Vroeger was phishing herkennen relatief simpel. Een mailtje vol spelfouten, een rare aanhef ("Beste klant"), een vreemd e-mailadres — en je wist genoeg. Die tijd is voorbij. In 2026 zien valse e-mails er vaak net zo professioneel uit als de echte. In dit artikel leggen we uit hoe phishing tegenwoordig werkt, waarom de bekende herkenningstips niet meer voldoende zijn, en hoe je jezelf en je bedrijf alsnog beschermt.
Hoe groot is het probleem echt?
Phishing is geen randverschijnsel. De cijfers laten zien hoe stevig het inmiddels is ingebed in het dagelijks leven:
De Fraudehelpdesk ontving over 2025 ruim 100.000 meldingen van fraude — een stijging van ongeveer 60% ten opzichte van het jaar ervoor.
Volgens het CBS werden in 2025 zo'n 2,5 miljoen Nederlanders van 15 jaar of ouder slachtoffer van een vorm van online criminaliteit. Ongeveer 133.000 mensen verloren daadwerkelijk geld door phishing.
In het Alert Online-onderzoek (in opdracht van het ministerie van Economische Zaken) gaf 31% van de werknemers aan in de afgelopen twaalf maanden een phishingmail te hebben ontvangen. Onder ICT-verantwoordelijken liep dat op tot 44%.
Kort samengevat: de kans dat jij of iemand in je omgeving een phishingbericht ontvangt, is geen "als" maar een "wanneer".
Wat is phishing precies?
Phishing — afgeleid van het Engelse fishing, vissen — is het misleiden van mensen om persoonlijke gegevens, inloggegevens of geld af te staan. Criminelen doen zich voor als een vertrouwde partij: je bank, PostNL, de Belastingdienst, een webshop of zelfs een collega of familielid.
Het bericht bevat bijna altijd een call-to-action: klik op deze link, open deze bijlage, of vul hier je gegevens in. Klik je op de link, dan kom je op een nagemaakte website terecht die er vaak identiek uitziet als het origineel. Wat je daar invult, belandt rechtstreeks bij de oplichter.
Phishing komt niet alleen via e-mail. Veelvoorkomende varianten:
Smishing — phishing via sms.
Vishing — phishing via een telefoongesprek, bijvoorbeeld een nep-bankmedewerker.
Quishing — phishing via een QR-code, bijvoorbeeld op een parkeerautomaat of laadpaal.
Spearphishing — een gerichte aanval op één specifiek persoon, met vooraf verzamelde informatie.
CEO-fraude — een variant van spearphishing waarbij een bericht lijkt te komen van een leidinggevende, gericht op een medewerker met toegang tot betalingen.
Waarom de "spelfouttest" niet meer werkt
Jarenlang was het advies: let op spelfouten en kromme zinnen. Dat advies is achterhaald.
Het Nationaal Cyber Security Centrum (NCSC) benoemt het inmiddels expliciet: doordat criminelen taalmodellen zoals ChatGPT inzetten, zijn spelling- en grammaticafouten in phishingmails zeldzaam geworden. Moderne phishing-e-mails zijn foutloos geschreven in correct Nederlands.
Erger nog: ze zijn vaak persoonlijk. Na de grote datalekken van de afgelopen periode — waaronder dat bij Odido — circuleren er enorme hoeveelheden persoonsgegevens. Criminelen gebruiken jouw echte naam, adres, telefoonnummer en soms zelfs je IBAN of paspoortnummer om een bericht geloofwaardig te maken. Een valse sms die jouw echte rekeningnummer noemt, voelt nu eenmaal een stuk overtuigender.
De conclusie: je kunt phishing niet meer betrouwbaar herkennen aan de vorm van het bericht. Je moet kijken naar de bedoeling erachter.
Waar je in 2026 wél op moet letten
De vorm is onbetrouwbaar geworden, maar het patroon achter phishing is hetzelfde gebleven. Let op deze signalen:
1. Urgentie en druk. "Uw rekening wordt om 18:00 geblokkeerd." "Uw pakket wordt morgen vernietigd." Phishing speelt vrijwel altijd in op angst en tijdsdruk, zodat je handelt voordat je nadenkt. Een echte organisatie geeft je de tijd.
2. Een onverwachte call-to-action. Word je gevraagd op een link te klikken, een bijlage te openen of gegevens in te vullen, terwijl je daar zelf niet om hebt gevraagd? Wees op je hoede — zeker als je niet op een levering of betaling wacht.
3. De link klopt niet. Beweeg met je muis over een link (zonder te klikken) en bekijk waar die echt naartoe gaat. Wijst de link naar een ander domein dan je zou verwachten, of staan er extra woorden, cijfers of vreemde toevoegingen in? Dat is een rode vlag. Op een telefoon: houd de link ingedrukt om de bestemming te zien.
4. Een verzoek om gevoelige gegevens. Een bank, de Belastingdienst of een webshop vraagt je nooit per e-mail of sms om je volledige inloggegevens, pincode of betaalgegevens.
5. Het kanaal voelt ongebruikelijk. Krijg je ineens een WhatsApp-bericht van "je bank", of een QR-code die je naar een betaalpagina leidt? Vraag je af of dat de manier is waarop die organisatie normaal met je communiceert.
De gouden regel: ga zelf naar de bron
Twijfel je over een bericht? Klik dan niet op de link en bel niet het nummer dat in het bericht staat. Doe in plaats daarvan dit:
Ga zelf naar de officiële website door het adres met de hand in je browser te typen, of gebruik de app die je zelf hebt geïnstalleerd.
Bel de organisatie via het telefoonnummer dat op hun échte website staat.
Gaat het om een bericht van een bekende of collega met een ongebruikelijk verzoek? Bel die persoon via een nummer dat je al had — niet via een nummer uit het bericht zelf.
Deze ene gewoonte — altijd zelf naar de bron gaan — haalt het overgrote deel van de phishingaanvallen onschadelijk.
Basismaatregelen die echt helpen
Naast alertheid zijn er een paar technische maatregelen die je beschermen, ook als je een keer toch op iets klikt:
Tweestapsverificatie (2FA) op al je belangrijke accounts. Heeft een crimineel je wachtwoord, dan komt hij er zonder de tweede stap alsnog niet in.
Een wachtwoordmanager met een uniek wachtwoord per website. Eén gelekt wachtwoord brengt dan niet meteen al je accounts in gevaar.
Software up-to-date houden op je computer en telefoon.
Onbekende browser-extensies verwijderen — phishingpagina's installeren soms stiekem schadelijke extensies.
Voor ondernemers: bescherm ook je eigen domein
Phishing is niet alleen een risico voor wat er binnenkomt. Criminelen kunnen ook e-mails versturen die lijken te komen van jouw bedrijfsdomein — naar je klanten of je eigen medewerkers. Dat schaadt je reputatie en is lastig recht te zetten.
Daarvoor bestaan technische e-mailstandaarden: SPF, DKIM en DMARC. Samen zorgen ze ervoor dat ontvangers kunnen controleren of een e-mail écht van jouw domein komt, en dat vervalste mails worden geweigerd. Ze zijn inmiddels min of meer een basisvereiste — veel grote mailproviders behandelen domeinen zonder correcte instellingen strenger of weigeren hun mail.
Het correct instellen en blijven monitoren van deze standaarden is wel specialistenwerk. Een verkeerd ingestelde DMARC-record kan ervoor zorgen dat je eigen, legitieme mail niet meer aankomt.
Controleer je e-mailbeveiliging met DNSWatcher
Phishing herkennen is een vaardigheid die je kunt leren — maar je e-mailomgeving technisch dichttimmeren is een vak apart. Daarom hebben we bij PC Patrol DNSWatcher gebouwd: een tool die je SPF-, DMARC- en DKIM-instellingen voor je in de gaten houdt.
Met DNSWatcher:
scan je dagelijks je domein op een correcte SPF-, DMARC- en DKIM-configuratie, met een duidelijke compliance-score;
krijg je een tijdlijn van elke DNS-wijziging, zodat je direct ziet wanneer er iets verandert;
laat je je DMARC-rapporten automatisch verwerken — geen XML-bestanden meer openen;
ontvang je alerts die er echt toe doen, bijvoorbeeld als je SPF-record verdwijnt of je DMARC-policy zwakker wordt.
DNSWatcher is in de EU gehost en je begint gratis — voor maximaal 5 domeinen, zonder creditcard.
Wil je zeker weten dat jouw domein niet misbruikt kan worden voor phishing? Controleer het zelf met DNSWatcher — start gratis op dnswatcher.nl. Liever dat we met je meekijken? Neem contact op met PC Patrol voor een vrijblijvende check van je e-mailbeveiliging.
Phishing gehad of op een link geklikt?
Meld phishingmails bij de Fraudehelpdesk via valse-email@fraudehelpdesk.nl.
Phishing-sms'jes kun je doorsturen naar 7726.
Ben je geld kwijtgeraakt of zijn je gegevens misbruikt? Doe aangifte bij de politie en neem zo snel mogelijk contact op met je bank. Snel handelen beperkt de schade.
Dit artikel is bedoeld als algemene voorlichting. Cijfers zijn gebaseerd op publicaties van onder andere de Fraudehelpdesk, het CBS en het NCSC (2025–2026).