Nepberichten, phishing en social engineering herkennen, Wat is digitale sociale engineering?

Computer Problemen & Vragen

Hulp nodig met je computer, laptop, Windows, WiFi of software?

Stel je vraag in onze Facebookgroep en krijg hulp van andere gebruikers, ICT’ers en enthousiaste communityleden.

Word lid van de Facebookgroep

Nepberichten, phishing en social engineering herkennen

In de digitale wereld van vandaag is het lastiger geworden om echte berichten van nepberichten te onderscheiden. Cybercriminelen gebruiken vaak social engineering: misleiding gericht op het manipuleren van mensen om vertrouwelijke informatie prijs te geven, geld over te maken of schadelijke software te installeren. Dit artikel legt in eenvoudige taal uit hoe je phishing, smishing, WhatsApp-fraude, QR-phishing, nepwebshops, AI-phishing, helpdeskfraude en spoofing herkent en wat je moet doen als je twijfelt of al hebt geklikt.

Waarom phishing steeds moeilijker te herkennen is

Vroeger waren nepberichten vaak makkelijk te herkennen aan spelfouten of vreemde zinnen. Door AI en professionele oplichters zijn berichten nu vaak foutloos en persoonlijk. Let daarom niet alleen op taal, maar op het totaalplaatje:

• Komt het verzoek onverwacht?
• Word je onder druk gezet of gehaast?
• Wordt er gevraagd om geld, wachtwoorden of verificatiecodes?
• Moet je op een link klikken of een bijlage openen?
• Komt het bericht van het juiste domein of e-mailadres?

Bij twijfel: stop, controleer via een officieel kanaal en handel pas daarna.

Het slotje in de browser betekent niet automatisch veilig

Een slotje in de adresbalk geeft alleen aan dat de verbinding versleuteld is. Het zegt niets over de betrouwbaarheid van de website of de eigenaar. Criminelen kunnen eenvoudig een SSL-certificaat aanvragen, waardoor een phishing-site ook een slotje kan tonen. Controleer altijd de volledige domeinnaam en let op misleidende constructies zoals subdomeinen of extra woorden. Oplichters gebruiken domeinen die sterk lijken op echte domeinen door woorden, cijfers of streepjes toe te voegen. Controleer altijd het deel achter het apenstaartje en het laatste duidelijke domein vóór .nl, .com of .net.

Wat is een domeinnaam en extensie? Een domeinnaam is het leesbare adres dat mensen gebruiken in plaats van een IP‑nummer. Voor een website zie je dit in de URL: in https://www.voorbeeld.nl is voorbeeld.nl de domeinnaam. Voor e‑mail staat de domeinnaam achter het apenstaartje: in naam@voorbeeld.nl is voorbeeld.nl ook het domein dat de mailserver aanwijst. De domeinnaam bestaat uit een second‑level deel (voorbeeld) en de extensie (.nl). De extensie is het laatste deel van een domeinnaam, zoals .nl, .com of .shop.

Voorbeelden verdachte e-mailadressen:

• ing-bank-123.nl in plaats van ing.nl
• rabobank-login.net in plaats van rabobank.nl
• support@apple-support-verificatie.com — verdacht

Regel: kijk naar het eigenlijke domein, niet naar de tekst vóór het extensie en domein.

Lees het domein van rechts naar links: identificeer het laatste duidelijke domein vóór .nl/.com (bijv. in rabobank.nl.veilig-inloggen.com is het echte domein veilig-inloggen.com). Belangrijk: vertrouw niet op tekst vóór het domein en de extensie.

Voorbeeld van misleiding:

• https://www.rabobank.nl — officieel
• https://rabobank-login-controle.net — verdacht
• https://rabobank.nl.inloggen-controle.com — verdacht (echt domein is inloggen-controle.com)

Veelvoorkomende signalen van phishing

Let extra op als een bericht:

• Je niet persoonlijk aanspreekt (bijv. “Beste klant”).
• Druk, dreiging of spoed gebruikt.
• Vraagt om direct te betalen of gegevens te bevestigen.
• Een onverwachte bijlage of QR-code bevat.
• Verzoekt om wachtwoorden, pincodes of verificatiecodes.
• Links of e-mailadressen toont die afwijken van het officiële domein.

Een betrouwbare organisatie vraagt nooit via e-mail, sms of telefoon om je volledige wachtwoord, pincode of bankgegevens.

Verdachte domeinnamen, subdomeinen en e-mailadressen

Oplichters gebruiken domeinen die sterk lijken op echte domeinen door woorden, cijfers of streepjes toe te voegen. Controleer altijd het deel achter het apenstaartje en het laatste duidelijke domein vóór .nl, .com of .net.

Voorbeelden verdachte domeinen en e-mailadressen:

• ing-bank-123.nl in plaats van ing.nl
• rabobank-login.net in plaats van rabobank.nl
• support@apple-support-verificatie.com — verdacht

Regel: kijk naar het eigenlijke domein, niet naar de tekst vóór de extensie.

Smishing: phishing via sms

Smishing is phishing via sms. Typische berichten claimen bijvoorbeeld dat een pakket niet bezorgd kan worden of dat je bankpas verloopt. Klik niet op links in sms’jes; ga zelf naar de officiële website of app van de organisatie.

WhatsApp-fraude en hulpvraagfraude

Bij WhatsApp-fraude doet iemand zich voor als een bekende en vraagt om geld of hulp. Vaak begint het met “Hoi mam, dit is mijn nieuwe nummer” of “Ik heb mijn telefoon laten vallen”. Controleer altijd via het oude nummer of spreek een persoonlijke controlevraag af. Maak nooit geld over op basis van één appbericht.

QR-phishing (quishing)

QR-phishing werkt via QR-codes die naar nagemaakte websites leiden. Scan alleen QR-codes van vertrouwde bronnen en controleer na het scannen altijd de websitenaam voordat je gegevens invoert of betaalt.

Nepwebshops herkennen

Nepwebshops stelen betaalgegevens of geld. Let op deze signalen:

• Onrealistisch lage prijzen.
• Weinig of geen onafhankelijke reviews.
• Ontbrekende of foutieve contactgegevens.
• Alleen vooruitbetaling mogelijk.
• Domeinnaam lijkt op een bekende webshop maar wijkt net af.

Twijfel je? Zoek bedrijfsnaam, domein en reviews apart op en controleer het KvK-nummer.

All Day Tech & Gaming

Dé community voor tech, hardware, pc builds, gaming en streaming

Praat mee over computers, hardware, software, gaming, streaming en smart home. Deel je setup, stel vragen en ontmoet andere tech- en gamingliefhebbers uit Nederland en België.

Word lid van de community

Valse bijlagen en malware

Bijlagen (Word, Excel, PDF, ZIP) kunnen malware bevatten. Wees extra voorzichtig bij bijlagen met teksten als “Open direct de factuur” of “Activeer macro’s”. Activeer nooit macro’s op verzoek van een onbekende afzender.

Telefoonspoofing en helpdeskfraude

Spoofing is het vervalsen van het belnummer zodat het lijkt alsof een bekende organisatie belt. Hang op en bel zelf terug via het officiële nummer van de organisatie (gevonden op de officiële website). Gebruik nooit het nummer dat in het verdachte gesprek werd getoond.

Bankhelpdeskfraude: banken vragen nooit om geld over te maken naar een “veilige rekening”, je pincode door te geven of software te installeren. Laat je bankpas nooit ophalen.

Microsoft-helpdeskfraude: Microsoft belt niet ongevraagd om persoonlijke of financiële gegevens te vragen of om technische ondersteuning te bieden.

Deel nooit gevoelige gegevens

Geef nooit via telefoon, e-mail of chat:

• Wachtwoorden, pincodes, verificatiecodes.
• Bankgegevens of creditcardgegevens.
• Kopieën van identiteitsbewijzen of je BSN (tenzij wettelijk noodzakelijk).
• Toegang tot je computer via AnyDesk, TeamViewer of vergelijkbare software.

Wat criminelen met jouw gegevens kunnen doen

Met gestolen gegevens kunnen criminelen:

• Geld van je rekening halen.
• Bestellingen op jouw naam plaatsen.
• Leningen of abonnementen afsluiten.
• Accounts overnemen en identiteitsfraude plegen.

Bescherm vooral je e-mailaccount, omdat dit vaak wordt gebruikt om wachtwoorden te resetten.

Wat te doen bij twijfel

Bij twijfel over een bericht of telefoontje:

1. Klik niet op links.
2. Open geen bijlagen.
3. Bel niet terug naar het nummer uit het bericht.
4. Ga naar de officiële website of app en gebruik het telefoonnummer daar.
5. Vraag advies aan iemand met verstand van zaken.

Vuistregel: Twijfel = stoppen, controleren, pas daarna handelen.

Wat te doen als je tóch hebt geklikt

Alleen geklikt, niets ingevuld

• Sluit de website en vul niets in.
• Controleer browser en beveiligingssoftware.
• Blijf alert op vervolgberichten.

Gegevens ingevuld

• Wijzig direct je wachtwoord.
• Schakel tweestapsverificatie in.
• Controleer herstel-e-mail en actieve sessies.

Bankgegevens ingevuld of geld overgemaakt

• Bel direct je bank via het officiële noodnummer.
• Laat rekeningen blokkeren indien nodig.
• Doe aangifte bij de politie en meld de fraude bij de Fraudehelpdesk.

Software geïnstalleerd voor hulp op afstand

• Verbreek de internetverbinding.
• Sluit het programma af en laat je apparaat controleren.
• Wijzig wachtwoorden vanaf een veilig apparaat.

Hoe je jezelf beter beschermt

• Gebruik sterke, unieke wachtwoorden en een wachtwoordmanager.
• Schakel tweestapsverificatie in.
• Houd besturingssystemen en apps up-to-date.
• Installeer apps alleen uit officiële appstores.
• Maak regelmatig back-ups.
• Gebruik voor bankzaken bij voorkeur de officiële bank-app.
• Train jezelf en medewerkers in het herkennen van phishing.

Extra aandacht voor bedrijven en ondernemers

Voor organisaties is phishing extra risicovol: één klik kan toegang geven tot mailboxen of klantgegevens. Zorg voor:

• Medewerkerstraining en bewustwording.
• Duidelijke betaal- en autorisatieprocedures.
• Veilige e-mailinstellingen en beveiligingsstandaarden.
• Een intern meldproces voor verdachte e-mails.

Betaalverzoeken via e-mail of WhatsApp altijd via een tweede kanaal verifiëren.

Meld verdachte berichten en fraude

Ontvang je een verdachte e-mail? Stuur deze door naar de organisatie die wordt misbruikt en meld het bij de Fraudehelpdesk. Ben je slachtoffer geworden? Neem direct contact op met je bank, doe aangifte bij de politie en meld de fraude bij de Fraudehelpdesk.

Samenvatting: belangrijkste regels

• Een slotje betekent niet automatisch dat een website betrouwbaar is.
• Klik niet zomaar op links in e-mails, sms’jes of WhatsApp-berichten.
• Controleer altijd het echte domein.
• Deel nooit wachtwoorden, pincodes of verificatiecodes.
• Een bank vraagt nooit om geld naar een “veilige rekening”.
• Twijfel? Stop, controleer en vraag hulp.