← Terug naar diensten // Offensive

Social Engineering

Phishing, vishing en pretexting - de menselijke kwetsbaarheid getest

€175 /uur CCV gecertificeerd

Mensen zijn de sterkste én zwakste schakel in uw beveiliging. Ons team test hoe bestand uw medewerkers zijn tegen gerichte phishing-campagnes, telefonische manipulatie (vishing) en social engineering-aanvallen. Inclusief bewustzijnsrapportage en trainingssessies na afloop.

Wat is een social engineering test?

Social engineering is de kunst van het manipuleren van mensen om beveiligingsmaatregelen te omzeilen. Wij voeren gerichte phishing-campagnes uit, plegen vishing-calls, sturen pretexting-berichten en combineren technieken om te meten hoe weerbaar uw organisatie is tegen mensgerichte aanvallen.

Het verschil met een generiek phishing-platform? Wij bouwen custom scenario's op basis van OSINT over uw organisatie: namen van medewerkers, lopende projecten, interne processen, recente gebeurtenissen. Onze phishing-mails zijn niet herkenbaar als test. Ze zijn opgebouwd als de spear-phishing die APT-groepen en cybercriminelen werkelijk gebruiken.

Typen social engineering tests

  • Phishing - gerichte e-mailcampagnes met custom landing pages die credentials harvesten of malware-downloads simuleren.
  • Spear phishing - gerichte aanvallen op specifieke medewerkers (C-level, finance, IT) met gepersonaliseerde scenario's.
  • Vishing - telefonisch: opbellen als "IT-helpdesk", "bank" of "leverancier" om credentials of informatie te verkrijgen.
  • Smishing - via SMS/WhatsApp.
  • Pretexting - langdurig vertrouwensscenario voor gevoelige informatie of acties.

Waarom een social engineering test laten uitvoeren?

Meer dan 90% van succesvolle cyberaanvallen begint met een menselijke actie: klikken op een link, openen van een bijlage, delen van credentials. Technische beveiliging helpt niet als iemand de voordeur opendoet:

  • Realistische meting: hoeveel procent klikt? Hoeveel voert credentials in? Hoeveel meldt het bij IT?
  • Gerichte awareness: de resultaten vormen de basis voor effectieve, gepersonaliseerde training.
  • Compliance: NIS2 en ISO 27001 vereisen aantoonbaar bewustzijn van social engineering.
  • Incident response validatie: hoe snel worden phishing-mails gemeld? Werkt uw meldproces?

Onze aanpak

Geen generiek platform, maar maatwerk. Wij bouwen de campagne alsof het een echte aanval is:

  • OSINT & target research - LinkedIn, website, vacatures, nieuwsberichten, social media. Dit vormt de basis voor realistische scenario's.
  • Scenario-ontwikkeling - nep-portals van leveranciers, interne IT-meldingen, facturatie-mails, CEO-fraud. Op maat gebouwd.
  • Infrastructuur - look-alike-domeinen, SPF/DKIM passend, landing pages ononderscheidbaar van het origineel.
  • Campagne-uitvoering - verzending en/of vishing-calls, met tracking van opens, clicks, credential-invoer en melding bij IT.
  • Awareness-sessie - na de campagne verzorgen wij een sessie voor medewerkers: wat was de aanval, hoe herken je het, wat doe je? Geen beschaming, maar leren.
  • Rapportage - statistieken per afdeling/functie, benchmarks, risico-analyse en aanbevelingen.

Wat kost een social engineering test?

Ons uurtarief is €175 per uur. Indicaties:

  • Phishing-campagne (50-200 medewerkers, met awareness-sessie): €4.000 - €10.000
  • Multi-vector (phishing + vishing + fysiek): €10.000 - €20.000
Factoren: type test, aantal medewerkers, mate van maatwerk, wel/geen awareness-sessie. Vaste offerte na een scopingsgesprek.

Veelgestelde vragen

Hoe verschilt jullie phishing-test van een GoPhish-campagne?

GoPhish levert template-campagnes. Wij bouwen custom scenario's op basis van OSINT: look-alike-domeinen, gepersonaliseerde content, landing pages die niet van echt te onderscheiden zijn. Het verschil: onze phishing is ononderscheidbaar van een echte aanval. Dat is het punt.

Kunnen jullie ook vishing (telefonische social engineering) uitvoeren?

Ja. Vishing is vaak effectiever dan e-mail. Wij bellen als "IT-helpdesk" of "bank" en proberen credentials of VPN-toegang te verkrijgen. De resultaten zijn confronterend - en daardoor bijzonder leerzaam.

Wat doen jullie met de ingevoerde credentials?

Wij loggen alleen dat credentials zijn ingevoerd, niet de credentials zelf. Alle data wordt versleuteld opgeslagen en na het project vernietigd. AVG-conform. Wij nemen privacy serieus.

Is een phishing-test niet slecht voor het moreel?

Niet als je het goed doet. Wij benadrukken dat het doel is de organisatie te beschermen, niet individuen te beschamen. De awareness-sessie achteraf is cruciaal: medewerkers leren wat ze gemist hebben en voelen zich daarna juist sterker. Wij hebben hier ervaring mee.

Gerelateerde diensten

// Offensive

Fysieke Beveiligingstest

Mystery visits, tailgating en badge-klonen - wij komen naar binnen

 // Research

Training

Security awareness en hands-on hacking

 // Offensive

Pentesting

CCV gecertificeerd - blackbox, greybox & whitebox

Klaar om uw security te testen?

Neem contact op met ons team voor een vrijblijvend gesprek over uw security uitdagingen.

Neem contact op