BG Beter Geregeld ICT
Security zonder IT-afdeling · 5 min leestijd · 05 juli 2026

Verkorte links (bit.ly en co): hoe check je waar ze heen gaan?

Bit.ly, tinyurl, t.co: handige verkorte links, maar je ziet niet waar ze heen gaan. Zo pak je ze in tien seconden uit — zonder erop te klikken.

Je krijgt een mailtje van een leverancier: "Beste klant, ons kantoor is verhuisd en we willen u vragen een korte enquête in te vullen." Er staat een link bij. De afzender lijkt te kloppen. Maar in de adresbalk zie je iets vreemds: bit.ly/xyz123, of t.co/abc, of iets langer als tinyurl.com/verhuizing2026. Een verkorte link dus. En je hebt geen idee waar die naartoe gaat.

Verkorte links zijn handig — dat is precies waarom ze bestaan. Maar ze zijn ook een geliefd trucje bij phishing, omdat je als ontvanger niet ziet waar je op klikt. In deze post: hoe je in tien seconden checkt wat er achter zo'n link zit, zonder erop te klikken.

Waarom verkorte links een probleem zijn

Een normale link laat zien waar hij heen gaat. Als er facturen.jouwleverancier.nl staat, weet je dat je bij die leverancier uitkomt. Bij een verkorte link (bit.ly, tinyurl, t.co, ow.ly, is.gd, buff.ly, lnkd.in) is de bestemming verstopt achter een doorverwijzing. Dat kan om drie redenen zijn:

  • Netjes: de originele link is te lang voor een social-media-post of nieuwsbrief.
  • Meten: de verzender wil bijhouden wie er klikt.
  • Niet netjes: iemand wil verbergen dat de link naar een phishing-pagina, malware-download of nep-inlogscherm gaat.

Je kunt aan de link zelf niet zien welk van die drie het is. Vandaar: eerst checken, dan pas klikken.

Wanneer moet je opletten?

Niet elke verkorte link is verdacht. Maar er zijn signalen die je alerter moeten maken:

  1. De link staat in een e-mail van een onbekende afzender, of van een bekende afzender die normaal geen verkorte links gebruikt.
  2. De boodschap zet je onder tijdsdruk ("betaal binnen 24 uur", "uw account wordt gedeactiveerd").
  3. De link zit in een SMS of WhatsApp — daar zijn verkorte links extra populair bij oplichters omdat schermen klein zijn.
  4. De link belooft iets te downloaden (factuur, pakbon, "belangrijk document").
  5. Je moet ergens inloggen na de klik.

In deze gevallen: eerst uitpakken wat er echt achter zit.

Zo pak je een verkorte link uit — zonder erop te klikken

Methode 1: gebruik een preview-truc van de shortener zelf

Sommige verkorters hebben een ingebouwde preview-optie. Handig om te onthouden:

  • bit.ly: zet een + achter de link. Dus bit.ly/xyz123+ laat je zien waar hij heen gaat, zonder dat je er echt heen gaat.
  • tinyurl.com: verander tinyurl.com/xyz in preview.tinyurl.com/xyz.
  • t.co (Twitter/X): die kun je niet previewen, maar wel via methode 2.

Werkt in elk browsertabblad. Kost je tien seconden.

Methode 2: een online unshorten-dienst

Er zijn websites waar je een verkorte link in plakt en die de hele keten van doorverwijzingen laat zien. Zoek op "unshorten link" en gebruik een dienst die zelf ook uitlegt wat hij doet. Kopieer de verkorte link (rechtermuisknop → "linkadres kopiëren", niet klikken!) en plak hem in.

Let op wat je terugkrijgt: klopt het domein? Is het echt jouwbank.nl of iets als jouwbank-inlog.online? Kleine verschillen zijn het hele verhaal.

Methode 3: hover en lees

Op een laptop: beweeg je muis over de link zonder te klikken. Onderin je browser of mailprogramma zie je de echte URL. Bij een verkorte link zie je nog steeds alleen de bit.ly-versie, maar bij een "verstopte" link (waar de tekst iets anders zegt dan de bestemming) zie je hier meteen het verschil.

Op je telefoon: houd je vinger láng op de link (niet tikken). Bij iOS en Android verschijnt er een pop-up met de volledige URL.

En als het domein er raar uitziet?

Stel: je hebt de link uitgepakt en er komt iets uit als login.microsoft-security-check.com. Ziet er officieel uit, toch? Maar het echte Microsoft-domein is microsoft.com, niet microsoft-security-check.com. Alles wat vóór de laatste punt-plus-extensie staat, kan iedereen registreren.

Twee vuistregels:

  • Kijk naar het deel direct vóór de .nl, .com, .eu. Dát is het echte domein.
  • Als je twijfelt over een IP-adres of domein, kun je via onze IP-lookup snel checken bij welk land en welke hostingpartij het hoort. Een "Nederlandse bank" die in Rusland gehost wordt, is een rode vlag.

Wat doe je als team?

De grootste winst zit niet in tools, maar in gewoontes. Drie afspraken die in elk MKB werken:

  1. Bij twijfel niet klikken, maar navigeren. Moet je inloggen bij je bank, boekhoudpakket of leverancier? Typ het adres zelf in, of gebruik je bookmark. Nooit via een mail-link.
  2. Meld verdachte mails intern. Als één collega een phishing-mail krijgt, krijgen anderen hem waarschijnlijk ook. Eén WhatsApp-berichtje in de teamgroep scheelt een hoop ellende.
  3. Zorg dat je mail-beveiliging klopt. SPF, DKIM en DMARC filteren een groot deel van de rommel er al uit vóór hij bij je collega's aankomt.

Kort samengevat

Verkorte links zijn niet slecht, maar ze verbergen wel de bestemming. Voor een MKB is de simpelste regel: krijg je er een die je niet vertrouwt, pak hem uit vóór je klikt. Met + achter een bit.ly-link, een unshorten-dienst, of gewoon door je vinger langer op een link te houden. Tien seconden werk, en je voorkomt de rest van de dag herstelwerk.

Wil je dat soort risico's structureel verkleinen? Bekijk onze pagina over mail-beveiliging (SPF/DKIM/DMARC) — dan komt een groot deel van deze mails niet eens meer binnen.

Onderwerpen

#phishing #Mail Beveiliging #Security Mkb #Veilig Klikken #Praktische Tips

Volledige gids: Security for SMBs without an IT department: what should you do this quarter?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →