Verdachte bijlagen in je mail: zes bestandstypen waar je in 2026 op let

Niet elke bijlage is veilig — en niet elke bijlage is gevaarlijk. Deze zes bestandstypen verdienen extra aandacht, plus wat je doet als je per ongeluk geklikt hebt.

Je krijgt een mail van een leverancier. Of een bericht via het contactformulier. Of een sollicitatie. En er hangt een bijlage aan. Meestal is dat prima — maar soms ook niet. Hoe weet je nou welke bijlagen je beter even links laat liggen, zonder dat je een IT-expert hoeft te zijn?

In dit stuk lopen we de bestandstypen langs die in 2026 het meest gebruikt worden bij phishing en malware in het MKB. Plus: wat je doet als je per ongeluk tóch hebt geklikt.

Waarom bijlagen nog steeds zo populair zijn bij criminelen

Mailfilters zijn de afgelopen jaren een stuk beter geworden. Verdachte links worden vaak al tegengehouden. Maar een bijlage? Die wordt soms gewoon doorgelaten, vooral als de afzender er legitiem uitziet. En als de bijlage er ook nog eens uitziet als een factuur, pakbon of CV, klikt iemand er sneller op dan je denkt.

Het gevaarlijke is dat één klik genoeg kan zijn. Niet om je hele netwerk plat te leggen — dat is een mythe — maar wel om iets te installeren dat dagen later pas opvalt.

De zes bestandstypen die je extra kritisch bekijkt

1. .zip, .rar en .7z (gecomprimeerde mappen)

Een ZIP is op zich niet gevaarlijk, maar het is dé manier om iets schadelijks langs een mailfilter te smokkelen. Wat erin zit is namelijk verstopt. Krijg je een ZIP van iemand waar je dat niet van verwacht? Open hem niet, vraag de afzender via een ander kanaal (telefoon, WhatsApp) of het klopt.

2. .iso, .img en .vhd (schijfimages)

Vroeger gebruikten alleen IT'ers deze bestanden om installatie-cd's na te bootsen. Tegenwoordig worden ze ingezet om Windows-beveiliging te omzeilen: een ISO opent als een soort losse schijf en de bestanden erin krijgen geen waarschuwing. Een leverancier stuurt je nooit een factuur als ISO. Punt.

3. .html en .htm (webpagina's als bijlage)

Een HTML-bestand opent in je browser en kan eruit zien als een Microsoft-loginpagina of een DocuSign-scherm. Maar het draait lokaal, dus je adresbalk laat niet "microsoft.com" zien. Dit is een van de snelst groeiende phishing-trucs van dit moment. Krijg je een HTML-bijlage? Wegklikken.

4. .xlsm, .docm en .pptm (Office-bestanden met macro's)

De "m" aan het eind staat voor macro's: kleine programmaatjes die meedraaien als je het bestand opent. Microsoft heeft macro's uit internetbestanden standaard geblokkeerd, maar er zijn nog steeds manieren om die blokkade te omzeilen — bijvoorbeeld door het bestand in een ZIP te stoppen (zie punt 1). Verwacht je geen macrobestand? Niet openen.

5. .lnk (snelkoppelingen)

Een snelkoppeling lijkt onschuldig, maar kan onder water een commando uitvoeren dat malware downloadt. LNK-bestanden horen niet thuis in een mail. Nooit.

6. .pdf — ja, ook die

Een PDF is meestal veilig om te bekijken, maar wordt vaak misbruikt als doorgeefluik: in de PDF staat een knop "Bekijk document" die naar een phishingsite leidt. De bijlage zelf is dan technisch onschuldig, maar de link erin niet. Wees vooral kritisch op PDF's met inlogknoppen of QR-codes erin.

De vier vragen die je jezelf stelt vóór je opent

1. Verwacht ik dit? Een onverwachte factuur van een onbekende partij is verdacht. Een verwachte offerte van je vaste leverancier veel minder.
2. Klopt de afzender écht? Niet alleen de naam, ook het mailadres. "Jan de Vries <jan@bekend-bedrijf.nl>" is iets anders dan "Jan de Vries <jan@bekend-bedr1jf.nl>".
3. Past de toon bij de afzender? Schrijft je accountant ineens in slecht Nederlands met haastige spoed? Bel hem even.
4. Is er druk of urgentie? "Vandaag nog betalen", "anders blokkade", "vertrouwelijk - niet doorsturen": dat zijn rode vlaggen.

Wat als je toch geklikt hebt?

Het gebeurt. Geen schande, wel actie ondernemen — en snel:

• Trek de netwerkkabel eruit of zet wifi uit op de computer waar je geklikt hebt. Liever een paar uur offline dan dat iets zich verspreidt.
• Meld het direct bij wie bij jullie verantwoordelijk is voor IT — ook al is dat een externe partij. Niet morgen, nu.
• Wijzig je wachtwoorden, te beginnen met je mail en je boekhoudpakket. Doe dat vanaf een ánder apparaat.
• Check of 2FA nog actief is op je belangrijkste accounts. Aanvallers proberen die soms uit te zetten zodra ze binnen zijn.
• Houd je bankrekening in de gaten de komende dagen, en waarschuw collega's dat er namens jou rare mails kunnen komen.

Wat je structureel kunt doen

Bewustzijn is mooi, maar één keer per jaar een mailtje sturen werkt niet. Wat wel helpt in een MKB-omgeving:

• Zet je mailfilter strenger op bijlagen zoals .iso, .lnk en .html — die heb je in 99% van de gevallen toch niet nodig.
• Zorg dat Microsoft 365 of Google Workspace bijlagen scant vóór bezorging (Safe Attachments / Advanced Protection).
• Spreek af dat elke wijziging van een IBAN telefonisch bevestigd wordt — ongeacht hoe overtuigend de mail is.
• Zorg dat je SPF, DKIM en DMARC netjes staan, zodat criminelen niet eenvoudig namens jouw domein kunnen mailen.

Twijfel je of jullie mailbeveiliging op orde is? Wij doen een mail-beveiligingscheck (SPF/DKIM/DMARC) waarbij we precies in kaart brengen waar de gaten zitten — zonder dat je zelf in DNS-records hoeft te duiken. Begin daar, dan filteren we de meeste rommel er al uit voor het bij je medewerkers binnenkomt.