Wat is social engineering? Verschillende vormen en tips om jezelf te beschermen

Wat is social engineering?

Het doel van social engineering is simpel maar gevaarlijk: mensen zover krijgen dat ze hun wachtwoorden, financiële gegevens of bedrijfsinformatie prijsgeven, waardoor criminelen rijkdom of macht kunnen vergaren.

Lees verder om meer te leren over hoe social engineering werkt en wat de meest voorkomende social engineering-aanvallen zijn, plus tips om jezelf tegen deze cyberdreiging te beschermen.

Hoe werkt social engineering?

Social engineering-aanvallen maken gebruik van verschillende psychologische en emotionele triggers om slachtoffers te misleiden. Aanvallers spelen in op gevoelens zoals urgentie en angst, vertrouwen en autoriteit, hebzucht, nieuwsgierigheid, behulpzaamheid en sociale bewijskracht. Deze triggers worden gebruikt om het beoordelingsvermogen van het slachtoffer te verstoren en hen tot ongewenste acties te bewegen. 

Social engineering-aanvallen volgen meestal een vast patroon: 

1. 1.Onderzoek naar het slachtoffer. De aanvaller verzamelt informatie over het slachtoffer om zich voor te doen als een vertrouwde bron of om het slachtoffer onder druk te zetten.
2. 2.Vertrouwen opbouwen of urgentie creëren. De aanvaller probeert het slachtoffer vertrouwen te geven of een gevoel van urgentie te creëren, vaak door te zeggen dat er iets snel moet gebeuren.
3. 3.Het slachtoffer uitbuiten. Zodra het slachtoffer in de val trapt, wordt de misleiding gebruikt om vertrouwelijke informatie te verkrijgen of het slachtoffer bepaalde acties te laten uitvoeren.
4. 4.Terugtrekken van de aanvaller. Nadat de aanvaller zijn doel heeft bereikt, stopt hij het contact, waardoor het slachtoffer vaak pas later doorheeft dat hij is misleid.

Social engineering-aanvallen kunnen erg effectief zijn, omdat ze gebruik maken van menselijke emoties en psychologische zwaktes. Het herkennen van deze patronen kan je helpen je beter te beschermen. Nu je een beter idee hebt van wat social engineering is en hoe het werkt, zullen we de meest voorkomende vormen van social engineering bespreken.

Vormen van social engineering

Social engineering komt in veel verschillende vormen voor. Soms gaat het om een gerichte e‑mail die speciaal voor jou is gemaakt, maar het kan ook een sms‑bericht, een telefoontje of een bericht via WhatsApp of een andere chatapp zijn. De lijst hieronder is niet compleet, maar dit zijn een paar van de meest voorkomende en herkenbare vormen van social engineering waar je online mee te maken kunt krijgen. 

Phishing

Bij phishing doet een oplichter zich voor als een organisatie of persoon die je normaal gesproken vertrouwt, zoals je bank, PostNL, de Belastingdienst, of een bekende webshop. Het doel van social engineering: phishing is om jou te misleiden je persoonlijke informatie prijs te geven – zoals je inloggegevens, burgerservicenummer of bankgegevens – of malware op je apparaat te downloaden.

Je kunt op verschillende manieren met phishing te maken krijgen:

• E-mail. De meest klassieke vorm. De e-mail die je ontvangt lijkt van een betrouwbare organisatie te komen, maar het adres of de domeinnaam wijkt net iets af van het echte. Vaak staan er links in die naar valse websites leiden of bijlagen die malware bevatten.
• SMS (smishing). Hierbij krijg je een sms-bericht waarin bijvoorbeeld wordt gezegd dat je pakketje van PostNL niet bezorgd kon worden en dat je op een link moet klikken om een nieuwe datum voor bezorging te selecteren. Die link is echter niet te vertrouwen.
• Nepwebsites. De link in de phishingmail leidt vaak naar een phishingwebsite of nepwebsite die bijna identiek is aan de originele website. Zodra je daar inlogt of financiële informatie invult, komen je gegevens rechtstreeks bij de oplichter terecht.

Spear phishing

Spear phishing is een gerichte en slimme variant van phishing. In plaats van willekeurige e-mails te sturen, richt de aanvaller zich op één specifiek slachtoffer. Voordat de aanval begint, doet de hacker uitgebreid onderzoek naar het doelwit, bijvoorbeeld via social media zoals LinkedIn, Facebook of Instagram.

Op basis van die informatie kan de aanvaller een bericht sturen dat extreem geloofwaardig lijkt. Bijvoorbeeld:

• Privé. De hacker doet zich voor als een goede vriend op Facebook of WhatsApp en vraagt om toegang tot een account of een persoonlijke link.
• Zakelijk. Een oplichter doet zich voor als de CEO van het bedrijf waar je werkt en vraagt om snel geld over te maken voor een zogenaamd nieuw project.

Omdat de berichten zo persoonlijk en zorgvuldig zijn opgesteld, is spear phishing veel moeilijker te herkennen dan gewone phishing. Het speelt in op vertrouwen en lijkt vaak precies op de communicatie die je van vrienden, collega’s of organisaties verwacht.

Vishing

Vishing is phishing via de telefoon. Hierbij doet een oplichter zich voor als iemand die je vertrouwt, zoals je bank, de Belastingdienst of een bekende dienstverlener. Ze vervalsen vaak hun telefoonnummer, zodat het lijkt alsof je gebeld wordt door een legitieme organisatie, maar het kan ook dat je wordt gebeld door een onbekend 06-nummer.

Tijdens het gesprek gebruikt de oplichter een geloofwaardig voorwendsel, zoals verdachte activiteiten op je bankrekening, een fout bij je belastingaangifte, of een terugbetaling die zogenaamd niet klopt. Het doel is altijd hetzelfde: jou verleiden om gevoelige informatie prijs te geven of direct geld over te maken.

Smishing

Smishing is phishing via sms. Oplichters sturen berichten die je onder druk zetten om te klikken op een kwaadaardige link of persoonlijke gegevens te delen. Ze spelen vaak in op urgentie, bijvoorbeeld door te claimen dat je pakketje niet bezorgd kon worden of dat er iets mis is met je bankrekening. Om het nog overtuigender te maken, gebruiken ze verkorte of lookalike-URL’s die op bekende, legitieme websites lijken.

Een social engineering-voorbeeld: je krijgt een sms van “PostNL” waarin staat dat je pakketje niet geleverd kon worden. Via de meegeleverde link kom je op een nepwebsite die bijna identiek lijkt aan de echte PostNL-website, waar je gegevens worden gestolen. 

Pretexting

Pretexting lijkt op phishing, maar werkt anders. Waar phishing vooral inspeelt op angst en urgentie om je snel te laten handelen, draait pretexting om het opbouwen van vertrouwen. De aanvaller creëert een geloofwaardig, vaak uitgebreid scenario om jou te misleiden en informatie te verzamelen. Bijvoorbeeld: een hacker doet zich voor als een IT-medewerker van je bedrijf en claimt dat er een probleem is met je systeem. Ze vragen je in te loggen of je wachtwoord door te geven “om het probleem op te lossen”. Ze gebruiken hierbij vaak branchejargon en details die het scenario realistisch maken, waardoor het lastig is om te ontdekken dat het om oplichting gaat.

Het belangrijkste om te onthouden: als iemand te vriendelijk of te overtuigend lijkt en vertrouwelijke gegevens vraagt, wees kritisch en controleer altijd of het echt klopt. Onthoud: pretexting draait om psychologie en vertrouwen, niet om directe dreiging of urgentie zoals bij phishing.

Scareware

Scareware is een vorm van social engineering waarbij je via je computer, tablet of telefoon bang wordt gemaakt om actie te ondernemen. Vaak verschijnt er een pop-up of melding die beweert dat je apparaat geïnfecteerd is met een virus, of dat je bankrekening of persoonlijke gegevens in gevaar zijn.

Het doel van een scareware attack is om je te laten klikken op een link, een programma te downloaden of direct te betalen om ‘het probleem’ op te lossen. Bijvoorbeeld: je krijgt een pop-up waarin staat dat je computer besmet is en dat je een speciaal antivirusprogramma moet installeren om het op te lossen. In werkelijkheid installeer je dan malware of betaal je voor een nepdienst.

Catfishing

We spreken van catfishing wanneer oplichters nepprofielen aanmaken op social media, vaak met gestolen foto’s en persoonlijke gegevens van echte mensen. Deze nepidentiteiten worden gebruikt om mensen te manipuleren, persoonlijke informatie te stelen of aandacht te krijgen.

Let op signalen zoals iemand die opvallend vriendelijk en charmant is, maar altijd een excuus heeft om je niet in het echt te ontmoeten of weigert te videobellen. Dit kan erop wijzen dat je te maken hebt met een nepaccount en dat er iemand achter zit die je probeert te misleiden.

Baiting

Baiting is een vorm van social engineering waarbij een hacker je probeert te verleiden iets te doen waardoor je apparaat wordt besmet met malware of je gegevens in gevaar komen. Een bekend social engineering-voorbeeld zijn valse mirror-sites: je denkt een film, software of muziek te downloaden, maar in werkelijkheid installeer je schadelijke software op je computer.

Baiting kan ook fysiek gebeuren. Hackers laten bijvoorbeeld geïnfecteerde USB-sticks achter op openbare plekken, zoals parkeerplaatsen, cafés of de lobby van een kantoor. Wie zo’n USB oppakt en op zijn computer aansluit, installeert ongemerkt malware. Het principe is altijd hetzelfde: de aanvaller speelt in op nieuwsgierigheid of hebzucht om toegang te krijgen tot je systemen of gegevens.

Quid pro quo

Een quid pro quo-aanval is een social engineering-techniek waarbij een oplichter een dienst of hulp aanbiedt in ruil voor persoonlijke informatie of toegang tot je apparaat. Hackers doen zich bijvoorbeeld voor als klantenservice van je bank of als technische ondersteuning van bekende softwarebedrijven zoals Microsoft of Apple.

Het slachtoffer heeft vaak een echt of zogenaamd probleem met een computer, telefoon of ander apparaat. De oplichter biedt aan het probleem op te lossen en vraagt daarvoor tijdelijk toegang of inloggegevens. Zodra ze toegang hebben, kunnen ze malware installeren of gevoelige informatie stelen. Het principe is simpel: een verleidelijk aanbod gebruiken om je vertrouwen te winnen en je gegevens te bemachtigen.

Contact spam attacks

Contact spam-aanvallen zijn een klassieke vorm van social engineering waarbij een cybercrimineel jouw e-mail of socialmedia-account gebruikt om berichten te verspreiden naar je contacten. De berichten lijken van jou te komen, bijvoorbeeld: “Ik heb deze video gezien, echt gaaf! Kijk eens!” Omdat het van een bekende afzender lijkt te komen, klikken mensen sneller op de link.

Deze techniek gebeurt tegenwoordig niet alleen via e-mail of social media, maar ook via WhatsApp en andere messaging-apps. Zodra iemand op de link klikt, kan malware geïnstalleerd worden en verspreidt het bericht zich automatisch naar hun contacten. Zo ontstaat een sneeuwbaleffect: steeds meer apparaten raken geïnfecteerd en het nepbericht verspreidt zich razendsnel.

Voorbeelden van social engineering 

Deze social engineering-voorbeelden laten zien hoe social engineering in de praktijk werkt en welke impact het kan hebben, zowel lokaal als wereldwijd.

• Phishing leidt tot datadiefstal bij gemeente Velsen. In 2024 viel de gemeente Velsen ten prooi aan een phishing‑aanval waarbij een e‑mail, ogenschijnlijk van een vertrouwde afzender, werd geopend door een medewerker. Dit leidde tot een datalek: de e‑mailadressen van 327 inwoners en interne contactgegevens werden gestolen.
• Europol ontmantelt enorme phishing‑tool met wereldwijde impact. Begin maart 2026 kondigde Europol aan dat een geavanceerde phishing‑tool, Tycoon 2FA genaamd, uit de lucht is gehaald. Deze toolkit werd gebruikt door cybercriminelen om inloggegevens te stelen, zelfs bij diensten met tweefactorauthenticatie en werd in meer dan 64.000 phishing‑campagnes aangetroffen. 

Hoe kun je social engineering herkennen?

Social engineering-aanvallen zijn speciaal ontworpen om legitiem en geloofwaardig te lijken, waardoor het moeilijk is om ze te herkennen als je niet weet waarop je moet letten. Door alert te zijn op verdachte signalen bij e-mails, telefoontjes en sms’jes, vergroot je de kans om een scam te vermijden. Let op de volgende waarschuwingssignalen:

• Verdachte of ongebruikelijke verzoeken. Iemand vraagt om gevoelige informatie zoals je inloggegevens, burgerservicenummer of toegang tot bedrijfsdata. Controleer altijd wie de afzender werkelijk is voordat je iets deelt.
• Fouten in taalgebruik. Slecht geschreven berichten, spelfouten of rare zinnen kunnen een teken van phishing zijn, zelfs als de afzender bekend lijkt.
• Vreemde links of bijlagen. Klik niet zomaar op links en open nooit zomaar bijlages. Controleer URL’s met een link checker en gebruik een malwarescanner om schadelijke downloads te blokkeren.
• Fantastische aanbiedingen. Aanbiedingen of beloftes die te mooi lijken om waar te zijn, zijn vaak nep en bedoeld om je te verleiden tot klikken of het invullen van gegevens.
• Afwijkende e-mailadressen. Zelfs als een e-mail er legitiem uitziet, kan het adres net iets anders zijn dan het officiële adres van een organisatie. Vergelijk altijd met betrouwbare bronnen.
• Inconsistenties in communicatie. Een vreemde toon, stijl of inhoud kan wijzen op spoofing of phishing; wees kritisch, ook bij berichten van bekende bedrijven of collega’s.
• Ongebruikelijke verzoeken om toegang. Als iemand vraagt om in te loggen op systemen of toegang wilt hebben tot gevoelige, verifieer dit eerst bij een betrouwbare bron.
• Druk om snel te handelen. Oplichters proberen vaak een gevoel van urgentie te creëren. Neem altijd de tijd om de situatie te beoordelen en handel nooit gehaast.

Zo kun je jezelf tegen social engineering beschermen

Als je weet hoe social engineering werkt, wordt het makkelijker om jezelf te beschermen tegen oplichters. Volg deze tips om je risico te verkleinen:

• Educatie en bewustwording. Zorg dat je team of collega’s bekend zijn met de verschillende vormen van social engineering. Oefeningen of simulaties helpen om kwetsbaarheden te herkennen.
• Wees alert op taal- en spelfouten. Legitieme organisaties controleren hun berichten zorgvuldig. Veel fouten in e-mails, sms’jes of berichten kunnen wijzen op een aanval.
• Stel vragen en controleer. Twijfel je aan een telefoontje of bericht? Vraag door en verifieer de identiteit van de afzender voordat je gegevens deelt of iets downloadt.
• Deel minder persoonlijke informatie online. Te veel delen op social media of openbare platforms kan oplichters informatie geven om je te misleiden. Deel bijvoorbeeld nooit je locatie, telefoonnummer of werkdetails.
• Houd je software up-to-date. Installeer updates, gebruik antivirus, spamfilters en privacy-extensies in je browser. Dit verkleint de kans op een succesvolle aanval aanzienklijk.
• Gebruik een VPN. Een VPN beschermt je identiteit online en voorkomt dat hackers je internetverkeer onderscheppen, met name op openbare wifi-netwerken. Extra beveiligingstools, zoals de anti-phishingfuncties van Threat Protection Pro™, helpen ook bij het blokkeren van gevaarlijke websites.

Door deze maatregelen consequent toe te passen, maak je het oplichters veel moeilijker om via social engineering bij jouw gegevens te komen.