🚨 NIS2 is nu van kracht. Bewustwording op het gebied van informatiebeveiliging is nu wettelijk verplicht in de EU.

Check compliance
Start je gratis proefperiode
Terug naar het Resource Center

Wat is vishing? Hoe werkt voice phishing en hoe kun je je organisatie hiertegen beschermen?

De meeste mensen zijn getraind, of in ieder geval gewaarschuwd, om op hun hoede te zijn voor e-mails waarin om wachtwoorden, bankgegevens of dringende actie wordt gevraagd. Aanvallers weten dit. Dat is deels de reden waarom vishing steeds vaker voorkomt: hierbij wordt de telefoon gebruikt in plaats van e-mail om slachtoffers te manipuleren, waarbij misbruik wordt gemaakt van het vertrouwen en de realtime druk die een live gesprek met zich meebrengt. Begrijpen wat vishing is, hoe het werkt en waarom het zo effectief is, is de eerste stap om je medewerkers hiertegen weerbaar te maken.

Wat betekent ‘vishing’? Wat houdt deze term precies in?

Vishing is een samentrekking van ‘voice’ en‘phishing’. Het verwijst naar social-engineering-aanvallen die via de telefoon worden uitgevoerd, hetzij via een traditioneel telefoongesprek, een VoIP-gesprek of – steeds vaker – via door AI gegenereerde spraakberichten, met als doel het slachtoffer ertoe te brengen gevoelige informatie prijs te geven, geld over te maken of toegang tot systemen te verlenen.

De betekenis van vishing is in wezen hetzelfde als die van phishing: iemand misleiden zodat hij iets doet wat hij niet zou doen als hij begreep wat er werkelijk aan de hand was. Het verschil zit hem in het kanaal. Waar bij phishing e-mail wordt gebruikt en bij smishing sms, maakt vishing gebruik van spraak, en spraak straalt een zekere mate van geloofwaardigheid uit die tekst niet heeft.

Een beller die zelfverzekerd klinkt, de juiste vaktermen gebruikt en een geloofwaardig verhaal verzint – bijvoorbeeld een veiligheidscontrole van de bank, een telefoontje van de IT-helpdesk of een leverancier die betalingsgegevens wil bevestigen – kan medewerkers overtuigen die hetzelfde verzoek in een e-mail binnen enkele seconden zouden hebben doorzien.

Hoe een vishing-aanval werkt

Vishing-aanvallen zijn zelden willekeurig. Aanvallers doen meestal eerst onderzoek naar hun doelwit voordat ze bellen, via LinkedIn, bedrijfswebsites, gegevens uit eerdere datalekken of informatie die ze via eerdere phishing-pogingen hebben verzameld. Hoe meer een aanvaller weet over het doelwit en diens organisatie, hoe overtuigender het telefoontje kan zijn.

Een typisch vishing-scenario verloopt volgens een herkenbaar patroon:

  1. Zich voordoen als iemand anders. De beller doet zich voor als iemand die het slachtoffer reden heeft om te vertrouwen: een bankmedewerker, een IT-supportmedewerker, iemand van de belastingdienst, een leidinggevende of een leverancier.
  2. Dringende noodzaak of gezag. De beller zet je onder druk, er is een probleem dat nu meteen opgelost moet worden, of hij beroept zich op gezag (“je leidinggevende heeft me gevraagd om te bellen”). Dit omzeilt het instinct van de ontvanger om even te pauzeren en de zaken te controleren.
  3. Verzoek. De beller vraagt iets: een wachtwoord, een eenmalige code, bevestiging van bankgegevens, toegang tot een systeem of een overschrijving.
  4. Einde. Zodra de informatie of actie is verkregen, wordt het gesprek snel beëindigd. Tegen de tijd dat het slachtoffer doorheeft dat er iets mis was, is de schade al aangericht.

Vishing werkt omdat het lastig is om tijdens een live telefoongesprek dezelfde kritische filters toe te passen als wanneer je een verdachte e-mail leest. De sociale druk van een realtime interactie doet je voorzichtigheid vergeten, en daar rekenen aanvallers precies op.

Vishing, phishing en smishing: wat is het verschil?

Vishing is een van de verschillende social engineering-technieken die via telefoongesprekken en berichten werken. Als je begrijpt hoe ze van elkaar verschillen, kunnen organisaties hun medewerkers leren om ze allemaal te herkennen.

Techniek Kanaal Een veelvoorkomend scenario Waarom het werkt
Phishing E-mail Valse inlogpagina, dringende waarschuwing over je account Volume en visuele illusie
Vishing Telefoon / spraak Nep bankoproep, IT helpdesk-imitatie Realtime druk, stemautoriteit
Smishing SMS / berichtenapp Valse bezorgmelding, betaallink Mobiele context, beknopt formaat, links voelen natuurlijk aan
Spear phishing E-mail (gericht) Gepersonaliseerde e-mail met bekende details Specificiteit, voelt legitiem omdat het je kent

In de praktijk worden deze technieken vaak gecombineerd. Een aanvaller kan eerst een phishing-e-mail sturen en daarna een vishing-oproep doen, waarbij die zich voordoet als IT-support en verwijst naar de e-mail die het doelwit zojuist heeft ontvangen. Elk kanaal versterkt de geloofwaardigheid van het andere.

Vishing in de praktijk: herkenbare scenario's

Vishing-aanvallen zijn geen abstracte bedreigingen. Dit zijn scenario's die organisaties, waaronder Nederlandse bedrijven, regelmatig tegenkomen:

  • De IT helpdesk-oproep. Een beller beweert van de interne IT-support te zijn, zegt dat er verdachte activiteit is op het account van de medewerker en vraagt om het wachtwoord te bevestigen of een remote access tool te installeren “om het probleem op te lossen.”
  • De bankbeveiligingsoproep. Een beller die zich voordoet als een fraudedienst waarschuwt dat de bankrekening van het bedrijf is gecompromitteerd en vraagt het doelwit om accountgegevens te bevestigen of een “testoverboeking” te autoriseren.
  • De CEO- of CFO-oproep. Bekend als CEO fraud of BEC (Business Email Compromise), gaat dit om een beller die zich voordoet als een senior executive en een financiële medewerker onder druk zet om een spoedoverboeking te doen, vaak op een vrijdagmiddag.
  • De leveranciersbevestigingsoproep. Een beller beweert van een bekende leverancier te zijn en vraagt om bankrekeninggegevens te updaten voor toekomstige betalingen, waardoor betalingen worden omgeleid naar een door de aanvaller beheerd account.
  • De AI deepfake-oproep. Met behulp van AI-gekloneerde stemtechnologie kunnen aanvallers nu met verbazingwekkende nauwkeurigheid echte collega's of executives imiteren. Medewerkers ontvangen een oproep die precies klinkt als hun manager, waarin wordt gevraagd om inloggegevens of dringende betalingsgoedkeuring.

Hoe Security Awareness Training beschermt tegen vishing

Technische controles stoppen vishing niet. Spamfilters, firewalls en endpoint security tools zijn irrelevant wanneer een aanvaller de telefoon oppakt. De enige effectieve verdediging is een personeelsbestand dat manipulatietactieken herkent en weet wat te doen als iets niet klopt.

Dat wordt opgebouwd door training, niet door een eenmalige presentatie, maar door terugkerende oefening die gewoontes creëert. Effectieve Security Awareness Training voor vishing omvat verschillende zaken:

  • De triggers herkennen. Urgentie, autoriteit, ongebruikelijke verzoeken, verzoeken om normale procedures te omzeilen. Medewerkers die deze patronen kunnen benoemen, zullen er minder snel aan voldoen.
  • Het recht om te verifiëren. Medewerkers moeten weten dat het altijd acceptabel is om te zeggen “Ik bel je terug op het nummer dat ik in mijn bestand heb”, zelfs als de beller de CEO is. Het opbouwen van die gewoonte vereist expliciete toestemming van het management en versterking door training.
  • Wat te doen erna. Als een medewerker vermoedt dat die het doelwit is geweest van een vishing-oproep, of erger nog, eraan heeft voldaan, heeft die een duidelijk escalatiepad nodig. Melden moet genormaliseerd worden, niet gestigmatiseerd.
  • Meegaan met evoluerende tactieken. AI voice cloning, deepfakes en steeds persoonlijkere aanvallen betekenen dat het dreigingslandschap snel verandert. Training moet gelijke tred houden, daarom zijn korte, frequente sessies beter dan jaarlijkse opfriscursussen.

Bescherm je team vandaag nog

Cybercriminelen bellen. Is je team er klaar voor?

Vraag een demo aan
Dinela Lokvancic
Dinela Lokvancic Marketing Specialist Dinela houdt Guardey's online aanwezigheid up-to-date. Ze creëert content die complexe cybersecurity-onderwerpen toegankelijk maakt en helpt organisaties begrijpen waarom security awareness training belangrijk is voor hun teams.
KLAAR OM TE BEGINNEN?

Sluit je aan bij meer dan 500 bedrijven die hun teams al beschermen met Guardey

Start je gratis proefperiode van 14 dagen
14 dagen gratis · Geen creditcard nodig · Volledige toegang · Binnen 5 minuten klaar
Of plan een persoonlijke demo