Vraag van de week:
Beste Cybercrimeinfo,
Wij hebben de laatste tijd steeds vaker te maken met phishing aanvallen binnen onze organisatie, ondanks dat we regelmatig trainingen aanbieden aan onze medewerkers. Waarom lijken deze aanvallen steeds succesvoller te worden, en wat kunnen we doen om ons beter te beschermen?
Met vriendelijke groet,
Een bezorgde IT-manager
De traditionele benadering: medewerkers als zwakke schakel
In veel organisaties wordt de medewerker gezien als de 'zwakste schakel' in de beveiligingsketen. Dit idee komt voort uit het feit dat medewerkers vaak het doelwit zijn van phishing aanvallen. Cybercriminelen maken gebruik van e-mails of andere communicatie die lijkt te komen van vertrouwde bronnen, om medewerkers te misleiden tot het verstrekken van gevoelige informatie of het klikken op schadelijke links. Het is dan ook niet verwonderlijk dat veel organisaties hun focus leggen op training en bewustwording als belangrijkste strategieën om phishing tegen te gaan.
Bewustwordingscampagnes zijn bedoeld om medewerkers te leren hoe ze verdachte e-mails kunnen herkennen en hoe ze veilig moeten omgaan met persoonlijke en bedrijfsgevoelige informatie. Deze campagnes bevatten vaak e-mailtrainingen, simulaties en richtlijnen voor het melden van verdachte berichten. Het idee is simpel, door medewerkers bewust te maken van de gevaren van phishing, zouden ze minder snel in de val moeten lopen.
Echter, ondanks de vele trainingsinspanningen blijkt dat de effectiviteit van deze campagnes vaak beperkt is. Medewerkers krijgen weliswaar de tools aangereikt om verdachte berichten te identificeren, maar dit leidt niet altijd tot een blijvende gedragsverandering. In de praktijk worden medewerkers blootgesteld aan duizenden e-mails en berichten per dag, waarvan een aanzienlijk aantal legitiem is. Het wordt daardoor steeds moeilijker om te onderscheiden welke berichten wel en niet te vertrouwen zijn. Hoewel bewustwording een belangrijke eerste stap is, blijkt dat phishing aanvallen vaak verder gaan dan de capaciteit van medewerkers om ze effectief te herkennen.
Een bredere kijk op phishing, volgens Cybercrimeinfo
Cybercrimeinfo biedt een andere kijk op de kwestie van phishing. De traditionele benadering van de ‘zwakste schakel’ richt zich voornamelijk op de medewerker, maar volgens Cybercrimeinfo is phishing een veel complexer probleem dat een bredere, holistische benadering vereist. De verantwoordelijkheid ligt niet alleen bij de medewerkers; er spelen verschillende factoren een rol die de effectiviteit van phishing aanvallen vergroten. De menselijke factor is slechts één onderdeel van het grotere geheel.
Phishing aanvallen maken vaak gebruik van geavanceerde sociale engineering technieken, waarbij aanvallers inspelen op menselijke emoties zoals nieuwsgierigheid, angst, of hebzucht. Deze psychologische manipulatie maakt het voor medewerkers veel moeilijker om verdachte berichten te herkennen, zelfs wanneer ze daarvoor zijn getraind. Phishing is dus niet alleen een kwestie van medewerkers die ‘fouten’ maken, maar ook van de technieken die cybercriminelen gebruiken om medewerkers te misleiden. Het is dan ook van cruciaal belang om de bredere context van de organisatie te begrijpen, waarbij zowel de technologische als psychologische factoren een rol spelen in de kwetsbaarheid van een bedrijf.
De complexiteit van phishing, factoren die bijdragen aan kwetsbaarheid
Phishing is niet alleen een kwestie van een menselijke fout, er spelen meerdere factoren mee die de kwetsbaarheid van een organisatie vergroten. Een van de belangrijkste factoren is de technologie die binnen de organisatie wordt gebruikt. Veel bedrijven werken met verouderde software en systemen die onvoldoende beveiligd zijn tegen moderne cyberdreigingen. Wanneer deze systemen niet goed worden onderhouden, bieden ze aanvallers een makkelijke toegangspoort om hun aanvallen te lanceren.
Daarnaast wordt phishing vaak ondersteund door geavanceerde technieken die gericht zijn op het omzeilen van traditionele beveiligingssystemen. Cybercriminelen maken gebruik van valse domeinen of ‘spoofing’ om hun e-mails te laten lijken alsof ze afkomstig zijn van een vertrouwde bron, zoals een collega of een leidinggevende. Deze techniek maakt het voor medewerkers nog moeilijker om te bepalen of een e-mail legitiem is. Het wordt voor de gemiddelde medewerker bijna onmogelijk om dit soort aanvallen met zekerheid te herkennen.
Psychologische factoren spelen eveneens een grote rol. Sociale engineering is een techniek waarbij aanvallers inspelen op cognitieve biases en emoties van medewerkers. Phishing-aanvallen maken vaak gebruik van urgentie of autoriteit om medewerkers over te halen snel te handelen, bijvoorbeeld door op links te klikken of vertrouwelijke informatie te verstrekken. Dit maakt het gemakkelijker voor aanvallers om in de val te trappen, zelfs als medewerkers gewend zijn om verdachte e-mails te melden.
Ten slotte draagt de organisatorische cultuur bij aan de kwetsbaarheid van een organisatie voor phishing aanvallen. In veel gevallen ontbreken er duidelijke protocollen voor het melden van verdachte e-mails, of voelen medewerkers zich niet ondersteund in hun acties. Als er geen cultuur van veiligheid en transparantie is, zullen medewerkers minder snel verdachte e-mails melden, waardoor het risico op een succesvolle aanval groter wordt.
Effectieve strategieën tegen phishing, meer dan alleen training
Om phishing effectief te bestrijden, moeten organisaties verder gaan dan alleen het trainen van hun medewerkers. Het is belangrijk om een bredere benadering te hanteren die zowel technische als organisatorische maatregelen omvat. Een van de eerste stappen is het implementeren van robuuste technische maatregelen, zoals MindYourPass en multifactor authenticatie (MFA). Deze extra laag beveiliging helpt te voorkomen dat aanvallers toegang krijgen tot systemen, zelfs als ze erin slagen om inloggegevens te verkrijgen via phishing.
Daarnaast kunnen e-mailbeveiligingssystemen zoals DMARC (Domain-based Message Authentication, Reporting & Conformance) helpen om de betrouwbaarheid van e-mails te verifiëren en voorkomen dat aanvallers valse e-mails versturen. Het instellen van goede spamfilters en het regelmatig updaten van systemen kan ook bijdragen aan het verminderen van de kans op een succesvolle phishing-aanval.
Naast technische maatregelen is het essentieel om een cultuur van veiligheid binnen de organisatie te bevorderen. Medewerkers moeten niet alleen leren hoe ze verdachte e-mails kunnen herkennen, maar ook aangemoedigd worden om altijd voorzichtig te zijn met het delen van vertrouwelijke informatie, zelfs wanneer deze afkomstig lijkt te zijn van een vertrouwde bron. Het melden van verdachte e-mails moet eenvoudig zijn en zonder angst voor negatieve gevolgen plaatsvinden.
Tot slot moeten organisaties regelmatig hun beveiligingsmaatregelen evalueren en bijwerken. Phishing aanvallen evolueren voortdurend, en het is belangrijk dat bedrijven zich blijven aanpassen aan nieuwe dreigingen. Dit betekent dat het cybersecuritybeleid van een organisatie voortdurend moet worden vernieuwd om effectief te blijven tegen de steeds veranderende technieken van cybercriminelen.
Holistische benadering is noodzakelijk
Phishing is een veel complexer probleem dan de traditionele visie van de ‘zwakste schakel’ doet vermoeden. Het gaat niet alleen om de menselijke factor, maar ook om de technologische en organisatorische kwetsbaarheden die het mogelijk maken dat phishing-aanvallen succesvol zijn. Bewustwordingscampagnes zijn belangrijk, maar ze moeten gepaard gaan met robuuste technische maatregelen, een cultuur van veiligheid en duidelijke protocollen voor het melden van verdachte activiteiten. Alleen door deze holistische benadering kunnen organisaties hun verdediging tegen phishing versterken en de risico’s van cybercriminaliteit minimaliseren.
Wat is?
- Phishing
Phishing is een vorm van cybercriminaliteit waarbij criminelen proberen persoonlijke informatie, zoals wachtwoorden of bankgegevens, te verkrijgen door zich voor te doen als vertrouwde entiteiten, zoals een bank of een bedrijf. - Sociale engineering
Sociale engineering is een techniek waarbij cybercriminelen proberen in te spelen op de psychologie van mensen om ze te misleiden of te manipuleren. Dit kan bijvoorbeeld via e-mails die lijken te komen van vertrouwde bronnen, om zo gevoelige informatie te verkrijgen. - DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC is een technologie die helpt te verifiëren of een e-mail echt afkomstig is van de verwachte afzender, zodat je kunt voorkomen dat cybercriminelen valse e-mails sturen die lijken te komen van bijvoorbeeld een bank of collega. - Spoofing
Spoofing is het vervalsen van afzenderinformatie van een e-mail of bericht, zodat het lijkt alsof het afkomstig is van een betrouwbare bron, zoals een leidinggevende, terwijl het eigenlijk van een cybercrimineel komt. - Malware
Malware is schadelijke software die op een computer of netwerk wordt geïnstalleerd met het doel schade aan te richten, zoals het stelen van gegevens, het beschadigen van systemen of het verkrijgen van ongeautoriseerde toegang. - MindYourPass
MindYourPass is een Nederlandse, kluisloze wachtwoordmanager die gebruikers helpt bij het genereren en beheren van sterke en unieke wachtwoorden, zonder deze op te slaan. Hierdoor kunnen gebruikers veilig inloggen op al hun accounts, zonder dat hun wachtwoorden op een centrale server worden opgeslagen, wat extra bescherming biedt tegen datalekken. Het biedt een veilige manier om wachtwoorden te beheren zonder risico op verlies of diefstal.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer recente artikelen van Cybercrimeinfo
Dataverrijking: waarom het Odido lek gevaarlijker is dan je denkt
Op 1 maart publiceerde de hackersgroep ShinyHunters de volledige dataset van Odido op het darkweb. Gegevens van 6,5 miljoen personen en 600.000 bedrijven liggen nu open en bloot op internet. Namen, adressen, IBAN nummers, geboortedatums, paspoortnummers en zelfs BSN nummers van zzp'ers. Maar het echte gevaar van dit datalek zit niet in wat er gestolen is. Het zit in wat criminelen er straks mee gaan doen.
Odido finale: 6,1 miljoen op straat, overheid kwetsbaar
Het datalek bij Odido heeft zijn definitieve omvang bereikt. Beveiligingsonderzoeker Troy Hunt bevestigt dat de gegevens van 6,1 miljoen klanten inmiddels op het darkweb staan, inclusief burgerservicenummers van zelfstandigen. In Den Haag stapelen de zorgen zich op, de Dienst Justitiële Inrichtingen werd vijf maanden lang bespioneerd via een kwetsbaarheid in Ivanti, de Belastingdienst vertrouwt het systeem voor de omzetbelasting toe aan een Amerikaans bedrijf en duizenden applicaties op het Mendix platform lekken wereldwijd gevoelige data. Het IBM X-Force rapport onthult dat een kwart van alle cyberaanvallen op Europa is gericht, terwijl het Nederlandse Jaarbeeld Ransomware laat zien dat gehackte accounts de belangrijkste aanvalsmethode zijn geworden. Dit journaal bestrijkt het nieuws van 28 februari tot en met 2 maart 2026.
NB407: Jouw Odido data staat nu op het darkweb
Deze week werd het ergste scenario werkelijkheid: ShinyHunters publiceerde de gestolen gegevens van honderdduizenden klanten van Odido op het darkweb, inclusief IBAN nummers en paspoortnummers. We leggen uit wat criminelen nu over jou weten en welke stappen je moet nemen. Daarnaast gebruikte een Russische hacker AI om meer dan 600 FortiGate firewalls te kraken, misbruikte een hacker Claude AI voor een overheidshack en onthulde Google een Chinese spionagecampagne die bijna tien jaar lang 53 organisaties bespioneerde. CrowdStrike meldde dat AI aanvallers in recordtijd van 27 seconden door netwerken bewegen. Tot slot zoekt de politie een verdachte van bankhelpdeskfraude bij een goudsmid in Naarden. Lees alle details in de zes artikelen van deze week.
Odido data op straat, AI hackt overheden en Chinese spionage
Het ultimatum van hackersgroep ShinyHunters is verlopen en de gestolen gegevens van honderdduizenden Odido klanten staan op het darkweb. In de eerste publicatie verscheen data van 430.000 particulieren en 290.000 zakelijke klanten, waarna een dag later opnieuw klantgegevens werden vrijgegeven. De politie adviseert bedrijven expliciet niet te betalen. Tegelijkertijd misbruikte een hacker het AI model Claude om 150 gigabyte aan gegevens van de Mexicaanse overheid te stelen, en integreert Kali Linux nu AI voor penetratietesten. Google onthulde een Chinese spionagecampagne die bijna tien jaar lang 53 organisaties in 42 landen bespioneerde, terwijl de Tweede Kamer vragen stelt over een killswitch in Chinese bussen. Dit journaal bestrijkt het nieuws van 26 en 27 februari 2026.
Goudsmid in Naarden voor tonnen opgelicht
Een goudsmid uit Naarden is in oktober 2025 slachtoffer geworden van een geraffineerde vorm van bankhelpdeskfraude. De vrouw werd eerst telefonisch benaderd door iemand die zich voordeed als medewerker van haar bank. Vervolgens verscheen een man op de afgesproken locatie die haar tas vol sieraden, goud en contant geld meenam. De geschatte schade loopt op tot enkele honderdduizenden euro's. De politie heeft camerabeelden van een verdachte en doet een dringend beroep op getuigen.
ShinyHunters publiceert gestolen Odido data: "Dit is jullie schuld"
Wat veel Odido klanten vreesden, is vandaag werkelijkheid geworden. De hackersgroep ShinyHunters heeft de eerste lading gestolen klantgegevens gepubliceerd op het darkweb. Op hun eigen website verscheen vandaag een map met de naam "pay_or_leak" waarin een bestand met de titel "Information.txt" en een map "day1" staan. De boodschap van de criminelen is even kort als dreigend: Odido heeft geweigerd te betalen, dus nu betalen de klanten de prijs.
Reactie plaatsen
Reacties