Quiz: Phishing en Social Engineering

Phishing en Social Engineering

Quiz vragen

Niet elke e-mail, sms of telefoontje is wat het lijkt. In deze quiz leer je hoe je dergelijke nepverzoeken herkent en wat je kunt doen zodat je niet in de val trapt.

Resultaten

Gefeliciteerd!

Je hebt de quiz over phishing en social engineering succesvol voltooid! Jouw inzicht in het herkennen van bedrieglijke technieken en het voorkomen van misleiding is essentieel voor persoonlijke en organisatorische veiligheid. Blijf waakzaam en blijf je kennis delen met anderen om hen te helpen zich ook te beschermen.

Helaas nog niet gehaald.

Het lijkt erop dat je de quiz over phishing en social engineering nog niet hebt gehaald. Dit is een complex gebied waarbij aanvallers psychologische tactieken gebruiken om informatie te ontlokken. Neem de tijd om de kenmerken van deze aanvallen beter te begrijpen en probeer de quiz opnieuw. Doorzetten zal je helpen om jezelf en anderen te beschermen tegen deze sluwe bedreigingen.

#1. Wat kun je het beste doen als je een verdachte e-mail ontvangt, maar je hebt er nog niet op geklikt?

Antwoorden op de afzender om te vragen of het klopt

De e-mail markeren als phishing of spam in je e-mailprogramma

Gewoon negeren en in je inbox laten staan

De e-mail doorsturen naar ICT, zodat zij het bekijken

Antwoord:
De e-mail markeren als phishing of spam in je e-mailprogramma

Toelichting:
Als je een verdachte e-mail ontvangt maar nog nergens op hebt geklikt, is het meestal voldoende om de e-mail te markeren als phishing of spam. Moderne e-mailsystemen leren daarvan en kunnen andere gebruikers beter beschermen. Alleen als je twijfelt of het bedrijfsbeleid het vraagt, meld je het apart bij ICT.

Waarom de andere antwoorden niet kloppen:

ICT inschakelen is niet altijd nodig als je het bericht veilig kunt afhandelen — maar bij twijfel mag je natuurlijk altijd overleggen.
Antwoorden op verdachte e-mails geeft juist een signaal dat je actief bent.
De mail laten staan is risicovol: je kunt er alsnog per ongeluk op klikken of het vergeten te melden.

Meer lezen op Wikipedia over:

#2. Hoe kun je een phishingmail vaak herkennen?

Er zit nooit een logo of handtekening onder het bericht

De afzender gebruikt altijd een onbekend e-mailadres

Er staat een vreemd verzoek of aanbod in dat niet past bij de afzender

Phishingmails zijn altijd geschreven in gebrekkig Nederlands

Antwoord:
Er staat een vreemd verzoek of aanbod in dat niet past bij de afzender

Toelichting:
Phishingmails proberen je te verleiden tot iets ongebruikelijks, zoals het invullen van inloggegevens, het klikken op een link of het downloaden van een bestand. Het verzoek lijkt op het eerste gezicht logisch, maar klopt niet met wat je normaal van de afzender zou verwachten.

Waarom de andere antwoorden niet kloppen:

Soms wordt een bestaand e-mailadres misbruikt of vervalst — dus een bekend adres zegt niet alles.
Veel phishingmails gebruiken wél logo’s of nette opmaak om betrouwbaar te lijken.
De taal is vaak prima; oplichters worden steeds professioneler in hun aanpak.

Meer lezen op Wikipedia over:

Phishing

#3. Wat moet je vooral niet doen als je een verdachte e-mail ontvangt?

De e-mail markeren als spam of phishing

De afzender blokkeren in je e-mailprogramma

Klikken op links in de e-mail

De e-mail doorsturen naar je IT-afdeling of helpdesk

Antwoord:
Klikken op links in de e-mail

Toelichting:
Klik nooit op links in een e-mail die je niet vertrouwt. De link kan leiden naar een valse website die je gegevens probeert te stelen of malware installeert. Twijfel je over de echtheid? Ga dan zelf via de officiële website of app van het bedrijf naar je account, en log daar in — nooit via de link in de e-mail.

Waarom de andere antwoorden niet kloppen:

Blokkeren voorkomt vervolgberichten en is juist slim.
Markeren als spam helpt om dit soort berichten te filteren.
Doorsturen naar IT of security is een goede stap om risico’s te beperken.

Meer lezen op Wikipedia over:

#4. Je krijgt tijdens het surfen opeens een pop-up: “Je apparaat is besmet! Download nu deze virusscanner.” Wat is hier aan de hand?

Je apparaat is al besmet, dus je hebt niets meer te verliezen

Dit soort waarschuwingen zijn betrouwbaar als ze op je scherm verschijnen

Het is nep en bedoeld om je bang te maken zodat je iets onveiligs doet

Je moet direct op de link klikken om je apparaat te beschermen

Antwoord:
Het is nep en bedoeld om je bang te maken zodat je iets onveiligs doet

Toelichting:
Dit is een voorbeeld van een nepwaarschuwing die je bang probeert te maken zodat je iets doet wat niet veilig is. Bijvoorbeeld door je te laten klikken op een download link om ‘beveiligingssoftware’ te installeren. Echte beveiligingssoftware toont zulke meldingen niet via je browser. Sluit de pagina en scan je apparaat met betrouwbare software als je twijfelt.

Waarom de andere antwoorden niet kloppen:

Klikken kan juist malware installeren in plaats van voorkomen.
Betrouwbare waarschuwingen komen van je beveiligingsprogramma, niet via willekeurige websites.
Je kunt je apparaat nog prima beschermen — trap niet in angstreacties.

Meer lezen op Wikipedia over:

#5. Je leert iemand online kennen die steeds nieuwsgieriger wordt naar je werk en systemen. Wat is een verstandig antwoordgedrag?

Wees terughoudend met het delen van werkgerelateerde of gevoelige informatie

Als je iemand vertrouwt, kun je gerust details over je werk delen

Als iemand aardig is, zal hij of zij vast geen kwaad in de zin hebben

Het is prima om over je werk te praten als het alleen via privékanalen gebeurt

Antwoord:
Wees terughoudend met het delen van werkgerelateerde of gevoelige informatie

Toelichting:
Een zogenaamde honey trap is een social engineering-aanpak waarbij iemand via persoonlijke of romantische aandacht informatie probeert te ontfutselen. Zelfs als een online contact oprecht lijkt, is het belangrijk om nooit werkgerelateerde of vertrouwelijke informatie te delen. Dat kan later misbruikt worden.

Waarom de andere antwoorden niet kloppen:

Vertrouwen kan misplaatst zijn, zeker online.
Kwaadwillenden doen zich juist vaak extra vriendelijk of geïnteresseerd voor.
Het kanaal maakt niet uit — gevoelige informatie blijft gevoelig, ook via privéchat.

Meer lezen op Wikipedia over:

#6. Je ontvangt als medewerker een e-mail van je ‘CEO’ met het verzoek om snel een groot bedrag over te maken. Wat moet je doen?

Het bedrag meteen overmaken, want het komt van de directie

Twijfelen en het verzoek controleren via een ander kanaal

Wachten op een herinnering voordat je actie onderneemt

Vertrouwen op de e-mail omdat die intern is verzonden

Antwoord: De e-mail vraagt om vertrouwelijke informatie of financiële transacties

Toelichting:
Zulke e-mails kunnen onderdeel zijn van gerichte oplichting, wat ook wel whaling genoemd wordt. Ze spelen vaak in op hiërarchie en urgentie. Ook als het verzoek echt lijkt, is het belangrijk om eerst te controleren via een ander kanaal, zoals telefonisch contact met de afzender.

Waarom de andere antwoorden niet kloppen:

Direct uitvoeren zonder check is riskant, zeker bij ongewone verzoeken.
Interne e-mails kunnen vervalst zijn of van een gehackte mailbox komen.
Wachten op een herinnering maakt de kans op schade alleen maar groter.

Meer lezen op Wikipedia over:

#7. Wat kan een teken zijn dat je te maken hebt met telefonische oplichting?

Je herkent de naam van het bedrijf dat wordt genoemd

De beller spreekt netjes en vriendelijk

Het gesprek duurt maar kort

De beller vraagt naar persoonlijke of gevoelige informatie

Antwoord:
De beller vraagt naar persoonlijke of gevoelige informatie

Toelichting:
Bij vishing (oplichting via de telefoon) doen oplichters zich vaak voor als iemand van een bank, overheidsinstantie of helpdesk. Ze proberen je vertrouwen te winnen en vragen dan om gegevens zoals je geboortedatum, wachtwoord of rekeningnummer. Echte organisaties vragen zulke gegevens nooit telefonisch op.

Waarom de andere antwoorden niet kloppen:

Oplichters zijn juist vaak vriendelijk en overtuigend om je gerust te stellen.
Bekende bedrijfsnamen worden vaak misbruikt om geloofwaardig over te komen.
De lengte van het gesprek zegt niets over de betrouwbaarheid — oplichters zijn soms juist snel en doeltreffend.

Meer lezen op Wikipedia over:

#8. Wat is een veelgebruikte truc bij social engineering?

Vragen stellen over je favoriete hobby’s

Een gevoel van urgentie opwekken zodat je snel handelt

Altijd dreigen met geweld of chantage

Je rustig de tijd geven om alles goed te controleren

Antwoord:
Een gevoel van urgentie opwekken zodat je snel handelt

Toelichting:
Bij social engineering proberen oplichters je te manipuleren — vaak door je onder druk te zetten. Ze doen bijvoorbeeld alsof er meteen iets moet gebeuren, zoals een betaling of inlog. Dat maakt het lastiger om logisch na te denken of het bericht kritisch te beoordelen.

Waarom de andere antwoorden niet kloppen:

Dreiging met geweld komt zelden voor in phishing of social engineering; subtiele druk is veel gebruikelijker.
Hobby’s zijn zelden relevant voor dit soort aanvallen.
Tijd geven om na te denken werkt juist tegen de tactiek van de oplichter — die wil dat je snel en zonder nadenken reageert.

Meer lezen op Wikipedia over:

Social Engineering

#9. Wat moet je doen als je op een link in een verdachte e-mail hebt geklikt?

Meteen melden bij ICT of beveiliging, ook als je niets vreemds ziet

De e-mail verwijderen en hopen dat er niets gebeurt

Wachten tot je telefoon of computer iets raars doet

Je browser sluiten en doorgaan met je werk

Antwoord:
Meteen melden bij ICT of beveiliging, ook als je niets vreemds ziet

Toelichting:
Heb je per ongeluk op een verdachte link geklikt? Meld het dan direct bij je IT-afdeling of beveiliging. Ook als er niets opvallends gebeurt, kan er op de achtergrond iets mis zijn — zoals malware of datadiefstal. Heb je daarnaast je inloggegevens ingevuld? Verander dan direct dat wachtwoord op alle plekken waar je het gebruikt. Zo voorkom je misbruik van je account.

Waarom de andere antwoorden niet kloppen:

Alleen verwijderen helpt niet als je al hebt geklikt — het risico is dan al aanwezig.
De browser sluiten stopt geen mogelijke schade die al begonnen is.
Wachten tot er iets misgaat is gevaarlijk — dan is het vaak al te laat.

Meer lezen op Wikipedia over:

#10. Je ontvangt een e-mail met je naam erin, die verwijst naar een recent project en vraagt om het openen van een bestand. Het lijkt van een collega te komen. Wat is een reden om hier extra alert op te zijn?

Alleen e-mails van onbekenden zijn verdacht

Als er geen link in staat, is er niets aan de hand

Het is betrouwbaar, want het verwijst naar een bestaand project

Het kan een gerichte poging zijn om jou persoonlijk te misleiden met overtuigende informatie

Antwoord:
Het kan een gerichte poging zijn om jou persoonlijk te misleiden met overtuigende informatie

Toelichting:
Spear phishing is een aanval die speciaal is toegespitst op jou als persoon. De aanvaller gebruikt bijvoorbeeld je naam, rol of projecten waar je bij betrokken bent om geloofwaardig over te komen. Juist doordat de e-mail inhoudelijk klopt, lijkt het betrouwbaar. Maar één klik kan genoeg zijn.

Waarom de andere antwoorden niet kloppen:

Ook echte projectnamen kunnen worden misbruikt in een aanval.
Bekende namen zijn geen garantie — mailboxen kunnen gehackt zijn.
Een bijlage zonder URL kan ook al schadelijk zijn.

Meer lezen op Wikipedia over:

Phishing

#11. Wat is een voorbeeld van een oplichter die zich voordoet als iemand van jouw organisatie om informatie los te krijgen?

Je ontvangt een sms met een pakketbezorging die je niet verwacht

Je wordt gevraagd om je creditcardgegevens in te voeren op een gekloonde website

Je krijgt een e-mail met een link naar een nepwebshop

Iemand belt je op en doet zich voor als een collega van IT die om je wachtwoord vraagt

Antwoord:
Iemand belt je op en doet zich voor als een collega van IT die om je wachtwoord vraagt

Toelichting:
Dit is een vorm van pretexting: een oplichter verzint een geloofwaardig verhaal of rol om je vertrouwen te winnen. Door zich bijvoorbeeld voor te doen als IT-medewerker probeert hij jou zover te krijgen dat je gevoelige informatie deelt, zoals wachtwoorden. Het lijkt alsof je iemand uit je organisatie spreekt, maar het is misleiding.

Waarom de andere antwoorden niet kloppen:

De nepwebshop hoort bij phishing, niet bij pretexting.
Een gekloonde website is ook phishing — via nepwebsites, niet via een persoonlijk verhaal.
Een sms met een pakket is smishing: phishing via sms, niet met een menselijke interactie.

Meer lezen op Wikipedia over:

Social Engineering

#12. Hoe proberen phishing-e-mails je vaak te misleiden?

Door officiële logo’s en namen te gebruiken om betrouwbaar te lijken

Door altijd taalfouten te maken zodat je ze kunt herkennen

Door alleen bijlagen te sturen zonder verdere uitleg

Door je vooraf telefonisch te informeren over de e-mail

Antwoord:
Door officiële logo’s en namen te gebruiken om betrouwbaar te lijken

Toelichting:
Phishing-e-mails doen zich vaak voor als betrouwbaar, bijvoorbeeld namens je bank, pakketdienst of werkgever. Ze gebruiken echte logo’s, kleuren en afzendernamen om je te laten geloven dat het klopt. Zo hopen ze dat je op een link klikt of persoonlijke gegevens invult.

Waarom de andere antwoorden niet kloppen:

Niet alle phishing bevat taalfouten — veel e-mails zijn juist goed geschreven.
Je wordt zelden vooraf gebeld over een e-mail, en oplichters doen dit soms juist om geloofwaardigheid op te bouwen.
Alleen een bijlage zonder context valt eerder op; goede phishing lijkt juist overtuigend.

Meer lezen op Wikipedia over:

Phishing

#13. Wat is een waarschuwingsteken dat je op een phishingwebsite bent beland?

De website werkt alleen op je telefoon en niet op je laptop

De website toont geen hangslotje in de adresbalk

De website opent langzaam of ziet er verouderd uit

De site vraagt je om persoonlijke of financiële gegevens die je normaal niet hoeft in te vullen

Antwoord:
De site vraagt je om persoonlijke of financiële gegevens die je normaal niet hoeft in te vullen

Toelichting:
Een veelvoorkomend teken van een phishingwebsite is dat je gevraagd wordt om gevoelige gegevens — zoals je wachtwoord, bankgegevens of burgerservicenummer — op een manier die ongebruikelijk of onnodig is. Wees extra alert als je iets moet invullen wat je normaal niet hoeft te doen, zeker als het via een onverwachte link is gegaan.

Waarom de andere antwoorden niet kloppen:

Een trage of oude website is vervelend, maar maakt het niet automatisch verdacht
Een hangslotje zegt alleen iets over versleuteling, niet over betrouwbaarheid van de site zelf
Een site die niet werkt op één apparaat kan allerlei oorzaken hebben, en is geen teken van phishing.

Meer lezen op Wikipedia over:

#14. Wat moet je doen als iemand zonder pasje met je mee naar binnen wil bij een beveiligde deur?

Vriendelijk vragen of diegene zich wil melden bij de receptie of zelf zijn pas wil gebruiken

Het gebruik van complexe technische methoden om systemen te hacken

Het versturen van ongewenste e-mails naar specifieke personen

Het volgen van iemand op social media om informatie te verzamelen

Antwoord:
Vriendelijk vragen of diegene zich wil melden bij de receptie of zelf zijn pas wil gebruiken

Toelichting:
Tailgating is een veelgebruikte social engineering-tactiek waarbij iemand probeert mee naar binnen te glippen achter een geautoriseerde medewerker. Het is begrijpelijk om beleefd te willen zijn, maar beveiliging gaat voor. Wijs de persoon vriendelijk op de juiste procedure, zoals het gebruiken van een eigen toegangspas of zich melden bij de receptie.

Waarom de andere antwoorden niet kloppen:

Beleefdheid mag nooit belangrijker zijn dan veiligheid
Een badge kan nep zijn of van iemand anders zijn
Slecht weer is geen reden om beveiligingsregels te negeren.

Meer lezen op Wikipedia over:

Social Engineering

#15. Iemand belt je zogenaamd van IT-support en zegt je printerprobleem op te lossen als je je wachtwoord geeft. Wat is hier verdacht?

Je kunt je wachtwoord veilig delen als je belt met ‘support’

Het is slim om in te gaan op zulke hulp, zolang je maar weet met wie je spreekt

Het is betrouwbaar als iemand technische hulp biedt

Er wordt iets aangeboden in ruil voor gevoelige informatie — dat is een typische oplichtingstruc

Antwoord:
Er wordt iets aangeboden in ruil voor gevoelige informatie — dat is een typische oplichtingstruc

Toelichting:
Bij een quid pro quo-aanval probeert een oplichter je iets te laten doen in ruil voor een ‘voordeel’, zoals hulp bij een probleem. Dit soort aanbiedingen zijn vaak misleidend. Deel nooit je wachtwoord, ook niet als iemand je hulp aanbiedt of ‘technisch onderlegd’ klinkt

Waarom de andere antwoorden niet kloppen:

Oplichters doen zich vaak voor als behulpzaam om vertrouwen te winnen.
Supportmedewerkers vragen nooit om wachtwoorden.
Denken dat je weet met wie je spreekt is niet genoeg — controleer altijd via een bekend kanaal.

Meer lezen op Wikipedia over:

Social Engineering

Afronden