26 maart 2026 • Phishing
Phishing is een vorm van digitale fraude waarbij cybercriminelen zich voordoen als iemand anders. Denk bijvoorbeeld aan een belangrijke instantie of een bekend persoon. Via e-mails, WhatsApp-berichten of sms’jes die urgent klinken, word je gevraagd om informatie te verstrekken, zoals persoonlijke of bankgegevens.
Het herkennen van deze aanvallen is cruciaal voor organisaties. In de praktijk maken veel bedrijven gebruik van phishing-simulaties om hun medewerkers te leren deze bedreigingen te herkennen.
Hieronder leggen we 10 soorten phishingaanvallen uit, samen met tips om ze te voorkomen.
10 soorten phishingaanvallen
1. Spray phishing
Bij spray phishing versturen cybercriminelen standaard berichten naar een groot aantal mensen binnen een spray phishing campagne. Dit zijn soms tienduizenden e-mails of sms-berichten tegelijk. Ze werpen als het ware een breed net uit, in de hoop dat sommige mensen in de e-mail trappen. Meestal gaat het om een e-mail van een bestaand bedrijf dat vraagt om een wachtwoord te updaten of creditcardgegevens te vernieuwen.
2. Email phishing
Het versturen van e-mails is een van de meest voorkomende vormen van phishing. Deze e-mails zijn zo ontworpen dat ze afkomstig lijken van een betrouwbare bron. Meestal word je in deze e-mails gevraagd om een formulier in te vullen of om op de e-mail te reageren. Zo verkrijgen cybercriminelen persoonlijke informatie.
Een vorm van email phishing is clone phishing, waarbij een legitieme e-mail wordt gekopieerd en de links en bestanden worden vervangen door kwaadaardige alternatieven. Dit kan bijvoorbeeld een factuurbestand zijn, een link die een virus bevat, of een link die je naar een website stuurt om je persoonlijke gegevens in te voeren.
3. Mobile phishing
Mobile phishing staat ook bekend als smishing of sms phishing. Je ontvangt een bericht van de dader met de urgentie om actie te ondernemen. Denk aan het bellen van een telefoonnummer of het klikken op een link naar een website. Vaak wordt er om persoonlijke informatie gevraagd, zoals wachtwoorden of creditcardgegevens.
De andere vorm van mobile phishing is phone phishing of vishing. Bij deze vorm van phishing ontvang je geen bericht, maar word je gebeld. De aanvallers doen zich voor als je bank, de politie of andere bedrijven of instanties. Ze proberen je bang te maken om je aan te zetten tot actie, vaak het overmaken van geld.
4. Ambulance chasing
Bij dit soort phishingaanvallen spelen cybercriminelen in op de actualiteit. Denk aan het vragen om donaties voor hulpfondsen, natuurrampen of oorlogen. De daders kunnen persoonlijke gegevens verzamelen en geld van de slachtoffers afhandig maken.
5. Account verlopen/wachtwoord wijzigen
Je ontvangt een bericht via e-mail of via je mobiel met het verzoek om je wachtwoord te resetten. Deze berichten lijken vaak van een betrouwbare bron te komen en zijn soms moeilijk te onderscheiden van echte berichten. Denk bijvoorbeeld aan een bericht van je bank. Als je het wachtwoord via een link in die e-mail hebt gewijzigd, heeft de dader de benodigde informatie om in te loggen op je bankrekening.
6. Whaling phishing
Bij deze phishingaanval, ook bekend als business e-mail compromise, richten cybercriminelen zich op de 'big whales', oftewel medewerkers met een hoge positie binnen een organisatie. Vaak doen ze zich voor als een senior medewerker binnen de organisatie om geloofwaardig toegang te krijgen tot financiële informatie of bedrijfsplatforms.
7. Wifi twin
Een WiFi twin is een WiFi netwerk dat het adres van een ander netwerk kopieert. Iedereen die ermee verbindt, wordt ook blootgesteld aan hackers. Op die manier krijgen ze toegang tot wachtwoorden en andere informatie. Dit type phishingaanval wordt vaak uitgevoerd in openbare ruimtes zoals winkelcentra, cafés en luchthavens. Het is dus niet altijd een goed idee om verbinding te maken met een openbaar Wi-Fi netwerk.
8. Spear phishing
Spear phishing is een zeer persoonlijke phishing aanval. Dit komt doordat de aanvaller zich voordoet als een persoon die het doelwit goed kent. Het doelwit wordt hiervoor grondig onderzocht, waardoor de aanval zeer persoonlijk aanvoelt. Het doel hiervan is om toegang te krijgen tot gevoelige informatie om het doelwit uit te buiten.
9. Pretexting
Dit type phishingaanval is zeer effectief, omdat het een gevoel van legitimiteit geeft. De slachtoffers ontvangen in eerste instantie een bericht via een ander kanaal dan e-mail om hen te laten weten dat ze binnenkort een e-mail zullen ontvangen. Ze doen zich bijvoorbeeld voor als een leverancier en geven aan dat het slachtoffer binnenkort een offerte per e-mail ontvangt. Dit telefonische contact wordt dan ook vermeld in de uiteindelijke e-mail, waardoor het betrouwbaarder lijkt.
10. Man-in-the-Middle
Tot slot bespreken we een vrij gecompliceerde vorm van phishing: man-in-the-middle. De cybercrimineel onderschept de e-mails tussen twee personen. De crimineel stuurt deze e-mails vervolgens terug naar deze twee personen, die dan denken dat de e-mails van elkaar afkomstig zijn. Dit vergroot het vertrouwen in de e-mails, waardoor de crimineel om privégegevens en andere informatie kan vragen.
Tips om soorten phishingaanvallen te voorkomen
1. training van medewerkers
Door je personeel te leren phishingtechnieken en de psychologische drijfveren erachter te herkennen, kun je een groot aantal aanvallen voorkomen. Medewerkers leren afzenders te controleren, niet zomaar op links te klikken of bestanden te downloaden, en berichten kritisch te beoordelen. Belangrijke waarschuwingssignalen zijn onder meer:
- Algemene aanhef: phishing-mails zijn vaak niet persoonlijk.
- Onverwachte links of bijlagen: vooral als je er niet om gevraagd hebt.
- Grammatica- en spelfouten: vaak een teken van kwaadwilligheid.
- Druk of haast: aanvallers proberen je tot overhaaste beslissingen te dwingen.
2. Klik niet overal op
Klik nooit op links zonder de bron te controleren, ook al lijkt het bericht betrouwbaar. Ga in plaats daarvan zelf naar de officiële website of bekijk de link door er met je muis overheen te gaan. Kleine verschillen in domeinnamen zijn een veelgebruikte phishing-tactiek.
3. Controleer op HTTPS
Vooral als je wordt gevraagd om gevoelige gegevens in te voeren, moet je controleren of de URL begint met HTTPS in plaats van HTTP. Die extra S is geen garantie dat het een veilige website is, maar zo’n site is wel beter beveiligd tegen hackers dan een HTTP-site. (Vertrouw dus niet alleen op HTTPS)
4. Meldingen aanmoedigen
Zorg voor een cultuur waarin medewerkers zich op hun gemak voelen om verdachte e-mails te melden. Hoe sneller een phishingpoging wordt gemeld, hoe sneller er maatregelen kunnen worden genomen om de rest van de organisatie te beschermen.
4. Gebruik Guardey
Om je organisatie effectief tegen phishingaanvallen te beschermen, is bewustwording alleen niet genoeg. Medewerkers moeten praktijksituaties meemaken en leren hoe ze daarop moeten reageren.
Met een phishing simulatie kun je op een veilige manier echte aanvallen nabootsen en medewerkers trainen om bedreigingen in de praktijk te herkennen en te melden. Dit vermindert het risico op succesvolle phishingpogingen aanzienlijk.
Bovendien helpt Guardey organisaties hun security awareness continu te verbeteren door middel van interactieve training en real-time inzichten. Zo train je medewerkers niet slechts één keer, maar bouw je aan een langetermijn securitycultuur binnen je organisatie.