Hoe herken ik een social engineering-aanval?

Let op drie signalen: urgentie (“dit moet nu”), autoriteit (iemand doet zich voor als je baas of een leverancier) en het omzeilen van procedures (“doe het deze keer buiten het systeem om”). Echte verzoeken kunnen altijd even wachten terwijl je verifieert. Bel de afzender terug op een bekend nummer, niet op het nummer in het bericht.

Zijn kleine KMO’s echt interessant voor social engineers?

Juist wél. Kleine bedrijven hebben vaak minder strikte procedures, minder controles op betalingen en minder awareness-training. Een medewerker die facturen betaalt zonder dubbele goedkeuring is een makkelijker doelwit dan een multinational met een heel compliance-team. De bedragen per aanval zijn lager, maar de slagingskans is hoger.

Kan AI social engineering-aanvallen gevaarlijker maken?

Ja. Aanvallers gebruiken AI om overtuigende phishing-mails te schrijven zonder taalfouten, stemmen te klonen voor telefonische fraude (vishing) en zelfs deepfake-video’s te maken voor videogesprekken. De drempel om een geloofwaardige aanval op te zetten is lager dan ooit. Dat maakt verificatieprocedures belangrijker, niet overbodig.

Wat doe ik als een medewerker toch in een social engineering-truc trapt?

Handel snel. Blokkeer de betrokken accounts, wijzig wachtwoorden en neem contact op met je bank als er geld is overgemaakt (bij CEO-fraude is snelheid bepalend voor terugvordering). Meld het incident bij CERT.be en doe aangifte bij de politie. Gebruik het voorval daarna als leermoment, niet als strafzaak richting de medewerker.

Social engineering: de 5 meest gebruikte trucs

Beknopt

Social engineering richt zich op mensen, niet op systemen. Het is de meest gebruikte aanvalsmethode op Belgische KMO’s
De 5 meest voorkomende vormen: phishing, CEO-fraude, pretexting, baiting en tailgating
Technische beveiliging helpt, maar het verschil maakt een team dat verdachte verzoeken herkent en durft te weigeren

Waarom social engineering zo effectief is

Een firewall blokkeert verdacht verkeer. Een spamfilter vangt foute mails. Maar geen enkel systeem blokkeert een medewerker die overtuigd wordt om zelf een betaling uit te voeren of een wachtwoord door te geven. Daar rekenen social engineers op.

Social engineering is manipulatie. De aanvaller doet zich voor als iemand die je vertrouwt: je zaakvoerder, je IT-leverancier, je bank. Het doel is altijd hetzelfde: je laten handelen voordat je nadenkt. Het VBO waarschuwt dat dit geen technisch probleem is maar een menselijk probleem dat met procedures en bewustzijn moet worden aangepakt.

De afgelopen jaren zijn de aanvallen overtuigender geworden. AI genereert foutloze phishing-mails. Stemkloning maakt telefonische fraude geloofwaardiger. De oude tip “let op taalfouten” werkt niet meer.

De 5 meest gebruikte trucs

1. Phishing

Verreweg de meest voorkomende vorm. Je ontvangt een e-mail die eruitziet als een bericht van je bank, leverancier of een overheidsdienst. De mail bevat een link naar een nagemaakte website waar je je inloggegevens invult.

Varianten:

Spear phishing: gericht op één persoon, met persoonlijke details (naam, functie, recent project) om het bericht geloofwaardiger te maken
Smishing: phishing via sms of WhatsApp. “Je pakket wordt teruggestuurd, klik hier”
Vishing: telefonische phishing. Iemand belt namens “de helpdesk” en vraagt om je wachtwoord te resetten

Meer hierover in onze handleiding phishing herkennen.

2. CEO-fraude (BEC)

CERT.be ontvangt regelmatig tientallen meldingen van CEO-fraude. De aanvaller doet zich voor als de zaakvoerder of een directielid en stuurt een dringend betaalverzoek naar de boekhouding. Kenmerken:

Het verzoek is “dringend” en “vertrouwelijk”
Het komt vaak vlak voor het weekend of tijdens vakantie
Het wijkt af van de normale procedure
Het mailadres lijkt correct maar verschilt in een detail (een punt, een letter)

De schade kan enorm zijn. In België zijn gevallen bekend van bedrijven die honderdduizenden euro’s verloren aan één enkele frauduleuze betaling. Lees meer in ons artikel over CEO-fraude herkennen en voorkomen.

3. Pretexting

De aanvaller verzint een geloofwaardig verhaal (pretext) om informatie los te krijgen. Voorbeelden:

“Ik bel van de IT-afdeling, we hebben je wachtwoord nodig om een probleem op te lossen”
“Ik ben de auditor van jullie boekhouding, kun je me de laatste facturen mailen?”
“We zijn van de leverancier, ons rekeningnummer is gewijzigd”

Pretexting werkt omdat het inspeelt op behulpzaamheid. Mensen willen helpen, zeker als het verzoek redelijk klinkt.

4. Baiting

De aanvaller lokt je met iets aantrekkelijks. De digitale variant: een USB-stick “per ongeluk” achtergelaten op de parkeerplaats of in de lobby. Wie hem aansluit, installeert onbewust malware.

De online variant: een gratis download, een nep-factuur als bijlage, een “belangrijk document” dat je moet openen. Het doel is altijd: jouw nieuwsgierigheid misbruiken om malware op je systeem te krijgen.

5. Tailgating

Fysieke social engineering. Iemand loopt mee door een beveiligde deur terwijl een medewerker zijn badge scant. “Sorry, ik ben mijn pas vergeten.” Bij kleinere kantoren waar iedereen iedereen kent, is dit lastig te weigeren. Toch is het de moeite waard: wie fysiek binnen is, heeft toegang tot werkplekken, printers met vertrouwelijke documenten en onbeheerde laptops.

Hoe bescherm je je KMO?

Technische maatregelen helpen: spamfilters, MFA, endpoint-beveiliging. Maar de kern is gedrag.

Stel verificatieprocedures in. Een betaling boven een bepaald bedrag vereist altijd dubbele goedkeuring. Een wijziging van een rekeningnummer wordt altijd telefonisch geverifieerd via een bekend nummer, niet via het nummer in de mail.

Train regelmatig. Geen jaarlijkse PowerPoint maar korte, concrete sessies. Het CCB biedt gratis sensibiliseringsmateriaal aan via Safeonweb@Work. Gebruik het.

Maak melden veilig. Een medewerker die een verdacht verzoek meldt, verdient een compliment. Een medewerker die erin trapt, verdient ondersteuning, geen straf. Angst om fouten toe te geven maakt je organisatie kwetsbaarder, niet sterker.

Simuleer aanvallen. Stuur nep-phishing naar je eigen team. Niet om mensen te betrappen, maar om het herkenningsvermogen te trainen. Tools als KnowBe4 en Phished (Belgisch bedrijf) bieden dit als dienst aan. Bekijk onze vergelijking van awareness-platformen voor meer opties.

Let op bij rekeningwijzigingen

Ontvang je een mail van een leverancier dat hun rekeningnummer is gewijzigd? Bel altijd terug op het nummer dat je al had, niet het nummer in de mail. Dit is een van de meest voorkomende social engineering-trucs bij KMO’s en leidt tot directe financiële schade.

Kernpunt

Social engineering werkt omdat het inspeelt op vertrouwen, urgentie en behulpzaamheid. Techniek vangt een deel op, maar het verschil maakt een team dat weet wanneer het “nee” moet zeggen en een vraag moet verifiëren. Investeer in bewustzijn, stel verificatieprocedures in, en maak melden veilig.

Dit artikel is informatief bedoeld. Meer over cyberaanvallen voorkomen lees je in onze pillar-gids. Bij een vermoeden van fraude: meld bij CERT.be en doe aangifte bij de lokale politie.

Social engineering: de 5 meest gebruikte trucs

Waarom social engineering zo effectief is

De 5 meest gebruikte trucs

1. Phishing

2. CEO-fraude (BEC)

3. Pretexting

4. Baiting

5. Tailgating

Hoe bescherm je je KMO?

Veelgestelde vragen

Bronnen

Gerelateerde artikels

Cyberaanvallen voorkomen: handleiding voor KMO's

Phishing herkennen: handleiding voor medewerkers

CEO-fraude herkennen: zo bescherm je je KMO

Je bedrijf is gehackt: wat nu? Stappenplan

Cybersecurity-beleid voor je bedrijf: zo stel je het op