Pretexting

Pretexting is een vorm van social engineering waarbij een aanvaller een geloofwaardig verhaal of scenario verzint om het vertrouwen van het slachtoffer te winnen en gevoelige informatie te ontfutselen. De aanvaller doet zich voor als iemand met autoriteit of een legitieme reden om informatie op te vragen, zoals een IT-medewerker, bankmedewerker, leverancier, collega of overheidsinstantie. Volgens het Verizon Data Breach Investigations Report is pretexting verantwoordelijk voor meer dan 50 procent van alle social engineering-incidenten. In tegenstelling tot phishing, dat vaak massaal en geautomatiseerd wordt uitgevoerd, is pretexting een gerichte aanval die uitgebreide voorbereiding en onderzoek vereist. De effectiviteit van pretexting neemt toe doordat aanvallers steeds meer persoonlijke informatie online kunnen vinden via sociale media, bedrijfswebsites en datalekkages.

Hoe werkt pretexting?

Een pretexting-aanval begint met uitgebreid vooronderzoek door de aanvaller. Deze verzamelt informatie over het doelwit en de organisatie via openbare bronnen: de bedrijfswebsite, LinkedIn-profielen, sociale media, persberichten, vacatureteksten en jaarverslagen. Ook informatie uit eerdere datalekken wordt gebruikt om geloofwaardige details toe te voegen. De aanvaller leert de interne taal, processen en organisatiestructuur kennen om een overtuigend scenario op te bouwen dat past bij de organisatiecultuur.

De aanval zelf speelt in op psychologische principes die diep geworteld zijn in menselijk gedrag. De aanvaller creert urgentie ("de directeur heeft dit nu nodig voor een vergadering over een half uur"), autoriteit ("ik bel namens de IT-afdeling, we hebben een beveiligingsincident"), reciprociteit ("ik heb je vorige week ook geholpen, nu heb ik even je hulp nodig") of hulpvaardigheid ("ik probeer je collega te helpen die vastgelopen is"). Door vertrouwen op te bouwen en druk uit te oefenen, verlaagt de aanvaller de alertheid en het kritisch denkvermogen van het slachtoffer. Het slachtoffer deelt vervolgens inloggegevens, financiele informatie, interne documenten of andere gevoelige data zonder argwaan.

Pretexting vindt plaats via verschillende kanalen, waarbij elk kanaal eigen risico's met zich meebrengt. Telefonisch is het meest voorkomend: de aanvaller belt en doet zich voor als een IT-helpdesk medewerker die een "beveiligingscontrole" uitvoert of een wachtwoordreset moet doorvoeren. Via e-mail stuurt de aanvaller berichten die lijken te komen van een bekende interne afzender met een dringend maar geloofwaardig verzoek. Fysiek verschijnt de aanvaller op kantoor als monteur, auditor, bezorger of nieuwe medewerker om toegang te krijgen tot beveiligde ruimtes, achtergelaten werkstations of netwerkpoorten.

Geavanceerde pretexting-aanvallen combineren meerdere kanalen en bouwen het vertrouwen geleidelijk op over dagen of weken. De aanvaller stuurt eerst een e-mail waarin een telefonische follow-up wordt aangekondigd, belt vervolgens met referentie naar die e-mail en bezoekt eventueel fysiek het kantoor. Door elke interactie voort te bouwen op de vorige, wordt het verhaal steeds geloofwaardiger en het vertrouwen van het slachtoffer sterker. Met de opkomst van deepfake-technologie kunnen aanvallers inmiddels ook de stem of het videobeeld van een bekende persoon nabootsen om hun pretext nog overtuigender te maken.

Hoe herken je pretexting?

Herkenning begint bij bewustzijn van de technieken die aanvallers gebruiken. Let op verzoeken die ongebruikelijk zijn, zelfs als de afzender of beller legitiem lijkt. Een IT-medewerker die telefonisch om je wachtwoord vraagt, is altijd verdacht. Geen legitieme IT-afdeling vraagt ooit om wachtwoorden via telefoon, e-mail of chat. Verzoeken met kunstmatige urgentie ("dit moet nu, anders wordt je account geblokkeerd" of "de directeur wacht hierop") zijn een klassiek signaal van pretexting.

Controleer de identiteit van de beller of afzender via een onafhankelijk kanaal dat je zelf initieert. Als iemand belt namens de bank, hang op en bel het bekende telefoonnummer van de bank dat op je bankpas of de officiele website staat. Als een e-mail afkomstig lijkt van een collega met een ongebruikelijk verzoek, bel die collega direct op het bekende nummer of loop even langs. Vertrouw nooit op contactgegevens die de verzoeker zelf aanlevert, want die kunnen onderdeel zijn van het bedrog.

Andere signalen zijn: de persoon kent opvallend veel details over de organisatie maar mist specifieke interne kennis die alleen echte medewerkers zouden hebben, het verzoek wijkt af van standaardprocedures zonder overtuigende verklaring, de persoon ontwijkt vragen over zijn exacte identiteit, afdeling of locatie, en het verzoek gaat om toegang tot systemen, financiele transacties of vertrouwelijke documenten. Bij vishing (voice phishing) klinkt de beller professioneel en zelfverzekerd, maar dringt aan op snelle actie zonder de gebruikelijke verificatiestappen te doorlopen.

Let ook op ongebruikelijke timing en context. Een verzoek op vrijdagmiddag laat, vlak voor de feestdagen of tijdens een bekende drukke periode is verdacht, omdat aanvallers rekenen op verminderde alertheid en de onmogelijkheid om snel te verifieren via collega's die al naar huis zijn.

Hoe bescherm je je tegen pretexting?

De belangrijkste bescherming is security awareness training die specifiek ingaat op pretexting-scenario's. Train medewerkers regelmatig in het herkennen van social engineering-technieken, niet met abstracte theorie maar met realistische simulaties waarbij medewerkers worden geconfronteerd met pretexting-scenario's die zijn afgestemd op hun functie en dagelijkse werkzaamheden. Uit onderzoek blijkt dat organisaties die maandelijks trainen, 70 procent minder slachtoffers van social engineering hebben dan organisaties zonder structureel trainingsprogramma.

Implementeer strikte verificatieprocedures voor gevoelige verzoeken. Stel vast dat gevoelige informatie alleen wordt gedeeld na verificatie van de identiteit van de verzoeker via een tweede, onafhankelijk kanaal. Gebruik een codewoord of verificatiecode voor telefonische verzoeken die betrekking hebben op gevoelige data, systeemtoegang of financiele transacties. Documenteer wie welke informatie mag opvragen, via welk kanaal en onder welke omstandigheden.

Beperk de hoeveelheid informatie die publiek beschikbaar is over je organisatie en medewerkers. Overweeg kritisch welke details op de website, in vacatureteksten en op sociale media daadwerkelijk nodig zijn. Hoe minder informatie een aanvaller kan verzamelen over je organisatiestructuur, processen en medewerkers, hoe moeilijker het wordt om een geloofwaardig scenario op te bouwen. Train medewerkers ook om voorzichtig te zijn met wat ze delen op LinkedIn en andere platforms, vooral over hun functie, verantwoordelijkheden en interne projecten.

Technische maatregelen ondersteunen de menselijke verdedigingslinie. Implementeer multifactorauthenticatie zodat gestolen inloggegevens alleen niet volstaan om toegang te krijgen. Gebruik e-mailfiltering met impersonatie-detectie om verdachte berichten te markeren of blokkeren. Implementeer het vierogenprincipe voor financiele transacties en wijzigingen in toegangsrechten. Log en monitor ongebruikelijke toegangspatronen die kunnen wijzen op een succesvolle pretexting-aanval, zoals inlogpogingen buiten werktijd of toegang tot systemen buiten het normale werkpatroon van een medewerker.

Veelgestelde vragen over pretexting

Wat is het verschil tussen pretexting en phishing?

Phishing gebruikt breed verspreide berichten met kwaadaardige links of bijlagen en vertrouwt op volume. Pretexting is een gerichte aanval waarbij de aanvaller een uitgebreid scenario opbouwt om het vertrouwen van een specifiek doelwit te winnen. Phishing vertrouwt op volume, pretexting op de kwaliteit van het bedrog.

Is pretexting strafbaar in Nederland?

Ja. Pretexting valt onder computervredebreuk (artikel 138ab Wetboek van Strafrecht) en oplichting (artikel 326). De maximale straf is vier jaar gevangenis. Daarnaast kan het slachtoffer civielrechtelijk schadevergoeding eisen van de dader.

Hoe vaak komt pretexting voor?

Pretexting is verantwoordelijk voor meer dan 50 procent van alle social engineering-incidenten volgens het Verizon DBIR. Het aantal neemt jaarlijks toe doordat aanvallers steeds meer persoonlijke informatie online vinden om geloofwaardige scenario's mee op te bouwen.

Welke medewerkers zijn het meest kwetsbaar?

Receptionisten, helpdesk-medewerkers, financieel medewerkers en nieuwe medewerkers zijn het meest kwetsbaar voor pretexting. Zij worden vaak benaderd omdat ze dagelijks verzoeken behandelen en geneigd zijn behulpzaam te zijn. Specifieke rolgerichte training is essentieel.

Werkt AI bij het detecteren van pretexting?

AI-gestuurde tools analyseren e-mailpatronen en detecteren afwijkingen in communicatiestijl die kunnen wijzen op impersonatie. Voor telefonische pretexting bestaan stemanalyse- en deepfake-detectietools. Geen technologie vangt echter alle vormen, menselijke alertheid blijft de belangrijkste verdediging.

Bescherm je organisatie tegen social engineering. Vind de juiste aanbieder via Social engineering testen op IBgidsNL.