AI-tools schrijven nu phishingmails die grammaticaal vlekkeloos zijn en echt professioneel klinken, waardoor het oude advies 'kijk op spelfouten' achterhaald is. Maar oplichters laten nog altijd herkenbare patronen achter — in het afzenderadres, de linkbestemming, urgentietaal en wat ze je vragen te doen. Het controleren van deze zes signalen duurt minder dan een minuut en stopt de meeste aanvallen.
Jarenlang was het advies eenvoudig: als een e-mail typefouten en onhandige formuleringen bevat, is het waarschijnlijk oplichting. Dat advies is nu achterhaald. AI-schrijftools produceren in seconden gepolijste, natuurlijk klinkende tekst, en phishingmails zijn tegenwoordig vaak niet te onderscheiden — qua toon en grammatica — van echte bedrijfscommunicatie.
Het goede nieuws: oplichters moeten nog steeds omgaan met technische beperkingen en menselijke psychologie, waardoor herkenbare patronen achterblijven. Deze zes signalen vereisen geen speciale software — alleen een moment van aandacht.
Controleer het werkelijke afzenderadres, niet de weergavenaam
Elke e-mailclient toont een "van"-naam, die iedereen op alles kan instellen. "PayPal Beveiligingsteam" kan worden weergegeven door iedereen die stuurt vanuit oplichter123@willekeurigdomein.xyz.
Klik of tik op de afzendernaam om het volledige e-mailadres te zien. Kijk naar het domein — het gedeelte na het @-symbool. Als een e-mail die beweert van je bank te komen, afkomstig is van een domein dat niet het echte websiteadres van je bank is, is het nep. Let op subtiele vervangingen zoals "paypa1.com" (de cijfer 1 in plaats van de letter l) of toegevoegde woorden zoals "paypal-support.com."
Beweeg de muis over elke link voordat je klikt
Rust op een computer de muiscursor op een link in de e-mail zonder te klikken. De werkelijke doel-URL verschijnt linksonder in je browser of e-mailclient. Op een telefoon druk je lang op een link om de doel-URL te zien voordat je die opent.
Vergelijk die URL met het echte websiteadres van het bedrijf. Als ze niet overeenkomen, klik dan niet. Zelfs als de linktekst "amazon.com" vermeldt, kan de werkelijke bestemming overal zijn.
Herken urgentie- en angsttaal
AI maakt oplichtingsmails grammaticaal perfect, maar kan het fundamentele mechanisme niet verwijderen dat phishing laat werken: paniek. Oplichters willen dat je handelt voordat je nadenkt.
Let op zinnen als "uw account wordt binnen 24 uur gesloten," "onmiddellijke actie vereist," "ongeautoriseerde toegang gedetecteerd," of "verifieer nu om opschorting te vermijden." Echte bedrijven sturen dit soort waarschuwingen ook — maar ze geven je dagen om te reageren, niet uren, en ze dreigen in de eerste zin niet met permanent verlies. Wanneer een e-mail je het gevoel geeft dat je moet haasten, is dat precies het moment om te vertragen.
Let op welke informatie ze eigenlijk vragen
Echte bedrijven vragen je bijna nooit om je volledige wachtwoord, burgerservicenummer of betaalkaartgegevens te bevestigen door op een link in een e-mail te klikken. Ze hebben je account al in hun systeem. Wanneer een e-mail je vraagt om "je gegevens te bevestigen" door ze ergens opnieuw in te voeren, is dat het kernmechanisme van de oplichting — je inloggegevens oogsten.
Let ook op verzoeken die voor het bedrijf enigszins vreemd zijn: een verzendmelding die je vraagt invoerrechten te betalen, een streamingdienst die je vraagt je facturering bij te werken door op een link te klikken, of een IT-afdeling die om je inloggegevens vraagt "voor onderhoud."
Verifieer via het echte kanaal van het bedrijf
Als een e-mail beweert dat er een probleem is met je account, gebruik dan geen link, telefoonnummer of bijlage in die e-mail. Doe in plaats daarvan het volgende:
Open een nieuw browsertabblad en typ het adres van het bedrijf zelf in — of gebruik een bladwijzer die je zelf hebt aangemaakt. Log daar in en controleer of dezelfde melding in je account verschijnt. Bel de klantenservice via het nummer op de officiële website van het bedrijf of op de achterkant van je pas, niet een nummer uit de e-mail. Deze ene stap stopt vrijwel alle phishingaanvallen.
Gebruik de ingebouwde rapportagetools van je e-mailprovider
Elke grote e-mailservice — Gmail, Outlook, Apple Mail — heeft een optie "phishing melden" of "als spam markeren". Gebruik die. Deze meldingen helpen filters te trainen die anderen beschermen tegen dezelfde campagne.
Je kunt verdachte e-mails ook doorsturen naar reportphishing@apwg.org, een non-profitorganisatie die phishingcampagnes wereldwijd bijhoudt. Als de e-mail een specifiek bedrijf nabootst, wil het beveiligingsteam van dat bedrijf het weten — zoek op "bedrijfsnaam phishing melden" om hun specifieke adres te vinden.
Wat kun je hierna doen?
Phishingmails zijn vaak de eerste stap in een grotere aanval. Nep-klantenserviceoplichting legt uit wat er na het klikken gebeurt — hoe oplichters echte merkondersteuningsteams nabootsen en je inloggegevens verzamelen — en hoe je de echte contactinformatie van een bedrijf vindt. Voor een blik op hoe AI-gegenereerde stem past in deze aanvallen, legt AI-stemkloonfraude uit hoe de technologie klinkt en hoe je er een stap voor blijft.



