® 
Vishing (Voice Phishing)
Definitie
Vishing is een sociale engineering-aanval via telefoongesprekken. Aanvallers bellen slachtoffers en doen zich voor als medewerkers van een bank, overheidsinstantie of IT-afdeling om gevoelige informatie te ontfutselen.
Vishing (voice phishing) is een social engineering-aanval via telefoongesprekken waarbij aanvallers zich voordoen als medewerkers van banken, overheidsinstanties, IT-afdelingen of andere vertrouwde partijen om gevoelige informatie te ontfutselen of het slachtoffer tot handelingen te bewegen. Met de opkomst van AI-stemtechnologie worden vishing-aanvallen steeds overtuigender en moeilijker te herkennen.
Hoe werkt vishing?
De aanvaller belt het slachtoffer en creert een gevoel van urgentie of angst: er is een verdachte transactie op uw rekening, uw computer is geinfecteerd, er loopt een onderzoek naar uw identiteit. Door het gesprek professioneel te voeren en kennis te tonen van persoonlijke details creert de aanvaller vertrouwen. Het slachtoffer wordt overgehaald om inloggegevens te delen, software te installeren die de aanvaller remote toegang geeft, of geld over te maken naar een frauduleuze rekening. Caller ID spoofing maakt het mogelijk om het telefoonnummer van de geimiteerde organisatie te tonen.
Soorten vishing
Bankfraude-vishing: aanvallers bellen als bankmedewerker en melden verdachte activiteit op de rekening. Tech support-fraude: aanvallers beweren van Microsoft of een IT-helpdesk te zijn en vragen remote toegang. CEO-fraude via telefoon: aanvallers imiteren met AI-gegenereerde stem de directeur en vragen om een spoedoverboeking. Belastingfraude-vishing: aanvallers doen zich voor als de Belastingdienst en dreigen met boetes.
Impact voor organisaties
Vishing-aanvallen richten zich steeds vaker op medewerkers van organisaties. CEO-fraude via vishing met deepfake-stemtechnologie heeft geleid tot verliezen van miljoenen euros per incident. MFA-bypass via vishing is effectief: aanvallers bellen medewerkers en vragen hen de MFA-code door te geven. NIS2 vereist bewustzijnstraining die ook vishing omvat.
Bescherming
Train medewerkers om nooit gevoelige informatie telefonisch te delen zonder verificatie. Implementeer callback-procedures: hang op en bel de organisatie terug via het officiele nummer. Gebruik multi-channel verificatie voor gevoelige transacties. Wees alert op caller ID spoofing.
Hoe DEFION helpt
DEFION voert vishing-tests uit als onderdeel van Red Teaming en Social Engineering Assessments. Security Awareness Masterclasses trainen medewerkers in het herkennen van telefonische manipulatie.