De drie meest voorkomende methoden van phishing zijn e-mail phishing, spear phishing en CEO-fraude. E-mail phishing is de breedste variant: criminelen sturen massaal nepberichten in de hoop dat iemand toehapt. Spear phishing is persoonlijker en gerichter, terwijl CEO-fraude specifiek inspeelt op autoriteit en hiërarchie binnen een organisatie. Samen zijn deze drie verantwoordelijk voor het overgrote deel van de digitale aanvallen op bedrijven. In dit artikel leggen we uit hoe ze werken, hoe je ze herkent en wat je eraan kunt doen.

Hoe werken phishing-aanvallen technisch gezien?

Phishing-aanvallen werken door vertrouwen te imiteren. Een aanvaller maakt een bericht dat er uitziet alsof het afkomstig is van een bekende afzender, zoals een bank, leverancier of collega, en verleidt de ontvanger tot een actie: klikken op een link, inloggen op een nepwebsite of een bijlage openen. Het doel is toegang tot gegevens, systemen of geld.

Technisch gezien maken aanvallers gebruik van een combinatie van trucs. Ze registreren domeinnamen die sterk lijken op echte domeinen, bijvoorbeeld “auren-nl.com” in plaats van “auren.nl”. Ze bouwen overtuigende kopieën van bestaande websites, voorzien van logo’s en correcte opmaak. En ze maken gebruik van zogenaamde e-mail spoofing, waarbij het afzenderadres eruitziet alsof het van een legitieme partij komt, terwijl dat niet zo is.

Zodra iemand klikt en inlogt op de neppe pagina, worden de inloggegevens direct doorgestuurd naar de aanvaller. In andere gevallen installeert een kwaadaardige bijlage malware op het systeem, soms zonder dat de gebruiker iets merkt. Dat maakt phishing zo gevaarlijk: het begint bij menselijk gedrag, niet bij een technische kwetsbaarheid in software.

Wat is het verschil tussen spear phishing en gewone phishing?

Gewone phishing is massaal en onpersoonlijk. Spear phishing is gericht en persoonlijk. Bij gewone phishing stuurt een aanvaller duizenden identieke berichten in de hoop dat een klein percentage toehapt. Bij spear phishing wordt één specifiek persoon of organisatie aangevallen, met berichten die zijn afgestemd op de ontvanger.

Spear phishing-aanvallen zijn daardoor veel overtuigender en gevaarlijker. De aanvaller heeft vooraf onderzoek gedaan: via LinkedIn, de bedrijfswebsite of eerdere datalekken weet hij wie de ontvanger is, wie zijn collega’s zijn en welke projecten er lopen. Het bericht bevat dan details die alleen iemand van binnenuit lijkt te kennen, wat de kans vergroot dat de ontvanger vertrouwen heeft.

Voor het MKB is dit een bijzonder relevant onderscheid. Grote bedrijven hebben vaak technische filters die massale phishing-campagnes onderscheppen. Spear phishing omzeilt die filters juist omdat het zo specifiek is. Een directeur of financieel medewerker die een e-mail ontvangt met zijn naam, zijn bedrijfsnaam en een verwijzing naar een recente factuur, is al snel geneigd te reageren zonder twee keer na te denken.

Wat is CEO-fraude en hoe verschilt het van e-mail phishing?

CEO-fraude is een specifieke vorm van spear phishing waarbij een aanvaller zich voordoet als een leidinggevende, meestal de directeur of CEO, om een medewerker te manipuleren tot een actie zoals een spoedoverboeking of het delen van vertrouwelijke gegevens. Het verschil met gewone e-mail phishing is dat CEO-fraude niet gericht is op het stelen van inloggegevens, maar op directe financiële schade of informatielekken via menselijke manipulatie. Voor organisaties die ook bredere financiële risico’s willen beheersen, bieden gespecialiseerde corporate finance-diensten aanvullend inzicht.

De aanpak is psychologisch slim. De “CEO” stuurt een dringende e-mail naar een medewerker van de financiële afdeling: er is een vertrouwelijke overname gaande, de betaling moet vandaag nog plaatsvinden, en niemand mag het weten. De combinatie van autoriteit, urgentie en geheimhouding zorgt ervoor dat medewerkers de normale controles overslaan.

CEO-fraude is moeilijker te herkennen dan standaard phishing, omdat er vaak geen verdachte links of bijlagen in het bericht zitten. Het is puur tekst, geschreven in de stijl van de leidinggevende. Criminelen bestuderen daarvoor soms maandenlang de communicatiestijl van een directeur via openbare bronnen.

Hoe herken je een phishing-poging in je inbox?

Een phishing-poging herken je aan een combinatie van signalen: een gevoel van urgentie, een onbekend of net-niet-kloppend afzenderadres, een verzoek om actie te ondernemen zoals klikken, betalen of inloggen, en taalgebruik dat net iets te formeel of juist te slordig is. Geen enkel signaal staat op zichzelf, maar samen vormen ze een duidelijk patroon.

  • Het afzenderadres klopt net niet:[email protected]” in plaats van “[email protected]
  • Er is ongewone urgentie: “Reageer binnen 2 uur anders wordt uw account geblokkeerd”
  • De link wijst ergens anders naartoe: zweef met je muis over de link zonder te klikken en controleer het werkelijke adres
  • Het verzoek is ongebruikelijk: een collega vraagt via e-mail om een wachtwoord of spoedoverboeking

Wat phishing extra lastig maakt, is dat de berichten er steeds professioneler uitzien. Spelfouten zijn al lang geen betrouwbare indicator meer. Moderne phishing-berichten zijn visueel vrijwel niet te onderscheiden van echte communicatie. Dat vraagt om bewustzijn bij medewerkers, niet alleen om technische filters. Wilt u meer weten over hoe Auren organisaties ondersteunt, bekijk dan wat Auren voor u kan betekenen.

Wat kun je doen om phishing-aanvallen te voorkomen?

Phishing voorkomen vraagt om een combinatie van technische maatregelen en menselijk bewustzijn. Geen enkele maatregel is waterdicht op zichzelf, maar samen verlagen ze het risico aanzienlijk. De meest effectieve aanpak combineert technologie, beleid en training.

Technisch gezien helpt het om e-mailauthenticatie in te stellen via protocollen als SPF, DKIM en DMARC. Deze standaarden maken het moeilijker voor aanvallers om jouw domeinnaam te misbruiken voor spoofing. Meerfactorauthenticatie (MFA) voorkomt dat gestolen inloggegevens direct bruikbaar zijn: zelfs als een medewerker zijn wachtwoord invoert op een neppe site, heeft de aanvaller dan nog niet genoeg om in te loggen.

Maar techniek alleen is niet genoeg. Medewerkers zijn de eerste verdedigingslinie én het voornaamste doelwit. Regelmatige bewustwordingstraining, inclusief gesimuleerde phishing-oefeningen, helpt mensen om signalen te herkennen en anders te reageren. Dat geldt voor de receptionist evengoed als voor de directeur. Actuele kennis en relevante evenementen over digitale weerbaarheid kunnen daarbij een waardevolle aanvulling zijn.

Voor organisaties die verder willen kijken dan losse maatregelen, is een bredere beoordeling van de digitale weerbaarheid zinvol. Denk daarbij aan een IT-audit die in kaart brengt waar de kwetsbaarheden zitten, niet alleen rondom phishing maar in de gehele IT-omgeving. Dat geeft een directeur of CFO het inzicht dat nodig is om gerichte keuzes te maken, zonder te verdwalen in technisch jargon.

Hoe Auren u helpt uw digitale weerbaarheid te versterken

Phishing is geen abstract risico. Het is de meest gebruikte ingang voor cyberaanvallen op bedrijven, en de schade, financieel, operationeel en reputatiegewijs, kan groot zijn. Wij helpen MKB-organisaties om grip te krijgen op hun digitale risico’s, zonder onnodige complexiteit.

  • IT-audit en risicoanalyse: we brengen uw IT-omgeving systematisch in kaart en identificeren waar de kwetsbaarheden zitten via onze IT Audit & Cyber Services
  • Compliance-ondersteuning: of het nu gaat om de NIS2-richtlijn, de AVG of interne beveiligingseisen van klanten, we vertalen regelgeving naar concrete stappen met ondersteuning vanuit onze tax & legal-expertise
  • Onafhankelijk advies: zonder eigen IT-auditor in huis krijgt u bij ons een externe, onafhankelijke beoordeling via onze Audit & Assurance-diensten die u kunt gebruiken richting accountants, klanten en toezichthouders

Wilt u weten hoe uw organisatie er digitaal voor staat? Neem contact op met Auren voor een vrijblijvend gesprek. We kijken graag mee, nuchter, concreet en zonder onnodig jargon.