Psybersafe Blog

Phishing evolueert

maart 2026· 4 min read

De waarschuwingssignalen staan niet meer op je scherm

Er was een tijd dat phishing makkelijker te herkennen was. De grammatica klopte niet. De aanhef was vaag. De toon voelde verkeerd. Je voelde meestal wel dat er iets niet pluis was.

Dat is veranderd.

Nu klinkt het bericht verzorgd, relevant en vreemd vertrouwd. Het kan een echte collega noemen, een lopend project, of een deadline waar je toch al gestrest van bent. Het kan zelfs binnenkomen als een video- of spraakoproep, met een gezicht en een stem die volkomen overtuigend lijken. Dat is wat deze verschuiving zo ingrijpend maakt. De aanval steunt niet langer op overduidelijke fouten. Hij steunt op vertrouwen.

En specifieker: op hoe makkelijk vertrouwen te fabriceren is.

Het einde van "het overduidelijke"

Moderne phishing is persoonlijk. Aanvallers besteden tijd aan LinkedIn of de "Over ons"-pagina's van bedrijven om een haakje te vinden dat vertrouwd aanvoelt. Wanneer een bericht verwijst naar een project waar je je echt zorgen over maakt, blijft je brein in de snelle stand. Je stopt niet om te analyseren, omdat het lijkt alsof het in je inbox thuishoort.

Dan is er nog het "zien is geloven"-probleem. We zijn geneigd onze ogen te vertrouwen. Wanneer een deepfake-CEO je via een webcam aankijkt, kent je brein hem automatisch een identiteit toe. Die biologische kortsluiting wordt nu gekaapt.

Hoe ze je gewoonten hacken

De technologie is verbeterd. De psychologie is nauwelijks veranderd.

Moderne phishing volgt nog steeds dezelfde gedragspatronen die Robert Cialdini beschreef in zijn principes van beïnvloeding: mensen geven eerder gehoor wanneer iets urgent, vertrouwd, sociaal goedgekeurd of aan autoriteit gekoppeld aanvoelt. Aanvallers weten dit en bouwen hun berichten daaromheen.

Daarom werkt phishing zo vaak. Niet omdat mensen naïef zijn, maar omdat het verzoek is ontworpen om op dat moment redelijk aan te voelen.

Ze hacken niet langer alleen computers. Ze hacken menselijke neigingen.

Je lichaam is de nieuwe firewall

Het antwoord is niet alleen "controleer de link". Dat blijft belangrijk, maar het is niet langer genoeg.

De betere vraag is: wat probeert dit bericht me te laten voelen?

Als het druk, onderdanigheid, een gevoel van verplichting of de drang om te handelen vóór je nadenkt oproept, stop dan daar. Die emotionele verschuiving is vaak het betrouwbaarste signaal dat je krijgt.

Als een bericht te hard op een van Cialdini's knoppen drukt, of het nu autoriteit, urgentie, vertrouwdheid, sociale bewijskracht, wederkerigheid of consistentie is, dan is dat je teken om te vertragen.

Als je een plotselinge golf van angst voelt, of een vlaag van ik moet dit nú doen, dan is die lichamelijke reactie je brein dat omzeild wordt.

Nieuwe gewoonten die de moeite waard zijn:

Voor leidinggevenden: dit is ook een cultuurkwestie

Een "doe wat je gezegd wordt"-cultuur is een cadeau voor aanvallers. Als je team te geïntimideerd is om een verzoek van jou dubbel te checken, heeft de aanvaller al gewonnen.

Maak het veilig om voorzichtig te zijn. Als een medewerker een legitieme e-mail als verdacht markeert, bedank hem dan, draai niet met je ogen. Zeg het je team rechtstreeks: "Ik zal me nooit ergeren als je belt om een verzoek te verifiëren. Sterker nog, ik verwacht het."

Het klinkt klein. Het verandert alles. Het maakt van verificatie een teken van goed beoordelingsvermogen, niet van ongehoorzaamheid.

De sterkste verdediging is geen stukje code. Het is de pauze van drie seconden voordat je klikt.

De kern

Moderne phishing is verzorgder dan vroeger. Maar onder het laagje vernis werkt het nog steeds op een diep menselijke manier, met druk, vertrouwdheid, status en timing om mensen voorbij hun gebruikelijke oordeel te duwen.

Daarom kan de oplossing niet in software alleen zitten.

Mensen hebben betere gedragssignalen nodig. Betere gewoonten. Meer toestemming om te pauzeren.

Want het belangrijkste waarschuwingssignaal zit nu zelden in het bericht zelf.

Het is het moment waarop je voelt dat je geduwd wordt.

Don't miss what actually changes behaviour

Every blog as it lands, plus tips, tricks and behavioural science you won't find anywhere else.

Join over 500 people getting safer, one issue at a time.

No spam. Unsubscribe any time.

Found this useful? Share it with a colleague. And if someone shared it with you, sign up above and get the next one yourself.