Phishing is een methode waarbij criminelen proberen gevoelige informatie (zoals gebruikersnamen of wachtwoorden) te bemachtigen door slachtoffers te misleiden. Het is een vorm van social engineering. Heel vaak gebeurt phishing via elektronische post, maar ook via sms, telefonische oproepen en nepwebsites.

Bij een typische e-mail lijkt het bericht afkomstig te zijn van een vertrouwde organisatie, bijvoorbeeld een bank of een andere dienstverlener. De boodschap dringt erop aan dat de gebruiker om veiligheidsredenen zijn of haar gegevens moet bevestigen of opnieuw moet invoeren. De e-mail bevat meestal een link naar een pagina die er bijna identiek uitziet als de echte site, maar die beheerd wordt door de aanvaller. Via phishing kunnen criminelen toegang krijgen tot bankrekeningen of andere rekeningen, zoals winkel-, veiling- of spelrekeningen. Het kan ook worden gebruikt voor identiteitsdiefstal.

Hoe herken je phishing?

  • Afzenderadres: het e‑mailadres lijkt op dat van een bekende organisatie, maar bevat kleine afwijkingen of een vreemd domein.
  • Onverwachte urgentie: berichten die met veel spoed of dreiging vragen om direct in te loggen of gegevens te verstrekken.
  • Vreemde links: de hyperlinktekst kan er legitiem uitzien, maar de echte URL (zichtbaar bij “hoveren” met de muis) verwijst naar een onbekend of afwijkend domein.
  • Slechte spelling en grammatica: veel phishingberichten bevatten taalfouten of onnatuurlijke zinnen.
  • Ongevraagde bijlagen: onverwachte bestanden (.exe, .zip, .docm) kunnen schadelijke software bevatten.
  • Ongebruikelijke verzoeken: organisaties vragen zelden om wachtwoorden, pincode of bankcodes via e-mail of sms.

Veelvoorkomende vormen en voorbeelden

  • Spear phishing — gerichte aanvallen op een specifiek persoon of bedrijf, vaak met gepersonaliseerde informatie om vertrouwen te winnen.
  • Whaling — aanvallen gericht op hoge functionarissen (bv. bestuurders) om grotere geldtransacties of vertrouwelijke data te verkrijgen.
  • Smishing — phishing via sms-berichten; vaak korte urgente teksten met een link of telefoonnummer.
  • Vishing — phishing via de telefoon, waarbij de beller zich voordoet als bank of helpdesk en vertrouwelijke informatie vraagt.
  • Nepwebsites — look‑alike sites met een bijna identiek ontwerp en logo’s die inloggegevens stelen wanneer gebruikers deze invoeren.

Bescherming: voorkomen en beperken

  • Controleer altijd de afzender en URL: open geen links tenzij je zeker weet dat ze legitiem zijn; typ liever zelf het webadres in of gebruik de officiële app.
  • Gebruik twee‑factor-authenticatie (2FA/MFA): zelfs met gestolen wachtwoorden voorkomt 2FA vaak misbruik van accounts.
  • Unieke sterke wachtwoorden: gebruik een wachtwoordmanager om voor elk account een sterk en verschillend wachtwoord aan te houden.
  • Houd software en antivirus up‑to‑date: updates dichten kwetsbaarheden die aanvallers kunnen misbruiken.
  • Wees voorzichtig met bijlagen: open geen onverwachte bijlagen en scan bestanden eerst met antivirussoftware.
  • Training en bewustzijn: organisaties kunnen medewerkers trainen in het herkennen van phishing en het melden van verdachte berichten.
  • Gebruik beveiligingshulpmiddelen: activeer spamfilters, browser‑beveiliging en e‑mail authenticatie (SPF, DKIM, DMARC) waar mogelijk.

Wat te doen als je slachtoffer bent

  • Stop met interactie met het bericht (klik geen links, download geen bestanden).
  • Wijzig direct je wachtwoord voor het getroffen account en, indien mogelijk, voor vergelijkbare accounts.
  • Schakel 2FA in of heractiveer deze als dat nog niet actief is.
  • Neem contact op met je bank of de betreffende dienstverlener als er financiële transacties betrokken zijn.
  • Controleer je accounts op ongeautoriseerde activiteiten en meld verdachte transacties onmiddellijk.
  • Rapporteer het phishingbericht aan de betreffende organisatie en aan de bevoegde instanties of meldpunten in jouw land.
  • Bewaar een kopie van de e‑mail (inclusief headers) als bewijs voor onderzoek.

Statistieken en evolutie

Phishing is al jaren een veelvoorkomende aanvalsvorm en blijft zich aanpassen aan nieuwe technologieën en communicatiemiddelen. Ter illustratie: phishing nam in januari 2005 sterk toe — in december 2004 werden 8.829 e-mails met phishing verzonden, en eind januari 2005 waren dat er 12.845. In dezelfde periode nam het aantal webpagina's met phishing toe van 1.740 tot 2.560. Deze cijfers zijn historisch, maar geven aan hoe snel phishing kan groeien; tegenwoordig verspreiden aanvallen zich nog vaker via mobiele kanalen, sociale media en geavanceerde gerichte campagnes.

Met aandacht voor herkenningssignalen, technische maatregelen zoals multi‑factor authentication en goede gewoonten (unieke wachtwoorden, updates, voorzichtigheid bij links/bijlagen) kun je de kans op slachtoffer worden sterk verkleinen. Blijf alert en meld verdachte berichten om anderen te beschermen.