Phishing is en blijft de nummer 1 cyberaanval op bedrijven. Meer dan 90% van alle succesvolle cyberaanvallen begint met een phishing-e-mail. En het wordt steeds lastiger om nep van echt te onderscheiden: aanvallers gebruiken AI om foutloze e-mails te schrijven, bouwen perfecte kopieën van legitieme websites en weten precies welke emoties ze moeten bespelen.
In dit artikel laten we je 7 veelvoorkomende phishing-trucs zien met herkenbare voorbeelden. We leggen uit hoe je ze herkent, wat je moet doen als je er een ontvangt en welke technische maatregelen je organisatie beschermen.
Wat is phishing?
Phishing is een vorm van social engineering waarbij een aanvaller zich voordoet als een betrouwbare partij om je te verleiden tot het:
- Invoeren van inloggegevens op een nepwebsite
- Openen van een schadelijke bijlage
- Overmaken van geld naar een valse rekening
- Delen van vertrouwelijke informatie
Het woord "phishing" is afgeleid van "fishing" — de aanvaller gooit een hengel uit en hoopt dat iemand bijt.
De 7 meest voorkomende phishing-trucs
1. Nep Microsoft-inlogpagina
Hoe het werkt:
Je ontvangt een e-mail die afkomstig lijkt van Microsoft. Het onderwerp is urgent: "Je wachtwoord verloopt over 24 uur", "Ongeautoriseerde inlogpoging gedetecteerd" of "Je opslagruimte is vol". De e-mail bevat een link naar een pagina die er precies uitziet als de Microsoft-inlogpagina. Als je je gegevens invoert, heeft de aanvaller je wachtwoord.
Hoe je het herkent:
- Controleer het afzenderadres: Microsoft mailt vanaf @microsoft.com of @accountprotection.microsoft.com — niet vanaf @microsoft-security-alert.com of @msft-login.net
- Hover over de link zonder te klikken: gaat de URL naar login.microsoftonline.com of naar een ander domein?
- Microsoft vraagt je nooit om je wachtwoord via e-mail
- Check of de e-mail persoonlijk is geadresseerd (naam, organisatie) of generiek ("Beste gebruiker")
Waarom het gevaarlijk is:
Bijna elk bedrijf gebruikt Microsoft 365. Een gehackt Microsoft-account geeft toegang tot e-mail, SharePoint, OneDrive, Teams en vaak veel meer. Beveilig je Microsoft 365 omgeving goed.
2. CEO-fraude (Business Email Compromise)
Hoe het werkt:
Een medewerker ontvangt een e-mail die afkomstig lijkt van de directeur of een andere leidinggevende. De toon is urgent en vertrouwelijk: "Ik zit in een vergadering en kan niet bellen. Kun je snel deze factuur betalen?" of "Ik heb dringend de salarisgegevens van alle medewerkers nodig." De aanvaller speelt in op de hierarchie: medewerkers durven een verzoek van de baas niet snel te weigeren.
Hoe je het herkent:
- Controleer het afzenderadres zeer zorgvuldig — vaak zit er een subtiel verschil in (jan.jansen@bedrijf.com vs. jan.jansen@bedrijf.co of jan.jansen@bedriif.com)
- Wees extra alert bij verzoeken om geld over te maken of vertrouwelijke gegevens te delen
- Neem bij twijfel telefonisch contact op met de vermeende afzender — via een nummer dat je al hebt, niet via een nummer in de e-mail
- Let op ongebruikelijk taalgebruik: schrijft de directeur normaal ook zo?
Waarom het gevaarlijk is:
De bedragen bij CEO-fraude lopen regelmatig in de tienduizenden tot honderdduizenden euro's. De sociale druk ("het is de baas die het vraagt") maakt dat medewerkers minder kritisch zijn.
3. Pakketbezorging (PostNL, DHL, UPS)
Hoe het werkt:
Je ontvangt een bericht dat een pakket niet bezorgd kon worden, dat er invoerrechten betaald moeten worden of dat je een zending moet tracken. Het bericht bevat een link naar een nep-track & trace pagina waar je inloggegevens, adres of betaalgegevens moet invoeren.
Hoe je het herkent:
- Verwacht je daadwerkelijk een pakket? Zo niet, is het waarschijnlijk nep
- PostNL en DHL vragen nooit om betaling via e-mail of sms
- Controleer het afzenderadres en de URL van de link
- Echte track & trace links leiden naar postnl.nl, dhl.com of ups.com
- Veel van deze berichten komen via sms (smishing) — ook daar alert op zijn
Waarom het gevaarlijk is:
Iedereen bestelt tegenwoordig online. De kans dat je daadwerkelijk een pakket verwacht is groot, waardoor je minder kritisch bent.
4. Factuur-phishing
Hoe het werkt:
Je ontvangt een e-mail met een "factuur" als bijlage. De afzender lijkt een bekende leverancier te zijn. De bijlage is een PDF of Word-bestand dat malware bevat, of de e-mail vraagt je om een betaling te doen naar een gewijzigd rekeningnummer.
Hoe je het herkent:
- Is de factuur verwacht? Klopt het bedrag? Klopt het factuurnummer?
- Controleer het rekeningnummer: is dit het gebruikelijke nummer van de leverancier?
- Open bijlagen nooit als je twijfelt — bel eerst de leverancier
- Let op de bestandsextensie: een factuur is een .pdf, geen .exe, .zip of .docm
- Wees extra alert bij berichten over gewijzigde bankgegevens
Waarom het gevaarlijk is:
Financiele afdelingen verwerken dagelijks facturen. Een nep-factuur kan makkelijk door de controles glippen, zeker als het bedrag plausibel is en de opmaak er professioneel uitziet.
5. Wachtwoord-reset
Hoe het werkt:
Je ontvangt een e-mail dat je wachtwoord gereset is, of dat je een nieuw wachtwoord moet instellen vanwege een "beveiligingsupdate". De link leidt naar een nep-inlogpagina. Een variant is de "bevestig je account"-mail, waarin je wordt gevraagd om je account te verifiëren door in te loggen.
Hoe je het herkent:
- Heb je zelf een wachtwoordreset aangevraagd? Zo niet, negeer de e-mail
- Geen enkele legitieme dienst stuurt je ongevraagd een wachtwoordreset
- Ga bij twijfel rechtstreeks naar de website van de dienst (type de URL zelf in, klik niet op de link)
- Let op de urgentie: "Je account wordt vergrendeld binnen 24 uur" is een typische drukzettechniek
Waarom het gevaarlijk is:
De nep-inlogpagina's zijn soms niet te onderscheiden van de echte. En wachtwoordresets voelen al als een beveiligingsactie, waardoor je waakzaamheid lager is.
6. QR-phishing (quishing)
Hoe het werkt:
Een relatief nieuwe trend. Je ontvangt een e-mail, brief of zelfs een fysiek geprint document met een QR-code. "Scan deze code om je identiteit te verifiëren", "Scan om je betaling te bevestigen" of "Scan om het document te bekijken". De QR-code leidt naar een phishing-website.
Hoe je het herkent:
- Wees wantrouwend bij QR-codes in e-mails — er is geen technische reden om een QR-code in een e-mail te plaatsen (een gewone link zou volstaan)
- QR-codes omzeilen vaak e-mail security filters, want de URL is niet zichtbaar in de e-mail
- Controleer de URL die je telefoon toont na het scannen, voor je de pagina opent
- Wees extra alert bij QR-codes op fysieke locaties (parkeerautomaten, horeca) die er "over geplakt" uitzien
Waarom het gevaarlijk is:
QR-phishing is effectief omdat het de gebruikelijke e-mail security filters omzeilt. De phishing-URL zit verstopt in de QR-code en wordt pas zichtbaar op het moment dat je scant — vaak op je telefoon, waar je minder controle hebt en URL's moeilijker te controleren zijn.
7. Spear phishing
Hoe het werkt:
In tegenstelling tot reguliere phishing (massa-e-mails) is spear phishing gericht op een specifieke persoon. De aanvaller heeft onderzoek gedaan: via LinkedIn, de bedrijfswebsite of eerdere datalekken. De e-mail is volledig op maat gemaakt en verwijst naar echte projecten, collega's of recente gebeurtenissen.
Hoe je het herkent:
- Dit is de moeilijkste vorm om te herkennen, juist omdat de e-mail persoonlijk en relevant lijkt
- Let op verzoeken die afwijken van de normale gang van zaken, ook al lijkt de context te kloppen
- Verifieer ongebruikelijke verzoeken altijd via een ander kanaal (telefoon, persoonlijk)
- Let op subtiele afwijkingen in het e-mailadres
- Wees extra alert als je een prominent profiel hebt (directie, financien, HR)
Waarom het gevaarlijk is:
Spear phishing is lastig te detecteren door filters en heeft een veel hoger slagingspercentage dan gewone phishing. De aanvaller investeert meer tijd, maar de opbrengst is ook groter — het gaat vaak om grote bedragen of toegang tot kritieke systemen.
Wat moet je doen als je een phishing-mail ontvangt?
- Klik nergens op — open geen links en geen bijlagen
- Antwoord niet — ook niet om te zeggen dat je weet dat het nep is
- Meld het — stuur de e-mail door naar je IT-afdeling of MSP
- Verwijder het — na het melden, verwijder de e-mail
- Heb je toch geklikt? — verander direct je wachtwoord, schakel MFA in als dat nog niet is gebeurd, en meld het bij je IT-afdeling
Technische maatregelen tegen phishing
Naast bewustwording zijn er technische maatregelen die je organisatie beschermen:
E-mail security
- Spamfilter — filtert het overgrote deel van de phishing-mails automatisch
- Microsoft Defender for Office 365 — geavanceerde bescherming tegen phishing, malware en schadelijke links in e-mail
- Safe Links — URLs in e-mails worden gecontroleerd op het moment van klikken, niet alleen bij ontvangst
- Safe Attachments — bijlagen worden in een sandbox geopend en gecontroleerd voor ze worden afgeleverd
E-mail authenticatie (DMARC/DKIM/SPF)
Deze drie protocollen voorkomen dat aanvallers e-mails kunnen versturen namens jouw domein:
| Protocol | Wat het doet |
|---|---|
| SPF | Definieert welke servers namens jouw domein mogen mailen |
| DKIM | Voegt een digitale handtekening toe aan uitgaande e-mails |
| DMARC | Vertelt ontvangende servers wat ze moeten doen met e-mails die niet voldoen aan SPF/DKIM |
Belangrijk: configureer alle drie correct. Veel bedrijven hebben SPF ingesteld maar geen DMARC, waardoor spoofing alsnog mogelijk is.
Multi-Factor Authenticatie (MFA)
MFA is je laatste verdedigingslinie. Zelfs als een medewerker per ongeluk inloggegevens invoert op een phishing-site, kan de aanvaller zonder de tweede factor niet inloggen. Schakel MFA in op alle bedrijfsaccounts — met name Microsoft 365, VPN en je online werkplek.
Awareness training
Techniek alleen is niet genoeg. Train je medewerkers regelmatig:
- Phishing-simulaties — stuur testberichten en meet wie erop klikt
- Korte trainingen — houd ze praktisch en relevant, maximaal 10-15 minuten
- Herhaling — minstens elk kwartaal, want alertheid zakt snel weer weg
- Geen blame-cultuur — maak het melden van verdachte e-mails laagdrempelig
Lees meer over beveiligingsmaatregelen in ons artikel over cybersecurity voor het MKB en over netwerk beveiliging.
Phishing in cijfers
Een aantal cijfers om het belang te onderstrepen:
| Gegeven | Cijfer |
|---|---|
| Percentage cyberaanvallen dat begint met phishing | > 90% |
| Gemiddelde tijd om op een phishing-link te klikken | 60 seconden |
| Percentage MKB-medewerkers dat phishing niet herkent | 30 – 40% |
| Toename van phishing-aanvallen in 2024 | + 58% |
| Gemiddelde kosten van een succesvolle phishing-aanval (MKB) | €25.000 – €100.000 |
| Percentage phishing-mails dat door basisfilters komt | 10 – 15% |
Veelgestelde vragen
Hoe weet ik zeker of een e-mail phishing is?
Controleer altijd: het afzenderadres (hover erover), de URL van links (hover zonder te klikken), de toon (urgentie, dreiging), en of het verzoek logisch is. Bij twijfel: klik niet en meld het bij je IT-afdeling.
Zijn phishing-mails altijd slecht geschreven?
Nee, absoluut niet meer. Met AI-tools als ChatGPT genereren aanvallers foutloze e-mails in elke taal. Slechte spelling was ooit een betrouwbaar herkenningsteken, maar dat is verleden tijd.
Kan MFA phishing volledig voorkomen?
MFA blokkeert het overgrote deel van de aanvallen, maar er zijn geavanceerde technieken (man-in-the-middle, real-time phishing proxies) die ook MFA kunnen omzeilen. Daarom is een gelaagde aanpak essentieel: spamfilter + DMARC + MFA + awareness training.
Wat is het verschil tussen phishing en spear phishing?
Gewone phishing is een massa-aanval: dezelfde e-mail naar duizenden mensen. Spear phishing is gericht op een specifiek persoon, met op maat gemaakte content. Spear phishing is lastiger te herkennen en heeft een hoger slagingspercentage.
Moeten we een phishing-aanval melden?
Als er daadwerkelijk gegevens zijn gestolen of als er een datalek is ontstaan, ben je verplicht dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Meld verdachte e-mails intern altijd bij je IT-afdeling of MSP.
Hoe vaak moet ik phishing-simulaties doen?
Minimaal elk kwartaal. Wissel de scenario's af (Microsoft login, CEO-fraude, factuur) zodat medewerkers alert blijven op verschillende trucs. Meet de resultaten en bied gerichte training aan medewerkers die regelmatig klikken.
Werkt een spamfilter niet goed genoeg?
Een goed spamfilter vangt het overgrote deel op, maar 10-15% van de phishing-mails komt er toch doorheen. Bovendien beschermt een spamfilter niet tegen phishing via sms, Teams-berichten, sociale media of QR-codes. Bewustwording blijft cruciaal.
Wat moet ik doen als een medewerker op een phishing-link heeft geklikt?
Direct actie ondernemen: wachtwoord laten wijzigen, sessies beëindigen, MFA controleren, het apparaat scannen op malware en het account monitoren op verdachte activiteit. Meld het intern en bepaal of er sprake is van een datalek.
Bescherm je organisatie tegen phishing
Phishing voorkomen vraagt om een combinatie van techniek en bewustwording. Virtual Computing helpt jouw organisatie met geavanceerde e-mail beveiliging, Microsoft 365 security, cloud security en awareness training. Wil je weten hoe kwetsbaar jouw organisatie is? Neem contact op voor een vrijblijvende phishing-risicoanalyse of word klant.
Gerelateerde diensten
Geschreven door
Oprichter & Eigenaar
Cloud strategie · Microsoft 365 · IT-dienstverlening · Bedrijfsvoering
Gerelateerde artikelen
Een veilige cloud werkplek realiseren
Het realiseren van een veilige cloud werkplek vereist een gelaagde aanpak die begint met het fundament: identiteitsbeheer en toegangscontrole.
SecurityNetwerkbeveiliging bij online werken
Online werken is tegenwoordig de norm, maar daarmee komen ook risico's. Hackers en cybercriminelen loeren op onbeveiligde netwerken.
SecurityVeilig cloud werken met Microsoft 365
In 5 stappen veilig in de cloud werken voor MKB. Leer hoe je als MKB veilig en efficiënt kunt werken met Microsoft 365 in de cloud.