Inhoud bewerken
Klik op de knop inhoud bewerken om de inhoud te bewerken/toe te voegen.

Hoe werkt gerichte phishing op medewerkers?

11 januari 2026

Gerichte phishing is een geavanceerde vorm van cybercriminaliteit waarbij criminelen specifieke medewerkers aanvallen met persoonlijk aangepaste berichten. In tegenstelling tot massa-phishing, gebruiken ze bedrijfsinformatie en persoonlijke details om vertrouwen te winnen. Deze aanvallen zijn moeilijker te herkennen omdat ze erg geloofwaardig lijken en precies aansluiten bij jouw werkcontext.

Wat is gerichte phishing en hoe verschilt het van gewone phishing?

Gerichte phishing richt zich op specifieke personen binnen een organisatie, terwijl gewone phishing berichten naar duizenden mensen tegelijk verstuurt. Criminelen investeren tijd in het verzamelen van informatie over hun doelwit en het bedrijf. Ze gebruiken echte namen van collega’s, actuele projecten en bedrijfsspecifieke termen om hun berichten geloofwaardig te maken.

Het verschil zit vooral in de voorbereiding. Bij massa-phishing sturen criminelen generieke berichten over “je bankrekening” of “een pakketje”. Bij gerichte phishing krijg je een bericht van je “collega” over dat belangrijke project waar je echt aan werkt. Ze weten wie je baas is, welke systemen jullie gebruiken en wanneer je bijvoorbeeld net bent begonnen met een nieuwe klant.

Dit maakt gerichte aanvallen veel gevaarlijker. Waar je een slecht geschreven e-mail over een nepbankrekening snel herkent, is een bericht van je “IT-afdeling” over een “urgente systeemupdate” veel lastiger door te hebben. De criminelen hebben hun huiswerk gedaan.

Hoe verzamelen criminelen informatie over jouw medewerkers?

Cybercriminelen gebruiken vooral openbare bronnen om informatie te verzamelen. LinkedIn is een goudmijn voor hen – hier vinden ze organogrammen, projecten en zelfs vakantieberichten. Ook bedrijfswebsites, nieuwsberichten en sociale media geven veel prijs over jouw organisatie en medewerkers.

Ze kijken naar LinkedIn-profielen om te zien wie er werkt, wat hun functie is en met wie ze verbonden zijn. Op Facebook en Instagram vinden ze persoonlijke informatie zoals hobby’s, familieleden en vakanties. Bedrijfswebsites vertellen over nieuwe projecten, partnerships en ontwikkelingen.

Criminelen combineren deze informatie slim. Ze zien bijvoorbeeld op LinkedIn dat Jan de nieuwe IT-manager is, op de bedrijfswebsite dat jullie een nieuw systeem implementeren, en op Facebook dat hij vorige week op vakantie was. Perfect materiaal voor een geloofwaardige phishing-e-mail over “problemen met het nieuwe systeem tijdens zijn afwezigheid”.

Ook datalekken helpen criminelen enorm. Zoals recent bij de GGD, waar miljoenen persoonsgegevens op straat kwamen te liggen. Met namen, adressen en burgerservicenummers kunnen criminelen zeer persoonlijke en geloofwaardige aanvallen opzetten.

Welke tactieken gebruiken phishers om vertrouwen te winnen?

Phishers gebruiken social engineering technieken om je te manipuleren. Ze doen zich voor als bekende contacten, creëren kunstmatige tijdsdruk en gebruiken bedrijfsinterne informatie om geloofwaardig over te komen. Het doel is dat je snel handelt zonder na te denken.

De meest effectieve tactiek is het nabootsen van autoriteit. Een bericht van je “baas” of “IT-afdeling” krijgt automatisch meer aandacht. Ze gebruiken echte namen, handtekeningen en zelfs logo’s om hun berichten authentiek te laten lijken.

Urgentie is een andere krachtige tactiek. “Het systeem wordt over 2 uur afgesloten”, “Je account wordt vandaag geblokkeerd” of “Deze factuur moet vandaag nog betaald”. Door tijdsdruk te creëren, hopen ze dat je geen tijd neemt om het bericht kritisch te bekijken.

Ze gebruiken ook bedrijfsinterne informatie om vertrouwen te winnen. Ze noemen actuele projecten, recente gebeurtenissen of specifieke systemen die jullie gebruiken. Dit maakt hun verhaal veel geloofwaardiger dan een generiek bericht over “je account”.

Hoe herken je een gerichte phishing e-mail?

Let op kleine details die niet kloppen, ook al lijkt het bericht geloofwaardig. Controleer altijd het echte e-mailadres van de afzender, niet alleen de weergavenaam. Kijk kritisch naar urgente verzoeken om geld, wachtwoorden of toegang, zelfs als ze van bekende contacten lijken te komen.

Belangrijke signalen om op te letten:

  • Afzenderadres klopt niet – jan.jansen@bedrijf.com vs jan.jansen@bedrjif.com
  • Ongebruikelijke verzoeken van bekende contacten
  • Urgentie gecombineerd met secrecy (“vertel dit aan niemand”)
  • Links die naar vreemde websites leiden
  • Bijlagen die je niet verwachtte
  • Taalgebruik dat niet past bij de persoon

Vertrouw op je gevoel. Als iets vreemd aanvoelt, is het dat waarschijnlijk ook. Een echte collega zal het begrijpen als je even belt om te controleren of hij echt die e-mail heeft gestuurd. Criminelen rekenen erop dat je dat niet doet.

Waarom vallen medewerkers nog steeds voor phishing aanvallen?

Mensen vallen voor phishing omdat criminelen inspelen op natuurlijke menselijke reacties zoals tijdsdruk, respect voor autoriteit en nieuwsgierigheid. We zijn gewend om snel te reageren op e-mails van collega’s of leidinggevenden, vooral als er urgentie in het spel is.

Psychologische factoren die phishing succesvol maken:

  • Automatisch vertrouwen in digitale communicatie van bekenden
  • Werkdruk waardoor je snel handelt zonder na te denken
  • Respect voor autoriteit – je twijfelt niet aan je baas
  • Nieuwsgierigheid naar interessante bijlagen of links
  • Sociale druk om snel te reageren op collega’s

Ook speelt mee dat gerichte phishing steeds professioneler wordt. De tijd dat je phishing herkende aan slechte spelling is voorbij. Moderne criminelen maken gebruik van correcte bedrijfsinformatie, professionele lay-outs en geloofwaardige verhaallijnen.

Daarnaast onderschatten mensen vaak hun eigen kwetsbaarheid. “Mij overkomt dat niet” is een gevaarlijke instelling. Iedereen kan slachtoffer worden, ongeacht opleidingsniveau of technische kennis.

Wat moet je doen als je denkt dat je gephisht bent?

Handel direct als je vermoedt dat je bent gephisht. Verander onmiddellijk je wachtwoorden, koppel alle apparaten los van het netwerk en informeer je IT-afdeling of systeembeheerder. Snelheid is belangrijk om verdere schade te voorkomen.

Stapsgewijze actieplan:

  1. Stop met wat je doet – voer geen verdere acties uit
  2. Verander wachtwoorden van alle accounts die je recent hebt gebruikt
  3. Koppel je apparaat los van wifi en netwerk
  4. Informeer onmiddellijk je IT-afdeling of systeembeheerder
  5. Bewaar het verdachte bericht als bewijs
  6. Check je bankrekeningen en andere accounts op ongebruikelijke activiteit
  7. Documenteer wat er is gebeurd voor eventueel onderzoek

Schaam je niet als je erin bent getrapt. Gerichte phishing is ontworpen om mensen te misleiden. Door het snel te melden, help je je organisatie om verdere schade te voorkomen en andere collega’s te waarschuwen.

Hoe wij helpen met phishing

Wij beschermen jouw bedrijf tegen phishing door een combinatie van geavanceerde technologie en praktische training. Ons beveiligingssysteem filtert verdachte e-mails voordat ze je inbox bereiken, terwijl we je team trainen om gerichte aanvallen te herkennen.

Onze aanpak bestaat uit meerdere lagen. We gebruiken moderne beveiligingstechnieken die phishing-e-mails automatisch detecteren en blokkeren. Daarnaast monitoren we continu je systemen om verdachte activiteiten direct te signaleren, vaak voordat je er zelf hinder van ondervindt.

Maar technologie alleen is niet genoeg. We geven praktische security awareness training waarin je medewerkers leren hoe ze gerichte phishing herkennen. Door regelmatige oefeningen blijft iedereen scherp en weten ze precies wat te doen bij verdachte berichten.

Maak je zorgen over de veiligheid van jouw bedrijfsgegevens? Neem contact met ons op voor een vrijblijvende security scan. We bekijken samen de risico’s binnen jouw organisatie en tonen concrete verbeteringen die je direct kunt implementeren.

Delen
Foto van Dirk-Jan Padmos

Dirk-Jan Padmos

Interesse of wil je wat meer informatie?

dirk-jan.padmos@ntnt.nl
Laatste nieuws.