De Belgische Defensie en de militaire inlichtingendienst ADIV zijn recent geviseerd door phishing via de chatapp Signal. Aanvallers benaderen medewerkers met misleidende berichten en links om toegang te krijgen tot systemen en data. Het incident speelt in België, maar raakt ook Europese digitalisering en de gevolgen voor bedrijfsleven en overheid. Het doel is informatie verzamelen of accounts overnemen, vaak zonder dat slachtoffers dit direct merken.
Phishing via Signal-app
Bij phishing proberen criminelen mensen te misleiden met een geloofwaardig bericht. Via Signal kan dat door een nep-profiel dat zich voordoet als collega, leverancier of leidinggevende. End-to-end versleuteling in Signal beschermt de inhoud van gesprekken, maar niet tegen sociale trucs. De aanval richt zich dus op mensen, niet op de technologie zelf.
De methode is eenvoudig: een onverwachte boodschap, vaak met urgentie, en een link of document. Die link leidt naar een nagemaakte inlogpagina of installeert kwaadaardige software. Ook QR-codes en bijlagen worden gebruikt om beveiliging te omzeilen. Een klein foutje, zoals op een vertrouwde naam vertrouwen, kan genoeg zijn.
Herkenning blijft lastig omdat Signal weinig metadata toont en berichten privé zijn. Dat is goed voor privacy, maar bemoeilijkt controle door organisaties. Gebruikers zien soms alleen een naam en profielfoto, die gemakkelijk zijn na te maken. Daardoor is een tweede kanaal om te verifiëren extra belangrijk.
“Phishing is het misleiden van mensen om gevoelige informatie te geven of kwaadaardige software te installeren, vaak via een bericht dat van een vertrouwde bron lijkt te komen.”
Defensie en ADIV doelwit
Militaire organisaties zijn aantrekkelijk voor spionage en sabotage. Inloggegevens, planningen of contactlijsten zijn waardevol, ook als ze op het eerste gezicht onschuldig lijken. Met zulke data kunnen aanvallers gerichter te werk gaan. Ze bouwen stap voor stap toegang uit binnen netwerken en apparaten.
Bij benaderingen via Signal proberen aanvallers vertrouwen te wekken met interne termen of namen. Dat vergroot de kans dat een link wordt geopend of een verzoek wordt gevolgd. Zelfs één gecompromitteerd account kan deuren openen naar andere systemen. Het risico strekt zich uit tot leveranciers en partners.
Interne waarschuwingen en snelle meldprocedures zijn daarom cruciaal. Medewerkers moeten verdachte berichten direct doorgeven aan IT en beveiliging. Organisaties kunnen tijdelijk strengere controles instellen op externe communicatiekanalen. Ook het blokkeren of beperken van onbekende Signal-contacten op werktelefoons helpt.
Europese regels sturen aanpak
De Europese NIS2-richtlijn scherpt de beveiligingsplicht voor essentiële en belangrijke organisaties aan. Daaronder vallen ook veel toeleveranciers van defensie en kritieke infrastructuur. Zij moeten ernstige incidenten zonder onnodige vertraging en uiterlijk binnen 24 uur melden aan de nationale CSIRT. Deze regels versterken de ketenbeveiliging en bevorderen informatie-uitwisseling.
De AVG (GDPR) blijft leidend bij de omgang met persoonsgegevens die via phishing kunnen worden buitgemaakt. Dataminimalisatie en versleuteling zijn verplicht waar passend. Organisaties moeten kunnen aantonen welke maatregelen zij nemen en hoe lang zij loggegevens bewaren. Een datalekmelding kan nodig zijn zodra er risico is voor betrokkenen.
België werkt via het Centrum voor Cybersecurity België (CCB) aan richtlijnen en coördinatie, en op EU-niveau ondersteunt CERT-EU instellingen bij incidenten. Defensie en inlichtingendiensten vallen deels onder nationale uitzonderingen, maar hun ketenpartners niet. Die partners moeten zich voorbereiden op audits, strengere risicobeoordelingen en incidentrapportage. Dit vraagt om duidelijke contracten en uniforme eisen aan leveranciers.
Impact voor Nederland en EU
Nederlandse organisaties lopen vergelijkbare risico’s, zeker bij samenwerking met Belgische of Europese partners. Het Nationaal Cyber Security Centrum (NCSC) adviseert al langer om berichten via een tweede kanaal te verifiëren. Bijvoorbeeld door iemand kort te bellen of een bekend bedrijfsnummer te gebruiken. Die eenvoudige stap voorkomt veel schade.
Bring-your-own-device vergroot de kwetsbaarheid, omdat privé-apps en werkdata zich mengen. Strikte scheiding met mobiele werkprofielen en Mobile Device Management (MDM) verkleint het risico. Ook duidelijke afspraken over het gebruik van chatapps voor werk zijn nodig. Leg vast wanneer Signal, sms of e-mail wel of niet is toegestaan.
Voor het Europese bedrijfsleven betekent dit dat digitalisering en de gevolgen voor bedrijfsleven en overheid samen op moeten gaan met basishygiëne. Denk aan multi-factorauthenticatie, beperkte rechten en snelle intrekkingsprocessen. Zero-trust-principes helpen: vertrouw geen enkel bericht of apparaat zonder controle. Dat maakt phishing minder effectief.
Wat organisaties nu kunnen doen
Train teams in het herkennen van nepberichten en laat oefencampagnes draaien. Gebruik duidelijke voorbeelden, ook via Signal en andere chatapps. Meet het effect en pas beleid aan waar dat nodig is. Betrek hr en communicatie, niet alleen IT.
Beperk risico’s op mobiele apparaten met MDM, app-allowlisting en geautomatiseerde updates. Schakel linkvoorvertoning uit waar mogelijk en blokkeer installaties van onbekende bronnen. Leg inlogpagina’s vast als “favorieten” en verbied het volgen van login-links uit berichten. Zo verklein je de kans op datadiefstal.
Richt snelle meld- en responsprocessen in met duidelijke contactpunten. Zorg dat securityteams verdachte nummers, domeinen en hashes kunnen delen met partners en sectorale meldpunten. Maak gebruik van dreigingsinformatie van CCB, NCSC en CERT-EU. Dat versnelt detectie en herstel na een incident.
Brede digitale weerbaarheid
Phishing via Signal laat zien dat aanvallers meebewegen met populaire platforms. Technologie zoals versleuteling is nodig, maar niet genoeg. Menselijke controle en procesafspraken blijven het verschil maken. Dat geldt voor overheden, zorg, industrie en defensie.
Met NIS2 en de AVG zet Europa de lijn uit voor hogere basiseisen. Organisaties die nu investeren in beleid, tooling en training, lopen straks voorop. Dat beperkt juridische risico’s en operationele schade. Het versterkt ook het vertrouwen in digitale samenwerking.
Uiteindelijk is weerbaarheid een ketenkwestie. Bedrijven, leveranciers en publieke diensten moeten dezelfde taal spreken over risico’s en maatregelen. Heldere contracten en gezamenlijke oefeningen helpen daarbij. Zo blijft digitalisering veilig én effectief.