Phishing Herkennen en Voorkomen: Complete Gids (2026)

Phishing is een vorm van online fraude waarbij criminelen zich voordoen als een betrouwbare partij om je gegevens, geld of toegang te ontfutselen. In deze gids leer je hoe je phishing herkent, hoe je het voorkomt en wat je doet als je er toch op klikt.

Wat is phishing?

Phishing is een aanvalstechniek waarbij oplichters via e-mail, sms, telefoon of sociale media doen alsof ze van een bank, overheid, pakketdienst of werkgever zijn. Het doel: jou laten klikken op een schadelijke link, een bijlage laten openen, of inloggegevens en betaalinformatie laten invullen op een nepwebsite.

Volgens cijfers van de politie en de Fraudehelpdesk is phishing al jaren de meest voorkomende vorm van internetfraude in Nederland en België. In 2026 zien we steeds geavanceerdere varianten dankzij AI-gegenereerde teksten en stemmen, waardoor traditionele "taalfouten" als waarschuwingssignaal minder betrouwbaar zijn geworden.

De belangrijkste soorten phishing

Niet alle phishing ziet er hetzelfde uit. Hieronder de zes vormen die je in 2026 het vaakst tegenkomt.

1. E-mailphishing

De klassieke variant: een mail die lijkt te komen van je bank, de Belastingdienst, PostNL, bpost of een streamingdienst. Vaak met een knop of link naar een nepsite die exact lijkt op het origineel.

2. Smishing (sms-phishing)

Korte berichten zoals "Uw pakket kon niet bezorgd worden, betaal €1,95" of "Uw bankpas verloopt morgen". De link leidt naar een betaalpagina of malafide app-installatie.

3. Vishing (telefoonphishing)

Een "medewerker" van de bank, Microsoft of de fraudeafdeling belt je. Tegenwoordig vaak met deepfake-stemmen die familieleden of collega's imiteren.

4. Spear phishing

Gerichte aanvallen op één persoon of bedrijf. De aanvaller heeft via LinkedIn of datalekken al gegevens verzameld en gebruikt jouw naam, functie en context om geloofwaardig over te komen.

5. CEO-fraude

Een variant van spear phishing waarbij een medewerker een "dringend" verzoek krijgt van de directeur om snel een betaling te doen of een cadeaubon te kopen.

6. QR-phishing (quishing)

Stickers met QR-codes op parkeermeters, laadpalen of in brieven. De code leidt naar een nepbetaalpagina. In 2024-2025 sterk in opkomst.

10 signalen waaraan je phishing herkent

Gebruik deze checklist om verdachte berichten snel te beoordelen:

1. Onverwachte urgentie: "Binnen 24 uur reageren of uw account wordt geblokkeerd."
2. Vreemd afzenderadres: kijk goed naar het deel achter de @. service@ing-veilig.com is niet hetzelfde als ing.nl.
3. Algemene aanhef: "Beste klant" in plaats van je naam (al gebruiken aanvallers nu vaker wel je naam dankzij datalekken).
4. Verkorte of vreemde links: hover over een link voordat je klikt en controleer de echte URL.
5. Verzoek om inloggegevens of TAN-codes: banken en overheden vragen die nooit per mail of telefoon.
6. Bijlagen die je niet verwacht: vooral .zip, .iso, .html en macro-Word-bestanden.
7. Inhoudelijke onlogica: een pakket dat je niet besteld hebt, een terugbetaling die je niet aangevraagd hebt.
8. Te mooie aanbiedingen: gratis iPhones, "u heeft gewonnen".
9. Druk om geheim te houden: "Vertel dit aan niemand, ook niet aan de bank."
10. Betaling via ongebruikelijke kanalen: Bitcoin, cadeaubonnen, Tikkie van onbekende.

Hoe controleer je een verdachte link veilig?

Voordat je klikt, neem 10 seconden om de link te checken. Dit zijn de stappen:

1. Hover met je muis boven de link (op desktop) zonder te klikken. De echte URL verschijnt linksonder.
2. Op mobiel: houd je vinger lang op de link tot een preview verschijnt.
3. Kijk naar het hoofddomein: dat is het deel direct voor .nl, .com of .be. Alles daarvoor (subdomeinen) kan misleidend zijn.
4. Bij twijfel: typ het officiële adres zelf in je browser in plaats van te klikken.
5. Voor verkorte links: gebruik een link-preview tool om te zien waar de link echt heen leidt.

Veilige korte links van een betrouwbare verkorter zoals Lunyb tonen statistieken en gebruiken een vertrouwd domein, zodat ontvangers weten waar ze aan toe zijn. Als je zelf links deelt, voorkomt dat onnodig wantrouwen bij je doelgroep.

Vergelijking: e-mailphishing vs smishing vs vishing

Kenmerk	E-mail	Sms (smishing)	Telefoon (vishing)
Belangrijkste kanaal	Inbox	Mobiele telefoon	Spraakoproep
Typisch lokaas	Factuur, account geblokkeerd	Pakketje, bankpas verloopt	Fraudeafdeling, "kleinkind in nood"
Belangrijkste signaal	Afzenderdomein	Korte URL, +44/+31 vreemd nummer	Druk + verzoek om actie nu
Risico in 2026	Hoog, maar bekend	Zeer hoog	Stijgend door AI-stemmen
Beste verdediging	Spamfilter + 2FA	Niet klikken, blokkeren	Ophangen, zelf terugbellen

Phishing voorkomen: 12 concrete maatregelen

Preventie is altijd goedkoper dan herstel. Deze maatregelen verkleinen je risico drastisch.

Voor jezelf thuis

1. Zet twee-factor-authenticatie (2FA) aan op alle belangrijke accounts: e-mail, bank, sociale media, cloud.
2. Gebruik een wachtwoordmanager (Bitwarden, 1Password, KeePass). Die vult alleen op het echte domein in — een ingebouwde phishingdetectie.
3. Controleer regelmatig of je gegevens gelekt zijn. Lees onze gids Is mijn wachtwoord gelekt? Zo controleer je het.
4. Houd software up-to-date: besturingssysteem, browser en apps.
5. Gebruik een veilige DNS-resolver zoals Cloudflare (1.1.1.1) of Quad9 (9.9.9.9) die bekende phishingdomeinen blokkeert.
6. Wees voorzichtig op openbare netwerken. Zie onze gids over openbaar wifi en veiligheid.

Voor je organisatie

1. Train medewerkers minimaal twee keer per jaar met realistische phishingsimulaties.
2. Implementeer SPF, DKIM en DMARC voor je eigen domein, zodat anderen niet gemakkelijk uit jouw naam kunnen mailen.
3. Voer een vier-ogen-principe in voor betalingen boven een bepaald bedrag.
4. Gebruik hardware-sleutels (FIDO2/YubiKey) voor admin- en financiële accounts. Deze zijn phishing-resistent.
5. Beperk wat je publiek deelt over je organisatie (organogrammen, verlof CEO), om spear phishing moeilijker te maken.
6. Maak melden makkelijk: één knop in Outlook of Gmail om verdachte mail door te sturen naar IT.

Wat doe je als je toch geklikt hebt?

Paniek helpt niet. Werk deze stappen rustig en in deze volgorde af:

1. Verbreek de internetverbinding van het apparaat als je een bijlage opende of software installeerde.
2. Wijzig direct je wachtwoorden, te beginnen met e-mail en bank. Doe dit vanaf een ander, schoon apparaat.
3. Bel je bank via het nummer op de achterkant van je bankpas als je betaalgegevens hebt ingevoerd. Laat eventueel je pas blokkeren.
4. Activeer 2FA op alle accounts waar dat nog niet stond.
5. Doe aangifte bij de politie (politie.nl in Nederland, politie.be in België) en meld het bij de Fraudehelpdesk of Safeonweb.
6. Scan je apparaat met een betrouwbare virusscanner. Bij twijfel: laat het herinstalleren.
7. Waarschuw je werkgever als het via je zakelijke account ging.
8. Houd bankafschriften en accounts twee maanden extra in de gaten.

Phishing en de AVG: wanneer is het een datalek?

Als persoonsgegevens van klanten of collega's bij criminelen terechtkomen door phishing, kan dit een datalek zijn dat onder de AVG meldplichtig is. Organisaties moeten dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP) in Nederland of de Gegevensbeschermingsautoriteit (GBA) in België.

Ben je zelf slachtoffer en is je organisatie nalatig geweest? Dan kun je een klacht indienen. Voor België lees onze gids GBA België: hoe een klacht indienen.

Voorbeelden van actuele phishingberichten (2026)

Een paar typische voorbeelden, zodat je ze herkent:

• "Belastingdienst": "U heeft recht op €312,40 teruggave. Klik hier om uw IBAN te bevestigen." De echte Belastingdienst stort terug op het bekende rekeningnummer en mailt nooit met links naar inlogpagina's.
• "PostNL/bpost": "Uw pakket wacht op €1,99 invoerrechten." Echte bezorgers innen geen kleine bedragen via sms-links.
• "Microsoft": "Uw Office-365 wachtwoord verloopt vandaag." Microsoft stuurt geen mails met inlogknoppen naar externe domeinen.
• "Bank": "Wij hebben verdachte activiteit gedetecteerd. Bel 020-..." Bel altijd zelf het nummer op je bankpas.
• WhatsApp "Hoi mama/papa": "Mijn telefoon is kapot, dit is mijn nieuwe nummer. Kun je een rekening betalen?" Bel altijd het oude nummer of vraag iets dat alleen je kind kan weten.

Bonus: foto's gebruikt in phishing

Oplichters gebruiken vaak foto's van echte mensen (gestolen van sociale media) om profielen geloofwaardig te maken, bijvoorbeeld bij datingfraude of nepwebshops. Twijfel je over een foto? Gebruik een omgekeerde afbeelding-zoekopdracht. Lees onze gids omgekeerde afbeelding zoeken om te leren hoe.

Veelgestelde vragen (FAQ)

Wat is het verschil tussen phishing en spam?

Spam is ongevraagde reclame en meestal alleen vervelend. Phishing is gericht op fraude: het wil je gegevens, geld of toegang stelen. Veel spamfilters vangen ook phishing op, maar lang niet alles. Daarom blijft eigen alertheid noodzakelijk.

Kunnen criminelen mijn telefoon hacken door één keer op een phishinglink te klikken?

In de meeste gevallen niet direct. Een link leidt meestal naar een nepsite waar je gegevens moet invoeren — klik je weg zonder iets in te vullen, dan is er niets aan de hand. Wel kunnen sommige links een kwetsbaarheid in een verouderde browser misbruiken. Houd je apparaat daarom up-to-date.

Helpt een wachtwoordmanager echt tegen phishing?

Ja, en beter dan veel mensen denken. Een wachtwoordmanager controleert het exacte domein voordat hij gegevens invult. Op een nepsite zoals ing-veilig.com zal hij dus niet automatisch je ING-wachtwoord invullen. Dat is op zichzelf al een waarschuwing.

Mag mijn werkgever phishingsimulaties bij mij uitvoeren?

Ja, mits dit transparant in het beleid is opgenomen en de resultaten niet individueel bestraffend worden gebruikt. De AP en GBA staan simulaties toe als veiligheidsmaatregel, maar verwachten zorgvuldigheid bij verwerking van resultaten (AVG-proportionaliteit).

Waar meld ik phishing in Nederland en België?

In Nederland: stuur verdachte mail door naar valse-email@fraudehelpdesk.nl of meld bij je bank en de politie. In België: stuur door naar verdacht@safeonweb.be. Bij financiële schade altijd aangifte doen bij de politie.

Conclusie

Phishing wordt elk jaar geraffineerder, maar de basisregels blijven hetzelfde: blijf rustig, controleer de afzender en het domein, klik niet zomaar, en gebruik 2FA op alles dat belangrijk is. Combineer technische maatregelen (wachtwoordmanager, veilige DNS, updates) met een gezonde dosis wantrouwen, en je verkleint je risico tot een fractie van het gemiddelde.

Begin vandaag met één actie: zet 2FA aan op je e-mailaccount. Dat is de sleutel tot al je andere accounts — en daarmee de belangrijkste deur die je dicht moet houden.