AI‑gedreven applicaties, plugins en assistants worden steeds gebruikelijker. Een van deze tools is OpenClaw (voorheen Clawdbot en Moltbot), die in korte tijd populair is geworden. Het is een gratis en open‑source autonome AI‑agent ontwikkeld door Peter Steinberger.

De belofte is aantrekkelijk: OpenClaw kan je inbox opschonen, e‑mails versturen, je agenda beheren en andere repetitieve taken uitvoeren. Het kan zelfs doorwerken wanneer jij niet achter je toetsenbord zit. Het voelt bijna alsof je een echte persoonlijke assistent hebt, dus het is niet verrassend dat mensen het graag willen uitproberen.

Toch kleven er – zoals bij veel dingen die te mooi lijken om waar te zijn – directe problemen aan het gebruik van OpenClaw. We willen je waarschuwen voor twee basisrisico’s die belangrijk zijn om te overwegen voordat je OpenClaw of een vergelijkbare agent inzet.

Gemanipuleerde versies van OpenClaw

Er is een groeiende golf aan malafide software die zich voordoet als populaire tools op het internet. Ons Security Operations Center heeft gevallen gezien waarin gebruikers gemanipuleerde versies van de bot download­den, of complete websites bezochten die uitsluitend waren opgezet om OpenClaw te imiteren en gebruikers te misleiden.

Als je besluit te experimenteren met deze agent, is het cruciaal dat je websites of bestandsbronnen vermijdt die niet direct gekoppeld zijn aan de legitieme OpenClaw‑community.

Op basis van onze eigen observaties en onderzoek van andere partijen zoals Malwarebytes raden we het volgende aan:

• Raadpleeg uitsluitend bronnen die gelinkt zijn op https://openclaw.ai en download bestanden alleen van https://github.com/openclaw/openclaw. Bezoek geen discords, GitHub‑repositories of andere bronnen die niet verbonden zijn aan deze officiële pagina’s.
  • Als je een organisatie beheert, blokkeer dan de volgende impersonation‑domeinen:
  o moltbot[.]you
  o clawbot[.]ai
  o clawdbot[.]you
  o github[.]com/gstarwd/clawbot

Risico’s door brede toegangsrechten op OpenClaw

Zelfs als je de correcte agent uit de juiste repository haalt, blijft voorzichtigheid noodzakelijk. Om zijn functionaliteit waar te maken, vereist OpenClaw – net als vergelijkbare agents – extreem ingrijpende permissies.
Om je inbox op te schonen, moet het immers voortdurend toegang hebben tot je communicatie. Om e‑mails te versturen, moet het in staat zijn berichten namens jou te creëren en te verzenden zonder toezicht.

De agent kan daarnaast shell commands uitvoeren, scripts runnen en volledige browser control overnemen. Wanneer een agent met zulke mogelijkheden niet streng wordt begrensd door restrictieve permissiestructuren, is hij per definitie gevaarlijk. Het wordt wat wij een compound risk object noemen.

We gaan niet alle individuele risico’s uitschrijven, maar het zijn er veel. Ze kunnen zowel bewust door een aanvaller misbruikt worden als per ongeluk ontstaan door een storing of gebruikersfout.

De meest noemenswaardige risico’s zijn:

1. Privilege‑amplification en chain‑escalation
2. Massale automatisering van fouten
3. Onvoorspelbaarheid en gebrek aan auditability
4. Ongeautoriseerde data‑toegang en datalekken
5. Gevoeligheid voor prompt‑injection
6. Supply‑chain blootstelling
7. Onbedoelde beleidschendingen
8. Agent‑drift

Security aanbevelingen voor gebruikers van OpenClaw en AI-agents

Individuele gebruikers kunnen met dit soort agents experimenteren, maar moeten dat voorzichtig doen. Houd permissies zo beperkt mogelijk, alleen datgene wat echt nodig is. Vermijd toegang tot gevoelige systemen. Zorg dat alle acties worden gelogd en controleer ze regelmatig. Gebruik menselijke goedkeuring voor handelingen met grote impact. Houd databronnen gescheiden zodat de agent geen informatie kan vermengen of lekken. Monitor afwijkend gedrag of manipulatie van prompts.

Behandel de agent zoals elke krachtige automatiseringstool: pas least privilege toe, isoleer hem en controleer zijn toegangsrechten regelmatig.

Security aanbevelingen voor bedrijven m.b.t. OpenClaw en AI-agents

Organisaties zouden sterk moeten beperken wie autonome agents mag creëren of inzetten. Deze systemen kunnen per ongeluk data benaderen, workflows activeren of acties uitvoeren die gebruikers niet volledig begrijpen. Als iedere medewerker zelf zo’n agent kan opzetten, ontstaat een groot risico op misconfiguraties, data‑exposure en ongeautoriseerde automatisering.

Het is aanzienlijk veiliger om deployment van agents te centraliseren binnen een gecontroleerd team dat verstand heeft van identity‑security, least‑privilege‑principes en monitoring. Daarmee behoudt de organisatie inzicht in wat de agent kan doen en hoe deze zich gedraagt.

Mathis Koch

Security Analist

015 251 36 36

info@pinewood.nl

Waarom Nederlandse (zorg)instellingen nu direct moeten handelen.

Op 11 maart werd de medische tech-gigant Stryker getroffen door een massale cyberaanval. De gevolgen zijn wereldwijd voelbaar: interne Microsoft-omgevingen raakten ontregeld en Windows-apparaten (laptops en telefoons) werden op afstand gewist. De Iraans-gelinkte groep Handala claimt de aanval en zegt 50 TB aan data te hebben buitgemaakt.

Hoewel de exacte methode niet is bevestigd, wijzen alle sporen naar misbruik van Microsoft Intune en Entra ID. Dit incident bewijst: aanvallers hebben geen ransomware meer nodig om een organisatie lam te leggen; toegang tot de beheerlaag is voldoende.

De impact op de Nederlandse zorgketen

Stryker is de ruggengraat van veel moderne ziekenhuizen. Van operatiekamers en IC’s tot de spoedeisende hulp: overal wordt vertrouwd op hun apparatuur en support.

Hoewel de Nederlandse patiëntenzorg op dit moment nog niet direct is geraakt, is de situatie kritiek:

• Logistieke blokkade: Het Europese distributiecentrum in Venlo heeft momenteel geen toegang tot bepaalde systemen. De levering van cruciale medische producten is hierdoor onzeker.
• Ketenrisico: Een hack bij een leverancier is een hack bij een ziekenhuis. Zorg-cybersecurity is keten-cybersecurity.
• Monitoring: Z-CERT adviseert instellingen om alle aan Stryker gekoppelde systemen extra scherp te monitoren.

Belangrijkste adviezen van Pinewood

De ‘Stryker-wipe’ laat zien dat toegang met administratorrechten (zoals Global Admin) fataal is. Wij adviseren Nederlandse organisaties om direct de volgende stappen te nemen:

1. Audit uw beheerrollen onmiddellijk

Ga ervan uit dat beheerrollen gecompromitteerd kunnen zijn. Controleer met hoge prioriteit:

• Conditional Access-beleid: Zijn er onverklaarbare wijzigingen?
• Intune & Entra ID: Controleer apparaat-acties, roltoewijzingen en app-registraties.
• Logging: Stuur alle auditlogs zoals Intune en Entra-ID naar een SIEM voor 24/7 monitoring.
• Compliance‑ en app‑protectiebeleid 

2. Beveilig beheeraccounts (Foutloos)

Eén gecompromitteerde Global Admin kan de hele organisatie wissen.

• Gebruik overal Phishing-resistant MFA.
• Implementeer PIM (Privileged Identity Management) voor ‘just-in-time’ toegang.
• Implementeer Strikt gecontroleerde break‑glass accounts 
• Beheer systemen nooit vanaf onbeheerde (unmanaged) apparaten.

3. Handhaaf strikt ‘Least Privilege’

Beperk de cirkel van mensen die gevoelige wijzigingen mogen doorvoeren.

• Verwijder verouderde rollen.

• Beperk de cirkel van mensen die gevoelige wijzigingen mogen doorvoeren.

• Gebruik Protected Actions voor kritieke aanpassingen in de configuratie.
• Beperk wie Intune device actions mag uitvoeren 
• Controleer wie service principals en app‑registraties mag maken 

4. Oefen crisisscenario’s (Beyond Ransomware)

Stryker had continuïteitsplannen, maar de verstoring is alsnog wereldwijd. Oefen specifiek op:

• Tenant-lockout: Wat als beheerders zelf niet meer kunnen inloggen?
• Out-of-band communicatie: Hoe communiceert u als Microsoft Teams/Outlook platligt?
• Handmatige herstelprocessen: Hoe herbouwt u duizenden gewiste apparaten tegelijk?

Belangrijkste Conclusie: > Het overnemen van de identity- en endpoint-managementlaag is de nieuwe frontlinie. Als deze laag valt, mag de patiëntenzorg dat niet doen. Neem cybersecurity serieuzer dan ooit.

Wilt u weten of uw Microsoft-omgeving optimaal is beschermd tegen dit type aanvallen? Neem contact op met Pinewood voor een security audit of advies.

Siddharth Jethwani

Security Analist

015 251 36 36

info@pinewood.nl

De geopolitieke verhoudingen verschuiven in hoog tempo. Wetgeving rondom dataopslag, cloudgebruik en digitale autonomie verandert continu. Voor organisaties betekent dit dat cybersecurity niet langer alleen een technisch vraagstuk is, maar ook een strategische en bestuurlijke afweging.

Tijdens dit compacte en inhoudelijke webinar bespreken we hoe je als organisatie effectief omgaat met security binnen het huidige politieke landschap — met speciale aandacht voor digitale soevereiniteit.

Wat kun je verwachten?

In 30 minuten krijg je inzicht in:

• De impact van geopolitieke ontwikkelingen op cybersecuritystrategie

• Digitale soevereiniteit: wat betekent dit concreet voor jouw organisatie?

• Risico’s rondom data residency, cloudproviders en afhankelijkheden

• Hoe je security-architectuur toekomstbestendig inricht

• Praktische handvatten om compliant én weerbaar te blijven

Eric van Loon deelt actuele praktijkvoorbeelden en strategische overwegingen die CISO’s, IT-managers en security professionals direct kunnen toepassen.

Voor wie is dit webinar bedoeld?

• CISO’s

• IT- en security managers

• Risk & compliance officers

• Directieleden met verantwoordelijkheid voor digitale strategie

Wanneer en waar?

10:00 – 10:30 uur, 19 mei 2026

Meld je nu aan — de plaatsen zijn beperkt:

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Eric van Loon

CISO & Manager Security Consultancy at Pinewood | MSc | BEng | CISA | CISM | CISSP | CCSP | CIPP/E

eric.vanloon@pinewood.nl

AI verandert cybersecurity fundamenteel. Aanvallers gebruiken generatieve AI voor geavanceerde phishing, snellere malwareontwikkeling en geautomatiseerde reconnaissance. Tegelijkertijd biedt AI juist enorme kansen om je verdediging slimmer, sneller en schaalbaarder te maken.

Tijdens deze compacte Lunch & Learn (30 minuten) nemen de experts van SentinelOne en Pinewood je mee in hoe AI vandaag al concreet wordt toegepast binnen moderne SOC-omgevingen.

Wanneer en waar?

12:15 – 13:15 uur, 11 juni 2026

Bonus: Lunch op onze kosten

Als dank voor je deelname ontvang je een Just Eat Takeaway-bon ter waarde van €20, zodat je tijdens het webinar kunt genieten van je lunch.

Meld je nu aan — de plaatsen zijn beperkt:

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

Compliance, SOC, MT en PR werken vaak los van elkaar. Onder tijdsdruk leidt dat tot vertraging, miscommunicatie of incomplete meldingen – precies waar NIS2 geen ruimte voor laat. In deze interactieve sessie verkennen we hoe je meldplicht en incident response écht op elkaar laat aansluiten.

Waarom?

Na afloop heb je:

• Inzicht in hoe de NIS2 meldplicht en IR samen een geïntegreerd proces vormen

• Concrete ideeën om besluitvorming onder druk te verbeteren

• Handvatten om je IRP en meldprocedure beter op elkaar af te stemmen

• Praktische input voor het versterken van tabletop-oefeningen

Voor wie?

Deze Round Table is bedoeld voor:

• CISO’s

• (IT-)security managers

• Risk & compliance professionals

• Verantwoordelijken voor incident response en crisismanagement

De sessie is kleinschalig opgezet om diepgang en open gesprek mogelijk te maken.

Wanneer en waar?

12:00 – 14:00 uur, 21 mei 2026

Locatie: Pinewood, Delftechpark 35, Delft

Meld je nu aan — de plaatsen zijn beperkt:

Wil je meer weten of een advies op maat? Neem dan contact met ons op voor een vrijblijvend advies gesprek.

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

De AITOPIA-imitatiecampagne laat zien hoe eenvoudig AI-extensies bedrijven kunnen binnendringen. Je browser is niet langer slechts een hulpmiddel — het is een toegangspoort geworden.

Browserextensies: De nieuwe, onzichtbare aanvalsvector voor malware

De meeste mensen denken bij malware nog steeds aan iets luidruchtigs en opvallends: een verdacht bestand, een phishingmail of een dubieuze download. Maar het dreigingslandschap is veranderd. Een van de snelst groeiende aanvalsvectoren van dit moment verschuilt zich in het volle zicht: browserextensies.

Ze worden vrijwillig geïnstalleerd, ogen nuttig en bevinden zich precies in de omgeving waar medewerkers e-mails lezen, SaaS-tools gebruiken, klantgegevens verwerken en steeds vaker met AI-systemen werken.

Case study: Hoe ‘Chat GPT for Chrome’ en andere AI-extensies 900.000 gebruikers misleidden

Een recent onderzoek van OX Security naar twee kwaadaardige Chrome-extensies die zich voordeden als de AI-tool AITOPIA, laat zien hoe gevaarlijk dit is geworden. De volgende extensies zagen er op het eerste gezicht niet verdacht uit:

• Chat GPT for Chrome with GPT 5
• Claude Sonnet & DeepSeek AI
• AI Sidebar with Deepseek, ChatGPT, Claude and more

Ze oogden professioneel, vertrouwd en betrouwbaar; één ervan droeg zelfs het “Featured”-label van Google. Samen werden ze meer dan 900.000 keer geïnstalleerd. Achter dat laagje legitimiteit verzamelden ze echter elke 30 minuten AI-gesprekken, browseractiviteit en sessietokens.

Dit is geen theoretische dreiging meer. Het gebeurt nu binnen echte organisaties. Browserextensies zijn uitgegroeid tot een van de minst gemonitorde maar meest bevoorrechte onderdelen van het enterprise-aanvalsoppervlak. Aanvallers hebben ontdekt dat AI-gerelateerde extensies het perfecte Trojaanse paard zijn om bedrijven op grote schaal binnen te dringen.

Bij Pinewood SOC hebben we vergelijkbare kwaadaardige extensie-activiteit gedetecteerd bij meerdere klanten. In ons rapport Dreiging en Ontwikkelingen van januari 2026 waarschuwden we al voor deze versnellende trend.

Psychologische misleiding: Waarom medewerkers kwaadaardige AI-extensies vertrouwen
De kracht van deze campagne zat niet in technische complexiteit, maar in psychologische misleiding. De aanvallers kopieerden het ontwerp en gedrag van AITOPIA zo nauwkeurig dat gebruikers geen reden hadden om te twijfelen. De extensies leverden precies de AI-sidebarfunctionaliteit die men verwachtte, wat een vals gevoel van veiligheid gaf.

Het “Featured”-label maakte het compleet: voor de gemiddelde gebruiker leek het alsof Google de extensie had goedgekeurd. Zelfs de toestemmingsaanvraag was slim geformuleerd. Gebruikers werd gevraagd om toegang te geven tot “anonieme, niet-identificeerbare analytische gegevens”. In werkelijkheid gaf die toestemming volledige leesrechten op AI-chats en actieve tabbladen. De meeste mensen klikten gedachteloos op “Toestaan”.

De blinde vlek: Waarom traditionele beveiliging extensies mist

Veel organisaties hebben nog steeds sterke endpointmonitoring, maar vrijwel geen zicht op wat medewerkers in hun browser installeren. Deze blinde vlek wordt nu actief uitgebuit. Dit is een nieuwe modus operandi van social engineering: het gericht aanvallen van zeer kleine, specifieke alledaagse digitale subworkflows, in plaats van de traditionele en opvallende aanvalsvectoren.

Wat de extensies daadwerkelijk deden

Na installatie gedroegen de extensies zich zoals verwacht, terwijl ze ondertussen als volwaardige spyware opereerden:

• Elke 30 minuten scanden ze de DOM van ChatGPT- en DeepSeek-pagina’s voor prompts en antwoorden.
• Ze monitorden alle open tabbladen, inclusief URL’s en interne bedrijfslinks.
• Ze onderschepten sessietokens waarmee aanvallers gebruikers konden imiteren zonder wachtwoord of MFA.
• Alle gegevens werden Base64-gecodeerd naar servers van de aanvallers gestuurd.

Waarom dit een directe bedreiging is voor de bedrijfscontinuïteit

De browser is het operationele centrum van moderne organisaties geworden. Het is de plek waar authenticatie plaatsvindt, waar klantgegevens worden ingezien en waar AI-tools worden gebruikt voor strategische beslissingen.

Wanneer een extensie wordt gecompromitteerd, erft de aanvaller alles wat de browser kan zien. Dat omvat vertrouwelijke productplannen, financiële modellen en broncode. Voor leiderschapsteams is de ongemakkelijke realiteit dat één gecompromitteerde browserextensie meer bedrijfsdata kan blootstellen dan een gecompromitteerde laptop.

En nu? Stappen om het security-risico te beperken

Browserextensies zijn software die draait binnen je meest gevoelige omgeving. Neem de volgende stappen:

1. Controleer op de genoemde extensies: Zoek naar Chat GPT for Chrome with GPT 5, Claude Sonnet & DeepSeek AI of AI Sidebar op de browsers van medewerkers.
2. Centraal beheer: Dwing centrale browser policies af en gebruik een allowlist voor toegestane extensies.
3. Monitor rechten: Beoordeel de rechten van extensies met dezelfde zorgvuldigheid als andere bedrijfssoftware.
4. Schoonmaak: Verwijder ongebruikte extensies; ook inactieve extensies behouden hun rechten.

Als er iets niet pluis voelt, is de veiligste stap om de extensie te verwijderen, cookies te wissen en opnieuw in te loggen op kritieke accounts om gestolen sessies ongeldig te maken.

Bronnen

• Google Chrome-extensies stelen ChatGPT-gesprekken van slachtoffers – Security.NL
• Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users
• Malicious Chrome Extensions Steal ChatGPT Conversations

Siddharth Jethwani

Security Analist

015 251 36 36

info@pinewood.nl

Door: Mathis Koch, Security Analist bij Pinewood

ICC reageert op geopolitieke druk met open-source strategie

De discussie over de afhankelijkheid van Amerikaanse software wint in Europa snel aan terrein. De beslissing van het Internationaal Strafhof (ICC) om de Microsoft 365 suite te vervangen door open-source software trok wereldwijd aandacht. Deze suite vormt immers de basis voor vrijwel alle dagelijkse werkzaamheden binnen het hof, van documentverwerking tot samenwerking. De keuze was niet enkel pragmatisch, maar een directe reactie op zorgen over inmenging door buitenlandse staten in gerechtelijke processen.

Deze bezorgdheid werd gevoed door de Amerikaanse sancties tegen meerdere ICC‑functionarissen in zaken die betrekking hadden op Benjamin Netanyahu en Yoav Gallant. Amerikaanse technologiebedrijven mochten geen bestaande contracten meer uitvoeren, waardoor de ICC-functionarissen tijdelijk geen toegang kregen tot cruciale digitale diensten. De impact van dergelijke maatregelen toont aan hoe kwetsbaar instellingen zijn wanneer hun digitale infrastructuur afhankelijk is van leveranciers buiten de Europese jurisdictie.

Waarom Europa nu kiest voor digitale soevereiniteit

Het besluit van het ICC staat niet op zichzelf. In Oostenrijk stapt het Bundesheer over van Microsoft Office naar LibreOffice. In de Duitse deelstaat Schleswig‑Holstein migreert het openbaar bestuur structureel naar open‑source oplossingen, aansluitend bij eerdere stappen in de Franse stad Lyon. Ook de Europese private sector zoekt in toenemende mate naar soevereine alternatieven voor zowel officesoftware als clouddiensten. De Deense overheid is nog verder gegaan en heeft Microsoft 365 volledig afgeschaft op alle publieke apparaten, waarmee zij een duidelijk signaal afgeeft over digitale autonomie.

Deze ontwikkeling is illustratief voor een bredere verschuiving waarbij geopolitiek en bedrijfsvoering steeds sterker met elkaar verweven raken. Wanneer kritieke infrastructuur, zoals de rechtsstaat, defensie en het openbaar bestuur, afhankelijk is van niet‑EU‑leveranciers, ontstaan directe risicos zodra geopolitieke spanningen oplopen. Digitale soevereiniteit draait in deze context om controle: over software supply chains, datastromen en strategische afhankelijkheden. Open‑source en Europese alternatieven worden daarom steeds vaker gezien als manieren om deze controle te herwinnen.

De beveiligingsparadox van digitale soevereiniteit

Tegelijkertijd introduceert het loslaten van grote commerciële platforms nieuwe uitdagingen. Grote leveranciers beschikken over een gigantische capaciteit op het gebied van onderhoud, security patching, threat monitoring en incident response. Kleinere open‑source projecten en Europese technologiebedrijven kunnen dat tempo vaak niet bijbenen, waardoor meer verantwoordelijkheid voor beveiliging terechtkomt bij overheden en gespecialiseerde Europese cybersecurity‑partners.

De dreigingen waarmee Europa wordt geconfronteerd maken dit extra complex. State‑sponsored actors professionaliseren in hoog tempo en richten zich steeds vaker op overheid, infrastructuur en vitale sectoren. Cybercrime, digitale sabotage en vormen van cyber warfare zijn inmiddels structurele risico’s. Hierdoor ontstaat een dubbel dilemma: enerzijds de strategische kwetsbaarheid door de afhankelijkheid van buitenlandse cloud‑ en softwareleveranciers, en anderzijds de operationele kwetsbaarheid die kan ontstaan wanneer organisaties overstappen op minder robuuste of minder volwassen alternatieven.

Samen naar een toekomstbestendige Europese  cyberinfrastructuur

Hier ligt een belangrijke rol voor publiek‑private samenwerking. Europese cybersecurity‑partners, zoals Pinewood met een soeverein SOC, ondersteunen publieke en private instellingen bij het opbouwen van veerkrachtige, soevereine technologiestacks. Dit gebeurt onder meer door het ontwikkelen van gezamenlijke Europese threat‑intelligence‑netwerken, het leveren van grootschalige security monitoring en het versterken van de capaciteit in crisis‑, inlichtingen‑ en cyberdomeinen. Zo kan Europa bouwen aan infrastructuren die niet alleen strategisch onafhankelijk zijn, maar ook bestand tegen toenemende cyberdreigingen.

De zichtbaarheid van organisaties zoals het ICC maakt dit thema urgenter, maar de bredere Europese beweging is al in volle gang. Wanneer Europa erin slaagt open‑source infrastructuur te combineren met sterke governance en structurele investeringen in cybersecurity, kan het daadwerkelijk stappen zetten richting digitale soevereiniteit. Niet als symbolische keuze, maar als essentiële bouwsteen voor strategische onafhankelijkheid in een steeds vijandiger digitaal landschap.

Mathis Koch

Security Analist

015 251 36 36

info@pinewood.nl

Phishingaanvallen blijven een van de meest effectieve cyberdreigingen en maken gebruik van misleiding en social engineering om individuen en organisaties te manipuleren. Phishing is verantwoordelijk voor 15% van alle datalekken, met een gemiddelde schade van 4,88 miljoen dollar per incident, volgens IBM’s 2024 Cost of a Data Breach Report.

Deze aanvallen ogen vaak legitiem, waardoor ze moeilijk te detecteren zijn en grote impact kunnen hebben op bedrijfscontinuïteit, financiën en reputatie. Hieronder lichten we de meest voorkomende vormen van phishing toe en laten we zien hoe zij de beveiliging van organisaties ondermijnen.

1. E-mailphishing

E-mailphishing is de meest voorkomende vorm van phishing. Cybercriminelen versturen frauduleuze e-mails die afkomstig lijken van betrouwbare bronnen, zoals banken, IT-leveranciers of overheidsinstanties. Deze berichten bevatten vaak kwaadaardige links, valse inlogpagina’s of schadelijke bijlagen die bedoeld zijn om inloggegevens te stelen of malware te installeren.

Aanvallers spelen bewust in op urgentie, angst of verleiding, waardoor gebruikers sneller geneigd zijn om te klikken. Ondanks technische e-mailfilters glippen steeds meer aanvallen door de traditionele beveiligingslagen heen, vooral wanneer e-mails inhoudelijk geloofwaardig en contextueel juist zijn.

2. Smishing (SMS-phishing)

Bij smishing ontvangen slachtoffers phishingberichten via sms. De afzender doet zich bijvoorbeeld voor als een bank, pakketbezorger of socialmediaplatform en vraagt de ontvanger om snel actie te ondernemen. Omdat sms-berichten vaak persoonlijker en urgenter aanvoelen, is de kans op succes groot.

Smishing kan leiden tot gestolen inloggegevens, frauduleuze betalingen of de installatie van malware op mobiele apparaten — een aanvalsvector die in veel organisaties nog onvoldoende wordt gemonitord.

3. Vishing (voice-phishing)

Vishing bestaat uit frauduleuze telefoongesprekken waarbij aanvallers zich voordoen als legitieme partijen, zoals banken, de belastingdienst of een IT-helpdesk. Door middel van psychologische manipulatie — bijvoorbeeld angst of tijdsdruk — worden slachtoffers bewogen om gevoelige informatie te delen.

Een bekend voorbeeld is de technical support scam, waarbij de aanvaller beweert dat een systeem is gecompromitteerd en aanbiedt dit “op afstand op te lossen”, met volledige systeemtoegang als gevolg.

4. Quishing (QR-code-phishing)

Quishing is een relatief nieuwe aanvalsvorm waarbij kwaadaardige QR-codes worden gebruikt. Deze codes worden verspreid via e-mails, posters, flyers of digitale advertenties. Na het scannen wordt de gebruiker doorgestuurd naar een valse website of een malware-download.

Door de brede adoptie van QR-codes voor betalingen en contactloze interacties is dit een snelgroeiende dreiging die lastig te detecteren is met traditionele security-oplossingen.

5. Spear phishing

Spear phishing is doelgericht en specifiek afgestemd op een individu of organisatie. Aanvallers verzamelen vooraf informatie via social media, bedrijfswebsites en datalekken om uiterst geloofwaardige berichten op te stellen.

Deze e-mails lijken vaak afkomstig van collega’s, leidinggevenden of vertrouwde leveranciers en zijn bedoeld om inloggegevens te stelen, betalingen te initiëren of malware te verspreiden. Juist door hun hoge mate van personalisatie vormen ze een groot risico — zelfs voor security-bewuste medewerkers.

6. Whaling (CEO-fraude)

Whaling is een gespecialiseerde vorm van spear phishing die zich richt op executives zoals CEO’s en CFO’s. De aanvallen maken misbruik van hiërarchie en autoriteit en bevatten vaak urgente verzoeken om financiële transacties uit te voeren of vertrouwelijke informatie te delen.

De impact is vaak groot: aanzienlijke financiële schade, compliance-issues en reputatieverlies. Dit maakt whaling tot een van de meest risicovolle phishingvarianten voor organisaties.

De groeiende dreiging van phishing vraagt om een Moderne SOC-aanpak

Phishingtechnieken blijven zich ontwikkelen. Aanvallers maken steeds vaker gebruik van AI-gegenereerde content, gedragsanalyse en automatisering, waardoor aanvallen realistischer, schaalbaarder en moeilijker te detecteren zijn.

Tegelijkertijd staan SOC-teams onder druk door alert fatigue, false positives en handmatige triage. Traditionele, rule-based beveiligingsmaatregelen schieten hierbij tekort. Recent vonden onze SOC-analisten ook nog een serieuze schadelijk e-mail  die we tijdig hebben gevonden.

Binnen Pinewood’s Moderne SOC-strategie draait het daarom om:

• contextgedreven detectie in plaats van losse alerts

• automatisering van detectie en respons

• focus op menselijk gedrag als aanvalsvector

Door continu gedrag te analyseren en afwijkingen in communicatiepatronen te herkennen, kunnen moderne SOC-teams phishingaanvallen eerder detecteren en effectiever mitigeren — nog vóórdat schade ontstaat.

Verdiep je kennis:

Webinar: Verdediging tegen moderne e-maildreigingen​ – 19 maart

Gepresenteerd door Pinewood & Abnormal AI

AI verandert de spelregels van cybersecurity — voor zowel aanvallers als verdedigers. Moderne e-mailaanvallen zijn steeds vaker AI-gegenereerd, gedragsgedreven en extreem gericht. Denk aan grootschalige Phishing-as-a-Service-campagnes die traditionele beveiliging eenvoudig omzeilen.

In dit webinar laten Pinewood en Abnormal AI zien hoe mensgerichte, AI-gedreven beveiliging past binnen een Modern SOC-aanpak, waarin automatisering, context en intelligente besluitvorming handmatige triage vervangen.

Wat je leert in 60 minuten:

Schrijf je hierin:

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

In een tijd waarin cyberdreigingen zich razendsnel ontwikkelen en geopolitieke spanningen directe impact hebben op digitale risico’s, wordt één thema steeds belangrijker: digitale soevereiniteit. Voor organisaties die opereren binnen Nederlandse of Europese regelgeving – of die simpelweg maximale controle willen houden over hun data – vormt soevereiniteit geen luxe, maar een strategische noodzaak. In dit artikel beschrijven wij de belangrijkste argumenten voor een soeverein SOC.

Aansluiting op de Nederlandse Digitale Strategie
Digitale autonomie is een van de kernpijlers van de Nederlandse Digitale Strategie (NDS). Een soeverein SOC sluit hier direct op aan door:

• Nationale controle over data te garanderen
• Vendor lock in te voorkomen via open standaarden
• Organisaties te ondersteunen bij compliance voor NIS2, AVG en sectorale normen.

Een soeverein SOC biedt maximale controle over te analyseren logdata en sluit het naadloos aan op de publieke waarden en transparantie eisen van de NDS.

Amerikaanse platformen waarop een SIEM of SOC draait vormen een risico
Veel organisaties denken dat data in Europese datacenters automatisch veilig is onder EU jurisdictie. Dat is helaas niet het geval wanneer de softwareleverancier Amerikaans is. Door extraterritoriale wetgeving blijven deze bedrijven verplicht data te overhandigen aan Amerikaanse autoriteiten — zelfs wanneer de data exclusief in Europa staat.

De US CLOUD Act: extraterritoriale toegang
De US CLOUD Act verplicht Amerikaanse bedrijven om data te verstrekken aan Amerikaanse autoriteiten, ongeacht de locatie van de data. Zelfs als de data zich in een streng beveiligd Europees datacenter bevindt, kan de Amerikaanse overheid deze opvragen.

• De CLOUD Act staat direct op gespannen voet met GDPR en kan Europese privacywetgeving overrulen.
• Amerikaans-juridische analyses tonen aan dat zelfs formele garanties van leveranciers niet uitsluiten dat data aan de VS moet worden verstrekt.
• Het maakt niet uit of servers in Frankfurt, Dublin of Amsterdam staan: data van Amerikaanse bedrijven valt onder Amerikaanse jurisdictie.

Conflict met GDPR en Europese rechtsmiddelen
De CLOUD Act omzeilt procedures zoals MLAT verdragen, die door GDPR worden vereist voor internationale overdrachten. Daardoor ontstaat een juridisch dilemma:
meewerken betekent GDPR schending; weigeren betekent overtreding van Amerikaanse wet.

• Europese toezichthouders bevestigen dat CLOUD Act verzoeken geen rechtmatige basis vormen voor datatransfers vanuit de EU.
• Europese fact checks bevestigen dat CLOUD Act en FISA 702 fundamentele risico’s vormen voor Europese bedrijven.

Impact op SIEM platformen
Veel dominante SIEM platformen — waaronder Microsoft Sentinel, Splunk, Amazon gebaseerde oplossingen en andere Amerikaanse securityproducten — vallen onder deze wetten. Dat betekent dat:

• SIEM logdata, die juist extreem gevoelig is, potentieel opvraagbaar is door Amerikaanse autoriteiten.
• Dataresidency binnen Europa geen bescherming biedt tegen extraterritoriale toegang.
• Afhankelijkheid van Amerikaanse SIEM platformen haaks staat op volledige digitale autonomie.

Vertrouwen, veiligheid en continuïteit
Een soeverein SOC wordt doorgaans bemand door specialisten die gescreend zijn door nationale instanties en vallen onder de nationaal geldende wet- en regelgeving.

Ook het voldoen aan internationaal erkende normen zoals ISO27001, ISAE3402 2 en ISO9001, die aantoonbaar bijdragen aan een betrouwbaar en veilig SOC operating model voegen waarde toe. Een soeverein SOC maakt tenslotte volledige auditability mogelijk: transparante besluitvorming, volledige audittrails en verantwoording op basis van nationale en internationale certificeringen.

Met de NIS2 worden cybersecurity eisen binnen de EU flink aangescherpt. Veel organisaties vallen sinds 2024 of 2025 voor het eerst onder deze wet. Een soeverein SOC helpt organisaties om hun risico’s te monitoren, incidentmelden te borgen en continuïteit van kritieke processen aantoonbaar veilig te stellen wat direct aansluit op de NIS2 standaarden

Conclusie
Vanuit security perspectief is een soeverein SOC geen technische nuance, maar een strategische keuze. Het biedt bescherming tegen extraterritoriale toegang, voorkomt juridische conflicten, ondersteunt compliance met Europese wetgeving en biedt maximale controle over data, detectie en respons.
In een wereld waarin cyberdreigingen grensoverschrijdend zijn, maar wetgeving en verantwoordelijkheden nationaal, is een soeverein SOC dé manier om digitale autonomie, veiligheid en continuïteit te waarborgen — vandaag én in de toekomst.

Het soevereine SOC van Pinewood als antwoord
Het SOC van Pinewood wordt bemand door security analisten, security engineers en threat intel specialisten vanuit de locatie Delft die door de lokale autoriteiten zijn gescreend. Alle SOC-technologie en te analyseren logdata draait on-prem in een private cloud binnen Nederland, gehost bij Fundaments in Enschede. Fundaments onderscheidt zich met een uitgesproken soevereine Cloud-strategie, waarbij data altijd op Nederlandse bodem blijft en volledig wordt gecontroleerd, beheerd en beveiligd volgens de strengste nationale en Europese wet- en regelgeving.

Het SOC-platform worden geleverd vanuit meerdere geografisch gescheiden Tier3+ datacenters in Nederland en zijn gecertificeerd volgens toonaangevende normen, waaronder ISO 27001, NEN 7510 en ISAE 3402. Hierdoor valt te analyseren loggingdata nooit onder buitenlandse jurisdictie, wat essentieel is voor sectoren met strenge regulering zoals overheid, zorg en vitale infrastructuur.

Sebastiaan Kors

CEO

015-251 36 36

sebastiaan.kors@pinewood.nl

Auteur: Siddharth Jethwani, Security Analist

Tijdens een recente advanced threat-huntingoperatie ontdekte het Pinewood Security Operations Center een nieuwe phishingcampagne die rondgaat binnen bedrijven in de voedingsproductie- en transportsector. Hoewel de e-mail op het eerste gezicht legitiem lijkt, onthult een nadere blik meerdere klassieke rode vlaggen én een slim vermomde poging tot het stelen van inloggegevens.

Wat hebben we gevonden?

De phishingpoging komt binnen als een e-mail die lijkt te gaan over het delen van een document. Dit viel direct op:

• Afzenderadres: xxxx@xxxx.com (anoniem gemaakt)
• Weergavenaam afzender: Doc Portal
• Onderwerpregel: Een combinatie van de bedrijfsnaam + “Document.pdf” + drie willekeurige karakters (bijv. Pinewood Document.pdf JiT)
• Kwaadaardige URL:
  o Voorbeeld: https://companyname[.]cubiertasnfumbe[.]com/ext
  o Bijvoorbeeld: https://pinewood.cubiertasnfumbe[.]com/ogfVmrrii9

De mismatch tussen het e-mailadres van de afzender en de getoonde naam is op zichzelf al verdacht. Maar het echte gevaar begint zodra een slachtoffer op de link klikt. Tot nu toe zijn twee verschillende tactieken waargenomen.

Tactiek 1
Wanneer de ontvanger de URL opent, komen ze terecht op een schijnbaar onschuldige webpagina waarop staat dat het account is suspened en dat ze contact moet opnemen met hun hosting provider:

Als de gebruiker vervolgens op “contact your hosting provider” klikt, worden ze doorgestuurd naar een pagina die zorgvuldig is nagemaakt om te lijken op een legitiem Outlook-inlogscherm:

Deze pagina is ontworpen om gebruikers hun Microsoft-inloggegevens te ontfutselen.

Tactiek 2
Wanneer de gebruiker op de phishinglink in de e-mail klikt, komen ze op de volgende pagina terecht:

Deze pagina lijkt sterk op een legitieme SharePoint-omgeving. Gebruikers worden gevraagd hun inloggegevens in te voeren.
Zodra zij dit doen en klikken op “continue with Microsoft SharePoint”, worden ze doorgestuurd naar een PWP-presentatie:

Ook hier worden gebruikers in een vals gevoel van veiligheid gelokt. Beide tactieken leiden uiteindelijk tot hetzelfde doel: het stelen van login-gegevens die onmiddellijk in handen van de aanvallers komen.
Een enkele klik kan voldoende zijn om de mailbox van een medewerker te compromitteren, gevoelige bedrijfsinformatie bloot te leggen of aanvallers toegang te geven tot bredere bedrijfsomgevingen.

Hoe Blijf Je Veilig?

Om jouw organisatie te beschermen, raden we het volgende aan:

• Blokkeer of onderdruk e-mails van vera.indino@realigro.com via je threat-intelligence- of e-mailbeveiligingstools.
• Herinner medewerkers eraan alert te blijven op afwijkende afzendernamen, onverwachte documentverzoeken en URL’s die niet overeenkomen met bekende bedrijfsdomeinen.
• Moedig medewerkers aan verdachte e-mails te melden bij het securityteam in plaats van erop te klikken.
• Sluit je aan op het Pinewood Security Operations Center (SOC).

Phishingcampagnes zoals deze worden steeds geavanceerder, maar met bewustzijn en sterke detectiemaatregelen kan een organisatie een stap voor blijven.
Blijf waakzaam!

Siddharth Jethwani

Security Analist

015 251 36 36

info@pinewood.nl