Social engineering: hoe herken je CEO-fraude en vishing?

Niet elke aanval komt via e-mail. Telefoon, SMS, LinkedIn-bericht — moderne social engineering gebruikt alle kanalen. Drie patronen en wat je tegenzet.

Phishing is e-mail. Vishing is telefoon. SMishing is SMS. Social engineering is de overkoepelende term — mensen manipuleren om iets te doen dat ze normaal niet zouden doen.

CEO-fraude

"Dit is de CEO. Spoed — ik heb voor een deal cadeaubonnen nodig, €5000, nu meteen. Houd het stil tot morgen, PR-moment." Altijd fake. Altijd.

Tegenzet: proces — bonnen/uitgaves boven drempel moeten via goedkeuring via officieel kanaal. Geen exceptions, geen urgency.

Vishing-CEO-fraude

Telefoontje (kan deep-fake stem zijn in 2026). "Dit is [bedrijf]'s bank — we hebben verdachte transacties, kun je even je inloggegevens bevestigen?" Banken vragen dit nooit.

Tegenzet: hang op, bel terug via officieel nummer. Nooit inloggegevens door de telefoon.

LinkedIn / Help-request

"Ik ben net nieuw bij [jouw bedrijf], kun je me helpen inloggen? Mijn onboarding-mail kwam niet aan." Kan van een ex-medewerker of concurrent zijn die gewoon probeert.

Tegenzet: verifieer via HR. Geen hulp geven zonder verificatie.

Invoice-fraude

"Uw leverancier heeft een nieuw rekeningnummer. Stort de openstaande factuur daar naartoe." Meestal via (vervalste) e-mail vanuit de echte leverancier-mailbox.

Tegenzet: rekeningnummer-wijziging altijd telefonisch verifieren via bekend nummer (niet uit de mail).

Training

Zie phishing herkennen — maar ook simulaties via telefoon en SMS, niet alleen mail.

Zie ook: security-pillar.