Wat is een phishing-e-mail?

Leer wat een phishing-e-mail is en hoe je jezelf kunt beschermen tegen dit soort online fraude.

Definitie van phishing-e-mails

Phishing is een type online oplichting waarbij criminelen proberen mensen te misleiden om gevoelige informatie, zoals wachtwoorden, creditcardnummers en persoonlijke gegevens, prijs te geven. Om dit te bereiken, doet een crimineel zich voor als een vertrouwde persoon of bedrijf, zoals een bank, overheidsinstantie of populaire website.

Een phishing-e-mail is een frauduleus bericht dat is ontworpen om authentiek te lijken. Het vraagt meestal om op een link te klikken, een bijlage te downloaden of persoonlijke gegevens te verstrekken in een poging waardevolle informatie te stelen. Deze e-mails creëren vaak een gevoel van urgentie—bijvoorbeeld door te waarschuwen dat je account in gevaar is of een tijdgevoelige beloning aan te bieden—om je onder druk te zetten snel te handelen.

Belangrijke punten

Phishing-e-mails zijn ontworpen om persoonlijke informatie te stelen door te doen alsof ze van legitieme bronnen komen.
Veelvoorkomende signalen van phishing-e-mails zijn verdachte afzenders, dringende verzoeken, algemene begroetingen, onverwachte bijlagen en verzoeken om gevoelige informatie.
Als je in contact komt met een phishing-e-mail, handel dan snel door wachtwoorden te wijzigen, relevante partijen te informeren en de e-mail te rapporteren.
Voorkom phishing-aanvallen door alert te blijven, sterke beveiligingspraktijken te gebruiken en software up-to-date te houden met antivirusbescherming en e-mailfilters.
Help phishing te detecteren en te voorkomen met AI-gestuurde filtering, realtime dreigingsdetectie en multifactor-authenticatietools van Microsoft Beveiliging.

Waarom het belangrijk is om phishing-e-mails te begrijpen

De wereld is digitaler dan ooit, en phishing-e-mails zijn een van de grootste online bedreigingen. Cybercriminelen sturen elke dag miljoenen phishing-e-mails die gericht zijn op individuen, bedrijven en zelfs overheidsinstanties. Vallen voor een cyberaanval, zoals een phishing-e-mail, kan leiden tot gestolen identiteiten, financieel verlies en gehackte accounts. Op werkplekken kan één verkeerde klik hele netwerken in gevaar brengen, wat leidt tot gegevensschendingen en kostbare schade.

Het herkennen van phishing-e-mails is een belangrijke vaardigheid om jezelf en je informatie te beschermen. Aanvallers worden beter in het laten lijken van hun oplichting, maar het kennen van de waarschuwingssignalen kan je helpen ze te vermijden.

Het begrijpen van phishing helpt niet alleen jou, het helpt ook om je werkplek, familie en vrienden veilig te houden. Hoe meer mensen deze oplichtingen kunnen herkennen, hoe moeilijker het wordt voor cybercriminelen om succesvol te zijn.

De evolutie van phishing-e-mails

Phishing begon in de jaren '90, toen oplichters mensen misleidden om hun AOL-wachtwoorden te onthullen. Naarmate het internet groeide, werden phishing-aanvallen geavanceerder. Criminelen begonnen de uitstraling en het gevoel van echte websites na te maken om inloggegevens te stelen. In de loop der tijd breidde phishing zich uit van e-mail naar sms-berichten (smishing) en telefoongesprekken (vishing). Tegenwoordig gebruiken aanvallers AI-gegenereerde berichten en sociale-engineeringtechnieken om hun oplichtingen nog overtuigender te maken.

Ondanks vooruitgangen in cyberbeveiliging, blijft phishing een van de meest voorkomende online bedreigingen. Het herkennen van phishing-e-mails is een belangrijke vaardigheid om online veilig te blijven.

Hoe phishing-e-mails werken

Phishing-e-mails zijn ontworpen om eruit te zien als berichten van bedrijven en mensen die je vertrouwt. Het doel is om je te misleiden tot het ondernemen van een bepaalde actie door middel van bedrog en psychologische trucs.

Cybercriminelen ontwerpen phishing-e-mails zorgvuldig om echt te lijken door:

Legitieme merken na te bootsen. Je kunt officiële logo's, vergelijkbare e-mailadressen en professioneel ogende ontwerpen zien.
Persoonlijke gegevens te gebruiken. Sommige oplichtingen bevatten je naam, e-mail of andere informatie om het bericht authentieker te laten lijken.
Neplinks in te voegen. De e-mail kan links bevatten die echt lijken, maar eigenlijk leiden naar nepwebsites die zijn gebouwd om je informatie te stelen.
Kwaadaardige bijlagen toe te voegen. Sommige phishing-e-mails bevatten bestanden die ransomware of andere soorten malware installeren als ze worden geopend.

Psychologische trucs die in phishing-e-mails worden gebruikt

Phishing-e-mails maken gebruik van de emoties van mensen om de kans op een succesvolle oplichting te vergroten. Veelvoorkomende tactieken zijn:

Urgentie. Er wordt bijvoorbeeld gedreigd om je account te vergrendelen, tenzij je een bepaalde actie onderneemt.
Angst. Bijvoorbeeld door je te vertellen dat je account is gecompromitteerd.
Nieuwsgierigheid. Bijvoorbeeld door je een ontvangst of factuur sturen voor iets dat je niet hebt gekocht.
Financiële prikkel. Bijvoorbeeld door te zeggen dat je een prijs of cadeaubon hebt gewonnen.
Autoriteit. Bijvoorbeeld door te doen alsof je iemand van de IT-afdeling van je werk bent.

Hoe een phishing-e-mail te identificeren

Phishing-e-mails kunnen overtuigend zijn, maar ze hebben vaak duidelijke signalen. Hier is waar je op moet letten:

Verdachte koppelingen. Beweeg met je muis over links (zonder te klikken) om te zien waar ze echt naartoe leiden. Phishinglinks bevatten soms spelfouten, extra tekens of onbekende domeinen—bijvoorbeeld, "micros0ft-support.com" in plaats van "microsoft.com." Als een link vreemd lijkt, klik er dan niet op.
Onverwachte bijlagen. Wees altijd voorzichtig met e-mailbijlagen, vooral als ze je vragen om macro's in te schakelen of software te installeren. Legitieme bedrijven sturen zelden bijlagen die je niet hebt aangevraagd.
Urgente of bedreigende taal. Formuleringen die zeggen dat je onmiddellijk moet handelen of anders je account wordt opgeschort, zetten je onder druk om uit angst te handelen. Oplichters vertrouwen op paniek om snelle reacties te krijgen.
Aanvragen voor persoonlijke of financiële gegevens. Geen enkel legitiem bedrijf zal je vragen om wachtwoorden, creditcardnummers of burgerservicenummers via e-mail te verstrekken. Als je twijfelt, neem dan rechtstreeks contact op met het bedrijf via officiële kanalen, niet door op iets in de e-mail te klikken.
Algemene begroetingen en gebrek aan persoonlijke instellingen. Phishing-e-mails gebruiken soms algemene aanhef, zoals 'Beste klant' of 'Beste gebruiker' in plaats van je bij naam te noemen. Echte bedrijven personaliseren hun e-mails meestal.
Slechte grammatica en spelfouten. Veel phishing-e-mails bevatten onhandige formuleringen, typefouten of ongebruikelijke bewoording. Professionele organisaties proeflezen hun e-mails, dus dit soort fouten kan een waarschuwingssignaal zijn.
Adressen van afzenders komen niet overeen. Controleer het e-mailadres van de afzender goed. Oplichters gebruiken adressen die lijken op echte, maar kleine verschillen hebben, zoals 'support@micr0soft.com' in plaats van 'support@microsoft.com'.

Vijf voorbeelden van phishing-e-mails

Bekijk deze voorbeelden van veelvoorkomende phishing-e-mail scams om beter te begrijpen hoe ze eruitzien.

1. Valse beveiligingswaarschuwing

Onderwerpregel: Ongebruikelijke aanmeldpoging gedetecteerd—Actie vereist!

Een phishing-e-mail die zich voordoet als afkomstig van een bekende dienst, zoals je bank of e-mailprovider, waarschuwt dat iemand heeft geprobeerd toegang te krijgen tot je account. Het bevat een link om je account "te beveiligen", maar de link leidt naar een nep-inlogpagina die is ontworpen om je inloggegevens te stelen.

Waarschuwingssignalen:

De e-mail vermeldt niet waar de aanmeldpoging heeft plaatsgevonden (geen locatie- of apparaatgegevens).
De "link om je account te beveiligen" leidt naar een domein dat iets afwijkt van de echte website van het bedrijf.
Het e-mailadres van de afzender is iets als 'security-alerts@accounts-support.com' in plaats van het officiële domein van het bedrijf.

2. Nepfactuur of betalingsverzoek

Onderwerp: Factuur #38491 Bijgevoegd—Betaling Onmiddellijk Verschuldigd

Dit type phishing-e-mail beweert dat je geld verschuldigd bent voor een dienst die je nooit hebt gebruikt. Het zet je onder druk om een bijgevoegde factuur te openen of op een link te klikken om de kosten te bekijken. De bijlage kan malware bevatten, of de link kan leiden naar een nep-betalingspagina.

Waarschuwingssignalen:

De e-mail is onverwacht. Legitieme bedrijven sturen geen verrassingsfacturen.
De factuur is in een verdachte indeling, zoals een .ZIP-bestand of een document dat je vraagt om macro's in te schakelen.
Er is geen duidelijke informatie over wie de factuur heeft verzonden, geen bedrijfsnaam of contactgegevens.

3. "Je hebt een prijs gewonnen!" scam

Onderwerp: Gefeliciteerd! Je bent geselecteerd voor een cadeaubon van USD 500

Deze phishing-e-mail zegt dat je een giveaway hebt gewonnen en dat je gewoon "je gegevens moet verifiëren" om de prijs te krijgen. Het vraagt om persoonlijke informatie of leidt je naar een formulier dat je gegevens steelt.

Waarschuwingssignalen:

Je hebt nooit deelgenomen aan een wedstrijd, waardoor de winst verdacht is.
De e-mail vraagt om persoonlijke gegevens, zoals je adres, telefoonnummer of creditcardinformatie.
Het e-mailadres van de afzender is een algemeen Gmail- of Yahoo-account in plaats van een bedrijfsdomein.

4. CEO-fraude (inbreuk op zakelijke e-mail)

Onderwerp: Snelle aanvraag: Je hebt zo snel mogelijk hulp nodig

Deze phishingpoging op de werkplek richt zich op werknemers van een bedrijf door zich voor te doen als hun baas, een senior executive of personeelszaken. De e-mail vraagt de ontvanger om cadeaubonnen te kopen, geld over te maken of gevoelige bedrijfsgegevens te verstrekken. Aanvallers vervalsen vaak het e-mailadres van een manager of gebruiken een vergelijkbaar adres met een klein verschil.

Waarschuwingssignalen:

De e-mail is dringend en vaag, zonder voorafgaande context.
Het e-mailadres van de afzender is iets anders dan dat van de echte executive (bijvoorbeeld 'ceo@companyname.co' in plaats van 'ceo@companyname.com').
De aanvraag is ongebruikelijk, de meeste bedrijven hebben formele processen voor financiële transacties.

5. Nepwachtwoordreset van de IT-afdeling

Onderwerp: IT-kennisgeving: je e-mailwachtwoord verloopt vandaag

Deze e-mail is zogenaamd van het IT-team van je bedrijf, waarin je wordt verteld dat je je wachtwoord onmiddellijk moet resetten. De gegeven link leidt naar een nep-inlogpagina die je inloggegevens steelt.

Waarschuwingssignalen:

De e-mail volgt niet de gebruikelijke communicatiestijl van je bedrijf op IT-gebied.
Het e-mailadres van de afzender is niet van het officiële bedrijfsdomein.
IT-ondersteuning vraagt werknemers meestal niet om wachtwoorden te resetten via e-maillinks. Bedrijven gebruiken meestal interne portals.

Wat te doen als je een phishing-e-mail ontvangt

Als je een phishing-e-mail ontvangt, raak dan niet in paniek, maar interacteer er ook niet mee. Volg deze stappen om jezelf en anderen te beschermen.

1. Klik niet op links of open geen bijlagen

Vermijd het klikken op links, het downloaden van bijlagen of het beantwoorden van de e-mail.
Zelfs als de e-mail overtuigend lijkt, kan interactie ermee leiden tot malware of gestolen informatie.

2. Verifieer de afzender

Controleer het e-mailadres van de afzender goed. Als iets vreemd lijkt, zoals een kleine spelfout of een onbekend domein, is het waarschijnlijk een oplichting.
Als de e-mail beweert van een bedrijf te zijn, ga dan rechtstreeks naar de officiële website van het bedrijf in plaats van gebruik te maken van de verstrekte links.

3. Rapporteer de phishing-e-mail

Als je de e-mail op je werk hebt ontvangen, stuur deze dan door naar je IT- of beveiligingsteam.
In de Verenigde Staten meld je phishing bij de Federal Trade Commission (FTC) of stuur je de e-mail door naar phishing-report@us-cert.gov.

4. Markeer de e-mail als spam en verwijder deze

Veel e-mailservices hebben een optie 'Phishing rapporteren' die helpt om spamfilters te verbeteren. Als je die optie niet ziet, rapporteer het dan als spam.
Als je e-mailprovider de e-mail niet automatisch naar je prullenbak verplaatst nadat je deze hebt gemeld, verwijder deze dan zodat je deze later niet per ongeluk opent.

Stappen die je moet nemen als je met een phishing-e-mail in aanraking bent gekomen

Zodra je met een phishing-e-mail hebt gecommuniceerd, of het nu door op een link te klikken, een bijlage te downloaden of persoonlijke informatie te verstrekken is, moet je snel handelen om de schade te beperken. Dit is wat je moet doen.

1. Let op wat je hebt gedeeld

Als je je wachtwoord, bankgegevens of persoonlijke informatie hebt ingevoerd, schrijf dan op wat je hebt gedeeld.
Dit helpt je te bepalen wat beveiligd moet worden en wie je moet informeren.

2. Verander onmiddellijk je wachtwoorden

Werk eventuele wachtwoorden bij die je mogelijk hebt gedeeld, vooral voor bank-, e-mail- of werkaccounts.
Als je hetzelfde wachtwoord voor andere sites gebruikt, wijzig het daar ook.
Gebruik sterke, unieke wachtwoorden en schakel multifactor-authenticatie in voor extra beveiliging.

3. Vertel de mensen die het moeten weten

Als de phishing-e-mail je werkaccount heeft gericht, waarschuw dan je IT- of beveiligingsteam.
Als je financiële gegevens hebt verstrekt, neem dan contact op met je bank of creditcardmaatschappij om transacties te controleren en je account indien nodig te bevriezen.
Laat vrienden, familie en collega's weten wat er is gebeurd als de oplichting hen zou kunnen beïnvloeden (bijvoorbeeld als de aanvallers je gecompromitteerde account zouden kunnen gebruiken om phishing-e-mails naar hen te sturen).

4. Rapporteer de phishingaanval

Als je geld hebt verloren of gevoelige gegevens zijn gestolen, meld de aanval dan bij de FTC.
Als er financiële fraude heeft plaatsgevonden, neem dan contact op met de lokale wetshandhaving.
Markeer het bericht als een phishingpoging of spam via je e-mailprovider om soortgelijke aanvallen te helpen blokkeren.

5. Verwacht vervolg phishingpogingen

Oplichters richten zich vaak opnieuw op slachtoffers met behulp van de gestolen gegevens om nieuwe phishing-e-mails, sms-berichten of telefoontjes te sturen.
Wees extra voorzichtig met berichten die beweren je te helpen je account te herstellen of die om meer persoonlijke informatie vragen.

Wat gebeurt er als je bent gephished?

Het slachtoffer worden van een phishingaanval kan ernstige gevolgen hebben die zowel individuen als organisaties beïnvloeden. Hier zijn enkele mogelijke gevolgen.

Identiteitsdiefstal

Phishers stelen persoonlijke informatie, zoals burgerservicenummers, adressen en geboortedata, om slachtoffers te imiteren. Dit kan leiden tot het openen van kredietrekeningen of het plegen van misdaden onder de naam van het slachtoffer.

Financieel verlies

Toegang tot privé financiële gegevens, zoals bankrekeninggegevens of creditcardnummers, kan leiden tot ongeautoriseerde transacties en aanzienlijke financiële verliezen. Bijvoorbeeld, een geavanceerde factuur phishing-oplichting die Google en Facebook tussen 2013 en 2015 heeft getroffen, leidde tot verliezen van USD 100 miljoen.

Gecompromitteerde gevoelige informatie

Phishingaanvallen kunnen vertrouwelijke gegevens blootstellen, waaronder bedrijfsgeheimen en persoonlijke communicatie. In 2021 leidde een phishing-e-mail tot de aanval op de Colonial Pipeline, die een grote verstoring van de brandstofvoorziening in de Verenigde Staten veroorzaakte.

Reputatieschade

Organisaties die door phishingaanvallen zijn getroffen, kunnen langdurige schade aan hun reputatie lijden. Klanten en partners kunnen het vertrouwen verliezen, vooral als hun gegevens zijn gecompromitteerd. Dit verlies van vertrouwen kan blijvende effecten hebben op zakelijke relaties, financiën en de publieke perceptie.

Voorkomen van een phishing e-mailaanval

Ook al kunnen phishing-e-mails overtuigend zijn, er zijn nog steeds manieren om jezelf te beschermen door alert te blijven en de beste praktijken voor e-mailbeveiliging te volgen.

Wees voorzichtig met alle e-mails die om betrokkenheid vragen

Analyseer e-mails altijd zorgvuldig voordat je op links klikt of bijlagen downloadt.
Stel jezelf deze vragen voordat je interactie hebt:
- Is deze e-mail logisch? Verwacht ik deze?
- Is het e-mailadres van de afzender correct?
- Zijn er dringende verzoeken of bedreigingen die me onder druk zetten om snel te handelen?
- Klinkt de grammatica en toon professioneel?
Als iets vreemd aanvoelt, verifieer dan de e-mail met de afzender via een vertrouwde contactmethode.

E-mailbeveiliging verbeteren

Gebruik e-mailfilters om bekende phishingberichten te blokkeren.
Markeer verdachte e-mails als spam om de filtering te verbeteren.
Klik nooit op links of download bijlagen van onbekende of onverwachte bronnen.

Houd je software en beveiligingstools up-to-date

Installeer antivirussoftware en zorg ervoor dat deze is bijgewerkt om phishingbedreigingen te helpen detecteren.
Schakel automatische updates in voor je besturingssysteem, webbrowsers en e-mailapps om beveiligingslekken te verhelpen.

Meervoudige verificatie gebruiken

Door multifactor-authenticatie in te schakelen voor je online accounts voeg je een extra beveiligingslaag toe door een tweede stap (zoals een code die naar je telefoon wordt gestuurd) te vereisen voordat je inlogt.
Zelfs als aanvallers je wachtwoord stelen, kunnen ze je account niet openen zonder de tweede factor.

Blijf een stap voor op phishing met Microsoft Beveiliging

Naarmate phishing-e-mails geavanceerder worden met AI-gegenereerde e-mails, sociale engineering en zelfs deepfake-technologie, gelukkig worden ook de Microsoft Beveiligingsoplossingen die ze detecteren en voorkomen.

Door bewustzijn te combineren met robuuste beveiligingstools, help je phishing-e-mails te ontwijken en je persoonlijke en zakelijke gegevens te beschermen.

INFORMATIEBRONNEN

Meer informatie over Microsoft Beveiliging

Een vrouw en een man die met een tabblad werken

Oplossing

Geïntegreerde beveiligingsbewerkingen mogelijk gemaakt met AI

Combineer je beveiligingsactiviteiten (SecOps) voor preventie, detectie en reactie met een AI-gestuurd platform.

Meer informatie

Krijg toegang tot het bedreigingsbeschermingsportaal

Begrijp hoe organisaties gebruikmaken van geïntegreerde uitgebreide detectie en respons (XDR) en beveiligingsinformatie en -evenementbeheer (SIEM) om veerkrachtiger te worden tegen aanvallen.