Phishing-aanvallen worden steeds gerichter en overtuigender. Generieke e-mails met spelfouten zijn verleden tijd — moderne aanvallers doen grondig onderzoek en personaliseren hun berichten.
Dit zijn de zeven methodes die wij het meest tegenkomen bij MKB-bedrijven in 2026.
1. CEO-fraude
Een nep-e-mail van de directeur met een dringend verzoek: “Kan jij even snel €4.500 overmaken? Ik ben in vergadering.”
Herkenning: Controleer altijd het echte e-mailadres, niet alleen de weergavenaam. “Jan Jansen” kan afkomstig zijn van [email protected].
Regel: Betalingsverzoeken via e-mail worden altijd mondeling bevestigd.
2. Valse facturen
Een PDF met een gewijzigd rekeningnummer van een bekende leverancier. De factuur ziet er authentiek uit.
Herkenning: Bel altijd uw contactpersoon bij een gewijzigd rekeningnummer — via het nummer dat u al heeft, niet het nummer in de e-mail.
3. Microsoft 365 / Google-phishing
Een nepinlogpagina die identiek lijkt aan de echte Microsoft- of Google-inlogpagina. U voert uw inloggegevens in en geeft die direct aan de aanvaller.
Herkenning: Controleer de URL. Echte Microsoft-pagina’s eindigen op .microsoft.com. Kijk ook of er een slotje (HTTPS) staat, maar weet dat dit niet betekent dat de site veilig is.
4. Pakketbezorging (PostNL / DHL)
Een SMS of e-mail dat er een pakket is dat geleverd moet worden. U wordt gevraagd op een link te klikken en uw gegevens in te voeren.
Herkenning: Track pakketten via de officiële app of website, nooit via links in berichten. Als u geen pakket verwacht, is het vrijwel zeker phishing.
5. Urgentie en dreiging
“Uw account wordt binnen 24 uur geblokkeerd als u niet handelt.” Dit soort berichten creëren kunstmatige druk zodat u niet nadenkt.
Herkenning: Neem altijd even de tijd. Legitieme bedrijven stellen u nooit voor een onmiddellijk ultimatum via e-mail.
6. QR-code phishing (Quishing)
Een QR-code in een e-mail of op een fysieke poster die leidt naar een nepwebsite. Veel beveiligingssoftware scant geen QR-codes.
Herkenning: Controleer de URL nadat u de QR-code heeft gescand, voordat u gegevens invult. Als de URL er vreemd uitziet, sluit dan direct.
7. Interne doorstuurverzoeken
Een collega vraagt via e-mail om een bestand door te sturen, toegang te geven of een handeling te verrichten. De e-mail lijkt intern, maar is dat niet.
Herkenning: Verifieer onverwachte verzoeken altijd mondeling of via een ander kanaal (Teams, telefoon), zeker als het gevoelige informatie of geld betreft.
Hoe beschermt u uw team?
Bewustzijn is de eerste verdedigingslinie, maar het is niet voldoende. Bij SudoMKB voeren wij regelmatig phishing-simulaties uit bij onze klanten — zodat medewerkers in een veilige omgeving leren hoe ze aanvallen herkennen.
Meer over security awareness training — inbegrepen in ons Beschermd-pakket.
