Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Phishing

Aanvallen

Verzamelnaam voor digitale activiteiten die tot doel hebben informatie aan mensen te ontfutselen. Deze informatie kan worden misbruikt voor bijvoorbeeld toegang tot systemen.

Phishing is een vorm van cybercriminaliteit waarbij aanvallers zich voordoen als een betrouwbare partij om jou te verleiden gevoelige gegevens te delen. Denk aan inloggegevens, creditcardnummers of persoonlijke informatie. De aanvaller stuurt je bijvoorbeeld een e-mail die lijkt te komen van je bank, een overheidsinstantie of een bekend bedrijf. Het doel is altijd hetzelfde: jou misleiden om actie te ondernemen die de aanvaller in het voordeel werkt.

Phishing is al jaren de meest voorkomende vorm van social engineering in Nederland. Volgens de Rijksoverheid had in 2025 bijna driekwart van de Nederlanders te maken met pogingen tot cybercrime, waarvan phishing veruit de meest gebruikte methode is. Het aantal phishing-kits is in 2025 verdubbeld, wat betekent dat aanvallers steeds eenvoudiger grootschalige campagnes kunnen opzetten.

Hoe werkt phishing?

Een phishingaanval volgt vrijwel altijd een vast patroon. De aanvaller kiest een betrouwbare organisatie om zich als voor te doen, zoals je bank, een pakketbezorger of de Belastingdienst. Vervolgens maakt de aanvaller een bericht dat er overtuigend uitziet, compleet met logo's, huisstijl en taalgebruik dat bij die organisatie past.

Het bericht bevat meestal een urgente reden om actie te ondernemen: je account wordt geblokkeerd, er is een verdachte betaling gesignaleerd, of je moet je gegevens bijwerken. Via een link in het bericht kom je terecht op een nepwebsite die nauwelijks te onderscheiden is van de echte website. Zodra je daar je credentials invult, heeft de aanvaller direct toegang tot je account.

Naast de klassieke e-mailvariant bestaan er verschillende andere vormen van phishing:

  • Spear phishing: gerichte aanvallen op specifieke personen of organisaties, waarbij de aanvaller vooraf informatie over het doelwit verzamelt om een persoonlijk en overtuigend bericht te creeren
  • Smishing: phishing via sms-berichten, bijvoorbeeld een nep-bericht van je bank of pakketdienst met een link naar een frauduleuze website
  • Vishing: telefonische phishing waarbij de beller zich voordoet als een medewerker van een betrouwbare organisatie en je onder druk zet om gegevens te delen
  • Quishing: phishing via kwaadaardige QR-codes die je naar een nepwebsite leiden, vaak aangetroffen op nep-parkeermeters of in valse brieven
  • Clone phishing: de aanvaller kopieert een legitiem eerder ontvangen e-mailbericht en vervangt de links of bijlagen door kwaadaardige varianten

Aanvallers maken steeds vaker gebruik van AI-tools om overtuigendere berichten te genereren. Waar phishingmails vroeger vol taalfouten stonden, zijn ze tegenwoordig nauwelijks te onderscheiden van legitieme communicatie. De taal is correct, de opmaak professioneel en de timing sluit aan bij verwachte communicatie. Ook worden vertrouwde platformen misbruikt om filters te omzeilen: volgens onderzoek steeg dit misbruik in 2025 met 67 procent ten opzichte van het jaar ervoor.

Hoe herken je phishing?

Hoewel phishingberichten steeds overtuigender worden, zijn er signalen waar je op kunt letten om jezelf te beschermen:

  • Onverwachte urgentie: het bericht dringt aan op directe actie en dreigt met consequenties als je niet snel reageert, zoals het blokkeren van je account of het missen van een betaling
  • Verdachte afzender: het e-mailadres wijkt subtiel af van het officiele adres, bijvoorbeeld info@bank-nederland.com in plaats van info@bank.nl, of gebruikt een gratis e-maildienst
  • Generieke aanhef: het bericht begint met "Beste klant" of "Geachte heer/mevrouw" in plaats van je volledige naam
  • Verdachte links: als je met je muis over een link beweegt (zonder te klikken), zie je dat de URL niet overeenkomt met de officiele website van de organisatie
  • Verzoek om gevoelige gegevens: legitieme organisaties vragen nooit via e-mail om wachtwoorden, pincodes of volledige rekeningnummers te delen
  • Bijlagen van onbekende afzenders: onverwachte bijlagen kunnen malware bevatten die na het openen je systeem infecteert
  • Te mooi om waar te zijn: berichten over prijzen die je gewonnen zou hebben of onverwachte terugbetalingen zijn vrijwel altijd phishing

Twijfel je of een bericht echt is? Neem dan rechtstreeks contact op met de organisatie via het officiele telefoonnummer of de officiele website. Gebruik nooit contactgegevens uit het verdachte bericht zelf. Je kunt verdachte berichten ook voorleggen aan collega's of je IT-afdeling voordat je actie onderneemt.

Hoe bescherm je je tegen phishing?

Bescherming tegen phishing vereist een combinatie van technische maatregelen en bewustzijn bij medewerkers. De volgende stappen verkleinen het risico aanzienlijk:

  • Schakel multifactorauthenticatie (MFA) in op al je accounts. Zelfs als een aanvaller je wachtwoord bemachtigt, kan die zonder de tweede factor niet inloggen. Dit is een van de meest effectieve maatregelen tegen phishing
  • Gebruik een wachtwoordmanager zodat je voor elke dienst een specifiek, sterk wachtwoord hebt en nooit hetzelfde wachtwoord hergebruikt
  • Houd software en besturingssystemen up-to-date om bekende kwetsbaarheden te dichten die aanvallers kunnen misbruiken na een geslaagde phishingaanval
  • Implementeer e-mailfiltering en anti-phishingoplossingen die verdachte berichten automatisch detecteren en blokkeren voordat ze bij medewerkers terechtkomen
  • Investeer in awareness-training voor medewerkers zodat zij phishing leren herkennen en melden in plaats van erop te klikken
  • Voer regelmatig social engineering-testen uit om te meten hoe goed je organisatie voorbereid is en waar de zwakke plekken zitten
  • Stel DMARC, SPF en DKIM in voor je e-maildomeinen om te voorkomen dat aanvallers e-mails kunnen versturen die van jouw domein lijken te komen
  • Richt een duidelijk meldproces in zodat medewerkers verdachte berichten snel en eenvoudig kunnen rapporteren aan het securityteam

Meld verdachte e-mails altijd bij je IT-afdeling en stuur ze door naar de Fraudehelpdesk via verdacht@fraudehelpdesk.nl. Bij een vermoedelijk datalek moet je dit melden bij de Autoriteit Persoonsgegevens. Wil je weten hoe kwetsbaar je organisatie is voor phishing? Een security assessment brengt de risico's in kaart en geeft concrete aanbevelingen.

Veelgestelde vragen over phishing

Wat is het verschil tussen phishing en spear phishing?
Bij gewone phishing stuurt de aanvaller massaal dezelfde berichten naar duizenden mensen zonder specifiek doelwit. Bij spear phishing richt de aanvaller zich op een specifiek persoon of organisatie en gebruikt daarbij persoonlijke informatie om het bericht geloofwaardiger te maken. Spear phishing is daardoor moeilijker te herkennen.

Kan phishing ook via de telefoon plaatsvinden?
Ja, dat heet vishing (voice phishing). De beller doet zich voor als een medewerker van bijvoorbeeld je bank of de politie en probeert je te overtuigen om gegevens te delen of geld over te maken. De Fraudehelpdesk registreerde in 2025 een stijging van 250 procent in meldingen over telefoonfraude, mede door de opkomst van AI-gegenereerde stemmen.

Wat moet ik doen als ik op een phishinglink heb geklikt?
Wijzig direct je wachtwoorden van het betreffende account en van andere accounts waar je hetzelfde wachtwoord gebruikt. Schakel MFA in als je dat nog niet hebt gedaan. Neem contact op met je bank als je financiele gegevens hebt ingevuld. Meld het incident bij de politie en de Fraudehelpdesk. Scan je apparaat op malware.

Hoe beschermt MFA tegen phishing?
MFA voegt een extra verificatiestap toe naast je wachtwoord, zoals een code op je telefoon of een vingerafdruk. Als een aanvaller via phishing je wachtwoord steelt, heeft die alsnog een tweede factor nodig om daadwerkelijk in te loggen. Hierdoor wordt een gestolen wachtwoord alleen niet voldoende om toegang te krijgen.

Zijn bedrijven verplicht phishing te melden?
Als phishing leidt tot een datalek waarbij persoonsgegevens zijn betrokken, ben je op grond van de AVG verplicht dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Als het datalek een hoog risico vormt voor de betrokkenen, moet je hen ook persoonlijk informeren.

Kan ransomware via phishing verspreid worden?
Ja, phishing is een van de meest gebruikte methoden om ransomware te verspreiden. Een kwaadaardige bijlage of link in een phishingmail kan ransomware op je systeem installeren die al je bestanden versleutelt. Volgens het NCSC Jaarbeeld Ransomware waren er in 2024 minimaal 121 ransomware-incidenten in Nederland, waarvan een aanzienlijk deel begon met een phishingmail.

Bescherm je organisatie tegen phishing. Vergelijk awareness training aanbieders op IBgidsNL.

Gerelateerde begrippen

SmishingVishing