Primair zoekwoord: phishing herkennen
Phishing is al jaren één van de grootste digitale risico’s voor particulieren én bedrijven. Niet omdat mensen “dom” zijn, maar omdat phishing slim inspeelt op stress, haast en vertrouwen. Een bericht lijkt van je bank, je pakketbezorger, je werkgever of zelfs je partner te komen. Eén klik, één ingevoerde code of één “ja, ik ben het” aan de telefoon kan genoeg zijn om geld kwijt te raken, accounts te verliezen of een datalek te veroorzaken. (datalek melden AVG)
In dit artikel leer je phishing herkennen en voorkomen, met:
- duidelijke uitleg van de belangrijkste phishingvormen (mail, sms, WhatsApp, telefoon),
- herkenbare voorbeelden en rode vlaggen,
- een praktische checklijst (copy-paste),
- “tools” in de zin van handige hulpmiddelen en routines (zonder externe links),
- en een stappenplan wat je doet als je tóch geklikt hebt.
Alles is geschreven in normale taal, zodat je het ook aan je gezin, collega’s of klanten kunt uitleggen. Lees ook: Alles over veiligheid, online veiligheid, cyberbeveiliging thuis, datalek melden AVG.
Wat is phishing?
Phishing is een vorm van digitale oplichting waarbij criminelen zich voordoen als een betrouwbare partij om jou iets te laten doen, bijvoorbeeld:
- klikken op een link
- inloggen op een nepwebsite
- een betaling doen
- codes doorgeven (sms-code, MFA-code)
- software installeren
- of persoonlijke gegevens delen
Het doel is meestal:
- geld stelen (bankfraude)
- accounts overnemen (mail, social media)
- gegevens verzamelen (identiteitsfraude)
- toegang krijgen tot een organisatie (datalek/ransomware) (datalek melden AVG, digitale veiligheid)
Belangrijk: phishing draait minder om techniek en meer om psychologie. Het is social engineering: iemand “stuurt” jouw gedrag.
Waarom is phishing zo succesvol?
Phishing werkt omdat het inspeelt op 5 menselijke knoppen:
- Urgentie – “Binnen 30 minuten vervalt je betaling.”
- Angst – “Je account is geblokkeerd.”
- Schaarste – “Laatste kans om boete te voorkomen.”
- Autoriteit – “Politie/Belasting/Bank spreekt.”
- Vertrouwen – “Je kind/collega is in nood.”
Zelfs als je het “best weet”, kun je in een stressmoment toch klikken. Daarom is de beste aanpak: routines en checks die werken als je brein even haast heeft. (cyberbeveiliging thuis)
De belangrijkste vormen van phishing (met voorbeelden)
E-mail phishing
Klassiek: een e-mail met een link of bijlage.
Vaak vermomt als:
- bankmelding
- factuur of betaalherinnering
- cloud “je opslag is vol”
- HR/IT “wachtwoord verloopt”
- webshop “je retour is mislukt”
Rode vlaggen:
- vreemde afzender of domein
- generieke aanhef (“Beste klant”)
- spelfouten of rare opmaak
- link die niet past bij de naam
- bijlage die je niet verwacht
Smishing (sms phishing)
Sms met een link. Bekend rondom “pakketbezorging” en “betaalverzoek”.
Rode vlaggen:
- verkorte links
- “betaal €1,99 inklaring”
- onverwachte leveringsproblemen
- druk om meteen te handelen
WhatsApp-phishing (en “nieuw nummer”-fraude)
De bekende: “Hoi mam/pap, dit is mijn nieuwe nummer…”
Kenmerken:
- emotioneel (“ik kan niet bellen”)
- verzoek om geld
- aandringen op snelheid
Vishing (telefonische phishing)
Je wordt gebeld door “de bank”, “Microsoft”, “politie” of “IT”.
Trucs:
- ze laten je inloggen “om te checken”
- ze vragen codes
- ze laten je software installeren
- ze laten je geld “veiligstellen”
Rode vlag: echte instanties vragen je vrijwel nooit om codes of om software te installeren “voor controle”. Het veiligste is: zelf ophangen en terugbellen via een nummer dat je zelf opzoekt (niet uit het gesprek). (cyberbeveiliging thuis)
QR-phishing (“quishing”)
QR-codes op posters, parkeerautomaten, nepbrieven of e-mails.
Rode vlaggen:
- QR op een plek waar je het niet verwacht
- QR “betaal hier” zonder duidelijke context
- QR leidt naar inlogscherm of betaalpagina
Spear phishing (gerichte phishing)
Dit is de gevaarlijkste variant: de mail is persoonlijk en klopt met jouw situatie. Bijvoorbeeld:
- naam van collega
- lopend project
- echte handtekening
- juiste stijl
Doel is vaak: toegang tot organisatie, factuurfraude of datalek. (datalek melden AVG)
Phishing herkennen: de 12 rode vlaggen (snelle check)
Als je één of meer van deze signalen ziet: stop en check.
- Urgentie (“nu direct”, “binnen 30 minuten”)
- Dreiging (“account wordt gesloten”, “boete”)
- Onverwachte betaling of “inklaringskosten”
- Afzender klopt nét niet (spelling, rare domeinnaam)
- Link ziet er vreemd uit of is verkort
- Bijlage die je niet verwacht (zip, html, “factuur”)
- Vreemde aanhef / generieke tekst
- Taalgebruik past niet bij de organisatie
- Verzoek om codes, wachtwoorden of “bevestigen”
- Verzoek om software te installeren of scherm te delen
- Verzoek om geheimhouding (“zeg dit tegen niemand”)
- Verzoek om afwijkende route (“gebruik dit nieuwe rekeningnummer”)
Regel: hoe harder ze pushen, hoe groter de kans dat het phishing is.
De veiligste routine: STOP – CHECK – BEVESTIG
Deze routine is jouw “tool” nummer 1. Hij werkt voor mail, sms, WhatsApp én telefoon.
STOP
- klik niet
- betaal niet
- download niets
- geef geen codes
CHECK
- kijk naar afzender (niet alleen naam)
- check of je dit verwacht (factuur? pakket?)
- let op urgentie en rare taal
- kijk of de link logisch is (liefst niet openen)
BEVESTIG
Bevestig via een kanaal dat jij zelf kiest:
- open de officiële app (bank, webshop)
- typ zelf het bekende webadres (niet via link)
- bel terug via een nummer dat je zelf hebt (niet uit het bericht)
- vraag je collega via Teams/telefoon: “Heb jij dit gestuurd?”
Dit voorkomt het grootste deel van phishing zonder dat je een expert hoeft te zijn.
Phishing voorbeelden (herkenbare scenario’s)
Hier zijn scenario’s die je kunt gebruiken in training of om jezelf te testen. Ik schrijf ze als “patronen” (niet als exacte kopieën).
Voorbeeld A: “Pakket vastgehouden”
Bericht: “Uw pakket is vastgehouden, betaal kleine kosten via link.”
Waarom verdacht: onverwachte betaling, linkdruk, urgentie.
Wat doe je: check in je eigen bezorg-app of je echt iets verwacht. Geen link klikken.
Voorbeeld B: “Bank belt, u bent slachtoffer”
Telefoontje: “We zien fraude, we moeten uw rekening veiligstellen.”
Waarom verdacht: druk, autoriteit, vraagt acties/codes.
Wat doe je: hang op, bel bank via officieel nummer (zelf opzoeken), geef nooit codes.
Voorbeeld C: “Nieuw nummer”
WhatsApp: “Hoi mam, nieuw nummer, ik kan niet bellen, maak geld over.”
Waarom verdacht: emotionele druk, niet kunnen bellen, snel geld.
Wat doe je: bel je kind op het oude nummer of via ander kanaal. Geen geld overmaken.
Voorbeeld D: “IT wachtwoord verloopt”
E-mail: “Uw wachtwoord verloopt vandaag, log in via link.”
Waarom verdacht: link naar nep-login.
Wat doe je: ga zelf naar je IT-portal of vraag IT via intern kanaal.
Voorbeeld E: “Factuur met nieuw rekeningnummer”
E-mail: “Betaal openstaande factuur op nieuw IBAN.”
Waarom verdacht: rekeningwijziging + betaaldruk.
Wat doe je: bel leverancier op bekend nummer, check wijziging. (Heel belangrijk voor MKB)
Tools (zonder externe links): wat bedoelen we hiermee?
Je vroeg om “tools”. Zonder externe links bedoelen we met tools: hulpmiddelen en instellingen die phishing veel minder kans geven.
Tool 1: MFA (multi-factor authenticatie)
MFA maakt accountovername veel moeilijker. Zet het aan op:
- e-mail (belangrijkste)
- bank
- cloud
- social media (online veiligheid)
Tool 2: Wachtwoordmanager + unieke wachtwoorden
Als één account lekt, voorkom je domino-effect. (online veiligheid)
Tool 3: Spamfilters en mailregels (bewust)
- gebruik spamfilters
- maak géén automatische doorstuurregels die je niet begrijpt
- controleer mailboxregels als je phishing vermoedt
Tool 4: “Twee-persoons check” bij betalingen (voor bedrijven)
Voor facturen of rekeningwijzigingen:
- altijd tweede check via telefoon
- nooit alleen op e-mail vertrouwen
Dit voorkomt factuurfraude—een veelvoorkomend gevolg van phishing. (datalek melden AVG)
Tool 5: Browser- en apparaatupdates
Veel aanvallen werken beter op oude software. Updates zijn simpele risicoreductie. (cyberbeveiliging thuis)
Tool 6: Gezins-/teamafspraken
Phishing bestrijd je met cultuur:
- “Bij twijfel: vragen”
- “Geen schaamte”
- “Niet snel, maar zeker” (psychologische veiligheid op het werk)
Phishing voorkomen in het gezin (praktische afspraken)
Voor thuis werkt het goed om 5 gezinsregels af te spreken:
- Geen geld overmaken op verzoek via chat zonder bellen
- Geen codes delen, nooit (sms/MFA)
- Links in sms = altijd verdacht (eerst via app checken)
- Opa/oma krijgen één vast “checkpersoon” bij twijfel
- Als iemand onder druk zet: stoppen (urgentie = alarmbel)
Dit is onderdeel van cyberbeveiliging thuis.
Phishing voorkomen in MKB (mini-protocol)
Voor kleine bedrijven is phishing vaak de start van:
- accountovername
- datalekken
- factuurfraude
- ransomware (datalek melden AVG, digitale veiligheid)
Hier is een praktisch mini-protocol:
Basisinstellingen
- MFA verplicht op e-mail en cloud (online veiligheid)
- wachtwoordmanager
- updates aan
- rechten beperken (niet iedereen admin) (toegangscontrole systemen)
Betaalproces beveiligen
- rekeningwijzigingen altijd telefonisch verifiëren
- betaalverzoeken boven X euro altijd tweede controle
- leverancierslijst met vaste telefoonnummers (niet uit e-mail)
Meldcultuur
- medewerkers moeten phishing durven melden
- geen schuld, wel leren (psychologische veiligheid op het werk)
Oefenen
- korte maandelijkse “phishing moment” briefing (5 minuten)
- deel 1 voorbeeld en bespreek rode vlaggen
Wat als je toch geklikt hebt? (stappenplan)
Iedereen kan een fout maken. Het verschil zit in snelheid.
Scenario 1: Je klikte op een link, maar voerde niets in
- sluit tab
- scan apparaat (OS-beveiliging)
- verander wachtwoord als je twijfelt
- meld intern (bedrijf) of bespreek thuis
Scenario 2: Je voerde inloggegevens in op een nepwebsite
- verander wachtwoord direct (op echte site)
- zet MFA aan (als nog niet) (online veiligheid)
- log uit op alle apparaten
- controleer mailboxregels en doorsturen
- check bank/financiële accounts
Scenario 3: Je gaf een code (sms/MFA) door
- behandel als account takeover
- reset wachtwoorden
- bel bank indien financiële accounts betrokken zijn
- monitor transacties
- meld datalek als persoonsgegevens mogelijk gelekt zijn (datalek melden AVG)
Scenario 4: Je installeerde software of gaf schermtoegang
- verbreek verbinding
- zet apparaat offline
- laat een expert checken (zeker bij bedrijf)
- wijzig belangrijke wachtwoorden vanaf een ander, schoon apparaat
- controleer back-ups en logs (digitale veiligheid)
Belangrijk: bij bedrijven hoort dit in je incidentprocedure en beveiligingsplan. (beveiligingsplan)
Veelgemaakte fouten bij phishing (en oplossingen)
Fout 1: Denken dat je “het wel ziet”
Phishing wordt steeds realistischer. Gebruik routines, niet gevoel.
Fout 2: Geen MFA
Zonder MFA is één gelekt wachtwoord vaak genoeg. (online veiligheid)
Fout 3: Schaamte → niet melden
Dat maakt schade groter. Maak melden veilig en normaal. (psychologische veiligheid op het werk)
Fout 4: Te veel vertrouwen op e-mail
Voor geld en accounts: verifieer via eigen kanaal.
Fout 5: Alles tegelijk willen oplossen
Begin met top 3: MFA, wachtwoordmanager, phishing routine. (online veiligheid, cyberbeveiliging thuis)
Checklijst (printbaar): phishing herkennen
Kopieer dit en zet het intern of thuis neer.
Snelle check (30 seconden)
- Is er urgentie of dreiging?
- Verwacht ik dit bericht?
- Klopt afzender/domein?
- Vraagt men om codes, geld of login?
- Is de link verdacht of verkort?
- Word ik onder druk gezet?
Als 1 of meer “ja”: STOP – CHECK – BEVESTIG.
Voor bedrijven (extra)
- Is er een rekeningwijziging?
- Is het een factuur die afwijkt?
- Is er een verzoek om geheimhouding?
- Is het verzoek buiten normale procedure?
Samenvatting
Als je phishing herkennen onder de knie wilt krijgen, onthoud dit:
- Phishing misbruikt urgentie, angst en vertrouwen.
- Je herkent het via rode vlaggen: druk, vreemde afzender, links, codes.
- De beste “tool” is de routine STOP – CHECK – BEVESTIG.
- MFA + wachtwoordmanager beperken schade als er toch iets misgaat. (online veiligheid)
- Bij bedrijven hoort phishingpreventie bij datalekpreventie en incidentprocedures. (datalek melden AVG, beveiligingsplan)
Interne vervolgstappen op je site
- Basis accountbeveiliging en wifi → Cyberbeveiliging thuis en Online veiligheid checklist
- Wat te doen bij incidenten en registreren → Datalek melden (AVG) en Beveiligingsplan template
- Toegang en rechten beter organiseren → Toegangscontrole systemen
Lees ook: Alles over veiligheid.
