🔎 Nieuwe aanvalstrend: directe benadering van medewerkers
Een interessante ontwikkeling in recente incidenten is dat aanvallers steeds vaker direct contact zoeken met medewerkers, in plaats van alleen te vertrouwen op phishingmails of technische kwetsbaarheden.
Recent onderzoek laat zien hoe aanvallers medewerkers via Microsoft Teams benaderen nadat zij eerst bewust spam versturen. De aanvaller doet zich vervolgens voor als IT-support en biedt hulp aan bij het “oplossen” van het probleem. In werkelijkheid wordt de medewerker verleid om een remote support sessie te starten, waarna malware wordt geïnstalleerd.
Technisch gezien is dit interessant (gebruik van signed installers, DLL sideloading en DNS-gebaseerde command-and-control).
Maar het belangrijkste inzicht zit ergens anders.
👉 De aanval werkt vooral omdat hij inspeelt op menselijke verwarring en vertrouwen.
De aanvalsketen ziet er ongeveer zo uit:
1️⃣ Eerst verwarring creëren (bijvoorbeeld door spam of storingen te simuleren)
2️⃣ Vervolgens direct contact opnemen via een vertrouwd communicatiekanaal
3️⃣ Autoriteit claimen (“IT-support”)
4️⃣ De medewerker begeleiden naar een actie die toegang geeft
Dit soort scenario’s laat zien dat technische beveiliging hier maar beperkt helpt. De aanval gebruikt immers grotendeels legitieme tools en normale communicatiekanalen.
De echte verdedigingslinie zit daarom in duidelijke procesafspraken:
✔ Hoe neemt IT-support contact op met medewerkers
✔ Wanneer mag remote support worden gestart
✔ Hoe verifieer je de identiteit van een interne medewerker
✔ Welke acties mag een medewerker nooit uitvoeren op verzoek van iemand anders
Zonder zulke afspraken blijft de situatie voor medewerkers onduidelijk. En precies die onzekerheid is waar aanvallers op inspelen.
💡 De trend laat duidelijk zien dat dit type aanval de komende jaren verder zal toenemen. Dit omdat menselijke interactie moeilijk te beveiligen is met techniek en tooling alleen. Security is hiermee een groeiend organisatievraagstuk en niet alleen een technisch vraagstuk.
