Informatiebeveiliging

Phishing

Phishing is de meest voorkomende route voor datadiefstal en ransomware. Aanvallers proberen je via nagemaakte e-mails, WhatsApp-berichten of SMS te verleiden tot klikken, inloggen of betalen op een nepsite. Het is daarmee niet alleen een ICT-probleem, maar een onderwerp dat iedere medewerker raakt.

In Normity vind je tools om phishing-bewustzijn binnen je organisatie te verhogen. Plus blogs en materiaal dat je kunt delen met je collega's. Want het herkennen van phishing leer je niet uit een handboek — wel door regelmatige oefening.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity

Eerlijk is eerlijk: wij zijn behoorlijk trots op onze eigen software. Dat komt niet in de laatste plaats doordat we deze al bij veel organisaties hebben mogen implementeren. Tevreden organisaties. Omdat deze organisaties met Normity in staat zijn grip te krijgen op hun kwaliteit. Omdat audittrajecten eenvoudiger verlopen. Omdat processen beter inzichtelijk is. Omdat medewerkers meer betrokken zijn. Kortom: meer kwaliteit. En dat is goed voor jou, maar ook voor jouw klanten.

Informatiebeveiliging

Phishing is in de loop der jaren steeds geavanceerder geworden. Vroeger waren het opvallend slechte vertalingen vanuit Nigeria of de erfenis van een onbekende oom. Tegenwoordig zijn phishing-mails vrijwel niet meer van echt te onderscheiden — zeker nu kunstmatige intelligentie wordt ingezet om perfect Nederlands en kloppende huisstijl-elementen te genereren.

Veelvoorkomende vormen van phishing:

  • E-mail phishing — klassieke variant, vaak met bijlage of link naar nepsite
  • Spear phishing — gerichte phishing op één specifieke persoon, met persoonlijke details
  • Whaling — spear phishing gericht op directieleden of CEO's
  • Smishing — phishing via SMS (vaak van "de bank" of "PostNL")
  • Vishing — phishing via spraak, bijvoorbeeld een nepgesprek van de helpdesk
  • Quishing — phishing via QR-codes (een van de nieuwere varianten)

De rode vlaggen blijven over het algemeen hetzelfde: een afzender die niet helemaal klopt, een vreemde aanhef, urgentie in de inhoud, of links die ergens anders heen wijzen dan ze beweren. Wie deze patronen leert herkennen, prikt door verreweg het meeste phishing heen.

Marcel schreef een vierdelige serie over het herkennen van phishing — over de afzender, de aanhef, de inhoud en de links. Praktisch leesvoer dat je goed met je hele team kunt delen, ook met collega's die normaal niet in beveiliging duiken.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by design

Privacy by design is het AVG-principe dat privacy vanaf het ontwerp van een proces, systeem of product wordt meegenomen — niet achteraf erop geplakt. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het concreet toepast in je organisatie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

De betekenis van privacy by default

Privacy by default is het AVG-principe dat de standaardinstellingen van een systeem of dienst de meest privacyvriendelijke zijn — gebruikers hoeven zelf geen extra stappen te zetten om hun gegevens te beschermen. In dit artikel lees je wat het precies betekent, waarom het verplicht is onder de AVG en hoe je het toepast.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 4 - De links

De vierde en laatste rode vlag in onze phishingserie is de link: kloppen ze, verwijzen ze naar het juiste domein of verstoppen ze een kwaadaardig adres achter een vertrouwde tekst? In dit afsluitende deel leer je hoe je verdachte links herkent vóór je erop klikt — de belangrijkste verdedigingslinie.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 3 - De inhoud

De derde rode vlag in onze phishingserie is de inhoud van het bericht: opvallende urgentie, dreigementen, taalfouten of vreemde verzoeken zijn klassieke signalen. In dit derde deel van vier zie je welke inhoudskenmerken je meteen alert moeten maken — en wat je vervolgens het beste kunt doen.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 2 - De aanhef

De tweede rode vlag in onze phishingserie is de aanhef: persoonlijk of generiek, juist gespeld of vreemd geformuleerd? Phishers kennen je naam vaak niet en verraden zich met vage aanhefvormen. In dit tweede deel van vier leer je hoe je aan de aanhef al kunt zien of iets niet klopt.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

Phishing herkennen - Deel 1 - De afzender

Phishing herken je vaak al aan de afzender: let op afwijkende domeinnamen, verdachte subdomeinen, vreemde karakters en e-mailadressen die net even niet kloppen. Dit is deel 1 van een vierdelige serie over het herkennen van phishing — we starten bij de afzender, de eerste rode vlag in elk bericht.

Marcel van Langen

Veelgestelde vragen over Phishing

De vragen die we het vaakst krijgen over Phishing, met korte en feitelijke antwoorden.

Phishing is een vorm van cybercriminaliteit waarbij aanvallers zich voordoen als betrouwbare partij (bank, collega, leverancier) om slachtoffers te verleiden gevoelige informatie te delen of op schadelijke links te klikken. Phishing gebeurt via e-mail, sms (smishing), telefoon (vishing) of social media. Het is de meest voorkomende vorm van cybercriminaliteit.

Bulk phishing stuurt hetzelfde bericht naar duizenden ontvangers. Spear phishing is gericht op één persoon of organisatie met persoonlijke details. Whaling richt zich op bestuurders (CEO-fraude). Clone phishing kopieert een legitiem bericht met kwaadaardige wijziging. Business Email Compromise (BEC) misbruikt intern e-mailverkeer voor financiële fraude.

Typische signalen: onverwachte afzender, dringende taal ('actie binnen 24 uur'), spelfouten, verdachte links (hover over om echte URL te zien), vraag om inlog- of betaalgegevens, afwijkende afzenderadressen. Moderne phishing gebruikt AI en is steeds overtuigender — verificatie via een tweede kanaal (telefoon, in persoon) is vaak nodig.

Stop direct, sluit de browser, en meld het aan de interne helpdesk of CISO. Als je gegevens hebt ingevoerd, wijzig direct je wachtwoord op alle plaatsen waar dat wachtwoord wordt gebruikt. Bij mogelijke betaalfraude: direct contact met de bank. Snelle melding beperkt schade; schaamte voor de fout is menselijk maar niet productief.

Technische maatregelen: spam-filters, SPF/DKIM/DMARC-configuratie, URL-scanning, multi-factor authenticatie (MFA). Organisatorische maatregelen: awareness-training, phishing-simulaties, duidelijke meldprocedures. Geen enkele maatregel stopt alles — de combinatie telt.

CEO-fraude (ook wel whaling of BEC) is phishing waarbij criminelen zich voordoen als CEO of CFO om medewerkers te overtuigen grote bedragen over te maken of gevoelige informatie te delen. Berichten wijken subtiel af qua e-mailadres en spelen in op gezag en urgentie. Bescherming: vier-ogenprincipe bij betalingen en verificatie via een tweede kanaal.

Multi-factor authenticatie (MFA) vereist naast een wachtwoord een tweede bewijs van identiteit: een code op je telefoon, vingerafdruk of fysieke sleutel. MFA maakt phishing van wachtwoorden vrijwel onbruikbaar — zelfs als een aanvaller je wachtwoord heeft, komt hij er niet in zonder tweede factor. MFA is een van de meest effectieve beveiligingsmaatregelen.

Alleen als er persoonsgegevens zijn gelekt of dreigen gelekt te worden. In dat geval: melding bij de Autoriteit Persoonsgegevens binnen 72 uur (bij risico voor betrokkenen) en eventueel aan de betrokkenen zelf (bij hoog risico). Phishing zonder datalek hoeft niet aan de AP te worden gemeld, wel aan interne CISO en eventueel politie.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management