Social engineering is een aanvalsmethode waarbij criminelen niet de technologie hacken, maar de mensen die er gebruik van maken. In plaats van systemen te kraken, manipuleren aanvallers medewerkers, klanten of gebruikers om gevoelige informatie prijs te geven. Traditionele beveiligingssoftware zoals antivirusprogramma's biedt hier geen bescherming tegen.
Wat is social engineering precies?
Social engineering is het misbruiken van menselijk vertrouwen om toegang te krijgen tot vertrouwelijke informatie of beveiligde systemen. Aanvallers doen zich voor als collega's, leveranciers of helpdesk medewerkers om slachtoffers te misleiden. Ze maken gebruik van de natuurlijke neiging van mensen om anderen te vertrouwen en te helpen.
Zodra een aanvaller genoeg losse stukjes informatie heeft verzameld, legt hij de puzzel samen en kan hij een organisatie of individu gericht aanvallen.
Waarom werkt social engineering zo goed?
Mensen zijn van nature geneigd anderen te helpen en vertrouwen te schenken. Aanvallers maken daar bewust gebruik van door in te spelen op basale menselijke reacties: behulpzaamheid, respect voor autoriteit, angst voor gevolgen en de neiging om onder druk snel te handelen.
De meeste social engineering aanvallen creëren een gevoel van urgentie. Je account is gehackt. Er is een factuur die vandaag nog betaald moet worden. Je computer verspreidt een virus. Die tijdsdruk zorgt ervoor dat mensen minder kritisch nadenken en sneller handelen.
Meer dan twee derde (68%) van alle datalekken in 2024 betrof een niet-kwaadwillig menselijk element, waarbij mensen een fout maakten of slachtoffer werden van een social engineering aanval. Verizon Dit cijfer uit het Verizon Data Breach Investigations Report laat zien hoe groot de impact van menselijke manipulatie is ten opzichte van puur technische aanvallen.
Waarom werkt social engineering zo goed?
Mensen zijn van nature geneigd anderen te vertrouwen en te helpen. Aanvallers maken daar bewust misbruik van. Ze creëren tijdsdruk, spelen in op autoriteit of wekken een gevoel van vertrouwdheid. Geen enkel technisch beveiligingssysteem beschermt tegen een medewerker die zelf de deur opent.
Volgens het Verizon Data Breach Investigations Report is de menselijke factor betrokken bij het overgrote deel van alle datalekken wereldwijd.
Welke vormen van social engineering zijn er?
Phishing
De meest voorkomende variant. De aanvaller stuurt een e-mail die eruitziet als een bericht van een bank, bezorgdienst of bekende dienstverlener. De e-mail bevat een link naar een nepwebsite of een bijlage met malware. Het doel is dat het slachtoffer inloggegevens invoert of kwaadaardige software installeert.
Phishing is in detail uitgelegd in ons artikel over [wat is phishing].
Vishing (telefonisch oplichting)
Bij vishing belt een crimineel zijn slachtoffer op. Een veelvoorkomend scenario: de beller beweert van de technische dienst van Microsoft te zijn en vertelt dat de computer van het slachtoffer een virus verspreidt. Hij vraagt om toegang op afstand om het probleem te verhelpen.
Eenmaal toegelaten heeft de aanvaller vrij spel. Hij kan persoonlijke bestanden inzien, malware installeren en vervolgens betaling eisen voor een "oplossing" die hij zelf heeft veroorzaakt.
Smishing (sms-fraude)
Hierbij stuurt de aanvaller een sms met een verdachte link of een nep-verzoek, bijvoorbeeld een valse pakketmelding of een bericht van een zogenaamde bank. De berichten zijn kort en overtuigend en leiden naar nepwebsites of telefoonnummers van criminelen.
Pretexting
Bij pretexting verzint de aanvaller een uitgebreid en geloofwaardig scenario om informatie los te krijgen. Hij bouwt eerst vertrouwen op voordat hij om gevoelige gegevens vraagt. Een voorbeeld: iemand belt naar de afdeling financien en doet zich voor als een nieuwe leverancier die het rekeningnummer voor betalingen wil doorgeven.
Spear phishing
Een gerichte aanval op een specifiek persoon of een kleine groep, in tegenstelling tot de brede aanpak van gewone phishing. De aanvaller verzamelt vooraf informatie via sociale media, LinkedIn of bedrijfswebsites om het bericht persoonlijker en geloofwaardiger te maken.
Whaling
Een vorm van spear phishing gericht op personen in hogere posities, zoals directeuren of financieel managers. De potentiele buit is groter en de aanpak is verfijnder. Bekende variant: CEO-fraude, waarbij een medewerker van de financiele afdeling een e-mail ontvangt die ogenschijnlijk van de directeur afkomstig is, met het verzoek om snel een groot bedrag over te maken.
Fysieke inbraak (tailgating)
Hierbij doet de aanvaller zich fysiek voor als iemand anders, een monteur, bezorger of nieuwe medewerker, om toegang te krijgen tot een beveiligde locatie. Eenmaal binnen kan hij apparatuur manipuleren, documenten stelen of malware installeren op interne systemen.
Besmette USB-sticks
Een aanvaller kan moedwillig een besmette USB-stick kwijtraken die bij de receptie wordt afgeleverd. Op het moment dat de receptioniste de stick in de computer steekt, heeft de aanvaller zijn doel bereikt. Ncsc Deze methode is eenvoudig maar verrassend effectief.
Shoulder surfing en dumpster diving
Bij shoulder surfing kijkt de aanvaller letterlijk mee over je schouder terwijl je een wachtwoord intypt of met gevoelige informatie werkt, in een trein, een gedeeld kantoor of een bedrijfsverzamelpand.
Dumpster diving is het doorzoeken van het afval van een bedrijf op zoek naar bruikbare informatie. Zelfs ogenschijnlijk onschuldige documenten zoals bellijsten, organogrammen of oude facturen kunnen ingezet worden bij een gerichte aanval.
Hoe herken je een social engineering aanval?
De meeste aanvallen hebben een aantal kenmerken gemeen die als waarschuwingssignalen dienen:
- Het bericht of gesprek creëert urgentie of druk om snel te handelen
- De afzender of beller vraagt om vertrouwelijke informatie zoals wachtwoorden, pincodes of betalingen
- Het verzoek wijkt af van de normale procedure, maar klinkt toch plausibel
- De beller of afzender heeft opvallend veel persoonlijke informatie over je of je organisatie
- Er wordt gedreigd met negatieve gevolgen als je niet meewerkt
Betrouwbare organisaties en overheden vragen nooit via e-mail, sms of telefoon om wachtwoorden, pincodes of spoedbetalingen naar onbekende rekeningen.
Hoe bescherm je jezelf en je organisatie?
Train medewerkers regelmatig
Bewustwording is de sterkste verdediging tegen social engineering. Medewerkers moeten weten hoe aanvallen eruitzien en hoe ze verdachte situaties herkennen, melden en afhandelen. Eenmalige training is niet genoeg. Aanvalstechnieken evolueren en training moet dat bijhouden.
Het NCSC adviseert organisaties om medewerkers structureel bewust te maken van de meest voorkomende social engineering technieken en ze te trainen in het herkennen van manipulatie.
Stel duidelijke verificatieprocedures in
Geef nooit persoonlijke of vertrouwelijke informatie weg voordat je hebt bevestigd wie er aan de andere kant zit. Bel bij twijfel terug via een officieel nummer dat je zelf opzoekt, nooit het nummer dat de beller zelf opgaf.
Stel binnen je organisatie vast wie welke informatie mag delen en via welke kanalen. Geen enkele legitieme IT-medewerker vraagt via de telefoon om een wachtwoord.
Wees kritisch op sociale media
Aanvallers verzamelen actief informatie via LinkedIn, Facebook en andere platforms. Hoe meer je deelt over je functie, collega's, projecten en werkomgeving, hoe makkelijker het is om een geloofwaardig verhaal op te bouwen. Controleer je privacyinstellingen en wees bewust van wat je publiekelijk deelt.
Vernietig vertrouwelijke documenten
Gebruik altijd een papierversnipperaar voor documenten met namen, adressen, rekeningnummers of andere gevoelige informatie. Zet nooit onvernietigd papierwerk bij het oud papier of in de prullenbak.
Beperk fysieke toegang
Laat onbekenden nooit zonder begeleiding een beveiligde ruimte betreden. Vraag altijd om legitimatie van externe bezoekers en registreer wie er wanneer toegang heeft gekregen. Meelopen achter iemand door een beveiligde deur mag er normaal uitzien, maar is een bekende aanvalsmethode.
Gebruik meerfactorauthenticatie
Zelfs als een aanvaller via social engineering je wachtwoord bemachtigt, biedt meerfactorauthenticatie een extra drempel. Schakel dit in op alle kritieke accounts. Lees meer over MFA in ons artikel over wat is multi-factor authenticatie.
Wat te doen als je slachtoffer bent geworden?
Vermoed je dat je slachtoffer bent geworden van social engineering?
- Verander direct de wachtwoorden van de mogelijk getroffen accounts
- Meld het bij je leidinggevende of IT-afdeling als het om een zakelijke situatie gaat
- Blokkeer je bankrekening als er financiele gegevens zijn gedeeld
- Documenteer alles: wie nam contact op, wanneer, wat werd er gezegd en wat heb je gedaan
- Doe aangifte bij de politie via politie.nl of via 0900-8844
Social engineering is effectief omdat het inspeelt op wie we zijn: mensen die vertrouwen en helpen. Technologie alleen beschermt je daar niet tegen. Kennis en bewustwording wel.
