In april 2025 werden de Britse winkelketens Marks & Spencer, Co-op en Harrods getroffen door een reeks cyberaanvallen. De toegang tot M&S verliep niet via een geavanceerde technische kwetsbaarheid, maar via een telefoontje. De aanvallers, die worden toegeschreven aan de groep Scattered Spider, deden zich voor als een medewerker en belden de IT-servicedesk, die was uitbesteed aan een externe partij. Die voerde vervolgens een wachtwoordreset uit, en daarmee lag de voordeur open. De geschatte schade liep op tot honderden miljoenen ponden. Dit is het internationale schoolvoorbeeld van social engineering via de helpdesk.
Hoe de aanval verliep
Scattered Spider staat bekend om het inzetten van Engelssprekende leden die overtuigend de rol spelen van een collega of een IT-medewerker. Bij M&S belden ze de servicedesk, deden zich voor als een medewerker die niet meer kon inloggen, en kregen een wachtwoordreset. Geen malware, geen zero-day, maar gewoon een telefoontje en een geloofwaardig verhaal.
Met die eerste toegang werkten de aanvallers door naar het hart van het netwerk. Ze bemachtigden de centrale wachtwoorddatabase van Active Directory (het bestand NTDS.dit), kraakten de wachtwoordhashes los van het systeem en kregen zo toegang tot een breed scala aan accounts. Uiteindelijk rolden ze de DragonForce-ransomware uit over de hele omgeving van M&S.
Opvallend was dat de gebelde helpdesk was uitbesteed aan een externe leverancier. De zwakke schakel zat dus niet alleen in een proces, maar ook in de keten: een combinatie van social engineering en leveranciersrisico.
Waarom de helpdesk zo'n aantrekkelijk doelwit is
Een IT-helpdesk bestaat om mensen te helpen die vastlopen, vaak onder tijdsdruk en met een zekere bereidheid om uitzonderingen te maken. Precies die hulpvaardigheid maakt de helpdesk tot een ideaal doelwit. Wie overtuigend klinkt en wat druk uitoefent ('ik moet zo een presentatie geven en kan er niet in'), kan een medewerker verleiden tot een reset.
Het probleem is structureel, niet individueel. Een helpdeskmedewerker die honderd keer per dag een legitieme reset uitvoert, kan niet bij elke beller op scherp staan zonder een duidelijke procedure. De oplossing ligt dus niet in 'beter opletten', maar in een streng verificatieproces dat je niet met een goed verhaal kunt omzeilen.
Sterke identiteitsverificatie vóór een reset of een MFA-wijziging is hier de kern: terugbellen naar een geregistreerd nummer, een bevestiging via een tweede kanaal, of goedkeuring door de leidinggevende. Dus geen verificatie die de beller zelf kan aanleveren.
MFA en wachtwoorden alleen zijn niet genoeg
Veel organisaties vertrouwen op MFA en complexe wachtwoorden. M&S laat zien dat dat onvoldoende is als het herstelproces eromheen zwak is. Een aanvaller hoeft je wachtwoord niet te kraken als hij de helpdesk zover krijgt om het te resetten en de MFA opnieuw in te stellen op zijn eigen apparaat.
Het reset- en herstelproces is daarmee net zo kritisch als de inlogbeveiliging zelf. Dat is een blinde vlek in veel awarenessprogramma's: er gaat veel aandacht naar sterke wachtwoorden en niet klikken, maar nauwelijks naar de vraag hoe de helpdesk zeker weet dat jij het echt bent.
Phishingbestendige MFA, zoals hardwaresleutels of passkeys, helpt. Maar dat werkt alleen als ook de uitzonderingsprocessen (een verloren sleutel, een nieuwe telefoon) net zo streng zijn beveiligd. Aanvallers zoeken altijd de uitzondering op.
Waarom dit ook voor jouw organisatie relevant is
Scattered Spider is geen exotische dreiging die alleen Britse grootwinkelbedrijven raakt. Dezelfde techniek (bellen, doen alsof en om een reset vragen) werkt bij vrijwel elke organisatie met een helpdesk. De aanpak is goedkoop, eenvoudig op te schalen en vereist geen technische kwetsbaarheid.
Onder de AVG is een datalek zoals bij M&S een meldplichtig incident, en voor veel sectoren scherpt de Cyberbeveiligingswet (de Nederlandse uitwerking van NIS2) de zorgplicht verder aan. Maar belangrijker dan de vraag of je aan de regels voldoet, is de praktische vraag: zou jouw helpdesk een overtuigende beller hebben tegengehouden?
Die vraag kun je testen. Een social-engineering-test die zich richt op de helpdesk laat genadeloos zien of je verificatieproces in de praktijk standhoudt, niet op papier maar als er echt iemand belt.
Zo verwerk je dit in je awarenessprogramma
De M&S-casus is ideaal om de aandacht te verleggen van 'niet klikken' naar 'wie verifieer je, en hoe'. Het maakt voor het management ook tastbaar waarom proces en gedrag samen moeten kloppen.
Richt je daarbij specifiek op de IT-helpdesk en op iedereen die identiteiten kan resetten of toegang kan verlenen.
- Doelgroep en ritme: geef de IT-helpdesk een eigen, terugkerende module over identiteitsverificatie bij resets en MFA-wijzigingen.
- Leg één harde regel vast: nooit een reset of MFA-wijziging zonder verificatie via een onafhankelijk, geregistreerd kanaal (terugbellen, leidinggevende of tweede factor).
- Test het in het echt: voer een social-engineering-test op de helpdesk uit en bespreek de uitkomst zonder iemand af te rekenen.
- Meet of de procedure standhoudt: hoeveel resetverzoeken worden correct geverifieerd voordat ze worden uitgevoerd?
- Wil je dit oefenen? Bekijk hoe dat werkt met phishing- en social-engineering-simulatie.
Gerelateerde artikelen
- Het Odido-datalek: één telefoontje, 6 miljoen mensen
- De ChipSoft-aanval: leveranciersrisico in je awarenessprogramma
- Ransomware en medewerkersgedrag
Veelgestelde vragen
Hoe kwam Scattered Spider binnen bij Marks & Spencer?
Niet via een technische kwetsbaarheid, maar via social engineering van de IT-helpdesk. De aanvallers belden de (uitbestede) servicedesk, deden zich voor als een medewerker die niet kon inloggen en kregen een wachtwoordreset. Met die toegang bemachtigden ze later de centrale wachtwoorddatabase van Active Directory en rolden ze ransomware uit.
Waarom is de IT-helpdesk een geliefd doelwit?
Een helpdesk bestaat om snel te helpen, vaak onder tijdsdruk en met de bereidheid om uitzonderingen te maken. Die hulpvaardigheid buiten aanvallers uit. Het is een structureel probleem: zonder een streng verificatieproces kan een overtuigende beller een reset afdwingen, hoe oplettend de medewerker ook is.
Beschermt MFA niet tegen dit soort aanvallen?
Niet vanzelf. Als de helpdesk een wachtwoord reset en de MFA opnieuw instelt op het apparaat van de aanvaller, is de MFA omzeild. Het herstel- en resetproces is daarom net zo kritisch als de inlogbeveiliging. Phishingbestendige MFA helpt alleen als ook de uitzonderingsprocessen streng zijn beveiligd.
Kan dit ook mijn organisatie overkomen?
Ja. De techniek (bellen, doen alsof en om een reset vragen) werkt bij vrijwel elke organisatie met een helpdesk en vereist geen technische kwetsbaarheid. Je kunt je weerbaarheid testen met een social-engineering-test op de helpdesk, die laat zien of je verificatieproces in de praktijk standhoudt.