Cybersecurity Handboek Consumenten Niet Alles Met Een Link Is Echt Directe Maatregelen (15 Minuten) Waarom Dit Telt Het Pakketje Dat Nooit Kwam Wat Is Phishing Eigenlijk?

Phishing en Oplichting Herkennen

Q: Directe maatregelen (15 minuten) Voer direct basismaatregelen uit: MFA, wachtwoordmanager en updates. Gebruik veilige standaardinstellingen voor privacy, browser en apparaat. Leg een herstelplan vast voor accountverlies, oplichting of datalek. Waarom dit telt

De kern van Phishing en Oplichting Herkennen is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Niet Alles Met Een Link Is Echt

De meeste online problemen ontstaan door haast. De meeste bescherming ontstaat juist door korte, rustige controle.

In Phishing en Oplichting Herkennen zit de winst in routine: verifiëren via tweede kanaal en niet handelen onder digitale druk.

Het doel is niet perfectie, maar voorspelbaar veilig gedrag dat ook op drukke dagen overeind blijft.

Directe maatregelen (15 minuten)

Voer direct basismaatregelen uit: MFA, wachtwoordmanager en updates.
Gebruik veilige standaardinstellingen voor privacy, browser en apparaat.
Leg een herstelplan vast voor accountverlies, oplichting of datalek.

Waarom dit telt

De kern van Phishing en Oplichting Herkennen is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Het pakketje dat nooit kwam

In het najaar van 2021 ontving mevrouw De Vries uit Almere een sms’je. “Uw pakket is onderweg. Bevestig uw gegevens via deze link.” Ze verwachtte inderdaad een bestelling van Bol.com, dus ze tikte op het linkje. De website leek precies op die van PostNL. Ze vulde haar naam, adres en bankgegevens in. Twee uur later was er 4.800 euro van haar rekening verdwenen.

Mevrouw De Vries was niet dom. Ze was niet naief. Ze was gewoon een mens dat op het verkeerde moment het verkeerde berichtje kreeg. En dat is precies waar oplichters op rekenen.

Dat najaar werden er in Nederland meer dan 2,5 miljoen nepberichten verstuurd die zich voordeden als PostNL, DHL of UPS. De Fraudehelpdesk registreerde een recordaantal meldingen. Heel Nederland was aan het online shoppen, en de criminelen wisten dat. Timing is alles.

Dit hoofdstuk helpt je om die berichten te herkennen voordat je klikt. Want het kan iedereen overkomen – maar het hoeft niet.

Wat is phishing eigenlijk?

Phishing is digitaal vissen. Een oplichter gooit een aas uit – een e-mail, sms, WhatsApp-bericht of zelfs een QR-code – in de hoop dat jij hapt. Het aas ziet er uit als iets betrouwbaars: je bank, de overheid, een webwinkel, je baas. Maar achter dat aas zit een haak.

Het doel is bijna altijd hetzelfde: jouw gegevens bemachtigen. Inloggegevens, bankgegevens, burgerservicenummers, of gewoon genoeg informatie om zich als jou voor te doen.

De term komt van het Engelse “fishing” (vissen), maar dan met een ph omdat hackers in de jaren negentig nu eenmaal vonden dat dat er cooler uitzag. Dat zegt eigenlijk al genoeg over het soort mensen waar we mee te maken hebben.

De vijf herkenningspunten

Vrijwel elke phishingpoging verraadt zichzelf op een of meer van deze vijf manieren. Leer ze kennen en je bent al voor negentig procent beschermd.

1. Urgentie en dreiging

Wat ze zeggen	Wat ze bedoelen
“Uw account wordt binnen 24 uur geblokkeerd!”	“Klik snel, voordat je nadenkt.”
“Direct actie vereist!”	“We willen niet dat je dit aan iemand laat zien.”
“Laatste waarschuwing!”	“We hopen dat paniek je verstand uitschakelt.”
“U heeft een boete van de Belastingdienst.”	“Angst voor de overheid werkt altijd.”

Echte organisaties geven je altijd tijd. Je bank blokkeert je rekening niet via een sms’je met een deadline van twaalf uur. De Belastingdienst stuurt geen dreigbrieven via e-mail. Als een bericht je hart sneller doet kloppen, is dat precies de bedoeling van de afzender.

Vuistregel: Hoe groter de paniek die een bericht probeert te veroorzaken, hoe groter de kans dat het nep is.

2. Een vreemd afzenderadres

Het bericht lijkt van ING te komen, maar het e-mailadres is klantenservice@ing-verificatie-nl.com in plaats van @ing.nl. Of het sms’je komt van een gewoon mobiel nummer in plaats van “PostNL” als afzender.

Controleer altijd het daadwerkelijke adres. Op je telefoon moet je soms op de afzendernaam tikken om het echte adres te zien. Op je computer kun je met je muis over de afzendernaam bewegen.

Let op deze trucs: - Extra woorden in het domein: paypal-veiligheid.com in plaats van paypal.com - Andere extensie: rabobank.net in plaats van rabobank.nl - Kleine spelfouten: arnazon.com (met een r en een n die samen op een m lijken) - Vreemde tussenvoegsels: abnamro-login-check.nl

3. “Beste klant” in plaats van je naam

Je bank kent je naam. De Belastingdienst kent je naam. Bol.com kent je naam. Als een bericht begint met “Geachte klant”, “Beste gebruiker” of “Hallo” zonder verdere aanduiding, dan weet de afzender niet wie je bent. En dat is verdacht.

Dit is overigens niet onfeilbaar. Oplichters kopen regelmatig gelekte databases met namen en e-mailadressen, dus sommige phishingberichten spreken je gewoon bij naam aan. Maar een generieke aanhef is wel een extra rode vlag.

4. Verdachte links

Dit is de belangrijkste. Voordat je ergens op klikt: kijk waar de link naartoe gaat.

Op je computer: beweeg je muis over de link zonder te klikken. Linksonder in je browser verschijnt het echte adres.
Op je telefoon: houd de link lang ingedrukt (niet kort tikken!). Er verschijnt een voorvertoning van het adres.

Een link die zegt “Klik hier om in te loggen bij ING” maar verwijst naar http://87.234.12.9/inloggen/ is nep. Altijd. Geen discussie.

5. Onverwachte bijlagen

Een factuur die je niet verwacht. Een “belangrijk document” van een onbekende afzender. Een zipbestand van je “collega” met een vaag omschreven inhoud. Open het niet.

Bijlagen zijn een van de meest gebruikte manieren om schadelijke software op je apparaat te krijgen. Verwacht je geen bijlage? Bel de afzender op via een nummer dat je zelf opzoekt, niet via het nummer in het bericht.

QR-codes: de nieuwe truc

Je kent ze van restaurantmenu’s en parkeermeters. QR-codes zijn overal. En criminelen hebben dat ook door.

Quishing – ja, zo heet het echt – is phishing via QR-codes. Het werkt zo:

Je krijgt een brief, e-mail of zelfs een fysieke sticker ergens geplakt
Er staat een QR-code op met de tekst “Scan om uw gegevens te verifiaren” of “Scan voor korting”
De QR-code leidt naar een nepwebsite die eruitziet als je bank, de gemeente of een webwinkel
Je vult je gegevens in op die nepsite

Het gemene aan QR-codes is dat je niet kunt zien waar ze naartoe leiden voordat je ze scant. Bij een link in een e-mail kun je nog het adres controleren; bij een QR-code sta je meteen op de website.

Tip: Scan nooit zomaar een QR-code op straat, in een brief die je niet verwachtte, of in een e-mail. Als een organisatie wil dat je iets doet, log dan in via hun officiele website of app.

In 2023 plakten criminelen nepstickers over de echte QR-codes op parkeerautomaten in meerdere Nederlandse steden. Mensen die dachten te betalen voor parkeren, gaven hun bankgegevens weg aan oplichters. Controleer bij twijfel of een QR-sticker er origineel uitziet of ergens overheen geplakt is.

Soorten oplichting

Phishing is de paraplu, maar eronder hangen allerlei specifieke varianten. Hier de meest voorkomende in Nederland.

CEO-fraude

Je ontvangt een dringend bericht, ogenschijnlijk van je directeur of leidinggevende. “Ik zit in een vergadering en kan niet bellen. Kun je snel een betaling doen naar deze rekening? Het is vertrouwelijk.”

Dit overkomt niet alleen grote bedrijven. Ook mkb’ers en zzp’ers worden slachtoffer. De oplichters zoeken op LinkedIn wie waar werkt en wie de baas is. Dan sturen ze een e-mail die precies lijkt op die van de directeur.

Herkennen: Je baas vraagt nooit via e-mail om geheime spoedbetalingen. Bel altijd even terug op het nummer dat je al hebt, niet op een nummer uit het bericht.

WhatsApp-fraude (“Hoi mam”)

“Hoi mam, dit is mijn nieuwe nummer. Mijn telefoon is kapot. Kun je even 500 euro overmaken? Ik leg het later uit.”

Duizenden Nederlanders zijn hieringetrapt. Het bericht speelt in op de reflex van ouders om hun kind te helpen. De oplichters kopiaren soms zelfs de profielfoto van je kind van sociale media.

Herkennen: Bel altijd het oude nummer van degene die zegt een nieuw nummer te hebben. Stel een vraag die alleen je kind kan beantwoorden. Maak nooit geld over op basis van een berichtje.

Marktplaats-oplichting

De varianten zijn eindeloos: betaalverzoeken die naar een nepsite leiden, kopers die “alvast de koerier sturen” en je vragen om verzendkosten te betalen, verkopers die een product aanbieden dat ze niet hebben.

Herkennen: - Betaal nooit via een link in een chatbericht; gebruik de officiele betaalfunctie van het platform - Wees achterdochtig bij prijzen die te mooi zijn om waar te zijn - Controleer het profiel van de verkoper: hoelang actief, hoeveel advertenties, beoordelingen

Romance scams

Iemand benadert je op een datingsite of via sociale media. Na weken of maanden van intens contact – complimenten, toekomstplannen, soms zelfs een huwelijksbelofte – komt het verzoek: geld. Voor een vliegticket, een medische noodgeval, vastgelopen geld in het buitenland.

De bedragen lopen vaak in de tienduizenden euro’s omdat de oplichter eerst een emotionele band opbouwt. Slachtoffers schamen zich vaak en melden het niet.

Herkennen: Iemand die je nooit in het echt hebt ontmoet en om geld vraagt, is vrijwel altijd een oplichter. Doe een omgekeerde afbeeldingzoekopdracht op hun profielfoto (via Google Afbeeldingen) om te controleren of de foto van iemand anders is gestolen.

Wat te doen als je al hebt geklikt

Paniek is begrijpelijk maar niet nuttig. Volg deze stappen in volgorde.

Als je op een link hebt geklikt maar niets hebt ingevuld:

Sluit het tabblad of de browser
Wis je browsergeschiedenis en eventuele cookies van die website
Controleer je apparaat met een virusscanner
Houd je bankrekening de komende dagen in de gaten

Als je gegevens hebt ingevuld:

Was het je bankgegevens? Bel onmiddellijk je bank. Elk moment telt. De meeste banken hebben een 24-uursfraude-lijn:

Bank	Fraudenummer
ING	020 22 888 88
Rabobank	030 712 7128
ABN AMRO	0900 0024
SNS	030 633 3000
ASN	070 356 9356

Was het een wachtwoord? Wijzig dat wachtwoord onmiddellijk. Gebruik je dat wachtwoord ook ergens anders? Wijzig het overal.
Was het je DigiD? Bel de DigiD-helpdesk (088 154 44 00) en laat je account blokkeren.
Doe aangifte bij de politie via politie.nl of op het bureau.
Meld het bij de Fraudehelpdesk (088 786 2837 of fraudehelpdesk.nl).

Als je een bijlage hebt geopend:

Verbreek de internetverbinding van je apparaat (wifi uit, kabel eruit)
Schakel je apparaat niet uit – sommige malware activeert bij opnieuw opstarten
Laat je apparaat controleren door iemand met verstand van zaken
Wijzig wachtwoorden van belangrijke accounts vanaf een ander apparaat

Waar melden?

Melden helpt. Niet alleen jezelf, maar ook anderen. Hoe meer meldingen, hoe sneller nepwebsites offline gehaald worden en hoe beter de politie patronen kan herkennen.

Wat melden	Waar	Contact
Phishing-e-mail of -sms	Fraudehelpdesk	fraudehelpdesk.nl / 088 786 2837
Financiele schade	Je eigen bank	Via het fraudenummer (zie boven)
Aangifte van fraude	Politie	politie.nl of het bureau
Verdachte website	Meldpunt Internetcriminaliteit	mijnoverheid.nl
Phishingmail die uit naam van een bedrijf wordt verstuurd	Dat bedrijf zelf	Stuur door naar hun meldadres (bijv. valse-email@ing.nl)
Identiteitsfraude	Identiteitsfraude Centraal	088 001 12 34

Tip: Stuur verdachte e-mails door naar valse-email@fraudehelpdesk.nl. Zij analyseren de berichten en waarschuwen anderen.

De psychologie erachter

Oplichters zijn geen computergenieen. Het zijn psychologen. Ze begrijpen hoe mensen reageren op angst, tijdsdruk, autoriteit en hebzucht.

Angst: “Uw account is gehackt!” – je wilt het meteen oplossen.

Tijdsdruk: “Binnen 2 uur verloopt uw aanbod” – geen tijd om na te denken.

Autoriteit: “Dit is de Belastingdienst” – je durft niet te negeren.

Hebzucht: “U heeft een iPhone gewonnen!” – je wilt het geloven.

Behulpzaamheid: “Kun je me even helpen?” – je wilt aardig zijn.

Het beste verdedigingsmechanisme is simpel: pauzeer. Neem vijf seconden. Adem in. Vraag jezelf af: verwacht ik dit bericht? Klopt de afzender? Waarom de haast?

Die vijf seconden zijn het verschil tussen veiligheid en een lege bankrekening.

Doe dit vandaag

Knip deze lijst uit (figuurlijk) en loop hem door. Het kost je een halfuur en het beschermt je voor jaren.

Controleer je e-mail op ongelezen berichten die om actie vragen – bekijk ze met frisse ogen en de vijf herkenningspunten in gedachten
Stel bij je bank in dat je een melding krijgt bij elke betaling boven een bepaald bedrag
Sla het nummer van de fraudelijn van je bank op in je telefoon, zodat je het bij de hand hebt als het nodig is
Installeer een actuele virusscanner op je computer als je die nog niet hebt
Spreek met je gezin af: we maken nooit geld over op basis van een berichtje, we bellen altijd eerst
Sla het nummer van de Fraudehelpdesk (088 786 2837) op in je telefoon
Activeer de spamfilter van je e-mailprogramma als die nog niet aanstaat
Wees de komende week extra alert: nu je dit hebt gelezen, ga je phishingpogingen herkennen waar je ze eerder over het hoofd zag

Onthoud: Het is geen schande om erin te trappen. Het is mensenwerk. Maar hoe meer je weet, hoe moeilijker je het de oplichters maakt. En dat verdienen ze.

← Vorige Overzicht Volgende → Wachtwoorden en Inloggen

Verder lezen in de kennisbank

Deze artikelen in het portaal geven je meer achtergrond en praktische context:

Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.

Gerelateerde securitymaatregelen

Deze artikelen bieden aanvullende context en verdieping:

Op de hoogte blijven?

Ontvang maandelijks cybersecurity-inzichten in je inbox.

← Consumenten & Thuisgebruikers ← Home