SpySecure® | Kennisbank

Wat is social engineering (en hoe voorkomt u het)?

Geschreven door Security Operations Center | Mar 9, 2025 11:00:00 PM

Cybercriminelen hacken niet alleen systemen, maar ook mensen. Social engineering maakt gebruik van misleiding en vertrouwen om toegang te krijgen tot gevoelige informatie. Ontdek de meest gebruikte trucs, herkenbare voorbeelden en hoe u medewerkers weerbaar maakt.

Wat is social engineering?

Social engineering is een verzamelnaam voor aanvallen waarbij niet technologie, maar menselijk gedrag wordt misbruikt om toegang te krijgen tot systemen of data. Denk aan een medewerker die via een nepmail zijn wachtwoord invult of telefonisch informatie deelt met een 'collega' die dat eigenlijk niet is.


Veelvoorkomende vormen van social engineering

  • Phishing – e-mails die lijken te komen van betrouwbare bronnen, maar gericht zijn op het stelen van inloggegevens of het verspreiden van malware.
  • Spear phishing – gepersonaliseerde phishing die specifiek gericht is op één persoon of rol binnen de organisatie.
  • Spoofing – het vervalsen van e-mailadressen, telefoonnummers of websites zodat ze legitiem lijken (bijv. mail van 'directie@bedrijf.nl' die eigenlijk van een aanvaller komt).
  • Vishing – telefonische social engineering, waarbij de aanvaller zich voordoet als helpdesk, leverancier of collega.
  • Pretexting – de aanvaller verzint een geloofwaardig verhaal (‘pretext’) om toegang tot gegevens te verkrijgen, zoals “ik ben van de IT-afdeling en ik heb even uw wachtwoord nodig.”
  • Tailgating – fysieke toegang verkrijgen door met iemand mee naar binnen te lopen, zonder eigen toegangspas.

🤔 Waarom werkt social engineering zo goed?

Social engineering speelt in op vertrouwen, routine en een gebrek aan alertheid. Aanvallers doen zich voor als collega, leverancier of bekende instantie en gebruiken urgentie of autoriteit om druk te zetten. Zonder goede training en procedures is het voor medewerkers lastig om dit soort aanvallen te herkennen.

Bewustwording is daarom minstens zo belangrijk als technische beveiliging.


Voorbeelden uit de praktijk

  • Een medewerker ontvangt een e-mail van de ‘directeur’ met het verzoek om snel een betaling uit te voeren. De e-mail is gespoofd, en het geld verdwijnt naar een criminele rekening.
  • Een HR-medewerker krijgt een telefoontje van iemand die zich voordoet als collega, met de vraag om persoonsgegevens op te sturen naar een nieuw e-mailadres.
  • Een IT-medewerker ontvangt een nepmail van ‘Microsoft’ met een link naar een inlogpagina. De pagina lijkt echt, maar stuurt inloggegevens direct door naar criminelen.
  • Een hacker onderschept e-mailverkeer tussen een bedrijf en een leverancier. Een legitieme factuur wordt aangepast met een ander bankrekeningnummer en opnieuw doorgestuurd naar de boekhouding. Omdat de inhoud bekend en logisch lijkt, wordt het bedrag zonder controle overgemaakt.


Waarom is het MKB kwetsbaar?

MKB-organisaties beschikken vaak niet over uitgebreide beveiligingsteams of beleid, en medewerkers vervullen meerdere rollen. Daardoor is er minder tijd en kennis om verdachte situaties te herkennen of protocollen te volgen. Bovendien zijn veel mensen van nature goed van vertrouwen — iets waar cybercriminelen maar al te graag misbruik van maken.


Wat kunt u doen om social engineering te voorkomen?

De sleutel is bewustwording, gecombineerd met duidelijke procedures en technische ondersteuning. Dit zijn concrete maatregelen die u vandaag al kunt nemen:

1. Train medewerkers regelmatig

Geef voorlichting over phishing, spoofing en andere vormen van social engineering. Gebruik phishing-simulaties om te testen hoe alert medewerkers zijn en bespreek de resultaten zonder te bestraffen. Herhaling is essentieel.

2. Implementeer anti-phishing- en spamfilters

Gebruik een professioneel e-mailfilter dat verdachte e-mails herkent en automatisch markeert of blokkeert. Denk aan oplossingen die e-maildomeinen verifiëren met SPF, DKIM en DMARC om spoofing tegen te gaan.

3. Stel een meldpunt en proces in

Maak het melden van verdachte berichten of telefoontjes eenvoudig. Zorg dat medewerkers weten bij wie ze terecht kunnen en dat meldingen serieus worden opgevolgd. Documenteer meldingen, ook als het loos alarm is.

4. Gebruik multi-factor authenticatie (MFA)

Als inloggegevens worden buitgemaakt, voorkomt MFA dat een aanvaller direct kan inloggen. Zet MFA in ieder geval aan voor e-mail, cloudapplicaties en systemen met toegang tot persoonsgegevens.

5. Beperk toegang en rechten

Geef medewerkers alleen toegang tot de systemen en data die ze nodig hebben. Zo beperkt u de schade als een account wordt misbruikt.

6. Controleer externe verzoeken altijd

Vraag bij twijfel een collega om mee te kijken. Controleer het verzoek via een ander kanaal (bijv. telefonisch of via Teams). Vertrouw nooit blind op een e-mail of telefoontje — zelfs niet als het ‘van de directie’ komt.


Wat kunt u nu doen?

Social engineering is geen toekomstscenario — het gebeurt dagelijks. Daarom is het belangrijk om uw organisatie actief weerbaar te maken. Begin met een interne bewustwordingssessie of phishingtest en zorg dat alle medewerkers weten hoe ze een verdacht bericht herkennen en melden.

Gebruik ook technische ondersteuning: implementeer spamfilters, dwing MFA af en stel duidelijke betaalprocedures in. Bij twijfel over een factuur of bankrekeningnummer? Bel de leverancier — en bevestig gevoelige verzoeken nooit uitsluitend via e-mail.

Wilt u weten waar uw organisatie staat? Neem contact met ons op. 


Conclusie

Social engineering is geen technisch probleem, maar een menselijk risico. Door bewustwording te combineren met technische hulpmiddelen zoals phishing filters en MFA, voorkomt u dat één klik of telefoontje leidt tot grote schade. Met training, beleid en controle beschermt u niet alleen systemen, maar vooral ook de mensen.
Volledig bericht weergeven