Technologie kan veel tegenhouden, maar een verkeerde klik van een medewerker kan alsnog funest zijn. Phishing is de kunst van verleiding in de digitale wereld. Het is de meest voorkomende aanvalsmethode ter wereld en verantwoordelijk voor meer dan 90% van alle succesvolle cyberaanvallen. Geen enkel bedrijf is te klein om een doelwit te zijn.

Wat is phishing precies?

Phishing is een vorm van social engineering waarbij aanvallers zich voordoen als een betrouwbare partij om gevoelige informatie te ontfutselen. Dit kan via e-mail, SMS (smishing), telefonisch (vishing) of zelfs via sociale media. Het doel is altijd hetzelfde: u verleiden om inloggegevens in te voeren, een schadelijke bijlage te openen of geld over te maken.

Anders dan technische aanvallen richt phishing zich op de mens. Het maakt gebruik van psychologische principes zoals urgentie, autoriteit, angst en nieuwsgierigheid. Een goed opgezette phishing-aanval is soms zelfs voor experts moeilijk te herkennen.

De soorten phishing

mail Bulk phishing

Massale e-mails naar duizenden ontvangers. Generieke berichten over pakketjes, bankrekeningen of abonnementen. Laag succespercentage, maar door het volume toch effectief. Dit is de meest voorkomende vorm.

gps_fixed Spear phishing

Gerichte aanvallen op specifieke personen of afdelingen. De aanvaller heeft vooronderzoek gedaan via LinkedIn, de bedrijfswebsite of sociale media. De mail is persoonlijk en overtuigend. Veel hoger succespercentage dan bulk phishing.

star Whaling

Spear phishing gericht op directieleden en C-level executives. De aanslagen zijn extreem geavanceerd en gaan vaak om grote bedragen. De aanvaller investeert weken tot maanden in voorbereiding.

sms Smishing en vishing

Phishing via SMS (smishing) of telefoon (vishing). Steeds vaker gebruikt omdat mensen minder alert zijn op deze kanalen. Denk aan nep-berichten van de bank of belastingdienst via SMS, of telefoontjes van zogenaamd Microsoft Support.

Hoe herkent u een phishing-aanval?

9:41
chat
ING Alert
more_vert

Bank beveiliging:
Er is een verdachte inlogpoging gedetecteerd. Klik hier om uw account te verifiëren.

Een klassiek voorbeeld van smishing (SMS phishing). Let op het onpersoonlijke karakter en de urgentie.

De meest betrouwbare signalen om een phishing-aanval te herkennen zijn:

  • Onverwacht contact: U verwachtte geen mail of SMS van deze afzender. Verificeer altijd via een ander kanaal.
  • Urgentie of dreigementen: "Uw account wordt binnen 24 uur verwijderd!" Legitieme organisaties geven u altijd voldoende tijd.
  • Verdachte links: Zweef over de link zonder te klikken. Komt het domein overeen met de verwachte afzender? Let op subtiele variaties zoals bnp-paribas.nl in plaats van bnpparibas.nl.
  • Taalfouten: Professionele organisaties sturen geen mails met spel- en grammaticafouten. Maar let op: AI-gegenereerde phishing wordt steeds beter.
  • Ongebruikelijk verzoek: Een verzoek om inloggegevens, creditcardgegevens of overboekingen via e-mail is vrijwel altijd verdacht.
  • Bijlagen: Onverwachte bijlagen, vooral .exe, .zip, .js of .scr bestanden, zijn rode vlaggen. Maar ook Office-documenten met macro's kunnen gevaarlijk zijn.

Recente phishing-aanvallen in Nederland

Nederland is een populair doelwit voor phishing-aanvallen. Enkele recente voorbeelden:

Fake DigiD-mails (2025)

Duizenden Nederlanders ontvingen nep-mails over het verlopen van hun DigiD. De mails verwezen naar een overtuigende kopie van de DigiD-website waar inloggegevens werden gestolen. Met deze gegevens werden vervolgens toeslagen en uitkeringen omgeleid.

Microsoft 365 credential harvesting (2025)

MKB-bedrijven ontvingen mails over het verlopen van hun Microsoft 365 licentie. De link leidde naar een perfecte kopie van de Microsoft inlogpagina. Na het invoeren van credentials kregen aanvallers volledige toegang tot de bedrijfsomgeving, inclusief SharePoint en OneDrive.

PostNL pakketfraude (2024-2025)

Massale SMS-campagnes over invoerrechten op een pakket. Slachtoffers werden gevraagd een klein bedrag te betalen via een nep-betaalpagina, waarna hun bankgegevens werden misbruikt voor grotere transacties.

Technische beschermingsmaatregelen

Een effectieve anti-phishing strategie combineert technische maatregelen met menselijke awareness:

  • shield DMARC, SPF en DKIM: Voorkom dat aanvallers uw domein kunnen spoofen. Dit beschermt ook uw klanten en partners tegen phishing-mails die van u lijken te komen.
  • shield Advanced Threat Protection: Gebruik tools zoals Microsoft Defender for Office 365 of Google Workspace Security voor geavanceerde bescherming tegen malware en links.
  • shield Multi-Factor Authenticatie: Zelfs als credentials worden gestolen, voorkomt MFA ongeautoriseerde toegang tot accounts.
  • shield E-mail filtering: Configureer strenge spamfilters en blokkeer gevaarlijke bijlage-typen op server-niveau.

De menselijke factor versterken

Technologie vangt veel op, maar de mens blijft de laatste verdedigingslinie. Investeer in uw medewerkers:

  • school Security awareness training: Regelmatige trainingen die medewerkers leren phishing te herkennen. Maak het interactief en praktisch, niet droog en theoretisch.
  • bug_report Phishing-simulaties: Verstuur regelmatig 'veilige' phishing mails om alertheid te testen. Meet de resultaten en gebruik ze als leermoment, niet als strafmiddel.
  • flag Meldknop: Maak het makkelijk om verdachte mails te rapporteren. Eén klik op een knop in Outlook of Gmail. Beloon medewerkers die melden.
  • verified_user Veilige cultuur: Creëer een cultuur waarin het niet gênant is om te vragen "Is dit echt?" Medewerkers die zich vrij voelen om te melden, zijn uw beste sensoren.

Actieplan voor uw bedrijf

1

Beoordeel uw huidige situatie

Heeft u DMARC? Is MFA actief? Wanneer was de laatste security training? Begin met een eerlijke nulmeting.

2

Implementeer technische basismaatregelen

DMARC, SPF, DKIM, MFA op alle accounts, en geavanceerde e-mailbeveiliging. Dit zijn de fundamenten.

3

Start een awareness-programma

Kwartaallijkse trainingen, maandelijkse phishing-simulaties en een duidelijk meldproces. Maak het een vast onderdeel van uw bedrijfscultuur.

4

Meet en verbeter continu

Track de klikratio op simulaties, het aantal meldingen en de responstijd op incidenten. Gebruik data om uw aanpak steeds te verfijnen.

Wilt u de phishing-weerbaarheid van uw team testen?

Wij verzorgen awareness trainingen en phishing-simulaties op maat voor MKB-bedrijven.

Plan een simulatie