Phishing herkennen: de signalen in mail, sms en op nepsites
Phishing herkent u aan een paar terugkerende signalen: een onverwacht bericht dat haast opwekt ("betaal direct", "account geblokkeerd"), een link of QR-code die naar een net-verkeerd webadres wijst (bijvoorbeeld abnamro.nl.inloggen-abn.nl), een afzenderadres dat niet exact op het echte domein eindigt, een onpersoonlijke aanhef en taal- of spelfouten. Onthoud: banken, de Belastingdienst en de overheid vragen nooit via mail of sms om uw wachtwoord, pincode of BSN. Twijfelt u? Klik dan niet, maar ga zelf naar de bekende website of app.
Wat is phishing eigenlijk?
Phishing is letterlijk 'vissen' naar uw gegevens. Criminelen sturen een nepbericht — via e-mail, sms, WhatsApp of social media — dat lijkt te komen van uw bank, PostNL, de Belastingdienst of een bekende webwinkel. Het doel is steeds hetzelfde: u op een link laten klikken en op een nagemaakte inlogpagina uw wachtwoord, pincode, DigiD, BSN of betaalgegevens laten invullen.
Bij Fraud Detector zien we phishing als de meest voorkomende vorm van internetfraude in Nederland. Het werkt niet omdat mensen dom zijn, maar omdat de berichten steeds professioneler ogen en inspelen op een moment van haast of onoplettendheid. Wie de vaste patronen kent, prikt er sneller doorheen.
De 8 signalen waaraan u phishing herkent
Vrijwel elk phishingbericht bevat één of meer van de volgende signalen. Herkent u er twee of meer? Ga er dan van uit dat het niet klopt.
- Urgentie of dreiging: 'account geblokkeerd', 'betaal direct', 'laatste waarschuwing'. De Consumentenbond wijst erop dat in bijna elk phishingbericht bewust een gevoel van haast wordt aangepraat, zodat u niet nadenkt.
- Een verdacht webadres: de link lijkt op het echte domein maar is net anders, zoals login-consumentenbond.nl of abnamro.nl.nieuwsbrief-abn.nl. De echte bedrijfsnaam staat er wél in, maar op de verkeerde plek.
- Het afzenderadres klopt niet: het deel ná de @ eindigt niet exact op het echte domein van het bedrijf.
- Een onpersoonlijke aanhef: 'Geachte klant' of 'Beste gebruiker' bij een financieel bericht, terwijl uw bank uw naam kent.
- Taal- of spelfouten en vreemde zinsbouw, vaak het gevolg van vertaalsoftware.
- Een verdachte bijlage met een risicovolle extensie zoals .zip, .exe, .js, .scr of .jar — nooit openen.
- Een onverwacht verzoek om gevoelige gegevens (wachtwoord, pincode, DigiD, BSN). Geen enkele bank of overheidsinstantie vraagt hier ooit per mail of sms om.
- Een opvallend trage 'laadpagina' tijdens het inloggen: dat kan betekenen dat een crimineel uw ingevoerde gegevens live doorzet naar de echte site.
Phishing via sms en QR-code: smishing en quishing
Phishing beperkt zich allang niet meer tot e-mail. Bij smishing komt het nepbericht per sms of WhatsApp — vaak met een pakket-, boete- of bankthema en een generiek of onbekend nummer. Bij quishing gebruiken criminelen QR-codes op brieven, parkeerautomaten of stickers die naar een neppagina leiden. De onderstaande tabel helpt u de drie varianten uit elkaar te houden.
| Vorm | Kanaal | Typisch signaal | Wat u doet |
|---|---|---|---|
| Phishing | Onpersoonlijke aanhef, verkeerd afzenderdomein, urgente link | Niet klikken; zelf naar de bekende site of app gaan | |
| Smishing | Sms / WhatsApp | Onbekend nummer, pakket- of bankthema, verkorte link | Nummer niet vertrouwen; het bericht negeren en melden |
| Quishing | QR-code (papier/scherm) | QR-code op brief, sticker of automaat die naar inlogpagina leidt | Niet scannen; het adres zelf typen of de officiële app openen |
Het advies is bij alle drie hetzelfde: typ het webadres zelf in of gebruik de officiële app, in plaats van te klikken of te scannen. Een QR-code of link in een bericht is nooit een betrouwbaar startpunt.
Zo herkent u een nepwebsite
Belandt u toch op een inlogpagina, controleer dan het adres in de balk letter voor letter. Criminelen gebruiken subdomein-trucs waarbij de echte merknaam vooraan lijkt te staan, maar het werkelijke domein iets heel anders is (bijvoorbeeld ing.nl.veilig-inloggen.com — het domein is hier veilig-inloggen.com, niet ing.nl).
De veiligste regel bij twijfel: sluit de pagina, ga zelf naar de bekende website of open de officiële app, en log daar in. Nooit via de link in het bericht.
Wat te doen als u phishing ontvangt of erop klikte
Ontvangt u een verdacht bericht maar heeft u nog niets gedaan? Klik dan niet en stuur de mail door naar de Fraudehelpdesk via verdacht@fraudehelpdesk.nl. De Rijksoverheid adviseert nadrukkelijk om nooit op onvertrouwde links of QR-codes te klikken en verdachte berichten te melden.
Heeft u wél op een neppagina uw gegevens ingevuld? Handel dan snel:
- Wijzig direct uw wachtwoord van het betrokken account (en overal waar u datzelfde wachtwoord gebruikte).
- Bel uw bank via het officiële nummer als het om betaalgegevens of bankinloggegevens gaat.
- Meld de phishing bij de Fraudehelpdesk en doe aangifte bij de politie.
- Vermoedt u dat er schadelijke software is meegekomen of dat uw apparaat is gehackt? Scan uw systeem grondig.
Twijfelt u of er iets op uw apparaat is achtergebleven, lees dan onze uitleg over een systeem opschonen bij virus-verwijderen en de signalen bij is-mijn-computer-gehackt.
Hoe Bitdefender anti-phishing helpt
Oplettendheid is uw eerste verdedigingslinie, maar niemand is 24 uur per dag scherp. Daarom vormt een real-time anti-phishingfilter een nuttig vangnet voor de neplinks die u toch bijna aanklikt. Bitdefender Web Protection scant het webverkeer en blokkeert bekende phishing- en frauduleuze pagina's op het moment dat u ze opent: in plaats van de neppagina toont uw browser dan een waarschuwingspagina. Een aanvullend anti-fraudefilter waarschuwt voor sites die zich voordoen als een betrouwbaar bedrijf.
Dat dit werkt, is onafhankelijk getoetst. In de AV-Comparatives Anti-Phishing Certification 2026 (test uitgevoerd 11–22 mei 2026) blokkeerde Bitdefender 87% van de phishing-URL's zonder valse alarmen op legitieme banksites, en behaalde daarmee de certificering; de drempel daarvoor ligt op minimaal 85%. Die anti-phishingscore past in een breder patroon van consequente prestaties: in de AV-Test van april 2026 haalde Bitdefender Total Security een perfecte 18/18 met de titel TOP PRODUCT, en in de AV-Comparatives Real-World Protection-test (feb–mei 2026) blokkeerde het 99,5% van de aanvallen (award Advanced+).
Even belangrijk is wat een filter níet doet. Software vangt phishing nooit voor 100% af: de nieuwste neplinks glippen soms de eerste uren door voordat ze bekend zijn — vandaar dat 87% en niet 100%. Bovendien werkt de webfilter op links en websites. Een phishingbericht dat u alleen vraagt terug te bellen of te reageren (zonder link), een telefonische babbeltruc of een QR-code op papier valt buiten die bescherming. En de webfilter beschermt in de browser: klikt u via een app of een sterk versluierd adres, of gebruikt u een apparaat zonder Bitdefender, dan mist u die laag. Zie een anti-phishingfilter dus als extra vangnet naast uw eigen oplettendheid, niet als vervanging ervan.
Wilt u weten hoe de bescherming precies in elkaar zit, lees dan hoe Bitdefender werkt in onze explainer, of bekijk het productoverzicht op bitdefender-total-security.
Veelgestelde vragen
Hoe herken ik een nep-sms van mijn bank of PostNL?
Let op een onbekend of generiek afzendernummer, een aangepraat gevoel van haast (pakket vast, boete openstaand, rekening geblokkeerd) en een link die niet exact op het echte domein eindigt. Uw bank vraagt nooit per sms om in te loggen of gegevens te bevestigen. Ga bij twijfel zelf naar de officiële app of website in plaats van op de link te tikken.
Wat moet ik doen als ik op een phishinglink heb geklikt?
Heeft u alleen geklikt maar niets ingevuld, sluit de pagina dan en doe niets verder in dat venster. Heeft u wél gegevens ingevuld: wijzig meteen uw wachtwoord, bel uw bank via het officiële nummer, meld het bij de Fraudehelpdesk (verdacht@fraudehelpdesk.nl) en doe aangifte bij de politie. Scan bij twijfel ook uw apparaat op schadelijke software.
Vraagt een bank ooit per e-mail om mijn pincode of wachtwoord?
Nee. Banken, de Belastingdienst en de overheid vragen nooit per e-mail, sms of telefoon om uw pincode, wachtwoord, DigiD of BSN. Elk bericht dat daar wél om vraagt, is phishing.
Is een slotje (https) in de adresbalk een garantie dat een site veilig is?
Nee. Het slotje betekent alleen dat de verbinding versleuteld is, niet dat de eigenaar te vertrouwen is. Ook phishingsites gebruiken tegenwoordig gewoon https. Controleer altijd het volledige webadres letter voor letter.
Waar meld ik phishing in Nederland?
Stuur verdachte e-mails door naar de Fraudehelpdesk via verdacht@fraudehelpdesk.nl. Bent u geld kwijt of zijn uw gegevens misbruikt, doe dan ook aangifte bij de politie. De Rijksoverheid verwijst hiervoor eveneens naar de Fraudehelpdesk.
Houdt een virusscanner phishing tegen?
Deels. Een anti-phishingfilter zoals dat van Bitdefender blokkeert bekende neppagina's in de browser en toont een waarschuwing. Maar geen enkele scanner haalt 100%: de nieuwste neplinks glippen soms even door, en berichten zonder link of QR-codes op papier vallen buiten de webfilter. Software is een vangnet naast, niet in plaats van, uw eigen oplettendheid.
Wat is het verschil tussen phishing, smishing en quishing?
Het doel is telkens hetzelfde — u naar een neppagina lokken — maar het kanaal verschilt. Phishing gaat via e-mail, smishing via sms of WhatsApp en quishing via een QR-code (bijvoorbeeld op een brief of sticker). In alle gevallen geldt: klik of scan niet, maar ga zelf naar de bekende site of app.