Social engineering is belangrijkste hulpmiddel van hackers

Het gevaarlijkste hulpmiddel van een hacker is misschien niet wat je zou verwachten. In plaats van een kwaadaardige link of geavanceerde malware, is het vermogen om je hersenen te hacken het grootste risico. Dreigingsactoren doen dit met behulp van valse persona’s, schijnbaar onschuldige gesprekken en geloofwaardige verhalen om je tot actie aan te zetten.

Cybercriminelen spelen in op wereldwijde gebeurtenissen om hun lokmiddelen overtuigender te maken. Op Valentijnsdag voelen mensen zich bijvoorbeeld down over hun liefdesleven, wat de kans groter maakt dat dit soort oplichting opduikt. Ook tijdens recente economische uitdagingen, waarbij veel tech-medewerkers op zoek moesten naar een nieuwe baan, grepen oplichters kun kans om hun verhalen geloofwaardiger te maken en mensen te verleiden het gesprek voort te zetten.

Onder de juiste omstandigheden kan slimme social engineering effectiever zijn dan welke technische aanval ook. Dit blijkt uit de belangrijkste bevindingen van Proofpoint’s 2025 Human Factor Report: Social Engineering:

Moeilijk te detecteren dreigingen lopen over naar meerdere kanalen

Proofpoint blokkeert jaarlijks 117 miljoen TOAD-aanvallen (Telephone-Oriented Attack Delivery). Deze dreigingen vertrouwen vaak op pure social engineering en omzeilen traditionele beveiligingsmaatregelen, die gericht zijn op het opsporen van kwaadaardige links of bijlagen. TOAD-aanvallen gebruiken telemarketingtechnieken om mensen te manipuleren, waarbij slachtoffers zelf een telefoonnummer bellen en vervolgens tools voor remote toegang of andere malware installeren. Dit benadrukt dat cyberaanvallen niet meer beperkt zijn tot e-mail en kanalen overstijgen. Soortgelijke trucs, waarbij mensen worden verleid om zelf kwaadaardige software te installeren, breiden zich uit naar samenwerkings- en chatplatforms zoals Microsoft Teams. Vaak volgen daarna zogenaamde ‘ClickFix’ en valse updates/webinjects.

Inkomsten uit pig butchering scams stijgen met 40%

Pig butchers verdienen meer geld door hun activiteiten uit te breiden van romantische fraude naar baanfraude. Verliezen door pig butchering scams (cryptocurrency-gerelateerde fraude) bereikten € 3,4 miljard, met in 2024 alleen al een stijging van 210% in het aantal stortingen. Hoewel het aantal slachtoffers sterk toenam, daalde de gemiddelde storting. Dit wijst erop dat aanvallers hun net uitbreiden om kleinere betalingen van een grotere groep slachtoffers buit te maken.

Generatieve AI voor regionaal gerichte fraude

Proofpoint heeft een nieuwe financieel gemotiveerde BEC-dreigingsactor geïdentificeerd, TA2900, die zich richt op individuen in Frankrijk (en soms Canada) met Franstalige e-mails over huurbetalingen. De dreigingsactor beweert dat huurbetalingen achterstallig zijn en instrueert ontvangers om betalingen naar nieuwe bankrekeningen over te maken, waarbij regelmatig wisselende IBAN-gegevens worden verstrekt. Deze e-mails worden vaak verzonden vanuit gecompromitteerde mailboxen van onderwijsinstellingen. Ook bevatten ze af en toe PDF-bijlagen met logo’s van vastgoedbeheer. Voor vervolgcommunicatie maakt de actor gebruik van gratis mail-accounts en mogelijk van generatieve AI om de berichten op te stellen. Deze vorm van social engineering wekt angst op en stimuleert slachtoffers om direct te handelen, waardoor ze de oplichting over het hoofd zien.

Advanced Persistent Threats (APT) gebruiken vaker goedaardige gesprekken

Ongeveer 25% van alle door de staat gesponsorde phishing-campagnes begint tegenwoordig met “goedaardige” e-mails om vertrouwen op te bouwen. Dit is een opvallende verschuiving naar psychologische manipulatie in plaats van technische exploits. 90% van deze berichten wordt interesse gesimuleerd in samenwerking en betrokkenheid. De Noord-Koreaanse actor TA427 gebruikt bijvoorbeeld journalistieke persona’s om gevoelige geopolitieke kwesties te onderzoeken. De Iraanse TA453 doet hetzelfde met zaken in het Midden-Oosten.

Advanced Fee Fraud (AFF) stijgt met 47%, afpersing daalt met 68%

Er is een opmerkelijke verschuiving van afpersing gebaseerd op angst naar afpersing gebaseerd op verleiding. AFF-oplichting, zoals valse vacatures en weggeefacties, blijkt effectiever te zijn dan bedreigingen. Zo werd zelfs Taylor Swift’s Eras Tour nagebootst voor frauduleuze vacatures.

In plaats van zogenaamde technisch geavanceerde aanvallen maken oplichters de overstap naar social engineering – en data toont aan dat de technische details in de meeste aanvallen veel minder belangrijk zijn dan het inspelen op menselijke factoren.

Hoewel thema’s en doelstellingen van deze dreigingen kunnen variëren, is het uiteindelijke doel om mensen te laten reageren.

Het is daarom belangrijk dat bedrijven een mensgerichte benadering hanteren in hun cybersecuritytraining. Medewerkers moeten leren hoe ze dit soort oplichting kunnen herkennen en hun gegevens kunnen beschermen. In de strijd tegen cyberfraude is kennis macht: als iets te mooi lijkt om waar te zijn, dan is dat meestal ook zo.

De volledige bevindingen van Proofpoint’s 2025 Human Factor Report: Social Engineering rapport zijn hier te vinden.