Phishing Herkennen: Een Praktische Gids — Uitgewist Academie
arrow_back Academie / Beveiliging schedule 6 min leestijd

Phishing Herkennen: Een Praktische Gids

Elke dag worden miljoenen phishing-berichten verstuurd. Ze worden steeds geloofwaardiger — mede omdat fraudeurs uw persoonlijke gegevens van databrokers kopen. Deze gids leert u ze herkennen.

Wat is phishing?

Phishing is een vorm van online oplichting waarbij criminelen zich voordoen als een betrouwbare instantie — een bank, de Belastingdienst, PostNL, een zorgverzekeraar — om u te verleiden gevoelige informatie te delen of op een kwaadaardige link te klikken. Het doel is uw inloggegevens, bankpasgegevens of persoonlijke informatie te stelen.

De naam komt van het Engelse 'fishing' (vissen): de aanvaller gooit een hengel uit in de hoop dat iemand hapt. Met moderne spear-phishing — gerichte aanvallen op specifieke personen — is de 'aas' echter nauwkeurig afgestemd op het slachtoffer. En daarvoor gebruiken criminelen informatie die ze bij databrokers hebben gekocht.

De drie vormen van phishing

E-mail phishing

De klassieke vorm. U ontvangt een e-mail die eruitziet als een officieel bericht van een bekende organisatie. De e-mail bevat een urgente boodschap — uw rekening wordt geblokkeerd, er is een verdachte transactie, uw pakket kan niet worden bezorgd — en een link die u naar een nagemaakte website leidt. Op die site worden uw gegevens gestolen.

Echt voorbeeld van een phishing-mail:

Van: service@ing-banknl.com
Onderwerp: Uw rekening wordt tijdelijk geblokkeerd

Geachte klant,
Wegens verdachte activiteiten is uw ING-rekening tijdelijk beperkt. Klik hieronder om uw identiteit te bevestigen en uw account te herstellen.

[Bevestig nu →]

Let op: ing-banknl.com is NIET het echte ING-domein (ing.nl).

SMS-phishing (smishing)

Smishing werkt via sms-berichten. Door de informele aard van sms lijken berichten geloofwaardiger, en mensen zijn minder gewend om bij sms kritisch te kijken. Typische smishing-berichten doen zich voor als pakketbezorgers (PostNL, DHL), banken of overheidsinstanties.

Echt voorbeeld van smishing:

PostNL: Uw pakket [JD348291] kon niet worden bezorgd. Betaal €1,95 voor nieuwe bezorging: postnl-bezorging.nl/herlevering

Telefonische phishing (vishing)

Bij vishing belt een 'medewerker' van uw bank, de politie of Microsoft u op met een dringende boodschap. Ze zijn getraind om vertrouwen te wekken en kunnen uw naam, adres en soms zelfs rekeningnummer al kennen — informatie die ze van databrokers hebben gehaald. Ze verzoeken u een code in te voeren in uw bankapp, of vragen u via een link software te installeren.

Hoe databrokers phishing versterken

Vroeger stuurden phishers berichten naar willekeurige e-mailadressen en hoopten dat iemand zou happen. Tegenwoordig kopen criminelen gepersonaliseerde lijsten bij databrokers of via gelekte databases: uw naam, e-mailadres, telefoonnummer, geboortedatum en adres. Hiermee kunnen ze:

  • U bij uw naam aanspreken, waardoor het bericht geloofwaardiger lijkt
  • Verwijzen naar uw specifieke bank ('uw ING-rekening') in plaats van een generiek bericht
  • Uw adres noemen om een vals gevoel van legitimiteit te creëren
  • Berichten versturen vlak na een echte bestelling bij een webwinkel (ze kopen verkoopdata)

Waarschuwingssignalen om op te letten

  • Urgentie en dreiging: 'Uw rekening wordt vandaag geblokkeerd', 'Onderneem direct actie'. Echte organisaties dwingen u niet tot onmiddellijk handelen.
  • Verdacht afzenderadres: Controleer niet alleen de weergegeven naam, maar ook het e-mailadres. ing-support@gmail.com of service@ing-banknl.com zijn geen echte ING-adressen.
  • Verdachte URL: Beweeg uw muis over een link (zonder te klikken) om de echte URL te zien. Kleine afwijkingen zijn veelzeggend: paypa1.com, postni.com, belastingdlnst.nl.
  • Algemene aanspreektitels: 'Geachte klant' in plaats van uw naam — hoewel spear-phishing dit heeft opgelost.
  • Taalfouten: Grammatica- of spelfouten zijn een signaal, maar moderne phishing-tools gebruiken AI om foutloos Nederlands te genereren.
  • Verzoek om gevoelige gegevens: Banken, belastingdienst of overheid vragen nooit via e-mail om uw pincode, wachtwoord of volledige bankgegevens.
  • Onverwachte bijlage: Open nooit bijlagen van onverwachte e-mails, zelfs als ze van een bekende afzender lijken te komen.

Wat te doen als u op een link heeft geklikt

Kalmeer — paniek leidt tot slechte beslissingen. Onderneem de volgende stappen:

  • Verbreek de internetverbinding van uw apparaat als u denkt dat er malware is gedownload.
  • Wijzig uw wachtwoord onmiddellijk als u inloggegevens heeft ingevoerd. Doe dit via een ander apparaat of netwerk.
  • Neem contact op met uw bank als u bankgegevens heeft ingevoerd of een betaling heeft gedaan. Vraag om blokkering van uw rekening of pas.
  • Schakel twee-factor-authenticatie in op alle getroffen accounts als dat nog niet was gedaan.
  • Meld de aanval bij de Fraudehelpdesk (fraudehelpdesk.nl) en eventueel bij de echte organisatie die werd nagebootst.
  • Voer een virusscan uit als u een bijlage heeft geopend of software heeft gedownload.

Bescherm uzelf structureel

De meest effectieve langetermijnbescherming is het verkleinen van uw aanvalsoppervlak. Hoe minder uw e-mailadres en telefoonnummer bij databrokers bekend zijn, hoe minder gericht u kunt worden aangevallen. Gebruik unieke e-mailadressen per service (via een alias-dienst), vermeld uw privénummer nooit openbaar en verwijder uw gegevens bij databrokers.

Gebruik verder een wachtwoordmanager (zodat elk account een uniek, sterk wachtwoord heeft), schakel twee-factor-authenticatie in op alle kritieke accounts, en houd uw software altijd up-to-date om bekende beveiligingslekken te dichten.

Klaar om uw data te verwijderen?

Laat Uitgewist uw persoonlijke gegevens automatisch verwijderen bij 180+ databrokers.

Start bescherming