Social engineering is verantwoordelijk geworden voor 39% van alle succesvolle pogingen om bij organisaties binnen te geraken, met fake CAPTCHA-campagnes als belangrijkste manier. Daar was een enorme stijging van 1450% zichtbaar, rapporteert LevelBlue in het tweede Threat Trends Report dat het bedrijf uitbrengt. Het aantal cybersecurity-incidenten is mede hierdoor verdrievoudigd in de eerste helft van 2025.
De belangrijkste drijfveer achter de explosieve groei in cyberaanvallen zijn ClickFix-campagnes, een populaire vorm van fake CAPTCHA social engineering. Deze aanvallen maken slim gebruik van het vertrouwen dat gebruikers hebben in bekende beveiligingsinterfaces en zijn nu de dominante aanvalsmethode geworden. HP Wolf Security rapporteerde eerder ook al over de opkomst van neppe CAPTCHA’s, die gebruikers misleiden door hun vertrouwdheid met deze veiligheidsmechanismen uit te buiten.
“Opvallend aan de eerste helft van 2025 is hoeveel geavanceerder cybercriminelen zijn geworden in misleiding”, aldus Fernando Martinez Sidera, Lead Threat Researcher bij LevelBlue. Aanvallers stappen af van traditionele Business Email Compromise (BEC)-aanvallen (ook al is dat nog altijd de meest voorkomende manier om toegang te krijgen tot een organisatie) en zetten in op gerichte sociale manipulatie.
Sterke groei van incidenten
In het Threat Trends Report meldt LevelBlue, sinds vorig jaar de nieuwe naam voor wat vroeger AT&T Cybersecurity heette, dat in de eerste vijf maanden van 2025 het percentage klanten dat slachtoffer werd van een incident steeg van 6% in de tweede helft van 2024 naar 17% in 2025. Over de ernst van de incidenten en dus ook de absolute impact van deze stijging, hebben we op dit moment geen informatie. Dat is natuurlijk wel belangrijk om goed in te kunnen schatten hoe we dit moeten interpreteren. Desalniettemin is het zonder meer een forse stijging.
Snellere infiltratie van netwerken
Naast de sterke stijging in social engineering als manier om organisaties binnen te komen, valt er nog iets op aan het rapport. Zodra aanvallers eenmaal binnen zijn, bewegen ze zich razendsnel door netwerken van organisaties. De gemiddelde breakout-tijd (de periode waarin aanvallers lateraal, dus van de ene silo naar de andere, het ene systeem naar het andere, kunnen bewegen na initiële toegang) bedraagt nu minder dan 60 minuten. In extreme gevallen duurt dit slechts 15 minuten, wat aangeeft hoe efficiënt moderne aanvallers te werk gaan.
Wat moet je ertegen doen?
LevelBlue verwacht dat social engineering de dominante methode blijft voor de rest van 2025 en 2026. Dat betekent dat organisaties zich hier nog beter tegen zullen moeten wapenen. Er zijn sowieso enkele best practices die ze kunnen volgen, volgens LevelBlue.
Allereerst moet het fenomeen fake CAPTCHA beter bekend worden bij medewerkers van organisaties. Daarnaast moeten aanvallen via de browser sowieso meer aandacht krijgen. Het beperken van het gebruik van PowerShell of de command prompt is goed om te overwegen.
Verder is het belangrijk voor organisaties om niet alleen protocollen te ontwikkelen voor het verificatie, maar deze ook te handhaven. Denk aan zaken zoals MFA en IAM-platformen. MFA moet ook altijd ingezet worden om toegang via VPN te krijgen. Moet je echt nog RDP moeten gebruiken, zet er dan in ieder geval een jump server tussen.
Ook op het gebied van software kun je als organisatie stappen zetten om beter bestand te zijn tegen social engineering-aanvallen. Het Windows-programma Quick Assist zou van vrijwel alle endpoints verwijderd moeten worden. Daarnaast moeten organisaties er alles aan doen om het downloaden van alternatieve RMM-tools tegen te gaan. Dat is namelijk een bewezen methode voor aanvallers om ergens binnen te komen. Tot slot is het vanzelfsprekend belangrijk om up to date te blijven als het gaat om het installeren van patches.
Is het genoeg?
Meerdere van bovenstaande stappen zijn onderdeel van wat we doorgaans basale securityhygiëne noemen. Organisaties die dit nog niet doen, zouden zich sowieso achter de oren moeten krabben. Of deze maatregelen voldoende zijn om de stijging van social engineering tegen te gaan, betwijfelen we overigens. Uiteindelijk draait het om het kunnen herkennen van social engineering door medewerkers. En dat is erg lastig, zeker omdat de aanvallers continu andere manieren bedenken en het spectrum voor social engineering heel breed is. Dat betekent echter niet dat organisaties hun security technisch niet op orde kunnen brengen, zodat de impact van een eventuele aanval geminimaliseerd wordt.
Meer aandacht voor social engineering en zaken zoals fake CAPTCHA en ClickFix-campagnes lijkt ons wel zonder meer een goed idee. Dat LevelBlue een stijging van 1450 procent rapporteert vertelt ons namelijk ten minste twee dingen. Het eerste is dat het hiervoor zeer weinig voorkwam en dus een zeer klein probleem was. Anders is een stijging van 1450 procent zeer ongeloofwaardig. Het tweede is dat er doordat het zo weinig voorkwam weinig tot geen aandacht voor was en is bij organisaties. Dat maakt het een des te interessantere manier voor aanvallers om het in te zetten. Aandacht en actie zijn dus zeker aan te raden.