Terug naar blog
    Gehackt

    Ben ik gehackt? 10 alarmsignalen en wat je nu moet doen

    Sectricity Security TeamMay 7, 2026

    Denk je dat je gehackt bent? Deze gids geeft 10 duidelijke alarmsignalen, de eerste 5 acties in de juiste volgorde en wanneer je professionele hulp moet inschakelen.

    gehacktincident responsebusiness email compromiseNIS2MFAphishingforensics

    Ben ik gehackt? 10 alarmsignalen en wat je nu moet doen

    TL;DR

    • Onverwachte logins, wachtwoorden die plots niet meer werken, MFA-codes die je niet hebt aangevraagd, en e-mail forwarding regels die je niet hebt ingesteld zijn de betrouwbaarste signalen van een gecompromitteerd account.
    • De eerste actie is altijd dezelfde: koppel het verdachte toestel los van het netwerk, maar zet het niet uit.
    • Wijzig wachtwoorden vanaf een ander, schoon toestel. Nooit vanaf het toestel dat mogelijk gehackt is.
    • Voor zakelijke accounts: NIS2 verplicht essentiële en belangrijke entiteiten om een significant incident binnen 24 uur na bekendwording te melden.
    • Als meerdere accounts of systemen zijn geraakt, is dit een incident, geen ongemak. De eerste 60 minuten bepalen de kost en de juridische impact van de hele respons.

    Inleiding

    De vraag "ben ik gehackt?" komt meestal op een slecht moment. Een vreemde login-melding, een collega die vraagt waarom je hem een rare link stuurde, een banktransactie die je niet herkent. Paniek is de slechtste reactie, want paniek leidt tot snelle en onomkeerbare fouten: bewijsmateriaal wissen, wachtwoorden resetten vanaf een besmet toestel, betalen voor je de dreiging hebt gevalideerd.

    Deze gids geeft je tien concrete signalen dat je gehackt bent, de eerste vijf acties in de juiste volgorde, en een duidelijke grens voor wanneer je professionele hulp inschakelt. Het geldt voor individuen en organisaties. Vermoed je een zakelijke compromittering rond e-mail, betalingen of klantendata, lees dan ook onze gids over hoe je Business Email Compromise voorkomt en het Incident Response Plan voor de eerste 72 uur.

    10 alarmsignalen dat je gehackt bent

    1. Onverwachte login-meldingen of "nieuw toestel toegevoegd"

    Microsoft 365, Google, Apple, banken en de meeste moderne SaaS-platformen sturen een melding wanneer een nieuw toestel of een nieuwe sessie wordt geregistreerd. Krijg je er een van een locatie, browser of toestel dat je niet herkent, behandel het dan als een live signaal. Klik niet op de link in de e-mail. Open de dienst rechtstreeks in je browser en controleer de actieve sessies.

    2. Wachtwoorden die plots niet meer werken

    Word je buitengesloten van een account dat gisteren nog werkte, en gaat de "wachtwoord vergeten" link naar een e-mailadres dat je niet meer beheert, dan heeft een aanvaller waarschijnlijk je herstelopties gewijzigd. Dit is een van de duidelijkste signalen van accountovername.

    3. Contacten die rare berichten van jou krijgen

    Een vriend, collega of klant die vraagt waarom je hem een Bitcoin-link, een cadeaubon-aanvraag of een onverwachte factuur stuurde, is een sterk signaal. Het betekent meestal dat je e-mail- of berichtenaccount wordt gebruikt om je netwerk te phishen.

    4. Bank- of kaarttransacties die je niet herkent

    Kleine, onbekende transacties zijn vaak een test voor een grotere overschrijving. De meeste banken laten je je kaart binnen een minuut blokkeren via de app. Doe dat eerst, neem dan contact op met de bank via het officiële nummer, nooit via een nummer uit een verdacht bericht.

    5. Trager systeem, onbekende processen, browser-redirects

    Een toestel dat plots heet wordt, de batterij snel leegtrekt, zoekopdrachten omleidt naar onbekende sites, of browser-extensies toont die je niet hebt geïnstalleerd, kan op malware wijzen. Op Windows: controleer Taakbeheer en services.msc. Op macOS: controleer Activiteitenweergave en ~/Library/LaunchAgents.

    6. Antivirus of EDR is uitgeschakeld zonder dat jij dat deed

    Staat je endpointbeveiliging uit, ontbreken definities of is de status gewijzigd, ga er dan vanuit dat een proces met administratieve rechten dit heeft gedaan. Legitieme updates hebben zelden uitschakeling van beveiliging nodig.

    7. E-mail forwarding regels die je niet hebt ingesteld

    Dit is de meest voorkomende indicator van Business Email Compromise. Aanvallers maken stille forwarding regels zodat antwoorden op phishing- of financiële conversaties nooit in de echte inbox aankomen. In Microsoft 365: controleer Outlook Web regels en "Doorsturen naar" in mailbox-instellingen. In Google Workspace: ga naar Instellingen, Doorsturen en POP/IMAP, en Filters.

    8. MFA-codes die je niet hebt aangevraagd

    Krijg je een multi-factor authenticatie code op je telefoon zonder dat je probeerde in te loggen, dan heeft iemand je wachtwoord en probeert hij MFA te omzeilen. Push-bombing-aanvallen sturen herhaaldelijk goedkeuringsverzoeken, in de hoop dat je per ongeluk op accepteren tikt. Weiger alles, wijzig daarna onmiddellijk het wachtwoord.

    9. Onbekende toestellen in je accountoverzicht

    Microsoft 365 (Mijn account, Apparaten), Google (Uw apparaten), Apple ID en LinkedIn tonen allemaal geregistreerde toestellen. Een iPad in Roemenië die niet van jou is, is geen technische glitch.

    10. Een "je data is gelekt" e-mail, echt of nep?

    Veel van deze mails zijn scams die je willen laten betalen uit angst. Valideer door je e-mail te controleren via Have I Been Pwned en door na te gaan of de mail past bij een lek waar je echt over hoorde. Echte lek-meldingen van bedrijven zoals Microsoft, Google of je bank komen meestal binnen via je account-dashboard, niet via ongevraagde e-mail.

    De eerste 5 acties, in de juiste volgorde

    1. Loskoppelen, niet uitschakelen

    Koppel het getroffen toestel los van wifi en ethernet. Uitschakelen vernietigt vluchtige sporen in het werkgeheugen die een incident response team nodig heeft. Loskoppelen stopt de bloeding zonder het forensische spoor te wissen.

    2. Wachtwoorden wijzigen vanaf een schoon toestel

    Gebruik een telefoon of een andere computer die niet bij de vermoede inbraak betrokken was. Begin met e-mailaccounts, want e-mail is de wortel van wachtwoordherstel voor bijna alles. Daarna financiële accounts, dan identity providers, dan de rest.

    3. MFA forceren op kritieke accounts

    Is MFA nog niet actief, schakel het nu in op e-mail, banken, identity providers en admin-accounts. Gebruik een authenticator-app of een hardware key in plaats van sms waar mogelijk.

    4. Forwarding regels, OAuth-tokens en app-permissies controleren

    In Microsoft 365 en Google Workspace: verwijder onbekende forwarding regels, trek OAuth-tokens in voor third-party apps die je niet herkent, en verwijder app-wachtwoorden die niet meer nodig zijn. Deze stap wordt vaak overgeslagen, en is de reden waarom aanvallers na een wachtwoordreset opnieuw toegang krijgen.

    5. Alles documenteren

    Screenshots van verdachte activiteit, timestamps, IP-adressen, transactie-ID's, de exacte tekst van vreemde e-mails. Schakel je later politie, verzekering of een incident response team in, dan verkort dit bewijs het onderzoek aanzienlijk.

    Wanneer is dit een incident, en wie bel je?

    Voor individuen is de grens eenvoudig: is er geld verplaatst, zijn identiteitsdocumenten blootgesteld, of krijg je je primaire e-mail niet meer onder controle, contacteer dan je bank en doe aangifte bij de politie. Voor accounts: contacteer de provider via het officiële supportkanaal.

    Voor organisaties ligt de grens anders. Onder de NIS2-richtlijn moeten essentiële en belangrijke entiteiten in de EU binnen 24 uur een vroege waarschuwing van een significant incident indienen, gevolgd door een incidentmelding binnen 72 uur. Val je buiten NIS2, dan triggeren klantendata-lekken doorgaans GDPR-meldingsplichten.

    Praktisch: zijn meerdere accounts geraakt, kan klant- of financiële data blootgesteld zijn, of heb je bewijs van persistentie (de aanvaller komt na elke opkuis terug), behandel het dan als incident. Lees ons Incident Response Plan: wat te doen in de eerste 72 uur en schakel professionele hulp in. Het eerste uur bepaalt de kost en de juridische blootstelling van de hele respons.

    Hoe voorkom je dat dit opnieuw gebeurt?

    De meeste succesvolle aanvallen volgen een voorspelbaar patroon: een gephished credential, een ontbrekende MFA, een blootgestelde externe dienst, een gebruiker die klikte. De verdedigingen zijn even voorspelbaar, maar werken alleen als ze getest worden in plaats van aangenomen.

    Een regelmatige penetratietest toont waar aanvallers daadwerkelijk binnen kunnen, met de hand gevalideerd in plaats van door een scanner. Combineer dat met security awareness training met realistische phishing- en smishing-simulaties, zodat je team de technieken uit dit artikel herkent voor ze geld kosten. Awareness alleen volstaat niet, en pentesting alleen volstaat niet. Samen dichten ze de kloof.

    Veelgestelde vragen

    Hoe weet ik of mijn e-mail gehackt is?

    De duidelijkste signalen zijn onverwachte login-meldingen van onbekende locaties, contacten die berichten ontvangen die je niet hebt verstuurd, e-mail forwarding regels die je niet hebt aangemaakt, en wachtwoord reset links voor accounts die je niet hebt aangevraagd. Controleer de aanmeldingsgeschiedenis en actieve sessies van je account via de officiële interface van de provider, nooit via een link in een verdachte e-mail.

    Moet ik mijn computer uitzetten als ik denk dat ik gehackt ben?

    Nee. Koppel het toestel los van het netwerk, maar laat het aan staan. Uitschakelen vernietigt bewijsmateriaal in het werkgeheugen dat incident responders nodig hebben om de aanval te begrijpen. Loskoppelen voorkomt verdere schade zonder het forensische spoor te wissen.

    Kan ik gewoon mijn wachtwoord wijzigen en weer veilig zijn?

    Niet altijd. Aanvallers bouwen vaak persistentie in: e-mail forwarding regels, OAuth-tokens voor third-party apps, gewijzigde herstel-e-mailadressen, app-specifieke wachtwoorden. Controleer dit alles na een wachtwoordwijziging. Anders krijgt de aanvaller opnieuw toegang via een achterdeur die je niet hebt gesloten.

    Hoeveel is het eerste uur waard bij een incident?

    Veel. Het eerste uur bepaalt of de aanvaller nog toegang heeft, of bewijs bewaard blijft, of de inbraak beperkt blijft tot één account of lateraal verspreidt, en of wettelijke meldingsdeadlines gehaald kunnen worden. Overhaaste acties in het eerste uur veroorzaken ook de duurste fouten, en daarom zijn een geschreven incident response plan en een duidelijk escalatiepad belangrijk.

    Wanneer schakel ik professionele incident response in?

    Wanneer meer dan één account of systeem getroffen is, wanneer klant- of financiële data blootgesteld kan zijn, wanneer de aanvaller na elke opkuis opnieuw toegang lijkt te krijgen, of wanneer je onder NIS2 of GDPR-meldingsplichten valt. Individuele accountcompromitteringen zonder datablootstelling kun je doorgaans intern afhandelen als je snel reageert.

    Kan een pentest een toekomstige hack voorkomen?

    Een pentest voorkomt niet elk toekomstig incident, maar identificeert wel de specifieke paden die een aanvaller vandaag tegen je organisatie zou gebruiken, met de hand gevalideerd. Gecombineerd met security awareness training haalt het de meest waarschijnlijke binnenkomstpunten weg voor ze uitgebuit worden. Het doel is een succesvolle aanval moeilijker, trager en zichtbaarder maken.

    Gerelateerde diensten en bronnen

    Vermoed je nu een inbraak, begin dan met ons Incident Response Plan voor de eerste 72 uur en onze gids over hoe je Business Email Compromise voorkomt. Wil je begrijpen hoe een aanvaller denkt, lees dan wat een hacker écht doet, van OSINT tot pentesting. Om de kans te verkleinen dat je opnieuw in deze situatie zit: onze penetratietest dienst test je externe aanvalsoppervlak met de hand, en onze security awareness training bereidt je team voor op de phishing-, smishing- en BEC-technieken die hierboven beschreven staan.