Direct hulp nodig? 24/7 ransomware noodlijn:
+31 6 11 37 10 19
Van Rosmalen Automatisering Logo
Herkenning

Social engineering: de menselijke factor in cyberaanvallen

Juni 20267 min leestijd

De meeste ransomware-aanvallen beginnen niet met een technisch lek in uw software, maar met een mens die iets doet wat hij of zij beter niet had kunnen doen. Social engineering is de kunst van het manipuleren van mensen — niet van computers. Criminelen gebruiken psychologische principes zoals autoriteit, urgentie, vertrouwen en wederkerigheid om medewerkers zover te krijgen dat ze toegang verlenen, geld overmaken of gevoelige informatie prijsgeven.

De psychologische principes achter social engineering

Criminelen begrijpen hoe mensen denken en beslissingen nemen. Ze maken gebruik van een handvol bewezen psychologische principes. Autoriteit: een bericht van 'de directeur' of 'de IT-afdeling' wordt minder snel in twijfel getrokken. Urgentie: 'als u nu niet handelt, wordt uw account geblokkeerd' zet mensen aan tot overhaaste actie. Schaarste en angst: 'uw bestanden worden over 2 uur gewist' dwingt tot paniek.

Wederkerigheid speelt ook een rol: criminelen die zich vriendelijk gedragen of eerst iets 'doen' voor het slachtoffer, wekken de neiging om ook iets terug te doen. Liking: mensen doen meer voor mensen die ze aardig vinden. Criminelen bouwen eerst rapport op voordat ze een verzoek doen.

De meest voorkomende social engineering-technieken

Social engineering kent veel verschijningsvormen, zowel digitaal als fysiek:

  • Phishing (e-mail): nep-mails die lijken van betrouwbare afzenders
  • Spear phishing: gerichte aanval op één persoon met gepersonaliseerde informatie
  • Vishing (telefoon): oplichting via telefoongesprekken
  • Smishing (sms/WhatsApp): misleidende berichten via de telefoon
  • Pretexting: de crimineel verzint een geloofwaardig verhaal als dekmantel
  • Baiting: een USB-stick achterlaten op een parkeerplaats in de hoop dat iemand hem inplugt
  • Tailgating: achter een medewerker aan een beveiligde ruimte binnenlopen

Hoe criminelen zich voorbereiden

Professionele aanvallers doen uitgebreid onderzoek voordat ze toeslaan. LinkedIn toont de structuur van uw organisatie: namen, functies, projecten en relaties. Een crimineel die weet wie uw IT-leverancier is, wie er op vakantie is en hoe uw directeur zijn e-mails afsluit, kan een overtuigend verhaal construeren.

Open bronnen (OSINT) zoals uw website, vacatures, persberichten en sociale media geven aanvallers een schat aan informatie. Sommige criminelen verkennen zelfs fysiek uw kantoor: ze kijken bij receptie welke leveranciers er binnenlopen, of nemen een kijkje in de parkeergarage om te zien welke auto's er staan.

Hoe u zich verdedigt

De verdediging tegen social engineering is nooit puur technisch. Het gaat om mensen leren denken voordat ze handelen:

  • Train medewerkers regelmatig — niet één keer per jaar, maar kwartaalgewijs met actuele scenario's
  • Simuleer aanvallen: stuur test-phishing mails en maak bellers die zich voordoen als IT-support
  • Maak een duidelijke procedure: bij twijfel altijd verifiëren via een apart kanaal
  • Bouw een veiligheidscultuur: medewerkers mogen vragen stellen en twijfelen zonder zich te schamen
  • Beperk de informatie die publiek beschikbaar is via LinkedIn en uw website
  • Stel duidelijke protocollen voor betalingen en wachtwoordwijzigingen op (vier-ogen-principe)

Technologie kan veel, maar geen enkel systeem beschermt tegen een medewerker die door slimme manipulatie handelt. Investeren in bewustzijn en cultuur is minstens zo belangrijk als investeren in software. Van Rosmalen Automatisering biedt bewustwordingstrainingen die uw team klaarstomen voor de social engineering-aanvallen van nu. Meer op vanrosmalenautomatisering.nl.

Complete IT-beveiliging voor uw bedrijf

Van Rosmalen Automatisering helpt Nederlandse MKB-bedrijven met beheerde cybersecurity: MFA, EDR, backups, monitoring en 24/7 support. Bekijk onze complete dienstenportfolio.

Bezoek vanrosmalenautomatisering.nl Bekijk volledig stappenplan

Hulp nodig bij een ransomware aanval?

Wij zijn 24/7 bereikbaar voor noodgevallen.

+31 6 11 37 10 19

Lees ook

Herkenning

Hoe ransomware binnenkomt via phishing-mails — en hoe u het herkent

Meer dan 90% van alle ransomware-aanvallen begint met een phishing-mail. We leggen uit hoe deze mails er tegenwoordig uitzien, waarom ze zo overtuigend zijn en wat u kunt doen.

Lees meer
Herkenning

Vishing: oplichting via de telefoon bij bedrijven

Criminelen bellen uw medewerkers op, doen zich voor als de IT-helpdesk of bank en vragen om toegang of wachtwoorden. Hoe herkent u vishing en hoe voorkomt u dat het raak is?

Lees meer
Dreigingen

CEO-fraude: de duurste cybercriminaliteit van 2026

Een mail van de CEO met een spoedopdracht — uw boekhouder maakt €80.000 over en het geld is weg. CEO-fraude kost het Nederlandse MKB jaarlijks miljoenen.

Lees meer