Phishing herkennen: wat leer je je team in 20 minuten?

Phishing is niet meer die slecht-gespelde Nigerian prince. Moderne phishing is gepersonaliseerd, op maat, in ons eigen bedrijfsnetwerk ingelogd. Hier wat iedereen moet weten.

Phishing in 2026 is ingenieus: vrijwel perfect Nederlands, domeinen die precies lijken, geschreven door AI. Toch zijn er signalen die je kunt leren herkennen.

De 5 rode vlaggen

1. Urgentie. "Als je niet binnen 4 uur klikt, vervalt je toegang." Echt interne communicatie heeft dit nooit.
2. Afwijkende afzender. ceo@bed3rgeregeld.com (3 voor e). noreply@microsoft-security.com (legitiem domein is microsoft.com, niet microsoft-security). Klik op de naam om het echte adres te zien.
3. Link hover-check. Muisover de link. Komt de URL overeen met wat er staat? office365login.com is niet Microsoft.
4. Ongewoonlijk verzoek. "Je CEO vraagt je spoed-cadeaubonnen te kopen." Echte CEO doet dit niet per e-mail.
5. Onverwachte bijlage. Facturen die je niet verwacht, CV's uit het niets. Niet openen zonder verificatie.

Wat train je concreet?

• Gebruik een phishing-simulatie-platform (KnowBe4, Cofense) — kwartaal-campagne.
• Rapporteer-knop in Outlook / Gmail zodat meldingen direct bij IT binnenkomen.
• Geen blame-culture: wie op een phishing-test klikt krijgt extra training, geen afrekening.
• Korte refreshers (5-min-video) elk half jaar.

Wat je NIET doet

• Mensen ontslaan omdat ze erin tuinden. Dat voorkomt melding van echte incidenten.
• E-mail-filters volledig vertrouwen. Moderne phishing komt door de meeste filters heen.
• Alleen "zoek naar typfouten"-regels leren. Moderne phishing heeft geen typfouten.

Bij klik: wat nu?

Meteen IT/security-verantwoordelijke melden. Wachtwoord wijzigen. MFA-sessies intrekken. Wachtwoord van enige bijkomende geraakte accounts wijzigen. Zie incident response.

Zie ook: security-pillar.