Vishing aanval: wat het is en hoe je je beschermt
Vishing, oftewel voice phishing, is een vorm van fraude waarbij telefonische gesprekken en voicemails worden gebruikt om mensen met sociale manipulatie te overtuigen om gevoelige informatie prijs te geven, zoals bankgegevens of wachtwoorden.
Geschreven door: Dominic Kearne
In februari 2025 publiceerde CrowdStrike hun 2025 Global Threat Report. Daarin stond een opvallende statistiek: een stijging van maar liefst 442% in vishing-activiteiten tussen de eerste en tweede helft van 2024.
Waar velen verwachtten dat het grootste cyberincident van het jaar veroorzaakt zou worden door buitenlandse aanvallers met een klassieke phishing-aanpak, bleek de realiteit anders. Het waren niet China, Rusland of Iran die de aanval uitvoerden, maar jongeren van de Scattered Spider-groep, sommigen nog nauwelijks oud genoeg om te rijden.
Deze groep, berucht om hun expertise in social engineering, wist IT-medewerkers te overtuigen om wachtwoorden en MFA-codes te delen, en slaagde er zelfs in om telecomproviders te manipuleren zodat telefoonnummers naar hun eigen simkaarten werden overgezet. Hun geloofwaardige Engelse accenten maakten het voor slachtoffers nóg moeilijker om argwaan te krijgen, met desastreuze gevolgen.
Waarom werkt vishing?
De kracht van vishing zit in psychologie en vertrouwen. Mensen vertrouwen instinctief sneller een stem dan een bericht op een scherm. Combineer dit met een groeiend digitaal leven, waarin werk en privé continu door elkaar lopen, en je hebt een voedingsbodem voor misleiding.
Volgens een Microsoft Work Trend-rapport (juni 2025) ontvangt of verstuurt een medewerker gemiddeld 50 Teams-berichten buiten werktijd per dag, logt 29% van de werknemers ’s avonds opnieuw in op e-mail en checkt 1 op de 5 medewerkers zelfs in het weekend werkmail.
Meer schermtijd = meer kansen voor cybercriminelen.
Door slim gebruik te maken van openbare gegevens, social media en een vleugje urgentie, weten aanvallers slachtoffers te overrompelen. De stem, menselijk of door AI gegenereerd, maakt het geheel vaak geloofwaardig genoeg om beveiligingslagen te doorbreken.
De rol van AI
Met slechts drie seconden audio kan iemands stem tegenwoordig realistisch worden nagebootst. AI-systemen combineren voice cloning, LLM’s, speech-to-text en text-to-speech om gesprekken te voeren die nauwelijks van echt te onderscheiden zijn. Daarmee is vishing-as-a-service een opkomende realiteit. Criminelen kunnen duizenden telefoontjes tegelijk uitvoeren, volledig geautomatiseerd.
Hoe beschermen we ons?
Net als bij andere phishing-technieken vraagt bescherming tegen vishing om een gelaagde aanpak van technologie, processen én mensen.
Technologie
-
-
- Multi-factor authenticatie en extra e-mailbeveiliging helpen bij het voorkomen van initiële aanvallen.
- SIEM, IDS en netwerkanalyse kunnen afwijkend gedrag in communicatiesystemen detecteren.
- Threat Intelligence kan verdachte telefoonnummers en campagnes vroegtijdig signaleren.
- Identity & Access Management beperkt de impact als er tóch gegevens buitgemaakt worden.
-
Mensen & Processen
-
-
- Medewerkers vormen de eerste verdedigingslinie. Regelmatige security awareness-training en gesimuleerde vishing-aanvallen verhogen alertheid.
- Moedig medewerkers aan om bij twijfel altijd terug te bellen via een officieel nummer en niet blind te vertrouwen op een inkomend gesprek.
- Leer ze te letten op signalen zoals urgentie, dreiging of “te mooi om waar te zijn” aanbiedingen.
- Automatiseer waar mogelijk de rapportage en escalatie van verdachte oproepen.
-
Conclusie
De opkomst van vishing maakt pijnlijk duidelijk: zelfs de meest geavanceerde beveiliging kan worden omzeild door een telefoontje. De dreiging is niet alleen technisch, maar vooral menselijk. Bij Ekco geloven we dat effectieve bescherming niet stopt bij technologie. Het vraagt om bewustwording, training en een cultuur van veiligheid.
