Organisaties die draaien op vertrouwen hebben iets bijzonders te beschermen. Donateurs, leden, cliënten, vrijwilligers en partners gaan ervan uit dat hun gegevens veilig zijn, dat communicatie betrouwbaar is en dat medewerkers zorgvuldig handelen.
Maar juist dat vertrouwen wordt steeds vaker misbruikt.
Phishing en social engineering zijn daar duidelijke voorbeelden van. Het gaat allang niet meer alleen om slecht geschreven e-mails met verdachte links. Moderne aanvallen zijn vaak persoonlijker, geloofwaardiger en beter getimed. Een bericht lijkt afkomstig van een collega, leverancier, bank, donateur, IT-helpdesk of bekende softwarepartij. De toon is professioneel, de context klopt en de urgentie voelt echt.
En precies daar zit het risico.
Social engineering begint niet bij techniek, maar bij gedrag
Bij social engineering proberen criminelen mensen te beïnvloeden om iets te doen wat ze normaal niet zouden doen. Denk aan klikken op een link, inloggen op een nepwebsite, een betaling goedkeuren, software installeren of gevoelige informatie delen.
Phishing is een van de bekendste vormen daarvan. Het Nationaal Cyber Security Centrum beschrijft phishing als een methode waarmee kwaadwillenden organisaties proberen binnen te dringen of gevoelige gegevens proberen te achterhalen. Vaak is zo’n phishingbericht niet het eindpunt, maar het begin van een aanval: eerst toegang krijgen, daarna rondkijken, rechten uitbreiden en uiteindelijk data of geld buitmaken.
Dat maakt phishing zo verraderlijk. De schade ontstaat vaak niet op het moment van de klik, maar in alles wat daarna mogelijk wordt.
Waarom phishing steeds moeilijker te herkennen is
Vroeger kon je phishing vaak herkennen aan spelfouten, vreemde zinnen of een slordige opmaak. Die tijd is grotendeels voorbij. Met behulp van AI kunnen criminelen snel professionele teksten schrijven, vertalen, personaliseren en aanpassen aan een specifieke doelgroep.
Dat betekent dat oude tips als “let op taalfouten” niet meer genoeg zijn. Natuurlijk blijven taal, afzender en links belangrijk, maar de betere vraag is:
Past dit verzoek bij wat wij normaal doen?
Een mail kan er keurig uitzien en toch gevaarlijk zijn. Een verzoek kan afkomstig lijken van een bekende organisatie en toch vals zijn. Een bericht kan verwijzen naar echte gegevens en juist daardoor extra overtuigend worden.
Denk bijvoorbeeld aan een bericht waarin een donateur, lid of klant wordt aangesproken met gegevens die echt lijken te kloppen. Als iemand weet waar je klant bent, welke reservering je hebt gemaakt, welke organisatie je steunt of welk systeem je gebruikt, wordt een phishingbericht veel geloofwaardiger.
Waarom organisaties die draaien op vertrouwen extra kwetsbaar zijn
Goede doelen, ledenorganisaties, zorgorganisaties en andere impactorganisaties zijn vaak sterk relationeel ingericht. Medewerkers willen helpen. Donateursservice wil snel reageren. Finance wil fouten netjes herstellen. Projectteams vertrouwen op partners. IT of Salesforce-beheerders willen blokkades oplossen zodat het werk door kan.
Die behulpzaamheid is een kracht. Maar zonder duidelijke afspraken kan het ook een kwetsbaarheid worden.
Een medewerker die onder druk wordt gezet om “even snel” een betaling te controleren. Een collega die een link opent omdat het bericht van een bekende leverancier lijkt te komen. Een servicemedewerker die een donateur wil helpen en daardoor een normale controle overslaat. Dat zijn geen domme fouten. Het zijn menselijke reacties in situaties waarin iemand vertrouwen probeert te misbruiken.
Daarom is het belangrijk om phishing en social engineering niet te framen als een individueel oplettendheidsprobleem. Het is een organisatievraagstuk.
De belangrijkste signalen van social engineering
Een verdacht verzoek is niet altijd technisch ingewikkeld. Vaak zit het gevaar juist in de druk die wordt gezet.
Let vooral op verzoeken waarbij iemand:
snel actie vraagt;
geheimhouding benadrukt;
buiten het normale proces om wil werken;
vraagt om inloggegevens, MFA-codes of remote toegang;
vraagt om een betaling of terugbetaling;
een bankrekening, e-mailadres of contactpersoon wil wijzigen;
een link stuurt naar een loginpagina;
een ongebruikelijk kanaal gebruikt, zoals WhatsApp voor iets dat normaal via e-mail of Salesforce loopt.
Een praktische vuistregel is:
Hoe urgenter het verzoek voelt, hoe belangrijker het is om te vertragen.
Bewustwording is nodig, maar niet genoeg
Training en awareness blijven belangrijk. Medewerkers moeten weten hoe phishing werkt en welke signalen verdacht zijn. Maar organisaties moeten niet doen alsof alles afhangt van één alerte medewerker.
Ook goed getrainde mensen klikken soms verkeerd. Zeker op drukke dagen. Zeker als een bericht goed is gemaakt. Zeker als het verzoek lijkt te komen van iemand met gezag.
Daarom moet de organisatie zo zijn ingericht dat één menselijke fout niet meteen grote schade veroorzaakt.
Dat vraagt om drie lagen.
- De eerste laag is gedrag: medewerkers leren vertragen, controleren en melden.
- De tweede laag is proces: er zijn duidelijke afspraken voor betaalverzoeken, terugstortingen, dataverzoeken, leverancierswijzigingen en incidentmeldingen.
- De derde laag is technologie: systemen zijn zo ingericht dat schade wordt beperkt. Denk aan MFA, beperkte rechten, goede logging, monitoring en veilige Salesforce-configuratie.
Pas als die drie lagen samenwerken, ontstaat echte digitale weerbaarheid.
Meldcultuur: liever te vroeg dan te laat
Een belangrijke voorwaarde is een gezonde meldcultuur. Medewerkers moeten verdachte berichten of situaties durven melden, ook als ze misschien al geklikt hebben.
Een organisatie die vooral reageert met schuld, schaamte of verwijt, maakt zichzelf kwetsbaarder. Dan wachten mensen langer met melden. Terwijl snelheid juist cruciaal is.
Een goede securitycultuur zegt niet: “Maak nooit fouten.”
Een goede securitycultuur zegt:
“Meld snel, dan kunnen we schade beperken en ervan leren.”
Dat vraagt om duidelijke meldroutes. Wie bel je? Waar stuur je een verdacht bericht naartoe? Wat doe je als je toch gegevens hebt ingevuld? Wie beslist of accounts, sessies of rechten tijdelijk worden ingetrokken?
Zonder die duidelijkheid gaan mensen improviseren. En improvisatie is precies waar social engineering misbruik van maakt.
Wat heeft Salesforce hiermee te maken?
Voor veel impactorganisaties is Salesforce een kernsysteem. Daarin staan relaties, donateurs, leden, cases, programma-informatie, marketingdata en rapportages. Als een account wordt misbruikt, hangt de schade sterk af van de inrichting van Salesforce.
Heeft de gebruiker toegang tot te veel data?
Zijn exportrechten beperkt?
Is MFA goed ingericht?
Zijn oude accounts afgesloten?
Zijn permission sets nog actueel?
Worden verdachte logins gecontroleerd?
Zijn koppelingen en API-users nog nodig?
Phishing begint misschien bij een mens, maar de impact wordt vaak bepaald door systemen, rechten en processen.
Daarom hoort phishingweerbaarheid niet alleen bij IT of security. Het raakt ook Salesforce-beheer, finance, fondsenwerving, operations, marketing en management.
Hoe TwoPurpose hiernaar kijkt
Bij TwoPurpose kijken we naar digitale weerbaarheid vanuit de praktijk van impactorganisaties. Niet alleen technisch, maar ook organisatorisch.
Want een goede Salesforce-inrichting helpt alleen als processen kloppen. Een phishingtraining helpt alleen als medewerkers weten wat ze daarna moeten doen. En beleid helpt alleen als het uitvoerbaar is voor de mensen die dagelijks met donateurs, leden, klanten of partners werken.
Daarom kijken we naar de samenhang tussen mens, proces en technologie. Waar ontstaat druk? Waar ontstaan uitzonderingen? Welke systemen bevatten gevoelige data? Welke rechten zijn echt nodig? Welke koppelingen staan open? En hoe zorg je dat medewerkers veilig kunnen handelen zonder dat de organisatie star of wantrouwend wordt?
Security is geen rem op impact. Goede security beschermt het vertrouwen waarop impactorganisaties bouwen.
Misbruik van menselijk vertrouwen
Phishing en social engineering maken misbruik van menselijk vertrouwen. Dat vertrouwen is juist bij impactorganisaties een kracht, maar ook een kwetsbaarheid.
De oplossing is niet alleen: beter opletten. De oplossing is: zorgen dat medewerkers, processen en systemen elkaar versterken.
De belangrijkste vraag is daarom niet:
Kunnen onze medewerkers phishing herkennen?
Maar:
Zijn onze mensen, processen en systemen zo ingericht dat één misleidend verzoek niet direct grote schade veroorzaakt?