Wat is phishing?
Phishing is online fraude: cybercriminelen proberen toegang te krijgen tot persoonlijke gegevens (zoals inloggegevens en bankinformatie) door internetgebruikers voor de gek te houden met nepberichten en namaakwebsites. De oplichters ‘vissen’ naar gegevens en sommigen ‘bijten’ en worden slachtoffer.
Hoe werkt phishing?
Niemand geeft natuurlijk zomaar persoonlijke gegevens aan een vreemde. Daarom vermomt de cybercrimineel zich. Hij stuurt een e-mail of sms die van een echt contact afkomstig lijkt te zijn. Hij maakt een nepwebsite die niet van de echte te onderscheiden is of een vertrouwde link die gemanipuleerd blijkt te zijn. Dat is het ‘aas’ waar de crimineel mee vist.
Soorten phishing
Elke specifieke vorm van phishing heeft een eigen naam gekregen. Hieronder zie je de meest voorkomende vormen.
| Phising-soorten | Uitleg |
| E-mail-phishing | E-mail-phishing is de meest voorkomende vorm: een e-mailtje dat er niet verdacht uitziet maar meestal wel algemeen gericht is. Denk aan een reclameactie of een oproep. Er staat dan een foute link in, of het heeft een besmette bijlage of het is een melding dat er later een belangrijke mail of telefoonbericht volgt… die dan het gevaar bevat. |
| Smishing | Je kan natuurlijk ook iets anders gebruiken om te phishen, sms bijvoorbeeld. Dat noemt men smishing. Ook daarmee zijn bijvoorbeeld telefoonnummers door te geven waarachter oplichters schuilgaan. |
| Vishing | Weer een stap verder dan smishing gaat voice-phishing, spraak-phishing. Een echte of ai-stem laat dan een voicemail-bericht achter in plaats van e-mails. Men vraagt dan om een nummer te bellen, een website te bezoeken of om een bericht te verwachten: allemaal gecompromitteerde bestemmingen uiteraard! |
| Spearphishing | Spearfishing lijkt erg op gewone phishing, alleen zijn de berichten duidelijk gericht op een specifiek individu of bedrijf. Ze zijn daarom meestal sterk gepersonaliseerd en bevatten doorgaans vertrouwelijke gegevens waarvan de ontvanger niet verwacht dat die bij anderen bekend zijn, zoals bsn, patiëntgegevens, klant- of ticketnummers. |
| Whaling | Een speciale variant van spearphishing is whaling. Daarbij heeft de crimineel een lucratief doelwit, een ‘whale’, zoals oplichters dat noemen, op het oog, zoals een verantwoordelijke of leidinggevende van een organisatie, vaak diegene die daar grote bedragen mag overmaken. |
| Clone phishing | Een kloon is een exacte kopie van iets: clone phishing kopieert een echt bericht dat al eens verzonden is. Maar het vervangt eventuele bijlagen door nepbijlagen met gevaarlijke links. Behalve e-mails worden hier ook sms of nepaccounts op social media voor gebruikt. |
| Pharming | Pharming, ook wel ‘dns cache poisoning’ genoemd, stuurt een website-bezoeker naar een kwaadaardige site die er net zo uitziet als de echte. Vaak is het een door de bezoeker zelf ingetikt webadres waarin die bezoeker zonder het te weten een tikfoutje gemaakt heeft. |
| Watering hole phishing | Watering hole phishing, of ‘drinkplaats phishing’, is vergelijkbaar met pharming, maar gericht op websites die specifieke groepen bezoekers hebben, zoals de personeelspagina van een groot bedrijf, een hobbyforum of een event-website. |
| Meddler-in-the-middle phishing | Meddler-in-the-middle phishing, ook wel man-in-the-middle phishing genoemd, lijkt op pharming, maar werkt als een proxy. Een login-pagina wordt honderd procent correct nagemaakt en de ingetikte gegevens worden netjes door te geven naar de echte login-pagina. De gebruiker gaat gewoon op die echte site verder, alleen zijn nu de login-gegevens bekend bij de cybercrimineel. |
| Social media phishing | Social media phishing doet echte accounts na en probeert je te overtuigen ergens op te klikken, bijvoorbeeld alsof het een prijzenactie is van een bekend merk of het nieuwe account van een kennis van vroeger. Daarna proberen de cybercriminelen die erachter zitten eerst een relatie met je op te bouwen voordat ze toeslaan. |
Welke phishing-technieken zijn er?
Alle hierboven genoemde soort phishing maken gebruik van onderstaande technieken, soms meerdere tegelijk
| Phising-technieken | Uitleg |
| Spoofing | Spoofing is de verzamelnaam voor online fraude waarbij cybercriminelen zich voordoen als vertrouwde bron (overheid, bank, werkgever) om zo te proberen persoonlijke gegevens te stelen. Denk aan e-mails en telefoonnummers die echt lijken. Vaak is het de bedoeling vertrouwen te winnen en daarna geld of informatie te stelen. |
| Website spoofing | Een veelgebruikte vorm van spoofing is website spoofing: men doet dan een officiële website na. Zo’n namaakwebsite is (bijna) niet te onderscheiden van de echte en bedoeld om gegevens of geld te stelen. Vaak is zo’n site het eindpunt van e-mail phishing, smishing of vishing. |
| Linkmanipulatie | Linkmanipulatie, of link manipulation, is wanneer cybercriminelen url’s van links aanpassen en zo de gebruiker nietsvermoedend omleiden naar een internetadres dat door die criminelen bediend wordt, vaak website spoofing. Denk aan links naar formulieren en heel lange links. |
| Typosquatting | Typosquatting lijkt op linkmanipulatie: de cybercrimineel registreert domeinnamen die erg lijken op bekende, maar een makkelijk en vaak gemaakte tikfout bevatten. Zo komt het slachtoffer op een namaakwebsite die sprekend lijkt verder op de verwachte. Verder zoals website spoofing. |
| Malware | Malware, of malicious software, is kwaadaardige software bedoeld om schade aan te richten op apparaten, computers en netwerken. Denk aan verstoring, het stelen van gegevens of het onbruikbaar maken van dat apparaat of die gegevens. |
| Social engineering | Social engineering is de verzamelnaam voor de manieren waarop (cyber-)criminelen slachtoffers persoonlijk misleiden om via hen toegang te krijgen tot computers, apparaten en netwerken. Denk aan gebruik van vertrouwen, nieuwsgierigheid, hebzucht, angst en onwetendheid. De hacker weet het slachtoffer daarmee te overtuigen vertrouwelijke of geheime gegevens te delen of ergens in te vullen. |
| Pretexting | Een veelgebruikte vorm social engineering is pretexting. Daarbij vertelt de crimineel een echt klinkend verhaal aan het slachtoffer om die zo te manipuleren vertrouwelijke gegevens te delen. Denk aan ‘de politie’ die juwelen komt veiligstellen of die ‘oude vriend’ die pech heeft en vlug wat geld moet hebben. Vaak verloopt dit in meerdere stadia. Die oude vriend belt dat hij volgende week in de buurt is, dan dat hij onderweg is en daarna komt het pechgeval. |
| Credential harvesting | Credential harvesting is de verzamelnaam voor alle manieren waarop criminelen proberen om inloggegevens (credentials) te bemachtigen. Denk aan phishing, spoofing, malware en social engineering. |
Beschermen tegen phishing
Phishing werkt omdat het slachtoffer niet goed oplet, door drukte, stress of misplaatst vertrouwen. Blijf dus altijd opletten, dubbelcheck, stel jezelf de vraag: als ze dit bij me aan de voordeur zouden vragen, zou ik ze dan mijn huissleutels meegeven?
Hoe voorkom ik phishing?
Dit zijn de belangrijkste manieren om phishing te voorkomen:
– herken mogelijke phishingberichten en spoofing;
– klik nooit op verdachte links;
– dubbelcheck de afzender van berichten (ook op typo’s!);
– installeer en gebruik beveiligingssoftware;
– rapporteer (mogelijke) phishing.
Hoe herken je phishing e-mails?
Dit is de belangrijkst verdediging tegen phishing. Vertrouw geen e-mailsdie vragen om persoonlijke informatie zonder dat je zo’n e-mail verwacht of die een afzender heeft die je niet herkent. Banken, politie, overheid, werkgever: ze zullen nooit op die manier zoiets vragen. Bij twijfel gewoon contact zoeken met die organisatie of persoon op de manier die je normaal zou gebruiken. Dit geldt niet alleen voor e-mails maar ook voor sms’jes, appjes en andere soorten berichten.
Wat doen als je slachtoffer bent van phishing?
Neem het zekere voor het onzekere en verander direct je wachtwoorden, pin- en logincodes. Neem direct contact op met je bank, werkgever of andere betreffende instantie om ze op de hoogte te stellen (de bank kan bijvoorbeeld je pas blokkeren). Doe aangifte bij de politie, bel 0900-8844. Is het net gebeurd door personen die nog in de buurt zijn? Bel dan 112.
Waar meld ik phishing e-mails?
Neem contact op met de FraudeHelpdesk (daar is ook de politie bij aangesloten) of als het voor je werk gebeurt met je ict-afdeling. Doe dit zelfs als het een mislukte aanval is, of als je direct ziet aan het bericht ziet dat het nep is.
Phishing voorbeelden
Lab-hack: honderdduizenden Nederlanders doelwit phishing
In juli 2025 werden in een Nederlands lab van Eurofins de gegevens van honderdduizenden personen gestolen: naam, bsn, medische gegevens. Kortom, alles dat cybercriminelen nodig hebben om zich voor te doen als zorgverlener of als patiënt. Beveiligers waarschuwden daarna om elk contact met een zorgverlener als verdacht te beschouwen. Een hack als deze is bij uitstek geschikt om te misbruiken met spearphishing.
Linkwrapping gebruikt voor phishing-payloads
Linkwrapping is bedoeld om gebruikers te beschermen door aangeklikte links eerst door een scanservice te leiden en eventueel te coderen en in te korten. Zo moet worden voorkomen dat die link ongemerkt naar een phishing-website gaat. Maar ook dat werd al eens gehackt: een besmette link achter de knop ‘Voicemail beluisteren’ leidde naar een ingekorte securitylink, die via-via naar een namaakwebsite ging, ontworpen om inloggegevens te verzamelen.
Aeroflot organisatiewijd gehackt
In de zomer van 2025 werd bekend dat de computersystemen van de Russische luchtvaartmaatschappij Aeroflot al een jaar eerder gehackt waren, waarschijnlijk via phishing. Het hele netwerk ging plat, al het luchtverkeer kwam tot stilstand. Vliegtuigen konden niet eens meer getankt worden. Dit is een voorbeeld van geduld bij de hackers: het ging hen niet om geld, maar om langdurige toegang om zo door sabotage grote economische schade te berokkenen.
