Welke vorm van phishing komt het meest voor?

Meest voorkomende vorm van phishing: e-mail phishing

De meest voorkomende vorm van phishing is e-mail phishing. Deze methode vormt een aanzienlijk risico voor uw digitale veiligheid en persoonlijke gegevensbescherming. Het herkennen van deze misleidende berichten voorkomt financiële schade en de diefstal van gevoelige inloggegevens door cybercriminelen. Een goed begrip van deze frauduleuze methoden verhoogt uw online weerbaarheid tegen moderne cyberdreigingen.

E-mail phishing: De onbetwiste koploper in 2026

E-mail phishing blijft de meest voorkomende vorm van phishing, waarbij ongeveer 91% van alle succesvolle cyberaanvallen begint met een misleidend bericht in de inbox. ^[1] Deze methode is populair omdat criminelen met een minimale inspanning duizenden mensen tegelijk kunnen bereiken, hopend dat een klein percentage op een malafide link klikt of inloggegevens deelt.

In 2026 is het landschap echter drastisch veranderd door de integratie van kunstmatige intelligentie. Aanvallen zijn niet langer herkenbaar aan slecht taalgebruik of vreemde lay-outs. Statistieken tonen aan dat AI-gegenereerde phishing-e-mails aanzienlijk vaker worden geopend dan handgeschreven varianten. ^[2] Dit komt doordat de toon en stijl nu vrijwel niet meer te onderscheiden zijn van legitieme correspondentie van banken, overheden of grote webshops.

Niet alleen het volume is toegenomen, maar ook de precisie. Hoewel massa-phishing nog steeds het meest voorkomt, zien we een verschuiving naar meer geraffineerde technieken waarbij de grens tussen een algemene e-mail en een gerichte aanval vervaagt. Het is simpel: zolang e-mail het primaire communicatiemiddel voor bedrijven en consumenten blijft, zal dit de favoriete ingang voor cybercriminelen zijn.

Waarom e-mail phishing zo effectief blijft

De kracht van de meest voorkomende vorm van phishing ligt in psychologische manipulatie, ook wel social engineering genoemd. Criminelen maken handig gebruik van emoties zoals angst, nieuwsgierigheid of urgentie. Een bericht dat beweert dat je bankrekening binnen 24 uur wordt geblokkeerd, dwingt de meeste mensen tot een snelle, ondoordachte actie.

Ik heb dit zelf ook ervaren. Een paar maanden geleden ontving ik een mail die precies leek op een factuur van mijn cloudopslag-aanbieder. Het bedrag was klein, de deadline was kort. Mijn eerste reflex was om direct in te loggen om te zien wat er mis was gegaan. Pas toen ik mijn hand op de muis legde, besefte ik dat het adres van de afzender net een letter afweek. Die korte hartverzakking is precies waar aanvallers op rekenen.

De cijfers liegen er niet om: de totale wereldwijde schade door phishing-incidenten oversteeg in 2025 de grens van 15 miljard USD. Dit is geen probleem van de verre toekomst, maar een dagelijkse realiteit. Het succes van deze methode wordt versterkt doordat slechts 36% van de werknemers in staat is om een moderne AI-phishing-mail correct te identificeren. ^[4] De rest vertrouwt op verouderde kenmerken meest voorkomende phishing die tegenwoordig simpelweg niet meer opgaan.

Andere opkomende vormen: Smishing en Vishing

Hoewel e-mail de kroon spant, winnen smishing vs e-mail phishing snel terrein. Smishing is in de afgelopen twee jaar aanzienlijk gegroeid. ^[5] Dit komt doordat mensen hun smartphone vaak als een persoonlijker en veiliger apparaat beschouwen dan hun computer. Een berichtje over een gemiste pakketbezorging of een dringende betaallink van een bekende wordt vaak sneller vertrouwd.

Vishing maakt tegenwoordig gebruik van deepfake-technologie. Hierbij kan de stem van een bekende collega of familielid perfect worden nagebootst om geld over te maken of wachtwoorden te delen. Het is een angstaanjagende ontwikkeling die laat zien dat we niet meer alleen moeten kijken naar wat we lezen, maar ook naar wat we horen.

De gevaren van Spear Phishing

Spear phishing is een veel specifiekere en gevaarlijkere variant. In plaats van een sleepnet uit te werpen, richten aanvallers zich op één specifiek individu of bedrijf. Ze gebruiken informatie van sociale media of eerdere datalekken om de mail extreem geloofwaardig te maken. Hoewel dit minder vaak voorkomt dan algemene phishing, is de schade per incident vaak vele malen groter omdat de kans op succes aanzienlijk hoger ligt.

Hoe herken je een moderne phishing-aanval?

Omdat spelfouten en lelijke logos verleden tijd zijn, moeten we letten op subtielere signalen. De belangrijkste indicatoren zijn tegenwoordig de context en de gevraagde actie. Vraagt de bank je ooit om via een link in een mail in te loggen? Nee. Vraagt een koeriersdienst om extra inklaringskosten te betalen via een vage portal? Zelden zonder dat je daar een officiële notificatie van hebt in hun eigen app.

Een handige vuistregel is de pauze-methode. Voordat je klikt, wacht je 30 seconden. Bekijk de link zonder te klikken door er met je muis overheen te gaan. Klopt het domein? Is het een verkorte URL (zoals bit.ly) die de echte bestemming verbergt? In 80% van de gevallen zie je bij een tweede inspectie dat er iets niet pluis is. Het vergt discipline, maar het bespaart je uren aan administratieve ellende en potentieel financieel verlies.

Laten we eerlijk zijn: we zijn allemaal moe en soms onoplettend. Cybercriminelen weten dat we tussen twee vergaderingen door snel even onze mail checken. Juist op die momenten van verminderde weerstand slaan ze toe. De techniek is geavanceerd, maar de zwakste schakel blijft vaak de menselijke psychologie. Onderwijs en bewustwording zijn daarom de beste verdedigingsmechanismen waarover we beschikken.

Vergelijking van de meest voorkomende phishing-methoden

E-mail Phishing (Massa)

Gemiddeld tot hoog door gebruik van AI-templates en perfecte spelling

Extreem hoog; gericht op miljoenen ontvangers tegelijkertijd

Inloggegevens voor banken, DigiD of grote e-commerce accounts

Spear Phishing

Zeer hoog; bevat persoonlijke details verkregen uit research

Laag; zeer gericht op specifieke personen of organisaties

Bedrijfsgeheimen, toegang tot interne netwerken of CEO-fraude

Smishing (SMS/WhatsApp)

Hoog; vaak vermomd als pakketdienst of 'hulpvraag' van bekende

Hoog en groeiend; maakt gebruik van het hoge open-percentage van mobiel

Directe betalingen via valse Tikkies of installatie van malware

Daan en de 'vergeten' parkeerboete

Daan, een freelance grafisch ontwerper uit Amsterdam, ontving een mail die leek te komen van het CJIB over een openstaande parkeerboete van 42 euro. Hij was die week in Utrecht geweest en dacht dat hij een foutje had gemaakt met de parkeer-app.

Hij klikte op de knop 'Direct betalen' en kwam op een website die er exact uitzag als zijn eigen bankomgeving. Hij vulde zijn gegevens in en bevestigde de betaling via zijn scanner.

Pas een uur later realiseerde Daan zich dat hij helemaal niet in die specifieke zone had geparkeerd. Hij belde direct zijn bank en ontdekte dat er geprobeerd werd om 2.500 euro over te boeken naar een buitenlandse rekening.

Dankzij het snelle handelen van de bank kon de transactie worden geblokkeerd. Daan leerde dat zelfs een klein bedrag in een mail een lokkertje kan zijn voor een veel grotere diefstal en controleert nu altijd de URL voordat hij inlogt.

Sanne en de AI-factuur

Sanne werkt op de administratie van een middelgroot IT-bedrijf in Eindhoven. Ze kreeg een e-mail van een bekende leverancier met de vraag om een factuur van 1.200 euro met spoed te voldoen vanwege een systeemfout.

De mail was foutloos geschreven en verwees naar een recent project waar Sanne daadwerkelijk aan werkte. Ze stond op het punt de betaling goed te keuren, maar de toon van de mail voelde net iets te dwingend.

In plaats van te antwoorden op de mail, pakte Sanne de telefoon en belde haar vaste contactpersoon bij de leverancier. Die wist van niets; hun systeem was die ochtend niet gebruikt voor dergelijke verzoeken.

Het bleek een spear phishing-aanval te zijn, gegenereerd door AI die info uit een eerder datalek had gebruikt. Sanne bespaarde haar bedrijf een flink bedrag door niet te vertrouwen op een digitale kopie van de werkelijkheid.