Eerder schreef ik over het belang en de positie van Security Awareness (zie mijn artikel). Een belangrijk aandachtspunt is dat we samen met de operationele afdelingen naar hun processen moeten kijken. Pas als we begrijpen wat zij doen, kunnen we passende technische én awareness-stappen nemen om een proces écht veiliger te maken.

Vandaag neem ik jullie mee in het proces van het wijzigen van een bankrekeningnummer van een leverancier. De scenario’s zijn niet volledig en ik heb soms shortcuts genomen om het verhaal begrijpelijk te houden. Het doel is te laten zien dat techniek en awareness hand in hand gaan en dat een simpel proces vaak complex blijkt. Generieke adviezen moeten altijd in de context van jouw organisatie bekeken worden; niet iedere best-practice is per definitie DE best-practice voor jou.

We behandelen hetzelfde scenario in meerdere varianten, waarbij telkens extra of andere maatregelen worden toegevoegd. Het punt is: er zijn meerdere wegen naar Rome en zaken zijn niet altijd zo simpel als ze lijken.


Scenario: Geen noemenswaardige maatregelen

Stel je voor: je werkt op de crediteurenadministratie en ontvangt op een rustige ochtend een e-mail van je vaste leverancier. In de e-mail staat dat zij per de eerste van de volgende maand overstappen naar een nieuwe bankrekening. Alles lijkt in orde: de e-mail is verzorgd, spelfoutvrij en de bankgegevens zijn volledig vermeld. Je vertrouwt de professionaliteit van de afzender en voert de nieuwe gegevens in, zodat de volgende factuur automatisch wordt overgemaakt.

Een maand later ontvang je bericht dat de betaling niet is binnengekomen. Pas dan ontdek je dat de rekeningwijziging vals was en dat je organisatie is opgelicht.

Aandachtspunt: Zonder technische maatregelen is het voor een gebruiker lastig om verdachte e-mails te herkennen. Security awareness alleen is geen vervanger voor technische controles, zeker nu het namaken van e-mails steeds eenvoudiger wordt.

Drukke werkplek op een finance afdeling
Processen met een hoger volume die monotoon van aard zijn vormen vaak een groter risico, bepaalde afdelingen vormen dan ook een groter risico.

Scenario: Anti-phishing en spam maatregelen vanuit de M365 Suite (+ E5 Security)

Stel dat je organisatie heeft geïnvesteerd in geavanceerde anti-phishing en spam maatregelen, zoals binnen de M365 Suite en E5 Security. In dit scenario kan de verdachte e-mail al door de filters worden onderschept en nooit in je mailbox belanden. Mocht de e-mail toch doordringen, dan valt op dat je zelden berichten van dit adres ontvangt en dat Outlook een waarschuwing geeft dat de verzender niet geverifieerd is – signalen die op mogelijke fraude wijzen.

Deze aanwijzingen zetten je aan tot actie. In plaats van direct de instructies op te volgen, besluit je even te bellen. Je neemt contact op met de financiële afdeling via het nummer dat in de e-mail staat. Aan de telefoon word je vriendelijk te woord gestaan. Er wordt uitgelegd dat de organisatie recent van IT-provider is gewisseld en dat er technische problemen zijn, waardoor de e-mail mogelijk niet optimaal functioneert. De uitleg klinkt professioneel en de gesprekspartner is duidelijk bekend met jouw organisatie, wat je vertrouwen versterkt.

En dus voer je – ondanks je kritische houding – de nieuwe bankgegevens in. Een maand later blijkt de betaling niet te zijn ontvangen en ontdek je dat deze rekeningwijziging vals was. De aanval was geraffineerd genoeg om zowel de technische filters als de menselijke controle gedeeltelijk te omzeilen. Hier heeft de aanvaller bijvoorbeeld het telefoonnummer vervangen en inspeelde op de sociale gevoelens van de beller.

Aandachtspunt: Ook met technische maatregelen blijft social engineering een risico. Een waardevolle tip voor de awareness-campagne is om contactgegevens niet zomaar uit een e-mail te gebruiken, maar altijd te verifiëren via de officiële website.

Bellende medewerker op een werkplek

Scenario: Geraffineerde aanval

In dit scenario richten we ons op een kleinere organisatie – al is het bij grotere organisaties met meerdere locaties eveneens denkbaar. De aanvaller krijgt toegang tot het netwerk via malware, verouderde servers of kwetsbare IoT-apparaten. Via een slecht beheerde router, waar een bekende kwetsbaarheid in zit, wijzigt hij de DNS-instellingen die aan de clients worden uitgedeeld. Dit gebeurt zo subtiel dat eindgebruikers er niets van merken en kan gebeuren zowel op kantoor als op de thuiswerkplek.

Vervolgens wordt dezelfde e-mail met de nieuwe bankgegevens naar de crediteurenadministratie gestuurd. De e-mail bevat een link naar de website van de leverancier. Omdat je geleerd hebt dat informatie uit e-mails niet altijd betrouwbaar is, klik je op de link en controleer je het adres in je browser. Het adres komt overeen met wat je verwacht en de website ziet er vertrouwd uit. Ook de nieuwsberichten lijken het gewijzigde rekeningnummer te bevestigen, dus voer je de wijziging door. Een maand later blijkt dat de betaling niet is ontvangen en dat er nooit een bericht op de website stond over een gewijzigde rekeningnummer.

Wat is er gebeurd? Door de DNS-instellingen aan te passen, liet de aanvaller de domeinnaam verwijzen naar een eigen server met een kopie van de originele site – die hij naar wens kan aanpassen. Bij beveiligde (HTTPS) sites komt dit moeilijker omdat de aanvaller dan geen geldig certificaat kan voorleggen. In dit scenario speelt dat echter geen rol, omdat de link in de e-mail naar een onbeveiligde (HTTP) versie leidt. Als je het adres handmatig invoert zonder ‘https’, werkt de alternatieve site; gebruik je een bookmark of browser-suggestie, dan verschijnt er mogelijk een foutmelding – maar zonder de juiste instellingen kan die melding simpelweg worden weggeklikt.

Aandachtspunt: Dit voorbeeld toont dat zowel technische als awareness-maatregelen nodig zijn. Een belangrijke tegenmaatregel is het gebruik van HSTS. Met HSTS kun je, zodra je een site eenmaal hebt bezocht, deze voor een bepaalde periode (vaak een jaar) uitsluitend via HTTPS benaderen. Hierdoor zou de beschreven aanval niet slagen. Toch zien we dat slechts ongeveer 29,9% van de websites (per januari 2025) deze maatregel toepast.

Er zijn natuurlijk een flinke sloot aan andere technische maatregelen mogelijk om deze aanval te verhinderen (voel je vrij om ze in de comments te plaatsen), maar het gaat mij er om dat we inzien dat er vele facetten zijn die samen een veilige omgeving opleveren. Het is dan alleen wel zaak om goed naar het totale plaatje te kijken.

Medewerker op een werkplek met een foutmelding op het scherm.
We zien zoveel rode balken, dat we ze tegenwoordig maar gewoon wegklikken

Zoals je ziet, leidt een simpel proces vaak tot complexe kwetsbaarheden. Het is essentieel om technische maatregelen te combineren met een gedegen security awareness-programma. Alleen zo kun je de veiligheid in jouw organisatie optimaal waarborgen. Alle best-practices volgen is zowel onmogelijk als onwenselijk, maar loop met een expert door je bedrijfsprocessen en vind een goede balans tussen veiligheid, werkbaarheid en betaalbaarheid.

Het is een flinke lap tekst geworden, maar zou je meer scenario’s of processen uitgewerkt willen zien in deze stijl? Laat dan eens een reactie achter en dan kijk ik of ik bekend genoeg ben met de materie om wat scenario’s uit te werken.


Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *