Ik krijg ze helaas steeds vaker: nep e-mails die net echt lijken. Soms gaat het over een factuur, soms over een domeinnaam die “vandaag verloopt” en soms over een “gehackt account”. Dit soort berichten vallen onder phishing, spoofing en andere vormen van online oplichting. In dit blog leg ik in duidelijke taal uit wat het is, hoe ik het herken, en wat ik doe om schade te voorkomen. Ook geef ik voorbeelden en praktische oplossingen.
.
Wat zijn nep e-mails, phishing en spoofing?
Wat is een nep e-mail?
Een nep e-mail is een bericht dat lijkt alsof het van een echt bedrijf of een echte persoon komt, maar dat niet zo is. Het doel is bijna altijd hetzelfde: mij laten klikken, betalen of gegevens laten invullen.
Voorbeeld van een nepmail (spookfactuur / oplichting) van de groep ‘Your Domain Nederland)
Wat is phishing?
Phishing is een vorm van oplichting waarbij criminelen proberen om mijn gegevens te stelen. Denk aan:
- wachtwoorden
- inloggegevens
- betaalgegevens (zoals iDEAL, creditcard)
- toegang tot e-mail of hosting
Vaak sturen ze een e-mail met een link naar een nepwebsite. Die website lijkt precies op de echte website. Als ik daar inlog, zijn mijn gegevens meteen buit.
Wat is spoofing?
Spoofing betekent “nadoen”. Bij spoofing doen oplichters alsof ze iemand anders zijn. Dat kan op meerdere manieren:
- E-mail spoofing: het afzenderadres lijkt echt (maar is het niet)
- Website spoofing: een nepwebsite die eruitziet als de echte
- Telefoon spoofing: het lijkt alsof ik word gebeld door een bekend nummer
Spoofing is extra gevaarlijk, omdat het vertrouwen wekt. Het ziet er professioneel uit, met logo’s, nette opmaak en “officiële” taal.
Waarom gebeurt dit zo vaak?
Oplichters gebruiken automatisering en slimme trucs. Ze sturen duizenden mails per dag. Als maar een klein percentage klikt, verdienen ze al geld. Daarom zie ik dit steeds vaker bij domeinen, hosting, facturen en “accountproblemen”.
.
Hoe ziet zo’n oplichting (scam) eruit? voorbeelden uit de praktijk
Voorbeeld 1: “je domein verloopt vandaag”
Ik krijg een mail met: “Je domeinnaam verloopt binnen 24 uur. Verleng nu om verlies te voorkomen.” Dit is typisch phishing. Ze willen dat ik snel klik, zonder nadenken.
Oplossing die ik gebruik:
- Ik klik niet op de link.
- Ik open een nieuw tabblad en ga zelf naar de echte website.
- Ik controleer in mijn account of er echt iets verloopt.
.
Voorbeeld 2: “openstaande factuur, betaal direct”
De mail lijkt van een leverancier te komen. Er zit een pdf bij of een betaalknop.
Rode vlaggen die ik check:
- Is het bedrag vreemd of onlogisch?
- Klopt de bedrijfsnaam wel helemaal?
- Staat er druk zoals “binnen 2 uur betalen”?
Oplossing die ik gebruik:
- Ik betaal nooit via een link in een mail.
- Ik bel of mail het bedrijf via het officiële telefoonnummer of website.
- Ik controleer de factuur in mijn administratie.
.
Voorbeeld 3: “je hosting is gecompromitteerd, verifieer je login”
Dit is een bekende truc: “We hebben verdachte activiteit gezien. Log nu in om je account te beveiligen.”
Wat ze willen: dat ik mijn inloggegevens invul op een nepwebsite.
Oplossing die ik gebruik:
- Ik typ het adres zelf in (dus niet klikken).
- Ik controleer het webadres (URL) heel precies.
- Ik zet waar mogelijk twee-staps-verificatie aan (uitleg hieronder).
Zo ziet het er vaak “echt” uit
Oplichters gebruiken:
- logo’s en huisstijl
- professioneel design
- namen van echte medewerkers (soms van LinkedIn)
- correcte taal (steeds vaker, door AI)
Daarom let ik niet alleen op “spelfouten”, maar vooral op het gedrag: druk zetten, dreigen, rare links en vragen om gegevens.
.
Oplossingen: zo bescherm ik mezelf en mijn klanten
Denk voor ik klik (mijn belangrijkste regel)
Mijn regel is simpel: ik klik niet op links als er druk of twijfel is.
Een handige truc:
- Ik ga met mijn muis over de link (hoveren).
- Ik kijk linksonder of ik het echte webadres zie.
Komt het adres niet overeen met de echte website? Dan klik ik niet.
Controleer de URL (het webadres)
De URL is het adres in mijn browser, zoals www.voorbeeld.nl.
Oplichters gebruiken vaak adressen zoals:
domeinnaam-support.comdomeinnaamm.com(met extra letter)login-domeinnaam.net
Dat lijkt op echt, maar is het niet.
Mijn oplossing:
- Ik check of het domein exact klopt.
- Ik let extra op streepjes, rare woorden en vreemde extensies (.net, .info).
Typ het adres zelf in
Krijg ik een “urgent” bericht over mijn account? Dan doe ik dit:
- Ik open een nieuw tabblad
- Ik typ zelf het juiste adres in
- Ik log in via de normale weg
Zo omzeil ik nep-links.
Herken rode vlaggen
Dit zijn signalen die ik serieus neem:
-
“Direct actie nodig”
-
“Je account wordt binnen 1 uur geblokkeerd”
-
“Bevestig je wachtwoord”
-
“Betaal nu”
-
“We hebben je gegevens nodig”
Echte bedrijven vragen bijna nooit om wachtwoorden via e-mail.
Gebruik sterke beveiliging (zonder moeilijke woorden)
Twee-staps-verificatie (2FA) betekent: naast mijn wachtwoord is er een extra stap. Bijvoorbeeld een code via een app. Zelfs als iemand mijn wachtwoord heeft, kan die persoon dan vaak niet inloggen.
Mijn basisbeveiliging:
- unieke wachtwoorden (niet overal hetzelfde)
- wachtwoordmanager (die onthoudt ze voor mij)
- 2FA waar mogelijk
- updates van pc en telefoon altijd installeren
Wat doe ik als ik tóch heb geklikt?
Als ik per ongeluk klik of iets invul, handel ik snel:
- Wachtwoord direct wijzigen (ook op andere plekken als het hergebruikt is)
- 2FA aanzetten
- Bank bellen bij betaling of betaalgegevens
- Mail melden als phishing (bij mijn e-mailprogramma)
- Support inschakelen als het om hosting, domein of website gaat
Snel reageren scheelt vaak veel schade.
Veel gestelde vragen & oplossing
1) Hoe weet ik zeker of een e-mail echt is?
Oplossing: klik niet, ga zelf naar de website en log daar in. Check ook het afzenderadres en de URL.
2) Wat is het verschil tussen phishing en spoofing?
Oplossing: phishing is het stelen van gegevens via een truc; spoofing is het nadoen van een afzender of website. Behandel beide als verdacht.
3) Kan een e-mailadres er echt uitzien maar toch nep zijn?
Oplossing: ja. Controleer niet alleen de naam, maar ook het echte e-mailadres en de links.
4) Waarom gebruiken oplichters “spoed” en dreigtaal?
Oplossing: om mij te laten klikken zonder nadenken. Neem juist dan pauze en controleer alles extra.
5) Wat betekent “hoveren” boven een link?
Oplossing: met je muis boven de link hangen zonder te klikken. Je ziet dan vaak het echte adres.
6) Ik zie een logo en nette opmaak. Is het dan veilig?
Oplossing: nee. Logo’s zijn makkelijk te kopiëren. Vertrouw op de URL en op je eigen controle.
7) Ik kreeg een mail over een verlopen domein. Wat nu?
Oplossing: open zelf je domein/hosting-account en check daar de status. Niet via de e-mail.
8) Wat moet ik doen als ik mijn wachtwoord heb ingevuld op een nepwebsite?
Oplossing: wijzig direct je wachtwoord en zet 2FA aan. Verander ook andere accounts als je hetzelfde wachtwoord gebruikte.
9) Wat is een veilig wachtwoord?
Oplossing: lang en uniek. Gebruik een wachtwoordmanager zodat je niet hoeft te onthouden.
10) Wat is een wachtwoordmanager?
Oplossing: een app die veilige wachtwoorden opslaat en invult. Zo gebruik ik overal andere wachtwoorden.
11) Kan phishing ook via sms of WhatsApp?
Oplossing: ja (dat heet ook wel smishing). Klik niet, controleer via de officiële website of bel het bedrijf.
12) Hoe herken ik een nep betaallink?
Oplossing: check of de betaalpagina echt van je bank of betaalprovider is. Betaal liever via je eigen factuur of bankieren-app.
13) Ik twijfel. Wat is de veiligste actie?
Oplossing: neem contact op via het officiële nummer of de officiële website. Niet via gegevens uit de e-mail.
14) Helpt antivirus tegen phishing?
Oplossing: soms, maar niet altijd. Mijn beste bescherming is: niet klikken, URL checken, 2FA gebruiken.
15) Hoe kan ik mijn bedrijf of website beter beschermen?
Oplossing: gebruik 2FA, sterke wachtwoorden, updates, beveiligde hosting, en maak regelmatig back-ups. En train jezelf en je team op herkenning van phishing.
Wil je nep e-mails, phishing of spoofing melden. Dat kan bij de https://www.fraudehelpdesk.nl/