Phishing voorkomen? 10 effectieve maatregelen!

Phishing voorkomen vraagt om méér dan alleen bewustwordingstraining. Ondanks alle campagnes blijven organisaties kwetsbaar voor geraffineerde e-mailaanvallen. Medewerkers worden steeds beter in het herkennen van verdachte berichten, maar aanvallers worden slimmer en hun methoden technischer. Alleen door gerichte, technische beveiligingslagen toe te voegen, kunnen organisaties phishing structureel tegengaan.

Dit artikel is geschreven voor IT-beheerders, informatiebeveiligingsverantwoordelijken en ISO-functies die op zoek zijn naar praktische maatregelen die wél werken. Geen algemene adviezen, maar concrete oplossingen die direct toepasbaar zijn in de praktijk.

Met als doel: een weerbare, phishingbestendige organisatie die aanvallen herkent, blokkeert én leert van elke poging.

1. Implementeer SPF, DKIM en DMARC met een streng ‘reject’-beleid

Phishing voorkomen begint bij het beveiligen van het e-mailverkeer zelf. Zonder bescherming kunnen kwaadwillenden eenvoudig e-mails versturen die afkomstig lijken van een legitieme organisatie. Technieken zoals SPF, DKIM en DMARC maken dat vrijwel onmogelijk. Deze DNS-gebaseerde beveiligingslagen vormen de fundering van betrouwbare e-mailcommunicatie.

Waarom deze maatregel werkt

Cybercriminelen gebruiken vaak domein-spoofing: het nabootsen van een vertrouwd afzenderadres om vertrouwen te wekken. Zonder controlemechanismen zoals SPF en DKIM herkennen mailservers de afzender niet als vals. DMARC bouwt hierop voort en bepaalt wat er moet gebeuren met berichten die de controle niet doorstaan.

Door DMARC in te stellen op ‘p=reject’, wordt e-mail van niet-geautoriseerde servers automatisch geweigerd. Dit stopt phishing-pogingen nog vóór ze in de inbox verschijnen. Deze aanpak werkt effectief tegen spoofing en domeinmisbruik, ook bij gerichte spear-phishingaanvallen.

Praktische uitvoering

Voer de volgende acties uit om SPF, DKIM en DMARC goed te implementeren:

• Controleer of je domein SPF en DKIM ondersteunt
  Voeg bij je DNS-provider een SPF-record toe dat alleen geautoriseerde verzendende mailservers toelaat. Stel vervolgens DKIM in door een cryptografische sleutel te genereren en in je DNS te publiceren.
• Activeer DMARC met een reject-policy
  Begin met een ‘p=none’-beleid om te monitoren, maar werk snel toe naar ‘p=quarantine’ of ‘p=reject’ om phishing daadwerkelijk te blokkeren.
• Gebruik rapportagetools om te monitoren
  Tools als Internet.nl of MXToolbox helpen je configuratie testen. DMARC-rapporten geven inzicht in welke partijen namens je domein proberen te mailen.
• Voer periodieke controles uit
  Monitor continu op pogingen tot domeinmisbruik en pas je records aan bij wijzigingen in je mailinfrastructuur.

Veelgemaakte fouten voorkomen

Een vaak vergeten risico is het niet afsluiten van oude domeinen of subdomeinen die eerder zijn gebruikt voor campagnes, maar inmiddels in onbruik zijn. Aanvallers speuren actief naar deze zogenoemde shadow domains om ze opnieuw te activeren voor phishingaanvallen. Voorkom dit met de volgende maatregelen:

• Zet inactieve domeinen op ‘p=reject’ via een DMARC-record.
• Verwijder ongebruikte DNS-records of monitor ze actief met scripts.
• Behandel elk domein, ook al wordt het niet meer gebruikt, als potentieel aanvalspunt.

Hacking voorkomen via e-mailverificatie

Zodra deze authenticatiestandaarden correct zijn geconfigureerd, wordt het aanzienlijk moeilijker om via e-mail een aanvalslijn te starten. Veel vormen van hacking, waaronder credential harvesting via nep-loginpagina’s, beginnen bij een overtuigende e-mail. SPF, DKIM en DMARC voorkomen dat dit soort e-mails überhaupt aankomt bij de gebruiker.

Waarom streng beleid loont

Een DMARC-beleid op ‘none’ is nuttig voor monitoring, maar beschermt niet actief. Alleen met een reject-beleid blokkeer je daadwerkelijk spoofed e-mails. Organisaties die deze stap durven zetten, zien een aanzienlijke afname in geslaagde phishingpogingen en meldingen van verdachte e-mails.

Snelle checklist voor implementatie

• SPF-record aangemaakt en geverifieerd via DNS
• DKIM ingesteld met geldige sleutels
• DMARC gestart met ‘none’, daarna omgezet naar ‘reject’
• Shadow domains gecontroleerd en afgesloten
• Rapportages geactiveerd en monitoring ingesteld

Door deze maatregelen goed door te voeren, creëert een organisatie een betrouwbaar e-maildomein dat lastig te misbruiken is. Spoofing en spear-phishing worden actief geblokkeerd, wat de eerste verdedigingslinie versterkt tegen grootschalige phishingcampagnes.

2. Markeer externe e-mails duidelijk

Phishingmails lijken vaak afkomstig van interne collega’s of leidinggevenden. Dit maakt ze gevaarlijk. Door e-mails van buiten de organisatie visueel te markeren, wordt direct duidelijk dat het bericht van een externe afzender komt. Deze simpele maar effectieve maatregel verhoogt het bewustzijn bij medewerkers, voorkomt verwarring en maakt impersonatiepogingen minder succesvol.

Hoe externe markering helpt bij phishing voorkomen

Phishers gebruiken vaak namen of e-mailadressen die lijken op interne collega’s. Denk aan een nepbericht van “directie@outlook.com” dat zogenaamd komt van de CEO. Zonder visuele aanwijzingen is zo’n mail moeilijk te onderscheiden van echte interne communicatie. Door een opvallende balk, tag of waarschuwingstekst toe te voegen aan externe e-mails wordt dit risico aanzienlijk kleiner.

• Visuele herkenning triggert alertheid
  Een tekst zoals “Let op: dit bericht komt van buiten de organisatie” laat gebruikers twee keer nadenken voor ze op links klikken of bijlagen openen.
• Verkleint de kans op succesvolle impersonatie
  Zelfs als een aanvaller de naam van een collega gebruikt, blijft zichtbaar dat de e-mail van een externe bron komt.
• Verhoogt de effectiviteit van bestaande trainingen
  Medewerkers leren phishing herkennen, maar worden in het dagelijks werk vaak overspoeld door e-mails. Een externe waarschuwing biedt net dat extra signaal op het juiste moment.

Technische implementatie

De meeste e-mailplatforms ondersteunen deze functionaliteit direct. Zowel Microsoft 365 als Google Workspace bieden configuraties om externe e-mails automatisch te taggen.

• Microsoft 365 (Exchange Admin Center)
  Stel een transportregel in met voorwaarde ‘afzender buiten organisatie’ en voeg een tekstblok toe aan de e-mailheader of body.
• Google Workspace (Admin Console)
  Gebruik de instelling voor ‘external sender warnings’ en voeg optioneel eigen tekst of styling toe voor herkenbaarheid.
• Let op gebruikerservaring
  Test intern of de markering duidelijk maar niet storend is. Te veel waarschuwingen kunnen leiden tot alert-moeheid, wat het effect ondermijnt.

Voorbeelden van effectieve meldingen

• Gele balk met de tekst: “Let op: dit bericht is verzonden vanaf een extern e-mailadres.”
• Rode tekst bovenaan e-mails: “Wees voorzichtig met links of bijlagen van externe afzenders.”
• Externe tag in het onderwerp (bijv. “[Extern]”) om snel herkenning mogelijk te maken.

Pas deze waarschuwingen aan aan de huisstijl of het bewustzijnsniveau binnen de organisatie.

Grenzen van deze maatregel

Geen enkele oplossing is waterdicht. Geavanceerde aanvallers kunnen proberen de markering te omzeilen, bijvoorbeeld door e-mail via interne systemen te injecteren of reply-to trucs te gebruiken. Toch blijft deze aanpak waardevol als onderdeel van een bredere strategie. Zeker voor grote organisaties waar veel externe communicatie plaatsvindt, biedt het een belangrijk extra detectiesignaal.

Combineer met andere maatregelen

Externe e-mailmarkering werkt het best in combinatie met andere verdedigingslagen, zoals:

• DMARC-policy op ‘reject’ om spoofing te blokkeren
• Spamfilters die jonge domeinen of verdachte IP’s weigeren
• Phishingbestendige MFA om schade te beperken bij een lek

Checklist om direct te starten

• Controleer of externe afzenders op dit moment worden gemarkeerd
• Stel een transportregel of tag in binnen de e-mailomgeving
• Kies een opvallende maar niet irritante visuele weergave
• Informeer medewerkers over de betekenis van de melding
• Monitor meldingen van verdachte e-mails na activatie

Door deze maatregel te activeren, verhoogt een organisatie de weerbaarheid op een eenvoudige manier. Medewerkers krijgen een extra laag context, precies wanneer ze die nodig hebben: bij het openen van een e-mail.

3. Blokkeer jonge domeinen die vaak bij phishing worden gebruikt

Phishingcampagnes maken vrijwel altijd gebruik van recent geregistreerde domeinen. Cybercriminelen kopen in bulk nieuwe domeinnamen, zetten er een overtuigende loginpagina op en sturen massa-e-mails in de hoop dat iemand klikt. Omdat deze domeinen nog niet op zwarte lijsten staan, glippen ze vaak door traditionele spamfilters. Door domeinen jonger dan bijvoorbeeld 30 of 90 dagen standaard te blokkeren of te filteren, wordt het grootste deel van dit soort aanvallen direct tegengehouden.

Waarom jonge domeinen risicovol zijn

Een pas aangemaakt domein heeft geen reputatie opgebouwd. Mailservers en browsers hebben dus nog geen reden om het als verdacht of veilig te bestempelen. Dat maakt het perfect voor misbruik. Bovendien:

• Phishers laten het domein vaak na een paar dagen alweer verlopen
• Reputatiesystemen zoals Google Safe Browsing en VirusTotal zijn vaak te laat met detectie
• Domeinen lijken legitiem: met kleine variaties op bestaande merknamen of bedrijfsnamen

Technische uitvoering

Deze maatregel werkt het best via bestaande e-mailsecurityplatforms of gatewayfilters die threat intelligence toepassen. Denk aan Proofpoint, Mimecast, Cisco Email Security of Palo Alto Networks. De meeste tools bieden instellingen om domeinen te blokkeren op basis van registratieleeftijd.

Zo stel je het in:

• Gebruik threat feeds en DNS-intelligence
  Veel leveranciers bieden feeds met domeinleeftijd. Domeinen jonger dan x dagen worden automatisch geblokkeerd of in quarantaine geplaatst.
• Pas filtering toe via je Secure Email Gateway (SEG)
  Voeg een policy toe die jonge domeinen als verdacht markeert en verplaats ze naar quarantaine of laat de gebruiker een extra waarschuwing zien.
• Gebruik real-time domeinanalyse
  Voorzie de filters van tools die WHOIS-informatie controleren en domeinhistorie analyseren.

Flexibel omgaan met uitzonderingen

Soms heb je legitieme redenen om mails van nieuwe domeinen te ontvangen, bijvoorbeeld:

• Een nieuwe marketingcampagne met bijbehorend landingsdomein
• Een pas opgezette partner die je net hebt toegevoegd aan je keten
• Externe leveranciers die nieuwe systemen lanceren

Om hier rekening mee te houden:

• Maak een whitelist voor vertrouwde domeinen
  Voeg legitieme afzenders handmatig toe aan de uitzonderingslijst, zodat je geen belangrijke communicatie blokkeert.
• Zorg voor interne meldingen bij geblokkeerde e-mails
  Laat gebruikers weten waarom een mail niet is afgeleverd en geef contactopties bij twijfel.

Combineren met andere detectiecriteria

De leeftijd van een domein is op zichzelf niet voldoende. Combineer het met aanvullende kenmerken voor een sterkere filter:

• Gebruik van onlogische domeinnamen (bijv. “support-verificatie365-login.com”)
• Domeinen zonder geldig SSL-certificaat
• Domeinen die in het verleden zijn gehost op verdachte infrastructuur

Veel SEG’s en XDR-platformen kunnen deze signalen combineren in risicoscores. Daarmee stijgt de kans op het tijdig herkennen van phishing significant.

Automatisering en beheer

Het handmatig onderhouden van een lijst met verdachte domeinen is onbegonnen werk. Gebruik daarom zoveel mogelijk geautomatiseerde feeds en scripts om:

• Continu nieuwe domeinen op te halen en te verwerken
• Blokkades automatisch toe te passen bij verdachte signalen
• Statistieken bij te houden over geblokkeerde mails, fouten en uitzonderingen

Een goed ingerichte blokkade op jonge domeinen houdt niet alleen massa-phishing tegen, maar voorkomt ook dat interne medewerkers onbedoeld contact leggen met kwaadwillende websites.

Checklist om direct te starten

• Beveiligingsplatform controleren op domeinleeftijd-filtermogelijkheden
• Policy instellen om domeinen jonger dan 30 of 90 dagen automatisch te blokkeren
• Whitelist-systeem configureren voor zakelijke uitzonderingen
• Rapportages activeren op geblokkeerde of verdachte domeinen
• Communicatie opzetten voor eindgebruikers bij geblokkeerde e-mails

Deze maatregel is niet alleen effectief tegen traditionele phishingmails, maar helpt ook bij het blokkeren van gerichte campagnes en zero-day-aanvallen waarbij nieuwe domeinen tijdelijk actief zijn. Zeker bij spear-phishingaanvallen waarbij domeinen lijken op bestaande leveranciers of klanten, biedt dit een waardevolle verdedigingslaag.

4. Schakel ongebruikte maildomeinen (shadow domains) uit

Oude of vergeten e-maildomeinen vormen een onderschat risico bij phishingaanvallen. Aanvallers speuren actief naar domeinen die ooit door een organisatie zijn gebruikt maar inmiddels niet meer in beheer zijn of geen actieve mailfunctionaliteit meer hebben. Zodra een domein niet meer wordt bewaakt, ontstaat er een kwetsbaarheid die eenvoudig kan worden misbruikt voor impersonatie, spoofing of zelfs directe aanvallen via phishingpagina’s.

Waarom shadow domains gevaarlijk zijn

Shadow domains zijn domeinen die:

• In het verleden in gebruik waren, bijvoorbeeld tijdens campagnes of herstructureringen
• Nog steeds DNS-records bevatten (zoals MX, SPF of A-records), maar niet meer actief gebruikt worden
• Niet zijn voorzien van actuele DMARC-, SPF- of DKIM-instellingen

Aanvallers kunnen deze domeinen:

• Overnemen of opnieuw registreren als ze zijn verlopen
• Misbruiken via misconfiguraties in DNS (bijvoorbeeld als SPF/DKIM niet goed is ingesteld)
• Inzetten voor spear-phishing waarbij gebruikers denken een legitiem mailadres te herkennen

Voorbeelden uit recente incidenten laten zien dat shadow domains regelmatig worden ingezet voor geslaagde phishingcampagnes, juist omdat ze vertrouwd lijken maar niet langer gecontroleerd worden.

Concrete aanpak: zo schakel je shadow domains veilig uit

1. Voer een domeinaudit uit
   • Maak een volledige inventarisatie van alle domeinen die ooit zijn geregistreerd door de organisatie
   • Gebruik tools die DNS-records en registratiedata analyseren (zoals SecurityTrails of Domaintools)
2. Identificeer welke domeinen nog actief gebruikt worden
   • Check mailverkeer, gebruikte subdomeinen en actuele DNS-records
   • Domeinen zonder verkeer of doel kunnen als inactief worden gemarkeerd
3. Voorzie inactieve domeinen van een streng e-mailbeleid
   • Voeg een DMARC-record toe met p=reject
   • Verwijder overbodige MX-records of stel een non-functionele mailserver in
   • Schakel DKIM en SPF correct in zodat misbruik direct wordt geweigerd
4. Verwijder niet-noodzakelijke DNS-records
   • Denk aan oude A-records die verwijzen naar legacy-infrastructuur
   • Haal CNAME’s of TXT-records weg die niets meer doen
5. Zorg voor automatische monitoring
   • Zet een script of scan in die periodiek alle eigen domeinen controleert op activiteit en kwetsbaarheid
   • Laat alerts genereren als een domein plotseling weer mailverkeer krijgt of nieuwe records krijgt toegevoegd

Best practices voor beheer en preventie

• Beheer domeinen centraal
  Zorg dat alle domeinen — ook tijdelijke of uit campagnegebruik — onder één beheeraccount vallen. Dit voorkomt vergeten assets.
• Registreer domeinen ruimhartig, houd ze in bezit
  Verloopt een domein binnenkort maar is het ooit publiek gebruikt? Verlengen is veiliger dan overname riskeren.
• Documenteer actief gebruik
  Houd in een centraal systeem bij welk domein waarvoor wordt gebruikt, wie de eigenaar is, en welke records actief zijn. Zo voorkom je misbruik bij personeelswisselingen of reorganisaties.
• Beperk wildcard-domeinen
  Subdomeinen als *.voorbeeld.nl kunnen ongezien gebruikt worden voor phishing. Beperk en monitor het gebruik van wildcards.

Voorkom reputatieschade en Hacking-incidenten

Shadow domains worden vaak gebruikt om neppagina’s te hosten die lijken op je echte website of inlogportalen. Zodra een slachtoffer via zo’n link inlogt of informatie deelt, is de kans groot dat accounts worden overgenomen. Dit vormt niet alleen een beveiligingsrisico, maar ook een direct reputatieprobleem. Een enkele misbruikte domeinnaam kan leiden tot vertrouwensverlies bij klanten of partners.

Checklist om direct te starten

• Inventariseer alle domeinen die ooit zijn geregistreerd
• Analyseer DNS-instellingen per domein op actief gebruik
• Stel voor ongebruikte domeinen een DMARC-policy in met p=reject
• Verwijder oude of overbodige DNS-records
• Zet periodieke controle in om shadow domains te signaleren

Met deze aanpak voorkom je dat ongebruikte domeinen als achterdeur dienen voor phishers. Door ze actief uit te schakelen of te blokkeren voor e-mailverkeer, sluit je een risico af dat vaak over het hoofd wordt gezien maar wel degelijk serieuze schade kan veroorzaken.

5. Schakel phishingbestendige MFA of FIDO2 in

Wachtwoorden zijn kwetsbaar. Zelfs als gebruikers complexe combinaties kiezen, blijven ze gevoelig voor phishing. Links in e-mails leiden naar nagemaakte inlogpagina’s waar nietsvermoedende medewerkers hun gegevens achterlaten. Multi-Factor Authentication (MFA) blokkeert veel van deze aanvallen — maar alleen als het op de juiste manier wordt toegepast. Moderne, phishingbestendige varianten zoals FIDO2 bieden hierin aanzienlijk sterkere bescherming dan traditionele vormen.

Waarom standaard MFA niet genoeg is

Veel organisaties gebruiken MFA via sms of e-mailcodes. Hoewel beter dan niets, zijn deze methoden niet bestand tegen man-in-the-middle-aanvallen. Aanvallers kunnen gebruikers om de code vragen en deze direct doorspelen naar de echte inlogpagina. Daarmee wordt het beveiligingsvoordeel ondermijnd.

Phishingbestendige MFA voorkomt dit door:

• Gebonden te zijn aan het apparaat van de gebruiker
  De inlogpoging werkt alleen met de juiste hardware, zoals een FIDO2-key of Trusted Platform Module (TPM)
• Geen code of token over het netwerk te sturen
  Daardoor valt er niets te onderscheppen of misbruiken
• Sessies cryptografisch te ondertekenen
  Elke inlogpoging wordt uniek en is niet te hergebruiken

FIDO2: de sterkste vorm van MFA

FIDO2 gebruikt fysieke authenticatie via USB, NFC of Bluetooth. Denk aan sleutels zoals YubiKey of Titan Security Key. Deze authenticatiemiddelen werken samen met browsers en besturingssystemen en zijn compatibel met veel zakelijke platforms, waaronder Microsoft 365, Google Workspace en AWS.

Voordelen van FIDO2:

• Niet gevoelig voor phishing of credential replay
• Geen afhankelijkheid van mobiele telefoons of sms
• Geschikt voor offline gebruik (bijv. bij VPN of lokale applicaties)
• Zeer gebruiksvriendelijk na eenmalige configuratie

Hoe implementeer je phishingbestendige MFA?

1. Maak MFA verplicht voor alle accounts
   Begin met gebruikers die toegang hebben tot vertrouwelijke gegevens: IT-beheerders, finance, HR, directie.
2. Voer FIDO2 in voor beheerders en kritieke rollen
   Vervang sms- of app-based MFA door hardwaretokens of passkeys.
3. Bied alternatieven voor medewerkers zonder hardwarekey
   Maak gebruik van WebAuthn via biometrie (bijv. Windows Hello, Touch ID) als tussenoplossing.
4. Zet fallback-methodes met beperkingen in
   Laat sms-verificatie alleen tijdelijk toe bij verloren sleutels, en alleen na identity check.
5. Documenteer het beleid en train gebruikers
   Laat zien waarom deze stap nodig is en hoe phishing via neplogins werkt. Focus op gebruiksgemak en bescherming, niet alleen op risico.

Combineer MFA met loginmonitoring

MFA biedt een extra laag, maar is nog krachtiger in combinatie met actieve monitoring:

• Detecteer inlogpogingen vanaf onbekende locaties of buiten kantoortijden
• Stel alerts in bij MFA-failures of ongebruikelijke authenticatiepogingen
• Automatiseer blokkades bij verdachte gedragspatronen

Securityplatforms zoals Microsoft Defender, Google Chronicle of SentinelOne kunnen verdachte MFA-activiteiten realtime signaleren. Dit maakt snelle respons mogelijk bij gerichte aanvallen.

Waarom dit phishingaanvallen écht stopt

Zelfs als een gebruiker op een link klikt in een nepmail en probeert in te loggen, zal FIDO2-authenticatie daar niet werken. De sleutel valideert alleen het echte domein waarmee het eerder is gekoppeld. Dat maakt phishing via nepsites praktisch onmogelijk. Dit type MFA is een directe blokkade voor phishing-gebaseerde hackingpogingen.

Checklist om snel te starten

• MFA verplicht stellen voor alle cloud- en beheertoegang
• Hardware MFA (FIDO2) aanschaffen en uitrollen voor sleutelrollen
• Fallback-methoden beperken tot gecontroleerde noodgevallen
• Gebruikers informeren over phishingrisico’s en MFA-werking
• Logging en alerts instellen voor MFA-gerelateerde incidenten

Door deze maatregel serieus te nemen, wordt het voor aanvallers aanzienlijk lastiger om via e-mail phishing toegang te krijgen tot systemen. FIDO2 of phishingbestendige MFA maakt credential phishing praktisch kansloos.

6. Monitor verdachte logins en hackingtools

Zelfs met MFA en e-mailbeveiliging kunnen aanvallers soms toegang verkrijgen. Denk aan gelekte inloggegevens, social engineering of insider threats. Daarom is het noodzakelijk om afwijkingen in login- en systeemgedrag actief te monitoren. Door verdachte patronen snel te detecteren, kun je ingrijpen vóórdat schade ontstaat.

Waarom monitoring onmisbaar is

Phishing stopt niet bij een klik op een link. Vaak is dat pas het begin. Aanvallers proberen daarna verder toegang te krijgen tot netwerken of gevoelige data. Ze gebruiken bekende hackingtools zoals Mimikatz of Cobalt Strike, of loggen in vanaf ongebruikelijke locaties. Zonder monitoring worden deze signalen vaak te laat ontdekt.

Wat je wilt kunnen detecteren:

• Meerdere mislukte loginpogingen in korte tijd
• Logins vanaf ongebruikelijke IP-adressen of landen
• Gebruik van admin-tools op normale werkstations
• Activiteit buiten normale werktijden

Concrete acties voor effectieve monitoring

1. Implementeer een SIEM of XDR-platform
   Tools zoals Microsoft Sentinel, Splunk of CrowdStrike kunnen logs analyseren en verdachte gebeurtenissen real-time detecteren.
2. Stel slimme waarschuwingen in
   Gebruik drempelwaarden zoals:
   • 5 mislukte logins in 5 minuten
   • Login vanaf IP buiten Europa
   • Toegang tot adminportalen door niet-beheerders
3. Koppel alerts aan incidentrespons
   Laat verdachte gebeurtenissen automatisch een ticket aanmaken of een melding sturen naar het SOC of IT-team.
4. Scan op bekende hackingtools
   Endpoint detectiesoftware moet signaleren wanneer tools zoals PowerShell, Mimikatz of andere exploits worden gebruikt. Niet alle tools zijn kwaadaardig, maar afwijkend gebruik is verdacht.
5. Gebruik logs voor forensisch onderzoek
   Bewaar inloggegevens, systeemgebeurtenissen en netwerkactiviteit. Dit helpt om achteraf te reconstrueren wat er is gebeurd bij een incident.

Wat maakt het verschil?

• Vroege detectie: phishing leidt pas tot schade als aanvallers doorzetten na toegang
• Geautomatiseerde respons: denk aan tijdelijke accountblokkade bij afwijkend gedrag
• Context: een mislukte login is niet erg, maar gecombineerd met admin activity en vreemde IP’s wordt het verdacht

Checklist om direct te starten

• Logregistratie en bewaring activeren op alle systemen
• SIEM- of monitoringoplossing koppelen aan cloudplatforms en endpoints
• Alerts inrichten op login-afwijkingen, toolgebruik en tijdspatronen
• Rapportage activeren op verdachte loginpogingen
• Plan opstellen voor opvolging bij alerts

Door verdachte loginpogingen en het gebruik van hackingtools actief te monitoren, maak je phishingcampagnes minder succesvol. Je verkleint de reactietijd en vergroot de kans dat aanvallers worden gestopt vóórdat ze schade kunnen aanrichten.

7. Gebruik onvoorspelbare e-mailadressen voor kritieke accounts

Veel phishingaanvallen richten zich op specifieke personen binnen een organisatie, zoals finance, HR of IT-beheerders. Als hun e-mailadressen voorspelbaar zijn — bijvoorbeeld admin@bedrijf.nl of finance@bedrijf.nl — wordt het voor aanvallers eenvoudig om gerichte phishing of spoofing toe te passen. Door juist onvoorspelbare of unieke adressen te gebruiken voor deze accounts, voeg je een laag van veiligheid toe die vaak wordt vergeten.

Waarom voorspelbare adressen risico opleveren

Cybercriminelen verzamelen e-mailadressen via:

• Openbare websites of contactpagina’s
• LinkedIn-profielen en persberichten
• Data van eerdere datalekken

Met deze informatie stellen ze overtuigende spear-phishingberichten op, vaak met ogenschijnlijk interne communicatie over facturen, salarisinformatie of wachtwoordresets. Vooral admin@, info@, support@ en ceo@ worden vaak misbruikt.

Een voorspelbaar e-mailadres maakt het:

• Makkelijker om phishingcampagnes te automatiseren
• Eenvoudiger om domeinen te spoofen (zeker als DMARC ontbreekt)
• Risicovoller als dat adres in een data breach opduikt

Hoe onvoorspelbare adressen helpen

Door kritieke accounts unieke, niet te raden adressen te geven, voeg je een extra obstakel toe. Aanvallers kunnen de adressen niet zomaar gokken of targetten. Bijvoorbeeld:

• Gebruik geen admin@, maar jp_admin_924@bedrijf.nl
• Vermijd finance@, kies iets als bklt-fin82@bedrijf.nl
• Communiceer deze adressen alleen intern of via beveiligde kanalen

Concrete aanpak

1. Inventariseer voorspelbare adressen
   • Zoek naar algemene mailboxen met standaardnamen
   • Bekijk wie toegang heeft en waar ze voor worden gebruikt
2. Wijzig of maskeer de adressen van kritieke functies
   • Geef unieke namen aan beheerdersaccounts, vooral met toegang tot systemen of financiële gegevens
3. Voeg e-mailaliassen toe voor gebruiksgemak
   • Laat interne gebruikers mailen naar een alias (bijv. beheer@), terwijl extern verkeer wordt geblokkeerd of gefilterd
4. Beveilig deze mailboxen extra
   • MFA verplicht
   • Strenge spamfilters
   • Actieve monitoring op verdachte activiteit
5. Documenteer afwijkende adressen en wie toegang heeft
   • Zo voorkom je verwarring bij personeelswisselingen of incidenten

Combineer met andere verdedigingslagen

Deze maatregel is krachtig in combinatie met:

• DMARC met reject-beleid: voorkomt dat externe partijen vanaf je domein kunnen mailen
• Shadow domain-controle: voorkomt dat oude voorspelbare adressen opnieuw worden ingezet
• Inlogmonitoring: detecteert misbruik bij adressen die toch zijn achterhaald

Checklist om direct te starten

• Identificeer kritieke accounts met voorspelbare adressen
• Wijs nieuwe, unieke adressen toe aan deze accounts
• Beperk externe bereikbaarheid van gevoelige e-mailboxen
• Beveilig accounts met MFA en monitoring
• Houd intern overzicht van alle uitzonderlijke mailboxstructuren

Door kritieke accounts moeilijker vindbaar te maken, snijd je phishingcampagnes de pas af vóórdat ze beginnen. Dit maakt gerichte aanvallen op je organisatie aanzienlijk moeilijker.

8. Schakel legacy-protocollen uit

Veel phishingaanvallen zijn pas echt succesvol als aanvallers daarna kunnen doorbewegen in het netwerk. Verouderde netwerkprotocollen zoals RDP, SMBv1, POP3 en IMAP geven die mogelijkheid. Deze protocollen hebben bekende kwetsbaarheden en missen moderne beveiligingsfuncties. Als een aanvaller inloggegevens heeft buitgemaakt via phishing, zijn deze verouderde toegangsroutes vaak het eerste doelwit.

Waarom legacy-protocollen gevaarlijk zijn

Oude protocollen worden vaak vergeten, maar blijven actief “voor de zekerheid” of vanwege verouderde systemen. Dat biedt kansen voor kwaadwillenden:

• Geen ondersteuning voor moderne MFA
  Veel oudere protocollen kunnen geen tweede factor afdwingen, waardoor gestolen inloggegevens direct bruikbaar zijn.
• Kwetsbaar voor bekende exploits
  Denk aan EternalBlue (SMBv1) of brute-force-aanvallen via RDP.
• Weinig logging en monitoring
  Legacy-verbindingen vinden vaak plaats buiten de zichtbare controle van moderne SIEM- of EDR-platformen.

Praktische stappen om ze uit te schakelen

1. Maak een inventarisatie van gebruikte protocollen
   • Gebruik netwerk- en endpointmonitoring om te zien welke protocollen nog in gebruik zijn
   • Kijk ook naar automatische synchronisatie via IMAP of POP3
2. Schakel over op moderne alternatieven
   • RDP: gebruik VPN met netwerksegmentatie en logging
   • File sharing: vervang SMBv1 door SMBv3 met versleuteling
   • E-mailtoegang: forceer gebruik van moderne clients die OAuth2 ondersteunen
3. Blokkeer legacy-protocollen op netwerkniveau
   • Sluit poorten zoals 3389 (RDP), 445 (SMB), 110/143 (POP/IMAP) via firewall of endpointbeveiliging
   • Beperk toegang tot noodzakelijke interne adressen en alleen voor beheerders
4. Implementeer Zero Trust-toegang waar mogelijk
   • Laat gebruikers niet meer direct verbinden, maar werk met proxy’s, identity-aware gateways of remote desktops via beveiligde portalen

Wat je direct wint

• Verkleint het aanvalsoppervlak drastisch
  Zelfs als een phishingmail succes heeft, kan de aanvaller minder makkelijk binnendringen of lateraal bewegen.
• Maakt credential misuse lastiger
  Gestolen inloggegevens zijn nutteloos als het protocol waarmee je normaal toegang krijgt, niet langer beschikbaar is.
• Verbetert compliance
  Veel sectoren stellen eisen aan het uitschakelen van kwetsbare protocollen (denk aan NIS2, ISO 27001).

Veelgemaakte valkuilen

• Uitzonderingen vergeten te documenteren
  Als je toch een protocol tijdelijk nodig hebt, leg vast wie toegang heeft en waarom.
• Legacy-protocollen open laten naar het internet
  Vooral RDP en SMB worden actief gescand en misbruikt via publieke IP’s.
• Geen fallback bieden voor gebruikers
  Zorg voor duidelijke communicatie en ondersteuning als je oudere toegangsmethoden uitschakelt.

Checklist om vandaag te starten

• Breng alle gebruikte protocollen in kaart op servers, endpoints en cloudplatforms
• Schakel ongebruikte en onveilige protocollen uit
• Zet logging aan voor alle vormen van externe toegang
• Beperk toegang tot RDP en SMB tot interne netwerken
• Migreer gebruikers naar moderne protocollen met veilige authenticatie

Door legacy-protocollen uit te schakelen, beperk je de mogelijkheden voor aanvallers om na een geslaagde phishingpoging verder in te breken. Je dwingt het gebruik van veilige, gecontroleerde toegangsmethoden af: een stevige stap richting een phishingbestendige infrastructuur.

9. Beperk het gebruik van command-line tools voor gebruikers

Zodra een aanvaller via phishing toegang krijgt tot een systeem, is het doel vaak om snel verder te gaan: wachtwoorden dumpen, malware downloaden of verbinding maken met andere systemen. Command-line tools zoals PowerShell, cmd, WMIC of scriptbestanden (.ps1, .bat) maken dat eenvoudig. Veel standaardgebruikers hebben hier onnodig toegang toe. Door dit te beperken, blokkeer je een cruciale stap in de aanvalsketen.

Waarom dit een belangrijke maatregel is

Phishing levert vaak een eerste toegangspunt op — meestal met gebruikersrechten. Daarna proberen aanvallers verder rechten te verkrijgen of persistente toegang op te bouwen. Juist command-line tools maken dat mogelijk:

• PowerShell wordt gebruikt voor het uitvoeren van scripts, malware of credential harvesting
• Cmd.exe biedt basisfunctionaliteit voor het manipuleren van het systeem
• Tools als Mimikatz worden via command-line geladen en draaien vaak ongezien op endpoints
• Scriptbestanden starten automatisch processen zodra de gebruiker een bestand opent

Zonder toegang tot deze tools stagneert het aanvalspad direct na de initiële phishingactie.

Wat je concreet kunt doen

1. Blokkeer command-line tools voor niet-beheerders
   • Via Group Policy, Intune of endpointbeveiliging kun je PowerShell, cmd en scriptuitvoering uitschakelen voor standaardgebruikers
   • Alleen beheerdersaccounts hebben dan toegang tot deze functies
2. Voer scriptbeperkingen in op bestandstype
   • Blokkeer de uitvoering van .ps1, .bat, .vbs en .js via e-mailfilters, bestandsbeveiliging en endpoint policies
   • Laat deze types alleen draaien vanaf specifieke paden of onder beheeraccounts
3. Gebruik AppLocker of Windows Defender Application Control (WDAC)
   • Sta alleen goedgekeurde software toe
   • Beperk executable toegang per gebruikersgroep
4. Voer ‘least privilege’ beleid strak door
   • Gebruikers krijgen alleen toegang tot wat ze daadwerkelijk nodig hebben voor hun werk
   • Admin-taken worden uitgevoerd via aparte beheerdersaccounts, nooit met dagelijkse inlog

Combineer met detectie en logging

Zorg dat je bijhoudt wanneer command-line tools toch worden gebruikt. Dit helpt bij het opsporen van verdachte acties, zoals:

• Een niet-beheerder die PowerShell start
• Nieuwe processen die scripts laden vanaf e-mailbijlagen
• Uitvoering van tools zoals net.exe, whoami of tasklist door eindgebruikers

Endpoint Detection and Response (EDR)-platforms zoals Defender for Endpoint, CrowdStrike of SentinelOne kunnen hierop alarmeren en automatisch ingrijpen.

Wat je hiermee voorkomt

• Script-executie direct vanuit phishingbijlagen
  Veel aanvallen starten met een script dat via een Word- of PDF-bestand wordt uitgevoerd.
• Laterale beweging binnen het netwerk
  Zonder command-line tools wordt het voor een aanvaller moeilijker om naar andere systemen te bewegen of netwerkscans uit te voeren.
• Credential dumps via tools als Mimikatz
  Deze draaien vaak in PowerShell of cmd-sessies. Zonder toegang zijn ze nutteloos.

Checklist om direct mee te starten

• Blokkeer PowerShell, cmd en scriptuitvoering voor niet-beheerders
• Zet AppLocker of WDAC aan met strikte uitvoeringregels
• Voer bestandstypebeperkingen door in e-mail en endpoints
• Activeer logging op command-line processen voor alle accounts
• Geef medewerkers zonder technische rol géén toegang tot admin-tools

Door het beperken van command-line tools snijd je een veelgebruikt pad voor phishinggerelateerde aanvallen af. Zelfs als een gebruiker per ongeluk in een phishingmail trapt, voorkomt deze maatregel dat de aanval zich verder kan verspreiden of verdiepen.

10. Optimaliseer spam- en phishingfilters met feedback

Geen enkel spamfilter is perfect. Ondanks alle technische beveiligingen glippen er altijd phishingmails tussendoor. De kracht zit daarom niet alleen in goede filtering vooraf, maar in het continu verbeteren van je filters op basis van wat er wél doorkomt. Door gebruikers actief te betrekken en feedback slim te gebruiken, wordt je e-mailbeveiliging elke dag beter.

Waarom feedback de filtering versterkt

Phishing is continu in beweging. Aanvallers wisselen van domeinen, teksten en technieken. Een filter dat vandaag werkt, kan morgen verouderd zijn. Feedback van gebruikers en forensische analyse van verdachte berichten zijn daarom onmisbaar:

• Ze laten zien welke phishingmails de filters toch weten te omzeilen
• Ze helpen om patronen te herkennen in nieuwe aanvalstechnieken
• Ze maken het mogelijk om filters bij te stellen vóórdat meerdere slachtoffers vallen

Slimme optimalisatie in de praktijk

1. Activeer rapportagemogelijkheden voor gebruikers
   • Voeg in Outlook of Gmail een knop toe waarmee gebruikers phishing direct kunnen melden
   • Laat meldingen automatisch doorsturen naar je IT-team of SOC
2. Analyseer elk gemeld bericht grondig
   • Bekijk het afzenderdomein, gebruikte links, onderwerpregels en inhoudspatronen
   • Koppel informatie uit meerdere meldingen aan elkaar voor snellere herkenning
3. Pas filterregels direct aan op basis van meldingen
   • Blokkeer specifieke afzenders, IP’s of gebruikte domeinen
   • Voeg opvallende onderwerpteksten of zinsconstructies toe aan je contentfilters
4. Gebruik machine learning of heuristische filtering waar mogelijk
   • Laat je spamfilter leren van meldingen en automatisch regels genereren
   • Platforms als Microsoft Defender, Proofpoint en Google Workspace maken hier standaard gebruik van
5. Verzamel statistieken over wat wordt geblokkeerd en gemist
   • Kijk naar hoeveel berichten automatisch zijn tegengehouden
   • Analyseer welke berichten pas na melding zijn gemarkeerd

Laat filters meebewegen met de aanvalsgolf

Een eenmalige set filterregels is nooit genoeg. Phishingtechnieken ontwikkelen zich continu:

• Gebruik van legitieme domeinen via omleiding (bijv. via Google Docs, WeTransfer)
• Verkeerd gespelde domeinnamen die moeilijk te herkennen zijn (bijv. rnicrosoft.com)
• Geautomatiseerde mails die perfect lijken op interne communicatie

Alleen door feedbackcycli in te bouwen blijft de filter actueel. Hoe sneller je herkent wat werkt bij aanvallers, hoe sneller je ze kunt blokkeren.

Betrek gebruikers slim

Medewerkers zijn je menselijke sensorsysteem. Laat ze daarom weten:

• Hoe ze phishing kunnen melden (liefst met één klik)
• Wat er gebeurt met hun melding (bijvoorbeeld via automatische terugkoppeling)
• Welke impact hun melding heeft op de beveiliging van het geheel

Belangrijk: vermijd ‘blaming’. Als iemand op een phishingmail klikt maar het daarna meldt, is dat een waardevolle gebeurtenis. Niet bestraffen, maar analyseren en verbeteren.

Checklist om direct te starten

• Voeg een ‘Rapporteer phishing’-knop toe in e-mailclients
• Richt meldingen in via automatisch ticket of meldsysteem
• Analyseer alle meldingen op afzender, domein en inhoud
• Pas filters en blocklists aan op basis van meldingen
• Communiceer met gebruikers over het nut van hun feedback

Deze aanpak maakt van e-mailbeveiliging een levend systeem. Geen gesloten black box, maar een adaptief schild dat meegroeit met de dreiging. Zo wordt phishing minder een kwestie van geluk, en meer een proces van constante verfijning en verdediging.

Naar een phishingbestendige organisatie

Phishing is geen eenmalig probleem maar een doorlopend risico dat continu verandert. Alleen door slimme, technische maatregelen te combineren met goed beleid en constante verbetering ontstaat een weerbare organisatie. IT-teams, informatiebeveiligingsverantwoordelijken en ISO-functies spelen hierin een sleutelrol. Zij vormen het scharnierpunt tussen techniek, gebruikersgedrag en beleidskaders.

Van losse maatregelen naar een robuust geheel

De eerder beschreven tien maatregelen vormen samen een krachtige verdedigingslinie. Ze sluiten naadloos op elkaar aan:

• E-mailauthenticatie (SPF, DKIM, DMARC) voorkomt spoofing en domeinmisbruik
• Visuele waarschuwingen en jonge-domeinblokkades vergroten de herkenning
• Moderne MFA en het uitschakelen van legacy-systemen voorkomen misbruik na een klik
• Monitoring, logging en feedback verbeteren de detectie en verkleinen de reactietijd

Door deze maatregelen in samenhang toe te passen, voorkom je dat een phishingpoging zich ontwikkelt tot een incident met impact.

Rol van informatiebeveiliging en ISO-functies

De Information Security Officer (ISO) of verantwoordelijke voor informatiebeveiliging is onmisbaar bij het structureel invoeren van deze maatregelen. Niet alleen voor technische keuzes, maar ook voor:

• Beleid opstellen voor e-mailbeveiliging, accountbeheer en monitoring
• Richtlijnen bepalen voor gebruik van beheertools en toegangsprotocollen
• Bewaking van compliance (zoals NIS2, ISO 27001, BIO of AVG)
• Periodieke audits, risicoanalyses en verbetertrajecten begeleiden
• Samenwerken met IT, directie en externe securitypartners

Een phishingbestendige organisatie is dus geen kwestie van techniek alleen, maar vereist regie vanuit het informatiebeveiligingsbeleid.

Aan de slag: van plan naar actie

Laat deze checklist het startpunt zijn voor verbetering:

• Zijn SPF, DKIM en DMARC correct ingesteld en op reject gezet?
• Worden externe e-mails gemarkeerd en worden jonge domeinen gefilterd?
• Is MFA verplicht voor alle gebruikers en worden FIDO2-keys ingezet?
• Worden shadow domains geblokkeerd en legacy-protocollen uitgeschakeld?
• Hebben gebruikers geen toegang tot command-line tools zonder noodzaak?
• Is er actieve monitoring op loginpogingen en gebruik van hackingtools?
• Worden filters aangepast op basis van gebruikersfeedback en incidenten?

Zodra deze zaken op orde zijn, stijgt de phishingweerbaarheid merkbaar. Niet als momentopname, maar als continu proces dat beheerd en bewaakt wordt.

Zet de volgende stap

Phishing voorkomen begint met zicht krijgen op je huidige positie. Laat daarom een onafhankelijke e-mailbeveiligingsaudit uitvoeren of plan een sessie met een securityadviseur. Informatiebeveiliging is een teaminspanning, maar moet wél professioneel worden aangestuurd. Wie verantwoordelijkheid neemt, beperkt risico’s — niet alleen op incidenten, maar ook op reputatieschade, datalekken en verstoringen van de bedrijfsvoering.

Laat phishing geen kans krijgen. Maak technische veiligheid de norm, en informatiebeveiliging zichtbaar, meetbaar en beheersbaar.