Nieuwsbrief
Home Nieuws Dreigingen Voor MKB Tools & Reviews Over ons Nieuwsbrief
Phishing Dreigingsniveau: gemiddeld

Record aantal Nederlandstalige phishing-mails: hoe herken je ze in 2025?

Cybercriminelen zetten AI in om perfecte Nederlandstalige phishing-mails te genereren. De klassieke spelfouten zijn verleden tijd. Lees hoe je ze nu wél herkent.

Redactie CybersecurityNieuws.nl
5 april 2025 · 6 min lezen
Phishing e-mail voorbeeld herkennen

Het eerste kwartaal van 2025 kende een recordaantal Nederlandstalige phishing-campagnes. Wat dit bijzonder gevaarlijk maakt: de berichten zijn bijna perfect. Geen spelfouten, geen vreemd taalgebruik, geen verdachte bijlagen. Dankzij generatieve AI kunnen aanvallers nu in minuten overtuigende berichten maken in perfect Nederlands — inclusief de juiste aanhef en context.

Waarom phishing gevaarlijker is dan ooit

Tot twee jaar geleden kon je phishing-mails vrij eenvoudig herkennen aan slecht taalgebruik, vreemde lettertypen of Engelse fragmenten in Nederlandse tekst. Die tijd is voorbij.

Aanvallers gebruiken tegenwoordig:

  • LLM’s (Large Language Models) — voor perfecte tekst in elke taal
  • Open-source inlichtingen (OSINT) — ze weten wie jij bent, wie je directeur is, met welke leveranciers je werkt
  • Domain-spooking — domeinen als ing-beveiliging.nl of rabobank-veilig.com
  • HTML-lookalike e-mails — identiek aan echte bankberichten

De meest gebruikte phishing-scenario’s in Nederland (Q1 2025)

Op basis van meldingen bij het Fraudeloket en eigen analyse zijn dit de meest voorkomende varianten:

1. Belastingdienst “teruggave”

“U heeft recht op een teruggave van €847,23. Klik hier om uw rekeningnummer te bevestigen.”

Herkenbaar aan: dringende toon, link naar een domein dat NIET .belastingdienst.nl is.

2. CEO-fraude (BEC)

“Hoi [naam], ik zit in vergadering. Kun jij dringend een betaling regelen? Stuur het naar dit nieuwe rekeningnummer…”

Gevaarlijk omdat de afzender eruitziet als de directeur en het bericht persoonlijk aanvoelt.

3. Pakketbezorging (PostNL/DHL)

“Uw pakket is tegengehouden vanwege niet-betaalde invoerrechten van €2,15. Betaal direct om vertraging te voorkomen.”

4. Microsoft 365 / Teams verificatie

“Uw account vereist herverificatie. Meld u aan om uw account te behouden.”

Dit type is bijzonder effectief omdat werknemers dagelijks Microsoft-producten gebruiken.

Hoe herken je phishing in 2025?

De spelfouten zijn weg, maar er zijn andere signalen:

Controleer altijd de afzender-domeinnaam

✅ Echte ING:     noreply@ing.nl
❌ Phishing:      noreply@ing-beveiliging.nl
❌ Phishing:      noreply@ing.veilig-login.com
❌ Phishing:      noreply@ingg.nl (dubbele letter)

Kijk altijd naar het volledige domein, niet alleen de weergegeven naam.

Beweeg je muis over een link en bekijk de URL die linksonder in je browser verschijnt. Is dat dezelfde organisatie als de afzender? Zo niet: phishing.

Urgentie en druk zijn rode vlaggen

Legitieme organisaties sturen je zelden berichten als:

  • “Uw account wordt binnen 24 uur geblokkeerd”
  • “Handelen vereist binnen 2 uur”
  • “Dringend — reageer direct”

Controleer via een apart kanaal

Als je een verdacht bericht krijgt van je bank, bel de bank dan via het officiële nummer op hun website. Nooit via het nummer in de e-mail.

Technische bescherming voor bedrijven

Als systeembeheerder of IT-verantwoordelijke zijn dit de belangrijkste maatregelen:

1. DMARC, DKIM en SPF instellen Dit voorkomt dat aanvallers e-mails kunnen versturen die eruitzien als van jouw domein.

# Controleer of je domein DMARC heeft ingesteld
nslookup -type=TXT _dmarc.jouwdomein.nl

# Geen resultaat? Dan is e-mail spoofing mogelijk voor jouw domein.

2. Microsoft Defender for Office 365 Scant bijlagen in een sandbox voordat ze bij de gebruiker ankomen. Blokkeert de meeste kwaadaardige bestanden automatisch.

3. Safe Links inschakelen Herschrijft alle URL’s in e-mails zodat ze via Microsoft worden gescand voor je er naartoe gaat.

4. Phishing-simulaties uitvoeren Stuur je eigen medewerkers nep-phishingmails (via tools als KnowBe4 of Gophish) om te meten hoe kwetsbaar je organisatie is. Koppel dit aan bewustwordingstraining.

Wat te doen als je toch geklikt hebt?

Als je vermoedt dat je op een phishinglink hebt geklikt of inloggegevens hebt ingevoerd:

  1. Wijzig onmiddellijk je wachtwoord — ook op andere diensten als je hetzelfde wachtwoord gebruikt
  2. Schakel MFA in als dat nog niet het geval is
  3. Meld het bij je IT-afdeling — zij kunnen controleren of er ongeautoriseerde toegang is geweest
  4. Meld het bij de Fraudehelpdesk — 0800-1234 (gratis)
  5. Controleer je bankrekening op verdachte transacties

Gratis tools om phishing te herkennen

ToolWat het doetLink
VirusTotalScant URL’s op malwarevirustotal.com
PhishTankDatabase van bekende phishing-sitesphishtank.org
MXToolboxControleer DMARC/SPF/DKIMmxtoolbox.com
Have I Been PwnedCheck of je e-mail gelekt ishaveibeenpwned.com

Samenvatting: Phishing is slimmer geworden, maar de detectietechnieken ook. Verifieer altijd de afzender, controleer URL’s, en wees extra alert op urgentie en druk. Train je medewerkers regelmatig — een geslaagde phishing-aanval kost gemiddeld €185.000 aan schade bij een MKB-bedrijf.

Tags: #phishing #social engineering #ai #bewustwording #nederland