In aanloop naar de NAVO-top in Den Haag neemt het aantal phishingaanvallen merkbaar toe, met een opvallende verschuiving richting mobiele kanalen. Phishing via sms, WhatsApp en telefoongesprekken met computerstemmen blijkt een populair middel.

De afgelopen weken zijn er meldingen van geautomatiseerde oproepen waarin een stem vraagt: “Kan ik met je praten?”, gevolgd door het verzoek om contact toe te voegen via WhatsApp. Deze aanpak lijkt gericht op het opbouwen van vertrouwen en het omzeilen van klassieke detectie.

Bij cybersecurity denken we al snel aan firewalls, encryptie en patchmanagement. Maar de zwakste schakel blijft vaak… de mens. Social engineering speelt hierop in. Het is geen hack op techniek, maar op vertrouwen. 

De Coinbase-hack: toegang via omwegen

De recente aanval op Coinbase laat zien hoe geavanceerd en overtuigend deze aanvallen kunnen zijn — en hoe kwetsbaar zelfs goed beveiligde organisaties zijn.

In mei 2024 werd duidelijk dat Coinbase opnieuw het doelwit was van een geraffineerde aanval. De aanvallers maakten gebruik van een externe klantensupportpartner. Door gerichte social engineering – mogelijk zelfs omkoping – verkregen ze toegang tot interne tools en klantgegevens. Vervolgens gebruikten ze deze data om overtuigende phishingaanvallen op gebruikers uit te voeren. Het doel: toegang krijgen tot wallets en crypto stelen.

Wat deze aanval effectief maakte, was niet alleen de technische kant, maar de sociale tactiek: vertrouwen wekken, druk uitoefenen (“je account wordt bevroren”), en snel handelen uitlokken. Klassieke social engineering.

Caller ID spoofing: aanvallen via legitieme nummers

Een techniek die steeds vaker wordt gebruikt in dit soort aanvallen is caller ID spoofing: het vervalsen van een telefoonnummer. De aanvaller belt je op, en op je scherm verschijnt bijvoorbeeld het legitieme nummer van je bank, je werkgever of zelfs je eigen telefoonnummer.

Een veelvoorkomend voorbeeld: je neemt op en hoort eerst een automatisch bandje — “We moeten met u spreken over een beveiligingsprobleem met uw account”. Daarna krijg je een zogenaamd “supportmedewerker” aan de lijn die professioneel, overtuigend en rustig blijft, zelfs als je vragen stelt. Deze persoon is getraind in misleiding en weet precies hoe hij vertrouwen moet wekken. Vaak gebruikt hij persoonlijke informatie (eerder gelekt of verzameld) om je gerust te stellen.

Bij Coinbase-imitaties deden criminelen zich op deze manier telefonisch voor als supportmedewerkers. Ze wisten genoeg over het slachtoffer om geloofwaardig over te komen en vroegen om ‘verificatie’ via 2FA-codes of zelfs remote toegang. Een verkeerde klik en het kwaad was geschied.

Leveranciers blijven jouw verantwoordelijkheid

De Coinbase-hack toont ook aan hoe belangrijk het is om grip te hebben op je leveranciersketen. Onder zowel NIS2 als ISO 27001 ben je als organisatie verplicht om risico’s in je supply chain te beheersen. Dat betekent:

• Inzicht hebben in wie toegang heeft tot je systemen en data;
• Beoordelen of leveranciers passende beveiligingsmaatregelen nemen;
• Vastleggen welke afspraken je maakt over vertrouwelijkheid, incidentrespons en toegang.

Wat veel organisaties vergeten: je blijft zélf verantwoordelijk, ook als een derde partij fouten maakt. Het uitbesteden van processen betekent niet dat je het risico mag negeren. Zonder regie op je leveranciers maak je jezelf kwetsbaar – zowel juridisch als operationeel.

Social engineering voorkomen: wat werkt wél?

1. Vertrouwen is geen validatie – Laat medewerkers én klanten weten: betrouwbare organisaties vragen nooit via telefoon of e-mail om wachtwoorden, 2FA-codes of remote toegang.
2. Beperk toegang, ook bij derde partijen – Pas het least privilege-principe toe en monitort vendor-access. Koppel toegang tot contractuele afspraken en audits.
3. Gebruik betere MFA-methodes – Sms- en telefoongebaseerde 2FA zijn kwetsbaar. Hardware tokens of app-gebaseerde authenticatie bieden meer bescherming.
4. Train en test herhaaldelijk – Gebruik simulaties van phishing en vishing-aanvallen. Koppel awareness aan actuele voorbeelden zoals Coinbase.
5. Technische detectie en segmentatie – Gebruik spoof-detectie, segmentatie van toegang, logging en alerts bij afwijkend gedrag. Combineer mens en techniek.

Tot slot

Social engineering-aanvallen worden steeds geraffineerder, persoonlijker en overtuigender. De aanvaller heeft geen kwetsbaarheid in je firewall nodig als hij een medewerker of leverancier aan de lijn krijgt die denkt “even snel” te moeten helpen. Bescherming begint bij bewustzijn, strakke afspraken en technische controle.

Wil je voldoen aan NIS2 of ISO 27001, dan begint dat ook bij de mensen aan de rand van je netwerk – niet alleen de techniek in het midden.