Wat is phishing precies?
Je kent het vast: een e-mail van je bank die vraagt om je gegevens te bevestigen, of een bericht van PostNL over een pakketje dat vastzit bij de douane. Het ziet er allemaal heel echt uit, maar dat is precies de bedoeling. Phishing is een vorm van oplichting waarbij criminelen zich voordoen als een betrouwbare organisatie om jouw persoonlijke gegevens te stelen.
In Nederland is phishing al jaren de nummer-1-cybercrimemethode. Volgens de Fraudehelpdesk werden er in 2024 meer dan 7 miljoen phishingmails verstuurd naar Nederlandse adressen. De schade loopt jaarlijks in de honderden miljoenen euro's. En het wordt steeds lastiger om nep van echt te onderscheiden, omdat criminelen hun technieken voortdurend verbeteren.
Het woord "phishing" is een samentrekking van "password" en "fishing" — je vist als het ware naar wachtwoorden. Tegenwoordig gaat het allang niet meer alleen om wachtwoorden: ook bankgegevens, BSN-nummers en creditcardinformatie zijn gewild bij oplichters.
5 rode vlaggen om phishing te herkennen
Gelukkig zijn er een aantal signalen waar je op kunt letten. Geen enkel signaal op zichzelf is bewijs dat iets phishing is, maar als je meerdere van deze rode vlaggen ziet, dan is het vrijwel zeker raak.
- Het afzenderadres klopt niet — check altijd het volledige e-mailadres, niet alleen de weergavenaam
- Er wordt urgentie gecreeerd — "Reageer binnen 24 uur of je account wordt geblokkeerd"
- De link wijst naar een ander domein — hover over links zonder te klikken
- Er worden persoonlijke gegevens gevraagd — banken doen dit nooit via e-mail
- De aanhef is onpersoonlijk — "Geachte klant" in plaats van je echte naam
1. Het e-mailadres van de afzender
Dit is verreweg het makkelijkste om te checken, en toch vergeten de meeste mensen het. Een e-mail lijkt van ING te komen, maar als je op het afzenderadres klikt, zie je iets als "ing-klantenservice@secure-banking-nl.com". Dat is geen ING-adres. Echte mails van ING komen van @ing.nl of @ing.com. Hetzelfde geldt voor Rabobank (@rabobank.nl) en ABN AMRO (@abnamro.nl).
Let op: soms gebruiken oplichters domeinen die er op het eerste gezicht goed uitzien, zoals "ing-nl.com" of "rabobank-online.nl". Dat zijn geen officiele domeinen. Twijfel je? Ga dan zelf naar de website van je bank door het adres in te typen in je browser.
2. Nepurgentie en dreigementen
Phishingmails proberen je altijd onder druk te zetten. "Je account wordt binnen 48 uur afgesloten", "Je hebt een onbetaalde factuur" of "Er is een verdachte betaling gedaan". Dat gevoel van paniek is precies wat ze willen, want als je in paniek bent, denk je niet helder na.
Echte organisaties sturen nooit e-mails waarin ze dreigen met directe consequenties als je niet meteen reageert. Als er echt iets aan de hand is met je bankrekening, word je gebeld of krijg je een brief. Neem dus altijd even een paar minuten de tijd voordat je ergens op klikt.
3. Verdachte links en URL's
De link in de e-mail is het wapen van de oplichter. Die link brengt je naar een nepwebsite die er precies zo uitziet als de echte. Hover altijd met je muis over een link voordat je erop klikt — dan zie je linksonder in je browser waar de link daadwerkelijk naartoe gaat.
Op je telefoon is dat lastiger. Houd de link ingedrukt (niet tikken!) om de URL te zien. Begint die URL niet met het officiele domein van de organisatie? Dan is het phishing. Let ook op kleine trucjes zoals "rabobank" met een nul in plaats van de letter "o", of "postnl" met een hoofdletter I in plaats van de kleine letter l.
4. Verzoek om persoonlijke gegevens
Dit is de gouden regel: geen enkele bank, overheidsinstelling of bedrijf vraagt je ooit via e-mail om je wachtwoord, pincode, BSN-nummer of volledige bankgegevens in te vullen. Nooit. Als een e-mail dat vraagt, is het altijd fraude. De Belastingdienst, DigiD, je bank — ze doen het simpelweg niet.
5. Onpersoonlijke of vreemde aanhef
Je bank weet hoe je heet. Als een e-mail begint met "Beste klant", "Geachte heer/mevrouw" of helemaal geen aanhef heeft, is dat verdacht. Phishingmails worden namelijk massaal verstuurd — oplichters kennen je naam meestal niet. Overigens is een correcte naam geen garantie dat iets echt is, want namen kunnen via datalekken op straat liggen.
Echte voorbeelden uit Nederland
Phishingcriminelen richten zich graag op Nederlandse doelwitten, simpelweg omdat Nederlanders veel online bankieren en relatief veel vertrouwen hebben in digitale communicatie. Hier zijn een paar voorbeelden die de afgelopen maanden veel voorkwamen.
De "ING beveiligingscontrole": je ontvangt een e-mail dat ING een nieuwe beveiligingscontrole uitvoert en dat je je gegevens opnieuw moet verifiëren via een link. De link gaat naar een perfecte kopie van de ING-inlogpagina. Alles wat je daar invult, gaat rechtstreeks naar de oplichters.
De "PostNL douane-betaling": een sms of e-mail meldt dat je pakket vastzit bij de douane en dat je een klein bedrag moet betalen (vaak 1,95 of 2,99 euro). Het bedrag is expres laag gehouden zodat je niet lang nadenkt. Via de betaallink krijgen criminelen toegang tot je bankgegevens.
Let extra op als je een van deze zinnen tegenkomt: "Uw account is tijdelijk geblokkeerd", "Bevestig uw identiteit om uw rekening te behouden", "U heeft een openstaande betaling van €1,99", "Klik hier om uw gegevens bij te werken" of "Uw pakket kan niet worden bezorgd". Echte organisaties communiceren nooit op deze manier per e-mail.
De "Belastingdienst teruggave": rond de periode van belastingaangifte duiken er altijd mails op die claimen dat je recht hebt op een teruggave. Je hoeft alleen maar je bankgegevens in te vullen. De Belastingdienst betaalt teruggaves altijd automatisch uit op het rekeningnummer dat bij hen bekend is — ze vragen daar nooit om via e-mail.
Op een link geklikt? Dit moet je doen
Oké, het is gebeurd. Je hebt op een phishinglink geklikt en misschien zelfs gegevens ingevuld. Geen paniek — maar je moet wel snel handelen. Hoe sneller je reageert, hoe groter de kans dat je schade kunt beperken.
Stap 1: heb je bankgegevens of creditcardgegevens ingevuld? Bel dan direct je bank. ING bereik je op 020 22 888 88, Rabobank op 030 712 60 00 en ABN AMRO op 0900 0024. Alle grote banken hebben 24/7 een fraudelijn open. Zij kunnen je rekening tijdelijk blokkeren om verdere schade te voorkomen.
Stap 2: verander direct je wachtwoorden. Begin met het wachtwoord dat je hebt ingevuld op de phishingsite, maar wijzig ook wachtwoorden van andere accounts waar je hetzelfde wachtwoord gebruikt. Ja, dat is precies waarom je overal een uniek wachtwoord moet gebruiken — maar dat is een verhaal voor een ander artikel.
Stap 3: doe aangifte bij de Politie via politie.nl en meld de phishingmail bij de Fraudehelpdesk (fraudehelpdesk.nl). Hoe meer meldingen zij ontvangen, hoe sneller ze een waarschuwing kunnen uitgeven. Stuur de verdachte e-mail ook door naar je bank, zodat zij hun klanten kunnen waarschuwen.
Hoe FraudeVrij je beschermt
Bij FraudeVrij kun je e-mailadressen, telefoonnummers en websites controleren voordat je erop reageert. Heb je een verdachte e-mail ontvangen? Voer het afzenderadres in op FraudeVrij en bekijk of anderen het al als frauduleus hebben gemeld. Zo weet je binnen enkele seconden of je te maken hebt met een bekende oplichter.
Daarnaast kun je zelf meldingen doen van phishing-e-mails die je ontvangt. Iedere melding helpt andere gebruikers om niet in dezelfde val te trappen. Samen maken we het internet een stukje veiliger. Hoe meer mensen melden, hoe sneller we nieuwe phishingcampagnes in beeld hebben.
FraudeVrij berekent automatisch een risicoscore op basis van het aantal meldingen en hoe recent die zijn. Een hoge score betekent dat het vrijwel zeker om fraude gaat. Maar zelfs bij een lage score is het altijd slim om voorzichtig te zijn en de bovenstaande tips toe te passen.