Veilig & weerbaar

Phishing en social engineering: waarom het werkt

Phishing mikt niet op je systemen, maar op je mensen. Zo maak je je team weerbaar.

Alle artikelen

Een aanvaller hoeft tegenwoordig zelden je systemen te kraken. Het is veel makkelijker om je mensen te misleiden. Dat is waar social engineering om draait: niet de techniek bespelen, maar de mens. Phishing is daarvan de bekendste vorm, een bericht dat net echt genoeg lijkt om iemand iets te laten doen wat hij niet had moeten doen.

Het goede nieuws: je hoeft hier niet bang van te worden. Je hoeft je mensen alleen te helpen het te herkennen. En dat is goed te doen.

Waarom het werkt

Social engineering werkt omdat het inspeelt op hoe mensen nu eenmaal in elkaar zitten. We zijn geneigd te vertrouwen zolang er niks duidelijk verdacht is. Aanvallers weten dat, en gebruiken een paar simpele knoppen:

  • Autoriteit. Het bericht lijkt van je baas of de boekhouding te komen, met een verzoek dat geen tegenspraak duldt. “Maak dit even over vóór twaalf uur.”
  • Haast. Er moet nú iets gebeuren, anders gaat het mis. “Je account wordt over 15 minuten geblokkeerd.”
  • Angst. Er wordt een dreiging neergelegd. “Er is ingebroken op je account, klik hier om erger te voorkomen.”
  • Verleiding. Er lonkt iets fijns. “Klik hier om je tegoed te claimen.”

Het slimme is dat deze berichten eruitzien als doodgewone werkcommunicatie. Daarom zijn ze lastig te spotten, tenzij je weet waar je op moet letten.

De trucs die je nu ziet

Voorbij zijn de tijden dat slechte spelling je waarschuwde. Met behulp van AI zijn de trucs een stuk geraffineerder geworden:

  • Nep-websites. Een pagina met hetzelfde logo, dezelfde kleuren en bijna dezelfde link als de echte, gemaakt om je inloggegevens te ontfutselen.
  • Misleidende links. Een link die er betrouwbaar uitziet, maar je naar een andere plek stuurt. Eén klik kan al genoeg zijn.
  • Verkorte links. Handig in het dagelijks gebruik, maar je ziet niet waar ze heen gaan. Bekijk een link liever voordat je klikt.
  • Nagebootste stemmen. Met AI is iemands stem na te maken. Een “collega” of “familielid” dat belt met een dringend verzoek om geld of een wachtwoord klinkt echt, en juist dat maakt het gevaarlijk.

In een groothandel of een administratie zie je dit vaak terug als factuurfraude of een nep-verzoek “namens de directeur” om snel een betaling te doen. Niet omdat je mensen dom zijn, maar omdat het er echt uitziet.

Hoe je je mensen weerbaar maakt

Je verdedigt je hier niet tegen met één knop, maar met duidelijkheid en een paar gewoontes die iedereen snapt en volhoudt:

  • Maak het bespreekbaar. Laat zien hoe deze trucs werken. Wie ze herkent, trapt er minder snel in.
  • Verifieer bij twijfel. Gaat het om geld, gegevens of inloggegevens, controleer het verzoek dan via een ander, vertrouwd kanaal, bel even het bekende nummer.
  • Sta jezelf toe te vertragen. Een bericht dat haast claimt, mag best even wachten. Een korte pauze voorkomt een snelle misser.
  • Zet meervoudige verificatie (MFA) aan. Ook als een wachtwoord wordt buitgemaakt, houdt die extra stap de deur dicht.
  • Maak melden makkelijk. Hoe eerder iets vreemds gemeld wordt, hoe sneller je het kunt stoppen.

Stuk voor stuk kosten ze weinig moeite, en samen maken ze een groot verschil. Bij ons zit dit standaard in het beheer: we houden de techniek scherp én helpen je mensen weerbaarder te worden, want zij zijn je belangrijkste verdediging.

Een paar vragen die we vaak krijgen

Wat is het verschil tussen phishing en social engineering?

Social engineering is de overkoepelende aanpak: mensen manipuleren in plaats van systemen. Phishing is daarvan de bekendste vorm, meestal via e-mail. Andere vormen lopen via telefoon, sms of zelfs een nagebootste stem.

Hoe herken ik een phishingbericht?

Let op onverwachte haast, een ongebruikelijk verzoek (zeker rond geld of inloggegevens), en afzenders of links die nét niet kloppen. Bij twijfel: niet klikken, maar verifiëren via een kanaal dat je vertrouwt.

Kun je dit voor onze mensen verzorgen?

Ja. We kunnen bewustwording onderdeel maken van het beheer, afgestemd op jouw bedrijf, geen eenmalig verplicht nummer, maar iets dat blijft hangen.


Wil je weten hoe weerbaar jouw organisatie is? De gratis veiligheidsscan raakt ook het stukje “mensen en bewustzijn”. Of plan een kennismaking, dan kijken we samen.

Nog vragen over je eigen ICT?

Doe de gratis scan en zie hoe je eigen ICT ervoor staat, in plaats van het bij algemene kennis te laten. Wil je het bespreken? Een vrijblijvende kennismaking kan altijd.

Gratis en vrijblijvend, zonder verkooppraatje.