21 mei 2026 • Cyber security
Baiting is een van de oudste en meest effectieve social engineering-technieken op het gebied van cyberbeveiliging, en tegelijkertijd een van de minst besproken. Waar phishing inspeelt op urgentie en vishing op vertrouwen, speelt baiting in op iets dat nog fundamenteler is: nieuwsgierigheid. Een aanvaller legt iets aantrekkelijks in het pad van een potentieel slachtoffer en wacht tot de menselijke aard de rest doet. Begrijpen wat baiting is, hoe het online en fysiek werkt, en waarom het blijft werken ondanks het brede bewustzijn van cyberrisico's de eerste stap om je organisatie ertegen te beschermen.
Wat is baiting?
Baiting is een social engineering-aanval waarbij een aanvaller een verleidelijk of nieuwsgierigheid opwekkend lokmiddel, het ‘aas’, gebruikt om een doelwit te misleiden en een actie te laten uitvoeren die zijn of haar veiligheid of die van de organisatie in gevaar brengt. Het aas kan digitaal of fysiek zijn, en het doel is altijd hetzelfde: het doelwit iets laten doen wat hij of zij anders niet zou doen.
De term is afgeleid van het vissen: aas aan een haak hangen en afwachten. In de cyberbeveiliging is de haak malware, een pagina die inloggegevens verzamelt of een toegangspunt tot een netwerk. Het aas is alles waarvan de aanvaller denkt dat het doelwit het onweerstaanbaar zal vinden: gratis software, een gevonden USB-stick, een ‘exclusieve’ downloadlink, een bericht over een prijs.
Wat baiting onderscheidt van andere social engineering-aanvallen, is dat er geen direct contact nodig is tussen de aanvaller en het slachtoffer. De aanvaller zet de val en wacht af. Hierdoor is het schaalbaar: één goed geplaatste lokaas kan honderden mensen bereiken, en het is moeilijker te traceren dan phishing of vishing.
Internetlokkerij: hoe online baiting werkt
Internet-baiting komt in allerlei vormen voor. Wat ze gemeen hebben, is dat ze iets aanbieden wat het doelwit wil, maar uiteindelijk iets leveren waar het doelwit niet om heeft gevraagd. Veelvoorkomende vormen van internet-baiting zijn onder andere:
- Gratis software of mediabestanden downloaden. Een website biedt een gratis versie aan van betaalde software, een film, een game of een hulpprogramma. De download bevat malware die bij de beloofde inhoud is gebundeld of deze vervangt. Het slachtoffer installeert het vrijwillig.
- Meldingen over prijzen of beloningen. Pop-ups of e-mails laten weten dat je een prijs hebt gewonnen, in aanmerking komt voor een terugbetaling of de duizendste bezoeker bent. Als je hierop klikt, kom je op een pagina terecht waar je inloggegevens worden gestolen of wordt er malware gedownload.
- Valse vacatures of zakelijke kansen. Deze lokkertjes zijn gericht op professionals, vooral via LinkedIn of e-mail, en beloven kansen in ruil voor het klikken op een link, het openen van een bijlage of het invullen van een formulier, waarmee persoonlijke of zakelijke gegevens worden buitgemaakt.
- Links die op nieuwsgierigheid inspelen. Een link die via e-mail, chatberichten of sociale media wordt gedeeld en iets prikkelends, exclusiefs of persoonlijk relevants belooft. “Je foto is gedeeld”, “Bekijk wie je profiel heeft bekeken”, “Uitgelekt document over [je bedrijf]”. De ontvanger klikt erop omdat nieuwsgierigheid sterker is dan voorzichtigheid.
- Valse beveiligingswaarschuwingen. Er verschijnt een pop-up die waarschuwt dat het apparaat is geïnfecteerd en de gebruiker vraagt om een ‘reparatieprogramma’ te downloaden. Dat programma is eigenlijk de malware.
Internet-baiting werkt omdat het de doelgroep aanspreekt op de plek waar ze zich al bevinden – terwijl ze aan het surfen, scrollen of downloaden zijn – en iets biedt dat aanvoelt als een beloning, niet als een risico.
Fysieke lokmiddelen: de USB-drop en meer
Niet alle phishing gebeurt online. Fysieke phishing, waarbij besmette apparaten of media worden achtergelaten op plekken waar de doelwitten ze zullen vinden, is een goed gedocumenteerde en altijd effectieve aanvalstechniek. De meest voorkomende vorm is het achterlaten van een USB-stick.
Een aanvaller laat een of meer USB-sticks achter op een plek waar medewerkers van een doelorganisatie ze waarschijnlijk zullen vinden: een parkeerplaats, een receptie, een vergaderruimte of een toilet. De stick is vaak voorzien van een label om de nieuwsgierigheid te prikkelen, zoals ‘Salarisgegevens Q3’, ‘Vertrouwelijk’ of ‘Foto’s van het feestje’. Een medewerker vindt de stick, sluit hem aan op een apparaat op het werk om te kijken wat erop staat, en voert zo de kwaadaardige code van de aanvaller uit.
Uit onderzoek is keer op keer gebleken dat een groot deel van de mensen die een onbekende USB-stick vinden, deze gewoon aansluit. Het label maakt de kans daarop nog groter. Fysieke lokmiddelen werken juist omdat ze alle e-mailbeveiliging, webfiltering en eindpuntcontroles omzeilen waarin een organisatie heeft geïnvesteerd, en alleen rekenen op het feit dat iemand doet wat mensen nu eenmaal doen als ze iets vinden dat interessant lijkt.
Baiting versus phishing versus andere vormen van social engineering: de belangrijkste verschillen
| Techniek | Belangrijkste oorzaak | Contactgegevens vereist | Kanaal |
|---|---|---|---|
| Aas | Nieuwsgierigheid, hebzucht, eigenbelang | Nee, de aanvaller zet een val en wacht | Online (download, link) of fysiek (USB) |
| Phishing | Dringende noodzaak, angst, gezag | Indirect (e-mail naar de ontvanger) | E-mail, berichten |
| Vishing | Vertrouwen, gezag, urgentie | Ja, een live telefoongesprek | Spraak / telefoon |
| Pretexting | Vertrouwen in een verzonnen identiteit | Ja, directe interactie | E-mail, telefoon, persoonlijk |
| Gegeld | Wederkerigheid, iets voor iets | Ja, de aanvaller doet een voorstel | Telefoon, e-mail |
Voor een overzicht van de verschillende soorten phishingaanvallen, zie verschillende soorten phishingaanvallen.
Hoe bescherm je je organisatie tegen baiting
Technische maatregelen helpen wel – zoals het uitschakelen van USB-autorun, het blokkeren van onbetrouwbare downloadbronnen en het filteren van websites – maar ze pakken slechts een deel van het probleem aan. De kern van phishing zit hem in een menselijke beslissing: het oppakken, erop klikken, het aansluiten. De enige betrouwbare bescherming tegen die beslissing is een medewerker die even nadenkt voordat hij of zij iets doet.
Die pauze is aangeleerd gedrag. Een training in cyberveiligheid die scenario’s met lokpraktijken behandelt, geeft medewerkers het mentale kader om een lokmiddel – online of in het echt – te herkennen en er kritisch naar te kijken in plaats van impulsief te reageren. Belangrijke gewoontes om aan te leren:
- Sluit nooit een onbekend USB-apparaat aan. Het maakt niet uit waar je het gevonden hebt of wat erop staat. Geef het door aan IT.
- Vraag: “Te mooi om waar te zijn”-aanbiedingen op internet. Gratis software, onverwachte berichtjes over prijzen en exclusieve downloads zijn duidelijke signalen dat het om oplichterij gaat.
- Controleer dit voordat je iets downloadt. Medewerkers die de bron van een download vergelijken met een lijst van vertrouwde bronnen, lopen aanzienlijk minder kans om via phishing malware te installeren.
- Meld het, negeer het niet. Een gevonden USB-stick of een verdachte downloadmelding is het waard om te melden. Door het melden van dit soort zaken als normaal te beschouwen, krijgen beveiligingsteams een vroege waarschuwing.
Baiting speelt in op wat mensen in andere situaties zo effectief maakt: nieuwsgierigheid, openheid en behulpzaamheid. Bewustwordingstraining probeert die eigenschappen niet weg te nemen. Het leert mensen wanneer ze een extra dosis scepsis moeten aanwenden voordat ze ernaar handelen.
Leer medewerkers het lokaas (de bait) te herkennen
Voordat nieuwsgierigheid tot een hack leidt.