CyberVergelijker

privacy-accessoire

Wat is social engineering? Tactieken en hoe je ze herkent

Social engineering hackt mensen, niet computers. Lees welke trucs criminelen gebruiken en hoe je ze in een paar seconden ontmaskert.

Een hacker hoeft jouw wachtwoord niet te kraken als hij je gewoon kan vragen het op te geven. Dat is social engineering in een zin: de mens als zwakste schakel uitbuiten in plaats van software. Geen exploits, geen brute-force, gewoon een geloofwaardig verhaal.

Het werkt al decennia en het werkt nog steeds. Niet omdat mensen dom zijn, maar omdat de aanvallers steeds beter worden in geloofwaardige scenario’s. In dit artikel lees je welke vormen je tegenkomt en welke vragen je jezelf moet stellen voor je iets klikt of bevestigt.

De aanval is een verhaal, geen code

Bij klassieke malware kraakt iemand een poort open en installeert iets. Bij social engineering vertelt iemand een verhaal waarin jij vrijwillig de deur opent. “Ik ben van de bank en ik zie verdachte transacties.” “Ik ben je nieuwe collega van IT en ik moet je inlog resetten.” “Ik ben de baas, ik zit in een meeting, kun jij snel deze factuur betalen?”

De truc zit in geloofwaardigheid plus tijdsdruk. Beide zijn nodig. Een mail die geloofwaardig is maar geen tijdsdruk heeft, krijgt nadenkpauze. Een mail met tijdsdruk maar zonder geloofwaardigheid wordt weggeklikt. Combineer beide en de slagingskans schiet omhoog.

Phishing: de meest bekende variant

Phishing is social engineering via e-mail of SMS. Een mail die lijkt te komen van je bank, je werkgever of een dienst die je gebruikt, met een link naar een vervalste loginpagina.

De relevante les hier: phishing is bijna altijd een onderdeel van een grotere social-engineering-campagne, niet een losstaande aanval. De ene mail leidt naar een telefoontje, het telefoontje vraagt om een 2FA-code, en de cirkel is rond.

Foto: cottonbro studio · Pexels

Vishing en smishing: telefoon en SMS

Vishing is “voice phishing”: iemand belt je op en doet zich voor als bank, politie of helpdesk. Steeds vaker met deepfake-stemmen die overtuigend kunnen klinken. Smishing is dezelfde aanval via SMS, vaak met een link naar een neppe site.

Vuistregel: een bank, politie of belastingdienst vraagt nooit om je wachtwoord, pincode of een 2FA-code via telefoon of SMS. Wie dat wel doet, is een oplichter. Punt.

Pretexting: een geloofwaardig kostuum

Pretexting is social engineering in zijn meest klassieke vorm. Iemand neemt een rol aan: een audit-medewerker, een nieuwe leverancier, een schoonmaker met een “vergeten” pasje, en haalt op die manier informatie of toegang binnen. Werkt vooral op kantoor, maar ook telefonisch tegen helpdesks.

Wat het herkenbaar maakt: kleine inconsistenties. Een audit-medewerker die niet kan vertellen wie zijn manager is. Een leverancier die geen factuurnummer paraat heeft. Vraag door en het verhaal valt om.

Baiting: de gratis lokker

Een usb-stick op een parkeerplaats. Een gratis filmtitel via Telegram. Een “vergeten” pakketje voor je voordeur met een QR-code erin. Baiting speelt in op nieuwsgierigheid: gratis is verleidelijk, en daar zit precies de fuik. De stick bevat malware, de filmtitel een keylogger, de QR-code een phishing-link.

Vuistregel: gratis hardware accepteer je niet van een onbekende. Gratis content download je alleen via diensten die je vertrouwt.

Quid pro quo: wederdienst-fraude

Iemand belt of mailt met een aanbod: “Ik help je gratis een Microsoft-licentie activeren” of “Ik regel een belastingteruggave voor je, ik heb alleen je gegevens nodig”. Klein voordeel voor jou, in ruil voor toegang of data. Zelden iets dat je daadwerkelijk nodig hebt.

De “wederdienst” is altijd het lokaas. Een echte hulpdienst hoef je niet te overtuigen om gegevens te delen, die werkt via officiele kanalen.

Tailgating: meelopen door de beveiligde deur

Op kantoor: iemand met handen vol koffiebekers vraagt of je even de deur openhoudt. Beleefd helpen lijkt vanzelfsprekend, maar als die persoon geen pasje heeft, ben jij net de toegang tot het beveiligde gebouw geworden.

Lastig om altijd alert op te zijn. Een veelgebruikte regel op werkvloeren: een persoon, een pasje, geen uitzonderingen. Ook niet voor “de baas die zijn pasje vergat”.

Hoe verdedig je je?

Drie vragen werken in 90 procent van de gevallen.

  1. Verifieer via een ander kanaal. Krijg je een vreemde mail van je bank? Bel het officiele nummer (van de website, niet uit de mail).
  2. Voelt het urgent? Pauzeer. Tijdsdruk is een teken, niet een opdracht. Echte instanties geven je tijd om na te denken.
  3. Vraag om bewijs dat de andere kant heeft. Een bank weet je accountnummer. Een collega weet je intern toestelnummer. Wie het verhaal niet kan onderbouwen, heeft het niet.

Technisch helpt 2FA enorm: betekent dat een wachtwoord alleen niet genoeg is. En een wachtwoordmanager voorkomt dat je een wachtwoord op een phishing-site invult, omdat hij autofill alleen activeert op het echte domein.

Versterk je verdediging

Vergelijk de beste wachtwoordmanagers van 2026

Beste gratis wachtwoordmanager 2026

Lees ook