Vishing is telefonische fraude waarbij criminelen zich voordoen als uw bank, IT-leverancier of directie om gevoelige informatie of betalingen af te dwingen. In België werd in 2024 via phishing en aanverwante technieken 49 miljoen euro buitgemaakt. Bedrijven zijn een groeiend doelwit: real-time stemmanipulatie omzeilt spamfilters en geeft slachtoffers geen tijd om na te denken. Bescherming begint bij procedures, niet bij technologie.
Uw financieel directeur krijgt een telefoontje. De stem aan de andere kant klinkt professioneel, kent het bedrijf bij naam en verwijst naar een lopende factuur. “Er is een probleem met de betaling, ik stuur u zo de correcte gegevens door.” Klinkt geloofwaardig? Precies dat maakt vishing zo gevaarlijk. In België rapporteerde Febelfin dat cybercriminelen in 2024 ongeveer 49 miljoen euro buitmaakten via phishing en aanverwante technieken, waaronder telefonische fraude. Safeonweb publiceerde in januari 2026 een specifieke waarschuwing over de toename van vishing. En terwijl de meeste beschermingsadviezen zich richten op consumenten, blijven bedrijven opvallend onbeschermd. Dit artikel vult dat gat.
Wat is vishing en waarom is het effectiever dan e-mail?
Vishing is een samentrekking van “voice” en “phishing”: fraude via telefoongesprekken waarbij de beller zich voordoet als een betrouwbare partij. Het is een specifieke vorm van social engineering, de verzamelnaam voor manipulatietechnieken die menselijke psychologie misbruiken om toegang te krijgen tot systemen, gebouwen of informatie.
Wat vishing onderscheidt van klassieke e-mail phishing is het real-time karakter. Bij een e-mail kunt u pauzeren, nadenken en de afzender controleren. Bij een telefoongesprek bepaalt de aanvaller het tempo. De stemtoon, woordkeuze en schijnbare kennis van uw bedrijf creëren een gevoel van legitimiteit dat moeilijk te weerstaan is. Spamfilters, die bij e-mail phishing een groot deel van de aanvallen tegenhouden, zijn bij telefonische fraude nagenoeg machteloos.
Internationaal rapporteren onderzoekers dat vishing-aanvallen in 2025 met 449% zijn gestegen ten opzichte van het jaar daarvoor. Die explosieve groei is geen toeval: naarmate technische beveiligingsmaatregelen e-mail beter filteren, zoeken criminelen het pad van de minste weerstand, en dat is de telefoonlijn.
Wilt u meer weten over de bredere wereld van manipulatietechnieken? Lees dan ons artikel over de 7 meest voorkomende phishing-varianten die via digitale kanalen binnenkomen.
De vishing-golf in België: waarom 2026 een recordjaar dreigt te worden
De cijfers voor de Belgische markt zijn zorgwekkend. Safeonweb ontving in 2025 bijna 10 miljoen meldingen van verdachte berichten, gemiddeld 26.000 per dag. Het CCB (Centre for Cybersecurity Belgium) signaleert daarbij een groeiende integratie van vishing en smishing om tweefactorauthenticatiecodes te onderscheppen, een techniek die puur digitale phishing niet kan realiseren.
Febelfin bevestigt dat banken 75% van frauduleuze overschrijvingen detecteren, blokkeren of terugvorderen, maar dat de resterende 25% in 2024 nog altijd 49 miljoen euro bedroeg. Uit hun onderzoek met Indiville blijkt dat 13% van de Belgen al slachtoffer werd van phishing. In februari en maart 2026 waarschuwden zowel het CCB als Safeonweb specifiek voor een vishing-golf: slachtoffers ontvangen een oproep van een Belgisch mobiel nummer, een robotstem kondigt een fictieve betaling van 2.600 euro aan, waarna de beller aandringt op het delen van bankgegevens om de transactie te “blokkeren”.
Op regionaal niveau bevestigen politiecijfers de schaal van het probleem. In de Brusselse politiezones Marlow en Montgomery werden in 2025 alleen al 120 feiten van helpdeskfraude vastgesteld. In de zone Geel-Laakdal-Meerhout registreerde de politie 589 cybercrime-feiten in 2025 (een stijging van 13%), goed voor 2,74 miljoen euro schade.
De 5 vishing-scenario’s waar Belgische bedrijven mee te maken krijgen
De nep IT-helpdesk
Het meest voorkomende scenario: een medewerker wordt gebeld door iemand die beweert van Microsoft of de interne IT-dienst te zijn. Er zou een “kritiek beveiligingsprobleem” zijn vastgesteld. De medewerker wordt overtuigd om software voor externe toegang te installeren (AnyDesk, TeamViewer) en de toegangscodes te delen. Zodra de aanvaller controle heeft, worden inloggegevens gestolen of wordt ransomware uitgerold. De Belgische politie waarschuwt expliciet voor deze “Microsoft Support Scams”, waarbij de bellers vaak Engels spreken en dreigen het systeem te blokkeren als er niet onmiddellijk wordt meegewerkt.
CEO-fraude via telefoon
De duurste variant voor bedrijven. De aanvaller doet zich voor als de CEO of een andere bestuurder en vraagt om een dringende, vertrouwelijke overboeking. In België blijft het geval van Crelan het meest sprekende voorbeeld: de bank verloor 70 miljoen euro door CEO-fraude waarbij een medewerker in goed vertrouwen handelde op basis van instructies die van de directie leken te komen. Ook industrieel bedrijf Agidens werd slachtoffer van een vergelijkbare aanval. Waar deze fraude vroeger voornamelijk via e-mail (Business Email Compromise) verliep, wordt de telefoon steeds vaker als bijkomend overtuigingsmiddel ingezet.
Bankfraude-vishing
De aanvaller spooft het officiële nummer van een bank of Card Stop en waarschuwt voor een “verdachte transactie”. De medewerker wordt professioneel en overtuigend begeleid om handelingen uit te voeren met de kaartlezer of itsme. Belangrijk om te weten: Card Stop belt kaarthouders nooit proactief om fraude te melden. Febelfin herhaalt dit bij elke campagne, maar het scenario blijft effectief omdat het inspeelt op de angst om geld te verliezen.
Leveranciersfraude per telefoon
Een medewerker van de boekhouding wordt gebeld door iemand die beweert een bekende leverancier te zijn. Het rekeningnummer zou gewijzigd zijn. Deze vishing-oproep bevestigt vaak een eerder verstuurde phishing-mail, wat de geloofwaardigheid versterkt. Het gevaar zit in de bekendheid: omdat de leverancier al jaren samenwerkt met het bedrijf, is de drempel om kritisch te zijn lager. Zonder strikt verificatieprotocol kan een bedrijf maandenlang betalingen naar criminelen sturen.
Spoofing van overheidsnummers
Criminelen spoofen officiële nummers van de politie of federale overheidsdiensten. In 2025 waarschuwde de politiezone Zaventem dat hun eigen algemene nummer werd misbruikt om burgers en bedrijven op te bellen. De oplichters gebruikten valse pv-nummers om vertrouwen te wekken en vroegen vervolgens om bankgegevens of betalingen voor fictieve boetes. Ook de FOD Financiën wordt regelmatig geïmiteerd in vishing-campagnes rondom belastingaangiftes.
AI maakt vishing gevaarlijker: deepfake stemklonen
De grootste escalatie in vishing komt van artificiële intelligentie. Voice cloning-technologie maakt het mogelijk om op basis van slechts 20 tot 30 seconden audiomateriaal een digitale kopie van iemands stem te maken. Denk aan LinkedIn-video’s, webinars of bedrijfspresentaties: voor criminelen is dat voldoende bronmateriaal.
Het meest bekende voorbeeld is het incident bij engineeringbureau Arup in Hong Kong (2024). Een medewerker werd via een videovergadering met AI-gegenereerde deepfakes van de CFO en collega’s overtuigd om 25,6 miljoen dollar over te maken naar frauduleuze rekeningen. Geen enkel IT-systeem werd gehackt; het was pure social engineering, versterkt door technologie.
Het CCB waarschuwt dat deepfake-audio en -video steeds vaker worden ingezet om CEO-fraude en gerichte aanvallen geloofwaardiger te maken. Klassieke waarschuwingssignalen zoals taalfouten verdwijnen wanneer AI foutloos Nederlands, Frans of Engels genereert. Als dit bij een multinational kan gebeuren, kan het ook bij een Vlaamse KMO. Wilt u meer weten over deze technologie en hoe u zich ertegen beschermt? Lees dan ons uitgebreide artikel over deepfake fraude en voice cloning.
Hoe beschermt u uw bedrijf tegen vishing?
Dit is waar het verschil zit tussen een consumentartikel en een zakelijke aanpak. Waar particulieren vooral “hang op” te horen krijgen, heeft een bedrijf structurele procedures nodig.
Callback-verificatieprotocol. Het krachtigste wapen tegen vishing is verrassend eenvoudig: hang op en bel terug op een nummer dat u zelf opzoekt. Niet het nummer dat de beller geeft, niet het nummer in het display (dat kan gespoofd zijn), maar het nummer uit uw eigen contactenlijst of de officiële website. Dit geldt voor elke externe partij: bank, leverancier, IT-partner, en ook voor interne verzoeken die ongewoon aanvoelen.
Dual-authorization voor financiële transacties. Betalingen boven een vastgelegd drempelbedrag moeten altijd door minstens twee personen worden goedgekeurd, via onafhankelijke kanalen. Had Crelan dit protocol strenger toegepast, was de schade waarschijnlijk beperkt gebleven.
Codewoord-systeem. Voor gevoelige telefonische communicatie tussen directie en financiële afdeling kan een afgesproken codewoord dienen als extra verificatielaag. Belangrijk: dit codewoord wordt nooit digitaal gedeeld (niet via e-mail of chat), zodat het ook beschermd is tegen voice cloning.
MFA op alle accounts. Multifactorauthenticatie zorgt ervoor dat zelfs als inloggegevens via vishing worden buitgemaakt, de aanvaller niet verder komt. Het is geen bescherming tegen vishing zelf, maar beperkt de schade als een medewerker toch informatie deelt.
Vishing-simulaties als onderdeel van awareness training. Net zoals Cyberplan phishing simulaties inzet om medewerkers te trainen in het herkennen van frauduleuze e-mails, kunnen vishing-simulaties medewerkers in een veilige omgeving blootstellen aan realistische telefonische aanvallen. Uit de KnowBe4 benchmarkdata blijkt dat ongetrainde medewerkers een gemiddeld risicopercentage van 33,1% hebben. Na een jaar continue training daalt dit naar 4,1%, een risicoreductie van meer dan 86%.
Cultuurverandering. De belangrijkste maatregel is misschien wel de moeilijkste: een cultuur creëren waarin ophangen en terugbellen geen wantrouwen is, maar professionaliteit. Medewerkers die een verdacht telefoontje melden, verdienen erkenning, geen ongeduld. Cyberplan ondersteunt bedrijven bij het opzetten van zulke awareness-programma’s, inclusief vishing-trainingscomponenten.
Vishing en NIS2: waarom awareness training verplicht wordt
Sinds de inwerkingtreding van de Belgische NIS2-wet (18 oktober 2024) is security awareness geen vrijblijvende keuze meer voor bedrijven die onder de wetgeving vallen. Artikel 21, lid 2, punt g verplicht entiteiten expliciet tot “cyberhygiënepraktijken en opleiding op het gebied van cyberbeveiliging.” Concreet betekent dit dat bedrijven moeten kunnen aantonen dat zij hun medewerkers trainen tegen social engineering, waaronder vishing.
Het CyberFundamentals framework van het CCB vertaalt deze verplichting naar concrete richtlijnen per maturiteitsniveau. Zelfs op het basisniveau is awareness training een kernvereiste. De NIS2-gids van Cyberplan legt uit wat dit voor uw bedrijf betekent.
Goed nieuws voor het budget: awareness training is subsidieerbaar via de VLAIO KMO-portefeuille (45% subsidie voor kleine ondernemingen, 35% voor middelgrote). Daarnaast biedt het VLAIO cybersecurity verbetertraject tot 50% subsidie op een begeleid traject waarin awareness training een standaardonderdeel is.
Veelgestelde vragen over vishing
Wat is vishing precies?
Vishing staat voor “voice phishing”: telefonische fraude waarbij de beller zich voordoet als een betrouwbare organisatie (bank, overheid, IT-leverancier) om u te overtuigen gevoelige informatie te delen of een betaling uit te voeren. Anders dan bij e-mail phishing vindt de manipulatie in real time plaats, wat het slachtoffer minder tijd geeft om na te denken.
Wat is het verschil tussen phishing en vishing?
Phishing is de overkoepelende term voor fraude via digitale communicatie. E-mail phishing verloopt via valse e-mails, smishing via sms-berichten, en vishing via telefoongesprekken. Het verschil zit in het kanaal en de psychologische druk: bij vishing bepaalt de aanvaller het tempo en kan de stemtoon het vertrouwen versterken.
Hoe herken ik een vishing-aanval?
Let op onverwachte urgentie (“u moet nu handelen”), verzoeken om gevoelige informatie (wachtwoorden, codes, bankgegevens), en dreigementen of tijdsdruk. Een betrouwbare organisatie zal u nooit telefonisch vragen om wachtwoorden of pincodes. Bij twijfel: hang op en bel terug op het officiële nummer dat u zelf opzoekt.
Belt Card Stop mij als er fraude is?
Nee. Card Stop belt nooit proactief om fraude te melden. Als iemand u belt namens Card Stop en om uw kaartgegevens vraagt, is dat altijd fraude. Bel in geval van twijfel zelf naar Card Stop op 078 170 170.
Is vishing-awareness verplicht onder NIS2?
Ja. De Belgische NIS2-wet (art. 21, lid 2, punt g) verplicht bedrijven die onder de wetgeving vallen tot cyberhygiënepraktijken en opleiding op het gebied van cyberbeveiliging. Awareness training tegen telefonische social engineering valt hier expliciet onder.
Hoe kan ik mijn bedrijf laten testen op vishing-kwetsbaarheid?
Via vishing-simulaties: gecontroleerde nep-telefoontjes waarbij medewerkers worden getest op hun reactie. Cyberplan combineert dit met phishing simulaties en security awareness training tot een volledig programma.
Wilt u testen hoe kwetsbaar uw medewerkers zijn voor telefonische manipulatie? Cyberplan combineert phishing simulaties met vishing awareness training op maat van uw bedrijf. Boek een vrijblijvend kennismakingsgesprek en ontdek hoe u uw team structureel weerbaarder maakt.
