Nieuws

Valse e-mail ontvangen? Zo controleer je of het phishing is

Twijfel je of een e-mail echt is? Leer in vijf stappen hoe je phishing herkent en wat je doet als je op een link hebt geklikt. Duidelijke uitleg, geen technische taal.

7 min leestijdIdenScan
Valse e-mail ontvangen? Zo controleer je of het phishing is

Je opent je e-mail en ziet een bericht van je bank. Of van DHL. Of van de Belastingdienst. De mail ziet er officieel uit. Er staat een logo in, een nette opmaak, en een dringende vraag om op een link te klikken.

Maar is het echt?

Phishing — oplichting via valse e-mails — is een bekende vorm van online misleiding. Valse mails kunnen geloofwaardig lijken. Soms zijn ze lastig van een echte e-mail te onderscheiden.

Toch zijn er duidelijke signalen. En als je die kent, kun je rustig beoordelen of een e-mail echt is.

Wat is phishing?

Phishing is een manier van oplichting waarbij iemand een valse e-mail stuurt die eruitziet alsof hij van een betrouwbare afzender komt. Denk aan je bank, de Belastingdienst, een pakketbezorger of een overheidsinstantie.

Het doel is altijd hetzelfde: je laten klikken op een link, en daarna je gegevens achterlaten — of malware op je apparaat installeren.

Je hoeft geen wachtwoord door te sturen of je bankpas te fotograferen. In sommige gevallen kan één klik al gevolgen hebben — bijvoorbeeld als de pagina die opent schadelijke software probeert te installeren.

5 signalen dat een e-mail vals kan zijn

1. Het afzenderadres klopt niet precies

Een echte mail van je bank komt van een officieel domein, zoals @ing.nl of @rabobank.nl. Phishing-mails gebruiken vaak adressen die er bijna hetzelfde uitzien, maar net iets afwijken. Zoals @ing-service.com, @rabo-bank.nl of een willekeurige reeks letters en cijfers.

Klik op de naam van de afzender en bekijk het volledige e-mailadres. Eén letter verschil is genoeg om te weten: dit klopt niet.

2. Er is haast en dreiging

"Uw account wordt geblokkeerd als u niet binnen 24 uur reageert." "Er is een onbekende betaling gedaan. Klik hier om te stoppen."

Phishing-mails spelen bewust op urgentie. Ze willen dat je snel klikt, voordat je nadenkt.

Een echte bank of overheidsinstantie belt je of stuurt een brief bij iets urgents. Ze blokkeren je account niet via een mail met een deadline.

3. Er staat een link in die je moet klikken

Bijna elke phishing-mail heeft een link. Soms ziet de link er normaal uit. Soms is hij vermomd achter een knop als "Klik hier" of "Log in".

Beweeg je muis over de link zonder te klikken. Je ziet onderaan je scherm het echte adres verschijnen. Als dat adres niet klopt bij de afzender — niet klikken.

Op je telefoon? Houd je vinger op de link. Je ziet dan het adres.

4. Ze vragen om persoonlijke gegevens

Je bank vraagt je nooit via e-mail om je wachtwoord, pincode of volledige betaalgegevens in te voeren. De Belastingdienst vraagt je nooit per e-mail om je BSN te bevestigen via een formulier.

Vraagt de mail om dit soort informatie? Dan is het vrijwel altijd oplichting.

5. De aanhef is vaag of onpersoonlijk

"Geachte klant", "Beste gebruiker", "Beste heer/mevrouw" — dit zijn tekenen dat de afzender je naam niet weet. Echte mails van je bank of provider gebruiken je eigen naam.

Let ook op spelfouten, vreemde formuleringen of een tekst die net iets te formeel of te rommelig klinkt.

Wat doe je als je twijfelt?

Stap 1: Klik niet op de link

Dit is de belangrijkste stap. Zolang je niet klikt en geen gegevens invult, is de kans op schade klein.

Stap 2: Controleer het afzenderadres

Klik op de naam van de afzender en lees het volledige e-mailadres. Klopt het domein? Bij twijfel: niet vertrouwen.

Stap 3: Bel de organisatie rechtstreeks

Neem contact op via het officiële telefoonnummer op de website van de organisatie — niet via het nummer dat in de e-mail staat. Vraag of de mail van hen afkomstig is.

Stap 4: Controleer de link via URL-checker

Wil je toch weten waar de link naartoe gaat, zonder te klikken? Kopieer de link en controleer hem via de URL-checker van IdenScan. Je ziet direct of het adres verdacht is — zonder dat je er zelf op hoeft te klikken.

Stap 5: Verwijder de e-mail

Heb je vastgesteld dat de mail vals is? Verwijder hem. Je hoeft er verder niets mee te doen.

Wat als je al geklikt hebt?

Rustig blijven. Eén klik betekent niet automatisch dat er iets mis is gegaan.

Als je alleen geklikt hebt op een link — maar geen gegevens hebt ingevuld:

  • Sluit de pagina
  • Verwijder de e-mail
  • Houd je apparaat en accounts de komende dagen in de gaten

Als je gegevens hebt ingevuld (zoals een wachtwoord of bankgegevens):

  • Wijzig je wachtwoord direct via de officiële website van de betreffende dienst
  • Neem contact op met de organisatie waarvan de mail afkomstig leek
  • Informeer je bank als je betaalgegevens hebt ingevoerd

Als je onzeker bent of je gegevens al ergens online staan:

  • Doe een QuickScan via IdenScan — je vult je e-mailadres of telefoonnummer in, en ziet of er signalen zijn dat je gegevens in een datalek zijn verschenen
  • Je hoeft geen wachtwoord te delen. Je hoeft geen inbox-toegang te geven
  • Je krijgt een duidelijke uitleg van wat er is gevonden en welke vervolgstappen logisch zijn

De QuickScan is een momentopname op basis van beschikbare bronnen. Het is geen garantie dat er niets mis is — maar het geeft je meer inzicht dan niets doen.

Praktische stappen op een rij

  1. Bekijk het afzenderadres — klopt het domein exact?
  2. Lees de mail rustig — is er haast, dreiging of een vage aanhef?
  3. Hover over de link — klopt het adres dat verschijnt?
  4. Klik niet direct — gebruik eerst de URL-checker als je twijfelt
  5. Bel de organisatie via het officiële nummer als je het niet zeker weet
  6. Heb je geklikt en gegevens ingevuld? Wijzig je wachtwoord direct
  7. Maak je zorgen om je gegevens? Doe een QuickScan

Veelgestelde vragen

Kan ik een valse e-mail altijd herkennen?
Niet altijd. Phishing-mails worden steeds geloofwaardiger. Maar de meeste valse mails hebben minstens één van de vijf signalen die hierboven staan. Train jezelf om die te checken, en je pakt de meeste gevallen.

Is het al te laat als ik geklikt heb?
Niet per se. Als je geen gegevens hebt ingevuld op de pagina die opende, is de kans groot dat er niets is misgegaan. Heb je wel gegevens ingevoerd? Verander dan direct je wachtwoord bij de betreffende dienst.

Kan ik een valse e-mail melden?
Ja. De Rijksoverheid adviseert om verdachte berichten te melden bij de Fraudehelpdesk. Ga daarvoor naar fraudehelpdesk.nl en volg de instructies op de site.

Wat doet IdenScan precies?
IdenScan controleert of je e-mailadres of telefoonnummer voorkomt in bekende datalekken. Wij geven je duidelijke uitleg en praktische vervolgstappen. Wij lezen je inbox niet en vragen geen wachtwoord.

Wat is het verschil tussen QuickScan en CyberCheck?
QuickScan is een eenmalige check — handig als je nu direct wil weten hoe het staat. CyberCheck monitort doorlopend en geeft je een melding als er nieuwe signalen zijn.

Twijfel je over een link in een e-mail?

Controleer hem eerst via de URL-checker van IdenScan — gratis, zonder account, zonder dat je hoeft te klikken.

Controleer een verdachte link →

Heb je al geklikt, of wil je weten of je gegevens al ergens staan?

Doe een QuickScan. Je vult je e-mailadres of telefoonnummer in en ziet direct wat er is gevonden.

Geen wachtwoord. Geen inbox-toegang. Alleen duidelijke uitleg.

Start QuickScan vanaf €2,99 →

Wil je dit niet steeds zelf hoeven checken?

CyberCheck houdt het voor je bij. Je krijgt een melding als er nieuwe signalen zijn rondom je gegevens.

Bekijk CyberCheck →