Phishing klinkt als iets van vroeger — die slecht geschreven mail van een "prins" die je geld belooft. Maar de phishing van vandaag is professioneel, persoonlijk en lastig te herkennen. En juist voor een kleine ondernemer of eenmanszaak kan één verkeerde klik direct in je portemonnee landen. In deze blog kijken we niet naar de techniek, maar naar het geld: wat kost het je echt als phishing raak is?
Wat phishing tegenwoordig is
Phishing is een poging om je via een bericht — meestal e-mail, maar ook sms of WhatsApp — iets te laten doen wat je niet zou moeten doen: op een link klikken, een wachtwoord invullen, een bijlage openen of een betaling uitvoeren. Het bericht doet zich voor als iets vertrouwds: je bank, de Belastingdienst, een leverancier, of zelfs jezelf.
Het venijn zit in de geloofwaardigheid. Aanvallers gebruiken tegenwoordig AI om foutloze, persoonlijke berichten te schrijven. Ze weten bij welke leverancier je inkoopt, hoe je facturen eruitzien en wanneer je een betaling verwacht. Dat maakt het verschil tussen "duidelijk nep" en "dit klopt toch?".
Waarom kleine ondernemers een geliefd doelwit zijn
Bij een groot bedrijf zit er vaak een laag tussen: een financiële afdeling, een vier-ogen-principe, een IT-team dat verdachte mail wegfiltert. Bij een eenmanszaak ben jij de financiële afdeling, de IT-afdeling en de directie tegelijk. Eén persoon, één mailbox, één klik.
Daar komt bij dat veel kleine ondernemers denken dat ze te onbelangrijk zijn om te targeten. Maar phishing wordt grotendeels geautomatiseerd en in bulk verstuurd. De Fraudehelpdesk en het CBS zien al jaren dat juist het MKB structureel wordt geraakt — niet omdat je persoonlijk bent uitgekozen, maar omdat je in de lijst stond.
Wat het je concreet kost
Hier wordt het tastbaar. Phishing is zelden het einddoel; het is de voordeur. Wat erachter gebeurt, bepaalt de schade.
Factuurfraude. Een aanvaller neemt via een phishingmail je mailbox over en stuurt jouw klant een echte factuur — met een aangepast rekeningnummer. De klant betaalt te goeder trouw aan de crimineel. Jij staat met lege handen en moet alsnog je klant te woord staan. Bedragen van enkele duizenden tot tienduizenden euro's zijn hier heel gewoon.
CEO- of leveranciersfraude. Je krijgt een mail die lijkt te komen van een vaste leverancier: "ons rekeningnummer is gewijzigd." Je past het aan en de volgende betaling verdwijnt naar de verkeerde rekening. Dit type fraude kost Nederlandse ondernemers jaarlijks miljoenen.
Ransomware via een bijlage. Eén geopende bijlage installeert gijzelsoftware die je bestanden versleutelt. Je ligt dagen plat, kunt niet factureren of leveren, en staat voor de keuze om losgeld te betalen of alles opnieuw op te bouwen. De herstelkosten lopen voor een klein bedrijf al snel op tot tienduizenden euro's.
Laten we het optellen in een illustratief scenario. Stel: via een phishingmail wordt je zakelijke mailbox overgenomen.
- Onderschepte en verkeerd betaalde factuur: ± €6.500
- Herstel en beveiligen van je accounts: ± €1.500
- Stilstand en gemiste omzet (enkele dagen): ± €4.000
- Melding en juridisch advies bij gelekte klantgegevens: ± €2.000
Totaal: circa €14.000 voor één geslaagde phishingmail — nog los van de reputatieschade richting de klant die "jouw" valse factuur betaalde.
Het echte probleem: phishing is de eerste schakel
Phishing is bijna nooit een losse gebeurtenis. Het is de eerste schakel in een keten — wat beveiligers een chain attack noemen. De mail geeft toegang tot je mailbox (schakel één). Je gebruikte hetzelfde wachtwoord elders (schakel twee). Je mailbox had geen tweestapsverificatie, een extra controlestap naast je wachtwoord (schakel drie). Via die mailbox reset de aanvaller je andere accounts (schakel vier).
Geen enkele schakel is op zichzelf dramatisch. Samen vormen ze een vrije doorgang naar je geld en je gegevens. En precies daar zit de winst: je hoeft niet elke phishingmail tegen te houden — dat lukt niemand — je moet zorgen dat één klik niet meteen je hele bedrijf openzet.
Wat je eraan kunt doen
De goede boodschap: de meeste schade ontstaat niet door de mail zelf, maar door zwakke plekken erachter die je vóór kunt zijn. Tweestapsverificatie op je mailbox, unieke wachtwoorden, een vast controlemoment bij gewijzigde rekeningnummers — het zijn kleine maatregelen die de keten breken.
Maar je kunt alleen dichten wat je kent. Een pre-pentest brengt in kaart welke van jouw systemen bereikbaar zijn, waar tweestapsverificatie ontbreekt en welke gegevens van jou al op straat liggen. Geen langlopend contract, geen technisch jargon — gewoon een eerlijk beeld van waar de aanvaller na die ene klik zou uitkomen.
Je houdt zelf de regie. Je beslist wat je daarna doet.
← Terug naar home