Before you continue
To give you the best possible experience please select your preference.
To give you the best possible experience please select your preference.
Hackgroep ShinyHunters belt klantcontact-medewerkers, doet zich voor als IT, en wist zo bij Odido en Aura miljoenen klantgegevens te stelen.
Het patroon schaalt naar MKB. Elke loodgieter, advocaat of installateur met klantcontact loopt hetzelfde risico op een doordeweekse dinsdag.
Een telefonie met klantkaart, logging en transcriptie stopt vishing niet volledig, wel maakt ze het werkpatroon van ShinyHunters meetbaar moeilijker.
In februari was het Odido. 6,5 miljoen Nederlandse klantgegevens op straat. Een maand later Aura, het Amerikaanse bedrijf dat juist identiteitsfraude moest voorkomen. 900.000 records weg. Begin mei kwam de derde klap, gemeld door Malwarebytes. Miljoenen gegevens van studenten en docenten van grote Amerikaanse universiteiten.
Telkens dezelfde groep. ShinyHunters. Telkens dezelfde aanpak.
Een medewerker krijgt een telefoontje. De beller zegt van de IT te zijn, of van een leverancier waar het bedrijf mee werkt. Hij vraagt iets kleins. Een autorisatie goedkeuren, een plug-in installeren, een wachtwoord bevestigen. Bij Odido ging het via Salesforce. Bij Aura via een gewone werknemer. De methode heet vishing, voice phishing. Geen technische hack. Gewoon een telefoongesprek.
Internationale cybersecurity-experts spreken van een nieuwe golf. Hier publiceerde de Autoriteit Persoonsgegevens eerder deze maand het Jaarverslag 2025. 44.374 gemelde datalekken, 17 procent meer dan in 2024. Klachten en signalen stegen met 75 procent. Cyberaanvallen zijn maar 5 procent van het geheel, maar ze raken vaak grote groepen klanten tegelijk.
De AP noemt Odido, Booking.com en Basic-Fit als grootste lekken van het eerste deel van 2026. Niet allemaal via ShinyHunters of vishing. Booking.com werd geraakt via ClickFix-malware op hotelpartners. Hoe Basic-Fit is binnengekomen, blijft tot nu toe onbekend. Wat de drie wel delen, is de zwakke schakel. Een medewerker op de klantenservice die op zijn werkdag een telefoontje, een mail of een chat aannam.
Voor MKB-Nederland zit daar het echte gevaar. ShinyHunters mikt nu op grote namen, maar het patroon werkt net zo goed op kleine schaal. Een Nederlandse loodgieter, een advocatenkantoor, een installatiebedrijf. Ze hebben allemaal iemand die de telefoon opneemt. Die persoon kan op een doodgewone dinsdag een vriendelijke stem aan de lijn krijgen. "Hoi, ik bel namens de IT-afdeling."
NCTV en het Digital Trust Center waarschuwen al een tijd voor dezelfde rode vlaggen. Ze zijn makkelijk te herkennen als je weet waar je op moet letten.
Eén. Een onbekend nummer dat zich als bekend voordoet. De beller zegt te bellen "namens" een bekende leverancier, IT-partij of bank. Het nummer in het scherm komt niet overeen met de officiële nummers. De medewerker heeft geen tijd om dat te checken, want het lijkt haast te hebben.
Twee. Een verzoek dat onschuldig klinkt. Geen geld, geen wachtwoorden, geen creditcards. Wel even op een link klikken. Een autorisatie-aanvraag goedkeuren. Een "update" installeren. Bij Odido was het een OAuth-app voor Salesforce. Bij Aura een wachtwoord-reset.
Drie. Druk om snel iets te doen. "We moeten dit voor het einde van de dag opgelost hebben." "Je manager weet ervan." "Je collega's wachten." Tijdsdruk zet het kritisch denken uit. De aanvaller weet dat.
Vier. De beller weet veel. Hij kent de naam van de medewerker. Hij weet bij welk team hij hoort. Plus hij noemt namen van leveranciers die ook echt bij het bedrijf horen. Die info heeft hij eerder verzameld via LinkedIn, oude datalekken, of openbare bronnen.
Veel bedrijven zien dit als een ICT-probleem. Sterkere wachtwoorden, betere training, twee-factor authenticatie. Allemaal nuttig. Alleen missen die maatregelen het hart van de aanval. Want de aanval gebeurt op de telefoonlijn zelf. En daar hebben de meeste MKB-bedrijven hun telefonie niet voor ingericht.
Concreet. Iemand belt naar je medewerker. Op het scherm verschijnt een nummer en hoogstens een naam. Of de beller is wie hij zegt te zijn? Niet te zien. Of zijn verzoek past in het normale werkpatroon? Geen idee. En eerdere gesprekken met deze partij blijven onzichtbaar.
Daar leeft ShinyHunters van. De medewerker zit in een telefonie-omgeving die de beller niet kan plaatsen.
Enreach Contact draait in de browser, op de telefoon, of native in Microsoft Teams. Voor weerbaarheid tegen vishing maakt dat op drie manieren verschil.
Eén. De klantkaart komt vanzelf mee. Bij een inkomend gesprek ziet je medewerker direct welke leverancier of klant het is. Of er kortgeleden contact is geweest. Hoe de relatie er nu voor staat. Een beller die zich voordoet als IT-leverancier verschijnt zonder klantkaart in beeld. Dat is geen sluitend bewijs van vishing. Wel een signaal dat het gesprek even extra aandacht verdient.
Twee. Het bedrijfsnummer blijft altijd herkenbaar. Wanneer iemand richting medewerkers belt en die persoon valt buiten het systeem, zie je dat meteen op het scherm. Een externe beller die om interne autorisatie vraagt, is zichtbaar een externe beller.
Drie. Loggen gebeurt automatisch. Elk gesprek staat geregistreerd met tijdstempel, gebruiker en bron. Vermoed je een aanval? Dan zie je achteraf wie er belde, vanaf welk nummer, en met welke medewerker. Voor de AVG en de Cyberbeveiligingswet is dat trouwens ook handig.
Smart Contact gaat een stap verder. Het systeem maakt automatisch een transcript en een samenvatting van het gesprek. Voor een vishing-scenario betekent dat twee dingen.
Aan de voorkant. Voelde een gesprek raar? Dan kan de medewerker het achteraf op tekst nalezen. Hij hoeft niet uit zijn hoofd te halen welke vraag werd gesteld of welke naam genoemd werd.
Aan de achterkant. Bij een vermoedelijk incident hoeft de security-medewerker niets te gokken. Het transcript ligt klaar. Voor een rapportage aan AP of NCTV is dat het verschil tussen een aanname en een reconstructie.
Shomi, de persoonlijke assistent in Enreach Contact, legt er nog een laag overheen. Voicemails worden uitgeschreven. Samenvattingen belanden direct in het CRM. Komt een verdacht gesprek toch via voicemail binnen? Dan ligt de inhoud vast. De medewerker kan het de volgende ochtend rustig terugkijken.
Geen van deze drie functies zet vishing helemaal stop. Ze maken het werkpatroon van ShinyHunters wel een stuk lastiger. Vier verschillen tussen een MKB-bedrijf met deze functies en eentje zonder. Identificatie, context, logging, transcript.
Even los van de aanvalsmethode. De 6,5 miljoen Odido-gegevens staan op het darkweb. Daar zitten namen tussen. E-mailadressen. Telefoonnummers. Geboortedata. Paspoortnummers. Plus BSN's van zzp'ers. Voor cybercriminelen is dat bouwmateriaal.
Ze koppelen die data aan oudere lekken. GGD, LinkedIn, webwinkels. Het eindproduct heet in criminele kringen een "fullz", een compleet digitaal profiel. Met zo'n profiel kan een aanvaller veel gerichter vishen. De volgende beller die jouw medewerker pakt, kent vaak al de naam en het adres van jullie klant. Plus het rekeningnummer paraat. Daardoor klinkt zijn verhaal extreem geloofwaardig.
De Autoriteit Persoonsgegevens noemde dat eerder dit jaar al een "zorgwekkende trend". Voor MKB-Nederland is dus de oude redenering "wij zijn te klein om aangevallen te worden" niet meer geldig. Aanvallers hebben jullie klanten vaak al in beeld voordat ze jullie überhaupt bellen.
Een doorsnee scenario. Bouwsteen voor bouwsteen.
Maandagochtend, kwart voor tien. Een medewerker op de klantenservice neemt op. De beller noemt zich Mark, technische ondersteuning van het CRM-platform. Rustige stem. Hij kent de bedrijfsnaam. Er moet vanmiddag een veiligheidsupdate worden goedgekeurd, anders valt het systeem straks uit. Op het scherm verschijnt een autorisatie-aanvraag. Mark voegt toe dat de IT-manager al op de hoogte is.De medewerker klikt op goedkeuren. Mark bedankt vriendelijk. Vier minuten gesprek. Drie uur later staat een kopie van de klantendatabase op het darkweb.
Bij Odido duurde het maanden voordat de hele impact zichtbaar werd. Bij een MKB-bedrijf gaat het sneller, want de schaal is kleiner. Een aanval op vrijdag valt vaak pas maandag op. Het weekend geeft criminelen tijd zat. Ze verkopen de gegevens, koppelen ze aan andere lekken, en zetten gerichte vervolgaanvallen op.
Voor MKB-ondernemers die niet willen wachten tot de volgende AP-rapportage, drie concrete acties zonder grote investering.
Eén. Maak een lijst van wie er extern belt voor IT. Welke leveranciers vragen ooit om een autorisatie of wachtwoord-update? Iedere andere beller met zo'n verzoek krijgt eerst een terugbel-verificatie. Geen uitzonderingen.
Twee. Maak van loggen een gewoonte. Niet alleen voor de wet, ook voor weerbaarheid. Wie elke werkdag weet wie er belde en met wie, ziet een vreemd patroon binnen 24 uur. Wie dat overzicht mist, komt er pas achter als de gegevens al online staan.
Drie. Train je mensen met rollenspel, geen handleiding. Een cybersecurity-cursus blijft abstract. Een onaangekondigd telefoontje van een nepleverancier blijft hangen. Het herkenningsmoment is sterker dan elke regel op papier.
Wat zien jouw medewerkers in beeld bij een binnenkomend gesprek? Alleen een nummer? Dan staat je eerste verdediging open. Krijgen ze automatisch een klantkaart? Dan zien ze direct context. Geen klantkaart, geen automatisch vertrouwen.
Hoe weet je medewerker wanneer een leveranciers-gesprek klopt? Bij een echte IT-leverancier zit er een geschiedenis achter. Bij ShinyHunters niet. Een telefonie met logging en historie maakt dat verschil binnen seconden zichtbaar.
Wat doet je bedrijf binnen 24 uur na een vermoedelijke vishing-aanval? Een interne memo? Dan ben je niet voorbereid. Bij een incident telt elke minuut. De eerste vraag van de AP wordt welke gesprekken er die dag zijn gevoerd en met wie.
Praat met Enreach over wat je bedrijfstelefoon nu al kan toevoegen aan weerbaarheid tegen sociale aanvallen via de lijn. Geen wondermiddel. Wel een laag die het werkpatroon van ShinyHunters meetbaar moeilijker maakt.
Austria
Denmark
Finland
France
Germany
Latvia
Netherlands
Spain
Sweden
Switzerland
United Kingdom
Global
