U ontvangt een telefoontje. De beller stelt zich voor als medewerker van uw bank, de Belastingdienst of de IT-afdeling van uw eigen organisatie. De stem klinkt professioneel, het verhaal is geloofwaardig en er is haast bij. Binnen drie minuten heeft u informatie gedeeld die u normaal gesproken nooit aan een onbekende zou geven. Welkom in de wereld van voice phishing.
Definitie: voice phishing (vishing)
Voice phishing, afgekort tot vishing, is een vorm van social engineering waarbij een aanvaller via de telefoon probeert gevoelige informatie te ontfutselen. In tegenstelling tot e-mail phishing, waarbij een slachtoffer zelf op een link moet klikken, is vishing een directe, persoonlijke interactie. De aanvaller past zijn verhaal in real-time aan op basis van de reacties van het slachtoffer.
Hoe werkt een vishing-aanval?
Een typische vishing-aanval verloopt in vier fasen: voorbereiding, contact, manipulatie en exploitatie. De aanvaller verzamelt vooraf informatie over het doelwit, neemt contact op als vertrouwde partij, zet psychologische druk in en exploiteert de verkregen informatie.
Waarom is vishing zo effectief?
De effectiviteit berust op drie pijlers: menselijke interactie (een stem creëert vertrouwen), de snelheid van het gesprek (geen tijd om na te denken) en de moeilijkheid van technische detectie (geen spamfilter voor telefoongesprekken).
Wat kunt u doen?
Stel een verificatieprotocol op, train medewerkers regelmatig met realistische scenario's, test de weerbaarheid met mystery calls en creëer een cultuur waarin verdachte telefoontjes worden gemeld.
