Uit berichtgeving van de NOS blijkt dat aanvallers bij Odido binnenkwamen via phishing. Zij deden zich voor als de interne ICT-afdeling en wisten zo medewerkers te misleiden. Met buitgemaakte inloggegevens kregen zij toegang tot systemen.
Het incident laat opnieuw zien hoe effectief phishing kan zijn. Niet door een technisch lek, maar door misbruik van vertrouwen.
Wat gebeurde er?
De aanvallers stuurden gerichte berichten waarin zij zich voordeden als IT-ondersteuning. Medewerkers werden gevraagd om inloggegevens of om handelingen uit te voeren. Op die manier verkregen de aanvallers toegang tot interne systemen.
Dit type aanval heet social engineering. De techniek is eenvoudig, maar de impact kan groot zijn.
Waarom e-mail een blijvend risico is
E-mail blijft voor veel organisaties de belangrijkste communicatiemiddel. Tegelijk (en daardoor) is het een veelgebruikte aanvalsvector.
Aanvallers gebruiken:
- Nagemaakte interne e-mailadressen
- Spoofing van bekende namen of afdelingen, vaak hoger geplaatsten of IT-afdelingen
- Druk en urgentie in berichten
- Links naar valse inlogpagina’s
Technische beveiliging alleen is niet voldoende. Zodra een medewerker zijn inloggegevens invoert op een valse pagina, is de eerste barrière al gepasseerd.
De rol van awareness
Awareness-trainingen zijn geen eenmalige verplichting, maar een continu proces. Medewerkers moeten leren:
- Hoe interne phishing eruit kan zien
- Waarom ook berichten van “bekende” afzenders verdacht kunnen zijn
- Wat zij moeten doen bij twijfel
- Wat de risico’s en gevaren zijn
Regelmatige trainingen helpen om alertheid hoog te houden. Niet om mensen te testen, maar om gedrag te versterken.
Technische maatregelen blijven essentieel
Naast training zijn technische controles noodzakelijk:
- Multi-factor authenticatie op alle accounts
- E-mailfiltering en anti-phishingoplossingen
- Detectie van afwijkend inloggedrag
- Beperking van rechten volgens het need-to-know principe
Een combinatie van mens en techniek biedt de beste bescherming.
Conclusie
Het incident bij Odido laat zien dat phishing nog steeds een effectieve toegangspoort is. Niet door complexe malware, maar door misleiding.
Organisaties die investeren in sterke e-mailbeveiliging én structurele awareness verkleinen de kans dat een ogenschijnlijk simpel bericht uitgroeit tot een serieus incident.
Bij RiskGuard ondersteunen wij organisaties met phishing-tests, awareness trainingen en technische beveiligingscontroles. Zo versterken we zowel de mens als het systeem.