Projecten Aanpak Over Frits Blog Tech-woordenboek WhatsApp Contact
Lexicon · Security

Phishing

Definitie

Phishing is een vorm van oplichting waarbij aanvallers zich voordoen als een betrouwbare partij om gevoelige informatie of geld los te peuteren. Klassieke vorm: een nep-e-mail die op de huisstijl van een bank lijkt, met een link naar een nep-inlogpagina. Doel: gebruikersnaam, wachtwoord, of betaalgegevens stelen.

Moderne phishing is geraffineerder. Spear phishing richt zich op specifieke personen met persoonlijke details. CEO-fraude doet zich voor als de directeur die spoedig een betaling vraagt. Smishing gaat via sms, vishing via telefoon. De rode draad: een geloofwaardige aanleiding om snel iets te doen wat je normaal niet zou doen.

Waarom het ertoe doet voor MKB

Phishing is verreweg het meest gebruikte beginpunt van succesvolle aanvallen op MKB-bedrijven. Niet omdat firewalls falen, maar omdat aanvallers de menselijke kant aanvallen. Een geslaagde phishing-actie levert vaak werkende inloggegevens op die rechtstreeks toegang geven tot e-mail, ERP of bankzaken.

De financiele schade loopt snel op. Een gemiddelde geslaagde CEO-fraude in Nederland kost een MKB-bedrijf tienduizenden euro’s, vaak via een spoedoverboeking naar een rekening die binnen uren leeg is. Bij gerichte aanvallen via factuurfraude (een bestaande leverancier met “nieuw rekeningnummer”) gaan bedragen makkelijk over de €100.000.

Concreet voorbeeld

Een installatiebedrijf met 50 medewerkers ontving een e-mail die leek te komen van een vaste leverancier, met het bericht dat het rekeningnummer voor toekomstige facturen was gewijzigd. Stijl, logo en handtekening leken in orde, het mailadres week een enkele letter af. De boekhouder paste het rekeningnummer in het ERP aan zonder telefonische verificatie. Bij de eerstvolgende betalingsbatch ging €27.000 naar de oplichter.

Na het incident werd het proces aangescherpt: wijzigingen in bankgegevens vereisen voortaan een telefonische bevestiging op een bekend nummer, ongeacht hoe overtuigend de mail oogt. Multi-factor authenticatie werd verplicht op alle accounts. Twee phishing-trainingen per jaar voor het hele team, met testmails die simuleren wat het er echt uitziet. Kosten: circa €4.500 per jaar. De directie noemt het achteraf “een dure les met een goedkope les erna”.

Misverstanden en valkuilen

  • “Onze mensen herkennen dat wel.” Onderzoek laat zien dat ook ervaren professionals onder tijdsdruk phishing missen. Het gaat niet om domheid, maar om context: een goed getimede mail tussen honderd andere is moeilijk uit te filteren.
  • “Een spamfilter vangt het op.” Filters vangen het grootste deel, maar gerichte phishing (spear phishing) is juist gemaakt om filters te ontwijken. De gevaarlijke berichten zijn vaak juist degene die wel doorkomen.
  • “Trainen helpt niet, mensen klikken toch.” Trainen helpt wel, mits herhaald en gekoppeld aan praktijktests. Niet om foutloos gedrag af te dwingen, wel om het meldingsgedrag te verhogen. Snel melden beperkt de schade enorm.
  • “Phishing is alleen via e-mail.” WhatsApp-fraude, sms over pakketjes, telefoontjes van een nep-helpdesk en valse facturen via post zijn allemaal varianten. Het kanaal verandert, het patroon niet.

Wanneer moet je hiervan wakker liggen, wanneer niet

Wakker liggen: altijd. Phishing is geen sector-specifiek risico maar de standaard-aanvalsmethode voor vrijwel elk MKB-bedrijf. Helemaal in bedrijven die regelmatig betalingen doen, met externe leveranciers werken, of medewerkers hebben die onder druk snel beslissingen nemen. Het verschil tussen wel en geen schade zit in trainingsfrequentie en harde procesregels rond geldzaken.

Niet wakker liggen: die situatie bestaat niet helemaal. Wel kan de focus verschuiven: een eenmansbedrijf zonder personeel heeft minder kans op CEO-fraude en kan met basishygiene (multi-factor authenticatie, telefonische verificatie bij wijzigingen) volstaan. Trainingen en simulaties zijn dan minder relevant dan in een groter team.

Gerelateerde termen

  • Two-factor authentication: maakt gestolen wachtwoorden grotendeels onbruikbaar, de belangrijkste enkele maatregel tegen phishing-gevolgen.
  • SSO: minder wachtwoorden in omloop, minder oppervlak voor phishing-aanvallen.
  • Penetration testing: bevat tegenwoordig vaak een phishing-simulatie als onderdeel van de assessment.
  • Encryption: versleuteling van gegevens zodat gestolen inloggegevens niet automatisch toegang geven tot leesbare data.
  • NIS2: stelt eisen aan bewustwording en training rond social-engineering aanvallen.
Filed under Security
Leestijd 3 min
Gepubliceerd 26 mei 2026

Zie ook

2FA
2FA staat voor Two-Factor Authentication: inloggen met twee verschillende bewijsstukken (meestal wachtwoord plus code via app of sms). Significant veiliger...
AVG
AVG (Algemene Verordening Gegevensbescherming) is de Europese privacywetgeving die regelt hoe organisaties met persoonsgegevens moeten omgaan. Voor MKB betekent het:...
DDoS
DDoS: aanvalsvorm waarbij grote aantallen besmette apparaten tegelijk verkeer naar een website of dienst sturen om die onbereikbaar te maken....
Encryption
Encryption (versleuteling) zet data om in een onleesbare vorm die alleen met de juiste sleutel terug te lezen is. Beschermt...
Firewall
Firewall: digitale poortwachter die verkeer tussen jouw netwerk en het internet filtert op basis van regels. Voorbeelden: een hardware-apparaat in...
NIS2
NIS2 is Europese richtlijn voor cyberveiligheid die strengere eisen stelt aan kritieke en belangrijke organisaties. Voor MKB in specifieke sectoren...

Verder lezen

Freelancer, bureau of fractional partner: wie moet je software bouwen?
Voor MKB-projecten is er een derde optie: vergelijk freelancer, bureau en fractional partner op kosten, risico en werkwijze.
Het one-person tech team: waarom je geen team van 5 nodig hebt
Je zoekt een developer voor je nieuwe platform. Het bureau komt met een offerte: projectmanager, UX-designer, twee developers, een tester. Vijf mensen, zes maanden,...
Technische schuld: wat het je echt kost en hoe je het oplost
Je herkent het waarschijnlijk. Elke aanpassing aan je software duurt langer dan verwacht. Je IT-kosten stijgen jaar na jaar, maar je systemen voelen niet...