Phishing herkennen en voorkomen: de complete gids

Phishing: nog steeds de meest gebruikte aanvalstechniek

Ondanks alle technologische vooruitgang blijft phishing de nummer één manier waarop aanvallers bedrijven binnendringen. De reden is simpel: mensen zijn kwetsbaar voor sociale manipulatie, hoe technisch vaardig ze ook zijn.

In 2025 werden er elke dag meer dan 3,4 miljard phishing-e-mails verstuurd. Slechts één klik is genoeg om een complete datalek of ransomware-aanval in gang te zetten.

Wat is phishing?

Phishing is een vorm van social engineering waarbij aanvallers zich voordoen als een vertrouwde entiteit — een bank, collega, leverancier of overheidsinstelling — om slachtoffers te verleiden gevoelige informatie te delen of malware te installeren.

De verschillende vormen van phishing

E-mail phishing (meest voorkomend)

Massaal verstuurde e-mails die afkomstig lijken van legitieme organisaties. Ze bevatten valse links of kwaadaardige bijlagen.

Voorbeeld: Een e-mail van "ING Bank" die vraagt om je inloggegevens te bevestigen via een link naar een nep-website.

Spear phishing (gericht)

Gepersonaliseerde aanvallen gericht op specifieke personen of organisaties. De aanvaller doet uitgebreid onderzoek naar het slachtoffer via LinkedIn, de bedrijfswebsite of sociale media.

Voorbeeld: Een e-mail die lijkt te komen van de CEO, gericht aan de financieel directeur, met het verzoek om snel een factuur te betalen.

CEO Fraud / Business Email Compromise (BEC)

Een variant van spear phishing waarbij aanvallers zich voordoen als een leidinggevende (CEO, CFO) om medewerkers te manipuleren geld over te boeken of vertrouwelijke informatie te delen.

Statistiek: BEC-aanvallen veroorzaakten in 2024 wereldwijd meer dan $2,9 miljard schade.

Smishing (SMS phishing)

Phishing via sms-berichten. Steeds vaker gebruikt nu mensen beter letten op verdachte e-mails.

Voorbeeld: "Uw pakket staat klaar. Klik hier om de bezorging te bevestigen."

Vishing (voice phishing)

Oplichting via telefoon. Aanvallers doen zich voor als helpdesk, bank of overheid.

Quishing (QR-code phishing)

Een groeiende trend: valse QR-codes die naar phishing-websites leiden. Worden toegepast via e-mail, maar ook fysiek op posters of parkeermeters.

Hoe herken je een phishing-aanval?

Verdachte afzender

Het e-mailadres wijkt subtiel af van het officiële adres: support@microsof.com in plaats van support@microsoft.com
Gebruik van gratis e-maildiensten: bol-service@gmail.com
Bekijk het volledige e-mailadres, niet alleen de weergegeven naam

Urgentie en druk

"Uw account wordt binnen 24 uur geblokkeerd"
"Betaal direct om een boete te voorkomen"
"Dit is uw laatste kans" Echte organisaties creëren geen kunstmatige druk.

Valse links

Hover over een link (zonder te klikken!) om de echte bestemming te zien
Let op kleine afwijkingen: paypa1.com, rnicrosoft.com (met een 'rn' in plaats van 'm')
Verdachte subdomeinen: login.bank.kwaadaardige-site.com

Verdachte bijlagen

Uitvoerbare bestanden (.exe, .zip, .iso, .img)
Documenten die vragen om macro's in te schakelen
Wachtwoordbeveiligde archieven (om virusscanners te omzeilen)

Vragen om gevoelige informatie

Legitieme organisaties vragen nooit via e-mail om:

Wachtwoorden
Pincodes of betaalgegevens
Tweefactorauthenticatiecodes
Kopieën van identiteitsdocumenten

Slechte opmaak en taalfouten

Veel phishing-e-mails bevatten spelfouten, vreemde zinconstructies of een inconsistent lettertype — hoewel AI-tools dit steeds minder zichtbaar maakt.

Wat doe je als je een phishing-e-mail ontvangt?

Niet klikken op links of bijlagen
Niet reageren op de e-mail
Meld het aan je IT-afdeling of securityteam
Rapporteer het bij het Nationaal Cyber Security Centrum via valse-email@ncsc.nl
Verwijder de e-mail uit je inbox

Wat doe je als je op een phishing-link hebt geklikt?

Snel handelen is cruciaal:

Ontkoppel je apparaat van het internet
Verander direct je wachtwoorden via een ander apparaat, te beginnen bij je e-mail en bankrekening
Schakel IT-beveiliging in en meld het incident
Controleer je accounts op verdachte activiteiten
Activeer MFA als je dat nog niet had

Organisatorische maatregelen

Technisch

E-mailfiltering met spam- en phishing-detectie (Microsoft Defender, Proofpoint, Mimecast)
SPF, DKIM en DMARC om e-mailfraude te voorkomen
DNS-filtering om verbindingen naar bekende kwaadaardige domeinen te blokkeren
Sandboxing voor bijlagen en links
Multi-factor authenticatie op alle accounts

Organisatorisch

Security awareness training minimaal twee keer per jaar
Gesimuleerde phishing-campagnes om medewerkers te testen én te leren
Duidelijke meldprocedures zodat medewerkers weten wat ze moeten doen
Verificatieprotocol voor betalingsopdrachten via een apart kanaal (telefoon, nooit via e-mail reply)

De menselijke factor: awareness is alles

Technische maatregelen zijn essentieel, maar mensen blijven de zwakste schakel. Investeren in security awareness training is een van de beste investeringen die je als bedrijf kunt doen.

Goede trainingen zijn:

Praktisch en herkenbaar — gebruik echte voorbeelden uit de branche
Regelmatig — niet één keer per jaar, maar doorlopend
Positief — geen schuldgevoel, wel bewustwording
Getest — met periodieke phishing-simulaties

Conclusie

Phishing is succesvol omdat het inspeelt op menselijke reflexen: vertrouwen, urgentie en autoriteit. Door medewerkers te trainen en de juiste technische maatregelen te implementeren, verklein je de kans op een succesvolle aanval drastisch.

AxisNetworks biedt uitgebreide security awareness trainingen en technische e-mailbeveiligingsoplossingen. Neem contact met ons op om te bespreken wat we voor jouw organisatie kunnen betekenen.

Het AxisNetworks Team