Ga naar hoofdinhoud

Hoe u uzelf kunt beschermen tegen phishing-aanvallen

Phishing blijft de #1 manier waarop accounts worden gestolen. Leer hoe moderne phishing werkt, op welke waarschuwingssignalen u moet letten, en praktische verdedigingen die aanvallen daadwerkelijk stoppen.

2026-04-14

TL;DR

  • Phishing is de #1 oorzaak van account-overnames — aanvallers misleiden u om inloggegevens op een nepsite in te voeren.
  • Moderne phishing-kits klonen inlogpagina's pixelperfect en versturen uw 2FA-codes in realtime door.
  • Hardware-beveiligingssleutels (YubiKey, FIDO2) zijn de enige verdediging die standaard phishing-bestendig is.
  • Wachtwoordbeheerders beschermen u door te weigeren automatisch in te vullen op het verkeerde domein.
  • Controleer het exacte domein voordat u inloggegevens invoert, en log nooit in via een link in een e-mail.

Wat is phishing?

Phishing is een social engineering-aanval waarbij een aanvaller een overtuigende kopie van een legitieme website maakt — vaak pixelperfect — en een slachtoffer misleidt om daar inloggegevens in te voeren. Op het moment dat het slachtoffer het formulier verzendt, legt de aanvaller de gebruikersnaam, het wachtwoord en eventuele tweede factor vast, en gebruikt deze vervolgens om binnen seconden het echte account over te nemen.

Het woord komt van de metafoor van "vissen" naar slachtoffers met aas (meestal een e-mail). De spelling veranderde om te benadrukken dat aanvallers vaak telefoonnummers (SMS phishing, of "smishing") en professioneel ogende infrastructuur gebruiken.

Waarom phishing nog steeds de #1 bedreiging is

De meeste grootschalige account-inbreuken van vandaag de dag hebben geen betrekking op hacken, het kraken van wachtwoorden of het omzeilen van versleuteling. Ze hebben betrekking op een mens die een wachtwoord op een nepsite intypt. Phishing is:

  • Goedkoop — een aanvaller kan miljoenen e-mails versturen voor de kosten van een VPS en een vervalst domein
  • Moeilijk te filteren — moderne kits roteren domeinen, gebruiken legitieme hosting, en passen zich in realtime aan filters aan
  • Effectief — zelfs beveiligingsbewuste gebruikers vallen voor goed vervaardigde gerichte pogingen (spear phishing)
  • Schaalbaar — een enkele succesvolle phish levert vaak toegang op tot tientallen verbonden services door wachtwoord hergebruik

Het 2024 Verizon Data Breach Investigations Report vond dat phishing de initiële toegangsroute was in meer dan 36% van alle inbreuken — meer dan elke andere enkele oorzaak.

Hoe moderne phishing werkt

Phishing is ver geëvolueerd voorbij de "Nigeriaanse prins" e-mails van de jaren 2000. Een moderne phishing-aanval omvat meestal:

1. Een overtuigend lokmiddel

Meestal een e-mail, tekst of chatbericht dat urgentie creëert ("Uw account wordt opgeschort"), autoriteit ("Microsoft beveiligingsteam"), of nieuwsgierigheid ("Iemand heeft u getagd in een foto"). Spear-phishing gaat hier verder mee met persoonlijke details uit LinkedIn, inbreek-dumps, of eerdere correspondentie.

2. Een pixelperfecte nepsite

Aanvallers gebruiken kant-en-klare phishing-kits die de HTML, CSS en JavaScript van de doelsite klonen. Veel kits worden verkocht als service (phishing-as-a-service), met werkende dashboards en klantenondersteuning.

3. Een realtime proxy voor 2FA

Het gevaarlijke deel: moderne kits leggen niet alleen uw wachtwoord vast. Ze fungeren als een man-in-the-middle proxy die alles wat u typt — inclusief uw TOTP-code — binnen seconden naar de echte site doorstuurt, waardoor de meeste 2FA wordt omzeild. Deze techniek wordt adversary-in-the-middle (AiTM) genoemd en wordt gebruikt in tools zoals Evilginx2 en Modlishka.

4. Sessie token-diefstal

Zodra u via de proxy authentiseert, legt de aanvaller uw sessie cookie vast en kan deze gebruiken om ingelogd te blijven zelfs nadat u uw wachtwoord wijzigt. Daarom omvat phishing-respons altijd het intrekken van actieve sessies, niet alleen wachtwoordrotatie.

Wat phishing daadwerkelijk stopt

Hardware-beveiligingssleutels (FIDO2 / WebAuthn)

Dit is de enige categorie verdediging die standaard phishing-bestendig is. Wanneer u inlogt met een FIDO2-sleutel, verifieert uw sleutel cryptografisch het exacte domein van de site die authenticatie vraagt. Een nepsite — hoe visueel perfect ook — heeft een ander domein, dus de sleutel weigert te reageren. De cryptografische handdruk wordt simpelweg niet voltooid.

Google verplichtte beroemd YubiKeys voor alle 85.000+ werknemers in 2017 en rapporteerde nul succesvolle phishing-aanvallen op bedrijfsaccounts in de jaren sindsdien.

Passkeys

Passkeys zijn de consumentvriendelijke evolutie van FIDO2. Ze gebruiken dezelfde domein-gebonden cryptografie en zijn ingebouwd in iOS, Android, macOS en Windows. Als een site die u gebruikt passkeys ondersteunt, maakt het inschakelen ervan dat account phishing-bestendig.

Wachtwoordbeheerders

Een wachtwoordbeheerder is uw tweede verdedigingslinie omdat deze alleen inloggegevens automatisch invult op het exacte domein waar ze werden opgeslagen. Als u op paypaI.com (hoofdletter I) in plaats van paypal.com terechtkomt, weigert uw beheerder stilletjes het formulier in te vullen. Die weigering is een luide waarschuwing dat er iets mis is.

E-mail en DNS-filtering

E-mailproviders gebruiken DMARC, SPF en DKIM om vervalste afzenderadressen te detecteren. De meeste moderne providers vangen de voor de hand liggende pogingen op, maar gerichte aanvallen glippen nog steeds door. Schakel "rapporteer phishing" knoppen in uw mail-client in zodat u de filters helpt verbeteren.

Waarschuwingssignalen om op te letten

Wanneer u een bericht ontvangt dat u vraagt in te loggen, te verifiëren of urgent te handelen:

  • Urgentie en bedreigingen — "Uw account wordt binnen 24 uur gesloten"
  • Generieke begroetingen — "Beste klant" in plaats van uw naam
  • Look-alike domeinenpaypaI.com, app1e.com, secure-microsoft-login.net
  • Onverwachte bijlagen — vooral .zip, .html of .pdf bestanden die u vragen in te loggen om ze te bekijken
  • Grammatica- of opmaakfouten — grote bedrijven controleren hun e-mails
  • Link mismatch — hover over de link en controleer of de bestemming overeenkomt met de tekst

Als iets vreemd aanvoelt, sluit de e-mail. Navigeer handmatig naar de site. Als er een echt probleem is, zult u het zien wanneer u inlogt via uw normale workflow.

Wat te doen als u ervoor bent gevallen

Handel snel — snelheid is belangrijk omdat aanvallers binnen minuten inloggegevens gaan gebruiken.

  1. Wijzig het wachtwoord onmiddellijk op een ander apparaat (uw telefoon bijvoorbeeld, als u ervoor viel op uw laptop)
  2. Trek alle actieve sessies in in de accountinstellingen — dit schopt iedereen eruit die momenteel gestolen sessie tokens gebruikt
  3. Schakel 2FA in als het er nog niet op stond, en gebruik een hardware-sleutel of passkey indien mogelijk
  4. Controleer op ongeautoriseerde activiteit — verzonden e-mails, recente logins, factureringswijzigingen, nieuwe doorstuurregels
  5. Informeer de getroffen instelling als het een financieel of werkaccount is
  6. Controleer andere accounts die hetzelfde wachtwoord gebruikten — zelfs als u zeker weet dat u geen wachtwoorden hergebruikt, controleer het

De essentie

Phishing gedijt omdat het technologie omzeilt en mensen als doelwit heeft. De beste verdedigingen mengen drie lagen: wachtwoordbeheerders (weigeren automatisch in te vullen op verkeerde domeinen), phishing-bestendige 2FA (hardware-sleutels of passkeys die binden aan het echte domein), en gezond scepticisme (nooit inloggen via een e-mail link).

Schakel alle drie eerst in op uw belangrijkste account — uw e-mail. Vanaf daar wordt de rest van uw digitale leven aanzienlijk veiliger.

Hoe u uzelf kunt beschermen tegen phishing

Een praktische, geordende checklist om uw accounts te verstevigen tegen phishing-aanvallen.

  1. Gebruik een wachtwoordbeheerder:Installeer een gerenommeerde wachtwoordbeheerder (1Password, Bitwarden, Proton Pass) en laat deze inloggegevens automatisch invullen. Het zal weigeren automatisch in te vullen op look-alike domeinen, waardoor u een ingebouwde phishing-detector krijgt.
  2. Schakel phishing-bestendige 2FA in:Voeg een FIDO2 hardware-sleutel (YubiKey, Google Titan) of passkey toe aan uw belangrijkste accounts — e-mail eerst, dan bankieren, cloudopslag, en wachtwoordbeheerder. Dit zijn de enige 2FA-methoden die moderne phishing daadwerkelijk stoppen.
  3. Log nooit in via e-mail links:Wanneer u een e-mail krijgt die u vraagt in te loggen, sluit de e-mail en navigeer handmatig naar de site via een bladwijzer of door de URL te typen. De link in de e-mail kan een perfecte kloon zijn; de bladwijzer in uw browser niet.
  4. Controleer het exacte domein voordat u typt:Voordat u een wachtwoord invoert, kijk naar de volledige URL in de adresbalk. Let op https, de juiste spelling, en geen extra subdomeinen zoals paypal.com.secure-login.net.
  5. Rapporteer en ga verder:Rapporteer de phishing-poging aan uw e-mailprovider (de meeste hebben een "Rapporteer phishing" knop). Ga dan verder met uw dag — phishing is alleen gevaarlijk als u ervoor valt, en bewustzijn is het grootste deel van de strijd.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email