facebook-pixel
L
Lunyb

Phishing Herkennen en Voorkomen: Complete Gids voor 2026

L
Lunyb Beveiligingsteam
··8 min read

Phishing is een vorm van online oplichting waarbij criminelen zich voordoen als betrouwbare partijen om je gevoelige informatie te ontfutselen. In 2025 werd in Nederland een recordbedrag van meer dan 100 miljoen euro buitgemaakt via phishing, en de aanvallen worden door AI-tools steeds geloofwaardiger. Deze gids leert je in detail hoe je phishing herkent en voorkomt, met praktijkvoorbeelden en concrete actiestappen.

Wat is phishing precies?

Phishing is een cyberaanval waarbij oplichters via e-mail, sms, telefoon of sociale media proberen je inloggegevens, bankgegevens of andere persoonlijke informatie te stelen. De term komt van het Engelse "fishing" - criminelen werpen massaal hun "hengel" uit in de hoop dat iemand toehapt.

De meest voorkomende vormen in Nederland zijn:

  • E-mail phishing: Massaal verzonden valse e-mails, vaak namens banken, PostNL of de Belastingdienst.
  • Smishing: Phishing via sms, bijvoorbeeld nepberichten over pakketten of openstaande facturen.
  • Vishing: Phishing via telefoongesprekken, waarbij oplichters zich voordoen als bankmedewerker.
  • Spear phishing: Gerichte aanvallen op specifieke personen of bedrijven met persoonlijke informatie.
  • Whaling: Spear phishing gericht op directieleden of hoge functionarissen.

De 8 belangrijkste signalen om phishing te herkennen

Phishing-berichten hebben vrijwel altijd herkenbare kenmerken. Hieronder staan de acht belangrijkste red flags waar je op moet letten.

1. Verdachte afzender of e-mailadres

Controleer het volledige e-mailadres, niet alleen de naam. Een bericht van "ING Bank" met als afzender service@ing-secure-login.com is bijna altijd nep. Echte banken gebruiken hun officiële domein (bijvoorbeeld @ing.nl). Let ook op subtiele typefouten zoals @rab0bank.nl (met een nul in plaats van een o).

2. Urgente of dreigende toon

"Uw account wordt binnen 24 uur geblokkeerd!" of "Direct actie vereist!" zijn klassieke phishing-signalen. Oplichters willen dat je in paniek raakt en niet nadenkt. Legitieme organisaties geven je altijd voldoende tijd en zullen nooit dreigen.

3. Algemene aanhef

"Geachte klant" of "Beste gebruiker" in plaats van je echte naam is verdacht. Je bank kent je naam. Let wel op: bij spear phishing wordt soms wel je naam gebruikt, dus dit alleen is geen garantie.

4. Spelfouten en vreemde formuleringen

Hoewel AI-tools phishing-berichten steeds beter maken, bevatten veel berichten nog spelfouten, kromme zinnen of vertaalmissers. Een professionele organisatie stuurt geen e-mails met taalfouten.

5. Verdachte links

Hover (zonder te klikken!) met je muis over een link om de echte URL te zien. Komt deze niet overeen met het verwachte domein, klik dan niet. Phishers gebruiken vaak verkorte URL's om de echte bestemming te verbergen. Gebruik altijd betrouwbare URL-shorteners zoals Lunyb, die transparant zijn over de bestemming en malafide links blokkeren.

6. Onverwachte bijlagen

Open nooit zomaar bijlagen, vooral niet .zip, .exe, .scr of macro-enabled Office-bestanden (.docm, .xlsm). Deze kunnen malware bevatten die je computer infecteert.

7. Vragen om gevoelige informatie

Geen enkele bank, overheidsinstelling of betrouwbaar bedrijf vraagt via e-mail of sms om je wachtwoord, pincode, TAN-codes of volledige rekeninggegevens. Dit is een absolute red flag.

8. Te mooi om waar te zijn

"U heeft 50.000 euro gewonnen!" of "Belastingteruggave van 1.249 euro klaar voor uitbetaling" zijn klassieke lokmiddelen. Als het te mooi klinkt om waar te zijn, is dat het meestal ook.

Veelvoorkomende phishing-scenario's in Nederland

Nederlandse consumenten worden vooral getroffen door specifieke phishing-types. Herken je deze, dan ben je al een stap vooruit.

ScenarioHoe het werktRed flag
PostNL pakket-smsSms over een pakket dat niet bezorgd kan worden, met betaallink voor "verzendkosten"PostNL vraagt nooit betaling via sms-link
Bank-helpdeskfraudeTelefoontje van "medewerker fraudedesk" die vraagt geld over te zetten naar een "kluisrekening"Banken hebben geen kluisrekeningen
Belastingdienst-mailE-mail over teruggave of openstaande aanslag met inloglinkBelastingdienst stuurt nooit links naar inlogpagina's
WhatsApp-fraudeBericht van "zoon/dochter" met nieuw nummer en verzoek om geldVerzoek altijd verifiëren via bekend nummer
Microsoft/Apple-meldingPop-up of e-mail dat je account is gehackt, met support-nummerMicrosoft belt nooit ongevraagd

Hoe voorkom je phishing? 10 essentiële maatregelen

Voorkomen is beter dan genezen. Met deze tien maatregelen verklein je drastisch de kans dat je slachtoffer wordt van phishing.

  1. Gebruik tweefactorauthenticatie (2FA) op alle belangrijke accounts. Zelfs als je wachtwoord wordt buitgemaakt, blijven je gegevens veilig.
  2. Gebruik een wachtwoordmanager. Deze vult alleen wachtwoorden in op het juiste, echte domein. Lees onze uitgebreide gids over wachtwoordbeveiliging.
  3. Houd software up-to-date. Browser, besturingssysteem en antivirus moeten altijd de laatste beveiligingsupdates hebben.
  4. Klik nooit direct op links in e-mails. Typ het webadres zelf in je browser of gebruik een opgeslagen bookmark.
  5. Verifieer verzoeken via een ander kanaal. Krijg je een verdacht verzoek van je bank? Bel ze via het nummer op hun officiële website (niet uit de e-mail).
  6. Schakel spam-filters in. Moderne e-mailproviders zoals Gmail en Outlook filteren al veel phishing eruit.
  7. Gebruik een betrouwbare antivirus met phishing-bescherming en webfilter.
  8. Train jezelf en collega's. Doe regelmatig phishing-tests om alert te blijven.
  9. Beperk je digitale voetafdruk. Hoe minder informatie online over je beschikbaar is, hoe moeilijker spear phishing wordt. Bekijk onze aanbevolen privacy-tools.
  10. Wees terughoudend op sociale media. Vakantieaankondigingen, werkplek of geboortedatum kunnen door phishers gebruikt worden.

Verdachte links checken: zo doe je het veilig

Twijfel je over een link? Klik dan niet, maar gebruik deze methodes om de URL veilig te controleren.

Online URL-scanners

Diensten zoals VirusTotal, urlscan.io en Google Safe Browsing analyseren een URL zonder dat jij hem hoeft te bezoeken. Plak de link en je krijgt een veiligheidsbeoordeling.

Domein-WHOIS-check

Via een WHOIS-tool zie je wanneer een domein geregistreerd is. Een "officieel" bankdomein dat gisteren is geregistreerd, is vrijwel zeker phishing.

Verkorte URL's controleren

Verkorte links (bit.ly, t.co, etc.) verbergen de bestemming. Tools zoals CheckShortURL of unshorten.it laten zien waar de link werkelijk naartoe gaat. Bij betrouwbare URL-shorteners zoals Lunyb kun je vaak een preview-functie gebruiken om de bestemming te zien voordat je klikt. Vergelijk dit met andere aanbieders in onze Bitly review.

Wat te doen als je toch slachtoffer bent geworden?

Heb je per ongeluk op een phishing-link geklikt of gegevens ingevuld? Snel handelen beperkt de schade aanzienlijk.

Stappenplan bij phishing

  1. Verbreek de internetverbinding als je iets hebt gedownload of geïnstalleerd.
  2. Wijzig direct je wachtwoord van het getroffen account én van alle accounts waar je hetzelfde wachtwoord gebruikt.
  3. Schakel 2FA in als dat nog niet was gedaan.
  4. Neem contact op met je bank als financiële gegevens zijn buitgemaakt. Bel het officiële nummer en blokkeer kaarten.
  5. Doe aangifte bij de politie via politie.nl of het lokale bureau.
  6. Meld het bij de Fraudehelpdesk (fraudehelpdesk.nl) of bij de organisatie waarvan misbruik werd gemaakt.
  7. Scan je apparaat met een actuele virusscanner op malware.
  8. Monitor je rekeningen de komende weken op verdachte transacties.
  9. Overweeg een verzoek bij datalekken. Als je gegevens onrechtmatig zijn verspreid, kun je een recht op vergetelheid-verzoek indienen.

Phishing in zakelijke context: extra aandachtspunten

Voor bedrijven is phishing een van de grootste cybersecurity-risico's. Volgens de Autoriteit Persoonsgegevens (AP) is phishing een van de meest voorkomende oorzaken van gemelde datalekken onder de AVG.

CEO-fraude (BEC)

Bij Business Email Compromise doet een aanvaller zich voor als directielid en vraagt een werknemer (vaak op de financiële afdeling) om een spoedoverboeking. Schade per incident loopt regelmatig in de honderdduizenden euro's.

Maatregelen voor organisaties

  • Implementeer SPF, DKIM en DMARC om e-mailspoofing tegen te gaan.
  • Gebruik een e-mailgateway met geavanceerde phishing-detectie.
  • Voer regelmatig phishing-simulaties uit onder medewerkers.
  • Stel een vier-ogen-principe in voor financiële transacties boven een bepaald bedrag.
  • Zorg voor een duidelijke incident-response procedure.
  • Meld datalekken binnen 72 uur bij de AP, conform de AVG.

De toekomst van phishing: AI en deepfakes

Phishing evolueert snel. In 2026 zien we steeds meer aanvallen waarbij AI wordt ingezet:

  • AI-gegenereerde teksten zonder spelfouten, perfect aangepast aan het doelwit.
  • Voice cloning: Stemmen van familieleden of collega's worden nagebootst voor vishing.
  • Deepfake video's in Teams- of Zoom-meetings, waarbij oplichters zich visueel voordoen als CEO.
  • QR-code phishing (quishing): Kwaadaardige QR-codes op posters, in e-mails of zelfs op parkeerautomaten.

De gouden regel blijft: verifieer altijd via een tweede, onafhankelijk kanaal voordat je gevoelige actie onderneemt.

Veelgestelde vragen over phishing

Wat is het verschil tussen phishing en spam?

Spam is ongewenste reclamemail die meestal onschuldig (maar irritant) is. Phishing is een gerichte aanval om gegevens of geld te stelen en is dus een misdrijf. Phishing kan via spamberichten binnenkomen, maar niet alle spam is phishing.

Kan ik geïnfecteerd raken door alleen op een phishing-link te klikken?

Ja, dit is mogelijk. Sommige phishing-links leiden naar pagina's die kwetsbaarheden in je browser misbruiken (drive-by downloads). Houd je browser daarom altijd up-to-date en gebruik een goede antivirus. Het invullen van gegevens is doorgaans wel een veel groter risico dan alleen klikken.

Vergoedt mijn bank de schade bij phishing?

Nederlandse banken vergoeden meestal de schade bij phishing, mits je niet "grof nalatig" bent geweest. Pincode of TAN-codes vrijwillig delen wordt vaak als grove nalatigheid gezien, waarbij je geen vergoeding krijgt. Doe altijd direct aangifte en meld het incident.

Hoe meld ik phishing in Nederland?

Verdachte e-mails kun je doorsturen naar valse-email@fraudehelpdesk.nl. Phishing namens een specifieke organisatie meld je vaak ook bij die organisatie zelf (bijvoorbeeld phishing@ing.nl of valse-email@belastingdienst.nl). Bij financiële schade doe je aangifte bij de politie.

Hoe leer ik mijn ouders of grootouders phishing herkennen?

Maak een korte checklist met de belangrijkste regels: nooit klikken op links in onverwachte berichten, nooit pincode of wachtwoord delen, en bij twijfel altijd bellen met een familielid voordat actie wordt ondernomen. Print deze uit en hang hem bij de computer. Doorloop samen een paar voorbeelden van phishing-berichten zodat ze de signalen leren herkennen.

Conclusie

Phishing herkennen en voorkomen is een vaardigheid die iedereen in 2026 nodig heeft. De aanvallen worden geraffineerder, maar met de juiste kennis, gezonde scepsis en technische maatregelen zoals 2FA en een wachtwoordmanager bescherm je jezelf effectief. Onthoud de gouden regel: bij twijfel niet klikken, niets invullen, en altijd verifiëren via een onafhankelijk kanaal. Deel deze gids met familie, vrienden en collega's - hoe meer mensen phishing kunnen herkennen, hoe minder slachtoffers oplichters maken.

Protect your links with Lunyb

Create secure, trackable short links and QR codes in seconds.

Get Started Free

Related Articles

Wachtwoordbeveiliging: De Ultieme Gids voor 2026

Een complete gids voor wachtwoordbeveiliging in 2026. Leer hoe je sterke wachtwoorden maakt, password managers gebruikt, 2FA activeert en je accounts beschermt tegen datalekken. Praktische tips voor zowel particulieren als bedrijven.

8 min

Cybersecurity voor Belgische KMO's: Complete Gids 2026

Cybersecurity is een operationele noodzaak voor Belgische KMO's in 2026. Deze gids behandelt de grootste bedreigingen, NIS2- en AVG-verplichtingen, een 10-punten beveiligingsplan, kostenoverzicht en een 90-dagen stappenplan voor implementatie.

8 min

Openbaar WiFi: Is het Veilig? Risico's en Bescherming (Gids 2026)

Openbaar WiFi is overal beschikbaar, maar hoe veilig is het echt? Ontdek de grootste risico's zoals Man-in-the-Middle aanvallen en Evil Twin hotspots, en leer met 10 praktische tips hoe je jezelf effectief beschermt op publieke netwerken in 2026.

8 min

QR-Code Oplichting: Zo Bescherm Je Jezelf in 2026

QR-code oplichting, ook wel quishing genoemd, is een snelgroeiende vorm van cybercriminaliteit in Nederland. In deze gids leggen we uit hoe oplichters QR-codes misbruiken en welke concrete stappen je kunt nemen om jezelf, je geld en je gegevens te beschermen.

8 min