Criminelen voeren op dit moment een actieve phishingcampagne via sms en chatapps op smartphones in België en Nederland. Berichten via WhatsApp (Meta), sms en iMessage (Apple) doen zich voor als meldingen van banken, pakketbezorgers of overheidsdiensten. Het doel is om inlogcodes en bankgegevens te stelen of om slachtoffers een kwaadaardige app te laten installeren. De Europese AI-verordening gevolgen overheid en de AVG spelen mee bij de aanpak, omdat ze regels stellen aan detectie en melding.
Smartphones doelwit van phishing
De campagne richt zich op gebruikers van Android (Google) en iOS (Apple). Slachtoffers ontvangen Nederlandstalige berichten met een link die zogenaamd leidt naar een bank, een bezorgdienst of een overheidssite. De link opent een nagemaakte website die sterk lijkt op het origineel. Zo proberen oplichters wachtwoorden, verificatiecodes en betaalgegevens te stelen.
De berichten zetten aan tot haast, bijvoorbeeld door te waarschuwen voor een geblokkeerde rekening of gemist pakket. Deze druk vergroot de kans dat iemand zonder na te denken klikt. Vaak gebruiken criminelen lokaal geldende termen, zoals iDEAL of MijnOverheid, om geloofwaardigheid te winnen. Ook logo’s en kleuren worden nauwkeurig nagemaakt.
In sommige gevallen proberen aanvallers Android-gebruikers een app buiten de Google Play Store te laten installeren. Daarvoor vragen zij om “onbekende bronnen” in te schakelen, wat extra risico’s geeft. Op iOS is het installeren van zulke apps lastiger, maar nepwebsites kunnen daar nog steeds data buitmaken. De kern blijft: één klik kan genoeg zijn om gegevens prijs te geven.
Banken als ING, Rabobank en ABN AMRO waarschuwen al langer voor smishing, de variant van phishing via sms. Ook in België geven Belfius, KBC en BNP Paribas Fortis vergelijkbare signalen. Nationale meldpunten zoals de Fraudehelpdesk (Nederland) en Safeonweb (België) ontvangen regelmatig meldingen. Zij adviseren om verdachte links niet te openen en berichten door te sturen naar speciale meldnummers.
Zo werkt de aanval
Een typisch scenario begint met een bericht over een probleem dat u snel moet oplossen. De link stuurt u naar een website die lijkt op die van een bank, koerier of overheid. Daar vraagt men om inloggegevens of een betaling van een klein bedrag als “verificatie”. Zo krijgen criminelen toegang tot uw rekening of kaart.
Op de nepwebsite wordt vaak tweestapsverificatie misbruikt. Een aanvaller wacht op de code die u via sms of app ontvangt, en voert die direct in. Dit heet real-time phishing: de crimineel zit letterlijk met u mee te kijken. Daardoor kan zelfs een extra beveiligingslaag worden omzeild.
Bij Android kan de link ook leiden naar een installatiebestand (apk) dat zich voordoet als een beveiligings- of bezorgapp. Na installatie kan zo’n app sms’jes lezen, schermen opnemen of toetsenbordaanslagen volgen. Dat stelt criminelen in staat om bankapps te manipuleren. Google Play Protect helpt hiertegen, maar alleen als onbekende bronnen uit staan en apps uit de Play Store komen.
iOS-gebruikers lopen minder risico op stille installatie, maar blijven kwetsbaar voor namaakwebsites. Bovendien gebruiken oplichters soms terugbelverzoeken: ze vragen u te bellen of bellen u zelf. Zo proberen zij u te laten handelen buiten de beveiligde bankapp. Een medewerker zal u nooit vragen om codes te delen of een app buiten de officiële store te installeren.
AI vergroot overtuigingskracht
Aanvallers zetten steeds vaker generatieve AI in, zoals tekstgeneratoren (bijvoorbeeld ChatGPT van OpenAI of Gemini van Google). Deze systemen maken snel foutloze, lokaal aangepaste berichten in meerdere talen. Daardoor vallen typefouten en kromme zinnen minder op. Ook kunnen ze varianten van hetzelfde bericht maken om filters te omzeilen.
Voor telefonische fraude gebruiken criminelen synthetische stemmen. Met stemklonen kunnen ze klinken als een bankmedewerker of een bekende. Dit heet deepfake-audio en maakt valse urgentie geloofwaardig. Let daarom extra op onverwachte verzoeken om codes te delen of betalingen te doen.
Verdedigers zetten ook algoritmen in om patronen te herkennen. Banken en telecomproviders gebruiken machine learning om verdachte transacties en berichten te blokkeren. Zulke systemen leren van meldingen en bekende fraudewebsites. Transparantie en goede data zijn belangrijk om fouten en vooroordelen te beperken.
Phishing is het misleiden van mensen om gevoelige gegevens af te staan via nepberichten en nagebouwde websites. Klikken op een link is vaak voldoende om de aanval te laten slagen.
Banken en providers reageren
Banken in Nederland en België verscherpen controle op transacties en inloggen. Zij combineren gedragsanalyse met tweestapsverificatie in de eigen app. Wie via een nepwebsite inlogt, valt sneller op door afwijkend apparaat- of locatiegedrag. Bij twijfel wordt de betaling geblokkeerd en volgt een controle.
Telecomproviders zoals KPN, VodafoneZiggo, Odido en Proximus filteren massaal verstuurde sms’jes met verdachte links. Zij passen zogeheten sms-firewalls toe en delen dreigingsinformatie in sectorverband. Toch glippen varianten soms door, omdat aanvallers domeinen en teksten blijven wisselen. Meldingen van klanten blijven daarom cruciaal voor het bijleren van filters.
Techbedrijven versterken hun platformen. Google Safe Browsing en Microsoft Defender blokkeren bekende phishingdomeinen in browsers. Apple en Google brengen regelmatig beveiligingsupdates uit voor iOS en Android. Het is belangrijk om apparaten up-to-date te houden en alleen apps uit de officiële stores te installeren.
Nationale coördinatoren zoals het NCSC (Nederland) en het Centrum voor Cybersecurity België adviseren organisaties over detectie en respons. Zij verspreiden indicatoren van compromittering, zoals domeinen en afzenders. Overheden stimuleren ook bewustwordingscampagnes. Zo groeit de weerbaarheid van burgers en bedrijven tegelijk.
Wat je nu kunt doen
Open geen links uit onverwachte berichten. Typ het webadres van uw bank, bezorger of overheid altijd zelf in. Controleer een melding in de officiële app of via het bekende telefoonnummer. Twijfelt u? Wacht even en vraag iemand mee te kijken.
Installeer updates voor iOS of Android en uw apps. Schakel op Android “onbekende bronnen” uit en laat Google Play Protect aan. Gebruik waar mogelijk ingebouwde sms-filters. Beveilig uw accounts met een wachtwoordmanager en unieke wachtwoorden.
Deel nooit inlogcodes of verificatiecodes. Een bankmedewerker vraagt daar niet om. Ziet u een verdachte sms of app? Maak een schermafbeelding en meld het bij de Fraudehelpdesk (fraudehelpdesk.nl), uw bank en bij Safeonweb (safeonweb.be) als u in België woont.
Als u heeft geklikt of gegevens heeft ingevuld, onderneem direct actie. Bel uw bank via het bekende nummer en laat betaalmiddelen blokkeren. Verander wachtwoorden en log alle sessies uit. Laat eventueel uw toestel controleren door een expert.
Europese AI-verordening gevolgen overheid
Bij het opsporen van phishing verwerken organisaties persoonsgegevens. De AVG verlangt dataminimalisatie, duidelijke doelen en passende beveiliging, zoals versleuteling. Burgers hebben recht op inzage en een uitleg bij geautomatiseerde beslissingen die hen raken. Dit geldt ook voor fraudedetectie bij banken en telecombedrijven.
De Europese AI-verordening (AI Act) stelt extra eisen aan risicovolle AI-systemen. Detectiesystemen in financiële diensten kunnen onder strengere regels vallen als zij de toegang tot een dienst beïnvloeden. Dan zijn zaken als risicobeheer, menselijk toezicht, loggen en transparantie verplicht. Voor overheidsorganisaties betekent dit dat inkoop en gebruik van AI voor detectie aantoonbaar zorgvuldig moeten gebeuren.
Voor betaalverkeer geldt daarnaast PSD2 met sterke klantauthenticatie. Dat helpt misbruik te beperken, maar vraagt om zorgvuldige implementatie zonder drempels voor gebruikers. Toezichthouders zoals de Autoriteit Persoonsgegevens en De Nederlandsche Bank letten, op het moment van schrijven, op naleving. Europees werken ENISA en Europol samen met lidstaten aan uitwisseling van dreigingsinformatie.
Praktisch gevolg: meld, blokkeer en leer. Organisaties moeten incidenten documenteren en verbeteren hun modellen met nieuwe signalen, binnen de grenzen van de AVG. Burgers profiteren van betere filters, maar blijven de laatste schakel. Kritisch kijken naar elk bericht blijft de beste eerste verdediging.
