Social engineering is een succesvolle aanvalsmethode in het Nederlandse bedrijfsleven en bij overheden. Aanvallers gaan steeds geraffineerder te werk in het misbruiken van menselijk gedrag. Ze spelen in op reflexen als urgentie, vertrouwen en autoriteit. En dat zijn precies de factoren die medewerkers ertoe brengen om zélf de digitale deur open te zetten.
De recente onthulling dat Russische staatshackers Signal‑ en WhatsApp‑accounts van Nederlandse ambtenaren hebben overgenomen, laat zien hoe geraffineerd social engineering inmiddels is geworden. Aanvallers spelen in op urgentie, vertrouwen en autoriteit. Ze creëren een geloofwaardig verhaal, doen zich voor als collega, leverancier of leidinggevende, of zetten slachtoffers onder druk. Zo kunnen organisaties die de beveiliging technisch op orde hebben toch in de problemen komen.
De Fraudehelpdesk, een landelijk meldpunt waar particulieren en ondernemers terecht kunnen voor vragen, advies en het melden van online fraude en oplichting, ziet dagelijks nieuwe varianten opduiken. Criminelen ontwikkelen voortdurend nieuwe methoden om slachtoffers te misleiden. Daarmee verschuift de dreiging steeds verder van techniek naar menselijk gedrag, ziet het door het Ministerie van Justitie en Veiligheid opgezette meldpunt. In dit artikel zetten we de bekendste vormen van social engineering op een rij:
1. Phishing bestaat uit e‑mails die lijken te komen van banken, cloudproviders of interne afdelingen. Een voorbeeld uit de Nederlandse praktijk is de fraude bij bioscoopketen Pathé (2018), waarbij criminelen zich via e‑mail voordeden als de ceo en 19 miljoen euro lieten overmaken.
2. Spearphishing is een gerichte phishing met kennis van de organisatie of persoon. Zo werd de Universiteit Maastricht in 2019 getroffen door een gerichte spearphishingcampagne die leidde tot een grote ransomware-uitbraak. De aanval begon met een zeer geloofwaardige phishingmail gericht op specifieke medewerkers.
3. Vishing is telefonische oplichting waarbij aanvallers zich voordoen als it‑support of bank. Volgens de Fraudehelpdesk is de situatie waarbij criminelen zich telefonisch voordoen als bankmedewerkers en slachtoffers overtuigen om geld ‘veilig te stellen’ een groeiend probleem.
4. Smishing is phishing via sms of WhatsApp. De Rijksoverheid waarschuwt dat twee op de drie Nederlanders jaarlijks nep‑sms’jes of misleidende WhatsApp‑berichten ontvangt, vaak uit naam van banken, pakketdiensten of MijnOverheid.
5. Pretexting is een verzonnen scenario dat vertrouwen wekt. Zoals de Ubiquiti‑fraude (hoewel internationaal) is qua methode identiek aan Nederlandse ceo‑fraudezaken. In Nederland waarschuwt de politie expliciet voor pretexting waarbij criminelen zich voordoen als accountant, auditor of leverancier om betalingen af te dwingen.
6. Tailgating staat voor meelopen met medewerkers om fysieke toegang te krijgen. De Nederlandse beveiligingsbranche rapporteert regelmatig tailgating‑incidenten. Een bekend voorbeeld is een test van beveiligingsbedrijf Northwave, waarbij een ‘mystery guest’ zonder pasje meerdere kantoorpanden in Nederland binnenkwam door simpelweg mee te lopen met medewerkers.
Nog complexere social engineering
De genoemde zes methoden vormen de basis, maar de afgelopen jaren is er een duidelijke verschuiving zichtbaar naar complexere, psychologisch verfijnde varianten. De nieuwe generatie social engineering die in ons land de kop opsteekt, combineert psychologische druk met nieuwe technologieën zoals ai en deepfakes. Het gaat bijvoorbeeld om:
7. Deepfake‑stemfraude. PwC Nederland waarschuwt dat deepfake‑technologie wordt gebruikt om stemmen van leidinggevenden na te bootsen en zo betalingen af te dwingen. PwC noemt dit expliciet een groeiende vorm van imitatiefraude.
8. Quishing (QR‑phishing). De Rijksoverheid meldt dat twee op de drie Nederlanders jaarlijks nep‑sms’jes, misleidende appjes of valse e‑mails ontvangen, waaronder qr‑links die naar nep‑inlogpagina’s leiden.
9. Business Email Compromise, ofwel BEC‑fraude, wordt door Nederlandse instanties genoemd als groeiende vorm van imitatiefraude. De politie koppelt BEC expliciet aan moderne identiteitsfraude en deepfake‑technieken. Het is een vorm van cyberfraude waarbij criminelen e-mails vervalsen om geld of gevoelige informatie te ontfutselen. Oplichters doen zich vaak voor als directieleden (ceo-fraude) of vertrouwde leveranciers om medewerkers te misleiden en betalingen te laten doen.
10. Helpdesk‑spoofing. Ook nep‑helpdesks die bellen vanaf gespoofde nummers vormen een groeiend probleem. Criminelen doen zich voor als bank‑ of it‑medewerkers en nemen op afstand de systemen over van slachtoffers.
11. Social‑media‑impersonatie is de term die gebruikt wordt voor criminelen die zich steeds vaker voordoen als overheidsinstanties of bedrijven via gespoofde nummers en nep‑profielen.
12. Usb‑lokacties zijn campagnes waarbij een usb-stick met schadelijke software wordt achtergelaten. Als een medewerker de usb-stick in een apparaat plaatst dat aan het netwerk gekoppeld is dan starten in de systemen vaak allerlei processen waarmee criminelen netwerken binnendringen, data stelen of gijzelen en systemen platgooien.
De gevolgen van social engineering zijn vaak groter dan de initiële schade. Denk aan: financiële verliezen door frauduleuze betalingen, verstoring van bedrijfsprocessen, reputatieschade, verlies van klantvertrouwen, juridische gevolgen bij datalekken. De Fraudehelpdesk benadrukt dat meldingen cruciaal zijn om nieuwe trends te herkennen en organisaties tijdig te waarschuwen.
Hoe kunnen bedrijven en organisaties zich wapenen tegen social engineering?
Effectieve verdediging vraagt om een combinatie van techniek, proces en mens veelgenoemde manieren om weerbaarder te zijn tegen social engineering:
Doorlopende bewustwordingstraining met realistische scenario’s.
Zero‑trust‑principes waarbij geen enkele aanvraag blind wordt vertrouwd.
Strakke financiële processen zoals het vier-ogenprincipe.
Technische maatregelen zoals multifactor-authenticatie (mfa), phishingfilters en regels rondom identiteitsgebruik (identity governance).
Incidentmeldingen bij de Fraudehelpdesk om trends vroeg te signaleren.
