Alles wat u moet weten over phishing

Door Christie Rae • 31 July 2025

Phishing is nog steeds een van de meest voorkomende cyberaanvallen die door cybercriminelen worden gebruikt. De meeste bedrijven hebben het in de praktijk gezien: e-mails met het verzoek om een 'dringende taak' af te ronden of een 'achterstallige betaling' te doen, soms zelfs met een CEO of een leidinggevende. De Britse overheid heeft zelfs... Onderzoek naar cyberbeveiligingsinbreuken 2025 ontdekte dat van de bedrijven of liefdadigheidsinstellingen die de afgelopen 12 maanden te maken hadden gehad met een inbraak of aanval, 85% van de bedrijven en 86% van de liefdadigheidsinstellingen te maken had gehad met phishingaanvallen.

In deze blog duiken we in de duistere wereld van phishing: wat het is, hoe u potentiële phishingpogingen kunt herkennen en hoe organisaties zich ertegen kunnen beschermen.

Veelvoorkomende phishingaanvallen gericht op bedrijven

E-mail phishing

Bij phishingaanvallen via e-mail sturen cybercriminelen hun doelwitten frauduleuze e-mails, die zich vaak voordoen als bekende bedrijven of leveranciers. Het doel? Slachtoffers ertoe verleiden een frauduleuze website te bezoeken, een bijlage met een virus of malware te openen en gevoelige informatie zoals bankgegevens of wachtwoorden van bedrijfsaccounts te delen.

Voorbeelden waar u op moet letten zijn:

Onverwachte facturen
E-mails van onbekende afzenders met bijlagen
Waarschuwingen voor ongebruikelijke activiteiten met links naar externe websites.

Speervissen

Spearphishing is een meer gerichte aanpak van e-mailphishing, waarbij gebruik wordt gemaakt van gemakkelijk verkrijgbare informatie over een bedrijf, zoals namen van medewerkers, om interne communicatie en vertrouwde bronnen na te bootsen. Het is essentieel om de identiteit van de afzender te verifiëren via een andere communicatiemethode, zoals Teams of via een telefoontje met een geverifieerd telefoonnummer.

Voorbeelden waar u op moet letten zijn:

Onverwachte 'dringende' e-mails die afkomstig lijken te zijn van uw HR- of IT-afdeling
Ongebruikelijke verzoeken, zogenaamd van iemand binnen uw bedrijf.

Compromis zakelijke e-mail

Zakelijk e-mailcompromis (BEC) Aanvallen zijn een andere gerichte en sinistere vorm van phishing, waarbij soms valse e-mailadressen worden gebruikt of zelfs echte e-mailaccounts van werknemers worden gehackt om een aanval uit te voeren. Ze richten zich vaak op vertrouwde personen of budgethouders en proberen hen te misleiden tot frauduleuze financiële transacties of het onthullen van gevoelige informatie. Criminelen kunnen zelfs een leverancier of verkoper compromitteren door facturen te versturen die legitiem lijken. BEC is zo wijdverbreid dat de FBI beweerde dat BEC-aanvallen kosten Amerikaanse en wereldwijde organisaties bijna 55.5 miljard dollar tussen 2013 oktober en 2023 december.

Voorbeelden van BEC-pogingen zijn:

CEO-fraude: 'Dringende' e-mails, zogenaamd afkomstig van het e-mailadres van een leidinggevende, maar in werkelijkheid beheerd door de dreigingsactor
Factuurfraude: Valse of gewijzigde facturen die betalingen omleiden naar de rekening van een aanvaller
Fraude door derden: Onverwachte facturen of verzoeken om bankgegevens van uw bestaande leveranciers te wijzigen, kunnen wijzen op een mogelijk gevaar.

Phishing klonen

Aanvallers die gebruikmaken van kloonphishing kopiëren een echte e-mail vrijwel identiek en sturen deze vervolgens opnieuw naar het beoogde slachtoffer met een nieuwe, schadelijke bijlage of link. Criminelen gebruiken vaak nep-e-mails met een vergelijkbare spelling als de e-mail die ze nabootsen. Ze kunnen echter ook geavanceerde e-mailspoofing gebruiken om de e-mail te laten lijken alsof de e-mail door de legitieme afzender is verzonden.

Voorbeelden waar u op moet letten zijn:

Dubbele e-mails, met name e-mails met nieuwe of gewijzigde links.

Hoe phishing-e-mails te identificeren

Hoewel het aanpakken van phishing een enorme opgave kan lijken, zijn er meerdere manieren om phishing-e-mails te identificeren.

Niet-overeenkomende e-maildomeinen: Is het e-maildomein hetzelfde als dat van het bedrijf dat de afzender claimt te vertegenwoordigen? Een officieel e-mailadres van ISMS.online zou er bijvoorbeeld zo uitzien: voornaam.achternaam@ISMS.online, support@isms.online, enz.

Dringende oproepen tot actie: E-mails die aandringen op dringende of onmiddellijke actie kunnen potentiële phishingpogingen zijn; een vals gevoel van urgentie is bedoeld om de ontvanger paniek te zaaien. Overweeg contact op te nemen met de afzender via officiële kanalen, bijvoorbeeld door het telefoonnummer op te zoeken op de officiële website van een bedrijf.

Spelling en grammatica: Spelfouten en grammaticale fouten kunnen wijzen op een phishingpoging, aangezien veel bedrijven een spellingscontrolefunctie in hun e-mailsoftware hebben.

Links: Door met de muis over een link te bewegen, kunt u de URL bekijken waarnaar de link u verwijst. In phishingmails wijkt dit vaak af van de tekst die in de e-mail wordt weergegeven.

Verzoeken om persoonlijke of financiële informatie te verzenden: Inloggegevens, betalingsgegevens en andere gevoelige gegevens mogen niet via e-mail worden gedeeld. Controleer ook of de website betrouwbaar is als een e-mail een link naar een externe website bevat waar u die gegevens kunt invoeren.

Uw organisatie beschermen tegen phishingaanvallen met ISO 27001

Het vaststellen van best practices voor cyberbeveiliging, zoals beschreven in de norm voor informatiebeveiliging ISO 27001 , stelt uw bedrijf in staat risico's te verminderen, de beveiliging te verbeteren en de impact van phishingaanvallen te beperken.

Training en bewustwording van medewerkers

Uw medewerkers vormen uw eerste verdedigingslinie als het gaat om cybersecurity. Door een training en bewustwordingsprogramma voor cybersecurity te implementeren, kan uw team potentiële phishingpogingen en andere cyberaanvallen identificeren en melden.

Uw trainings- en bewustmakingsprogramma moet ook de te volgen processen beschrijven, zoals de procedure die medewerkers moeten volgen om vermoedelijke phishingpogingen te melden. Het trainen van uw personeel om signalen van een phishingaanval te herkennen en ervoor te zorgen dat uw bedrijf strikte meld- en responsprocessen hanteert, maakt deel uit van een robuuste beveiligingshouding.

Access Controle

Beperk de rechten en privileges van medewerkers op basis van 'minste privilege'. Beperk bijvoorbeeld de toegang van een gemiddelde gebruiker tot alleen de middelen die hij of zij nodig heeft om zijn of haar werk te doen. Dit helpt de impact van een phishingpoging op uw organisatie te verminderen als een account wordt gehackt.

Bovendien kan het verplicht stellen van controlemaatregelen, zoals multifactorauthenticatie voor medewerkersaccounts, een belangrijke verdediging vormen tegen ongeautoriseerde toegang en gecompromitteerde inloggegevens.

Reactie op incidenten

Bedrijven die voldoen aan ISO 27001 moeten processen voor incidentrespons opzetten. Dit omvat het verzamelen van bewijsmateriaal, forensische analyse van informatiebeveiliging, escalatie naar klanten en relevante toezichthoudende autoriteiten, registratie van incidentresponsactiviteiten, interne incidentcommunicatie, incidentoplossing en analyse na incidenten. Effectieve respons op incidenten draagt bij aan een snellere oplossing en minimaliseert de impact van succesvolle aanvallen.

Veilige configuratie

De norm vereist dat bedrijven vanaf het begin beveiliging in hun bedrijfsvoering inbouwen, in plaats van er pas achteraf bij stil te staan. Deze aanpak verkleint de potentiële toegangspunten voor kwaadwillenden, bijvoorbeeld via onveilige e-mailgatewayoplossingen.

Beheer van externe leveranciers

Onze Rapport Staat van Informatiebeveiliging 2024 Uit onderzoek bleek dat bijna vier op de vijf (79%) van de respondenten getroffen was door een cyber- of informatiebeveiligingsincident veroorzaakt door een externe leverancier of partner in de toeleveringsketen. Een risicogebaseerde benadering van leveranciersrelaties kan de impact van dergelijke incidenten helpen beperken.

Uw bedrijf kan er bijvoorbeeld voor kiezen om sterk de voorkeur te geven aan samenwerking met leveranciers met een ISO 27001-certificering, de toegang van leveranciers tot informatie te beperken op basis van informatieclassificatieniveaus en het leveranciersrisico bij te houden als het onboarden van een leverancier mogelijk gevolgen heeft voor de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie of processen van uw organisatie.

Tot slot

Phishing is een wijdverbreide vorm van cyberaanval; gelukkig zijn veel van de signalen voor organisaties gemakkelijk te herkennen. Doorlopende scholing van medewerkers, implementatie van best practices voor beveiliging en een robuuste aanpak van informatiebeveiliging kunnen de kans op – en de impact van – succesvolle phishingaanvallen verkleinen. datalekken.

Naarmate cyberdreigingen zich blijven ontwikkelen, zullen proactieve bedrijven die een gelaagde aanpak van informatiebeveiliging implementeren en hun medewerkers de mogelijkheid geven om als hun eerste en belangrijkste verdedigingslinie te fungeren, ongetwijfeld de vruchten plukken.

Christie Rae

Christie is contentmarketingspecialist bij ISMS.online. Met meer dan zeven jaar ervaring wil ze informatieve, boeiende inhoud schrijven en heeft ze in een groot aantal sectoren gewerkt, waaronder cyberbeveiliging, software as a service, technologie en farmaceutica.