Phishing herkennen in 2026: de nieuwe technieken die je moet kennen

Phishing is een vorm van digitale oplichting waarbij criminelen zich voordoen als een betrouwbare partij — je bank, een leverancier, een overheidsdienst — om je te misleiden tot het delen van wachtwoorden, bankgegevens of andere gevoelige informatie. In 2025 ontving Safeonweb bijna 10 miljoen verdachte meldingen van Belgische internetgebruikers. Phishing blijft daarmee de meest gebruikte aanvalsmethode: ongeveer 60% van alle gerapporteerde cybersecurity-incidenten begint met een phishingaanval. Wat veranderd is, zijn de technieken. AI-tools stellen criminelen in staat om foutloos Nederlands, Frans en Engels te schrijven. De klassieke waarschuwingssignalen — spelfouten, vreemde zinsbouw, onprofessionele opmaak — verdwijnen. Belgische KMO's moeten in 2026 andere signalen leren herkennen.

Waarom werken de oude waarschuwingssignalen niet meer?

Tot voor kort was het advies simpel: let op spelfouten, controleer het afzenderadres, wees wantrouwig bij onverwachte bijlagen. Dat advies is niet fout, maar het is onvoldoende geworden.

Generatieve AI heeft de drempel voor overtuigende phishing verlaagd. Een onderzoek van de Universiteit van Oxford toonde aan dat AI-gegenereerde phishingmails een 60% hogere klikratio hebben dan traditionele phishing. De reden is eenvoudig: AI produceert taalkundig perfecte berichten die het communicatiepatroon van echte bedrijven nabootsen. Een phishingmail die eruitziet als een echte melding van Belfius of bpost is met AI-tools in seconden gemaakt.

Dit betekent dat phishing herkennen in 2026 minder draait om taalfouten en meer om het herkennen van verdachte patronen in context, timing en technische details.

Welke nieuwe phishing-technieken worden in 2026 gebruikt?

Naast de traditionele email met een verdachte link zijn er drie technieken die in 2025-2026 explosief zijn gegroeid.

QR-code phishing (quishing)

Bij QR-code phishing — ook wel "quishing" genoemd — plaatsen aanvallers een QR-code in een email, PDF-bijlage of zelfs een fysieke brief. De QR-code leidt naar een nagemaakte website die eruitziet als de inlogpagina van je bank, Microsoft 365 of een andere dienst. Het slachtoffer scant de code met de smartphone, ziet een vertrouwd ogende pagina, en voert nietsvermoedend inloggegevens in.

Waarom is dit effectief? Traditionele emailfilters analyseren links in de tekst van een email. Een QR-code is echter een afbeelding — de kwaadaardige link zit gecodeerd in de pixels, niet in de tekst. De meeste spamfilters detecteren dit niet. Bovendien opent de link op je smartphone, waar URL-balken kleiner zijn en het moeilijker is om een nep-URL te herkennen.

QR-code aanvallen zijn tussen 2023 en 2025 met 400% gestegen volgens Abnormal Security. De meest getroffen sectoren zijn energie, gezondheidszorg en productie — maar Belgische KMO's worden steeds vaker doelwit.

Callback phishing (TOAD)

TOAD staat voor "Telephone-Oriented Attack Delivery". Bij deze techniek ontvang je een email die je vraagt om een telefoonnummer te bellen — bijvoorbeeld voor een "dringend probleem met je account" of een "factuurdispuut". Er is geen verdachte link, geen bijlage, geen malware. Alleen een telefoonnummer.

Wanneer je belt, kom je terecht bij een fraudeur die zich voordoet als medewerker van je bank, verzekeraar of IT-leverancier. Via social engineering — druk, urgentie, autoriteit — overtuigen ze je om inloggegevens te delen, software te installeren (waarmee ze meekijken op je scherm) of een betaling uit te voeren.

In België waarschuwde het Centrum voor Cybersecurity (CCB) begin 2026 voor een golf van telefonische oplichting waarbij criminelen zich voordoen als Proximus, Argenta of Card Stop. Het CCB meldde dat het aantal meldingen verdubbelde in december 2025 en januari 2026.

Pakketfraude en bezorgkosten-scam

"Je pakket wacht op bezorging. Betaal €1,95 verzendkosten om het te ontvangen." Dit type bericht — via email of SMS — leidt naar een nagemaakte betaalpagina die je bankgegevens steelt. De kleine bedragen wekken minder argwaan, maar het doel is je kaartgegevens of inlogdata te bemachtigen.

Deze scam misbruikt de namen van bekende bezorgdiensten: bpost, PostNL, DHL, UPS. De berichten zijn bijzonder overtuigend door het gebruik van echte logo's, tracking-achtige referentienummers en AI-gegenereerde tekst in correct Nederlands.

Hoe herken je phishing in 2026?

Nu de klassieke signalen wegvallen, zijn er andere indicatoren waar je op moet letten.

Controleer de technische afzender, niet de weergavenaam

Elke email heeft twee afzenderadressen: de weergavenaam (wat je ziet, bijv. "Belfius") en het technische afzenderdomein (het daadwerkelijke domein waarvan de email is verzonden). Fraudeurs kunnen de weergavenaam vrij instellen, maar het technische domein is moeilijker te vervalsen. Een email van "Belfius" die technisch verstuurd is vanuit belfius-support.xyz is vrijwel zeker fraude.

Wees wantrouwig bij urgentie en dreigementen

Phishing leunt zwaar op urgentie: "je account wordt geblokkeerd", "betaal binnen 24 uur", "directe actie vereist". Legitieme organisaties geven je altijd tijd en bieden meerdere contactmogelijkheden. Als een bericht je onder druk zet om onmiddellijk te handelen, is dat op zichzelf een waarschuwingssignaal.

Vertrouw geen QR-codes in emails

Banken en overheidsdiensten sturen zelden QR-codes per email. Als je een QR-code ontvangt met het verzoek om in te loggen of een betaling te bevestigen, navigeer dan handmatig naar de website van de dienst in plaats van de code te scannen.

Bel nooit een nummer uit een verdachte email

Als een email je vraagt om een nummer te bellen, zoek dan het officiële nummer op via de website van het bedrijf of je eerdere correspondentie — niet het nummer in de email zelf. Dit geldt ook voor SMS-berichten.

Check het IBAN-nummer bij betalingsverzoeken

Ontvang je een factuur of betalingsverzoek per email? Vergelijk het IBAN-nummer met eerdere facturen van dezelfde leverancier. Een gewijzigd rekeningnummer zonder voorafgaande telefonische bevestiging is een sterk signaal van factuurfraude.

Hoe beschermt email security software tegen nieuwe phishing?

Traditionele spamfilters werken met bekende patronen: blacklists van verdachte domeinen, detectie van bekende malware-bijlagen, en analyse van links in de emailtekst. Tegen de nieuwe technieken schieten deze filters tekort.

Moderne email security software zoals Vysion werkt anders. In plaats van alleen bekende bedreigingen te blokkeren, analyseert Vysion de context van elke email. Bij QR-code phishing scant Vysion de email op de aanwezigheid van QR-codes in combinatie met verdachte contextsignalen. Bij callback phishing detecteert Vysion patronen waarbij een email instrueert om een telefoonnummer te bellen in combinatie met urgentietaal. Bij pakketfraude herkent Vysion de typische combinatie van kleine bedragen, verzendkosten-taal en verdachte links — ook als het bericht afkomstig lijkt van een bekende bezorgdienst.

Elke detectie verschijnt als een duidelijke waarschuwing in je mailbox, zodat je zelf kunt beoordelen of het bericht legitiem is.

Wat moet je doen als je op een phishing-link hebt geklikt?

Snel handelen beperkt de schade:

1. Wijzig direct je wachtwoord van het account dat mogelijk is gecompromitteerd. Als je hetzelfde wachtwoord elders gebruikt, wijzig het daar ook.
2. Activeer tweefactorauthenticatie (2FA) als dat nog niet is ingesteld.
3. Contacteer je bank als je bankgegevens of kaartinformatie hebt ingevuld. Laat je kaart blokkeren via Card Stop (078 170 170).
4. Meld het incident bij Safeonweb (verdacht@safeonweb.be) en je IT-verantwoordelijke.
5. Scan je apparaat op malware met een actuele virusscanner.

Gerelateerde artikelen

• Cyberbeveiliging voor Belgische KMO's in 2026: wat je moet weten
• Email security voor KMO's: wat heb je écht nodig in 2026?

Veelgestelde vragen over phishing

Wat is het verschil tussen phishing, smishing en vishing?

Phishing is de overkoepelende term voor digitale oplichting via namaakberichten. Smishing is phishing via SMS. Vishing is phishing via een telefoongesprek (voice phishing). De technieken worden steeds vaker gecombineerd: een email die vraagt om te bellen (TOAD) is een combinatie van phishing en vishing.

Hoeveel phishingmeldingen ontvangt België per jaar?

Safeonweb ontving in 2025 bijna 10 miljoen verdachte meldingen van Belgische internetgebruikers. Het BAPS-systeem (Belgian Anti-Phishing Shield) leidde op basis van deze meldingen 200 miljoen keer internetgebruikers om van verdachte websites naar een waarschuwingspagina.

Kan AI phishing volledig voorkomen?

AI verbetert de detectie aanzienlijk, maar kan phishing niet volledig voorkomen. AI-gestuurde email security herkent patronen die menselijke ogen missen, maar aanvallers gebruiken ook AI om hun berichten te verbeteren. De meest effectieve bescherming combineert technische detectie met getrainde medewerkers die verdachte signalen herkennen.

Is tweefactorauthenticatie (2FA) voldoende bescherming?

2FA is een essentiële beveiligingslaag, maar niet onfeilbaar. Geavanceerde phishingaanvallen gebruiken "adversary-in-the-middle" technieken (AiTM) om sessietokens te stelen op het moment dat je inlogt, waardoor ze 2FA omzeilen. Microsoft rapporteerde in 2024 meer dan 10.000 AiTM-aanvallen per maand op hun gebruikers. 2FA blijft belangrijk, maar is niet het eindpunt van je beveiliging.

Hoe train ik mijn medewerkers om phishing te herkennen?

De meest effectieve aanpak combineert drie elementen: regelmatige korte bewustwordingssessies (niet één keer per jaar, maar maandelijks 10 minuten), gesimuleerde phishing-tests zodat medewerkers ervaren hoe overtuigend moderne phishing is, en een duidelijk meldproces zodat medewerkers zonder schaamte verdachte berichten kunnen rapporteren. Organisaties met doorlopende training zien hun klikratio op phishing dalen tot 1,5%.