Phishing was lang een verhaal van slecht vertaalde mails met spelfouten en vage links. Die tijd is voorbij. In 2026 zijn de aanvallen verfijnder, persoonlijker en steeds vaker ondersteund door AI. Een bericht van je bank of je werkgever oogt verrassend echt en dat maakt het lastig om de echte van de valse te onderscheiden. In dit artikel lees je welke trucs oplichters nu gebruiken en hoe je jezelf beter kunt beschermen.
Phishing is volwassen geworden
Waar phishing vroeger om bulkmails ging, draait het nu om gerichte aanvallen. Criminelen verzamelen openbare gegevens via sociale media, lekken en bedrijfssites en gebruiken die om berichten op maat te maken. Je naam, functie en zelfs een recent project komen voorbij in een mail die op het eerste oog van een collega lijkt te komen.
Daarnaast neemt het aantal phishing-pogingen via WhatsApp, sms en zelfs telefoongesprekken sterk toe. Oplichters spelen in op urgentie en gezag, twee triggers die mensen sneller laten klikken zonder na te denken.
Stemklonen en deepfake video
Een opvallende trend is het gebruik van stemklonen. Een paar seconden audio van je stem is genoeg om een AI-model jouw stem te laten nabootsen. Inmiddels zijn er incidenten bekend waarbij familieleden of werknemers gebeld werden door een schijnbaar bekende stem die om geld vroeg.
Ook deepfake video duikt steeds vaker op in zakelijke fraude. Een korte videocall met de financieel manager waarbij betalingen worden goedgekeurd, blijkt achteraf een nabootsing. Voor wie hier voor het eerst mee te maken krijgt, is het verschil met echt vaak nauwelijks te zien.
QR codes als verborgen valstrik
De ouderwetse link in een mail wordt steeds vaker vervangen door een QR code. Quishing, zoals het inmiddels wordt genoemd, omzeilt veel beveiligingssystemen omdat de link pas wordt geopend op je telefoon, buiten de bedrijfsomgeving.
Een QR code op een gele post-it op een laadpaal of in een mail van een schijnbare bezorgdienst kan je doorsturen naar een namaaksite. Een goede vuistregel is om QR codes uit ongevraagde berichten of openbare plekken nooit zomaar te scannen.
Op welke signalen moet je letten
De tijd dat spelfouten je waarschuwden, is voorbij. Wat overblijft, zijn meer subtiele tekenen. Klopt het webadres echt? Een goede aanvaller verandert maar één letter of voegt een streepje toe. Een mail van support op een afwijkend domein verdient altijd een tweede blik.
Let ook op de toon van een bericht. Wordt er druk gezet, gevraagd om geheimhouding of moet er nú actie ondernomen worden? Dat zijn klassieke knoppen die oplichters indrukken. Bel of app de afzender via een bekend nummer terug, vooral als het om geld of inlogcodes gaat.
Praktische bescherming
Werk altijd met meerstaps verificatie, bij voorkeur via een aparte authenticator app of een hardware sleutel. Een gestolen wachtwoord alleen is dan niet meer genoeg om binnen te komen. Pas ook regelmatig je wachtwoorden aan en gebruik een wachtwoordmanager om sterke unieke wachtwoorden te beheren.
Houd je software up to date en wees alert op extra dialogen of waarschuwingen tijdens een aanmelding. Wanneer je inlogt en je app onverwacht een tweede goedkeuring vraagt, kan dat betekenen dat iemand anders bezig is.
Een gezonde dosis wantrouwen
Phishing is in 2026 niet meer de domme oplichtertruc van vroeger. Door bewust te kijken naar afzenders, links en de toon van berichten, en door je accounts goed te beveiligen, blijf je een stuk veiliger online. Twijfel je over een bericht, dan is even bellen of niet reageren altijd beter dan onnodig klikken.
