Kennisbank › Phishing
Wat is een phishingaanval?
Een phishingaanval is een gerichte poging van cybercriminelen om medewerkers te misleiden tot het afgeven van wachtwoorden, betaalgegevens of toegang tot bedrijfssystemen. Het is de meest voorkomende cyberdreiging voor bedrijven in Nederland - en ook de meest onderschatte.
Definitie: wat is een phishing aanval?
De term phishing is een samentrekking van "fishing" (vissen) en "phreaking" (een vroege hackerterm). De aanvaller "gooit een haakje uit" en wacht tot iemand bijt. In de praktijk betekent dat: een nep-e-mail, nepwebsite of nepdocument dat er precies zo uitziet als het origineel, maar bedoeld is om gegevens te stelen.
Een phishingaanval richt zich altijd op menselijk gedrag, niet op technische kwetsbaarheden. De aanvaller maakt gebruik van vertrouwen, urgentie of nieuwsgierigheid om iemand te laten klikken. Dat is ook waarom technische beveiligingsmaatregelen alleen niet afdoende zijn: de medewerker blijft de laatste verdedigingslinie.
Hoe werkt een phishingaanval stap voor stap?
Een typische phishing aanval verloopt in vier fasen:
- Voorbereiding: De aanvaller kiest een doelwit - een medewerker, afdeling of organisatie. Hij verzamelt informatie via LinkedIn, de bedrijfswebsite of eerder gelekte data om de aanval geloofwaardig te maken.
-
Verzenden: Een nep-e-mail wordt verstuurd vanuit een adres dat lijkt op een vertrouwde
afzender. Denk aan
facturatie@rnicrosoft.comin plaats vanmicrosoft.com. Moderne phishing mails zijn vrijwel identiek aan de echte versie. - Actie: De ontvanger klikt op een link, opent een bijlage of vult inloggegevens in op een nagemaakte website. Dat is het moment waarop de aanval slaagt - of faalt als de medewerker alert genoeg is.
- Misbruik: Met de verkregen gegevens logt de aanvaller in op bedrijfssystemen, stuurt facturen door, versleutelt bestanden met ransomware of verkoopt de data op het dark web.
Echte voorbeelden van phishingaanvallen op bedrijven
Phishingaanvallen zijn geen abstract probleem. Ze treffen dagelijks Nederlandse bedrijven:
Nep-factuur van leverancier
Een medewerker van de financiele afdeling ontvangt een e-mail die lijkt van een vaste leverancier. Het rekeningnummer is gewijzigd. Zonder verificatie wordt een betaling van 18.000 euro overgemaakt naar de rekening van de crimineel.
Nep-Microsoft inlogpagina
Medewerkers ontvangen een e-mail dat hun Microsoft 365-account geblokkeerd wordt. Via een link komen ze op een neppe inlogpagina. Binnen een uur heeft de aanvaller toegang tot de volledige mailbox, inclusief klantgegevens en contracten.
CEO-fraude bij mkb
Een medewerker ontvangt een e-mail die lijkt van de directeur: "Ik zit in een vergadering en heb dringend een spoedoverboeking nodig. Houd dit even discreet." Het e-mailadres lijkt kloppend, maar heeft een kleine afwijking die niet opvalt.
Ransomware via bijlage
Een HR-medewerker opent een bijlage in een sollicitatie-e-mail. Het bestand bevat een macro die ransomware installeert. Binnen 24 uur zijn alle bestanden op het netwerk versleuteld en volgt een losgeldeis van 50.000 euro.
Waarom zijn phishingaanvallen zo effectief?
Phishingaanvallen zijn succesvol omdat ze inspelen op psychologische mechanismen die niemand volledig kan uitschakelen:
- Urgentie: "Uw account wordt geblokkeerd binnen 2 uur" - niemand neemt rustig de tijd om te checken.
- Autoriteit: Een e-mail van de directeur of de Belastingdienst roept automatisch gehoorzaamheid op.
- Vertrouwen: Wanneer iets eruitziet als iets vertrouwds, daalt de waakzaamheid direct.
- Nieuwsgierigheid: "Bekijk uw pakkettracking" of "Uw salaris is aangepast" lokt kliks uit.
- Schaarste: "Aanbieding geldig tot vandaag" zorgt voor impulsief klikken zonder nadenken.
Cijfer om te onthouden: 91% van alle cyberaanvallen begint met een phishing e-mail. Zelfs goed opgeleide medewerkers klikken gemiddeld 1 op de 5 phishing e-mails in een eerste test.
Hoe kunnen bedrijven zich beschermen tegen phishingaanvallen?
Effectieve bescherming bestaat uit drie lagen die elkaar versterken:
1. Technische maatregelen
Spamfilters, e-mailverificatie (SPF, DKIM, DMARC), multi-factor authenticatie (MFA) en DNS-filtering verminderen de aanvalsmogelijkheden significant. Ze filteren de meeste geautomatiseerde aanvallen eruit, maar niet de gericht gecraftede.
2. Bewustzijnstraining
Medewerkers leren via e-learning modules wat phishing is, hoe ze het herkennen en wat ze moeten doen als ze een verdachte e-mail ontvangen. Kennis alleen is echter niet genoeg: het moet ook ingeoefend worden.
3. Phishing simulaties
De meest effectieve beschermingsmethode is een gecontroleerde phishing simulatie: een nep-aanval op uw eigen organisatie, uitgevoerd met formele toestemming. Medewerkers leren door ervaring - en u ontdekt precies waar de kwetsbaarheden zitten.
Bedrijven die regelmatig simulaties uitvoeren, zien gemiddeld 70% minder succesvolle aanvallen na het eerste jaar. Dat is de kracht van leren door te doen.
Veelgestelde vragen over phishingaanvallen
Wat is het verschil tussen phishing en spear phishing?
Reguliere phishing is massaal: dezelfde e-mail gaat naar duizenden ontvangers. Spear phishing is gericht op een specifieke persoon of organisatie, met gepersonaliseerde inhoud op basis van openbare informatie. Spear phishing is effectiever maar kost de aanvaller meer voorbereiding.
Is phishing strafbaar?
Ja. Phishing valt onder computervredebreuk (artikel 138ab Wetboek van Strafrecht) en identiteitsfraude. Straffen lopen op tot vier jaar gevangenisstraf. Een phishing simulatie door een bedrijf op eigen medewerkers is toegestaan mits uitgevoerd met formele toestemming en schriftelijke overeenkomst.
Hoe meld ik een phishing aanval?
Intern: meld het direct bij uw IT-afdeling of CISO. Extern: phishing mails kunt u doorsturen naar valse-email@safeonweb.be (Belgie) of aangeven bij het NCSC of de Fraudehelpdesk. Als er al geklikt is: direct wachtwoorden wijzigen en IT informeren.
Weet u hoe kwetsbaar uw medewerkers zijn?
CoBoo voert phishing simulaties uit voor bedrijven van 20 tot 250 medewerkers. U ontdekt precies wie zou klikken - en we helpen u het te verbeteren.