Wat is phishing?
Phishing is een van de meest voorkomende vormen van online oplichting in Nederland. Steeds vaker krijgen mensen te maken met een phishing mail die nauwelijks van echt te onderscheiden is. Criminelen misbruiken vertrouwen om inloggegevens, betaalgegevens en andere gevoelige informatie te stelen.
In dit artikel leggen we uit wat phishing is, welke vormen er bestaan en hoe je ze herkent. We bespreken de klassieke phishing mail, sms-phishing, QR-phishing en nep-loginpagina’s, met een praktische checklist en uitleg over wat je moet doen als je toch slachtoffer bent geworden.
Hoe werkt phishing?
De term “phishing” is een woordspeling op “fishing”, het Engelse woord voor vissen. De oplichter gooit een aas uit en wacht tot iemand toehapt: een bericht sturen dat afkomstig lijkt van een betrouwbare partij, met als doel jou te verleiden persoonlijke gegevens, wachtwoorden of geld af te staan.
De afzender lijkt bijvoorbeeld je bank, de Belastingdienst, PostNL of zelfs een vriend via WhatsApp. Het doel is altijd hetzelfde: jouw vertrouwen misbruiken ominformatie van je los te krijgen.
Phishing is een van de meest voorkomende vormen van online oplichting in Nederland, en tegelijkertijd een van de moeilijkst te herkennen. Uit onderzoek van Alert Online 2025, in opdracht van het ministerie van Economische Zaken, blijkt dat bijna driekwart van alle Nederlanders in 2024 te maken kreeg met een phishingpoging.
Phishing veroorzaakt jaarlijks miljoenen euro’s schade in Nederland. Niet alleen particulieren, maar ook bedrijven worden getroffen door digitale fraude. De tijd van slecht geschreven e-mails met kapot Nederlands is voorbij. Dankzij AI schrijven oplichters foutloze berichten in perfect Nederlands die nauwelijks te onderscheiden zijn van echte communicatie van je bank, de Belastingdienst of een pakketdienst.
Phishing voorbeelden: de meest voorkomende vormen
Phishing verschijnt in steeds meer gedaanten. Hieronder lees je over de vier varianten die je op dit moment het vaakst tegenkomt in Nederland.
Phishing mail
De phishing mail is de oudste en meest gebruikte vorm. Je ontvangt een e-mail die er officieel uitziet: het logo klopt, de lay-out is netjes en de toon is zakelijk. Veelgebruikte scenario’s zijn een melding dat je bankrekening geblokkeerd wordt, een openstaande factuur of een pakket dat niet bezorgd kon worden, altijd met een link die je “snel moet klikken.”
Een herkenbaar phishing mail voorbeeld is een e-mail die afkomstig lijkt van de ING Bank, met als afzender info@ing-klantenservice.net in plaats van een officieel ing.nl-adres. De mail vraagt je in te loggen via een link in het bericht, die naar een nagebootste bankpagina leidt. Zodra je daar je inloggegevens invoert, worden deze direct doorgestuurd naar de fraudeur.
Sms-phishing (smishing)
Sms-phishing, ook wel smishing genoemd, werkt hetzelfde als een phishing mail maar dan via sms of berichtenapps zoals WhatsApp. Het werkt goed juist omdat mensen sms nog altijd associëren met officiële instanties: een verificatiecode van je bank, een bezorgtijd van PostNL of een DigiD-melding van de overheid.
Veelvoorkomende voorbeelden in Nederland zijn een nep-sms van een pakketdienst met invoerkosten, een bericht van “uw bank” over een verdachte betaling, of een WhatsApp-bericht van een “vriend” die zijn telefoonnummer is kwijtgeraakt en dringend geld nodig heeft. Dit laatste staat bekend als vriend-in-nood-fraude. Dit soort persoonlijke benadering zie je ook bij datingfraude, waarbij oplichters eerst vertrouwen opbouwen voordat ze slachtoffers financieel uitbuiten.
Wat sms-phishing extra gevaarlijk maakt: telefoonnummers kunnen gespooft worden, waardoor een nep-bericht kan verschijnen in dezelfde berichtenthread als eerdere echte berichten van dezelfde afzender. Het NCSC bevestigt dit en adviseert bij twijfel altijd via een officieel kanaal contact op te nemen.
QR-phishing (quishing)
Quishing, een samentrekking van “QR-code” en “phishing”, is een relatief nieuwe maar snel groeiende aanvalsmethode. Criminelen verbergen een kwaadaardige link in een QR-code. Scan je die code, dan word je doorgestuurd naar een valse website of wordt er malware op je telefoon geïnstalleerd.
Praktijkvoorbeelden zijn nep-QR-stickers geplakt over echte betaalcodes op parkeermeters, QR-codes in e-mails die doen alsof ze van Microsoft of DocuSign komen, of PDF-bijlagen met een ingesloten QR-code om “een document te ondertekenen.”
Nep-loginpagina’s
Bijna elke phishingaanval eindigt op dezelfde plek: een valse website die er precies uitziet als de echte. Alles wat je invult gaat rechtstreeks naar de oplichter. Nep-loginpagina’s worden gebruikt om inloggegevens, pincodes en creditcardinformatie te stelen.
Wat veel mensen niet weten is dat een HTTPS-slotje in de adresbalk geen garantie is. Dat slotje betekent alleen dat de verbinding versleuteld is, niet dat de website zelf betrouwbaar is. Ook nepwebsites kunnen een geldig certificaat hebben.
Ook een ogenschijnlijk veilige website kan onderdeel zijn van een bredere vorm van internetfraude. Op onze overzichtspagina over oplichting lees je welke andere misleidende technieken criminelen gebruiken.
Hoe herken je phishing?
Phishingmails worden vaak in bulk verstuurd naar duizenden adressen tegelijk. Daardoor ontbreekt persoonlijke aanspreking. Ongeacht de vorm zijn er signalen die bijna altijd terugkomen.
- Het afzendadres of webadres klopt net niet: Niet de weergavenaam, maar het werkelijke adres. Een mail kan “ING Bank” heten als afzender, terwijl het adres info@ing-beveiliging.net is.
- Er wordt urgentie gecreëerd: “Uw account wordt binnen 24 uur geblokkeerd.” Dit is een bewuste techniek om je geen tijd te geven om na te denken. Echte instanties zetten je nooit op deze manier onder druk.
- Er wordt gevraagd om gevoelige gegevens: Een bank, de Belastingdienst of DigiD zal je nooit via een link vragen om je pincode, wachtwoord of BSN in te voeren. Nooit.
- De link gaat naar een ander adres dan verwacht: Beweeg je muis over een link zonder te klikken om het werkelijke adres te zien. Op mobiel kun je de link ingedrukt houden.
- Het bericht komt onverwacht: Verwacht je geen pakket? Heb je geen openstaande belastingaangifte? Dan is de kans groot dat het om phishing gaat.
Praktische tips om phishing te voorkomen
Je hoeft geen techneut te zijn om jezelf te beschermen tegen phishing. Met een paar eenvoudige gewoontes verklein je de kans op een succesvolle aanval aanzienlijk. Hieronder zetten we de belangrijkste stappen voor je op een rij:
- Klik nooit direct op links in e-mails of sms-berichten: Ga altijd zelf naar de officiële website of open de officiële app, ook als het bericht er volledig betrouwbaar uitziet.
- Controleer het afzendadres volledig: Niet alleen de weergavenaam, maar het werkelijke e-mailadres of domeinnaam.
- Gebruik tweestapsverificatie (2FA): Een extra verificatiestap maakt het voor criminelen veel moeilijker om toegang te krijgen, zelfs als ze je wachtwoord hebben.
- Bekijk QR-code URLs altijd eerst: Scan nooit zomaar een QR-code van een onbekende bron. Bekijk de URL die verschijnt voordat je verdergaat.
- Installeer geen software op verzoek van een onbekende: Lees meer over hoe malware wordt verspreid via misleiding in ons artikel over malware en schadelijke software.
- Controleer regelmatig je bankafschriften op onbekende transacties: Zo kun je verdachte betalingen snel signaleren en direct contact opnemen met je bank om verdere schade te beperken.
Wat te doen als je op een phishing link hebt geklikt?
Als je slachtoffer bent geworden van phishing dan moet je snel handelen om de schade te beperken. Hier zetten we op een rij wat je moet doen:
- Verander direct je wachtwoord van het getroffen account en van alle accounts waar je hetzelfde wachtwoord gebruikt.
- Blokkeer je bankpas als je financiële gegevens hebt ingevuld.
- Neem contact op met je bank via het officiële nummer, niet via het nummer uit het verdachte bericht.
Phishing melden: zo doe je dat
Als je geld of gegevens bent verloren, doe dan aangifte via politie.nl en meld het bij de Fraudehelpdesk via fraudehelpdesk.nl. Stuur een phishing mail door naar valse-email@fraudehelpdesk.nl, sms-phishing meld je bij je telecomprovider, en valse websites meld je bij het NCSC via cert@ncsc.nl.
Voor meer informatie verwijzen we je naar de officiële uitleg van het NCSC: ncsc.nl/phishing/phishing-uitgelegd.
Veelgestelde vragen
Hieronder beantwoorden we de meest gestelde vragen over phishing, zodat je snel duidelijkheid krijgt over de verschillende soorten, de risico’s en de stappen die je moet nemen voor schadebeperking.
Wat is phishing?
Phishing is een vorm van online oplichting waarbij criminelen zich voordoen als een betrouwbare partij, zoals een bank, pakketdienst of overheidsinstantie. Ze sturen bijvoorbeeld een phishing mail of sms-bericht met een link naar een nepwebsite om je inloggegevens of betaalgegevens te stelen.
Wat is het verschil tussen phishing en sms-phishing?
Bij phishing gebeurt de aanval meestal via e-mail. Sms-phishing (ook wel smishing genoemd) werkt op dezelfde manier, maar dan via sms of WhatsApp. In beide gevallen proberen oplichters je naar een valse website te leiden waar je gegevens worden gestolen.
Hoe herken je een phishing mail?
Een phishing mail bevat vaak een dringende oproep tot actie, zoals de melding dat je account wordt geblokkeerd. Controleer altijd het volledige e-mailadres van de afzender en let op kleine afwijkingen in de domeinnaam.
Wat moet je doen als je op een phishing link hebt geklikt?
Als je op een phishing link hebt geklikt, verander dan direct je wachtwoorden van het getroffen account en van andere accounts waar je hetzelfde wachtwoord gebruikt. Heb je bankgegevens ingevuld? Neem dan meteen contact op met je bank.