Een onbekende link in je mail: hoe check je die zonder erop te klikken?
Hoe beoordeel je in dertig seconden of een onbekende link in een mail betrouwbaar is? Een praktische checklist voor MKB'ers zonder IT-afdeling.
Je krijgt een mail van een leverancier. Of een offerte van een nieuwe klant. Of een sollicitatie. Er zit een link in, en die link gaat naar een website die je nog niet kent. Klik je? En zo ja: wat check je eerst?
Voor mensen zonder IT-achtergrond voelt dit vaak als gokken. "Het ziet er wel goed uit" of "het bedrijf bestaat echt" zijn geen geweldige checks, maar wel wat de meeste mensen doen. In deze post laten we zien hoe je in ongeveer dertig seconden een redelijk oordeel velt over een onbekende URL — zonder dat je iets hoeft te installeren.
Waarom dit ertoe doet
Phishing-mails zijn in 2026 nauwelijks nog te herkennen aan slecht Nederlands of vage logo's. AI-tools maken nette, persoonlijke berichten. Wat overblijft als verschil tussen echt en nep, is bijna altijd de bestemming van de link. Daar liggen de spelfouten, de rare domeinen en de verse registraties.
Goed nieuws: die bestemming kun je checken zonder erop te klikken.
Stap 1: lees de link voordat je klikt
Hover met je muis over de link (of houd je vinger erop op mobiel zonder los te laten). Onderin je scherm of in een tooltip zie je de echte URL. Lees alleen het stuk vóór de eerste enkele schuine streep. Dus in:
https://login.microsoft.com.account-verify.ru/secure
...is het echte domein account-verify.ru, niet microsoft.com. Het Microsoft-stuk is een truc om je oog te misleiden.
Vuistregel: lees de URL van rechts naar links. Het laatste stukje vóór de eerste / is het domein dat er écht toe doet.
Stap 2: check op typo's en rare extensies
Aanvallers gebruiken graag domeinen die er net zo uitzien als het origineel:
rabobаnk.nl— de 'a' is een Cyrillische lettermarktplааts.nl— dubbele truc-letterskvk-portal.comin plaats vankvk.nling.nl.veilig-login.app— ING zit niet op .app
Als je twijfelt, typ het officiële domein zelf in een nieuw tabblad. Sneller dan navragen, en veiliger dan klikken.
Stap 3: kijk naar wie het domein bezit
Een betrouwbaar bedrijf heeft meestal een domein dat al jaren bestaat. Een phishing-domein is vaak pas dagen of weken oud. Je kunt dat zelf opzoeken via een zogeheten WHOIS-check. Dat hoeft geen technisch gedoe te zijn — er zijn gratis tools waarin je een domein intypt en de registratiedatum ziet.
Onze IP-lookup tool geeft je in één oogopslag het IP-adres, het hostingland en de provider achter een domein. Een Nederlandse webshop die plotseling vanaf een server in een onverwacht land draait? Dat hoeft niet erg te zijn, maar in combinatie met een gehaaste mail is het een rode vlag.
Stap 4: open verdachte links in een veilige omgeving
Moet je écht weten wat er achter een link zit — bijvoorbeeld omdat een medewerker je vraagt of een mail klopt — open hem dan niet zomaar op je werklaptop. Twee opties die makkelijker zijn dan ze klinken:
- Incognito-venster op een privé-apparaat: niet ideaal, maar beter dan je gewone werksessie waar je overal in bent ingelogd.
- Online "URL-scanner": er zijn gratis diensten waar je een URL plakt en die hem voor je opent in een sandbox. Je krijgt een screenshot terug en een oordeel of het malafide is.
Doe dit nooit met links waarin een uniek persoonlijk stukje zit (bijvoorbeeld een wachtwoord-reset-link of een factuur-link met een token). Die werken vaak maar één keer en je verraadt jezelf bij de aanvaller.
Stap 5: vertrouw op het slot, maar niet alléén
Het hangslotje in de adresbalk betekent alleen dat het verkeer versleuteld is. Phishing-sites hebben tegenwoordig ook netjes een slotje. Het zegt niets over de betrouwbaarheid van de eigenaar. Gebruik het als basis-check, niet als bewijs.
Een korte checklist voor je team
- Hover over de link en lees het domein vóór de eerste
/. - Klopt het domein letter voor letter met de echte organisatie?
- Komt de mail uit het niets en is er tijdsdruk? Extra wantrouwig.
- Bij twijfel: typ het officiële adres zelf, of bel de afzender via een nummer dat je al kende.
- Nooit inloggen via een link uit een mail die je niet verwachtte.
Print deze vijf regels desnoods en leg ze bij de receptie of in de teamkamer. Het hoeft niet ingewikkeld te zijn — het moet vooral gedaan worden.
En als het tóch misging?
Heeft iemand op een verdachte link geklikt en misschien inloggegevens ingevuld? Tijd is dan het belangrijkste. Wijzig direct het wachtwoord van het betreffende account, log alle sessies uit, en controleer of er tweefactor-authenticatie aan staat. Heb je dat laatste nog niet overal geregeld, dan is dit een goed moment om dat alsnog te doen — één gestolen wachtwoord is dan namelijk niet meer genoeg om binnen te komen.
Wil je weten waar een domein gehost wordt voor je erop klikt? Onze IP-lookup is gratis, geen registratie, en geeft je in seconden een eerste indruk.
Volledige gids: Seguridad para pymes sin departamento de TI: ¿qué haces este trimestre?
Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.
Lees de pillar →