten rogue wifi-netwerken of toegangspunten in, vaak met namen die legitiem klinken, en bieden gratis internettoegang aan. Wanneer gebruikers verbinding maken met deze valse netwerken, kunnen aanvallers hun internetverkeer onderscheppen en monitoren, waarbij waardevolle inloggegevens en andere gevoelige gegevens worden buitgemaakt.
  • Promoties: Aanvallers gebruiken de aantrekkingskracht van gratis producten, zoals gadgets of cadeaubonnen, om slachtoffers te verleiden tot het verstrekken van persoonlijke informatie of het uitvoeren van acties die hun beveiliging compromitteren. Deze ‘gratis cadeaus’ zijn vaak fictief en de illusie van financieel gewin verleidt slachtoffers om hun gegevens af te geven zonder daarvoor iets in ruil terug te ontvangen.
  • Oplichting met enquêtes: Aanvallers gebruiken enquêtes als lokmiddel en beloven verleidelijke beloningen voor het invullen ervan. Slachtoffers worden aangetrokken door mogelijke geschenken of prijzen, maar ontdekken later dat deze enquêtes zijn ontworpen om persoonlijke of gevoelige informatie buit te maken die later voor kwaadaardige doeleinden wordt gebruikt.
  • Verzoeken om zakelijke feedback: Ongevraagde verzoeken om zakelijke feedback kunnen via e-mail, SMS of telefoongesprekken binnenkomen, dus wees voorzichtig. Legitieme organisaties volgen meestal een formeel proces voor het verzamelen van feedback. Aanvallers kunnen deze vermomming gebruiken om waardevolle gegevens in handen te krijgen.
  • Zich voordoen als onderzoeker: Sommige aanvallers nemen de rol aan van een onderzoeker en proberen gevoelige informatie van argeloze slachtoffers los te krijgen. Verifieer altijd hun referenties en het doel van hun onderzoek om te voorkomen dat je in de val loopt.

Quid pro quo aanvallen lijken misschien gemakkelijk te herkennen, maar overmoed werkt vaak in het voordeel van de aanvallers. Denken dat we te slim zijn om bedrogen te worden, maakt ons juist kwetsbaarder.

Het menselijke element: Waarom we vallen voor quid pro quo oplichting

Het succes van quid pro quo aanvallen is voornamelijk te danken aan psychologische manipulatietechnieken die door aanvallers worden gebruikt. Door een gunst of hulp aan te bieden, creëren aanvallers een gevoel van schuld bij hun slachtoffers. Hierdoor zijn deze eerder geneigd om aan verzoeken te voldoen. Dit wordt verder versterkt door het principe van wederkerigheid, dat diep geworteld is in menselijk gedrag.

Bij deze oplichtingspraktijken doen aanvallers zich vaak voor als vertrouwde autoriteitsfiguren of experts, waardoor het voor hen makkelijker wordt om het vertrouwen van hun slachtoffers te winnen. Dit kan bijvoorbeeld gebeuren door zich voor te doen als een IT-ondersteuner of een klantenservicemedewerker. Individuen zijn eerder geneigd om het verzoek van iemand die zij als een autoriteitsfiguur beschouwen, te vertrouwen en op te volgen.

Daarnaast kunnen aanvallers ook een gevoel van urgentie creëren bij hun slachtoffers door specifieke tactieken te gebruiken zoals tijdsgebonden aanbiedingen of bedreigingen. Dit kan ervoor zorgen dat het de persoon in kwestie zich gestrest voelt en snel handelt zonder goed na te denken, waardoor ze kwetsbaarder worden voor oplichting.

Praktijkvoorbeelden van quid pro quo aanvallen

De misleidende tactieken die worden gebruikt in quid pro quo aanvallen om gebruik te maken van de menselijke psychologie kunnen zelfs de sterkste organisaties en de meest ervaren individuen tot slachtoffer maken. En het effect ervan, zoals we hieronder zullen zien, kan verwoestend zijn.

Cryptocurrency oplichting van meerdere miljoenen dollars

De cryptowereld is vaak een belangrijk doelwit voor allerlei cyberaanvallen, waaronder quid pro quo aanvallen. In 2022 deed de hackergroep Lazarus zich voor als recruiters op LinkedIn. Ze lokten succesvol een senior ingenieur van Sky Mavis, het bedrijf achter Axie Infinity, naar een reeks nep-sollicitatiegesprekken. Deze gesprekken leidden ertoe dat de ingenieur een geïnfecteerd jobaanbodbestand downloadde, dat spyware bevatte en de oplichters toegang gaf tot het blockchain-netwerk van Axie Infinity. Dat resulteerde in de diefstal van $617 miljoen aan cryptocurrency. Deze beveiligingsinbreuk staat bekend als een van de grootste cryptocurrency-kraken tot nu toe.

Gezondheidzorg oplichting gericht op de meest kwetsbaren

We hebben allemaal gezien hoe oplichters tijdens de pandemie van 2020 geld probeerden te verdienen. Helaas gebruiken ze nog steeds gezondheidszorg oplichting om hun zakken te vullen ten koste van de meest kwetsbaren.

Ouderen zijn vaak het doelwit van oplichters die valse beloften doen en vragen om persoonlijke medische informatie. Begin 2024 probeerden frauduleuze zorgverleners meerdere oudere volwassenen op te lichten door hen gratis diensten, apparatuur of cadeaubonnen aan te bieden in ruil voor hun persoonlijke informatie en verificatie van de geschiktheid voor Medicare-diensten. Om de oplichting uit te voeren, namen ze contact op met hun slachtoffers via telefoontjes, online advertenties en sms-berichten, waarbij ze ten onrechte beweerden dat de ontvangers in aanmerking kwamen voor ‘gratis’ of ‘kosteloze’ diensten.

In een vergelijkbaar soort oplichting stuurden aanvallers genetische tests naar hun huis – tests die zijzelf noch hun medische behandelaar hadden besteld – gericht op identiteitsdiefstal of frauduleuze facturering. Als het slachtoffer in de val trapte en de genetische test uitvoerde, kon de zorgverlener weigeren de kosten van een ongeautoriseerde test te vergoeden, waardoor het slachtoffer de volledige kosten moest betalen, die kunnen oplopen tot duizenden dollars.

Digitale hygiëne: Wapen je tegen quid pro quo aanvallen

Hoewel er geen garantie bestaat tegen quid pro quo aanvallen, is de kans groter dat je ze tijdig detecteert en er niet op reageert als je een reeks best practices voor beveiliging toepast. Hier zijn enkele maatregelen om de digitale hygiëne van je organisatie te verbeteren en medewerkers te helpen quid pro quo aanvallen te herkennen en af ​​te weren:

  • Medewerkerstraining: Zorg dat je personeel op de hoogte is van de gevaren van quid pro quo aanvallen en geef duidelijke richtlijnen voor het identificeren en reageren op mogelijke dreigingen. Regelmatige en voortdurende trainingssessies kunnen hun bewustzijn en waakzaamheid versterken.
  • Robuuste authenticatie: Implementeer sterke authenticatiemaatregelen om de identiteit te verifiëren van personen die gevoelige informatie of toegang aanvragen. Dit kan onder meer door gebruik te maken van  multifactorauthenticatie (MFA) en verificatieprocedures.
  • Uitgebreid beveiligingsbeleid: Ontwikkel en handhaaf uitgebreide beveiligingsbeleidslijnen waarin wordt beschreven hoe gevoelige gegevens moeten worden behandeld, gedeeld en beschermd. Zorg ervoor dat je medewerkers op de hoogte zijn van deze beleidslijnen en deze naleven.
  • Incidentresponsplan: Bereid je voor op het ergste door een incidentresponsplan op te stellen dat de te nemen stappen bij een beveiligingsincident beschrijft. Tijdige actie kan de schade veroorzaakt door een aanval minimaliseren.
  • Regelmatige monitoring en evaluatie: Bewaak en evalueer de digitale beveiligingspositie van je organisatie doorlopend. Regelmatige beveiligingsaudits kunnen helpen bij het identificeren van kwetsbaarheden en mogelijkheden voor verbetering.

Het misleidende geven-en-nemen: Hoe je met SoSafe een veerkrachtige mindset ontwikkelt in je organisatie

Een succesvolle quid pro quo aanval kan verwoestende gevolgen hebben voor uw organisatie. Met dreigingen die steeds geavanceerder worden dankzij opkomende technologieën zoals AI en deepfakes, is het niet de vraag of je beschermd moet worden, maar hoe je beschermd kunt worden tegen deze dreigingen. Een uitgebreide strategie voor het beheer van menselijke risico’s kan je medewerkers veranderen in sterke verdedigers die deze aanvallen herkennen en melden, in plaats van dat zij ten prooi te vallen aan oplichting.

Bij SoSafe staat het menselijke element centraal in onze cybersecurity inspanningen. Daarom biedt ons e-learning platform een boeiende, gepersonaliseerde trainingservaring waar medewerkers precies leren wat ze moeten weten, zonder hun kostbare tijd te verspillen. Bovendien maken de lessen gebruik van gamificatie en verhaallijnen om deelnemers betrokken en geïnteresseerd te houden in het leren.

Bewustwording gaat echter niet alleen over leren. Het gaat erom kennis toe te passen in het echte leven en duurzame gedragsverandering te creëren. Onze phishing simulaties zijn daarom afgestemd op de behoeften en gedragingen van je medewerkers om bewustwordingslacunes effectiever aan te pakken.

Een holistische aanpak van het beheer van menselijke risico’s zal je organisatie veerkrachtiger maken tegen het steeds complexere cyberdreigingslandschap waarmee we vandaag de dag worden geconfronteerd.

Vraag een demo aan

Ontdek hoe ons platform jouw medewerkers in staat stelt om cyberdreigingen doorlopend af te wenden en zo je organisatie veilig te houden. Vraag een demonstratie aan, dan neemt een van onze specialisten snel contact met je op.

G2 Europe Leader Winter 2025 G2 Leader Winter 2025 G2 Momentum Leader Winter 2025