Steeds meer vishing, een oude techniek met nieuwe tools: toch blijft de mens de sterkste schakel

In dit artikel:

Vishing (voice phishing) groeit snel als favoriete social-engineeringtechniek: onderzoek toont een stijging van 442% in 2024. In plaats van e-mail gebruiken aanvallers de telefoon om zich voor te doen als vertrouwde personen of organisaties en zo mensen te verleiden gevoelige gegevens of toegangsgegevens af te geven. Het artikel, een ingezonden bijdrage van Fox-IT, waarschuwt dat vishing persoonlijker en in veel gevallen moeilijker te detecteren is dan klassieke phishing.

Een concreet voorbeeld is de gerichte aanval op Cisco in juli 2025: via één telefoongesprek wist een aanvaller een medewerker te overtuigen inloggegevens te delen, waarna persoonsgegevens van gebruikers werden buitgemaakt. Dit illustreert hoe één succesvol gesprek kan uitmonden in een groot datalek.

Technisch gezien is vishing lastig tegen te houden. Waar e-mailfilters en anomaliedetectie e‑mails steeds beter blokkeren, blijven telefoonnummers eenvoudig te spoofen met VoIP en caller-ID-manipulatie. Openbare informatie over doelwitten maakt sociale engineering nog geloofwaardiger; AI en deepfake-audio verergeren dat probleem. Hoewel detectie mogelijk lijkt door spraakpatronen, netwerkverkeer of afwijkende oproepbronnen te analyseren, vereist dat grootschalige opname en monitoring van gesprekken — wat ethische en privacyvragen oproept. De auteur pleit er dan ook tegen om massale afluisterpraktijken als oplossing te kiezen; training van mensen is volgens hem de juiste weg.

Waarom vishing werkt: aanvallers spelen in op emotie en urgentie — angst, stress of juist opwinding — waardoor slachtoffers minder kritisch handelen. Fox‑IT ervaart bij interventies dat realistische, actuele scenariotests en het gebruik van threat intelligence de effectiviteit van vishing benadrukken: aanvallers proberen vaak meerdere invalshoeken totdat iemand bezwijkt.

De aanbevolen voorbereiding bestaat uit een gestructureerd bewustzijnsprogramma met vier stappen:
- Ontwikkel en formaliseer specifiek vishingbeleid: vastleggen hoe bellers geverifieerd worden, welke stappen gelden voor gevoelige handelingen (zoals wachtwoordresets of MFA) en hoe escalatie moet lopen, met aandacht voor zwakke plekken die aanvallers kunnen misbruiken.
- Communiceer en veranker dat beleid: zorg dat medewerkers, vooral degenen die veel bellen, weten waarom procedures bestaan en dat naleving verplicht is, ook onder tijdsdruk.
- Voer realistische vishing‑simulaties uit: test regelmatig met actuele aanvalstechnieken om gedrag en procedures te toetsen, en houd interventies klein en frequent om overbelasting te voorkomen.
- Deel resultaten en versterk bewustzijn: analyseer tests, bespreek verbeterpunten en maak beveiliging een gezamenlijke verantwoordelijkheid binnen de organisatie.

De kernboodschap is dat technologie zoals MFA, antivirus en firewalls onvoldoende bescherming biedt tegen aanvallen die zich op mensen richten. Volgens Fox‑IT zijn goed getrainde, alerte medewerkers de meest effectieve verdedigingslinie — degene die durft te zeggen: "Ik geloof je niet, ik ga dit melden bij security."

Aanvullende praktische tips (algemene best practices): verifieer bellers via bekende, onafhankelijke kanalen; geef geen inloggegevens of verificatiecodes telefonisch; leg heldere escalatiepaden vast en maak callback-procedures verplicht via interne nummers. Deze menselijke maatregelen, gecombineerd met beleid en oefening, verkleinen het succes van vishing aanzienlijk.