E-mailspoofing is een techniek waarbij oplichters de afzender van een e-mail vervalsen. Het bericht lijkt dan van je bank, een bekende organisatie of zelfs een collega te komen, terwijl het in werkelijkheid van een crimineel is. Spoofing is een belangrijk hulpmiddel bij phishing, CEO-fraude en factuurfraude. In dit artikel lees je hoe e-mailspoofing werkt en hoe je controleert of een afzender echt is, zonder dat je technische kennis nodig hebt.
Weergavenaam versus het echte adres
In je inbox zie je meestal eerst de weergavenaam, bijvoorbeeld de naam van je bank. Die naam kan een oplichter vrij invullen en zegt niets over de echte afzender. Het werkelijke e-mailadres staat erachter of eronder en is veel belangrijker.
De getoonde naam bewijst niets
Een e-mail kan als weergavenaam de naam van je bank of een bekend bedrijf tonen, terwijl het echte adres iets heel anders is. Kijk daarom altijd naar het volledige e-mailadres achter de naam, niet alleen naar de naam zelf.
Hoe je de echte afzender en links controleert
Met een paar eenvoudige controles haal je de meeste valse e-mails eruit. Het draait om het adres, de link en de toon van het bericht.
Een e-mail controleren voordat je klikt
- Bekijk het volledige e-mailadres van de afzender, niet alleen de weergavenaam. Let op kleine afwijkingen in de domeinnaam achter het apenstaartje.
- Beweeg met je muis over een link zonder te klikken, zodat je het echte webadres ziet. Op een telefoon houd je je vinger even op de link. Klopt het adres niet, klik dan niet.
- Let op een onpersoonlijke aanhef, taalfouten, een dreigende toon of grote haast.
- Vertrouw je het niet, ga dan zelf naar de officiele website of app van de organisatie. Klik niet op de link en beantwoord de e-mail niet.
- Word je gevraagd om in te loggen, een betaling te doen of gegevens te bevestigen, wees dan extra kritisch.
Een echt afzenderadres kan toch gespooft zijn
Soms lijkt het afzenderadres exact te kloppen, terwijl het bericht toch vervalst is. Daarom is de gouden regel: vertrouw bij een verzoek om geld, gegevens of een betaling nooit op de e-mail alleen. Verifieer via een kanaal dat je zelf kiest, zoals de officiele website of een telefoonnummer dat je opzoekt.
Waaraan je een verdachte e-mail herkent
| Kenmerk | Betrouwbaar | Verdacht |
|---|---|---|
| Afzenderadres | Exact het officiele domein | Net afwijkend of een vreemd domein |
| Aanhef | Je naam, persoonlijk | Algemeen, zoals beste klant |
| Link | Naar het echte webadres | Naar een afwijkend of verkort adres |
| Toon | Rustig en informatief | Dreigend, met haast of verlies |
| Vraag | Geen vraag om wachtwoord | Inloggen of betalen via een link |
Geef nooit je wachtwoord of code via een e-maillink
Een echte bank of organisatie vraagt je nooit per e-mail om je volledige wachtwoord, je pincode of een beveiligingscode in te vullen via een link. Gebeurt dat wel, dan is het phishing op basis van een gespoofte e-mail.
Hoe zie ik het echte e-mailadres van een afzender?
Klik op de naam van de afzender of op de pijl ernaast om de details uit te klappen. In de meeste e-mailprogramma's verschijnt dan het volledige adres achter het apenstaartje. Beoordeel dat adres, niet de weergavenaam.
Het adres klopt precies, is de e-mail dan veilig?
Niet per definitie. Bij spoofing kan ook een kloppend ogend adres worden vervalst. Behandel verzoeken om geld, gegevens of een betaling daarom altijd met argwaan en verifieer via een eigen kanaal.
Wat doe ik met een verdachte e-mail van mijn bank?
Klik nergens op en log niet in via de e-mail. Stuur de e-mail door naar het valse-e-mailadres van je bank en ga zelf naar de officiele app of website. Lees het artikel over phishing melden voor de juiste adressen.
Is het gevaarlijk om een verdachte e-mail te openen?
Het enkel openen van een e-mail is meestal niet schadelijk. Het risico zit in het klikken op links, het openen van bijlagen en het invullen van gegevens. Doe dat niet bij twijfel.