Hoe Phishing Structureel Kan Worden Opgelost
Awareness alleen lost phishing niet op. Drie structurele maatregelen, in combinatie met EUDI Wallet, STIR/SHAKEN en realistische simulaties, zouden tachtig procent van de schade wegnemen. Dit is hoe het hele ecosysteem het probleem kan oplossen.
Hoe het phishing-probleem voor burgers en bedrijven structureel kan worden opgelost. Voorbij de awareness-campagne, met concrete voorstellen voor banken, telecom en overheid.
Vlaanderen wordt overspoeld door phishing- en vishing-gevallen. Burgers verliezen duizenden euro's per dossier, banken onderzoeken elk geval op grove nalatigheid, en in heel veel gevallen blijft het slachtoffer met de schade zitten. Awareness alleen lost dit niet op. Het probleem is structureel, en de oplossing dus ook.
Dit artikel zet onze visie op tafel: hoe het hele ecosysteem (banken, telecom, overheid, burger en bedrijf) samen kan voorkomen dat phishing nog werkt. Geen losse tips, maar een samenhangend plan met drie prioriteiten die volgens ons tachtig procent van de schade zouden wegnemen.
TL;DR
Phishing werkt omdat het betaalsysteem nog steeds draait op gedeelde geheimen die je per definitie kan weggeven, en omdat de bewijslast bij de zwakste partij ligt: de burger. Drie maatregelen samen zouden het overgrote deel van de schade uitschakelen. Verplichte Verification of Payee met cooling-off voor nieuwe begunstigden. STIR/SHAKEN en een do-not-originate lijst voor bank- en overheidsnummers, zodat vishing met gespoofte nummers technisch onmogelijk wordt. En omgekeerde bewijslast in de wet, zodat banken een financieel belang hebben om de eerste twee maatregelen ook echt door te voeren. Daaromheen passen passkeys, EUDI Wallet, een nationaal fraudegraf en een herziene rol voor awareness.
Waarom dweilen met de kraan open
Het probleem is niet dat mensen dom zijn. Het probleem is dat de hele betaalketen nog steeds gebouwd is op codes, wachtwoorden en eenmalige passwoorden die je kan doorgeven, en dat aanvallers in seconden kunnen pivoteren van een gespoofte oproep naar een onomkeerbare overschrijving. Zolang dat niet verandert, blijft elke awarenesscampagne dweilen met de kraan open.
De wet legt al vast dat banken klanten moeten terugbetalen bij phishing, behalve bij grove nalatigheid. In de praktijk wordt grove nalatigheid breed geïnterpreteerd: wie een code heeft doorgegeven, wie een betaling heeft bevestigd, wie de oproep niet meteen herkende. Het slachtoffer moet aantonen dat het geen grove nalatigheid was. Dat is meestal zo goed als onmogelijk.
Drie prioriteiten die samen tachtig procent van de schade wegnemen
1. Verplichte Verification of Payee met cooling-off
De Europese Instant Payments Regulation verplicht banken al om de naam van de begunstigde te controleren tegen het IBAN voordat een overschrijving wordt uitgevoerd. Goed begin, maar niet genoeg. Wat ontbreekt is een harde frictie bij nieuwe begunstigden: een verplichte cooling-off van 24 uur voor de eerste overschrijving naar een onbekend rekeningnummer, en een duidelijke waarschuwing wanneer naam en IBAN niet matchen.
Vandaag staat een phishing-oplichter binnen drie minuten met geld op een muildiersrekening. Met een 24-uurs venster wordt die ketting doorbroken. De burger heeft tijd om te twijfelen, om te bellen, om de oproep te checken. Hetzelfde principe als de chargeback bij kredietkaartbetalingen, alleen op SEPA-niveau. Geen technische uitvinding nodig, wel politieke wil.
2. STIR/SHAKEN en een do-not-originate lijst voor de telecom
Het gros van vishing werkt omdat een oplichter in seconden een Belgisch bank- of overheidsnummer kan tonen op uw display. Dat is technisch al lang oplosbaar. Frankrijk implementeerde STIR/SHAKEN voor nationale vaste nummers in oktober 2024. Italië blokkeert sinds mei 2025 buitenlandse oproepen die een Italiaans nummer tonen. Spanje volgde in februari 2025. Polen, Roemenië en Finland deden hetzelfde.
België en Nederland lopen achter. Wat nodig is, is verplichte STIR/SHAKEN-implementatie voor alle binnenlandse operatoren, zodat elke oproep een cryptografische handtekening krijgt. Niet-getekende oproepen die een Belgisch nummer tonen vanuit het buitenland worden geblokkeerd of duidelijk gelabeld als niet-geverifieerd. Daarnaast een do-not-originate lijst: nummers van banken, FOD Financiën, politie en Itsme mogen technisch nooit als beller verschijnen vanuit een niet-geautoriseerde route. Wie het toch probeert, wordt aan de bron geblokkeerd.
Tegelijk hoort er een SMS sender ID register te komen, naar het model van Singapore en het Verenigd Koninkrijk. Alleen geregistreerde afzenders mogen onder een specifieke alfanumerieke ID berichten sturen. Smishing met de naam Bpost of Belfius wordt dan technisch onmogelijk.
3. Omgekeerde bewijslast in de wet
Het zwaarste hefboompunt is juridisch, niet technisch. Vandaag moet de bank grove nalatigheid aantonen, maar in de praktijk draait het op de klant. Dat moet om. Een wettelijk vermoeden van niet-nalatigheid bij de klant, tenzij de bank met technisch bewijs (logs, device fingerprint, gedragsanalyse) het tegendeel aantoont, draait het hele veld om. Zoals bij consumentenkrediet, waar de bewijslast bij de professional ligt.
Daarnaast een verplichte onafhankelijke geschillenkamer met bindende uitspraak binnen 30 dagen, niet de huidige Ombudsfin-route die maanden duurt. En hoofdelijke aansprakelijkheid in de keten: als een telecomoperator een gespoofte oproep doorlaat, of als een hosting provider een phishingdomein 48 uur online laat staan na melding, dragen zij mee in de schade. Dat dwingt de hele keten tot actie, niet alleen de bank.
Pas wanneer de financiële pijn bij banken en telecoms ligt in plaats van bij de burger, gebeuren punt 1 en 2 ook echt. Zonder die druk blijft het bij intentieverklaringen.
Verder dan het huidige betaalsysteem
Bovenop die drie maatregelen zit een laag van structurele veranderingen die phishing op termijn onmogelijk maken. Niet bijsturen, maar herontwerpen.
Push-only wallets in plaats van pull-betalingen
De betaler initieert altijd vanuit een vertrouwde app door te scannen of te tikken bij de begunstigde. Geen IBAN's meer doorgeven aan de telefoon, geen codes meer intikken na een mail. Payconiq en Bancontact bewegen die kant op, maar het blijft optioneel. Verplicht maken zou een hele klasse van phishing-aanvallen wegnemen.
Intent-gebonden betalingen
U geeft niet langer toestemming voor een transactie, u geeft toestemming voor een specifiek doel: rekening Telenet, maximum 80 euro, eenmalig. Een oplichter kan die intent niet hergebruiken voor een tweede transactie. PSD3, dat eind 2025 en begin 2026 verder vorm krijgt, biedt de basis. Banken die deze logica nu al toevoegen aan hun mobiele app, lopen voorop.
EUDI Wallet en QWACs draaien het vertrouwensmodel om
De EU Digital Identity Wallet moet tegen 21 november 2026 in elke lidstaat beschikbaar zijn. Dat verandert het spel. Banken en overheden moeten zich identificeren naar de burger toe via verifieerbare attestaties, niet omgekeerd. Een bank die belt en zich niet kan bewijzen via uw wallet is per definitie vals. Datzelfde geldt voor websites: Qualified Web Authentication Certificates (QWACs) onder eIDAS 2 laten bedrijven hun ware identiteit bewijzen aan bezoekers, wat phishing-domeinen direct herkenbaar maakt.
Air-gapped bevestiging voor grote bedragen
Een fysiek toestel thuis (een kleine e-ink display met knop) dat los staat van uw telefoon en pc. Grote transacties moeten daar bevestigd worden. Onhackbaar via remote social engineering, want er is geen netwerkpad naartoe. Klinkt als science fiction, maar de hardware bestaat al voor crypto wallets en kost minder dan een telefoonhoesje.
Fraudedetectie als publieke infrastructuur
Een nationaal fraudegraf, gedeeld tussen banken, telecoms en politie, waarin verdachte IBAN's, telefoonnummers, domeinen en device fingerprints in real-time gedeeld worden. Vandaag werkt elke bank te veel op zijn eiland. Het Nederlandse model van Transactie Monitoring Nederland is een goed startpunt, ook al ligt het juridisch gevoelig. Met de juiste juridische basis (NIS2 en de AML-package geven die richting aan) is het haalbaar.
Daarnaast money mule disruption op het niveau van banken zelf. Het overgrote deel van phishinggeld passeert via Belgische of Nederlandse muildieren binnen minuten. Verplichte gedragsanalyse op nieuwe rekeningen onder de 25 jaar, met automatische bevriezing bij atypische inkomende stromen, zou de cash-out keten breken. En een nationaal pauzeknopnummer (bijvoorbeeld 1717), waar elke burger 24/7 een betaling of rekening kan laten bevriezen met één telefoontje en stemherkenning, zonder eerst zijn bank te moeten bereiken. Tijd is alles bij phishing.
De rol van de burger en het bedrijf herdefiniëren
Awareness blijft nodig, maar dan anders. Stop met de boodschap herken de phishingmail. Begin met een regel die wel bruikbaar is: u hoeft nooit een code, een link of een IBAN te delen na een telefoontje of mail. Punt. Één regel, herhaald, overal.
Voor bedrijven hoort daar een tweede laag bij: verplichte phishing-simulaties met directe feedback en een korte oefening, niet als straf maar als reflex-training. Bij Sectricity zien we dat bedrijven die hun vishing-weerbaarheid ook structureel testen, een veel lagere klikratio en een veel hogere meldingsratio behalen. Dat is geen marketingclaim, dat is wat de cijfers tonen wanneer u dezelfde populatie meet voor en na een gericht traject.
Hetzelfde model werkt voor consumenten via de bank-app. Twee keer per jaar een korte simulatie, met directe uitleg achteraf, gebouwd zoals een Swishing-game. Niet betuttelend, wel effectief.
Wat Sectricity hierin doet
Wij geloven niet dat één partij dit alleen oplost. De technische lagen (passkeys, STIR/SHAKEN, EUDI Wallet, IBAN-naam-check) horen bij banken, telecoms en de overheid. Wij vullen de menselijke laag in: realistische phishing-, smishing- en vishing-simulaties met human-validated rapportage, security awareness die past bij wat aanvallers vandaag echt doen, en game-based oefeningen die de reflex trainen in plaats van het schuldgevoel aan te wakkeren. Aanvallers gebruiken nu AI om perfect Nederlands te schrijven en stemmen te clonen. Awareness die in 2018 werkte, werkt vandaag niet meer.
Voor bedrijven onder NIS2 of bedrijven die hun klanten willen beschermen tegen phishing, is dit geen optie meer. NIS2 artikel 21 vereist expliciet maatregelen tegen social engineering en phishing, inclusief technische controles, awareness en training. Bedrijven die hun medewerkers en klanten serieus willen beschermen, hebben de combinatie nodig van technische maatregelen, gedragsverandering en een meldcultuur waarin twijfelen mag.
Veelgestelde vragen over de structurele aanpak van phishing
Waarom volstaat awareness alleen niet meer?
Omdat aanvallers AI gebruiken om perfecte mails en stemcloons te maken, en omdat het betaalsysteem nog steeds toelaat dat één verkeerde klik onomkeerbaar is. Awareness houdt de eerste lijn overeind, maar zonder technische maatregelen aan de bank- en telecomkant blijft elke goedlopende campagne dweilen met de kraan open. De combinatie werkt, los van elkaar werkt geen van beide.
Wat is Verification of Payee?
Verification of Payee is een controle die de naam van de begunstigde matcht met het IBAN voordat een overschrijving wordt uitgevoerd. Onder de Europese Instant Payments Regulation moeten banken in de eurozone deze controle aanbieden. Wanneer naam en IBAN niet overeenkomen, krijgt de klant een waarschuwing. Effectief is het pas als die waarschuwing voldoende friction veroorzaakt om de klant echt te laten twijfelen, en als er een verplichte cooling-off bovenop komt voor nieuwe begunstigden.
Wat is STIR/SHAKEN en waarom is het belangrijk?
STIR/SHAKEN is een telecomprotocol dat oproepen voorziet van een cryptografische handtekening, zodat ontvangende operatoren kunnen verifiëren dat de getoonde caller ID klopt. In de VS verplicht sinds 2020. Frankrijk, Italië, Spanje, Polen, Roemenië en Finland namen sinds 2024 en 2025 vergelijkbare maatregelen. Voor België en Nederland is verplichte uitrol een logische volgende stap, anders blijft een groot deel van de vishing technisch mogelijk.
Hoe gaat de EUDI Wallet phishing helpen tegengaan?
De EU Digital Identity Wallet, vanaf 21 november 2026 in elke lidstaat beschikbaar, draait het vertrouwensmodel om. Banken, overheden en grote platformen moeten zich identificeren naar de burger toe via verifieerbare attestaties. Een telefoontje of mail waarbij de tegenpartij zich niet kan bewijzen via de wallet, is per definitie verdacht. Daarbovenop reactiveert eIDAS 2 de Qualified Web Authentication Certificates, die het mogelijk maken om phishing-websites direct te herkennen aan het ontbreken van een geldig QWAC.
Wat kan een bedrijf vandaag al doen om medewerkers te beschermen?
Vier zaken hebben de grootste impact. Phishing-resistente multi-factor authenticatie zoals FIDO2 of passkeys op elk account met toegang tot bedrijfsdata. Betaalprocessen waar elke wijziging van bankrekening via een tweede kanaal wordt bevestigd, zonder uitzondering, ook niet voor de CEO. Een meldcultuur waarin twijfel meteen kan worden gerapporteerd zonder repressie. En realistische phishing-, smishing- en vishing-simulaties die meten wat medewerkers doen wanneer ze onder druk staan, niet wat ze antwoorden op een e-learning quiz.
Is omgekeerde bewijslast realistisch in België?
Het principe bestaat al in andere domeinen, zoals consumentenkrediet of productaansprakelijkheid. De stap naar betalingsfraude vraagt politieke wil en een aanpassing van de PSD2-implementatie of opvolger. Verschillende EU-lidstaten kijken in deze richting, mede onder druk van de stijgende schade. Zonder die wettelijke verschuiving blijven banken en telecoms onvoldoende geïncentiveerd om de duurdere preventieve maatregelen door te voeren.
Gerelateerde diensten en bronnen
Versterk uw verdediging tegen phishing met onze phishing-simulatie en testing, security awareness training en de Swishing phishing-game. Test de menselijke kant breder via social engineering assessments, inclusief smishing en vishing simulaties. Lees ook onze achtergronden over wat phishing is en Business Email Compromise. Start met een gratis security scan.