Dossier

Hoe bescherm je jezelf tegen phishing?

Phishing blijft een van de populairste wapens van cybercriminelen. Via allerlei trucjes en kanalen, van e-mail tot sociale media, proberen ze je geld of gegevens te stelen. Niet zelden spelen ze daarbij in op actuele gebeurtenissen. Safeonweb, het platform dat Belgische burgers en bedrijven informeert over cyberveiligheid en online dreigingen, krijgt dagelijks 26.000 meldingen van phishing. Waakzaamheid is dus absoluut nodig! Onze tips tegen deze valse hengelpraktijken.

Redactie:
07 juli 2025
PHISHING

Phishing is een vorm van cybercriminaliteit waarbij het potentiële slachtoffer wordt benaderd via e-mail, sms, instant messaging, sociale media of telefoon. De oplichter doet zich daarbij voor als iemand anders. Dat kan je bank, energieleverancier of een technologiebedrijf zijn, maar evenzeer een vriend of familielid.

Het doel is om te “hengelen” (“phishing” in het Engels) naar gevoelige gegevens, zoals persoonlijke informatie, wachtwoorden, bank- of kredietkaartgegevens. Eens hij die gegevens heeft buitgemaakt krijgt de oplichter vrij spel: hij kan er bijvoorbeeld toegang mee krijgen tot belangrijke accounts van het slachtoffer, zijn geld of identiteit stelen.

 

Welke vormen van phishing bestaan er?

Om die informatie te verkrijgen worden verscheidene middelen ingezet. Niet zelden spelen oplichters in op actuele gebeurtenissen. E-mails zijn nog steeds het populairst, maar daar blijft het niet bij.

Terug naar boven

Phishing via e-mail

Er bestaan verschillende varianten van de phishingmail: een waarschuwing omtrent je account, de vraag van je bank om je gegevens te bevestigen … De afzender lijkt betrouwbaar, maar is uit op je persoonlijke of financiële gegevens die hij laat invullen op een nagemaakte webpagina, of hij wil je toestel infecteren met malware door je een bijlage te doen openen.

Hieronder een voorbeeld van een phishingmail zogenaamd afkomstig van Apple. Kijk even mee naar het e-mailadres: support@rjmamasatim02-team.freshdesk.com; dit lijkt allesbehalve een officieel Apple-adres. Als we met ons muispijltje over de link (“verify your identity”) zweven, zien we de echte URL verschijnen: het is een verkorte link (https://t.co/dzjF8OKRbN) die niet naar de echte Apple-website gaat.

phishingmail apple

Terug naar boven

Phishing via sms, WhatsApp of Facebook Messenger

Sms- of instant messaging-apps worden gebruikt voor "smishing": je krijgt een sms, WhatsApp- of Facebook Messenger-bericht met daarin een waarschuwing (bijvoorbeeld "Ben jij dat in deze video?" of "Betaal nu of je rekening wordt geblokkeerd") of aanbieding (bijvoorbeeld "Win een waardebon bij Lidl"), en het verzoek om op een link te klikken of een nummer te bellen. De link doet je malware installeren of leidt naar een nagemaakte webpagina waarop je je (betaal)gegevens moet invullen. Het nummer leidt naar een fraudeur die zich bijvoorbeeld voordoet als een bedrijf en tracht je gegevens te achterhalen.

Hieronder een voorbeeld van zo’n vals sms’je waarbij de oplichter zich voordoet als een contactonderzoeker in het kader van de coronacrisis. Het officiële nummer is 8811. Dit bericht blijkt afkomstig van een ander nummer. En de link leidt naar een malafide URL, dat bevestigt ook onze check op www.virustotal.com

valse sms covid 19

Door je bang te maken wil deze sms je doen klikken op de link.

Of kijk eens naar onderstaand sms'je. Het bericht is in het Nederlands, maar afkomstig van een Portugees nummer: verdacht. De link leidt niet naar een foto, wel naar een URL met malware, aldus onze check op www.virustotal.com.

smishing bericht

Deze sms speelt in op je nieuwsgierigheid om je te doen klikken.

Nog een populaire truc: een "bekende" contacteert je plots via WhatsApp en vraagt je met een smoesje om geld. Je krijgt een berichtje vanaf een onbekend nummer. De persoon zal beweren dat hij een nieuw nummer heeft. Om de een of andere reden heeft hij snel geld nodig, bijvoorbeeld om een openstaande rekening te betalen, en vraagt hij om dat even voor jou te betalen, want het moet snel gebeuren. Je krijgt de belofte dat je je geld zo snel mogelijk terugkrijgt. Als je die persoon probeert te bellen om verhaal te halen, zal die meestal niet opnemen en beweren dat er iets mis is met de verbinding of telefoon. Soms gaan de oplichters zelfs nog een stap verder en spelen ze kort het stemgeluid af van je contactpersoon. Dat halen ze via sociale media (bijvoorbeeld uit een story van je contact op Facebook of Instagram). Dit is zogenaamde hulpvraagfraude. Ga nooit in op zo'n verzoek! 

Een voorbeeld van hulpvraagfraude via WhatsApp

Een typisch voorbeeld van "hulpvraagfraude" via WhatsApp.

Terug naar boven

Phishing via telefoon

Phishing via de telefoon (“vishing”) werkt als volgt: oplichters proberen hun slachtoffer te overtuigen om geld over te schrijven of om persoonlijke, financiële of beveiligingsgegevens te delen. Klassiek voorbeeld: een “medewerker” van Microsoft of een ander technologiebedrijf belt je om een probleem met je pc te melden: je pc heeft een virus, werd gehackt, heeft niet de legale versie van Windows 11 enz.

Als “oplossing” laten ze je onder meer een programma downloaden of naar een bepaalde website surfen. Zo krijgt de oplichter toegang tot je computer en uiteindelijk wil hij je laten betalen om het probleem op te lossen. Het gaat dan om een bedrag van enkele euro’s dat je, vaak met behulp van je digipass, moet betalen. Jij denkt dat je een klein bedrag overschrijft, maar de oplichter zal erin slagen honderden tot zelfs duizenden euro’s buit te maken.

Pas ook op voor mensen die beweren dat zij contact met je opnemen vanuit een officiële instantie omdat je bijvoorbeeld recht hebt op een premie. Hang meteen op. Geef in geen geval je bankgegevens door: geen enkele Belgische (RSZ, FOD, enz.) of Europese instantie zal je ooit opbellen om dergelijke gegevens te vragen.

Terug naar boven

Phishing via sociale media

Stel: je bent niet tevreden over een bedrijf en uit je ongenoegen op Facebook of Twitter. Het bedrijf heeft er baat bij snel te reageren want de post is zichtbaar voor iedereen. Maar… ook oplichters lezen mee. Ze maken een valse account aan en reageren dan op je klacht alsof ze de klantendienst zijn. Om geholpen te worden moet je op een (vaak verkorte) link klikken. Zo laten je ze malware installeren of je betaalgegevens invullen die ze dan op hun beurt kunnen misbruiken.

Hieronder een voorbeeld van phishing via Twitter. Een ontevreden klant stelt een vraag aan PayPal en krijgt antwoord van “@AskPayPal_Tech”. De officiële accounts van PayPal zijn echter “@PayPal” en “@AskPayPal”. De verkorte link gaat naar een valse loginpagina waar het slachtoffer wordt gevraagd haar gegevens in te vullen.

Een voorbeeld van phishing in naam van PayPal op Twitter.

Een voorbeeld van phishing via Twitter: de oplichter geeft zich uit voor de helpdesk van PayPal.

Terug naar boven

Card phishing bij je thuis

Bij card phishing, ook bekend als card skimming, doen fraudeurs zich voor als bankmedewerkers of zelfs politieagenten en die rechtstreeks bij je thuis komen aanbellenom te proberen je bankkaart en pincode te stelen. Als ze die eenmaal hebben, hebben ze alles wat ze nodig hebben om frauduleuze overschrijvingen van je rekening te doen.

Hun aanpak begint meestal met een telefoontje of berichtje dat je kaart vervangen moet worden, vanwege een technisch probleem of omdat de kaart verlopen zou zijn. Ze staan er vaak op om snel te komen, soms zelfs tijdens het gesprek, en kunnen op ongebruikelijke tijdstippen opdagen, zoals 's ochtends vroeg, 's avonds laat of in het weekend.

In sommige gevallen gaan fraudeurs nog verder door hun slachtoffers ervan te overtuigen andere waardevolle spullen, zoals juwelen of contant geld, te overhandigen onder het voorwendsel dat ze deze veilig zouden bewaren.

De banksector meldde een aanzienlijke toename van dit soort fraude in 2024, dus het is van vitaal belang om waakzaam te blijven. Bedenk dat een legitieme bankmedewerker nooit bij je thuis zal komen om je bankkaart, pincode of waardevolle spullen op te halen, en ook niet bij je langs zal komen om een betalingsprobleem op te lossen. Bovendien zal je bank je nooit om je pincode vragen, via welk kanaal dan ook.

Terug naar boven

Phishing via valse uitnodigingen in Google Agenda

Bij deze methode sturen oplichters valse uitnodigingen naar Google Agenda-gebruikers. In die uitnodigingen staan phishing-links. Onder het voorwendsel dat je bijvoorbeeld een som geld hebt gewonnen proberen ze je te doen klikken. De bedoeling is om je persoonlijke of kredietkaartinformatie te laten invullen in een nagemaakt webformulier.

De oplichters maken hierbij misbruik van een instelling die standaard geactiveerd is in Google Agenda en die ervoor zorgt dat elke agenda-uitnodiging automatisch aan je agenda wordt toegevoegd. Om te verhinderen dat malafide uitnodigingen in je agenda komen te staan en je per ongeluk op links in die uitnodigingen klikt, schakel je die instelling dus beter uit.

Open Google Agenda in je browser en klik rechtsboven op het tandwiel en dan op Instellingen. Klik op Afspraakinstellingen. Bij Uitnodigingen toevoegen aan mijn agenda kies je wanneer ik op de uitnodiging in de e-mail reageer. Onder Opties bekijken vink je Geweigerde afspraken tonen uit.

Terug naar boven

Phishing via tweedehandswebsites

Als koper op een tweedehandssite ben je je er wellicht van bewust dat je moet opletten met aanbiedingen die te mooi om waar te zijn lijken. Je betaalt, maar ontvangt het artikel nooit, het artikel blijkt beschadigd of namaak te zijn. Voorzichtigheid is altijd geboden in die gevallen.

Minder bekend is dat je als verkoper op een tweedehandssite ook door kopers kunt worden opgelicht. Vaak begint het met een geïnteresseerde koper die vlak nadat je je zoekertje hebt geplaatst, laat weten dat hij interesse heeft en dat hij zelfs bereid is om boven de vraagprijs te bieden omdat hij het artikel absoluut wil hebben. Vervolgens zijn meerdere scenario's mogelijk:

  • de zogenaamde koper vraagt je om een kleine som (€ 0,50 tot € 1) te storten als veiligheidsmaatregel om er zich van te vergewissen dat jouw rekeningnummer echt is vooraleer hij zijn betaling doet. Onder een vals voorwendsel zal hij ook vragen om je telefoonnummer door te geven.
  • de zogenaamde koper vraagt je of hij kan betalen via een website of applicatie waarop je een account moet aanmaken om aan het geld te kunnen. Wanneer je dat account aanmaakt, zal je worden gevraagd om je bankrekening eraan te linken ofwel om ook weer een kleine som te storten.
  • de zogenaamde koper blijkt in het buitenland te wonen en vraagt om een - mogelijk heel bekende - koerierdienst te gebruiken om het artikel te leveren. Daarna stuurt hij de link door van die koerierdienst. Die link is uiteraard vals en leidt naar de website van de oplichter. Op die website zal je dan worden gevraagd een account te creëren waarbij je ook weer een symbolische som moet overmaken of je bankgegevens invullen.
  • de zogenaamde koper woont in het buitenland en stelt voor om via een bekende koerierdienst het artikel te betalen. Vervolgens ontvang je een mail die zogezegd afkomstig is van de koerierdienst met als boodschap dat de betaling goed is toegekomen en dat je het bedrag kunt recupereren zodra je een account hebt aangemaakt.

Wat deze vier scenario's gemeenschappelijk hebben is dat er wordt gevraagd om een kleine som te storten, maar onthoud goed dat je als verkoper helemaal niets moet betalen om een artikel te verkopen. Als de koper geld van je vraagt - hoe klein het bedrag ook - terwijl jij degene bent die geld moet ontvangen, heb je zeker met oplichters te maken. Wanneer je je bankrekeningnummer en telefoonnummer doorgeeft, kan de oplichter een bankapp installeren op zijn eigen smartphone en geld van je rekening halen. Net zoals wanneer je je bankgegevens ingeeft op een onbekende website of via een link die de oplichter je heeft doorgestuurd.

Terug naar boven

Phishing via QR-code

Deze vorm van phishing noemen we ook “quishing”. Oplichters sturen jou valse QR-codes via e-mail, sms of een WhatsApp-bericht. Ze doen alsof het bericht afkomstig is van een officiële instantie en vragen je bijvoorbeeld om via de code een openstaande rekening te betalen. Ook papieren brieven kunnen valse QR-codes bevatten.

Scan je zo’n QR-code, dan beland je op een malafide website. Op die manier kunnen je persoonlijke gegevens, zoals wachtwoorden, gestolen worden. Soms worden de codes ook gebruikt om malware te installeren op je toestel.

Ander voorbeeld: je biedt iets aan op een tweedehandssite en een geïnteresseerde koper contacteert je. Hij stelt voor om de betaling via zijn professionele rekening te doen. Om ze mogelijk te maken, vraagt hij om je rekeningnummer door te geven. Enkele minuten nadat je dat nummer hebt gegeven ontvang je een QR-code die je ter bevestiging moet scannen.

Alles ziet er betrouwbaar uit, de QR-code lijkt te leiden naar de mobiele app van de bank. Maar in werkelijkheid is het een portaal dat in handen is van de oplichter. Door daarop in te loggen geef je hem rechtstreeks toegang tot je rekeningen en kan hij er geld van afhalen. Bijgevolg merk je een paar uur later dat er grote sommen geld van je rekening zijn gedebiteerd.

We raden dan ook aan om zeer voorzichtig te zijn wanneer je een betalingsverzoek ontvangt waarvoor je een QR-code moet scannen. Een handmatige overschrijving is altijd veiliger omdat je je dan niet in een vervalste betaalomgeving bevindt. Blijf waakzaam en neem de tijd om alles grondig te controleren.

Nu je weet wat phishing is en welke vormen er bestaan, wil je ook weten hoe je je kan beschermen. Ontdek waarop je zelf kan letten in volgende artikels:

Terug naar boven

Aanbevolen voor jou