In februari 2026 werden 6,2 miljoen klantgegevens van Odido gestolen. Namen, adressen, telefoonnummers, bankrekeningnummers – zelfs paspoortnummers. Dat is ongeveer één op de drie Nederlanders. Hoe herken je phishing vóórdat je erin trapt?
Want het begon allemaal met een phishing-mail. Medewerkers van een callcenter klikten op een neplink en vulden hun inloggegevens in. Daarna werden ze ook nog gebeld door iemand die zich voordeed als de IT-afdeling. Zo kregen de hackers volledige toegang tot het klantsysteem.
Het bijzondere: de gestolen gegevens worden nu alweer gebruikt voor nieuwe phishing. Nepberichten die zich voordoen als Odido, gericht op dezelfde mensen die al slachtoffer zijn. Oplichting op oplichting.
Wanneer moet je wantrouwig zijn, en wat doe je als je toch op een link hebt geklikt? In dit artikel leg ik het uit, stap voor stap.
Wat is phishing?
Phishing is een vorm van online oplichting. Iemand doet zich voor als een bedrijf of persoon die je vertrouwt. Denk aan je bank, de Belastingdienst of een pakketbezorger. Het doel: je verleiden om gegevens in te vullen of op een link te klikken.
Het woord komt van “fishing”: vissen. De oplichter gooit een aas uit en hoopt dat je bijt.
Phishing gebeurt niet alleen via e-mail. Je kunt het ook tegenkomen via:
- SMS (ook wel smishing genoemd)
- WhatsApp – bijvoorbeeld het bekende “hi mama”-bericht
- Telefoon – iemand belt en doet zich voor als je bank of de politie
- Sociale media – nepaccounts die je een bericht sturen
Wat al deze vormen gemeen hebben: ze spelen in op urgentie, angst of vertrouwen. “Je account wordt geblokkeerd.” “Er is een verdachte betaling gedaan.” “Ik zit in de problemen, kun je geld overmaken?”
Hoe herken je phishing: 5 rode vlaggen
Hoe herken je een phishing mail of nepbericht? Vroeger kon je phishing herkennen aan slechte spelling of een vreemd e-mailadres. Dat werkt steeds minder goed. Oplichters gebruiken AI om foutloos te schrijven, en ze kunnen e-mailadressen vervalsen zodat het lijkt alsof het bericht echt van je bank komt.
Waar kun je dan wél op letten?
1. Je verwacht het bericht niet
Je krijgt een e-mail van je bank over een “verdachte transactie”, maar je hebt niets besteld. Of een bericht van de Belastingdienst, terwijl het geen aangiftetijd is. Phishing komt vaak uit het niets.
Vuistregel: verwacht je het niet? Vertrouw het niet zomaar.
2. Er wordt druk op je gezet
“Reageer binnen 24 uur of je account wordt geblokkeerd.” Oplichters willen dat je snel handelt, zonder na te denken. Echte bedrijven geven je de tijd.
Voel je druk? Stop even. Dat gevoel van urgentie is precies wat de oplichter wil.
3. Er wordt gevraagd om iets te doen
Dit is het belangrijkste signaal. Moet je op een link klikken? Inloggen via een pagina in de e-mail? Geld overmaken? Een bijlage openen? Een QR-code scannen?
Open nooit bijlagen met extensies als .exe, .zip of .js, ook niet als ze van een bekende lijken te komen. Deze bestanden kunnen schadelijke software bevatten.
Je bank vraagt nooit per e-mail om je pincode, wachtwoord of beveiligingscode. De Belastingdienst ook niet. Geen enkel betrouwbaar bedrijf doet dat – niet per e-mail, niet per telefoon, niet per SMS.
4. De link klopt niet
Beweeg je muis over een link (niet klikken!) en kijk waar die naartoe gaat. https://ing.nl/betalen is goed. https://ing.betalen-veilig.com is nep. Het echte domein staat vlak voor de eerste /.
Op je telefoon: houd een link lang ingedrukt om het adres te bekijken zonder erop te klikken.
Nog beter: klik helemaal niet op links in berichten. Typ het adres zelf in je browser, of open de officiële app.
5. De afzender is niet wie je denkt
Ja, je moet het e-mailadres controleren. Maar weet dat oplichters adressen kunnen vervalsen. Een mail die eruitziet alsof die van info@rabobank.nl komt, kan nep zijn.
Hoe dan? Kijk niet alleen naar de afzender, maar naar het totaalplaatje: verwacht je het bericht? Wordt er om een actie gevraagd? Is er haast? Als je twijfelt, neem dan zelf contact op met het bedrijf. Zoek het telefoonnummer op via de officiële website. Gebruik nooit het nummer uit het bericht.
WhatsApp- en SMS-phishing
“Hi mama, ik heb een nieuw nummer. Kun je even geld overmaken? Ik leg het later uit.”
WhatsApp-oplichting is een van de meest voorkomende vormen van fraude in Nederland. De berichten zijn kort, persoonlijk en spelen in op het vertrouwen tussen familieleden.
Na het Odido-datalek is dit risico groter geworden. Criminelen hebben nu namen, telefoonnummers en in sommige gevallen zelfs klantennotities met familierelaties. Ze hoeven niet meer te gokken – ze weten precies wie ze moeten benaderen en hoe.
Hoe herken je het?
- Het bericht komt van een onbekend nummer dat beweert een bekende te zijn
- Er wordt snel om geld gevraagd
- Het verhaal is vaag: “ik leg het later uit”
- Je wordt gevraagd om het oude nummer te verwijderen
Wat doe je?
- Bel het oude nummer. Is het echt je kind of vriend? Dan nemen ze op.
- Spreek met je familie een codewoord af. Vraagt iemand via WhatsApp om geld? Vraag om het codewoord. Geen goed antwoord? Niet betalen.
- Maak nooit geld over op basis van een berichtje alleen
QR-code phishing: pas op met scannen
Een nieuwere vorm van phishing is quishing: oplichting via QR-codes. Je scant een code bij een parkeerautomaat, restaurant of bushalte, maar de code leidt naar een nepsite die je betaalgegevens steelt.
Hoe werkt het? Criminelen plakken een nep-QR-code over de echte heen. Je ziet het verschil niet, de sticker zit er keurig op.
Vuistregels:
- Scan alleen QR-codes die je verwacht
- Check of de code er opgeplakt uitziet (letterlijk: zit er een sticker over een andere code?)
- Kijk na het scannen naar het webadres voordat je iets invult
- Betaal liever via de officiële app dan via een QR-code op straat
Telefonische oplichting: “U spreekt met uw bank”
Phishing via de telefoon, ook wel vishing genoemd, is bijzonder effectief bij oudere doelgroepen. Iemand belt en doet zich voor als je bank, de politie of een technisch medewerker van Microsoft.
Het gesprek voelt persoonlijk en professioneel. De beller kent soms je naam, adres of zelfs je rekeningnummer, zeker na een datalek als dat van Odido.
Hoe herken je het?
- Je wordt onverwacht gebeld door je “bank” of een “overheidsinstantie”
- Er wordt gevraagd om je pincode, wachtwoord of beveiligingscode
- Je moet software installeren (zoals TeamViewer of AnyDesk)
- Er is haast: “We moeten nu handelen om uw rekening te beschermen”
Wat doe je?
- Hang op. Altijd, zonder uitzondering.
- Bel zelf terug via het nummer op de officiële website van je bank
- Onthoud: je bank vraagt nooit telefonisch om je pincode of wachtwoord
AI en deepfakes: phishing wordt slimmer
Phishing-berichten worden steeds moeilijker te herkennen. Niet omdat oplichters beter zijn gaan schrijven, maar omdat ze AI gebruiken. Steeds meer phishing-mails bevatten AI-gegenereerde tekst. Foutloos, persoonlijk en overtuigend.
Maar het gaat verder dan tekst. AI kan tegenwoordig ook stemmen en gezichten namaken – zogenaamde deepfakes. En dit is geen toekomstmuziek. Een paar voorbeelden uit 2023 en 2024:
- In Hong Kong werd een medewerker van ingenieursbureau Arup uitgenodigd voor een videovergadering met zijn CFO en collega’s. Alles leek normaal – tot bleek dat iedereen op het scherm een deepfake was. Het bedrijf verloor 25 miljoen dollar.
- In Arizona kreeg een moeder een telefoontje van haar 15-jarige dochter, die snikend om hulp smeekte. De stem was AI-gekloond op basis van social media-video’s. Haar dochter was gewoon op school.
- In de VS en Canada werden duizenden ouderen gebeld door “kleinkinderen” die in de cel zaten of een ongeluk hadden gehad. Onderzoekers schatten dat 3 seconden audio genoeg is om een stem overtuigend te klonen.
Deze voorbeelden zijn uit 2023 en 2024. De technologie ontwikkelt zich razendsnel.
Klinkt beangstigend. Maar in de praktijk is de meeste phishing nog steeds een simpele nepmail of een WhatsApp-berichtje. Deepfakes zijn vooralsnog zeldzaam. Het punt is: wees je ervan bewust dat het bestaat, en vertrouw niet blind op wat je ziet of hoort.
Hoe meer je deelt, hoe makkelijker het wordt
Deepfakes hebben materiaal nodig: foto’s, video’s, spraakfragmenten. Hoe meer je online deelt, hoe meer een oplichter te werken heeft. Die vakantievideo op Facebook, dat verjaardagsfilmpje op Instagram? Het is allemaal bruikbaar.
Dat betekent niet dat je niets meer online mag zetten. Maar het is een reden om bewust te kiezen wat je deelt. Vooral foto’s en video’s van kinderen en kleinkinderen zijn kwetsbaar. Lees ook: waarom privacy belangrijk is – ook als je ‘niets te verbergen’ hebt. En wil je weten hoe veilig je bestanden online zijn? Lees dan is de cloud veilig?.
Hoe bescherm je jezelf?
- Wees wantrouwig bij onverwachte video- of spraakberichten – ook als ze er echt uitzien
- Verifieer altijd via een ander kanaal: bel zelf terug
- Denk na over wat je publiekelijk deelt op sociale media
- Zet je profielen op privé waar dat kan
- Zet tweestapsverificatie (2FA) aan op je bank, e-mail en WhatsApp. Zelfs als iemand je wachtwoord steelt, komen ze er niet in
Wat doe je als je erin trapt?
Het kan iedereen overkomen. Schaam je er niet voor. Handel snel.
Alleen op een link geklikt, maar niets ingevuld? Meestal is er niets aan de hand. Maar een nepsite kan proberen om schadelijke software te installeren, vooral als je browser of systeem niet up-to-date is. Voer voor de zekerheid een virusscan uit.
Heb je gegevens ingevuld of geld overgemaakt?
Neem deze stappen, in deze volgorde:
- Bel je bank – Elke bank heeft een alarmlijn die 24/7 bereikbaar is. Het nummer vind je in de app of op de website van je bank. Hoe sneller je belt, hoe groter de kans dat een betaling gestopt kan worden.
- Wijzig je wachtwoorden – Doe dit pas ná een virusscan (zie hierboven). Anders kunnen criminelen je nieuwe wachtwoord meelezen. Gebruik je overal hetzelfde wachtwoord? Wijzig het dan overal. Dit is een goede reden om een wachtwoordmanager te gebruiken.
- Doe aangifte bij de politie – Dat kan online of via 0900-8844. Vraag bij het inplannen om een digitaal rechercheur.
- Meld het bij de Fraudehelpdesk – Via 088-786 7372 of op fraudehelpdesk.nl. Zij helpen je inschatten wat de risico’s zijn.
Zijn je persoonsgegevens gelekt?
Als je identiteitsbewijs, BSN of andere persoonlijke gegevens hebt gedeeld, meld dit dan ook bij het Centraal Meldpunt Identiteitsfraude. Zij helpen misbruik te stoppen.
Ben je Odido-klant? Check of jouw gegevens gelekt zijn via checkjehack.nl – de politie heeft de Odido-data daar in maart 2026 aan toegevoegd.
Veelgestelde vragen over phishing
Kan mijn bank mij bellen over fraude?
Ja, je bank kan je bellen. Maar ze zullen je nooit vragen om je pincode, wachtwoord of beveiligingscode te delen. Ook vragen ze nooit om geld over te maken of om software te installeren. Twijfel je of je echt je bank aan de lijn hebt? Hang op en bel zelf het nummer op de website van je bank.
Ik heb op een link geklikt – wat nu?
Alleen geklikt en niets ingevuld? Voer voor de zekerheid een virusscan uit. Heb je wel gegevens ingevuld? Bel dan direct je bank, voer een virusscan uit en wijzig daarna je wachtwoorden. Lees de volledige stappen in het onderdeel wat doe je als je erin trapt?.
Waar meld ik een verdachte e-mail?
Bij de Fraudehelpdesk (088-786 7372) en bij je bank. De meeste banken hebben een speciaal e-mailadres:
- ING: valse-email@ing.nl
- Rabobank: valse-email@rabobank.nl
- ABN AMRO: valse-email@nl.abnamro.com
Stuur het verdachte bericht door en verwijder het daarna.
Samenvatting: zo bescherm je jezelf
Phishing wordt steeds slimmer. Perfecte taal, vervalste afzenders, nagemaakte stemmen. Je kunt het niet meer herkennen aan hoe een bericht eruitziet. Maar je hoeft geen techneut te zijn om jezelf te beschermen.
Onthoud deze drie vragen bij elk onverwacht bericht:
- Verwacht ik dit?
- Wordt er gevraagd om iets te doen?
- Is er haast bij?
Kun je één van deze vragen met ja beantwoorden? Neem dan even de tijd. Klik niet, bel niet terug via het nummer in het bericht, en vul niets in. Zoek zelf het telefoonnummer of de website op en neem contact op.
Twijfel is geen zwakte – het is je beste verdediging.
En tot slot: zet tweestapsverificatie aan waar je kunt. Gebruik een wachtwoordmanager. Zo maak je het oplichters zo moeilijk mogelijk, ook als ze je wachtwoord toch in handen krijgen.