Hoewel phishing al tijden in de schijnwerpers staat als aanvalsmethode, wint een andere social engineering techniek, vishing, stilletjes aan populariteit onder aanvallers – uit onderzoek blijkt zelfs dat het aantal vishing-aanvallen in 2024 steeg met 442%. Bij vishing, of voice phishing, doen aanvallers zich via de telefoon voor als vertrouwde personen of organisaties om mensen te verleiden gevoelige informatie vrij te geven of acties uit te voeren die niet in hun belang zijn. Zie het als een persoonlijkere en in veel opzichten gevaarlijkere variant van phishing.
Een recent voorbeeld is Cisco, dat in juli 2025 werd getroffen door een gerichte vishing-aanval. Een medewerker werd telefonisch overtuigd om inloggegevens prijs te geven, waardoor aanvallers toegang kregen tot interne systemen. Daarbij werden persoonsgegevens van Cisco.com-gebruikers buitgemaakt, waaronder namen, contactgegevens en accountinformatie. Dit incident laat zien hoe één succesvol telefoongesprek kan leiden tot een grootschalig datalek.
In tegenstelling tot e-mailphishing, dat steeds beter wordt gefilterd door spamfilters en anomaliedetectie, bestaat er tegen voice phishing (vishing) nauwelijks technische bescherming. Waar het vervalsen van e-mailadressen steeds lastiger wordt, is het met VoIP en caller ID-manipulatie eenvoudig om telefoonnummers te spoofen. Met wat basisinformatie over een doelwit – vaak vrij beschikbaar online – kan een aanvaller al geloofwaardig overkomen. AI en deepfake-technologie maken dit nog overtuigender en moeilijker te herkennen.
Technisch gezien zou vishing deels te detecteren kunnen zijn, bijvoorbeeld door patronen in spraak, netwerkverkeer of afwijkende oproepbronnen te analyseren. Maar dat vraagt grootschalige monitoring en opname van telefoongesprekken, wat grote privacy- en ethische bezwaren oproept.
Persoonlijk geloof ik niet dat we deze weg moeten inslaan. In plaats van mensen volledig afhankelijk te maken van technologie, moeten we ze trainen om signalen van misleiding te herkennen. Want hoe geavanceerd de aanval ook is, een alert en goed getraind mens blijft de sterkste schakel.
Waarom vishing werkt
De psychologie achter vishing draait om het doelbewust inzetten van meerdere social engineering-technieken die samen het rationele denkvermogen van het slachtoffer verlagen. Vaak zien we een combinatie van:
- Autoriteit – De aanvaller doet zich overtuigend voor als iemand van IT, HR of zelfs de CEO. Een geloofwaardige rol, ondersteund door kennis van interne processen, maakt dat medewerkers minder snel twijfelen.
- Urgentie – Door te benadrukken dat er “nu” actie nodig is en er geen tijd is voor overleg, wordt het slachtoffer onder druk gezet om protocollen te omzeilen.
- Impersonisatie – Publiek beschikbare informatie, zoals LinkedIn-profielen, bedrijfswebsites of gegevens uit eerdere datalekken, wordt gebruikt om de aanval persoonlijk en geloofwaardig te maken.
- Verwarring – Door het gesprek bewust complex of chaotisch te maken, kan het slachtoffer de draad verliezen en meegaan in het verhaal van de aanvaller.
Uit mijn eigen ervaring met vishing-interventies bij klanten, waarbij ik de meest recente hacks nadoe en threat intelligence gebruik voor realistische scenario’s, merk ik dat het verhogen van emoties een krachtig wapen is. Angst, stress of juist een gevoel van enthousiasme of urgentie zorgen ervoor dat mensen minder rationeel nadenken en sneller doen wat ik in het gesprek probeer te bereiken.
Voorbereiding op vishing-aanval
Om effectief voorbereid te zijn op vishing-aanvallen, is het belangrijk om een gestructureerde aanpak te hanteren. Ons cybersecurity awarenessprogramma start met het in kaart brengen van de specifieke bedrijfsrisico’s. Op basis daarvan formuleren we samen de gouden regels die iedere medewerker moet naleven om het bedrijf te beschermen. Om te zorgen dat deze regels niet alleen worden onthouden, maar ook daadwerkelijk leiden tot gedragsverandering, werken we met een vierstappenaanpak. Hieronder lichten we deze aanpak toe aan de hand van een vishing-aanval:
Stap 1 – Ontwikkel en formaliseer vishing beleid
Veel organisaties hebben wel procedures om e-mail phishing te voorkomen, maar geen specifiek beleid voor voice phishing. Leg duidelijk vast hoe medewerkers de identiteit van bellers moeten verifiëren, welke stappen nodig zijn voor gevoelige acties zoals wachtwoordresets of MFA-gebruik, en hoe escalatie moet verlopen. Zorg dat dit beleid robuust is en niet eenvoudig te misbruiken is door aanvallers. Een voorbeeld van hoe dit mis kan gaan is wanneer servicedeskmedewerkers tijdens een vishing-aanval verifiërende vragen stellen volgens het geldende beleid. Wanneer ik echter als aanvaller een onverwacht of niet-voorgeschreven antwoord geef, raken zij in twijfel over hoe verder te handelen en wijken ze af van het vastgestelde beleid. Omdat ik wél getraind ben om mijn doel te bereiken, lukt het mij op deze manier vaak alsnog om gevoelige informatie te ontfutselen of toegang tot systemen te verkrijgen.
Stap 2 – Communiceer en veranker beleid bij medewerkers
Beleid heeft alleen waarde als medewerkers het kennen en begrijpen. Train teams die regelmatig bellen of contact hebben met externen via de telefoon in het herkennen van vishing-signalen. Leg uit waarom procedures zoals identiteit verificatie en richtlijnen over veilige informatieverstrekking bestaan. Maak duidelijk dat het opvolgen van deze stappen niet optioneel is, ook niet onder tijdsdruk.
Stap 3 – Voer realistische vishing simulaties uit
Simuleer realistische vishing-aanvallen, gebaseerd op actuele dreigingsinformatie en technieken die aanvallers echt gebruiken. Zo meet je in hoeverre medewerkers de juiste stappen volgen en hoe effectief bovengenoemde procedures zijn. Ik raad altijd aan om regelmatig kleine interventies te doen om ervoor te zorgen dat het bewustzijn van medewerkers hoog blijft, zonder ze te overweldigen.
Stap 4 – Deel de resultaten met het bedrijf en versterk bewustzijn
Analyseer de uitkomsten van de tests, bespreek ze met de teams en leg nadruk op de verbeterpunten. Het doel is om hun bewustzijn te vergroten en van fouten te leren. De verantwoordelijkheid van cyberbeveiliging ligt bij iedereen en door de resultaten te delen verdeel je deze verantwoordelijkheid.
Daarbij is het belangrijk dat medewerkers begrijpen hoe een aanvaller denkt: creatief, vasthoudend en altijd op zoek naar het ene detail dat te misbruiken valt. Bij vishing kan dat betekenen dat een aanvaller verschillende invalshoeken probeert totdat iemand toch informatie prijsgeeft. Door dit inzicht te delen, groeit het besef dat beveiliging niet alleen een taak van de IT-afdeling is, maar een gezamenlijke verantwoordelijkheid van de hele organisatie.
Veel organisaties vertrouwen te veel op digitale beveiligingsmaatregelen en gaan ervan uit dat MFA, antivirussoftware, firewalls en dergelijke hen tegen de meeste dreigingen zullen beschermen. Maar vishing aanvallers zijn gericht op mensen, niet op technologie. Zonder dat besef kunnen zelfs de meest veiligheidsbewuste medewerkers worden verrast door een vishing-aanval. Het trainen van medewerkers met realistische up-to-date vishing-simulaties is daarom absoluut nodig. De moeilijkste bedrijven voor mij om te hacken zijn toch die waar een waakzame medewerker zegt: “Ik geloof je niet, ik ga dit melden bij security”.
Dit is een ingezonden bijdrage van Fox-IT. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.