Phishing herkennen: handleiding voor medewerkers

Leer phishing-mails, sms’en en telefoontjes herkennen. Met Belgische voorbeelden, 6 concrete red flags en een stappenplan voor je team.

Bijna 10 miljoen verdachte berichten stuurden Belgen in 2025 door naar verdacht@safeonweb.be. Dat zijn er 27.000 per dag. Uit die meldingen haalde het CCB 176.000 unieke kwaadaardige URL's en 40.000 valse domeinen. Phishing is geen randverschijnsel. Het is de toegangspoort voor het merendeel van alle cyberaanvallen.

Voor KMO's is phishing het grootste concrete risico. Niet omdat de techniek zo geavanceerd is, maar omdat het werkt. Eén medewerker die op de verkeerde link klikt, en een aanvaller heeft toegang tot je e-mail, je bestanden of je boekhoudsoftware.

Beknopt
  • Phishing is de meest voorkomende cyberaanval in België. In 2025 resulteerden meldingen in 200 miljoen automatische browserwaarschuwingen
  • Zes red flags: onverwacht bericht, urgentie, vreemd afzenderadres, vage aanspreking, verdachte link, vraag om gevoelige informatie
  • Niet alleen e-mail: smishing (sms) en vishing (telefoon) nemen snel toe
  • Verdachte berichten melden bij verdacht@safeonweb.be beschermt ook anderen

Zes red flags van een phishing-bericht

De meeste phishing-pogingen delen dezelfde kenmerken. Train je team om deze zes signalen te herkennen.

1. Het bericht komt onverwacht

Je verwacht geen pakketje, maar krijgt een sms van "bpost" dat je leveringskosten moet betalen. Je hebt geen openstaande factuur, maar "je bank" stuurt een dringende herinnering. Phishing begint bijna altijd met een bericht dat nergens op slaat in je dagelijkse context. Als je het niet verwacht, wees achterdochtig.

2. Er is urgentie of dreiging

"Je account wordt binnen 24 uur geblokkeerd." "Betaal onmiddellijk of je watertoevoer wordt afgesloten." Criminelen gebruiken tijdsdruk zodat je handelt zonder na te denken. Legiítieme organisaties geven je tijd. Je bank belt niet op een vrijdagavond met de eis om nu je gegevens te bevestigen.

3. Het afzenderadres klopt niet

De naam zegt "KBC" maar het adres is kbc-service@mail-secure-login.com. Of het verschil is subtieler: bnpparibas.be versus bnppar1bas.be (een 1 in plaats van een i). Check altijd het volledige afzenderadres. Op mobiel moet je soms op de naam tikken om het echte adres te zien.

4. De aanspreking is vaag of afwezig

"Geachte klant." "Beste gebruiker." Of gewoon je e-mailadres als aanhef. Je bank kent je naam. Je IT-leverancier kent je naam. Massaphishing kan niet personaliseren. Let wel: bij spear phishing (gerichte aanvallen) kennen aanvallers soms wél je naam. Dan moet je op de andere red flags vertrouwen.

5. De link wijst ergens anders heen

De tekst zegt "Log in op mijn.bnpparibasfortis.be" maar de link gaat naar een compleet ander domein. Hover met je muis over de link (klik niet) en check het echte adres. Op je telefoon: lang drukken op de link. Let op het hoofddomein: alles vóór de eerste schuine streep. "bnpparibasfortis.be.fake-login.com" is niet van BNP Paribas.

6. Er wordt gevraagd om gevoelige informatie

Bankrekeningnummer, wachtwoord, pincode, kopie van je identiteitskaart. Geen enkele bank, overheidsinstantie of IT-leverancier vraagt dit via e-mail of sms. Nooit. Als er om gevraagd wordt, is het phishing. Punt.

Belgische voorbeelden

Veelvoorkomende phishing in België: valse mails van bpost, Proximus, KBC, BNP Paribas Fortis, de Watergroep, FOD Financiën en eBox. Criminelen kopiëren het design van deze organisaties overtuigend. Vertrouw nooit alleen op het uiterlijk van een bericht.

Niet alleen e-mail: smishing en vishing

Phishing via sms (smishing) en telefoon (vishing) groeit snel. De aanpak is dezelfde, het kanaal verschilt.

Smishing: een sms van "Cardstop" dat je kaart geblokkeerd is en je via een link moet inloggen. Of van "de overheid" dat je een terugbetaling kunt ontvangen. Dezelfde red flags gelden: onverwacht, urgent, verdachte link. Je kunt verdachte sms'en doorsturen naar verdacht@safeonweb.be via een screenshot.

Vishing: iemand belt namens "je bank" of "Microsoft" en vraagt om je scherm te delen, software te installeren of inloggegevens te bevestigen. Je bank belt je nooit om je pincode of wachtwoord te vragen. Nooit. Hang op, zoek het officiële telefoonnummer zelf op, en bel terug als je twijfelt.

Spear phishing: gerichte aanvallen op specifieke personen. De aanvaller heeft research gedaan. Hij kent je naam, je functie, de naam van je zaakvoerder. Het bericht ziet er volledig legiítiem uit. Bij spear phishing helpen de "vage aanspreking" en "taalfouten" red flags minder. Dan moet je letten op: is het verzoek logisch? Past het in de normale procedure? Bij twijfel: verifieer via een ander kanaal.

Wat doe je als team?

Individuele alertheid is niet genoeg. Phishing bestrijden is een teamaanpak. Eén onoplettend moment van één persoon kan het hele bedrijf raken.

Maak melden makkelijk

Medewerkers die twijfelen moeten precies weten wat ze moeten doen. Niet "vraag het maar aan IT", maar een concreet stappenplan:

  1. Klik niet op de link en open geen bijlagen
  2. Stuur het bericht door naar verdacht@safeonweb.be
  3. Meld het intern bij je IT-verantwoordelijke of zaakvoerder
  4. Verwijder het bericht

Print dit uit. Hang het naast het koffieapparaat. Serieus. Hoe makkelijker het is om te melden, hoe vaker mensen het doen. En hoe vaker ze melden, hoe minder kans dat iemand er in trapt.

Train regelmatig

Eenmalige training werkt niet. Na drie maanden is het effect grotendeels verdwenen. Wat wel werkt:

  • Korte kwartaalsessies van 15 tot 30 minuten met actuele voorbeelden
  • Gesimuleerde phishing-tests: stuur nep-phishing naar je team en bespreek de resultaten. Niet als strafmaatregel, maar als leermiddel
  • Deel actuele phishing-voorbeelden wanneer ze voorbijkomen. "Kijk, dit is wat vanochtend binnenkwam"

Safeonweb biedt gratis materiaal voor awareness-training via safeonweb.be.

Zet technische vangnetten op

Training alleen is niet genoeg. Mensen maken fouten. Technische maatregelen beperken de schade als het toch misgaat.

  • MFA (multifactorauthenticatie) op alle accounts. Als een wachtwoord gestolen wordt via phishing, blokkeert MFA de ongeautoriseerde toegang. Dit is de belangrijkste maatregel. Lees onze gids over MFA instellen
  • DMARC, SPF en DKIM instellen op je e-maildomeinen. Dit voorkomt dat criminelen mails sturen die lijken te komen van jouw domein. En het filtert een deel van de inkomende phishing
  • E-mailfiltering met anti-phishing. Microsoft 365 en Google Workspace hebben ingebouwde bescherming. Zorg dat die aanstaat en goed geconfigureerd is
  • Browserbeveiliging: Google Safe Browsing en Microsoft SmartScreen waarschuwen gebruikers bij bekende phishing-sites. Dit wordt gevoed door de meldingen bij safeonweb.be
Bijzonder risico: CEO-fraude

Bij CEO-fraude doet iemand zich voor als je zaakvoerder en vraagt per e-mail om een dringende betaling. Het bericht is vaak overtuigend en komt ogenschijnlijk van een intern adres. Maak een vaste afspraak: betalingsverzoeken boven een bepaald bedrag altijd telefonisch bevestigen. Geen uitzonderingen, ook niet als het "dringend" is. Lees onze volledige gids over CEO-fraude voor meer signalen en maatregelen.

Phishing en NIS2

Als je organisatie onder de Belgische NIS2-wet valt, is security-awareness voor medewerkers een wettelijke verplichting. Artikel 21 noemt "basispraktijken op het gebied van cyberhygiëne en opleiding" als een van de elf verplichte maatregelen. Artikel 20 verplicht zaakvoerders om zelf cybersecurity-training te volgen én aan te bieden aan hun personeel.

Phishing-training valt hier direct onder. Het CyFun framework (CyberFundamentals) van het CCB bevat specifieke controls over security-awareness in het Protect-domein. Zelfs op het Basic-niveau is een awareness-programma vereist.

Buiten NIS2 is awareness-training niet wettelijk verplicht, maar het is een van de meest rendabele beveiligingsmaatregelen die je kunt nemen. De investering is klein vergeleken met de schade van een geslaagde phishing-aanval. Voor een compleet overzicht van dreigingen en maatregelen, lees de handleiding cyberaanvallen voorkomen.

Kernpunt

Phishing stopt niet bij een goede spamfilter. Het stopt bij medewerkers die weten waar ze op moeten letten, die verdachte berichten melden, en die weten wat ze moeten doen als ze toch klikken. Train je team, zet MFA aan, en maak melden zo makkelijk mogelijk.

Dit artikel is informatief bedoeld. Raadpleeg bij een actief phishing-incident je IT-partner of safeonweb.be. Meld verdachte berichten via verdacht@safeonweb.be.

Herken jij een phishing-mail? Test jezelf en je team met 5 realistische voorbeelden.

Doe de Phishing Quiz

Veelgestelde vragen

Bronnen

Gerelateerde artikels

Cyberaanvallen voorkomen: handleiding voor KMO's

Praktische handleiding voor Belgische KMO's om cyberaanvallen te voorkomen. Met Belgische cijfers, vijf basismaatregelen en een stappenplan zonder groot budget.

Cybersecurity-beleid voor je bedrijf: zo stel je het op

Stap voor stap een cybersecurity-beleid opstellen voor je KMO. Met gratis CCB-sjablonen, NIS2-vereisten en een checklist die je vandaag kunt invullen.

MFA instellen voor je hele team: praktische gids

Multifactorauthenticatie (MFA) is de simpelste maatregel tegen gehackte accounts. Zo rol je het uit voor je hele KMO: van admin-accounts tot elke medewerker.

Je bedrijf is gehackt: wat nu? Stappenplan

Je bedrijf is gehackt of besmet met malware. Dit stappenplan helpt je de schade te beperken, te herstellen en herhaling te voorkomen.