De Fraudehelpdesk waarschuwt deze week voor een nieuwe golf sms-berichten over crypto-wallets. Criminelen sturen zogenoemde smishing-berichten met links naar valse websites. De fraude speelt in heel Nederland en treft zowel beginnende als ervaren beleggers. De waarschuwing raakt ook aan de Europese AI-verordening en de gevolgen voor overheid en telecomaanbieders bij het bestrijden van geautomatiseerde phishing.
Nieuwe smishing rond wallets
De nepberichten doen zich vaak voor als meldingen van een wallet of cryptobeurs. De tekst wekt haast op met zinnen als “uw account wordt geblokkeerd” of “onbekende inlog gedetecteerd”. De link leidt naar een nagebouwde pagina die sterk lijkt op de echte website. Daar proberen criminelen inloggegevens of de seed phrase buit te maken.
De seed phrase is een reeks woorden waarmee je een wallet kunt herstellen. Deel je die, dan kan een aanvaller al je tegoeden overmaken. Tweestapsverificatie helpt, maar biedt geen bescherming als je die codes ook op een valse site invult. Daarom is het cruciaal om alleen te handelen via de officiële app of een zelf ingetypt webadres.
Criminelen misbruiken vaker namen van bekende merken om vertrouwen te wekken. Het gaat dan om wallet- en beursnamen die veel mensen kennen. Die merken zijn meestal niet betrokken, maar hun logo’s en stijlen worden gekopieerd. Zo lijkt het bericht echt, terwijl het dat niet is.
Smishing is phishing via sms: een misleidend bericht met een link naar een valse website om wachtwoorden of geld te stelen.
AI versterkt smishinggolven
Generatieve AI maakt de sms’jes geloofwaardiger. Modellen zoals GPT-4o, Google Gemini en open-source varianten zoals Llama 3 schrijven foutloos Nederlands en bootsen klantenservice-taal na. Daardoor vallen typische taalfouten minder op. De drempel voor grootschalige campagnes wordt zo lager.
AI helpt ook bij het personaliseren van berichten. Gegevens uit eerdere datalekken of openbare profielen kunnen automatisch worden gekoppeld aan telefoonnummers. Het resultaat is een sms die lijkt te passen bij iemands situatie. Dat vergroot de kans dat iemand klikt.
Daarnaast zetten oplichters steeds vaker bots in voor opvolgtelefoontjes. Een robocall bevestigt dan “de verificatie”, om extra gegevens los te krijgen. Door nummervervalsing lijkt het alsof de call van een bank of provider komt. Deze combinatie van sms en spraak verhoogt het risico.
Zo herken je nepberichten
Let op ongevraagde urgentie en druk om direct te klikken. Controleer het webadres door het zelf te typen of via een bookmark te openen. Officiële organisaties vragen nooit om je seed phrase of volledige inlog via een sms-link. Twijfel je, neem dan contact op via de bekende klantenservicekanalen.
- Klik niet op links in onverwachte sms’jes over betalingen of wallets.
- Deel nooit je seed phrase of privé-sleutels, met niemand.
- Gebruik een hardware wallet en zet opname-whitelists aan bij beurzen.
- Activeer app-gebaseerde 2FA of een FIDO2-beveiligingssleutel.
- Controleer de afzendernaam; die is makkelijk te vervalsen.
- Meld verdachte berichten bij de Fraudehelpdesk en je provider.
Controleer ook de beveiliging van je apparaten. Werk je telefoon en wallet-software bij. Installeer geen wallet-apps via links, maar alleen via de officiële appstores of de website van de aanbieder. Zo verklein je de kans op malware die meeleest.
Tot slot: wees alert op hergebruik van wachtwoorden. Gebruik voor cryptodiensten unieke, sterke wachtwoorden in een wachtwoordkluis. Zo beperk je de schade als ergens anders gegevens uitlekken. Een kluis helpt je ook phishingdomeinen te herkennen, omdat die niet met je opgeslagen login matchen.
Wetgeving en toezicht EU
De AVG verplicht organisaties om persoonsgegevens te beveiligen en datalekken te melden. Bij phishing gaat het vaak om misbruik van eerder gelekte gegevens buiten de schuld van de huidige aanbieder. Toch moeten wallet- en beursplatforms hun klanten waarschuwen en hun detectie verbeteren. Dat past bij het principe van dataminimalisatie en zorgvuldige beveiliging.
De Europese AI-verordening (AI Act) stelt op het moment van schrijven transparantie-eisen aan generatieve AI-systemen. Die regels richten zich niet direct op smishing, maar bevorderen wel verantwoord gebruik van AI. Leveranciers van algemene AI-modellen moeten risico’s beperken, zoals misbruik voor fraude. Dat kan leiden tot betere detectietools en samenwerking met opsporing.
NIS2 scherpt de beveiligings- en meldplichten aan voor essentiële en belangrijke entiteiten, zoals telecom en digitale infrastructuur. Nederlandse providers moeten daardoor extra maatregelen nemen tegen misbruik van hun netwerken. Denk aan monitoring, snelle incidentmelding en samenwerking met CERT’s. Dit helpt ook bij het terugdringen van grootschalige smishing-campagnes.
Melden en hulp in Nederland
Wie een verdachte sms ontvangt, kan dat melden bij de Fraudehelpdesk. Voeg zo mogelijk een screenshot en het telefoonnummer toe. Je telecomprovider kan afzenders blokkeren als er meerdere meldingen binnenkomen. Zo help je mee om de campagne sneller te stoppen.
Ben je toch op een link ingegaan, verbreek dan direct de verbinding met de site. Heb je niets ingevuld, wis het bericht en voer een virusscan uit. Heb je wel gegevens gedeeld, verplaats je crypto direct naar een nieuwe wallet met een nieuwe seed phrase. Neem ook contact op met de klantenservice van je wallet of beurs om je account te beveiligen.
Doe bij financiële schade altijd aangifte bij de politie. Meld eventuele identiteitsfraude bij je bank en laat betaalmethoden blokkeren als die zijn gekoppeld. Als er sprake is van een datalek bij een bedrijf, kun je dit melden bij de Autoriteit Persoonsgegevens. Zo worden anderen sneller gewaarschuwd en kan schade worden beperkt.
