Je kunt niet veilig klikken op wat je niet kunt zien. Elke phishingaanval die een link vermomt, leunt op hetzelfde blinde vlek: de woorden die je leest, zijn niet het adres dat je bezoekt. De weergegeven tekst zegt het ene; de href gaat ergens heel anders heen. Tegen de tijd dat je daar normaal gesproken achter zou komen, heb je al geklikt. En het is niet altijd een grof nagemaakt domein: vaak loopt de link via een tracker of redirector, zodat waar je uiteindelijk belandt niets te maken heeft met het merk dat in de tekst wordt genoemd.
Met de muis over een URL zweven om hem te inspecteren helpt, maar het is vrijwillig, makkelijk over te slaan, onhandig op mobiel en — zelfs als je het doet — vraagt het je om een lang adres te lezen en het ene deel eruit te pikken dat ertoe doet. Dat is veel om te vragen bij elke link, elke dag. Reveal URLs neemt die moeite weg: het maakt de werkelijke bestemming standaard zichtbaar, zodat de mismatch in het oog springt in plaats van zich te verbergen.
De link die er goed uitziet maar het niet is
Neem een echte campagne uit 2025 tegen Booking.com. De e-mail toonde een link die luidde https://admin.booking.com/hotel/hoteladmin/… — precies wat een hotelier zou verwachten. Het adres waar hij daadwerkelijk naartoe wees, was https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/. Het teken tussen "com" en "detail" is geen schuine streep: het is het Japanse hiragana-teken ん (U+3093), dat er in veel lettertypen vrijwel identiek uitziet als "/". Het werkelijk geregistreerde domein is dus www-account-booking.com — door de aanvaller beheerd — en alles links daarvan is enkel subdomeintekst, opgemaakt om te lezen als een pad op booking.com.
Dit is precies de zaak waartegen Reveal URLs is gebouwd. De URL zien is noodzakelijk, maar niet altijd voldoende: je moet ook herkennen welk deel het werkelijk geregistreerde domein is. Reveal URLs zet de bestemming standaard voor je neus — boven de link getoond en rood gemarkeerd zodra de host niet overeenkomt met de naam in de linktekst — zodat de mismatch het werk voor je doet.
Dit is het praktische antwoord aan de clientzijde op een probleem dat we eerder uitgebreid hebben onderzocht: waarom e-mailauthenticatie domain spoofing tegenhoudt maar geen linkgebaseerde phishing, en waarom de sector altijd de URL zou moeten tonen. Voor de volledige achtergrond, zie E-maillink-phishing: waarom je mailprogramma altijd de URL zou moeten tonen.
Wat Reveal URLs doet
Reveal URLs vergelijkt de zichtbare linktekst met de daadwerkelijke href van de link en markeert elke mismatch. Voor elke link toont het de werkelijke bestemming direct boven de link, voorafgegaan door → , in een dun kader. Wanneer de host van de bestemming niet overeenkomt met de hostnaam in de linktekst, worden dat kader en de tekst rood; anders blijven ze gewoon donkergrijs. De waarschuwing die je nodig hebt staat er standaard, voordat je klikt — geen zweven, geen lang indrukken.
Neem een uitgewerkt voorbeeld. Een bericht bevat een link waarvan de tekst amazon.com luidt, maar waarvan de href wijst naar https://amaz0n-secure.com/signin (een nul in plaats van de "o", op een domein dat niemand bij Amazon bezit). Met Reveal URLs is het verschil onmiskenbaar: boven de link staat → https://amaz0n-secure.com/signin in een rood kader, omdat de bestemmingshost amaz0n-secure.com niet overeenkomt met het amazon.com dat de tekst belooft. Je ziet de misleiding voordat je klikt, zonder zweven en zonder giswerk.
Op het web en in Thunderbird toont de WebExtension de bestemming boven elke link, terwijl de pagina of het bericht wordt gerenderd. In Outlook verschijnt dezelfde analyse in een zijpaneel. Hoe dan ook is de bestemming standaard zichtbaar — nooit verborgen achter een zweefbeweging of een lange druk.
Dit is geen hypothetisch geval. Neem een echte phishingmail over een pakketbezorging: die waarschuwt dat een pakket wordt vastgehouden totdat een openstaande douanekost is betaald, en biedt een vriendelijke knop „Ga naar betaling” waarvan het label helemaal geen bestemming noemt. Reveal URLs toont de werkelijke bestemming van die knop direct erboven — → parcel-pay.custom.co.xa — zodat het adres dat het vriendelijke label verbergt gewoon zichtbaar is. Je ziet waar de knop echt heen gaat, en je hoefde nooit te klikken om daarachter te komen.
Hoe het werkt op verschillende platforms
Reveal URLs is één idee, geleverd via welk mechanisme elk platform ook toestaat. Onder de motorkap doet elke variant hetzelfde: de links lezen, bepalen waar ze werkelijk naartoe gaan, en die bestemming boven de link tonen — rood wanneer de bestemmingshost niet overeenkomt met de linktekst. Waar dat werk gebeurt verschilt per omgeving, dus elk wordt hieronder toegelicht.
- Browsers en Thunderbird (WebExtensions): op Chrome, Edge, Opera, Firefox en Thunderbird bewerkt een content-script de gerenderde DOM na en toont het de bestemming boven elke link. Deze doen al hun werk lokaal; er verlaat niets je apparaat.
- Gmail (binnenkort): een Google Apps Script-add-on zal dezelfde bestemming boven elke link binnen de Gmail-interface tonen. Omdat Gmail-add-ons op de eigen servers van Google draaien, wordt het geopende bericht daar gelezen en geanalyseerd (door Google, dat je e-mail toch al heeft), nooit door ons en nooit door iemand anders.
- Outlook (binnenkort): een Office.js-add-in zal de analyse in een zijpaneel tonen. De interface van het taakvenster wordt over HTTPS geladen vanaf Codeberg Pages, maar de linkanalyse zelf draait lokaal op het bericht dat voor je ligt — er worden geen e-mail- of berichtgegevens ergens naartoe verstuurd.
- Safari: gepland.
Reveal URLs wordt geleverd met ingebouwde ondersteuning voor de aanbieders waarmee mensen het vaakst worden gephisht — Gmail, Outlook en Proton Mail — en de hostlijst is door de gebruiker uit te breiden vanaf de optiepagina, zodat je de webmail en sites die je gebruikt kunt toevoegen. De interface is gelokaliseerd in veel talen.
De werkelijke bestemming zien voordat je klikt
Privacy en geen tracking
Waar Reveal URLs zijn werk doet, hangt af van de omgeving, en het is eerlijk over dat verschil. De browserextensies en de Thunderbird-add-on doen al hun werk lokaal en versturen niets: niets over de berichten die je leest, de links die je ziet of de pagina's die je bezoekt verlaat ooit je machine. Er zijn geen analytics, geen telemetrie en geen enkele vorm van tracking.
De Gmail-add-on (binnenkort) wordt de uitzondering. Omdat Gmail-add-ons op de eigen servers van Google draaien, wordt het geopende bericht daar gelezen en geanalyseerd — door Google, dat je e-mail toch al heeft, nooit door ons en nooit door iemand anders.
Outlook (binnenkort) zit ertussenin: de gebruikersinterface van de add-in wordt over HTTPS geserveerd vanaf Codeberg Pages (zo worden Office-add-ins nu eenmaal gedistribueerd), maar de daadwerkelijke linkanalyse draait nog steeds lokaal op het bericht dat je bekijkt, en er worden geen e-mail- of berichtgegevens ergens naartoe verstuurd. Een beveiligingstool die je niet kunt vertrouwen is erger dan geen, dus Reveal URLs is precies over waar elke omgeving zijn werk doet in plaats van één allesomvattende belofte te doen.
Opensource en licentie
Reveal URLs is gratis en opensource, uitgebracht onder de AGPL-3.0-only-licentie. De code is een TypeScript-pnpm-monorepo, en het project is © 2026 Jeroen Derks (Magentron). Omdat het opensource is, hoef je geen enkele privacyclaim op goed vertrouwen aan te nemen — je kunt precies lezen wat het doet, het zelf bouwen, en voor elke omgeving bevestigen waar de analyse draait: lokaal voor de browserextensies en Thunderbird, die niets versturen.
De volledige broncode staat op codeberg.org/magentron/reveal-urls.
Reveal URLs installeren
- Chrome Web Store (ook voor Brave, Opera, enz.)
- Microsoft Edge Add-ons
- Firefox Add-ons (AMO)
- Thunderbird Add-ons (ATN)
Op Opera installeer je de Chrome-build uit de Chrome Web Store; een aparte Opera-vermelding volgt binnenkort.
Binnenkort: de Gmail-add-on (Google Workspace Marketplace) en de Outlook-add-in (Microsoft AppSource).
Projectpagina: magentron.codeberg.page/reveal-urls · Broncode: codeberg.org/magentron/reveal-urls
Reveal URLs is het praktische antwoord aan de clientzijde op een probleem dat we uitgebreid hebben beargumenteerd in E-maillink-phishing: waarom je mailprogramma altijd de URL zou moeten tonen: e-mailauthenticatie kan bewijzen wie een bericht heeft verstuurd, maar niet waar de links naartoe gaan. Totdat programma's standaard de URL tonen, vult dit het gat — gratis, opensource, en eerlijk over waar elke omgeving zijn werk doet.