Hackers benutten social engineering, vaak via high-touch identity-aanvallen, om data te stelen en bedrijven miljoenen te kosten.
Cybercriminelen kiezen de zwakste schakel om een systeem te kraken. Dat is steeds vaker de mens. Uit het 2025 Unit 42 Global Incident Response Report: Social Engineering Edition van Palo Alto Networks blijkt dat social engineering het afgelopen jaar verantwoordelijk was voor 36 procent van alle onderzochte incidenten.
Mens als populairste exploit
Daarmee social engineering in zijn breedste betekenis met voorsprong de meest voorkomende toegangsroute. Mensen worden vaker misbruikt dan technische exploits. Bij meer dan een derde van deze aanvallen ging het zelfs om non-phishing methoden zoals SEO-poisoning, valse browserwaarschuwingen en manipulatie van helpdeskteams. Die aanvallen staan in contrast met klassieke phishing-technieken zoals valse mails.
Opvallend is de opkomst van zogeheten high-touch en identiteitsgebaseerde aanvallen. High-touch-aanvallen zijn gerichte en interactieve social engineering-aanvallen. Volgens Unit 42 kunnen aanvallers daarmee snel domein-adminrechten verkrijgen door medewerkers of helpdeskprocedures te misleiden. Het Q2 2025 Ransomware Report van Coveware bevestigt deze trend: identity-based social engineering is mainstream geworden en wordt toegepast door groepen als Scattered Spider, die zich richten op grote, herkenbare merken voor maximale impact.
Vervelende spin
Scattered Spider, ook bekend als Muddled Libra, geldt in beide rapporten als schoolvoorbeeld van moderne social-engineeringgroepen. Volgens Coveware richt de groep zich bewust op grote, herkenbare merken in sectoren als retail, luchtvaart en verzekeringen om maximale operationele druk op te bouwen. De groep is op dit moment vooral actief in het VK en de VS.
Unit 42 beschrijft hoe Scattered Spider high-touch-technieken inzet. Leden van de groep doen zich voor als interne medewerkers, misleiden helpdesks om multifactor-authenticatie te resetten en verkrijgen zo soms in minder dan veertig minuten domein-adminrechten.
Legitieme processen
Zowel Coveware als Unit 42 signaleren dat criminelen meer en meer legitieme processen en tools misbruiken. Gestolen inloggegevens, vaak verkregen via info-stealers of vishing (voice phishing – via de telefoon), worden ingezet om toegang te krijgen tot externe services of accounts van derde partijen, zoals IT-dienstverleners.
Criminelen misbruiken meer en meer legitieme processen en tools.
In zo’n gevallen installeren criminelen geen malware in gekraakte omgevingen. Ze breken in hen slaan hun slag met legitieme gegevens en tools. Unit 42 wijst erop dat gemiste beveiligingsalerts, te ruime toegangsrechten en het ontbreken van multifactor-authenticatie veel van deze aanvallen mogelijk maken.
Data stelen
Het doel van de aanvallers is dan ook steeds vaker data-exfiltratie in plaats van of naast versleuteling. Coveware noteert dat in 74 procent van de ransomware- en afpersingszaken data werd gestolen, soms zonder dat systemen werden versleuteld. Bij meer dan de helft van de social-engineeringincidenten in het Unit 42-onderzoek leidde dit tot blootstelling van gevoelige informatie of verstoring van bedrijfsprocessen.
De impact is aanzienlijk. Coveware rapporteert een verdubbeling van zowel het gemiddelde (1,13 miljoen dollar) als het mediane (400.000 dollar) losgeldbedrag ten opzichte van het vorige kwartaal. Hoewel slechts 26 procent van de slachtoffers daadwerkelijk betaalt, toont dit aan dat succesvolle social-engineeringaanvallen niet alleen technisch, maar ook financieel en operationeel verwoestend kunnen zijn.
Zero trust, MFA en patchen
Bedrijven doen er goed aan om het cyberbewustzijn van alle werknemers op te krikken. Verder is de juiste verdediging essentieel. Correct toegewezen rechten (bijvoorbeeld via zero trust), segmentatie binnen de omgeving en MFA kunnen de impact van social engineering-aanvallen en daaropvolgende inbraken met legitieme gegevens voorkomen of fors beperken.
Tot slot merken we op dat social engineering de belangrijkste maar niet de enige vector is. Wie een beveiligingspatch voor een gekend lek in een softwaresysteem niet tijdig installeert, mag zich zeker en vast ook aan aanvallen verwachten.