Terug naar blog
    Phishing

    Wat is Phishing?

    Sectricity Security TeamApril 2, 2026

    Phishing slaagt niet door technologie, maar door timing, context en menselijke reflexen. Dit artikel legt uit wat phishing is, welke soorten er zijn en hoe bedrijven het aantal succesvolle aanvallen beperken.

    PhishingSocial EngineeringSecurity Awareness

    Wat is phishing? Hoe bedrijven aanvallen herkennen voordat iemand klikt

    Phishing is de meest voorkomende initiele aanvalsvector bij Belgische en Nederlandse bedrijven. Het wordt vaak uitgelegd als "een valse e-mail waarmee criminelen proberen je gegevens te stelen". Technisch klopt dat, maar het mist de kern. Phishing slaagt niet door technologie. Phishing slaagt door timing, context en menselijke reflexen.

    Dit artikel geeft een praktisch antwoord op de vraag wat phishing is, welke soorten phishing er bestaan, en wat bedrijven concreet kunnen doen om het aantal succesvolle aanvallen te beperken.

    TL;DR

    Phishing is een cyberaanval waarbij iemand zich voordoet als een vertrouwde partij om een medewerker iets te laten doen: klikken op een link, een bijlage openen, inloggen op een valse pagina, of een betaling uitvoeren. Het werkt omdat het inspeelt op drukte, autoriteit, angst of hulpvaardigheid. Bedrijven verlagen phishing-risico door technische filters, realistische phishing simulaties en een meldcultuur waar twijfel laagdrempelig besproken kan worden.

    Wat phishing precies is

    Phishing is een vorm van social engineering waarbij een aanvaller zich voordoet als een betrouwbare afzender, zoals een bank, een collega, een leverancier of een interne IT-dienst. Het doel is simpel: iets uit de ontvanger krijgen zonder dat die persoon doorheeft dat er iets mis is.

    Dat "iets" varieert:

    • Inloggegevens voor Microsoft 365, Google Workspace of een bedrijfsportaal
    • Financiele informatie of een betaling naar een aangepast rekeningnummer
    • Toegang tot een systeem via een malafide bijlage of link
    • Persoonlijke gegevens voor verdere identity-aanvallen

    In de meeste gevallen is de phishingmail net geloofwaardig genoeg. De afzender klopt bijna. Het logo staat er. Het verzoek voelt logisch binnen de context van het werk. De ontvanger twijfelt misschien kort, en handelt dan toch.

    De meest voorkomende soorten phishing

    De term "phishing" dekt inmiddels een hele familie van aanvallen. Voor bedrijven is het nuttig om de verschillen te kennen, omdat verdediging per type verschilt.

    E-mailphishing

    De klassieker. Een massa-e-mail of een gerichte mail die eruit ziet als een legitieme boodschap. Meestal met een link naar een nagemaakte loginpagina of een bijlage met malware. Filters vangen veel weg, maar de best geschreven phishingmails komen nog steeds door.

    Spear phishing

    Een gerichte variant. De aanvaller heeft research gedaan, kent de rol van de ontvanger, misschien zelfs lopende projecten of relaties. De mail gebruikt die details om geloofwaardig over te komen. Spear phishing leidt vaker tot succes dan massa-phishing.

    Whaling en CEO-fraude

    Hier mikt de aanvaller op executives of profielen met tekenbevoegdheid, vaak via mails die eruit zien alsof ze van de CEO komen. Veel whaling-campagnes zijn tegelijk ook Business Email Compromise-aanvallen. De impact is groot: frauduleuze overboekingen lopen makkelijk tot zes- of zevencijferige bedragen.

    Smishing

    Phishing via SMS of andere berichtendiensten zoals WhatsApp. Korte boodschappen, vaak met een urgente toon en een link. Smishing wint aan belang omdat veel medewerkers privetelefoons gebruiken voor werk.

    Vishing

    Phishing via de telefoon. Een vermeende helpdeskmedewerker of boekhouder belt met een dringend verzoek. Vishing is effectief omdat stemcontact de drempel tot vertrouwen sneller laat zakken.

    Clone phishing

    De aanvaller neemt een bestaande, legitieme mail over en vervangt de bijlage of link door een kwaadaardige versie. Omdat de rest van de mail herkenbaar is, passeert het vaak zowel filters als argwaan.

    Waarom phishing werkt

    Phishing slaagt zelden omdat medewerkers onoplettend zijn. Het slaagt omdat aanvallers inspelen op normaal menselijk gedrag.

    • Autoriteit: een verzoek dat lijkt te komen van een leidinggevende of IT-afdeling krijgt minder kritische vragen
    • Urgentie: een deadline of "binnen 24 uur handelen" zet kort denken onder druk
    • Hulpvaardigheid: klantgerichte profielen willen snel oplossen
    • Herkenbaarheid: een logo, een juiste naam, een plausibel onderwerp creeert vertrouwen

    Het Verizon 2025 Data Breach Investigations Report bevestigt dat het menselijk element een factor blijft bij de grote meerderheid van datalekken. Dat wil niet zeggen dat mensen het probleem zijn. Het betekent dat aanvallers gericht op mensen richten omdat technische beveiliging inmiddels te sterk is om frontaal aan te vallen.

    Wat bedrijven concreet kunnen doen

    Phishing-risico reduceren vraagt een gelaagde aanpak. Geen enkele maatregel alleen lost het op.

    1. Technische filters op orde

    • Mail authenticatie met SPF, DKIM en DMARC met een strict of quarantine policy
    • External-sender banners op mails van buiten de organisatie
    • Multi-factor authenticatie op alle accounts, bij voorkeur phishing-resistant zoals FIDO2 of passkeys
    • URL rewriting en time-of-click scanning in je mailfilter

    2. Realistische oefening

    Phishing simulaties leren medewerkers herkennen wat ze in de praktijk tegenkomen. De kwaliteit zit niet in volume maar in relevantie: scenario's uit hun eigen werkomgeving, op momenten die passen bij hun job, met directe feedback. Eenmalige "klik-testen" zonder vervolg laten weinig effect achter.

    3. Training met praktijkcontext

    Security awareness training die aansluit op echte incidenten en de werkelijke risico's van een bedrijf werkt beter dan generieke compliance-modules. Korte, herhaalde sessies winnen het van lange jaarlijkse e-learnings.

    4. Een meldcultuur

    Medewerkers moeten weten waar en hoe ze verdachte mails melden en mogen dat doen zonder angst voor repercussie. Bij bedrijven waar melden laagdrempelig is, wordt een phishing-aanval vaak binnen minuten geisoleerd. Waar melden voelt als falen, blijft een aanval onopgemerkt en kan die zich verder verspreiden.

    5. Processen voor betalingen

    Elke betalingsinstructie die via e-mail binnenkomt moet via een tweede kanaal worden bevestigd. Geen uitzonderingen voor de CEO. Een vaste call-back procedure voor wijzigingen van rekeningnummers stopt de overgrote meerderheid van BEC-fraude.

    Hoe herken je een phishingmail

    Een paar vragen die ontvangers kunnen stellen voordat ze klikken:

    1. Verwacht ik deze mail van deze afzender op dit moment?
    2. Is het domein in het e-mailadres exact correct, of heeft het subtiele afwijkingen?
    3. Wordt er druk opgezet om snel te handelen?
    4. Word ik gevraagd om iets dat buiten mijn normale workflow valt?
    5. Gaat het om een geldbedrag, inloggegevens of toegang tot een systeem?

    Bij twijfel: niet klikken, niet antwoorden, verifieren via een ander kanaal. En melden. Altijd melden, zelfs als niemand geklikt heeft. Melden is informatie die andere collega's beschermt.

    Wat phishing niet is

    Om verwarring weg te nemen:

    • Het is geen puur technisch probleem dat alleen IT hoeft op te lossen
    • Het is geen eenmalige training die "opgelost" kan worden
    • Het is geen falen van de medewerker die klikt, het is een informatiemoment voor iedereen

    Zodra bedrijven phishing behandelen als een gedeelde verantwoordelijkheid tussen technologie, training en processen, daalt het succespercentage van aanvallen meetbaar.

    Veelgestelde vragen over phishing

    Wat is phishing precies?

    Phishing is een cyberaanval waarbij iemand zich voordoet als een vertrouwde partij om een ontvanger iets te laten doen: klikken op een link, een bijlage openen, inloggen op een valse pagina, of een betaling uitvoeren. Het doel is meestal inloggegevens, geld of toegang tot systemen. Phishing werkt omdat het inspeelt op drukte, autoriteit, angst of hulpvaardigheid.

    Wat is het verschil tussen phishing en spear phishing?

    Phishing is vaak een massa-aanval waarbij dezelfde mail naar veel ontvangers gaat. Spear phishing is gerichter: de aanvaller heeft research gedaan op de specifieke ontvanger, kent de rol, projecten of relaties, en gebruikt die details om geloofwaardig over te komen. Spear phishing heeft een veel hoger slagingspercentage dan massa-phishing.

    Hoe herken je een phishingmail?

    Let op afwijkingen in het afzenderdomein, een onverwachte toon van urgentie, verzoeken die buiten je normale workflow vallen, en vragen om inloggegevens, geld of toegang. Bij twijfel: niet klikken, verifieren via een ander kanaal zoals een telefoontje naar de collega of leverancier, en melden aan IT of de security-afdeling.

    Helpen phishing simulaties echt?

    Ja, mits ze goed worden uitgevoerd. Effectieve phishing simulaties gebruiken scenario's die relevant zijn voor de werkomgeving van de medewerker, geven directe feedback na een klik, en worden regelmatig herhaald. Eenmalige klik-testen zonder vervolg hebben weinig leerimpact. De combinatie van simulatie plus korte awareness-training na de test werkt het best.

    Wat moet je doen als iemand geklikt heeft op een phishinglink?

    Onmiddellijk melden aan IT of de security-afdeling. Niet wachten tot er zichtbaar iets misgaat. Wachtwoorden van de betrokken account wijzigen, MFA-tokens verlopen, en actieve sessies uitloggen. Het IT-team moet onderzoeken of credentials zijn ingevoerd, of malware is gedownload, en of er laterale beweging in het netwerk plaatsvindt. Snelheid bepaalt de schade.

    Wat zegt NIS2 over phishing?

    Onder NIS2 Artikel 21 moeten essentiele en belangrijke entiteiten cybersecurity risicobeheer toepassen, inclusief maatregelen tegen social engineering en phishing. Dat omvat technische maatregelen, personeelsbewustzijn en training. Incidenten met significante impact moeten gemeld worden binnen strakke termijnen, wat betekent dat bedrijven hun phishing-incidentrespons ook formeel moeten regelen.

    Is phishing erger geworden met AI?

    Ja. Grote taalmodellen maken het schrijven van geloofwaardige phishingmails triviaal, ook in perfect Nederlands of Frans. Deepfake-stem en video wordt ingezet voor vishing en whaling. De traditionele heuristieken zoals "let op taalfouten" zijn daarmee grotendeels achterhaald. Verdediging verschuift naar technische controles, verificatie via tweede kanaal en gedragsherkenning.

    Gerelateerde diensten en bronnen

    Versterk je verdediging tegen phishing met Sectricity's phishing simulatie en testing, security awareness training en het Swishing phishing spel. Test de menselijke kant breder via social engineering assessments, inclusief smishing en vishing simulaties. Start met een gratis security scan.