Wat is phishing en hoe werkt het?

Wat is phishing

Phishing is een vorm van online fraude waarbij oplichters via e-mail, sms, QR-codes of telefoontjes toegang tot gevoelige informatie proberen te krijgen. Ze doen zich voor als een betrouwbare organisatie, zoals een bank of overheidsinstantie, en sturen valse berichten om je te misleiden. Het doel is om persoonlijke informatie, inloggegevens of geld te stelen. De betekenis van phishing gaat echter verder dan alleen valse berichten: het draait vooral om psychologische manipulatie en social engineering, waarbij criminelen inspelen op emoties zoals angst, vertrouwen en urgentie.

Phishing is in Nederland wijdverspreid. In 2023 ontving ongeveer 65% van de Nederlanders van 15 jaar en ouder ten minste één phishingbericht. Ongeveer 1 op de 10 Nederlanders werd daadwerkelijk slachtoffer van online oplichting, vaak met phishing als een van de gebruikte methoden.

Fun fact: de term phishing komt van het Engelse woord fishing (vissen). Oplichters ‘gooien een hengel uit’ naar een grote groep mensen en hopen dat iemand toehapt. De afwijkende spelling met ph is afkomstig uit de hackerscultuur van de jaren ’90.

Hoe werkt phishing? 

Nu je de betekenis van phishing kent, is het makkelijker te begrijpen hoe criminelen deze vorm van online fraude stap voor stap uitvoeren

• Stap 1: Het lokmiddel. Oplichters sturen een vals bericht, vaak via e-mail of sms, dat lijkt te komen van een vertrouwde organisatie, zoals een bank, overheidsinstantie of webshop. Ze gebruiken herkenbare logo's, officieel lijkende e-mailadressen en professionele taal om het bericht zo geloofwaardig mogelijk te maken.
• Stap 2: De belofte. Het bericht bevat een prikkel die emoties oproept, zoals de belofte van een prijs, korting of een terugbetaling, of de dreiging van een geblokkeerd account. Dit creëert een gevoel van urgentie of angst, waardoor het slachtoffer snel handelt zonder na te denken over de mogelijkheid dat het een scam is. Slachtoffers voelen vaak de druk om onmiddellijk te reageren.
• Stap 3: De vangst. Het slachtoffer klikt op een link naar een valse website, die eruitziet als de echte website van de organisatie. Op deze nepwebsite wordt het slachtoffer gevraagd om persoonlijke gegevens in te vullen, zoals inloggegevens of creditcardinformatie. Hierdoor krijgen de aanvallers toegang tot deze gevoelige gegevens of kunnen ze schadelijke software op het apparaat van het slachtoffer installeren.

Onthoud dat phishing psychologische manipulatie is. Oplichters maken bewust gebruik van emoties zoals angst, nieuwsgierigheid of hebzucht om je onder druk te zetten en je rationele oordeel te omzeilen. Juist daarom is het belangrijk om bij onverwachte berichten altijd even te pauzeren en kritisch te kijken, ook als het bericht betrouwbaar lijkt.

Waarom is phishing gevaarlijk?

Phishing kan ernstige gevolgen hebben, zowel voor individuen als voor bedrijven, met verschillende risico's op het gebied van veiligheid, financiën en reputatie.

Voor individuen

Phishing kan voor individuen leiden tot ernstige gevolgen, zoals:

• Identiteitsdiefstal. Aanvallers kunnen je persoonlijke gegevens stelen, zoals je naam, adres of burgerservicenummer, en zich vervolgens voordoen als jou. Dit kan leiden tot identiteitsdiefstal en vervolgens tot fraude, zoals het openen van bankrekeningen of het aanvragen van leningen op jouw naam.
• Financieel verlies. Phishing kan leiden tot ongeautoriseerde betalingen, zoals geld dat wordt overgemaakt naar de bankrekening van de aanvaller. Dit kan aanzienlijke financiële schade veroorzaken, vooral als je te laat bent met actie ondernemen.
• Verlies van gevoelige gegevens. Gegevens zoals je inloggegevens voor e-mail, social media of online winkelplatforms kunnen worden gestolen. Deze informatie kan vervolgens misbruikt worden voor verdere aanvallen of om toegang te krijgen tot je accounts.
• Malware-infecties. Phishing kan ervoor zorgen dat je onbewust malware, zoals adware en spyware, op je apparaat installeert. Deze schadelijke software kan gevoelige informatie stelen, je apparaat beschadigen of het zelfs gebruiken voor verdere aanvallen, zoals het versturen van spam of het inbreken op andere netwerken.

Voor bedrijven

Phishing kan bedrijven ook ernstige schade toebrengen:

• Diefstal van bedrijfsgegevens. Phishing kan gevoelige bedrijfsinformatie stelen, zoals klantgegevens of bedrijfsgeheimen, wat de vertrouwelijkheid en concurrentiepositie schaadt.
• Financiële schade. Ongeautoriseerde betalingen kunnen grote financiële verliezen veroorzaken, vooral als phishingaanvallen onopgemerkt blijven.
• Verlies van klantenvertrouwen. Als klantgegevens worden gestolen, kan het vertrouwen in het bedrijf afnemen, wat leidt tot verlies van klanten en schade aan het imago.
• Juridische en compliance-problemen. Bedrijven kunnen boetes of juridische claims krijgen als ze niet voldoen aan de gegevensbeschermingsvereisten, zoals de AVG.
• Infectie van bedrijfsnetwerken. Malware die via phishing wordt geïntroduceerd, kan bedrijfsnetwerken verstoren en leiden tot dataverlies of ransomware-aanvallen.

De meest voorkomende phishingaanvallen

Phishing kan op verschillende manieren worden uitgevoerd, waarbij cybercriminelen verschillende technieken gebruiken om persoonlijke informatie van slachtoffers te stelen. Dit zijn de meest voorkomende typen phishing:

• E-mail phishing. E-mail phishing is een veelvoorkomende techniek waarbij aanvallers valse e-mails sturen die eruitzien alsof ze van een betrouwbare bron komen. Het doel is om de ontvanger te misleiden zodat hij op een link klikt, een valse website bezoekt of persoonlijke informatie invult. Dit type phishing omvat varianten zoals spear phishing, whaling en clone phishing.
• Vishing. Vishing staat voor ‘voice phishing’ en is een vorm van telefonische fraude waarbij criminelen zich voordoen als vertrouwde instanties, zoals je bank of de Belastingdienst, om persoonlijke en financiële informatie te stelen. Ze creëren een gevoel van angst of urgentie, bijvoorbeeld door te zeggen dat er een probleem is met je bankrekening of dat je een boete moet betalen. Soms bellen ze ook via een onbekend 06-nummer.
• Smishing. Smishing is phishing via sms. Hierbij ontvangt het slachtoffer een bericht dat lijkt te komen van een betrouwbare organisatie, met een link die vraagt om persoonlijke informatie of het bevestigen van accountgegevens. De link leidt vaak naar een nepwebsite waarop het slachtoffer gevraagd wordt persoonlijke gegevens in te vullen.
• Angler phishing. Dit is een vorm van phishing die zich richt op sociale netwerken, zoals Twitter of Facebook, waarbij aanvallers zich voordoen als klantenservicemedewerkers en reageren op hulpverzoeken van gebruikers. Ze sturen een valse link die naar een nepwebsite leidt, ontworpen om persoonlijke gegevens of inloginformatie te stelen. Het grote verschil met traditionele phishing is dat ze inspelen op bestaande gesprekken, waardoor ze meer vertrouwen wekken.
• Double-barrel phishing. Dit is een geavanceerde techniek waarbij criminelen twee of meer phishing-e-mails sturen om slachtoffers te misleiden. De eerste e-mail bevat vaak een onschuldige vraag, terwijl de tweede e-mail met een dringender verzoek volgt. Samen vergroten deze berichten de kans dat het slachtoffer persoonlijke gegevens, zoals inloginformatie of bankgegevens, deelt.
• Whaling. Whaling is een type phishing dat zich richt op hooggeplaatste personen, zoals CEO's of andere leidinggevenden binnen een organisatie. Het doel is om gevoelige bedrijfsinformatie of financiële gegevens te verkrijgen. Het voordeel voor oplichters is dat deze personen vaak toegang hebben tot waardevolle informatie en veel geld, waardoor een succesvolle aanval aanzienlijke winst kan opleveren.

Ongeacht de vorm blijft de betekenis van phishing hetzelfde: slachtoffers misleiden om toegang te krijgen tot gegevens of geld. Deze verschillende vormen van phishing tonen echter aan hoe veelzijdig deze aanvallen kunnen zijn. 

Voorbeelden van phishingaanvallen in Nederland

Phishing is een veelvoorkomend probleem in Nederland, en er zijn meerdere recente gevallen geweest waarbij slachtoffers zijn gemaakt. 

• Phishing‑callcenter opgerold in Hellevoetsluis. In juli 2025 ontdekte de politie een actief phishing‑callcenter op een vakantiepark en arresteerde drie mannen en twee vrouwen op heterdaad. Bij de inval werd voor ongeveer € 160.000 aan cryptovaluta, twee voertuigen, achttien gegevensdragers, luxe horloges en designerkleding in beslag genomen. Slachtoffer werden naar valse websites te lokken, waarna hun rekeningen werden geplunderd.
• Vijf jongeren aangehouden voor phishing tegen ABN AMRO‑klanten. In Lelystad zijn afgelopen juli vijf verdachten, waaronder vier minderjarigen, opgepakt voor een phishingscam gericht op klanten van ABN AMRO. Slachtoffers ontvingen aangetekende brieven met een QR‑code die naar een valse bankomgeving leidde. Volgens de politie wisten de verdachten van minstens zes mensen bankgegevens te bemachtigen.
• Internationaal phishingnetwerk verkocht valse websites. Tijdens een grootschalige internationale actie tegen een phishing‑dienst zijn in april 2024 wereldwijd 37 verdachten opgepakt, waarvan vijf in Nederland. Het netwerk verkocht valse bank‑ en overheidswebsites aan andere criminelen, wat heeft geleid tot het stelen van ongeveer 500.000 creditcardgegevens en 1,2 miljoen wachtwoorden.

Hoe kun je phishing herkennen?

Als je de betekenis van phishing begrijpt, wordt het makkelijker om de signalen van een phishingaanval te herkennen. Let op deze tekenen:

• Urgentie. Phishingberichten creëren vaak een gevoel van urgentie, bijvoorbeeld door te dreigen met een geblokkeerd account of door te claimen dat er een aanbieding snel verloopt.
• Te mooie aanbiedingen. Phishing kan ook inspelen op onze wens om snel voordeel te behalen. Je krijgt bijvoorbeeld een bericht over een aanbieding die te mooi lijkt om waar te zijn. Dit soort berichten kunnen je verleiden om snel persoonlijke gegevens in te vullen of op een verdachte link te klikken.
• Spelfouten en slechte grammatica. Let op fouten in de tekst, zoals slechte vertalingen of vreemde zinsconstructies. Legitieme bedrijven sturen meestal foutloze berichten.
• Nieuwe of onbekende afzenders. Als je voor het eerst een bericht ontvangt van een onbekende afzender, moet je altijd extra voorzichtig zijn.
• Verdachte links of bijlagen. Klik nooit zomaar op links of bijlagen, vooral als je de afzender niet kent of als ze er verdacht uitzien.
• Algemene begroetingen. Phishingberichten gebruiken vaak vage begroetingen zoals ‘Beste klant’ in plaats van je naam. Echte bedrijven gebruiken vaak je naam.
• Subtiele spelfouten in domeinnamen. Phishers gebruiken vaak spelfouten in domeinnamen, zoals ‘rnicrosoft.com’ in plaats van ‘microsoft.com’, om je te misleiden.

Kortom, blijf altijd waakzaam en klik nooit zomaar op een link of bijlage, tenzij je zeker weet dat het bericht betrouwbaar is. Zelfs de meest geavanceerde phishing-aanvallen kunnen vaak worden herkend door aandacht te besteden aan deze details.

Wat moet je doen als je slachtoffer van phishing bent?

Als je slachtoffer bent geworden van een phishingaanval, is het belangrijk om snel te handelen. Hier zijn de stappen die je moet nemen:

• Verander onmiddellijk je wachtwoorden. Als je op een link hebt geklikt of persoonlijke gegevens hebt ingevoerd, verander dan direct de wachtwoorden van je belangrijkste accounts, zoals je e-mail, bank, cloudservice en social media.
• Controleer je bank- en financiële rekeningen. Houd je bankrekeningen goed in de gaten om te zien of er verdachte betalingen of activiteiten zijn. 
• Meld de phishingaanval. Als je per ongeluk op een verdachte link hebt geklikt of persoonlijke gegevens hebt gedeeld, meld de aanval dan bij de relevante instanties. In Nederland kun je bijvoorbeeld melding maken bij de Fraudehelpdesk en de politie voor verdere ondersteuning.
• Neem contact op met je bank. Als je je bankgegevens hebt ingevoerd op een nepwebsite, neem dan direct contact op met de klantenservice van je bank. Ze kunnen je helpen om je account te beschermen en verdere schade te voorkomen.
• Blijf alert op verdachte activiteiten. Als je persoonlijke informatie hebt gedeeld, zoals je burgerservicenummer of adres, blijf dan alert op verdachte activiteiten. Controleer regelmatig je accounts en wees waakzaam voor eventuele pogingen om je gegevens te misbruiken.

Snelle actie is essentieel om de schade van phishing te beperken. Zorg ervoor dat je alle benodigde stappen onderneemt om je gegevens te beschermen en verdere schade te voorkomen.

Hoe kun je jezelf tegen phishing beschermen?

Phishingaanvallen worden steeds geavanceerder, mede door de inzet van kunstmatige intelligentie en deep fakes. Je kunt jezelf echter actief beschermen door een combinatie van gezond verstand, goede gewoonten en technische maatregelen te gebruiken.

• Blijf altijd alert en kritisch. Denk twee keer na voordat je op links klikt of bijlagen opent, vooral als ze in berichten staan die je onverwacht hebt ontvangen of waarin om persoonlijke informatie wordt gevraagd.
• Gebruik sterke, unieke wachtwoorden. Zorg ervoor dat elk account een uniek, sterk wachtwoord heeft dat moeilijk te raden is. Zo voorkom je dat één gestolen wachtwoord toegang geeft tot al je andere accounts.
• Schakel multifactorauthenticatie (MFA) in. MFA voegt een extra beveiligingslaag toe bovenop je wachtwoord, bijvoorbeeld via een sms‑code of authenticator‑app. Dit maakt het voor aanvallers veel moeilijker om toegang tot je account te krijgen, zelfs als ze je wachtwoord hebben.
• Controleer links voordat je erop klikt. Houd je muis boven een link om te zien waar deze echt naartoe leidt, of gebruik een link checker. Valse websites gebruiken vaak URL’s die op de adressen van legitieme websites lijken.
• Houd je software up‑to‑date. Je software up-to-date houden is essentieel om jezelf te beschermen tegen beveiligingsrisico’s en cyberaanvallen. Software-updates bevatten meestal bescherming tegen de nieuwste dreigingen.
• Installeer beveiligingssoftware. De meeste antivirustools bieden tools ter bescherming tegen phishing. Je kunt ook voor een dienst zoals NordVPN kiezen, die behalve een VPN ook Threat Protection Pro™ biedt, een krachtige anti-malware tool die ook tegen phishing beschermt.
• Leer de signalen van phishing herkennen. Zoals we in de sectie hierboven beschreven bevatten phishingberichten vaak verdachte elementen, zoals vage afzenderinformatie, dringende verzoeken om actie te ondernemen, onjuiste grammatica of verdachte links.
• Rapporteer verdachte berichten. Meld phishingpogingen bij de betreffende e‑mailprovider of organisatie. Dit helpt niet alleen jou, maar ook anderen die mogelijk hetzelfde bericht ontvangen.