whatsppPNG
Facebook-f Icon-instagram-1 Linkedin-in
Kingsmn Logo

Artikels

SocialEngineering

Menselijke psychologie als hackingwapen: wat je medewerkers dienen te weten

“Goedemiddag! Ik ben van IT, we kwamen net een melding tegen over jullie printer op de derde verdieping. Mag ik even meekijken op de computer bij de receptie?”
De baliemedewerker twijfelt even. De man is vriendelijk, draagt een badge, en weet verrassend veel over interne zaken. Ze glimlacht beleefd en wijst hem de weg. Vijf minuten later heeft hij toegang tot het volledige interne netwerk.

Dit soort verhalen zijn vandaag de dag helaas geen fictie meer. We zien in de media meer en meer berichten van bedrijven of mensen in de privésfeer, die gehackt worden en waarbij soms grote sommen geld afhandig worden gemaakt. Ook het blokkeren van bestanden of het veroorzaken van grote datalekken van privégegevens zijn schering en inslag. Het zijn risico’s waar je je als bedrijf zeer bewust van moet zijn.

Wat is social engineering?

Social engineering: de zwakste schakel is vaak menselijk

Social engineering is een methode waarbij kwaadwilligen geen gebruik maken van technische kwetsbaarheden, maar van menselijk gedrag. In plaats van in te breken via firewalls of complexe wachtwoorden, proberen ze je medewerkers te misleiden om zélf de deur open te zetten – figuurlijk én soms letterlijk.

Met een vriendelijke glimlach, een geloofwaardig verhaal en net genoeg interne kennis, weten aanvallers zelfs de meest waakzame collega’s te overtuigen om iets te doen dat ze eigenlijk niet zouden mogen. Denk bijvoorbeeld aan:

  • Iemand die zich voordoet als technicus, collega of leverancier om fysieke toegang tot het gebouw te krijgen.
  • Een telefoontje van “de bank” met het dringende verzoek om kaartgegevens te bevestigen.
  • Een e-mail van de “CEO” met de vraag om onmiddellijk een betaling uit te voeren.

Maar social engineering beperkt zich niet tot digitale manipulatie. Ook fysieke slordigheden worden uitgebuit:

  • Vertrouwelijke documenten die open en bloot op bureaus liggen.
  • Wachtwoorden op post-its of onbeveiligde notities.
  • Sleutels of keycards die makkelijk toegankelijk zijn.

Daarom is het cruciaal om niet alleen technische maatregelen te nemen, maar ook bewust te zijn van de menselijke kant van beveiliging. Een duidelijke clean desk policy, training in bewustwording en een gezonde dosis achterdocht kunnen al veel problemen voorkomen.

Social engineering draait altijd om hetzelfde doel: toegang krijgen tot informatie, systemen of ruimtes – via jou of je collega’s. Wees dus alert, zowel online als offline.

Welke bedrijven zijn gevoelig voor social engineers?

Alle organisaties of bedrijven zijn in principe een doelwit voor social engineers. Zij zijn namelijk op zoek naar gevoelige informatie. Maar die zit natuurlijk overal. We zijn dagdagelijks in contact met allerlei soorten mensen en stakeholders. Dat via die wegen ook mensen met minder goede bedoelingen kunnen trachten toegang te krijgen tot zaken waar ze geen toegang toe hebben, is reëel. Al zijn er natuurlijk omgevingen waar er meer dan gemiddeld ‘vreemd volk’ over de vloer komt. Denk aan bedrijven die voornamelijk gefocust zijn op het verkopen aan particulieren. Zoals retailbedrijven of hotels. Die plaatsen zijn herkenbaar aan de vaak gezellige drukte en het op – en afgaan van heel veel mensen, soms wel vanuit alle hoeken van de wereld. Hotels vormen daarom vaak een droomomgeving voor social engineers. Waarom?

  • Er is veel verloop onder het personeel, dus niet iedereen kent elkaar.
  • Medewerkers zijn getraind om gastvrij, vriendelijk en behulpzaam te zijn — precies wat social engineers nodig hebben.
  • Er is een continue stroom van bezoekers en leveranciers, wat het makkelijker maakt om je als iemand anders voor te doen.
  • Er wordt vaak gewerkt met gedeelde IT-oplossingen, waardoor zwakke plekken ontstaan.


Hoe maak je medewerkers bewust?

Gelukkig zijn er manieren om je personeel weerbaarder te maken tegen deze vormen van manipulatie. En het goede nieuws? Je hoeft geen technisch expert te zijn om het verschil te maken.

Zorg voor een doorgedreven training

Er zijn verschillende opleidingen die kunnen helpen om een solied antwoord te bieden aan social engineering. Denk aan algemene opleidingen rond security awareness. Op die manier zorg je ervoor dat de hele organisatie weet hoe impactvol social engineering kan zijn op het bedrijf.

Laat daarom je medewerkers zien hoe een social engineer te werk gaat:

  • Welke signalen zijn verdacht?
  • Hoe herken je een geloofwaardig nepverhaal?
  • Wat doe je als je twijfelt?

Daarnaast zijn er ook specifieke opleidingen rond cyber security awareness. Hierin wordt ook het digitale aspect rond deze kwetsbaarheden doorgelicht en aangeleerd hoe men er waakzaam voor kan zijn.

Creëer een cultuur van: ’twijfelen mag’

Zorg dat medewerkers zich veilig voelen om ‘nee’ te zeggen of hulp in te roepen. “Beter een keer te veel vragen, dan één keer te weinig” moet het motto zijn. Vaak zijn medewerkers geneigd rechtstreeks te geloven wat andere collega’s zeggen. En al zeker als het vanuit de directiekamer komt. Daarnaast willen ze ook de service bieden die van hen verwacht wordt. Krijg maar eens een slechte review omdat je een vraag teveel hebt gesteld aan een klant of hotelgast. En toch, ook in de hotelsector mag servicegerichtheid nooit boven veiligheid gaan.

Test jezelf

Simuleer eens een social engineering-aanval in je hotel. Laat een interne medewerker of mystery guest zich via een bezoek, voordoen als een bezoeker met een goed verhaal. Hoe reageren collega’s? Ook mystery calls zijn een uitstekende manier om de alertheid voor social engineers te testen. Bij telefoongesprek is het voor de medewerker zeer moeilijk om een beeld te vormen van de persoon, gezien er alleen een stem is om op af te gaan. Die dan, het in slechtste geval, ook nog vervormd is.

Het is niet bedoeld om medewerkers te straffen, maar gevoeligheden bloot te leggen en om er uiteindelijk te leren.

De kracht van bedrijven en organisaties ligt in de service en gastvrijheid die ze bieden. Maar diezelfde openheid maakt het ook kwetsbaar. Social engineering vormt geen technisch risico, maar wel een wezenlijke menselijke kwetsbaarheid. Door medewerkers te trainen in bewustwording en herkenning, kun je een groot verschil maken in de veiligheid van je organisatie.

Bij Kingsm3n hebben we opleidingen uitgewerkt rond security awareness. In deze opleiding nemen we alle medewerkers binnen een organisatie mee in alle in’s en out’s rond dit onderwerp. Zo leg je een onmisbare basis voor een goed preventiebeleid op het gebied van veiligheid.

Foto van Michaël Marbais

Michaël Marbais

Ondernemer en preventieadviseur niveau 1.
Als bestuurder van Kingsm3n en Ken Do It helpt hij bedrijven om veiligheid, beveiliging, leiderschap en mensgericht beleid concreet te maken – in elke routine én elke crisis.

Gerelateerde berichten

Artikel new ERC guidelines 2025

Wat doe jij bij een hartstilstand: enkel drukken of ook beademen?

Profit Wellbeing and prevention at work

Welzijn en preventie kosten geen geld, ze verhogen de winst: klinkt onverwacht?

Self-leadership

Zelfleiderschap in 3 pijlers

Artikel Phoenix

Veerkrachtig ondernemen: crisiscommunicatie en mentale weerbaarheid in KMO’s

ISO9001 Kingsm3n

Efficiëntie. Eenduidigheid. Groei met controle.

Artikel AUG MM

Onboarding Welzijn op het Werk: waarom een goed onthaal levens kan redden