Samenvatting: Phishingmails zijn allang niet meer de slecht gespelde berichtjes van een Nigeriaanse prins. Criminelen zijn creatief geworden. Soms zelfs grappig creatief. We zetten de meest opmerkelijke voorbeelden op een rij — want lachen én leren kan gewoon allebe
Je hebt ze vast wel eens voorbij zien komen. Een mail van “Microsoft” dat je account wordt geblokkeerd. Een bericht van “PostNL” over een pakketje dat op je ligt te wachten. Of een berichtje van je bank dat er “verdachte activiteit” is gesignaleerd en je nu heel snel op een link moet klikken.
Phishing bestaat al bijna zo lang als e-mail zelf. Maar terwijl wij steeds beter zijn geworden in het herkennen van de klassieke trucs, zijn de oplichters ook niet stilgezeten. Ze hebben bijgeleerd. En sommigen van hen zijn, dat moet je ze nageven, ronduit inventief geworden.
Wat is phishing ook alweer?
Phishing is een vorm van digitale oplichting waarbij iemand probeert jou te verleiden tot het afgeven van persoonlijke gegevens, inlogcodes of geld. De naam is een woordspeling op “fishing”: je gooit een haakje uit en wacht tot iemand bijt.
De klassieke phishingmail deed alsof hij afkomstig was van een bank, overheidsinstantie of groot techbedrijf. Hij bevatte een linkje naar een neppagina die er bedrieglijk echt uitzag. Vul je daar je gegevens in, dan zijn die meteen in handen van de oplichter.
Simpel concept. En verrassend effectief, want mensen trappen er nog steeds in — ook slimme, kritische mensen. Niet omdat ze dom zijn, maar omdat phishingmails steeds beter worden.
De klassieker: de Nigeriaanse prins
We beginnen bij het begin, want dit verhaal verdient een ereplaats in de phishing-geschiedenis.
In de jaren negentig en vroege jaren nul overspoelden e-mails de wereld met een aanlokkelijk voorstel. Een prins, een weduwe of een hoge ambtenaar uit Nigeria (of een ander ver land) had een fortuin vastzitten op een geblokkeerde bankrekening. Om dat geld vrij te krijgen had hij of zij jouw hulp nodig, en jouw bankrekening als tijdelijke tussenstap. In ruil voor die hulp mocht jij een fors percentage houden.
Dit staat bekend als de “419-fraude”, vernoemd naar het Nigeriaanse wetsartikel dat deze vorm van oplichting strafbaar stelt. De opzet is al honderden jaren oud en gaat terug op de zogenaamde “Spaanse gevangene”-brieven uit de negentiende eeuw. Alleen het medium veranderde.
Het grappige? Die opzichtig slechte spelling en die onwaarschijnlijke verhalen waren nooit per ongeluk. Onderzoekers van Microsoft analyseerden de tactiek en concludeerden dat de absurde verhalen bewust werden gebruikt als filter. Wie hier wél op trapte, was kennelijk goedgelovig genoeg om het hele traject te doorlopen. De oplichters wilden geen sceptici aan de lijn, maar mensen die écht geloofden in een fortuin uit Nigeria.
De “je bent gewonnen” variant
Een goede tweede in de creativiteitsranglijst: de winnaarsbrieven. Jij hebt gewonnen! Een auto. Een vakantie. Een iPad. Een bedrag van 50.000 euro. Het maakt niet uit wat, als het maar groot genoeg klinkt.
Het enige wat je hoeft te doen om je prijs op te eisen, is een klein bedrag overmaken voor “administratiekosten” of “invoerrechten”. Dat bedrag is natuurlijk nooit klein genoeg om niet te betalen als de prijs groot genoeg lijkt. En zodra je betaald hebt, verdwijnt de afzender van de aardbodem.
De meest creatieve versie die ooit opdook: een mail die beweerde dat je had gewonnen bij een loterij waaraan je nooit had deelgenomen, van een bedrijf dat niet bestond, georganiseerd ter ere van een jubileum dat nergens werd vermeld. Alles klopte niet. Toch maakten mensen geld over.
De CEO-fraude: zakelijk en geloofwaardig
Hier wordt het echt slim. CEO-fraude, ook wel Business Email Compromise (BEC) genoemd, is een van de meest winstgevende vormen van phishing ter wereld.
De aanpak: een crimineel doet zich voor als de directeur of een hooggeplaatste manager van een bedrijf. Hij of zij stuurt een medewerker van de financiële afdeling een dringende mail: er moet vandaag nog een overboeking plaatsvinden voor een overname, een leverancier of een juridische regeling. Vertrouwelijk. Geen collega’s inschakelen. Nu meteen.
Het werkt omdat het inspeelt op precies de dingen die op een werkplek normaal zijn: urgentie, gezag, vertrouwelijkheid en de angst om de baas teleur te stellen. Het FBI-rapport over internetfraude uit 2023 liet zien dat BEC-fraude wereldwijd miljarden dollars per jaar kost.
De meest opmerkelijke variant die in Nederland opdook: een mail die zo goed was nagebouwd dat zelfs het e-mailadres van de echte directeur werd nagebootst, tot op één letter na. Eén letter. Dat is alles wat er tussen “gewoon een mailtje van de baas” en “fraude” zat.
De pakketjesdienst: perfect getimed
Als er iets is wat bijna iedereen regelmatig doet, is het online bestellen. En als je iets online bestelt, verwacht je een mail van PostNL, DHL of DPD.
Phishers weten dit ook.
De pakketjesfraude is zo populair geworden juist omdat hij zo geloofwaardig is. Je verwacht een pakketje. Dan krijg je een mail over een pakketje. Je klikt. En voor je het weet heb je je bankgegevens ingevuld op een site die eruitziet als PostNL maar dat absoluut niet is.
De meest inventieve versie stuurde mails met een neptrackingcode die écht leek te werken: je klikte op de link, zag een pagina met een bezorgschema voor jouw adres en een kaartje waarop een “bezorger” richting jouw wijk reed. Alles was nep, tot en met het kaartje. Maar het zag er zo overtuigend uit dat veel mensen hun gegevens invulden om de “invoerkosten” van een paar euro te betalen.
De romantische oplichter
Dit is de phishingvariant die het langst duurt en het meeste schade aanricht: romantische fraude, ook wel “catfishing” of “romance scam” genoemd.
Een oplichter maakt een aantrekkelijk profiel aan op een datingsite of sociale media, trekt wekenlang op met het slachtoffer via berichtjes en soms videogesprekken (met gestolen beelden of nep-AI-video’s), en vraagt dan om geld voor een noodgeval. Een ziekenhuisrekening. Een vlucht. Een vastgelopen betaling in het buitenland.
Wat dit zo effectief maakt is dat het niet draait om een technische truc, maar om een menselijke connectie. Mensen die dit overkomt schamen zich vaak omdat ze het gevoel hebben dat ze “dom” waren. Maar dat is niet eerlijk: oplichters die hierop gespecialiseerd zijn, zijn getrainde manipulators die precies weten welke emoties ze moeten aanspreken.
De belastingdienst: schrik en spoed
Belastingdienst-phishing heeft een uniek ingrediënt dat andere varianten missen: angst. Niemand wil een brief van de Belastingdienst, laat staan een mail met het woord “aanmaning” of “terugvordering” erin.
De meest gebruikte varianten beloven een teruggave (klik hier om uw rekeningnummer te bevestigen) of dreigen met een boete (betaal nu, anders volgt verdere actie). Beide spelen in op heel andere emoties, maar leiden naar hetzelfde resultaat.
Eén variant die opviel vanwege zijn bruutheid: een mail die beweerde dat de ontvanger verdacht werd van belastingfraude en binnen 24 uur moest reageren om aanhouding te voorkomen. Inclusief een nep-zaaknummer, een nep-naam van een “inspecteur” en een telefoonnummer dat naar een callcenter in het buitenland leidde.
Grotesk. Maar effectief genoeg dat mensen er in paniek op reageerden.
Wat maakt phishing zo moeilijk te herkennen?
Het eerlijke antwoord is dat goede phishingmails tegenwoordig haast niet meer te onderscheiden zijn van echte mails. Niet op het eerste gezicht.
Ze gebruiken de huisstijl van het echte bedrijf. Ze kennen je naam. Ze weten welke bank je gebruikt, welk pakketje je verwacht of bij welk bedrijf je werkt. Dat laatste klinkt onheilspellend, maar het is makkelijker te achterhalen dan je denkt: LinkedIn, sociale media en eerdere datalekken geven oplichters een schat aan informatie.
De techniek heet “spear phishing”: in plaats van een net uitwerpen en hopen dat er iemand bijt, richten oplichters zich specifiek op jou, met informatie die ze al over je hebben. Hoe persoonlijker de mail, hoe gevaarlijker.
Hoe herken je phishing dan wél?
Gelukkig zijn er nog steeds signalen, ook bij de meest geraffineerde pogingen.
Kijk naar het afzenderadres. Niet de naam die getoond wordt, maar het echte adres erachter. “PostNL Klantenservice” kan makkelijk maskeernaam zijn voor iets als noreply@pakket-melding-nl.com. Dat klopt niet.
Zweef over links voordat je klikt. De meeste e-mailprogramma’s tonen het echte webadres als je je muis boven een link houdt. Als dat adres niet klopt met het bedrijf dat zogenaamd mailt, klik dan niet.
Bel bij twijfel. Een echte bank, de echte Belastingdienst of je echte baas heeft er geen enkel probleem mee als je even belt om te bevestigen. Wie dat afraadt of ontmoedigt, is verdacht.
Vertrouw urgentie niet blind. “Actie vereist binnen 24 uur”, “je account wordt geblokkeerd”, “reageer nu” zijn klassieke drukzinnen die je moeten overhalen voor je nadenkt. Echte instanties geven je altijd de tijd om rustig te reageren.
Creativiteit als wapen, bewustzijn als schild
Phishingmails zijn allang niet meer het werk van amateurs met gebrekkige grammatica. Ze zijn professioneel, doordacht en soms zelfs indrukwekkend inventief. En ze worden steeds beter naarmate AI het opstellen van geloofwaardige teksten makkelijker maakt.
Maar de kern van phishing verandert nooit: het speelt in op vertrouwen, angst, nieuwsgierigheid of hebzucht. Ken je die patronen, dan ben je al een stap voor.
En de volgende keer dat je een mail krijgt over een pakketje dat op je wacht, een prijs die je gewonnen hebt of een prins die je hulp nodig heeft: neem even een seconde de tijd. Die seconde kan je heel wat ellende besparen.
Wil je meer weten over digitale misleiding? Lees dan ook ons artikel wat is phishing en hoe herken je het of duik in de wereld van dark patterns: hoe websites je stiekem sturen.