“Bedankt voor uw bericht. Ik ben van 21 juli tot en met 16 augustus afwezig wegens vakantie. Voor urgente zaken kunt u contact opnemen met Peter Jansen, Head of Operations. Voor contractuele vragen kunt u terecht bij Sarah de Vries van Procurement. Voor IT-gerelateerde onderwerpen kunt u contact opnemen met onze managed service provider.”
Een handige personeelsgids, gratis aangeleverd
Voor een aanvaller is zo’n zorgvuldig opgestelde out of office mail heerlijk. Een goudmijn. Het is een overzicht van wie tijdelijk extra bevoegdheden heeft, welke afdelingen essentiele processen uitvoeren en welke externe leveranciers betrokken zijn bij de dienstverlening. Inclusief het exacte tijdvenster waarin de belangrijkste beslisser niet bereikbaar is.
Veel organisaties investeren fors in e-mailbeveiliging, awareness-trainingen en threat intelligence. Tegelijkertijd sturen ze automatisch een context-briefing naar iedereen die een e-mailadres weet. Een beetje tegenstrijdig.
Aanvallers beginnen niet met hacken, eerst doen ze onderzoek
Voordat een aanvaller een overtuigende phishingmail opstelt, volgt eerst een periode van onderzoek. Wie neemt besluiten? Welke leveranciers werken samen met het bedrijf? En wie vervangt de beslissers tijdens afwezigheid? Dat laatste is met name een kans voor een aanvaller.
Vervangers verwerken tijdens vakantieperiodes meer verzoeken dan normaal. Ze krijgen vragen van collega’s, leveranciers en klanten. Ze nemen beslissingen die anders bij iemand anders liggen. Tegelijkertijd proberen ze hun eigen werk voort te zetten. De hoeveelheid context die zij moeten verwerken neemt in korte tijd sterk toe: en juist in zulke situaties krijgt geloofwaardige social engineering meer ruimte.
Augustus is een gekke maand
Teams draaien vaak met minimale bezetting en managers zitten soms zelfs in andere tijdzones. Op een reguliere werkdag volgt er bij een verdacht verzoek misschien een korte controle via Teams, een telefoontje naar een manager. Tijdens de vakantieperiode kost diezelfde controle meer tijd.
De kans dat iemand een cybersecurity fout maakt is om al deze redenen in de zomer een stuk groter. Perfect voor de aanvallers.
Zo ziet een aanval er in de praktijk uit
Een aanvaller stuurt een e-mail naar een manager. Het automatische antwoord meldt dat de financieel directeur drie weken afwezig is en dat dringende zaken naar de finance manager gaan.
Vanaf dat moment verschuift de aandacht naar die finance manager. Want als de aanvaller meer informatie over deze persoon heeft, is deze persoon de sleutel om binnen te komen. LinkedIn levert functiebeschrijving en werkhistorie. De bedrijfswebsite heeft misschien een persbericht over een recente samenwerking.
Geen van die bronnen bevat een geheim: het staat allemaal openbaar. Maar door ze te combineren, ontstaat er voor de aanvaller langzaam een samenhangend beeld. Vervolgens verschijnt er een e-mail die verwijst naar een bestaande leverancier of een lopend traject. De afwezige directeur komt terloops voorbij in de tekst en de timing sluit perfect aan op de vakantieperiode: een grote kans op slagen.
De meeste aanvallers proberen een verhaal te vertellen dat voldoende herkenbaar voelt om geen vragen op te roepen. Hoe meer context beschikbaar is, hoe makkelijker dat is.
AI haalt de laatste hobbel weg
Jarenlang waren spelfouten en vreemde formuleringen de meest betrouwbare signalen dat een bericht niet klopte. Die signalen verdwijnen, zoals u weet.
AI versnelt de voorbereidingsfase aanzienlijk. Informatie uit verschillende bronnen zijn binnen enkele minuten geanalyseerd en gestructureerd. Namen, functies, afdelingen en onderlinge relaties komen veel sneller naar voren. Het resultaat: phishingberichten die persoonlijker aanvoelen en beter aansluiten op de dagelijkse werkzaamheden van de ontvanger.
De cijfers onderstrepen dat. Business email compromise (waarbij aanvallers zich voordoen als een vertrouwde partij binnen of rondom een organisatie) was in 2023 verantwoordelijk voor meer dan 2,9 miljard dollar aan gerapporteerde schade in de VS alleen, volgens het FBI Internet Crime Report. Dat zal nu alleen maar hoger liggen. Het is daarmee al jaren de meest lucratieve vorm van cybercriminaliteit. Vakantieperiodes zijn daarin overigens geen uitzondering, maar ze zijn wel een extra aantrekkelijk moment.
De echte vraag is dus niet technisch
Een nieuw securityproduct lost dit niet volledig op. Natuurlijk, monitoring met een SOC zorgt ervoor dat u er op tijd bij bent als het mis gaat. Maar eigenlijk wilt u voorkomen dat het zo ver komt.
De echte vraag is dus: hoeveel informatie heeft een externe afzender daadwerkelijk nodig? Moet een externe afzender weten wie tijdelijke verantwoordelijkheden overneemt? Heeft iemand buiten de organisatie baat bij functietitels, leveranciersnamen of beschrijvingen van interne processen? In sommige situaties ja. In veel andere situaties blijkt een algemener bericht voldoende.
Drie acties die direct uitvoerbaar zijn
1: Onderscheid interne en externe afwezigheidsmeldingen. De meeste e-mailclients ondersteunen dit standaard. Interne collega’s mogen weten wie het werk overneemt en hoe lang iemand weg is. Externe afzenders hoeven dat niet. Een generiek bericht met één contactpunt volstaat.
2: Stel een organisatiebrede baseline vast voor wat er wél en niet in een externe OOO-melding staat. Dat hoeft geen uitgebreid beleidsdocument te zijn, integendeel. Een korte richtlijn met een voorbeeldtekst werkt. Zonder zo’n baseline beslist elke medewerker zelf, en variëren de resultaten.
3: Neem OOO-templates op in bestaande awareness-programma’s, specifiek rondom vakantieperiodes. Als onderdeel van de bredere les over OSINT en informatiedeling. De vraag “wat vertelt jouw afwezigheidsmelding over onze organisatie?” werkt goed als opener in een sessie over social engineering.
Een nuttige aanvullende oefening: bekijk een week voor de zomervakantie een steekproef van afwezigheidsmeldingen vanuit het perspectief van een aanvaller. Welke namen vallen op? Welke verantwoordelijkheden komen naar voren? Welke processen laten zich reconstrueren? De antwoorden zijn vaak verrassender dan verwacht.
Op hun sterkst wanneer ze verbanden leggen
Een automatische afwezigheidsmelding veroorzaakt nog geen geen cyberincident. Een LinkedIn-profiel ook niet. Een leveranciersnaam op een website evenmin.
Maar aanvallers werken niet met losse bronnen: ze zijn op hun sterkst wanneer ze verbanden leggen. En dat doen ze. Wat een verzameling ogenschijnlijk onschuldige details oplevert, is een werkbaar beeld van hoe een organisatie functioneert. Denk aan wie beslissingen neemt, wie er tijdelijk voor in de plaats komt, en waar een geloofwaardig verhaal het makkelijkst binnenkomt.
Tijd om het aan te pakken dus!