De politie heeft een 34-jarige man, David, aangehouden op verdenking van grootschalige phishing. Agenten kwamen hem op het spoor door een foto die in een vestiging van McDonald’s was gemaakt. Bij zijn arrestatie stond phishing-software nog open op zijn computer. De zaak raakt ook aan het gebruik van algoritmen door opsporingsdiensten onder de Europese AI-verordening.
Foto leidt naar verdachte
De aanhouding volgde na digitaal onderzoek waarbij een foto in een McDonald’s een cruciale aanwijzing bleek. De opname hielp de politie de verdachte te koppelen aan de gebruikte apparatuur en locaties. Op het moment van de inval draaide zijn phishing-software nog, wat duidt op actieve campagnes.
Met “phishing-software” doelen rechercheurs vaak op een beheerpaneel dat nepwebsites, berichten en inlogstromen aanstuurt. Zo’n paneel verzamelt inlogcodes in realtime en ordent buitgemaakte gegevens. Dat maakt fraude schaalbaar en verlaagt de drempel voor minder technische daders.
De vondst van geopende tools vergemakkelijkt forensisch onderzoek naar herkomst, slachtoffers en geldstromen. Logbestanden en sessies kunnen tonen welke banken of platforms zijn nagebootst. Ook kan zichtbaar worden welke telecomkanalen en domeinen zijn ingezet.
Phishing wordt geautomatiseerd
Phishing is oplichting met valse e-mails, sms’jes of websites om inlog- of bankgegevens af te troggelen. Criminelen gebruiken daarvoor kant‑en‑klare “phishing‑kits”, die teksten genereren, links beheren en resultaten tonen. Steeds vaker worden ook chatbots en spraakrobots ingezet om slachtoffers onder druk te zetten.
Phishing is het misleiden van mensen om gevoelige gegevens prijs te geven via een bericht of nepwebsite die echt lijkt.
Generatieve systemen zoals OpenAI’s GPT‑4, Google’s Gemini en Meta’s Llama 3 kunnen foutloze Nederlandstalige teksten maken. Dat helpt daders geloofwaardige bank- of pakketberichten te schrijven. De technologie kan ook varianten maken om spamfilters te omzeilen, al laat taalgebruik soms nog sporen na.
Toch kent deze aanpak grenzen. Tweestapsverificatie en bankapp‑bevestigingen dwingen criminelen tot realtime meelezen, wat risico’s voor hen vergroot. Daarnaast laten kits en bots vaak metadata en betaalsporen achter die de opsporing juist versnellen.
AI-verordening stuurt recherchewerk
De politie verwerkt opsporingsdata onder de Wet politiegegevens, met eisen voor doelbinding en proportionaliteit. Beelden of foto’s uit winkels vallen onder de AVG en mogen in principe met de politie worden gedeeld bij een strafrechtelijk onderzoek. Dataminimalisatie en beveiliging blijven dan verplicht voor bedrijven als McDonald’s.
De Europese AI-verordening (AI Act) begrenst het gebruik van hoogrisico‑AI door de overheid. Op het moment van schrijven zijn realtime biometrische identificaties in de openbare ruimte in principe verboden, met strikte uitzonderingen en rechterlijke toetsing. Analysehulpmiddelen die niet tot identificatie leiden vallen onder lichtere regels, maar moeten transparant en toetsbaar zijn.
Voor rechercheteams betekent dit: wel slim zoeken in digitale sporen, geen ongerichte massasurveillance. Gericht werken met beelden, logs en netwerkdata blijft mogelijk, mits noodzakelijk en proportioneel. Deze zaak laat zien dat één gerichte aanwijzing al voldoende kan zijn om een keten te reconstrueren.
Banken en telecom dichten lekken
Nederlandse banken beperken risico’s met naamchecks bij overschrijvingen, in‑app waarschuwingen en strengere limieten. Tijdelijke betalingslinks en het blokkeren van verdachte begunstigden maken doorboeken lastiger. Betaalvereniging Nederland ondersteunt gezamenlijke maatregelen en publieksvoorlichting over “veilig bankieren”.
Telecomproviders rollen filters uit tegen smishing en blokkeren misbruik van afzendernamen. Ook worden verdachte domeinen sneller van het netwerk gehaald in overleg met hostingpartijen. De Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens houden toezicht op consumentenbescherming en privacy.
Toch blijft sms-beveiliging kwetsbaar en wordt nummer- en domeinspoofing voortdurend verfijnd. Dat vraagt om meer authenticatie binnen apps en minder afhankelijkheid van links in berichten. Ook cross-sector delen van dreigingsinformatie kan sneller en gestandaardiseerd.
Wat u nu kunt doen
Typ zelf het webadres van uw bank of bezorgdienst in, en klik niet op betaal- of inloglinks uit berichten. Controleer het domein zorgvuldig; een slotje is geen garantie. Stop direct bij tijdsdruk of dreigementen, en neem contact op via het officiële nummer in uw bankapp.
Gebruik een wachtwoordmanager en zet tweestapsverificatie aan met een authenticator‑app in plaats van sms. Houd telefoon en laptop up‑to‑date en installeer geen apps via onbekende links. Deel nooit inlog- of bevestigingscodes, ook niet met iemand die zegt van de bank te zijn.
Meld pogingen bij de Fraudehelpdesk en doe aangifte bij de politie als er geld is verdwenen. Stuur verdachte sms’jes door naar 7726 (SPAM) als uw provider dat ondersteunt. Zo helpt u anderen en vergroot u de kans dat netwerken snel worden afgesloten.
