De Nederlandse politie is deze week doelwit van een gerichte phishingcampagne. Criminelen sturen berichten naar politiemedewerkers om inloggegevens te stelen via valse websites. De aanval speelt in Nederland en richt zich op werkaccounts en interne apps. Het incident laat zien waarom regels als de AVG en de Europese AI-verordening gevolgen overheid hebben voor detectie en logging.
Politie blokkeert phishinggolf
Beveiligingsteams van de Nationale Politie filteren en blokkeren verdachte e-mails en sms-berichten. De berichten gebruiken namen en logo’s die lijken op politie.nl en vragen om snelle actie. Vaak gaat het om valse wachtwoordresets of QR-codes die naar nepformulieren leiden. Medewerkers zijn gewaarschuwd om niets aan te klikken en meldingen te doen.
Bij phishing doet een aanvaller zich voor als een vertrouwde partij om mensen te misleiden. Het doel is meestal het stelen van wachtwoorden, tokens of persoonlijke data. Daarna kan de aanvaller proberen systemen binnen te dringen of meer medewerkers te misleiden. Zo ontstaat snel een kettingreactie binnen een organisatie.
Phishing is het misleiden van mensen om gevoelige gegevens prijs te geven, vaak via e-mail, sms of chat, met berichten die echt lijken.
Er zijn op het moment van schrijven geen openbare aanwijzingen dat politienetwerken zijn misbruikt. Toch blijft het risico hoog door herhaalde pogingen en slimme varianten, zoals “reply-chain” phishing in bestaande mailgesprekken. Extra controlemaatregelen, zoals tweestapsverificatie, verkleinen de kans op misbruik. Ook streng beheer van toegang per functie helpt.
AI versterkt nepberichten
Criminelen zetten generatieve modellen in om foutloos Nederlands te schrijven en geloofwaardige scenario’s te maken. Systemen zoals GPT-4 en Gemini kunnen tone of voice en opmaak snel aanpassen aan een organisatie. Daardoor valt taalgebruik steeds minder op als waarschuwingssignaal. Ook afbeeldingen en huisstijl worden overtuigender nagemaakt.
AI wordt verder gebruikt om lookalike-domeinen te bedenken en om gespoofte namen te genereren. Zo ontstaat spearphishing: zeer gerichte berichten aan specifieke teams of leidinggevenden. Soms worden ook stemklonen ingezet om telefonische verificatie te omzeilen. Deze middelen maken sociale engineering sneller en goedkoper.
Grote AI-aanbieders hebben misbruikbeleid, maar omzeilen is vaak eenvoudig. Open tools en modellen zijn vrij te trainen en te gebruiken buiten zicht van aanbieders. Dat vergroot het speelveld voor criminelen. Organisaties moeten dus uitgaan van misleiding die bijna echt lijkt.
Regels vragen strengere beveiliging
Omdat de politie met gevoelige persoonsgegevens werkt, gelden strenge eisen uit de AVG. Dataminimalisatie, versleuteling en toegangsbeheer zijn verplicht, met goede logging en snelle melding van datalekken. De Baseline Informatiebeveiliging Overheid (BIO) schrijft hier concrete maatregelen voor. Die eisen worden continu aangescherpt.
NIS2, de nieuwe EU-richtlijn voor cybersecurity, vraagt om beter risicobeheer bij vitale en belangrijke organisaties en hun leveranciers. Dit raakt ook overheidsketens en IT-dienstverleners in Nederland. Leveranciers moeten patchen, segmenteren en incidenten melden binnen strakke termijnen. Contracten zullen hierop worden aangescherpt.
De Europese AI-verordening (AI Act) stelt bovendien eisen aan inzet van hoog-risico algoritmen door de overheid. Detectiesystemen voor phishing vallen daar meestal niet onder, maar moeten wel transparant en veilig zijn. Inkoop en audit van zulke systemen krijgen daardoor meer aandacht. Dat helpt bij verantwoord gebruik en betere controle.
Risico’s voor burgers en bedrijven
Als een aanvaller toch toegang krijgt, kan misbruik snel doorwerken naar andere overheden of leveranciers. Denk aan misleiding via echte adresboeken of doorsturen van nepberichten vanaf legitieme accounts. Zo ontstaan ketenrisico’s die lastig te stoppen zijn. Vertrouwen van burgers kan daarbij snel schade oplopen.
Ook dreigt misbruik van operationele informatie, zoals interne processen of afspraken. Zulke data zijn gevoelig, zelfs zonder direct persoonsgegeven. Ze kunnen worden gebruikt om acties te voorspellen of te verstoren. Dat heeft gevolgen voor veiligheid en opsporing.
Burgers kunnen daarnaast nepberichten “van de politie” ontvangen met betaalverzoeken of links. Officiële instanties vragen niet om betalingen via sms of e-mailkoppelingen. Verwijzingen lopen via MijnOverheid of bekende kanalen. Afwijkingen zijn een sterk waarschuwingssignaal.
Aanpak: mens én techniek
Technische basismaatregelen blijven cruciaal: SPF, DKIM en DMARC verlagen het risico op e-mailspoofing. Verplichte phishingresistente aanmeldmethoden, zoals FIDO2-beveiligingssleutels, beperken accountmisbruik. Netwerksegmentatie en strakke rechten per functie verkleinen de impact bij een fout. Snelle patching en up-to-date endpointbeveiliging vullen dit aan.
Training helpt medewerkers om patronen te herkennen en rustig te controleren. Korte, regelmatige oefeningen werken beter dan eenmalige campagnes. Heldere interne meldkanalen maken drempels laag om verdachte berichten door te sturen. Dat versnelt detectie en response.
Monitoring met anomaly-detectie en automatische isolatie kan schade beperken. Denk aan blokkeren van verdachte aanmeldingen en onmogelijk gemaakte doorstuurregels. Goede logs zijn nodig voor forensisch onderzoek en AVG-meldplichten. Leveranciers in de keten moeten aan dezelfde standaarden voldoen.
Wat burgers nu doen
Ontvang je een bericht “van de politie” met een link of QR-code? Klik niet door en betaal niets via die weg. Controleer het afzenderadres en ga zelfstandig naar politie.nl of MijnOverheid. Twijfel je, bel het algemene nummer 0900-8844 of raadpleeg de Fraudehelpdesk.
Let op taalgebruik, druk en dreiging in de tekst. Een echte instantie geeft tijd en duidelijke uitleg. Bewaar het bericht en maak een screenshot voor melding. Zo help je andere slachtoffers te voorkomen.
Update ook je apparaten en gebruik sterke, unieke wachtwoorden met een wachtwoordkluis. Zet waar mogelijk tweestapsverificatie aan. Deze basisstappen werken tegen veel vormen van phishing. Ze maken misbruik minder kansrijk, thuis en op het werk.
