Social engineering is zo oud als de mensheid zelf, maar de tactieken evolueren razend snel. In 2026 zien we aanvallen die zo geavanceerd zijn dat zelfs getrainde beveiligingsprofessionals er in trappen. Cybercriminelen combineren kunstmatige intelligentie met diepgaande psychologische manipulatie om medewerkers te misleiden, toegang te verkrijgen en organisaties te compromitteren.
Dit zijn de vijf nieuwste social engineering-tactieken waar uw organisatie op bedacht moet zijn.
1. AI-gegenereerde phishing: onherkenbaar van echt
De tijd van phishing-mails met spelfouten en vreemde vertalingen is voorbij. Moderne aanvallers gebruiken large language models om perfecte, contextbewuste phishing-berichten te genereren. Deze AI-tools analyseren het LinkedIn-profiel van het doelwit, recente bedrijfsnieuwsberichten en zelfs de schrijfstijl van collega's om berichten te creëren die vrijwel niet van echt te onderscheiden zijn.
Een CFO ontvangt een e-mail die exact de schrijfstijl van de CEO nabootst, verwijst naar een daadwerkelijke overname die vorige week in het nieuws was, en vraagt om een urgente overboeking. De e-mail bevat geen bijlagen, geen links — alleen een overtuigend verzoek. Dit is geen science fiction; dit gebeurt nu dagelijks.
Het probleem is schaal. Waar een menselijke aanvaller misschien tien overtuigende mails per dag kon schrijven, genereert AI er duizenden. Elk gepersonaliseerd, elk geloofwaardig.
2. Deepfake voice: de CEO aan de telefoon
Voice cloning-technologie heeft een punt bereikt waar drie seconden audio voldoende zijn om een overtuigende kopie van iemands stem te maken. Aanvallers gebruiken publiek beschikbaar materiaal — podcasts, YouTube-video's, conferentieopnames — om de stem van bestuurders en managers na te bootsen.
De aanval volgt een beproefd patroon: een medewerker van de financiële afdeling wordt gebeld door wat klinkt als de directeur. De stem is herkenbaar, de toon is urgent, en het verzoek lijkt redelijk. "Ik zit in een vergadering en kan niet mailen, maar kun je deze betaling nog vandaag verwerken?"
In 2025 kostte een deepfake voice-aanval een Hongaars bedrijf €35 miljoen. De medewerker die de betaling autoriseerde, was ervan overtuigd met zijn CEO te spreken. Verificatieprotocollen — zoals een terugbelafspraak via een vast nummer — zijn niet langer optioneel maar essentieel.
3. QR-phishing (quishing): de onzichtbare link
QR-codes zijn overal: van restaurantmenu's tot parkeermeters. Aanvallers maken hier dankbaar gebruik van. Quishing — phishing via QR-codes — omzeilt traditionele e-mailbeveiligingsfilters omdat de kwaadaardige URL verborgen zit in een afbeelding in plaats van als klikbare link.
De tactiek is simpel maar effectief. Een medewerker ontvangt een e-mail die lijkt te komen van IT of HR: "Scan deze QR-code om uw MFA opnieuw in te stellen" of "Scan voor het nieuwe parkeerbeleid." De QR-code leidt naar een overtuigende namaakwebsite die inloggegevens oogst.
Fysieke varianten zijn minstens zo gevaarlijk. Nep-QR-stickers over bestaande codes op parkeerautomaten, in kantoorlobby's, of zelfs op naamkaartjes bij netwerkevenementen. De fysieke component geeft de aanval een extra laag geloofwaardigheid.
4. LinkedIn pretexting: het lange spel
LinkedIn is een goudmijn voor social engineers. Niet alleen vanwege de rijkdom aan professionele informatie, maar ook omdat het platform een cultuur van vertrouwen en netwerken koestert. Aanvallers spelen hier geduldig op in met langdurige pretexting-campagnes.
Het scenario: een "recruiter" van een gerenommeerd bedrijf stuurt een connectieverzoek. Na weken van casual conversatie en het opbouwen van vertrouwen volgt een verzoek om een "technische assessment" te doen — in werkelijkheid malware vermomd als een testomgeving. Of er wordt gevraagd vertrouwelijke informatie te delen over "vergelijkbare rollen en salarissen in de sector."
Deze aanvallen richten zich specifiek op IT-medewerkers, systeembeheerders en C-level executives. De geduldfactor maakt ze bijzonder lastig te detecteren: tegen de tijd dat het kwaadaardige verzoek komt, voelt de relatie al vertrouwd.
5. Supply chain social engineering: via de achterdeur
Waarom de voordeur forceren als de achterdeur open staat? Supply chain social engineering richt zich niet op uw organisatie maar op uw leveranciers, partners en dienstverleners — de schakels met toegang tot uw systemen.
Een aanvaller compromitteert het e-mailaccount van een leverancier en stuurt vanuit dat account een bericht naar uw inkoopafdeling: "We hebben ons bankrekeningnummer gewijzigd. Hier zijn de nieuwe gegevens." Het bericht komt van een bekend en vertrouwd adres, verwijst naar bestaande contracten en voelt volkomen normaal.
De NIS2-richtlijn erkent dit risico expliciet. Ketenverantwoordelijkheid is een kernprincipe: organisaties moeten niet alleen hun eigen beveiliging op orde hebben, maar ook die van hun toeleveranciers monitoren en waar nodig eisen stellen.
Technologie alleen is niet genoeg
Wat al deze tactieken gemeen hebben, is dat ze de mens als kwetsbaarheid exploiteren. Firewalls, antivirussoftware en e-mailfilters bieden bescherming tegen technische aanvallen, maar zijn machteloos tegen een medewerker die in goed vertrouwen een betaling autoriseert of inloggegevens deelt.
Effectieve bescherming vereist een combinatie van technologie, processen en — bovenal — bewustzijn. Security awareness-training die verder gaat dan een jaarlijkse e-learning module. Training die medewerkers confronteert met realistische scenario's, hun gedrag meet en continu bijstuurt.
Nexus-7 helpt organisaties hun menselijke kwetsbaarheden in kaart te brengen en structureel te versterken. Niet met standaard checklists, maar met gedragsgerichte assessments die aantonen waar de werkelijke risico's zitten — en wat eraan te doen is.
