Phishing blijft een van de meest voorkomende manieren voor aanvallers om toegang te krijgen tot bedrijfsnetwerken. Het bootst legitieme dagelijkse zakelijke communicatie na en is daarom een ideale techniek om ongemerkt waardevolle bedrijfsinformatie te verzamelen. In het rapport Cyber Security Breaches Survey 2025 van de Britse overheid was phishing de meest voorkomende vorm van schending of aanval die werd gemeld door bedrijven die incidenten identificeerden, wat 85% van hen betrof en het equivalent van 37% van alle bedrijven in totaal.
Bewustzijnstraining moet een zakelijke verplichting zijn, niet alleen een compliance-taak. Eén succesvolle phishing-poging kan inloggegevens blootstellen, toegang verlenen tot interne systemen en problemen veroorzaken die zich tot ver buiten de inbox van een enkele werknemer verspreiden.
Het probleem is dat veel organisaties nog steeds vertrouwen op eenmalige bewustwordingsinspanningen, ook al verandert phishing voortdurend. Een effectiever programma kan werknemers herhaalde oefening bieden, duidelijkere rapportagegewoonten aanleren en ondersteunende controles bieden die de impact van fouten verminderen.
Hoe phishing eruitziet in een zakelijke context
Zakelijke phishing is verder geëvolueerd dan overduidelijk valse e-mails vol spelfouten. In de praktijk is de kans veel groter dat werknemers realistisch ogende pogingen tegenkomen, zoals:
- Accountverificatieverzoeken
- Meldingen van gedeelde documenten
- Inlogpagina’s voor veelgebruikte bedrijfsplatforms
- Goedkeuringen van facturen
- HR-updates
- Berichten van vertrouwde leveranciers of interne leidinggevenden.
Als een teamlid reageert, kunnen aanvallers de informatie die ze over werknemers of bedrijven hebben verzameld, gebruiken om berichten overtuigender en realistischer te maken, vooral in meer gerichte campagnes.
Spear phishing, imitatie van leidinggevenden en het verzamelen van inloggegevens
Phishing-bewustwordingstraining moet teams voorbereiden op verschillende patronen tegelijk. Spear phishing is een van de meest voorkomende variaties van phishing. In plaats van een algemeen bericht naar duizenden ontvangers te verzenden, stemt de aanvaller de e-mail af op een specifieke functie, project, collega of leveranciersrelatie.
Het bericht voelt geloofwaardig aan omdat het is opgebouwd rond iets dat de werknemer realistisch gezien zou verwachten. Dit soort gerichte acties wordt vaak overtuigender gemaakt door informatie die is verzameld van bedrijfswebsites, openbare profielen of andere online bronnen.
Een andere variatie op phishing is de imitatie van leidinggevenden, ook wel CEO-fraude genoemd. Hierbij imiteert de aanvaller een senior leider of belangrijke belanghebbende om urgentie te creëren rond een betaling, een bestand of een verzoek om inloggegevens, waarbij medewerkers onder druk worden gezet om geld of informatie over te maken, tenzij de normale verificatieprocessen worden gevolgd.
Een derde patroon is het oogsten van inloggegevens. Bij deze aanvallen wordt de werknemer naar een valse inlogpagina geleid die is ontworpen om gebruikersnamen, wachtwoorden en soms zelfs one-time password (OTP)-codes te onderscheppen.
Phishing-training moet de werkelijke bedrijfswerkstromen weerspiegelen in plaats van algemeen advies te geven. Veel phishing-pagina’s zijn gebouwd om te lijken op tools die werknemers al dagelijks gebruiken.
Waarom routinematige zakelijke berichten zo effectief zijn
Phishing blijft effectief binnen organisaties omdat het vaak opgaat in de dagelijkse gang van zaken. Een valse inlogprompt hoeft er alleen maar lang genoeg vertrouwd uit te zien om iemand op de automatische piloot te laten handelen. Hetzelfde geldt voor berichten van leveranciers, meldingen over gedeelde documenten of dringende interne verzoeken.
Daarom moet training zich niet alleen richten op verdachte bewoordingen of slechte grammatica. Werknemers moeten ook begrijpen hoe aanvallers normale werkwijzen misbruiken. Denk na over hoe uw organisatie werkt en hoe u het personeel kunt helpen verzoeken te herkennen die buiten de normale processen vallen, vooral wanneer er geld, inloggegevens of gevoelige informatie bij betrokken zijn.
Recente voorbeelden van schendingen
Recente rapportages over schendingen versterken het punt dat phishing binnen bedrijven inmiddels veel verder gaat dan eenvoudige oplichting via de inbox.
Volgens Proton’s Data Breach Observatory was wenskaartenbedrijf Hallmark Cards het doelwit van de criminele afpersingsgroep van hackers die bekendstaat als ShinyHunters. De groep verkreeg gegevens van Hallmark Cards via Salesforce en stelde het bedrijf een deadline voor afpersing. Uiteindelijk lekte de groep 2,8 miljoen unieke gegevens.
ShinyHunters is zeer actief en heeft de afgelopen maanden veel bekende bedrijven als doelwit gekozen. In januari 2026 werd het kledingmerk Canada Goose in verband gebracht met een schending van ongeveer 600.000 klantgegevens. De gegevens waren afkomstig van een schending bij een derde partij die plaatsvond in augustus 2025.
Deze voorbeelden zijn nuttig omdat ze laten zien hoe phishing er tegenwoordig uitziet in een zakelijke omgeving: niet alleen misleiding in de inbox, maar ook aanvallen gericht op aannemers, identiteitssystemen, interne toegang en de vertrouwensrelaties waarop organisaties elke dag vertrouwen.
Waarom alleen bewustwording niet genoeg is
Bewustwording van phishing is belangrijk, maar op zichzelf niet voldoende. Werknemers maken geen fouten alleen omdat ze te weinig informatie hebben. Ze maken ze ook omdat ze het druk hebben, afgeleid zijn, onder druk staan of snel door werkstromen gaan waar een phishing-bericht op het eerste gezicht makkelijk voor legitiem kan doorgaan.
Daarom moet training niet worden opgezet rond het idee dat elke werknemer elke phishing-poging kan herkennen. Organisaties kunnen niet alleen vertrouwen op detectie door de gebruiker. Sommige aanvallen zullen nog steeds doorkomen, wat betekent dat technische controles, heldere processen en gebruikerseducatie moeten samenwerken.
Een sterker trainingsprogramma voor phishing-bewustwording is rond die realiteit opgebouwd. Het helpt werknemers om veelvoorkomende waarschuwingen te herkennen, te pauzeren wanneer iets vreemd aanvoelt, snel te rapporteren en te werken binnen systemen die het makkelijker maken om één fout in te dammen. Het sluit ook op natuurlijke wijze aan bij de paraatheid voor incidenten.
Als iemand op een kwaadaardige koppeling klikt of inloggegevens deelt, heeft de organisatie een snel en helder responspad nodig. Training wordt veel effectiever wanneer werknemers weten wat er gebeurt nadat een melding is gedaan en welke rol zij spelen. De gids van Proton voor incident response kan uw organisatie helpen om een plan op te stellen.
Hoe ziet een effectief trainingsprogramma voor phishing-bewustwording eruit?
Een effectief trainingsprogramma voor phishing-bewustwording is niet opgebouwd rond een enkele jaarlijkse sessie en een paar verouderde voorbeelden. Het is doorlopend, praktisch en ontworpen rond de manier waarop mensen daadwerkelijk werken. Dit betekent regelmatige versterking, realistische scenario’s en feedback die werknemers helpt om na verloop van tijd een beter beoordelingsvermogen op te bouwen.
In de praktijk zou phishing-bewustwording op meer dan één moment aan bod moeten komen. Het moet onderdeel zijn van de onboarding, opfriscursussen, korte herinneringen op basis van scenario’s en evaluaties van incidenten, en niet iets dat werknemers één keer zien en daarna weer vergeten. Het moet ook een weerspiegeling zijn van de werkelijke blootstelling.
Iemand die te maken heeft met facturen, ondersteuning van leidinggevenden, communicatie met leveranciers, geprivilegieerde toegang of gevoelige gegevens, zal waarschijnlijk te maken krijgen met andere soorten phishing-druk dan iemand in een werkstroom met een lager risico. De phishing-richtlijnen van de NCSC weerspiegelen die realiteit door op te merken dat personeel met toegang tot gevoelige informatie, financiële activa of IT-systemen vaker het doelwit kan zijn.
De praktijk moet ook goed worden ingezet. Gesimuleerde phishing kan nuttig zijn, maar niet wanneer het uitmondt in het aanwijzen van schuldigen. Slecht aangepakte simulaties kunnen het vertrouwen schaden en mensen ontmoedigen om fouten te melden als ze het gevoel hebben dat ze worden betrapt in plaats van ondersteund.
Een sterker programma maakt zorgvuldig gebruik van simulaties, geeft onmiddellijke feedback en verhoogt de moeilijkheidsgraad geleidelijk. Het is er niet op gericht om te bewijzen dat werknemers makkelijk te misleiden zijn. Het helpt hen bij het opbouwen van patroonherkenning, rapportagegewoonten en meer zelfvertrouwen in echte situaties.
De vijf phishing-waarschuwingstekens die werknemers nog steeds over het hoofd zien
Veel werknemers kennen de klassieke waarschuwingstekens, maar missen nog steeds de subtielere signalen die voorkomen bij echte zakelijke aanvallen. Phishing-bewustzijnstraining is veel nuttiger wanneer u mensen leert hoe zij patronen kunnen herkennen die passen bij hun dagelijkse werkzaamheden.
1. Een bericht dat aansluit bij de workflow, maar het kanaal of de urgentie verandert
De meest effectieve phishing-e-mails zien er helemaal niet willekeurig uit. Ze lijken op factuurverzoeken, gedeelde documenten, loonstrook-updates of inlogmeldingen die werknemers verwachten te ontvangen.
Wat verandert is de urgentie, geheimhouding of het proces. Een aanvaller wil dat het doelwit de normale controles overslaat. NCSC-richtlijnen waarschuwen specifiek dat aanvallers bedrijfsprocessen en verzoeken misbruiken, inclusief verzoeken om informatie of ongeoorloofde betalingen.
2. Een geloofwaardige afzender die een fout domein of een gespoofte bron verbergt
Werknemers richten zich vaak op de weergavenaam en niet op het volledige adres, het antwoordpad of het domein. Dat is één reden waarom anti-spoofing-beheermaatregelen belangrijk zijn, maar training moet mensen nog steeds leren langzamer te gaan wanneer een bekend merk of een bekende collega een beetje ‘vreemd’ overkomt.
Het NCSC adviseert organisaties om e-mailspoofing moeilijker te maken via controles zoals Domain-based Message Authentication, Reporting, and Conformance (DMARC), Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM). Samen helpen deze e-mailverificatiecontroles ontvangende systemen te verifiëren of een bericht werkelijk afkomstig is van het domein waarvan het beweert afkomstig te zijn.
3. Een inlogpagina die er normaal genoeg uitziet
Pagina’s voor het verzamelen van inloggegevens hoeven er niet perfect uit te zien. Ze hoeven alleen maar lang genoeg vertrouwd aan te voelen voor een werknemer om een gebruikersnaam en wachtwoord in te voeren. In de praktijk is het grootste teken wellicht eerder de context dan het ontwerp: waarom verschijnt dit inlogverzoek nu, en waarom via deze weg?
4. Een verzoek waarbij snelheid belangrijker is dan verificatie
Identiteitsfraude van leidinggevenden, factuurfraude en oplichting door leveranciers leunen vaak op urgentie. Het bericht is zo opgesteld dat verificatie ongemakkelijk of loyaal aanvoelt. Een sterke phishing-training moet u leren dat onverwachte urgentie niet alleen verdacht taalgebruik is; het is een signaal om over te schakelen van de e-mailbeantwoordingsmodus naar de verificatiemodus.
5. Een situatie waarin het rapporteren als pijnlijk wordt ervaren
Een van de meest over het hoofd geziene waarschuwingstekens is eerder intern dan technisch: een werknemer merkt iets vreemds op, maar twijfelt om het te melden uit onzekerheid, tijdsgebrek of angst om onvoorzichtig over te komen.
Het NCSC waarschuwt tegen het berispen van gebruikers die moeite hebben om phishing te herkennen, omdat angst voor represailles meldingen onderdrukt. Gezonde programma’s leren werknemers daarom dat het vroegtijdig melden van een bezorgdheid nuttig is, zelfs als het bericht onschadelijk blijkt te zijn.
Wat er gebeurt als training faalt
Wanneer een phishing-training faalt, wordt de schade vaak eerst gemeten in inloggegevens voordat deze elders merkbaar wordt. Een gebruiker voert een wachtwoord in op een vals portaal, keurt een onverwachte prompt goed of deelt inloggegevens via een overtuigend ogend intern verzoek. Vanaf dat moment gaat het probleem niet meer alleen over een beslissing in één inbox. Het wordt een probleem van toegangsbeheer.
Dit is waar de verbinding tussen phishing en wachtwoordhygiëne cruciaal wordt. Als hetzelfde wachtwoord voor meerdere diensten wordt hergebruikt, kan één gecompromitteerd inloggegeven een route worden naar e-mail, SaaS-tools, cloudplatforms of beheerderssystemen. Als gedeelde inloggegevens nog steeds via informele of ongecontroleerde methoden worden afgehandeld, neemt de verantwoordelijkheid nog verder af.
Protons Data Breach Observatory Report merkt op dat namen en e-mails voorkomen in 9 van de 10 schendingen, dat 72% van de schendingen contactgegevens bevat en dat 49% wachtwoorden bevat. Dat betekent dat aanvallers vaak precies het basismateriaal hebben dat ze nodig hebben om phishing overtuigender te maken en om wachtwoordhergebruik uit te buiten wanneer ze slagen.
Recente voorbeelden van schendingen laten hetzelfde zien vanuit een andere invalshoek. In de rapportage van Proton over schendingen stopten phishing-gerelateerde incidenten in 2026 niet bij een aangeklikte koppeling; ze leidden tot netwerktoegang, interne blootstelling en bredere zakelijke incidenten. Daarom kan de preventie van phishing-aanvallen niet alleen bestaan uit herkenning door werknemers. Het moet ook beperken hoe ver gestolen inloggegevens kunnen reizen zodra één account in gevaar is gebracht.
Unieke wachtwoorden voor elke dienst zijn hier een van de eenvoudigste en meest waardevolle beheermaatregelen. Ze voorkomen niet dat een phishing-poging plaatsvindt, maar ze helpen de gevolgen te beperken. Als één wachtwoord wordt gestolen, mag dit niet vijf andere systemen ontgrendelen.
Een veilige wachtwoordbeheerder voor bedrijven ondersteunt een strategie voor een beveiligingscultuur. Proton Pass for Business is ontworpen om teams te helpen sterke, unieke wachtwoorden te genereren en op te slaan voor elke dienst, waardoor de kans kleiner wordt dat één geslaagde phishing-gebeurtenis door de hele organisatie heen cascadeert.
Een praktisch model voor phishing-training voor werknemers
De beste plek om te beginnen is niet met generiek trainingsmateriaal, maar met de manier waarop uw organisatie daadwerkelijk werkt.
Focus eerst op de phishing-scenario’s waarmee werknemers het meest waarschijnlijk te maken krijgen: inlogprompts, identiteitsfraude van leveranciers, betalingsgoedkeuringen, meldingen over gedeelde documenten, verzoeken van leidinggevenden of aanvallen op identiteitsproviders. Training wordt veel nuttiger wanneer mensen hun eigen werkelijkheid erin kunnen herkennen.
Rapportage moet ook eenvoudig en veilig zijn. De phishing-richtlijnen van het NCSC maken duidelijk dat organisaties gebruikers moeten helpen bij het identificeren en rapporteren van vermoedelijke phishing-berichten, terwijl de Website voor het rapporteren van fraude(nieuw venster) de officiële route in het VK biedt voor het rapporteren van phishing en cybercriminaliteit. Werknemers moeten weten waar u intern kunt rapporteren, wat u moet vermelden en wat u onmiddellijk moet doen als u op een koppeling hebt geklikt, inloggegevens hebt ingevoerd of toegang hebt goedgekeurd.
Training moet worden ondersteund door controles die de kosten van fouten verlagen. Dat omvat e-mailfiltering, bescherming tegen spoofen, beveiligde inlogstromen, 2FA en een betere wachtwoordhygiëne. De zakelijke richtlijnen van Proton over het voorkomen van phishing-aanvallen wijzen ook op de waarde van duidelijke rapportagekanalen, herhaalde oefening en het monitoren op uitgelekte inloggegevens.
Meet tot slot meer dan alleen klikken. Het aantal klikken bij simulaties kan nuttig zijn, maar het aantal rapportages, de tijd tot rapportage, herhaalde foutpatronen en incidenten met inloggegevens geven vaak een duidelijker beeld van de vraag of de weerbaarheid verbetert. Het NCSC raadt ook aan om zorgvuldig na te denken over phishing-metrieken, zodat organisaties veilige rapportage niet onbedoeld ontmoedigen.
Perfecte detectie is niet mogelijk, maar een sterkere reactie wel
Phishing-bewustzijnstraining is het meest effectief wanneer het verder gaat dan het idee dat werknemers elke aanval perfect zouden moeten kunnen herkennen. Een realistischer doel is het opbouwen van een team dat bekende waarschuwingstekens kan herkennen, zorgen snel kan rapporteren en kan reageren op een manier die voorkomt dat één fout escaleert tot een groter incident.
Dat vergt meer dan informatie. Het vereist herhaalde oefening, voorbeelden die reële functies en werkstromen weerspiegelen, en duidelijke processen waarop werknemers kunnen vertrouwen wanneer iets niet goed voelt. Het vereist ook controles die de impact van diefstal van inloggegevens verminderen wanneer een phishing-poging slaagt. Om die reden werkt phishing-training voor werknemers het best als onderdeel van een bredere beveiligingscultuur, en niet als een op zichzelf staande oefening in bewustwording.
Organisaties die het risico op phishing goed beperken, combineren doorgaans dezelfde elementen: praktische training, duidelijke gewoonten voor rapportage, een betere paraatheid bij incidenten en een striktere hygiëne van inloggegevens. De informatiebronnen van Proton over phishing-aanvallen en de reactie op incidenten versterken allemaal hetzelfde principe: bewustwording is veel effectiever wanneer het wordt ondersteund door systemen die het eenvoudiger maken om een inbreuk in te dammen.
