Logotipo

Hoe Phishing Herkennen bij Online Bankieren in Nederland

Vorig jaar verloren Nederlanders ruim €35 miljoen aan bankfraude via phishing — en de meeste slachtoffers dachten dat ze slim genoeg waren om het te herkennen. Dat is precies waarom phishing zo gevaarlijk is.

Advertising

TL;DR

  • Nederlanders verloren in 2025 meer dan €35 miljoen aan phishing gericht op online bankieren.
  • Als een bericht urgentie uitstraalt en vraagt om inloggegevens of een betaling te bevestigen, is de kans groot dat het nep is.
  • Controleer altijd het websiteadres handmatig en bel je bank rechtstreeks op het officiële nummer als je twijfelt.

Wat Is Phishing Precies en Waarom Werkt Het Zo Goed?

Phishing is een aanvalstechniek waarbij criminelen zich voordoen als betrouwbare instanties — denk aan Rabobank, ING, ABN AMRO of de Belastingdienst — om jou te verleiden inloggegevens of betaalgegevens te delen. Het werkt zo goed omdat het inspeelt op emotie, niet op logica.

De berichten zijn ontworpen om stress te veroorzaken. “Uw rekening wordt geblokkeerd”, “Verdachte activiteit gedetecteerd”, “Bevestig uw gegevens voor middernacht.” Die tijdsdruk zorgt ervoor dat mensen minder kritisch nadenken.

Uit onderzoek van het Nationaal Cyber Security Centrum (NCSC) uit april 2026 blijkt dat phishingaanvallen in Nederland in 2025 met 34% zijn toegenomen ten opzichte van 2024. Mobiele phishing via SMS (ook wel smishing genoemd) steeg zelfs met 61%.

Hoe Ziet een Nep-Bankmail er Echt Uit?

De dagen van slecht gespeld, overduidelijk nep e-mails zijn voorbij. Moderne phishingmails zien er vrijwel identiek uit aan echte berichten van je bank — inclusief logo’s, huisstijlkleuren en zelfs correcte aanhef met je naam.

Toch zijn er concrete signalen die je kunt checken:

  • Het afzenderadres klopt niet helemaal. Een echte Rabobank-mail komt van een @rabobank.nl domein. Phishers gebruiken varianten als @rabobank-veilig.com of @rabobank.support.nl.
  • De link in de mail wijst naar een vreemd adres. Hover met je muis over de link (klik niet) en kijk naar de URL die verschijnt. Als die niet eindigt op het officiële domein van je bank, is het raak.
  • Er wordt gevraagd om inloggegevens, pincodes of TAN-codes. Geen enkele bank vraagt hier ooit naar via e-mail of telefoon. Nooit.
  • De mail vraagt je iets te installeren. Dat is altijd verdacht, ongeacht hoe overtuigend de uitleg klinkt.
Geen enkele echte bank vraagt via mail of telefoon om je pincode of TAN-code.

Controleer ook altijd de volledige URL in je browser — niet alleen wat er in de mail staat, maar wat er daadwerkelijk in de adresbalk staat nadat je ergens op hebt geklikt.

Wat Is het Verschil Tussen Phishing via Mail, SMS en Telefoon?

Phishing komt niet alleen per e-mail. Criminelen gebruiken drie hoofdkanalen, elk met eigen kenmerken.

E-mail phishing is het meest voorkomende kanaal. Berichten imiteren banken, de Belastingdienst of pakketdiensten als PostNL. Ze bevatten vaak een link naar een nepwebsite die identiek lijkt aan de echte.

Smishing (phishing via SMS) is in 2025 explosief gegroeid. Je ontvangt een SMS van ogenschijnlijk je bank met een link om “je betaling te bevestigen” of “je account te beveiligen.” Het gevaar: op een telefoonscherm zie je de volledige URL zelden — je tikt op een verkorte link zonder te weten waar die naartoe gaat.

Vishing (voice phishing) is de meest persoonlijke variant. Iemand belt je op en doet zich voor als medewerker van Rabobank of ING. Ze kennen soms al je naam, rekeningnummer en zelfs je laatste transacties — data die eerder via een datalek of eerdere phishingaanval is buitgemaakt. Ze klinken professioneel en kalm.

Hier is wat de meeste mensen missen: bij vishing hangt de crimineel nooit op — jij moet ophangen en zelf terugbellen op het officiële nummer. Criminelen houden de lijn open zodat jij denkt te bellen met de bank, maar in werkelijkheid praat je nog steeds met hen.

Hoe Herken Je een Valse Bankwebsite?

Je hebt op een link geklikt en bent op een website beland die er precies uitziet als die van je bank. Hoe weet je of het echt is?

Kijk als eerste naar de URL in de adresbalk. De echte websites van Nederlandse banken zijn:

  • Rabobank: rabobank.nl
  • ING: ing.nl
  • ABN AMRO: abnamro.nl
  • SNS Bank: snsbank.nl

Een nepsite gebruikt variaties: ing-bankieren.nl, rabobank-inloggen.com, abnamro.secure-login.nl. Hoe overtuigend de rest van de pagina ook eruitziet — als de URL niet klopt, ben je op een valse site.

Let ook op het slotje in de adresbalk. Een groene of grijze slotje betekent dat de verbinding versleuteld is, maar het betekent niet dat de site betrouwbaar is. Criminelen kunnen ook HTTPS-certificaten aanvragen voor hun nepdomeinen. Dit is een misverstand dat veel mensen duur komt te staan.

Typ het adres van je bank altijd handmatig in, of gebruik een opgeslagen bladwijzer. Klik nooit op een link in een e-mail of SMS om in te loggen bij je bank.

Wat Moet Je Doen Als Je Denkt Dat Je Bent Opgelicht?

Snel handelen maakt een groot verschil. Als je vermoedt dat je gegevens zijn buitgemaakt of dat je per ongeluk geld hebt overgemaakt naar een fraudeur, doe dan het volgende:

  1. Bel je bank onmiddellijk op het officiële nummer achterop je bankpas. Vraag om je rekening tijdelijk te blokkeren.
  2. Verander direct je inloggegevens voor internetbankieren — bij voorkeur vanaf een ander apparaat dan het apparaat dat je zojuist hebt gebruikt.
  3. Doe aangifte bij de politie via politie.nl of op het bureau. Dit is nodig voor eventuele schadevergoeding en helpt opsporingsdiensten.
  4. Meld de phishingpoging bij de Fraudehelpdesk (fraudehelpdesk.nl) en bij je bank zelf. Banken gebruiken deze meldingen actief om nepdomeinen offline te laten halen.
  5. Controleer je rekening de komende dagen op onbekende transacties.

Wacht niet af. Elke minuut telt als criminelen toegang hebben tot je bankrekening.

Hoe Bescherm Je Jezelf Structureel Tegen Phishing?

Eenmalige alertheid is niet genoeg — phishing evolueert constant. Hier zijn de maatregelen die echt werken:

  • Gebruik tweestapsverificatie (2FA) voor al je bankzaken. Dit is bij de meeste Nederlandse banken standaard ingesteld, maar controleer of het ook voor jouw account actief is.
  • Installeer geen apps buiten de officiële App Store of Google Play Store. Bankieren-apps van onbekende bronnen zijn vrijwel altijd malware.
  • Houd je apparaten up-to-date. Beveiligingsupdates dichten kwetsbaarheden die phishers actief misbruiken.
  • Gebruik een wachtwoordmanager. Zo heb je voor elke dienst een uniek wachtwoord en wordt schade bij een datalek beperkt.
  • Wees extra alert bij berichten die urgentie uitstralen. Echte banken geven je altijd de tijd om rustig te reageren.
Een wachtwoordmanager in combinatie met 2FA is de meest effectieve combinatie tegen phishing.

De Rabobank heeft in Q1 2026 bovendien een nieuwe beveiligingsfunctie uitgerold: real-time fraudedetectie die verdachte inlogpogingen automatisch blokkeert en de klant via de officiële app waarschuwt. ING en ABN AMRO hebben vergelijkbare systemen actief. Gebruik ze — schakel notificaties in voor alle transacties, hoe klein ook.

Welke Phishingtechnieken Gebruiken Criminelen in 2026?

De methodes worden elk kwartaal geavanceerder. Wat ik nu zie opkomen in Nederland:

AI-gegenereerde phishingmails zijn vrijwel foutloos qua spelling en toon. Ze passen de aanhef, het taalgebruik en zelfs de schrijfstijl aan op basis van eerder gestolen data. Een mail die klinkt alsof hij door een echte bankmedewerker is geschreven, is in 2026 geen garantie meer dat hij echt is.

QR-code phishing (quishing) is een groeiend probleem. Je ontvangt een brief of mail met een QR-code die je moet scannen om “je identiteit te bevestigen.” De code leidt naar een nepsite. Brieven op papier wekken meer vertrouwen dan digitale berichten — dat misbruiken criminelen.

Deepfake telefoontjes zijn nog zeldzaam maar in opkomst. Criminelen gebruiken AI om de stem van een bankmedewerker te imiteren. Als iemand je belt met een stem die je vertrouwt, is dat in 2026 helaas geen bewijs meer dat de beller echt is.

De Fraudehelpdesk rapporteerde in maart 2026 dat QR-code fraude in het eerste kwartaal al €2,1 miljoen schade heeft veroorzaakt in Nederland.

phishing herkennen bij online bankieren nederland tips 2026

Phishing wordt slimmer, maar de basisregel blijft hetzelfde: twijfel je, klik dan niet. Bel je bank altijd op het officiële nummer achterop je pas — nooit via een nummer in een verdacht bericht. Urgentie in een bericht is het sterkste signaal dat er iets niet klopt. Schakel 2FA in, gebruik een wachtwoordmanager en meld elke verdachte poging bij de Fraudehelpdesk. Dat is geen overdreven voorzichtigheid — dat is gewoon slim bankieren in 2026.

Veelgestelde Vragen

  1. Hoe weet ik of een mail van mijn bank echt is?
    Controleer het afzenderadres op het exacte domein (bijv. @rabobank.nl) en hover over links zonder te klikken. Twijfel je, bel dan je bank op het officiële nummer.

  2. Wat moet ik doen als ik per ongeluk op een phishinglink heb geklikt?
    Bel direct je bank, verander je wachtwoord vanaf een ander apparaat en doe aangifte bij de politie via politie.nl.

  3. Vraagt mijn bank ooit om mijn pincode of TAN-code?
    Nooit. Geen enkele Nederlandse bank vraagt via mail, SMS of telefoon om je pincode, TAN-code of volledige wachtwoord.

  4. Is een website met een slotje altijd veilig?
    Nee. Het slotje betekent alleen dat de verbinding versleuteld is, niet dat de website betrouwbaar is. Criminelen kunnen ook HTTPS-certificaten aanvragen.

  5. Waar kan ik phishing melden in Nederland?
    Meld het bij de Fraudehelpdesk via fraudehelpdesk.nl, bij je bank zelf en bij de politie. Je kunt verdachte mails ook doorsturen naar [email protected] of de meldknop van je e-mailprovider gebruiken.