Phishing Herkennen: 10 Signalen

Q: Kan ik phishing via WhatsApp krijgen?

Ja, phishing via WhatsApp (ook wel 'smishing' via SMS) is sterk toegenomen. Criminelen sturen berichten namens PostNL ('uw pakket kon niet worden bezorgd'), banken of zelfs als vriend of familielid. De signalen zijn dezelfde als bij e-mailphishing: verdachte links, urgentie en verzoeken om persoonlijke gegevens. Klik nooit op een link in een onverwacht WhatsApp-bericht.

Q: Is mijn router vatbaar voor phishing?

Uw router zelf is niet vatbaar voor phishing (dat is een aanval op mensen), maar criminelen kunnen via uw router wel DNS-hijacking uitvoeren: ze wijzigen de DNS-instellingen zodat u op een nepsite terechtkomt ook als u het juiste adres intypt. Dit voorkomt u door uw router-firmware up-to-date te houden en een sterk beheerderwachtwoord te gebruiken op uw FRITZ!Box.

Phishing is de meest voorkomende vorm van cybercriminaliteit in Nederland. Criminelen sturen nep-e-mails namens uw bank, de Belastingdienst, PostNL of zelfs uw internetprovider om uw inloggegevens of bankgegevens te stelen. Weet u hoe u een phishing-mail herkent? Na dit artikel wel.

Wat is Phishing?

Phishing (van het Engelse “fishing”, vissen) is een vorm van oplichting waarbij criminelen u proberen te verleiden tot het klikken op een valse link of het invullen van uw gegevens op een nepwebsite. De e-mail ziet er op het eerste gezicht uit als een echte melding van een vertrouwde organisatie.

De gevolgen kunnen ernstig zijn: gestolen bankgegevens, identiteitsfraude, ongeautoriseerde aankopen of gehackte accounts. Onderzoek toont aan dat 1 op 5 Nederlanders weleens op een phishing-link heeft geklikt. Herkenning is de beste verdediging.

10 Signalen van een Phishing-E-mail

Verdacht e-mailadres (niet het echte domein)

Kijk altijd naar het volledige e-mailadres van de afzender, niet alleen de weergegeven naam. Een echte e-mail van ING komt van een adres eindigend op @ing.nl. Phishing-mails komen van adressen als [email protected] of [email protected]. Klik op de afzendernaam om het volledige e-mailadres te zien. Ook een kleine typefout, zoals @postni.nl in plaats van @postnl.nl, is een duidelijk signaal.

Urgentie en dreiging: “Uw account wordt geblokkeerd!”

Phishing-mails creëren altijd een gevoel van urgentie om u snel te laten handelen zonder na te denken: “U heeft nog 24 uur om te reageren”, “Uw rekening wordt geblokkeerd” of “Onmiddellijke actie vereist”. Echte organisaties geven u altijd ruim de tijd en communiceren via meerdere kanalen. Als u een urgente e-mail ontvangt, bel dan direct het officiële telefoonnummer van de organisatie om te verifiëren.

Slechte spelling en grammatica

Professionele organisaties laten hun communicatie nakijken. Phishing-mails bevatten vaak spelfouten, onnatuurlijke zinsconstructies en vreemd woordgebruik. Dit komt doordat veel phishing-campagnes vanuit het buitenland worden uitgevoerd en vertaald via automatische tools. Let ook op inconsistenties: een mix van formele en informele aanspreekvorm, of onjuiste gebruik van hoofdletters. Een enkele spelfout is geen bewijs, maar meerdere fouten in één mail is veelzeggend.

Vreemde link of URL (hover om te zien)

Beweeg uw muiscursor over een link in de e-mail zonder erop te klikken. In de statusbalk van uw browser of e-mailprogramma ziet u het echte webadres. Controleer of dit overeenkomt met het verwachte domein. Oplichters gebruiken technieken als: subdomeinen (ing.kwaadaardige-site.nl), verkorte links (bit.ly/xyz), of bijna-correcte domeinen (ing-bank.nl). Als de URL er verdacht uitziet: niet klikken.

Verzoek om inloggegevens of bankgegevens

Geen enkele echte bank, overheidsinstantie of provider vraagt u ooit om uw volledige pincode, wachtwoord of bankpasgegevens via e-mail. Als een e-mail vraagt om uw DigiD, bankpas, creditcardnummer, CVV-code of wachtwoord in te voeren via een link, is dit altijd phishing. Echte organisaties kunnen uw gegevens al inzien in hun eigen systemen — zij hoeven er nooit naar te vragen via e-mail.

Onverwachte bijlage

Een onverwachte bijlage in een e-mail is een grote rode vlag. Phishing-bijlagen bevatten vaak malware die uw computer infecteert zodra u de bijlage opent. Verdachte bestandstypen zijn: .exe, .zip, .docm (macro-enabled Word), .xlsm en .js. Maar ook PDF-bestanden kunnen kwaadaardige code bevatten. Opent u nooit een bijlage van een onbekende afzender of een onverwachte bijlage van een bekende afzender zonder dit eerst telefonisch te verifiëren.

Algemene aanhef: “Geachte klant” in plaats van uw naam

Uw bank, provider of andere dienstverlener weet uw naam. Als een e-mail begint met “Geachte klant”, “Beste gebruiker” of “Dear Sir/Madam” in plaats van uw eigen naam, is dit een signaal dat de e-mail massaal verzonden is en niet specifiek voor u bedoeld is. Uitzondering: nieuwsbrieven of algemene service-mededelingen gebruiken soms ook een algemene aanhef. Let dan op de andere signalen om te bepalen of de e-mail betrouwbaar is.

Verzoek via ongebruikelijk kanaal

Uw bank stuurt nooit een veiligheidsmelding via WhatsApp. De Belastingdienst stuurt nooit een factuur via SMS. Als een organisatie contact met u opneemt via een kanaal dat u niet gewend bent, is dit verdacht. Controleer altijd via de officiële website of app van de organisatie of er daadwerkelijk een melding of actie vereist is. Log in via uw eigen bookmark of typ het adres handmatig in — nooit via een link in de e-mail.

Te mooi om waar te zijn: prijs of loterij

U heeft een iPhone gewonnen. U bent de miljoendste bezoeker. Uw pakket bevat een cadeaubon. Als een e-mail u een prijs belooft die u niet heeft aangevraagd of een loterij die u niet kent, is dit bijna altijd phishing. Het doel is u te verleiden uw gegevens in te vullen of “verzendkosten” te betalen voor de “prijs”. Onthoud: als iets te goed klinkt om waar te zijn, is het dat ook bijna altijd.

Imitatie van bekende merken

Phishers imiteren de meest bekende en vertrouwde merken om uw vertrouwen te winnen. In Nederland zijn de meest nagebootste organisaties: ING, Rabobank, ABN AMRO, PostNL, de Belastingdienst, DigiD, Bol.com, Microsoft en Apple. Ze kopiëren logo's, kleuren en huisstijl nauwkeurig. Let bij twijfel altijd op het e-mailadres van de afzender en de URL van de link — die kunnen ze niet vervalsen zonder dat het zichtbaar is.

Echte E-mail vs. Phishing: Vergelijkingstabel

Kenmerk	Echte e-mail	Phishing-e-mail
Afzenderadres	Officieel domein (@ing.nl)	Nep-domein (@ing-klanten.com)
Aanhef	Uw volledige naam	“Geachte klant”
Toon	Informatief, rustig	Urgent, dreigend
Links	Naar officieel domein	Naar vreemd/nep domein
Wat er gevraagd wordt	Geen gevoelige gegevens	Wachtwoord, pincode, rekeningnummer

Wat te Doen als u op een Phishing-Link Heeft Geklikt?

Wachtwoord direct wijzigen — Wijzig het wachtwoord van het account dat mogelijk gecompromitteerd is. Doe dit via de officiële website, niet via de link in de phishing-mail.
Uw bank bellen — Als u bankgegevens heeft ingevoerd, bel dan onmiddellijk uw bank om de rekening te beveiligen en verdachte transacties te stoppen.
Screenshot maken — Maak een screenshot van de phishing-e-mail en de nepsite als bewijs voor aangifte of melding.
Melden bij Fraudehelpdesk — Meld de phishing bij de Fraudehelpdesk via fraudehelpdesk.nl of 088 786 77 77 zodat anderen gewaarschuwd worden.
Virus-scan uitvoeren — Scan uw apparaat op malware met een actueel antivirusprogramma, zeker als u een bijlage heeft geopend.

Veelgestelde Vragen over Phishing

Hoe meld ik phishing?+

U kunt phishing melden bij de Fraudehelpdesk via fraudehelpdesk.nl of 088 786 77 77. Verdachte e-mails die Cernet imiteren kunt u doorzenden naar [email protected]. De Fraudehelpdesk informeert andere instanties en helpt bij het offline halen van nep-websites.

Kan ik phishing via WhatsApp krijgen?+

Ja, phishing via WhatsApp (smishing via SMS) is sterk toegenomen. Criminelen sturen berichten namens PostNL of banken. De signalen zijn dezelfde als bij e-mailphishing: verdachte links, urgentie en verzoeken om persoonlijke gegevens. Klik nooit op een link in een onverwacht WhatsApp-bericht.

Wat is spear phishing?+

Spear phishing is een gerichte aanval op een specifieke persoon. In tegenstelling tot gewone phishing is spear phishing gepersonaliseerd met uw naam, werkgever of recente aankopen. Dit maakt het veel gevaarlijker en moeilijker te herkennen dan massale phishing-campagnes.

Is mijn router vatbaar voor phishing?+

Uw router zelf is niet vatbaar voor phishing, maar criminelen kunnen via uw router DNS-hijacking uitvoeren: ze wijzigen de DNS-instellingen zodat u op een nepsite terechtkomt ook als u het juiste adres intypt. Houd uw router-firmware up-to-date en gebruik een sterk beheerderwachtwoord op uw FRITZ!Box om dit te voorkomen.

Zijn phishing-e-mails strafbaar?+

Ja, phishing is strafbaar in Nederland onder artikel 326 van het Wetboek van Strafrecht (oplichting) en artikel 138ab (computervredebreuk). De maximumstraf voor oplichting is 3 jaar gevangenisstraf; bij bancaire fraude kan dit oplopen. Doet u aangifte van phishing bij de politie (politie.nl/aangifte)? Dan helpt u opsporingsdiensten patronen te herkennen en daders te vervolgen. Meld phishing altijd ook bij de Fraudehelpdesk.

Meer weten over veilig internetten?

Cernet staat voor een veilig internet voor elke Nederlander. Met de FRITZ!Box, ingebouwde firewall en een vast IP-adres geeft Cernet u de tools om veilig online te zijn. Abonnementen vanaf €26/mnd.

Postcodecheck WhatsApp ons

Mobiel

Informatie

Internet

Glasvezel internet

Gebruik

Vergelijken & Actie

Internet

Storingen

Administratie

Andere vraag?

Post kantoor