Waterbedrijf Aquaduin waarschuwt deze week klanten in West-Vlaanderen voor phishing via een valse nieuwsbrief. Criminelen sturen e-mails die lijken op echte communicatie van het bedrijf. De waarschuwing raakt ook aan digitale veiligheid en de Europese AI-verordening: gevolgen overheid en nutsbedrijven. Doel van de fraude is om wachtwoorden of betaalgegevens te stelen.
Valse nieuwsbrief bij Aquaduin
De nepmail presenteert zich als een nieuwsbrief met een opvallende knop of link. Na een klik volgt vaak een inlogscherm of betaalpagina die het merk van Aquaduin kopieert. Zo proberen oplichters snel geld of persoonlijke data te bemachtigen. Het advies is eenvoudig: niet klikken en direct verwijderen.
Legitieme organisaties vragen geen wachtwoorden of pincodes per e-mail. Een betrouwbare nieuwsbrief zal ook niet dwingen tot onmiddellijke betaling buiten het bekende klantportaal. Controleer altijd of het webadres exact overeenkomt met de officiële site. Twijfel je, typ het adres zelf in de browser of bel het nummer op de officiële website.
Let verder op toon en context. Een dringende, dreigende toon is verdacht, zeker als er wordt gedreigd met afsluiting of boetes. Controleer of je überhaupt nieuwsbrieven van het bedrijf ontvangt. Zie je onlogische klantnummers of onbekende referenties, dan is dat een extra signaal.
“Klik nooit op een knop of link die verdacht lijkt.”
E-mails lijken steeds echter
Oplichters gebruiken steeds vaker generatieve AI, zoals ChatGPT van OpenAI en Gemini van Google, om foutloze en overtuigende teksten te schrijven. Generatieve AI is software die zelf tekst of beeld maakt op basis van voorbeelden. Daardoor vallen taal- of spellingsfouten minder op. Ook de opmaak en het logo lijken vaak professioneel.
De criminelen kopiëren huisstijl, kleurgebruik en knoppen uit echte mails. Met sjablonen en AI-afbeeldingen zetten zij snel een geloofwaardige phishingpagina op. Soms staat het juiste afzender‑label in beeld, terwijl het echte e‑mailadres anders is. Dat heet spoofing: de naam lijkt echt, het domein is vals.
Deze ontwikkeling maakt handmatige controle lastiger. Klassieke kenmerken, zoals slordige taal, verdwijnen. Daarom zijn technische controles belangrijker, zoals het checken van het volledige domein. Ook organisaties moeten hun e-mailbeveiliging strak instellen.
Herken en controleer afzender
Controleer altijd het volledige afzenderadres, niet alleen de weergegeven naam. Let op kleine verschillen, zoals extra koppeltekens, rare subdomeinen of .com in plaats van .be. Beweeg met de muis over links om de echte URL te zien. Typ het webadres liever zelf in of gebruik een eigen bookmark.
Log alleen in via het officiële klantportaal. Gebruik waar mogelijk tweestapsverificatie met een app of sms. Een wachtwoordmanager helpt omdat die alleen op bekende domeinen invult. Zie je dat de manager niet automatisch invult, dan is dat een alarmsignaal.
Kreeg je onverwacht een betaalverzoek? Controleer eerst je facturen in het portaal of in de officiële app. Bel bij twijfel het nummer op de website van het waterbedrijf, niet het nummer in de e-mail. Deel nooit identiteitsdocumenten of bankcodes via e-mail of chat.
Europese AI-verordening: gevolgen overheid
Voor nutsbedrijven en overheden gelden extra plichten rond digitale veiligheid. De Europese richtlijn NIS2 verplicht essentiële diensten, zoals waterbedrijven, tot risicobeheer en snelle melding van incidenten. Op het moment van schrijven voeren EU-lidstaten hier actief toezicht op met boetes bij ernstige nalatigheid. Dit stimuleert betere e-mailbeveiliging en interne controles.
De AVG (privacywet) eist dat organisaties dataminimalisatie en versleuteling toepassen. Bij een datalek moeten zij binnen 72 uur melden aan de toezichthouder en soms aan betrokkenen. Phishing zelf is geen bewijs van een intern lek, maar het is wel een signaal om processen te controleren. Transparante communicatie naar klanten is dan essentieel.
AI-systemen die phishing detecteren vallen doorgaans niet in de hoge-risicoklasse van de Europese AI-verordening. Toch gelden basisprincipes: menselijk toezicht, duidelijke documentatie en veilige data. Overheden en nutsbedrijven kunnen AI inzetten voor filtering en anomaliedetectie, mits zij privacy en proportionaliteit borgen. Standaarden als SPF, DKIM en DMARC helpen daarnaast tegen e-mailspoofing.
Meld en beperk de schade
Heb je geklikt of gegevens ingevuld, kom dan snel in actie. Verander direct je wachtwoord en schakel tweestapsverificatie in. Neem contact op met je bank om transacties te blokkeren. Scan je apparaat met een actuele virusscanner en verwijder onbekende software.
Meld de phishingmail bij Aquaduin via het officiële contactkanaal. In België kun je doorsturen naar Safeonweb; in Nederland naar de Fraudehelpdesk. Deze meldpunten waarschuwen anderen en helpen patronen te herkennen. Zo vergroot je de kans dat de campagne snel stopt.
Vraag bij je leverancier na of er ongebruikelijke activiteit op jouw account is. Onder de AVG heb je recht op informatie over de verwerking van je gegevens. Krijg je bevestiging van misbruik, vraag dan om ondersteuning bij herstel. Blijf daarna alert op vervolgfraude via sms of telefoon.
Nutssector scherpt beveiliging aan
Phishingcampagnes richten zich vaak op nutsbedrijven omdat bijna iedereen klant is. Een geloofwaardige e-mail levert zo veel potentiële slachtoffers op. Waterbedrijven investeren daarom in bewustwording en technische bescherming. Denk aan strengere domeinbeveiliging en snellere waarschuwingen aan klanten.
Ook samenwerking met banken en politie wordt intensiever. Snelle uitwisseling van signalen helpt om malafide rekeningen te blokkeren. Publieke campagnes leggen uit hoe je nepberichten herkent. Dat verlaagt de slagingskans van criminelen.
Toch blijft de mens de laatste verdedigingslijn. Klikpauzes, het checken van het domein en bellen met een bekend nummer werken het best. Blijf opletten, juist omdat AI de oplichter professioneler maakt. Eén extra controle kan veel schade voorkomen.
