Phishing-stappenplan 2026: zo stop je oplichters binnen 15 minuten

Heb je een verdacht bericht ontvangen of denk je dat je op een phishinglink hebt geklikt? Met dit stappenplan stop je de schade binnen vijftien minuten en voorkom je dat oplichters toegang krijgen tot je bankrekening, e-mail en sociale media. Phishing is in 2026 nog steeds de nummer één oorzaak van geldverlies bij Nederlandse consumenten en het Belgische Centrum voor Cybersecurity meldt week na week piekdagen. De aanvallers zijn slimmer geworden, hun berichten zien er steeds professioneler uit en sinds AI-tools volwaardige Nederlandse teksten genereren is de bekende “spelfouttest” niet meer betrouwbaar. Toch volg je met een vast stappenplan precies wat er moet gebeuren.

Wat is phishing in 2026 nog steeds zo gevaarlijk?

Phishing is een vorm van internetfraude waarbij criminelen zich voordoen als een betrouwbare partij — je bank, de Belastingdienst, een pakketdienst of je werkgever — om je inloggegevens, betaalgegevens of een eenmalige code te ontfutselen. Het bericht komt binnen via e-mail, sms (“smishing”), WhatsApp, telefoon (“vishing”) of QR-code (“quishing”). Sinds de opkomst van generatieve AI rollen er per dag duizenden gerichte berichten uit met perfecte taal, jouw voornaam en zelfs verwijzingen naar bestellingen die echt op je naam staan.

Stap 1: Klik nergens op — ook niet “om te checken”

De eerste reflex bij twijfel is om “even snel” op de link te klikken om te zien wat er gebeurt. Doe dat niet. Moderne phishingpagina’s draaien razendsnel een sessie-cookie diefstal of installeren een schadelijk profiel op je telefoon zodra je de pagina opent. Sluit het bericht, leg je telefoon weg en haal adem.

Stap 2: Verifieer langs een tweede kanaal

Wil je weten of het bericht echt is? Gebruik dan een onafhankelijk kanaal. Dus niet de telefoonnummers of links uit het bericht zelf, maar:

1. Open de officiele app van je bank en check daar of er een melding staat.
2. Typ het webadres handmatig in je browser (bijvoorbeeld mijn.ing.nl of kbc.be).
3. Bel het algemene servicenummer dat op de achterkant van je bankpas staat.

Negen van de tien keer blijkt het bericht dan al verdwenen of nooit verstuurd te zijn.

Stap 3: Heb je al geklikt of gegevens ingevuld? Werk per minuut

Als je toch op een link hebt geklikt en mogelijk gegevens hebt ingevoerd, telt elke minuut. Werk in deze volgorde:

1. Minuut 0–5: Bel je bank via het anti-fraudenummer. Voor ING is dat 020 22 888 22, voor Rabobank 088 722 67 67, voor ABN AMRO 0900 0024, voor KBC 016 432 000. Vraag direct om een pasblokkade en blokkade van de mobiele bankieren-app.
2. Minuut 5–10: Verander het wachtwoord van het account waar je inloggegevens van hebt afgestaan. Doe dit vanaf een ander apparaat als je vermoedt dat je telefoon besmet is.
3. Minuut 10–15: Zet tweestapsverificatie (2FA) aan op datzelfde account én op je hoofdmailbox. Verwijder bestaande “vertrouwde apparaten” uit het beveiligingsmenu.
4. Binnen 1 uur: Meld de phishing bij de Fraudehelpdesk (0800 2112) of bij Safeonweb.be. Doe ook aangifte bij de politie via politie.nl of via 0800 2422 in Belgie.

Stap 4: Maak je apparaat schoon

Heb je een bijlage geopend of een app gedownload via een phishinglink? Dan moet je apparaat grondig nagekeken worden.

• Telefoon (Android): Ga naar Instellingen > Apps en verwijder onbekende installaties van de afgelopen 24 uur. Schakel daarna Google Play Protect in via de Play Store en draai een volledige scan.
• Telefoon (iPhone): iOS laat geen externe apps toe, maar wel “configuratieprofielen”. Controleer Instellingen > Algemeen > VPN en apparaatbeheer en verwijder alles wat je niet zelf hebt gemaakt.
• Laptop (Windows): Start in veilige modus en draai Microsoft Defender Offline Scan. Werk daarna Windows volledig bij.
• Laptop (Mac): Apple silicon Macs hebben minder last van malware, maar phishingpagina’s installeren soms schadelijke browser-extensies. Verwijder onbekende extensies in Safari, Chrome en Firefox.

Stap 5: Bewijs verzamelen voor de aangifte

Voor je het bericht weggooit: maak eerst screenshots van het volledige bericht, de afzender, eventuele links (zonder erop te klikken, gewoon de tekst kopieren) en het tijdstip. Bij e-mail open je de oorspronkelijke berichtbron (in Gmail: drie puntjes > Origineel weergeven) en sla die op als tekstbestand. De politie en de Fraudehelpdesk vragen hier vrijwel altijd om.

Veelgemaakte fouten bij phishing

Fout 1: Denken dat phishing alleen via e-mail komt

In 2026 komt meer dan de helft van de phishingaanvallen via sms, WhatsApp, telefoongesprekken of QR-codes op parkeerautomaten en laadpalen. Het principe is altijd hetzelfde: druk uitoefenen (“uw pakket wordt morgen vernietigd”), urgentie creeren (“uw rekening wordt om 18:00 geblokkeerd”) of een autoriteit nadoen.

Fout 2: “Een echte bank vraagt nooit om je pincode” als enige test

Klopt, maar moderne phishingscripts vragen je niet om je pincode. Ze vragen om de eenmalige code uit je bank-app, om “ter verificatie even mee te kijken op je scherm” via AnyDesk of TeamViewer, of om een spoedbetaling te bevestigen. De juiste regel is: geef nooit codes, deel nooit je scherm, doe nooit een spoedoverboeking op verzoek van iemand die jou belt.

Fout 3: Het bericht doorsturen naar familie als “waarschuwing”

Doe dat niet. Je verspreidt zo het actieve phishingbericht alleen maar verder. Maak een screenshot van de tekst, beschrijf wat er staat en deel pas dat met je netwerk.

Fout 4: Hetzelfde wachtwoord blijven gebruiken

Heb je je e-mailwachtwoord ingevoerd op een phishingpagina? Dan ben je niet alleen je e-mail kwijt, maar potentieel ook elk ander account dat hetzelfde wachtwoord deelt. Gebruik een wachtwoordmanager als Bitwarden of 1Password en een uniek wachtwoord per dienst.

Wat als het niet werkt? Drie scenario’s

Scenario A: De bank wil de transactie niet terugdraaien

Sinds 1 juli 2025 zijn banken op grond van de Wet betalingsdiensten verplicht om geld terug te storten als je slachtoffer bent van “spoofing” — phishing waarbij criminelen het nummer of e-mailadres van de bank vervalsen. Wijst je bank dat af? Vraag een schriftelijke afwijzing en stap naar het Kifid (Nederland) of de Ombudsman in financiele geschillen (Belgie). De doorlooptijd is 4–8 weken.

Scenario B: De oplichters bellen opnieuw

Heb je een keer toegehapt? Dan kom je op een lijst van “warme leads” en wordt je opnieuw gebeld, soms door iemand die zich voordoet als “rechercheur” of “fraudeafdeling”. Houd vast: nooit codes geven, nooit software installeren, nooit geld overmaken. Hang op en bel zelf je bank terug via het nummer op je pas.

Scenario C: Je telefoon doet vreemd na klikken

Snel lege accu, oververhitting, pop-ups in apps, onbekende uitgaande gesprekken: dat zijn alarmsignalen voor een geinstalleerde RAT (Remote Access Trojan). Zet de telefoon in vliegtuigmodus, maak een back-up van je foto’s via een usb-kabel (niet via cloud, want die kan gekaapt zijn) en doe een fabrieksreset. Geinstalleerde apps zoals “Banking Protection NL” of “Veilig betalen” zijn vrijwel altijd nep en moeten weg.

Praktische tips om phishing voor te zijn

• Zet 2FA aan via een authenticator-app in plaats van sms — sms-codes kunnen via SIM-swap onderschept worden.
• Activeer passkeys waar het kan (Google, Apple, Microsoft, PayPal). Een passkey kan niet door een phisher gestolen worden omdat hij gebonden is aan je apparaat.
• Stel een dagelijks overboekingslimiet in via je bank-app. Een typische phishingbuit ligt tussen de 2.000 en 8.000 euro — zet dat limiet desnoods op 1.000 euro.
• Gebruik een aparte e-mail voor financiele zaken en deel die nooit op sociale media of formulieren.
• Werk je telefoon en laptop altijd binnen 24 uur na een update bij. Beveiligingslekken worden binnen dagen door phishingnetwerken misbruikt.

Veelgestelde vragen

Hoe weet ik zeker dat een bericht phishing is en niet echt?

Drie checks: 1) klopt het e-mailadres precies, ook na de @? 2) Verwijst de link naar het officiele domein als je er met de muis overheen gaat (zonder te klikken)? 3) Word je onder tijdsdruk gezet? Bij twijfel: bel de afzender via een onafhankelijk nummer.

Mijn bank gaf het geld al terug, moet ik dan nog aangifte doen?

Ja. Aangifte helpt de politie om phishingnetwerken in kaart te brengen en je verzekering kan om een proces-verbaal vragen. Aangifte doe je online via politie.nl of bij de lokale politie in Belgie.

Wat is het verschil tussen phishing en spoofing?

Phishing is de bredere term voor “hengelen naar gegevens”. Spoofing is een techniek binnen phishing waarbij de afzender wordt vervalst — het lijkt of je bank belt, terwijl de oplichter zijn nummer maskeert. Vanaf 2024 verplichten Nederlandse telecomproviders een filter dat veel spoofing-oproepen blokkeert, maar het lekt nog steeds door.

Kan ik phishing-sms’jes blokkeren?

Forward verdachte sms’jes naar 7726 (gratis, werkt bij KPN, Vodafone, Odido). Hierdoor kan je provider het nummer blokkeren voor andere klanten. In Belgie stuur je phishing door naar [email protected].

Wat is quishing en moet ik me daar zorgen om maken?

Quishing is phishing via een QR-code, meestal geplakt over een echte QR-code op een parkeerautomaat, laadpaal of menukaart. Scan je hem, dan kom je op een phishingpagina van zogenaamd je parkeer-app. Controleer altijd of de QR-sticker er overheen geplakt is en typ bij twijfel de URL handmatig in.

Helpt een antivirusprogramma tegen phishing?

Een beetje. Moderne antivirus-pakketten (Microsoft Defender, Bitdefender, ESET) hebben een phishing-filter dat bekende kwaadaardige domeinen blokkeert. Maar nieuwe phishingdomeinen leven vaak maar enkele uren en zitten dan nog niet in de databases. Je gedrag blijft je belangrijkste verdediging.

Krijg ik mijn geld altijd terug van de bank na phishing?

Sinds 2025 is de regel: als je niet “grof nalatig” was, krijg je je geld terug. Grof nalatig is bijvoorbeeld je pincode op een briefje in je portemonnee, of meermaals een SMS-code afgeven nadat de bank je expliciet heeft gewaarschuwd. In andere gevallen heb je sterk recht op vergoeding.