Twintig jaar geleden richtten hackers zich op techniek. Inmiddels zijn firewalls en scanners zo goed dat ze hun pijlen ergens anders op richten: de mens. Het klassieke beeld van een hacker in hoodie maakt plaats voor een manipulator die slim gebruikmaakt van gedragspsychologie. Dat noemen we social engineering.
Wat is social engineering?
Social engineering is het manipuleren van mensen om vertrouwelijke informatie prijs te geven of handelingen uit te voeren die ze normaal niet zouden doen. Het is in feite hacken van gedrag in plaats van systemen: een hacker gebruikt psychologische trucs om jou zélf de deur open te laten zetten. Van verlangen tot urgentie: dat zijn de knoppen waarop gedrukt wordt, waardoor je tóch geeft wat je anders nooit zou delen.
Sociale normen
Onze gevoeligheid voor sociale normen — zoals beleefdheid, behulpzaamheid en loyaliteit — wordt genadeloos uitgebuit. Een verzoekje wordt slim verpakt als onschuldige hulpvraag, of het nu gaat om een spoedbetaling of toegang tot een gebouw. Juist organisaties waarin behulpzaamheid diep in de cultuur zit, zijn daardoor extra kwetsbaar.
Lees ook: Mystery guest – wat als de dreiging gewoon binnenloop
Verlangen
Op een afstandje lachen we er soms om: verhalen van dames die in een verhaal trappen over een prins die dolgraag met haar wil trouwen en zijn rijkdom wil delen — mits ze €3000 overmaakt voor een vliegticket. Maar er is niets menselijkersmenselijker dan een verlangen willen vervullen. Die heeft iedereen. Met technieken als OSINT, waarbij je het internet en profielen uitkamt, worden die verlangens zichtbaar. En heb je ze eenmaal gevonden? Dan sta je met één voet binnen.
Urgentie
De andere kant van de medaille: angst om iets te verliezen. Een blokkade, extra kosten, gezichtsverlies — we willen dat koste wat kost vermijden. Urgentie speelt daar slim op in. Een mail met “vandaag nog reageren, anders…”, zet je brein direct in de actiestand. Zo verschuif je ongemerkt van zorgvuldig naar haastig handelen. Precies wat een aanvaller wil.
Behoefte aan duidelijkheid
Een andere zwakke plek is onze drang om onzekerheid zo snel mogelijk op te lossen. Denk aan dat mailtje van ‘Finance’ over een openstaande factuur of een storing bij ‘Microsoft’. Precies op zo’n moment wil je maar één ding: duidelijkheid en het probleem wegwerken. Ons brein houdt niet van open eindjes — en dat weten aanvallers.
Autoriteit
En dan is er nog autoriteit. Een mail die lijkt te komen van je directeur of een telefoontje van iemand die zich voordoet als auditor of IT-manager. We zijn geneigd gezag te volgen, uit respect, plichtsgevoel of simpelweg omdat we het gewend zijn. Zeker in hiërarchische organisaties gebeurt dat bijna automatisch. Zo kan één slim gemanipuleerd verzoek al genoeg zijn om een deur te openen die dicht had moeten blijven.
Waar het samenkomt
Een mail over het kerstpakket, zogenaamd van HR, met een link om je bezorgadres te bevestigen. Of een telefoontje van ‘de auditor’ die zegt dat hij nú in het pand is en nog even snel je inlog nodig heeft. Hier komen al die knoppen samen: behulpzaamheid, urgentie, verlangen, behoefte naar duidelijkheid en het gezag dat je niet wilt tegenwerken. Precies daar maakt social engineering gebruik van.
Herken de knoppen waarop gedrukt wordt
Check dit lijstje en bespreek het eens met je team: hoe vaak kom je dit tegen, en wat zou jou of je collega’s hierop kunnen laten reageren?
“Je account wordt vandaag nog geblokkeerd!”
Urgentie. Zet je brein op scherp en drukt je in de actiestand. We willen koste wat kost problemen voorkomen, en daardoor controleren we minder kritisch.
“Dit is een beveiligingscontrole vanuit uw IT-afdeling. Bevestig direct uw inloggegevens.”
Autoriteit. Zeker als het druk is of je midden in iets anders zit, volg je een verzoek dat gezag uitstraalt sneller op.
“Hoi Jan, kun je dit bestand even snel doorsturen naar Finance? Dank!”
Herkenning en routine. Ons brein scant dit als iets vertrouwds. Bekende namen en patronen zorgen dat je alertheid automatisch daalt.
“Je pakket kan niet bezorgd worden. Bevestig hier even je adres en betaal €1,95.”
Verlangen en gemak. Wie wil nou gedoe? Even snel fixen en door — precies wat een aanvaller wil.
“Om je account te behouden moet je binnen 24 uur actie ondernemen.”
Schaarste. De dreiging iets kwijt te raken, zet je direct in beweging. Zo worden deadlines en beperkte tijd bewust ingezet om je minder kritisch te laten nadenken.
Geen hogere muur, maar een slimmer team
En dat laat zien: het gaat niet om techniek, maar om ons gedrag. En dat kun je niet patchen zoals software, maar wel trainen, bespreekbaar maken en slimmer organiseren. Laat door phishingtests en mystery guests zien waar de zwakke plekken zitten. En schenk aandacht aan security awareness, zodat medewerkers signalen leren herkennen en durven twijfelen. Want hoe beter je weet waar jouw knoppen zitten, hoe moeilijker ze in te drukken zijn. Zo bouw je geen hogere muur, maar een slimmer team dat samenwerkt aan beveiliging — en elkaar helpt om scherp te blijven.
Meer weten over hoe gedrag de sleutel kan zijn tot betere digitale veiligheid in jouw organisatie?
Neem gerust contact op.
