Ga naar hoofdinhoud

Hoe u zichzelf beschermt tegen phishingaanvallen

Phishing is de #1 manier waarop accounts worden gestolen. Hoe moderne phishing werkt, signalen om op te letten en verdedigingen die aanvallen daadwerkelijk stoppen.

Laatst bijgewerkt: 14 april 2026

Samengevat

  • Phishing is de #1 oorzaak van accountovernames — aanvallers verleiden u om inloggegevens in te voeren op een nepssite.
  • Moderne phishingkits klonen inlogpagina's pixel-perfect en proxyen uw 2FA-codes in realtime.
  • Hardwarebeveiligingssleutels (YubiKey, FIDO2) zijn de enige verdediging die by design phishingbestendig is.
  • Wachtwoordbeheerders beschermen u doordat ze weigeren automatisch in te vullen op het verkeerde domein.
  • Controleer het exacte domein voordat u inloggegevens invoert en log nooit in via een link in een e-mail.

Wat is phishing?

Phishing is een social engineering-aanval waarbij een aanvaller een overtuigende kopie maakt van een legitieme website — vaak pixel-perfect — en een slachtoffer verleidt om daar inloggegevens in te voeren. Op het moment dat het slachtoffer het formulier verzendt, onderschept de aanvaller de gebruikersnaam, het wachtwoord en eventuele tweede factor, en gebruikt deze binnen enkele seconden om het echte account over te nemen.

Het woord is ontleend aan de metafoor van "vissen" naar slachtoffers met aas (meestal een e-mail). De spelling veranderde om te benadrukken dat aanvallers vaak phoon­nummers gebruiken (SMS-phishing, ook wel "smishing") en professioneel ogende infrastructuur inzetten.

Waarom phishing nog steeds de #1 bedreiging is

De meeste grootschalige accountlekken van vandaag gaan niet over hacken, wachtwoorden kraken of versleuteling omzeilen. Ze gaan over een mens die een wachtwoord intypt op een nepssite. Phishing is:

  • Goedkoop — een aanvaller kan miljoenen e-mails versturen voor de kosten van een VPS en een vervalst domein
  • Moeilijk te filteren — moderne kits roteren domeinen, maken gebruik van legitieme hosting en passen zich in realtime aan filters aan
  • Effectief — zelfs beveiligingsbewuste gebruikers trappen in goed opgezette gerichte pogingen (spear phishing)
  • Schaalbaar — één succesvolle phishing levert vaak toegang op tot tientallen verbonden diensten via hergebruik van wachtwoorden

Het Verizon Data Breach Investigations Report 2024 stelde vast dat phishing in meer dan 36% van alle inbreuken de initiële toegangsvector was — meer dan elke andere afzonderlijke oorzaak.

Hoe moderne phishing werkt

Phishing is ver geëvolueerd voorbij de "Nigeriaanse prins"-e-mails van de jaren 2000. Een moderne phishingaanval omvat doorgaans:

1. Een overtuigend lokaas

Meestal een e-mail, sms of chatbericht dat urgentie creëert ("Uw account wordt opgeschort"), gezag uitstraalt ("Microsoft-beveiligingsteam") of nieuwsgierigheid wekt ("Iemand heeft u getagd op een foto"). Spear-phishing gaat nog verder met persoonlijke details afkomstig van LinkedIn, gelekte databases of eerdere correspondentie.

2. Een pixel-perfecte nepssite

Aanvallers gebruiken kant-en-klare phishingkits die de HTML, CSS en JavaScript van de doelsite klonen. Veel kits worden verkocht als een dienst (phishing-as-a-service), met werkende dashboards en klantenondersteuning.

3. Een realtime proxy voor 2FA

Het gevaarlijke deel: moderne kits onderscheppen niet alleen uw wachtwoord. Ze fungeren als een man-in-the-middle-proxy die alles wat u typt — inclusief uw TOTP-code — binnen enkele seconden doorstuurt naar de echte site, waarmee de meeste 2FA wordt omzeild. Deze techniek wordt adversary-in-the-middle (AiTM) genoemd en wordt gebruikt in tools zoals Evilginx2 en Modlishka.

4. Diefstal van sessietokens

Zodra u via de proxy bent geverifieerd, onderschept de aanvaller uw sessiecookie en kan deze gebruiken om ingelogd te blijven, zelfs nadat u uw wachtwoord heeft gewijzigd. Daarom omvat de reactie op phishing altijd het herroepen van actieve sessies, en niet alleen het roteren van wachtwoorden.

Wat phishing daadwerkelijk stopt

Hardwarebeveiligingssleutels (FIDO2 / WebAuthn)

Dit is de enige categorie verdediging die by design phishingbestendig is. Wanneer u inlogt met een FIDO2-sleutel, verifieert uw sleutel cryptografisch het exacte domein van de site die om authenticatie vraagt. Een nepssite — hoe visueel perfect ook — heeft een ander domein, dus de sleutel weigert te reageren. De cryptografische handshake wordt simpelweg niet voltooid.

Google heeft in 2017 fameus YubiKeys verplicht gesteld voor alle 85.000+ medewerkers en rapporteerde in de jaren daarna nul succesvolle phishingaanvallen op bedrijfsaccounts.

Passkeys

Passkeys zijn de consumentvriendelijke evolutie van FIDO2. Ze maken gebruik van dezelfde domeingebonden cryptografie en zijn ingebouwd in iOS, Android, macOS en Windows. Als een site die u gebruikt passkeys ondersteunt, maakt het inschakelen ervan dat account phishingbestendig.

Wachtwoordbeheerders

Een wachtwoordbeheerder is uw tweede verdedigingslinie, omdat hij inloggegevens alleen automatisch invult op het exacte domein waar ze zijn opgeslagen. Als u op paypaI.com (hoofdletter I) terechtkomt in plaats van paypal.com, weigert uw beheerder stilzwijgend het formulier in te vullen. Die weigering is een duidelijke waarschuwing dat er iets mis is.

E-mail- en DNS-filtering

E-mailproviders gebruiken DMARC, SPF en DKIM om vervalste afzenderadressen te detecteren. De meeste moderne providers onderscheppen de voor de hand liggende pogingen, maar gerichte aanvallen glippen er nog steeds doorheen. Schakel de knoppen "Phishing melden" in uw e-mailclient in, zodat u bijdraagt aan het verbeteren van de filters.

Waarschuwingssignalen om op te letten

Wanneer u een bericht ontvangt waarin u wordt gevraagd in te loggen, iets te verifiëren of dringend te handelen:

  • Urgentie en bedreigingen — "Uw account wordt over 24 uur gesloten"
  • Generieke begroetingen — "Geachte klant" in plaats van uw naam
  • Look-alike domeinenpaypaI.com, app1e.com, secure-microsoft-login.net
  • Onverwachte bijlagen — met name .zip-, .html- of .pdf-bestanden die u vragen in te loggen om ze te bekijken
  • Grammatica- of opmaakfouten — grote bedrijven lezen hun e-mails na
  • Niet-overeenkomende link — beweeg de muisaanwijzer over de link en controleer of de bestemming overeenkomt met de tekst

Als iets niet klopt, sluit dan de e-mail. Navigeer handmatig naar de site. Als er een echt probleem is, ziet u dat wanneer u inlogt via uw normale werkwijze.

Wat te doen als u erin getrapt bent

Handel snel — snelheid is belangrijk omdat aanvallers inloggegevens binnen enkele minuten beginnen te gebruiken.

  1. Wijzig het wachtwoord onmiddellijk via een ander apparaat (uw telefoon, bijvoorbeeld, als u erin trapte op uw laptop)
  2. Herroep alle actieve sessies in de accountinstellingen — dit verwijdert iedereen die momenteel gebruikmaakt van gestolen sessietokens
  3. Schakel 2FA in als dat nog niet het geval was, en gebruik een hardwaresleutel of passkey indien mogelijk
  4. Controleer op ongeautoriseerde activiteit — verzonden e-mails, recente aanmeldingen, factureringswijzigingen, nieuwe doorstuurregels
  5. Stel de betrokken instelling op de hoogte als het een financieel of werkaccount betreft
  6. Controleer andere accounts die hetzelfde wachtwoord gebruikten — zelfs als u zeker weet dat u wachtwoorden niet hergebruikt, controleer het toch

De conclusie

Phishing gedijt omdat het technologie omzeilt en mensen als doelwit heeft. De beste verdediging combineert drie lagen: wachtwoordbeheerders (weigeren in te vullen op verkeerde domeinen), phishingbestendige 2FA (hardwaresleutels of passkeys die gebonden zijn aan het echte domein), en gezond scepticisme (log nooit in via een e-maillink).

Schakel alle drie in op uw belangrijkste account — uw e-mail — als eerste stap. Daarna wordt de rest van uw digitale leven aanzienlijk veiliger.

Hoe u zichzelf beschermt tegen phishing

Een praktische, geordende checklist om uw accounts te beveiligen tegen phishingaanvallen.

  1. Gebruik een wachtwoordbeheerder:Installeer een betrouwbare wachtwoordbeheerder (1Password, Bitwarden, Proton Pass) en laat deze inloggegevens automatisch invullen. Hij weigert in te vullen op look-alike domeinen, wat hem tot een ingebouwde phishingdetector maakt.
  2. Schakel phishingbestendige 2FA in:Voeg een FIDO2-hardwaresleutel (YubiKey, Google Titan) of passkey toe aan uw belangrijkste accounts — eerst e-mail, dan bankieren, cloudopslag en wachtwoordbeheerder. Dit zijn de enige 2FA-methoden die moderne phishing daadwerkelijk tegenhouden.
  3. Log nooit in via e-maillinks:Wanneer u een e-mail ontvangt waarin u wordt gevraagd in te loggen, sluit dan de e-mail en navigeer handmatig naar de site via een bladwijzer of door de URL in te typen. De link in de e-mail kan een perfecte kloon zijn; de bladwijzer in uw browser is dat niet.
  4. Controleer het exacte domein voordat u iets typt:Bekijk voordat u een wachtwoord invoert de volledige URL in de adresbalk. Let op https, de juiste spelling en de afwezigheid van extra subdomeinen zoals paypal.com.secure-login.net.
  5. Meld het en ga verder:Meld de phishingpoging bij uw e-mailprovider (de meeste hebben een knop "Phishing melden"). Ga daarna gewoon verder met uw dag — phishing is alleen gevaarlijk als u erin trapt, en bewustzijn is het halve werk.

Veelgestelde Vragen

Gerelateerde artikelen

Wat is 2FA?

Privacy-checklist

Wat is versleutelde e-mail?