Phishing is al jaren een van de grootste digitale dreigingen voor bedrijven. Maar waar criminelen vroeger nog makkelijk te herkennen waren aan slecht Nederlands en een vreemd e-mailadres, zijn de aanvallen in 2025 veel geraffineerder geworden. Phishing herkennen is daardoor moeilijker dan ooit. In dit artikel leggen we uit welke nieuwe methoden er in omloop zijn en wat u kunt doen om uw bedrijf te beschermen.

Wat is phishing ook alweer?

Phishing is een vorm van oplichting waarbij criminelen zich voordoen als een betrouwbare partij, zoals uw bank, Microsoft, de Belastingdienst of zelfs een collega. Het doel is altijd hetzelfde: u verleiden om op een link te klikken, een bijlage te openen of inloggegevens in te voeren op een nep-website.

Lukt dat, dan kunnen aanvallers toegang krijgen tot uw systemen, bankrekeningen of klantgegevens. De schade kan enorm zijn, zowel financieel als voor uw reputatie.

Nieuwe phishing-methoden in 2025

Criminelen staan niet stil. Dit zijn de methoden die in 2025 het meest opvallen:

AI-gegenereerde phishing. Met behulp van kunstmatige intelligentie kunnen aanvallers nu perfecte, foutloze e-mails schrijven in uw taal en stijl. Ze analyseren soms zelfs uw openbare LinkedIn-profiel of website om de boodschap persoonlijk te maken. Een e-mail die eruitziet alsof hij van uw accountant komt, maar dat niet is, is tegenwoordig nauwelijks meer te onderscheiden van het echte werk.

QR-code phishing (ook wel “quishing” genoemd). Een QR-code in een e-mail of brief lijkt onschuldig, maar kan u doorsturen naar een nep-website. Omdat de URL niet direct zichtbaar is, zijn veel mensen minder alert dan bij een gewone link.

Stemopnamen en deepfakes. Steeds vaker worden medewerkers gebeld door iemand die klinkt als de directeur of een bekende leverancier. Met AI-stemtechnologie is het inmiddels mogelijk om iemands stem na te bootsen op basis van een paar minuten opname. “Kun jij even snel een betaling regelen?” is dan plotseling een stuk geloofwaardiger.

WhatsApp- en sms-phishing. Niet alle aanvallen komen via e-mail. Berichten via WhatsApp of sms, zogenaamd van pakketdiensten, banken of overheidsinstanties, zijn aan de orde van de dag. De link in het bericht leidt naar een nep-site die er authentiek uitziet.

Hoe herkent u phishing?

Ook al worden aanvallen slimmer, er zijn altijd signalen waar u op kunt letten:

Controleer het afzenderadres. Niet alleen de naam, maar ook het e-mailadres zelf. Een e-mail van “Microsoft” die verstuurd is vanaf een Gmail-adres of een vreemd domein is altijd verdacht.

Klik nooit zomaar op een link. Beweeg eerst met uw muis over de link zonder te klikken. Zo ziet u waar de link écht naartoe gaat. Klopt het adres niet met de organisatie die beweert de afzender te zijn? Niet klikken.

Wees extra alert bij urgentie. “Uw account wordt geblokkeerd”, “reageer binnen 24 uur” of “betaal direct” zijn klassieke trucjes om u snel te laten handelen zonder na te denken.

Bel bij twijfel altijd terug. Krijgt u een onverwacht verzoek van een collega, leverancier of bank? Bel ze dan terug op een nummer dat u zelf opzoekt, niet het nummer in de e-mail of het bericht.

Scan QR-codes alleen van bronnen die u vertrouwt. En bekijk altijd de URL die de QR-code opent vóór u verdergaat.

Wat doet u als u toch geklikt heeft?

Iedereen kan een keer een fout maken. Het gaat erom hoe snel u reageert. Verander direct uw wachtwoorden, ook van andere accounts waarbij u hetzelfde wachtwoord gebruikt. Meld het bij uw IT-beheerder of -partner, zodat uw systemen kunnen worden gecontroleerd. Informeer uw bank als u financiële gegevens heeft ingevoerd. Doe aangifte bij de politie als er sprake is van fraude.

Hoe beschermt u uw bedrijf structureel?

Eenmalig een phishing-test doen is niet genoeg. Structurele bescherming vraagt om een combinatie van maatregelen:

Gebruik meerfactorauthenticatie (MFA) op alle zakelijke accounts. Zelfs als iemand uw wachtwoord steelt, kan een aanvaller dan niet inloggen zonder de tweede verificatiestap.

Train uw medewerkers regelmatig. De zwakste schakel in elke beveiliging is de mens. Korte, praktische trainingen helpen medewerkers alert te blijven.

Zorg voor goede spamfilters en e-mailbeveiliging. Moderne e-mailplatforms zoals Microsoft 365 bieden uitgebreide beveiligingsopties die veel phishingpogingen al blokkeren voordat ze in de inbox belanden.

Maak duidelijke procedures. Wie belt er bij twijfel? Wat doet u als u denkt geklikt te hebben? Als iedereen in uw bedrijf dit weet, verkleint u de kans op schade aanzienlijk.

Hulp nodig?

Phishing wordt steeds moeilijker te herkennen, maar met de juiste instellingen, tools en bewustwording kunt u uw bedrijf goed beschermen. Hekkelman I.T. helpt bedrijven in de regio Arnhem met praktische cybersecurity zonder ingewikkeld jargon.

Bel ons op +31 (0)26 711 5067 of stuur een e-mail naar [email protected] voor een vrijblijvend gesprek.