computable

Social engineering is een succesvolle aanvalsmethode in het Nederlandse bedrijfsleven en bij overheden. Aanvallers gaan steeds geraffineerder te werk in het misbruiken van menselijk gedrag. Ze spelen in op reflexen als urgentie, vertrouwen en autoriteit. En dat zijn precies de factoren die medewerkers ertoe brengen om zélf de digitale deur open te zetten.De recente onthulling dat Russische staatshackers Signal‑ en WhatsApp‑accounts van Nederlandse ambtenaren hebben overgenomen, laat zien hoe geraffineerd social engineering inmiddels is geworden. Aanvallers spelen in op urgentie, vertrouwen en autoriteit. Ze creëren een geloofwaardig verhaal, doen zich voor als collega, leverancier of leidinggevende, of zetten slachtoffers onder druk. Zo kunnen organisaties die de beveiliging technisch op orde hebben toch in de problemen komen.De Fraudehelpdesk, een landelijk meldpunt waar particulieren en ondernemers terecht kunnen voor vragen, advies en het melden van online fraude en oplichting, ziet dagelijks nieuwe varianten opduiken. Criminelen ontwikkelen voortdurend nieuwe methoden om slachtoffers te misleiden. Daarmee verschuift de dreiging steeds verder van techniek naar menselijk gedrag, ziet het door het Ministerie van Justitie en Veiligheid opgezette meldpunt. In dit artikel zetten we de bekendste vormen van social engineering op een rij:1. Phishing bestaat uit e‑mails die lijken te komen van banken, cloudproviders of interne afdelingen. Een voorbeeld uit de Nederlandse praktijk is de fraude bij bioscoopketen Pathé (2018), waarbij criminelen zich via e‑mail voordeden als de ceo en 19 miljoen euro  lieten overmaken.2. Spearphishing is een gerichte phishing met kennis van de organisatie of persoon. Zo werd de Universiteit Maastricht in 2019 getroffen door een gerichte spearphishingcampagne die leidde tot een grote ransomware-uitbraak. De aanval begon met een zeer geloofwaardige phishingmail gericht op specifieke medewerkers.3. Vishing is telefonische oplichting waarbij aanvallers zich voordoen als it‑support of bank. Volgens de Fraudehelpdesk is de situatie waarbij criminelen zich telefonisch voordoen als bankmedewerkers en slachtoffers overtuigen om geld ‘veilig te stellen’ een groeiend probleem.4. Smishing is phishing via sms of WhatsApp. De Rijksoverheid waarschuwt dat twee op de drie Nederlanders jaarlijks nep‑sms’jes of misleidende WhatsApp‑berichten ontvangt, vaak uit naam van banken, pakketdiensten of MijnOverheid.5. Pretexting is een verzonnen scenario dat vertrouwen wekt. Zoals de Ubiquiti‑fraude (hoewel internationaal) is qua methode identiek aan Nederlandse ceo‑fraudezaken. In Nederland waarschuwt de politie expliciet voor pretexting waarbij criminelen zich voordoen als accountant, auditor of leverancier om betalingen af te dwingen.6. Tailgating staat voor meelopen met medewerkers om fysieke toegang te krijgen. De Nederlandse beveiligingsbranche rapporteert regelmatig tailgating‑incidenten. Een bekend voorbeeld is een test van beveiligingsbedrijf Northwave, waarbij een ‘mystery guest’ zonder pasje meerdere kantoorpanden in Nederland binnenkwam door simpelweg mee te lopen met medewerkers.Nog complexere social engineeringDe genoemde zes methoden vormen de basis, maar de afgelopen jaren is er een duidelijke verschuiving zichtbaar naar complexere, psychologisch verfijnde varianten. De nieuwe generatie social engineering die in ons land de kop opsteekt, combineert psychologische druk met nieuwe technologieën zoals ai en deepfakes. Het gaat bijvoorbeeld om:7. Deepfake‑stemfraude. PwC Nederland waarschuwt dat deepfake‑technologie wordt gebruikt om stemmen van leidinggevenden na te bootsen en zo betalingen af te dwingen. PwC noemt dit expliciet een groeiende vorm van imitatiefraude.8. Quishing (QR‑phishing). De Rijksoverheid meldt dat twee op de drie Nederlanders jaarlijks nep‑sms’jes, misleidende appjes of valse e‑mails ontvangen, waaronder qr‑links die naar nep‑inlogpagina’s leiden.9. Business Email Compromise, ofwel BEC‑fraude, wordt door Nederlandse instanties genoemd als groeiende vorm van imitatiefraude. De politie koppelt BEC expliciet aan moderne identiteitsfraude en deepfake‑technieken. Het is een vorm van cyberfraude waarbij criminelen e-mails vervalsen om geld of gevoelige informatie te ontfutselen. Oplichters doen zich vaak voor als directieleden (ceo-fraude) of vertrouwde leveranciers om medewerkers te misleiden en betalingen te laten doen. 10. Helpdesk‑spoofing. Ook nep‑helpdesks die bellen vanaf gespoofde nummers vormen een groeiend probleem. Criminelen doen zich voor als bank‑ of it‑medewerkers en nemen op afstand de systemen over van slachtoffers.11. Social‑media‑impersonatie is de term die gebruikt wordt voor criminelen die zich steeds vaker voordoen als overheidsinstanties of bedrijven via gespoofde nummers en nep‑profielen.12. Usb‑lokacties zijn campagnes waarbij een usb-stick met schadelijke software wordt achtergelaten. Als een medewerker de usb-stick in een apparaat plaatst dat aan het netwerk gekoppeld is dan starten in de systemen vaak allerlei processen waarmee criminelen netwerken binnendringen, data stelen of gijzelen en systemen platgooien.De gevolgen van social engineering zijn vaak groter dan de initiële schade. Denk aan: financiële verliezen door frauduleuze betalingen, verstoring van bedrijfsprocessen, reputatieschade, verlies van klantvertrouwen, juridische gevolgen bij datalekken. De Fraudehelpdesk benadrukt dat meldingen cruciaal zijn om nieuwe trends te herkennen en organisaties tijdig te waarschuwen.Hoe kunnen bedrijven en organisaties zich wapenen tegen social engineering? Effectieve verdediging vraagt om een combinatie van techniek, proces en mens veelgenoemde manieren om weerbaarder te zijn tegen social engineering:Doorlopende bewustwordingstraining met realistische scenario’s.Zero‑trust‑principes waarbij geen enkele aanvraag blind wordt vertrouwd.Strakke financiële processen zoals het vier-ogenprincipe.Technische maatregelen zoals multifactor-authenticatie (mfa), phishingfilters en regels rondom identiteitsgebruik (identity governance).Incidentmeldingen bij de Fraudehelpdesk om trends vroeg te signaleren.

Het opzeggen of niet nakomen van het contract met het Amerikaanse Fast Enterprises voor de bouw van een nieuw omzetbelasting-systeem gaat zo’n 200 miljoen euro kosten.  Staatssecretaris Eelco Eerenberg (Financiën) zei dit donderdagmiddag tijdens een debat in de Tweede Kamer over de Belastingdienst. Hij noemde dit bedrag op vragen van kamerleden die er veel moeite mee hebben dat Nederland met deze aanbesteding opnieuw een stukje digitale soevereiniteit opgeeft. Het bedrag lijkt te zijn afgeleid uit de contractwaarde van negentien miljoen euro per jaar gedurende een periode van tien jaar.  Zelfbouw Stoppen met Fast en opnieuw beginnen met vervanging van het huidige systeem gaat flink in de papieren lopen. Nog even doorgaan met het huidige, veertig jaar oude btw-systeem kost ook veel. Want dat systeem kan niet communiceren met andere belangrijke systemen. Gegevens moeten nu met de hand worden overgetypt, vertelde Eerenberg, wat de kans op fouten vergroot. Zelfbouw, een optie die de eigen it-afdeling van de Belastingdienst zeker mogelijk acht, kost volgens Eerenberg veel tijd. De ambtelijke top van zijn ministerie meent dat dit drie tot zes jaar moet kosten.  Luc Stultiens, kamerlid voor GroenLinks-PvdA, vroeg Eerenberg om een toezegging dat geen onomkeerbare stappen worden genomen voordat alternatieven zijn gewogen. Hij wil kunnen wegen of uitbesteding aan Fast veilig genoeg is. Henk-Jan Oosterhuis (D66) vindt de risico’s ondanks de mitigerende maatregelen die Eerenberg heeft aangekondigd, toch nog onaanvaardbaar hoog. Met name GroenLinks-PvdA en D66 twijfelen of het Amerikaanse Fast het aangewezen bedrijf is dat het btw-systeem moet moderniseren.  Onafhankelijk oordeel Om die twijfels weg te nemen laat de staatssecretaris een onafhankelijke derde partij een oordeel vellen of de risico’s van uitbesteding aan een Amerikaanse partij aanvaardbaar zijn en de verzachtende maatregelen voldoende zijn. Uiterlijk in juni moet dit onafhankelijke oordeel op tafel liggen. Hoewel de deal met Fast voorlopig niet in het geding is, is het dus nog geen gelopen race.  It-expert Marcel van Kooten, gespecialiseerd in advies over sourcing en strategie, zegt: ‘Het is goed dat er een onafhankelijk onderzoek komt. Dat zou dan niet moeten plaatsvinden door een marktpartij die nu al tot de hofhouding van de Belastingdienst behoort, maar bijvoorbeeld door de Auditdienst Rijk.’ Verder wil Eerenberg bekijken of medewerkers van de Belastingdienst zelf ook de systemen van de omzetbelasting kunnen beheren. Overigens doet de Belastingdienst al het beheer en onderhoud van de infrastructuur, zegt Van Kooten, die zeer kritisch staat tegenover de deal met de Amerikanen. Fast doet het technisch applicatiebeheer en voert wijzigingen in de software door.  Eerenberg staat een verschuiving van housing naar hosting voor. Daarbij wil hij de grens opzoeken van wat kan en mag gelet op de bestaande contracten.  De staatssecretaris zei volledig de ambitie van het kabinet te onderschrijven om Nederland digitaal onafhankelijker te maken. De Belastingdienst moet zelfs koploper worden, zei hij. Maar zo gemakkelijk gaat dit niet. Op de plank ligt een groot aantal projecten die wachten op verdere ontwikkeling. Zelf doen betekent dat prioriteiten worden bijgesteld. Bovendien wordt de autonomie beperkt door de netcongestie. Schaarste aan stroom staat uitbreiding van datacenters in de weg.