GetHacked
Terug naar blog
Awareness

Phishing herkennen binnen je bedrijf: een praktische gids

Phishing is verantwoordelijk voor 90% van alle succesvolle cyberaanvallen. Leer hoe uw medewerkers phishing-mails herkennen en wat ze moeten doen bij een verdachte mail.

Gepubliceerd op 19 februari 20247 min leestijd

Phishing: de menselijke firewall

Technische beveiligingsmaatregelen kunnen nog zo sterk zijn — als een medewerker zijn inloggegevens ingeeft op een nepsite, is alle technologie nutteloos. Phishing is verantwoordelijk voor meer dan 90% van alle succesvolle cyberaanvallen. Het is de meest effectieve aanvalsmethode omdat het de mens aanvalt, niet de technologie.

Hoe ziet een phishing-mail eruit?

1. Urgentie en druk

Phishing-mails creëren altijd urgentie: "Uw account wordt geblokkeerd binnen 24 uur", "Dringende actie vereist", "Uw betaling is mislukt". Deze urgentie zorgt ervoor dat mensen minder kritisch nadenken.

2. Afzenderadres

Het weergegeven naam kan kloppen, maar het echte adres klopt nooit:

  • Weergegeven: "Microsoft Support"
  • Echt adres: support@m1cros0ft-help.com

3. Hoveren over links

Beweeg uw muis over een link — zonder te klikken. Klopt de URL in de statusbalk met wat u verwacht? Let op:

  • microsoft.com.login.ru → Dit is een Russisch domein
  • micros0ft.com → Nul in plaats van de letter O
  • microsoft-login.com → Subdomein-truc

4. Bijlagen

Phishing-mails bevatten vaak bijlagen met gevaarlijke extensies: .exe, .vbs, .js, maar ook macro-ingeschakelde Office-bestanden (.docm, .xlsm).

Spear Phishing: gepersonaliseerde aanvallen

Gewone phishing is massaal verstuurd. Spear phishing is gericht op een specifiek persoon of bedrijf. De aanvaller onderzoekt LinkedIn, de website en sociale media om een overtuigend bericht te schrijven.

Voorbeeld: Een mail die zegt te komen van uw CEO, gericht aan de financieel directeur, met de vraag om dringend een factuur te betalen terwijl de CEO "in een meeting zit". Dit heet CEO fraud en kost Belgische bedrijven jaarlijks tientallen miljoenen euro.

Wat medewerkers moeten doen

Checklist bij elke verdachte mail:

  1. ✅ Controleer het werkelijke afzenderadres
  2. ✅ Hover over links vóór u klikt
  3. ✅ Bel de afzender bij twijfel (via een known-good telefoonnummer, niet uit de mail)
  4. ✅ Geef nooit wachtwoorden via mail of link
  5. ✅ Meld verdachte mails aan IT/security
  6. ✅ Gebruik MFA — zelfs als uw wachtwoord is gestolen, beschermt MFA u

Wat u NOOIT mag doen:

  • Macro's inschakelen in een Office-bestand dat via mail binnenkomt
  • Software installeren op verzoek via mail of telefoon
  • Betaalopdrachten uitvoeren enkel op basis van een e-mail, zonder verificatie

Phishing simulaties: train uw team

De enige manier om te weten hoe goed uw medewerkers zijn, is door ze te testen. Phishing simulaties sturen realistische (maar nep) phishing-mails naar medewerkers en meten wie klikt, wie inloggegevens invult en wie de mail rapporteert.

De resultaten zijn vaak verrassend — en soms schokkend. Maar het doel is leren, niet straffen. Na een simulatie volgt altijd een training die specifiek ingaat op de methodes die werkten.

Conclusie

De menselijke firewall is uw laatste verdedigingslinie. Investeer in bewustwording, test regelmatig en zorg dat melden van verdachte mails laagdrempelig is. Een cultuur van security awareness is de beste bescherming die geen enkel technisch product kan bieden.

Terug naar blog
Phishing herkennen binnen je bedrijf: een praktische gids | GetHacked Blog | GetHacked