NL
NL
Boek een kennismaking
Blog

7 soorten phishing die elke Vlaamse werknemer moet herkennen in 2026

Ontdek de 7 phishing-soorten die Vlaamse bedrijven in 2026 treffen, van AI-spear phishing tot quishing. Leer hoe uw medewerkers ze herkennen en uw KMO beschermen.
Drie kantoormedewerkers bekijken aandachtig een computerscherm tijdens een phishing-simulatie om verdachte e-mailkenmerken en AI-gegenereerde fraude te leren herkennen.

In 2025 stuurden Belgen bijna 10 miljoen verdachte berichten door naar Safeonweb. Dat zijn er meer dan 27.000 per dag. Volgens Febelfin werd in 2024 alleen al 49 miljoen euro buitgemaakt via phishing in ons land, en nergens in de EU is de kans op werkelijke financiële schade zo groot als in België.

Toch is het grootste risico voor uw bedrijf niet de hoeveelheid aanvallen. Het is de kwaliteit ervan. AI-tools maken phishingberichten nu foutloos in het Nederlands, perfect afgestemd op uw sector en zelfs op individuele medewerkers. De spelfouten en vreemde zinsbouw die uw team vroeger alert maakten? Die zijn verleden tijd.

In dit artikel leert u welke 7 phishing-soorten uw medewerkers in 2026 moeten herkennen, hoe die aanvallen psychologisch werken en wat u als bedrijf concreet kunt doen.

1. AI-gedreven spear phishing: persoonlijk, foutloos en gevaarlijk

Klassieke phishing stuurt één generiek bericht naar duizenden ontvangers. Spear phishing doet het omgekeerde: één zorgvuldig opgesteld bericht, specifiek gericht op één persoon binnen uw organisatie.

In 2026 automatiseert AI dat volledige proces. Algoritmes verzamelen in seconden informatie van LinkedIn-profielen, bedrijfswebsites en eerdere datalekken. Vervolgens genereert een taalmodel een e-mail die er precies uitziet als een bericht van een bekende collega, leverancier of HR-tool. De taal is vlekkeloos, de context klopt en de opmaak is identiek aan wat uw medewerker dagelijks ontvangt.

Wanneer dit type aanval gericht is op het senior management (CEO, CFO, directieleden), spreekt men van whaling. De aanvaller doet zich dan voor als een advocaat, toezichthouder of zakenpartner en creëert een scenario dat strikte vertrouwelijkheid en onmiddellijke actie vereist. Denk aan een dringend verzoek om een betaling goed te keuren voor een “vertrouwelijke overname”.

Hoe herkennen:

  • Onverwachte verzoeken om geld over te maken of gevoelige gegevens te delen, ook al lijkt de afzender vertrouwd
  • Nadruk op geheimhouding (“bespreek dit met niemand”)
  • Tijdsdruk die u belet om even na te denken of te verifiëren

2. Quishing: de QR-code als vermomde valstrik

QR-codes zijn overal. Van parkeerautomaten en menukaarten tot facturen en handleidingen. We zijn zo gewend om ze te scannen dat we amper nog nadenken bij het openen. Precies die reflex maken cybercriminelen misbruik van via quishing, een combinatie van QR-code en phishing.

Het principe is eenvoudig maar effectief. In plaats van een klikbare link in een e-mail, plaatst de aanvaller een QR-code. Omdat e-mailbeveiligingssoftware de pixels van een afbeelding niet kan lezen als URL, glipt het bericht gewoon door uw spamfilters heen.

Het risico wordt groter doordat uw medewerker de QR-code scant met een smartphone. Die smartphone valt vaak buiten het beheer van de IT-afdeling, zeker bij Bring Your Own Device-beleid. De code leidt dan naar een nepwebsite die inloggegevens steelt, of start de download van malware.

Quishing beperkt zich niet tot e-mail. De Lokale Politie waarschuwt regelmatig voor frauduleuze QR-codes die over echte codes worden geplakt op parkeerautomaten, affiches en papieren facturen.

Hoe herkennen:

  • Onverwachte QR-codes in e-mails, vooral met een dringend verzoek
  • QR-codes op fysieke locaties die er “over geplakt” uitzien
  • Na het scannen: controleer altijd de URL voordat u inloggegevens invoert

3. Browser-in-the-Browser: het nep-inlogvenster dat er perfect uitziet

Jarenlang leerden we medewerkers twee dingen te controleren bij het inloggen: staat de URL correct in de adresbalk, en zie je het hangslotje (HTTPS)? De Browser-in-the-Browser-aanval (BitB) maakt beide controles waardeloos.

Bij een BitB-aanval belandt uw medewerker op een website die vraagt om in te loggen via Microsoft 365, Google Workspace of een andere vertrouwde dienst. Er verschijnt een pop-up venster dat er identiek uitziet als een echt inlogscherm. De URL in dat venster toont netjes login.microsoftonline.com, compleet met hangslot.

Maar dat pop-up venster is nep. Het is gebouwd met HTML en CSS, als een laag bovenop de malafide webpagina. De aanvaller bepaalt zelf wat er in de adresbalk van dat nepvenster staat. Uw medewerker ziet precies wat hij verwacht te zien, voert zijn wachtwoord in, en dat gaat rechtstreeks naar de aanvaller.

Hoe herkennen:

  • Probeer het inlogvenster te verslepen buiten het browservenster. Een echt pop-up venster kan dat, een nep venster niet
  • Let op: kwam u op deze pagina via een onverwachte link of advertentie?
  • Gebruik bij twijfel een wachtwoordmanager. Die vult automatisch niets in op een nep-domein

4. MFA fatigue: de aanval die uw beveiliging uitput

Multi-factor authenticatie (MFA) is een van de beste beveiligingsmaatregelen die er bestaan. Toch heeft slechts 46% van de Belgische organisaties MFA volledig geïmplementeerd op al hun externe verbindingen, blijkt uit onderzoek van het CCB. En zelfs wie MFA gebruikt, is niet automatisch veilig.

Bij een MFA fatigue-aanval heeft de crimineel het wachtwoord van een medewerker al in handen, bijvoorbeeld via een eerder datalek of phishing-aanval. Hij probeert in te loggen, en het systeem stuurt correct een pushnotificatie naar de smartphone van de medewerker. De medewerker weigert. Maar de aanvaller geeft niet op. Met geautomatiseerde scripts vuurt hij tientallen of honderden inlogpogingen af. De smartphone wordt gebombardeerd met meldingen, vaak ’s avonds laat, in het weekend of midden in een vergadering.

De strategie leunt volledig op uitputting. Op een bepaald moment klikt de medewerker op “Goedkeuren”, uit frustratie, vermoeidheid of in de veronderstelling dat IT een update uitvoert. Dat ene moment van zwakte geeft de aanvaller volledige toegang.

Hoe herkennen en voorkomen:

  • Keur nooit een MFA-verzoek goed dat u niet zelf heeft geïnitieerd
  • Ontvang u herhaaldelijke MFA-meldingen? Meld dit onmiddellijk aan uw IT-afdeling
  • Overweeg phishing-resistente MFA, zoals number matching of FIDO2-hardwaresleutels

5. Supply chain phishing: de aanval via uw leverancier

Uw eigen beveiliging kan waterdicht zijn, maar wat als de aanval binnenkomt via een vertrouwde leverancier? Bij supply chain phishing, ook wel Vendor Email Compromise (VEC) genoemd, richten criminelen zich eerst op de zwakste schakel in uw toeleveringsketen.

Zodra ze toegang hebben tot het e-mailsysteem van een leverancier, gedragen ze zich opvallend geduldig. Ze observeren weken of maanden lang de communicatiepatronen, facturatiecycli en lopende projecten. Ze leren wie waarvoor verantwoordelijk is en wanneer grote betalingen plaatsvinden.

Dan slaan ze toe. Een e-mail vanuit het echte, legitieme e-mailadres van uw leverancier. Het bericht past perfect in een lopende conversatie. Het verzoek? Vaak iets onschuldigs: “Onze bankgegevens zijn gewijzigd wegens een interne herstructurering, gelieve de factuur naar dit nieuwe rekeningnummer over te maken.” Omdat het bericht afkomstig is van de authentieke e-mailinfrastructuur van de partner, passeren alle technische controles (SPF, DKIM, DMARC) zonder probleem.

Hoe herkennen:

  • Verifieer wijzigingen in betaalgegevens altijd telefonisch, via een nummer dat u al kent (niet het nummer uit de e-mail)
  • Wees extra alert bij onverwachte wijzigingen in contracten, facturen of rekeningnummers
  • Het feit dat een e-mail van een bekend adres komt, is geen garantie dat de afzender te vertrouwen is

6. Smishing en CEO-fraude via WhatsApp en sms

De grenzen tussen werk en privé zijn vervaagd. Instructies worden net zo makkelijk via WhatsApp gegeven als via e-mail. Cybercriminelen spelen daar gretig op in met smishing (sms-phishing) en CEO-fraude via alternatieve kanalen.

Het scenario is herkenbaar. Een medewerker van de financiële afdeling ontvangt een WhatsApp-bericht van een onbekend nummer. De profielfoto toont de CEO. “Mijn bedrijfstelefoon is defect, ik gebruik even een ander toestel.” Daarna volgt een dwingend verzoek: een dringende betaling goedkeuren, cadeaukaarten kopen of vertrouwelijke gegevens delen.

De kracht van deze aanval zit in het kanaal. WhatsApp is informeel, snel en direct. Er zijn geen spamfilters, geen waarschuwingsbanners voor externe afzenders. En de hiërarchische druk is groot: wie durft de CEO te weigeren?

Het CCB waarschuwt specifiek voor de aanhoudende stijging van gerichte fraude via WhatsApp, Telegram en sms. Recente cijfers van het CCB bevestigen dat ook vishing (telefonische oplichting) fors toeneemt, met steeds slimmere AI-gestuurde technieken.

Hoe herkennen:

  • Uw CEO of directie zal nooit via WhatsApp om dringende betalingen vragen (en als dat toch de bedrijfscultuur is: verander die afspraak)
  • Verifieer altijd via een ander kanaal: bel de persoon terug op het officiële nummer
  • Wees extra wantrouwig bij verzoeken die geheimhouding vereisen

7. Autoriteitsspoofing: valse berichten van overheden en banken

In België is autoriteitsspoofing een van de meest voorkomende phishing-soorten. Criminelen sturen berichten die lijken te komen van vertrouwde instanties: de Christelijke Mutualiteit, het RIZIV, De Watergroep, de Federale Politie, FOD Financiën of uw bank.

De berichten spelen in op twee emoties: verlangen (een onverwachte terugbetaling) of angst (een dreigende afsluiting, boete of zelfs dagvaarding). Recente campagnes omvatten onder meer valse identiteitsverificaties via CSAM, nepberichten van sociale secretariaten zoals Liantis en Acerta, en frauduleuze terugbetalingen van ziekenfondsen.

Deze campagnes zijn geen willekeurige acties. Ze zijn gesynchroniseerd met de belastingperiode, wetswijzigingen of actuele gebeurtenissen. De schaal is enorm: Safeonweb publiceerde alleen al in de eerste helft van 2025 meer dan 36 waarschuwingen over specifieke phishingcampagnes.

Het gevaar voor uw bedrijf? Wanneer medewerkers dergelijke berichten openen op de werkvloer, via een privéaccount op het bedrijfsnetwerk, volstaat één klik om ransomware of malware binnen te halen die zich door het hele netwerk verspreidt.

Hoe herkennen:

  • Overheidsdiensten en banken vragen nooit via e-mail of sms om bankgegevens of wachtwoorden
  • Controleer altijd het echte e-mailadres van de afzender (niet alleen de weergavenaam)
  • Ga bij twijfel zelf naar de officiële website, klik nooit op links in het bericht

Wat kunt u als bedrijf doen tegen deze phishing-soorten?

De rode draad door alle zeven aanvallen is dezelfde: ze richten zich op de mens, niet op de technologie. De beste firewalls en e-mailfilters houden een groot deel tegen, maar de aanvallen die erdoor glippen, worden steeds moeilijker te onderscheiden van echte communicatie.

Drie maatregelen maken het verschil:

Doorlopende phishing-simulaties. Eenmalige trainingen zijn onvoldoende. Medewerkers moeten regelmatig geconfronteerd worden met realistische testcampagnes die aansluiten bij actuele dreigingen. Zo ontwikkelen ze een gezonde reflex die ook standhoudt bij de nieuwste technieken.

Technische versterking. Implementeer phishing-resistente MFA (number matching of FIDO2), verscherp uw e-mailbeveiliging en zorg voor duidelijke procedures bij afwijkende betaalverzoeken. Combineer dit met netwerksegmentatie zodat één gecompromitteerd account niet uw hele organisatie blootstelt.

Een veiligheidscultuur. Maak het normaal en laagdrempelig om verdachte berichten te melden. Bestraf medewerkers die in een simulatie klikken niet, maar gebruik het als leermoment. Uw medewerkers zijn niet de zwakste schakel, ze zijn uw eerste verdedigingslijn.

Veelgestelde vragen over phishing soorten herkennen

Wat is het verschil tussen phishing, spear phishing en whaling?

Phishing is de verzamelnaam voor alle vormen van digitale oplichting via valse berichten. Spear phishing is de gerichte variant, waarbij de aanvaller zijn bericht specifiek afstemt op één persoon of afdeling. Whaling is spear phishing die gericht is op het senior management, zoals de CEO of CFO.

Kan mijn bedrijf via een QR-code gehackt worden?

Ja. Bij quishing leidt een frauduleuze QR-code naar een nepwebsite die inloggegevens steelt, of start de download van malware. Omdat QR-codes niet door standaard e-mailfilters worden gedetecteerd en medewerkers ze vaak scannen met hun (onbeheerde) smartphone, vormen ze een reëel risico voor bedrijfsnetwerken.

Is multi-factor authenticatie (MFA) nog veilig?

MFA blijft een belangrijke beveiligingslaag, maar is niet onfeilbaar. MFA fatigue-aanvallen proberen medewerkers te overrompelen met herhaaldelijke pushnotificaties totdat ze per ongeluk goedkeuren. Phishing-resistente varianten zoals number matching of FIDO2-hardwaresleutels bieden beduidend meer bescherming.

Hoe bescherm ik mijn bedrijf tegen supply chain phishing?

De belangrijkste maatregel is een vast verificatieprotocol: bevestig wijzigingen in betaalgegevens altijd via een tweede kanaal (telefonisch, op een nummer dat u al kent). Aanvullend helpt een ISO 27001-traject om leveranciersrisico’s structureel te beheren.

Hoe vaak moet ik mijn medewerkers trainen tegen phishing?

Eenmalige trainingen hebben weinig langetermijneffect. Doorlopende phishing-simulaties, minimaal om de 4 tot 6 weken, zorgen ervoor dat medewerkers een actieve alertheid ontwikkelen. De moeilijkheidsgraad groeit idealiter mee met het kennisniveau van uw team.

Waar kan ik verdachte berichten melden in België?

Stuur verdachte e-mails en screenshots van verdachte sms’en door naar verdacht@safeonweb.be. Dit helpt het Belgische Anti-Phishing Shield (BAPS) om kwaadaardige links sneller te blokkeren. In 2025 werden dankzij deze meldingen 200 miljoen keer gebruikers omgeleid naar een waarschuwingspagina.

Uw medewerkers trainen met realistische phishing-simulaties?

De phishing-soorten van 2026 zijn geavanceerder dan ooit. Spelfouten zijn verdwenen, AI maakt elke aanval persoonlijk en nieuwe technieken als quishing en Browser-in-the-Browser omzeilen traditionele beveiligingstools.

Cyberplan helpt Vlaamse bedrijven met doorlopende phishing-simulaties die specifiek zijn afgestemd op uw sector, bedrijfsgrootte en het kennisniveau van uw medewerkers. Geen eenmalige PowerPoint, maar een continu traject dat uw team stap voor stap transformeert tot een alerte eerste verdedigingslijn.

Als erkend VLAIO-dienstverlener komt uw investering in security awareness bovendien in aanmerking voor de KMO-portefeuille: tot 45% subsidie voor kleine ondernemingen en 35% voor middelgrote bedrijven.

Benieuwd hoe uw medewerkers scoren op een realistische phishing-test? Boek een vrijblijvend gesprek en ontdek waar uw bedrijf staat.