Phishing — nep-berichten die proberen je in te laten loggen op een nep-site of geld te laten overmaken — wordt jaarlijks slimmer. Toch zijn er duidelijke signalen om op te letten.
1. Urgentie en dreiging
“Je account wordt binnen 24 uur geblokkeerd!” “Direct actie nodig!” Banken en serieuze bedrijven communiceren niet met ultimatums. Twijfel? Bel de organisatie zelf.
2. Verkeerd of generiek aanhef
“Beste klant” in plaats van je naam. Of een verkeerde naam. Of slechte spelling. Echte bedrijven kennen je naam.
3. Verdachte afzender
Houd de muis boven de afzendernaam: zie je het echte e-mailadres? “service@netflix-update.com” is geen Netflix. Domeinen met streepjes en cijfers zijn verdacht.
4. Vreemde URL’s
Houd de muis over een link (zonder klikken!). De URL die verschijnt: klopt die met de site? “ing.com.security-update.net” is niet ING.
5. Bijlages
Onverwachte bijlages (vooral .zip, .exe, .scr) zijn vrijwel altijd kwaadaardig. Officiële instanties sturen bijlagen zelden ongevraagd.
6. Vraag om gevoelige info
Banken vragen NOOIT om je pincode, volledige creditcard-nummer of inloggegevens via mail/SMS/WhatsApp. Wie dat doet is een oplichter.
7. Te mooi om waar te zijn
“Je hebt een prijs gewonnen!” “Erfenis van Nigeriaanse prins!” Klassieke trucs die nog steeds werken omdat sommigen erin trappen.
8. Schrijfstijl en taalfouten
Nederlands met vreemde formuleringen, vertaal-fouten, of slechte spelling. AI maakt dit lastiger te herkennen, maar nog steeds een signaal.
Smishing en vishing
SMS en telefoonoplichting groeit. “DHL pakket niet bezorgd, klik hier.” “Helpdesk Microsoft, uw computer heeft een virus.” Dezelfde signalen, ander kanaal.
Bij twijfel
Klik nooit op de link in het bericht. Ga zelf naar de officiële site of bel het bedrijf op een nummer van hun officiële website (niet uit de mail).
Wat te doen na een fout
Heb je toch op een phishing-link geklikt? Wachtwoord van het betreffende account direct wijzigen. Bij invoer van bankgegevens: bank bellen om transacties te blokkeren. Aangifte bij Politie en melden bij Fraudehelpdesk.nl.
Bedrijven helpen
Veel bedrijven (PostNL, ING, Belastingdienst) hebben een speciaal e-mailadres voor het melden van phishing. Doorsturen helpt om nieuwe slachtoffers te voorkomen.
Phishing herkennen wordt vooral een gevoel: bij twijfel, niet doen. Liever overdreven voorzichtig dan slachtoffer.
Wat te doen als je toch op een link hebt geklikt
Iedereen klikt ooit. De vraag is niet of, maar wat je doet in de tien minuten erna. Drie stappen beperken de schade.
Eén: log direct uit op het apparaat én van het account waar je je inlog-gegevens hebt ingevoerd. Verander dat wachtwoord op een ander apparaat (telefoon als je net op laptop klikte, of andersom). Doe het ook voor accounts die hetzelfde wachtwoord gebruikten — phishers proberen het overal.
Twee: check je bank. Bij elke phishing met financiële context — een nep-betalingsverzoek, een nep-bank-mail — bel je bank rechtstreeks (telefoonnummer van je pas of de officiële website, niet uit de mail). Vraag of je rekening “monitoring” kan krijgen voor 48 uur en blokkeer je pas als er onbekende transacties zijn.
Drie: meld de phishing. Bij phishing in NL is fraudehelpdesk.nl het centrale meldpunt. Mailadressen die phishing versturen kunnen daar geblokkeerd worden voor anderen. Een melding kost twee minuten en kan tientallen mensen na jou behoeden.
Wat je niet hoeft te doen: jezelf afkraken. Phishing-mails zijn in 2026 zo geslaagd dat ervaren IT-professionals er ook intrappen. De fout is menselijk, het herstel is wat telt.