In Frankrijk neemt het aantal crypto-ontvoeringen de laatste maanden zichtbaar toe. Criminelen vinden slachtoffers via omvangrijke datalekken en lijsten van datamakelaars. De zaken spelen vooral in en rond grote steden, waar veel cryptobezitters wonen. Het doel is toegang tot wallets en accounts; de AVG en de Europese AI-verordening vragen om betere beveiliging, maar gaten blijven op het moment van schrijven zichtbaar.
Datalekken voeden geweld
De kern van het probleem ligt bij gelekte persoonsgegevens. Adressen, telefoonnummers en soms ook aankoopgegevens van hardware wallets circuleren op forums, Telegram-kanalen en marktplaatsen. Daarmee kunnen daders doelwitten selecteren die waarschijnlijk veel digitale munten bezitten.
Criminelen combineren die data met eenvoudige zoek- en analysehulpmiddelen. Zo ontstaat snel een compleet profiel van een belegger, inclusief woonadres en routines. Dat verlaagt de drempel voor een huisbezoek of chantage.
Eerdere incidenten tonen het fysieke risico van zulke lekken. Bij het Franse hardwarewallet-merk Ledger lekten in 2020 klantgegevens, waarna slachtoffers phishing en bedreigingen meldden. Het laat zien hoe een digitaal lek kan uitmonden in gevaar aan de voordeur.
Van online naar voordeur
De werkwijze is vaak hetzelfde. Eerst volgt online doxing en social engineering, daarna een bezoek aan huis of werk. Onder dwang laten slachtoffers hun “seed phrase” of herstelzin zien, of ze worden gedwongen in te loggen bij een beursapp.
Crypto-ontvoering is het onder dwang overdragen van digitale tegoeden via een wallet of beursaccount.
Sms-bevestiging helpt hier zelden. Bij een sim-swapping-aanval neemt de dader het telefoonnummer over, waardoor codes binnenkomen op een door hem beheerde simkaart. Daarna is toegang tot e-mail en beurzen vaak snel geregeld.
Hardware wallets verkleinen het online risico, maar niet het fysieke. Adreslekken en zichtbare pakketleveringen maken bezitters juist vindbaar. Extra functies zoals een passphrase of een nood- of “duress”-pincode kunnen de schade beperken, maar vragen wel oefening en discipline.
AVG vereist dataminimalisatie
Onder de AVG moeten organisaties dataminimalisatie toepassen en gevoelige gegevens versleutelen. Alleen noodzakelijke data mogen worden bewaard, en niet langer dan nodig. De Franse toezichthouder CNIL ziet op deze plichten toe en kan boetes opleggen.
Voor cryptodienstverleners gelden extra regels door witwasbestrijding. KYC-processen verzamelen identiteits- en adresgegevens, die criminelen juist zoeken. Daarom zijn versleuteling, strikte toegangsrechten en korte bewaartermijnen cruciaal.
De Europese AI-verordening treedt gefaseerd in werking op het moment van schrijven. Hoogrisico-AI in de opsporing moet straks aantoonbaar veilig, uitlegbaar en getest zijn. Dat raakt ook analysehulpmiddelen die opsporingsdiensten gebruiken rond cryptostromen.
AI helpt dader en speurder
Generatieve kunstmatige intelligentie maakt phishing overtuigender en schaalbaar. Met taalmodellen kunnen daders geloofwaardige e-mails, apps en sms’jes maken in vlekkeloos Frans of Nederlands. Ook het rangschikken van gelekte datasets gaat sneller met eenvoudige algoritmen.
Opsporingsdiensten en beurzen gebruiken juist transactiescanners en analysetools om geldstromen te volgen. Bedrijven als Chainalysis en TRM Labs leveren deze software aan exchanges en financiële inlichtingenteams. In Frankrijk werkt TRACFIN met zulke analyses om verdachte meldingen te koppelen aan rekeningen en wallets.
De AI-verordening vraagt bij inzet door de overheid om risicobeheer, logging en menselijke controle. Dat vergroot het vertrouwen, maar vergt documentatie en audits. Transparantie over datasets en foutmarges wordt dan onderdeel van het werkproces.
Veiligheidsstappen voor beleggers
Beperk uw datavoetafdruk. Gebruik een postbus of afhaalpunt voor dure elektronica, en verwijder onnodige gegevens bij webshops. Check na elk groot datalek of uw e-mail of adres is buitgemaakt, en wijzig direct wachtwoorden en beveiligingsinstellingen.
Schakel sms-2FA uit en kies voor een authenticator-app of FIDO2-beveiligingssleutel. Splits vermogen in hot wallets voor dagelijks gebruik en cold wallets voor lange termijn. Overweeg multisig, waarbij meerdere sleutels nodig zijn om te verzenden.
Verminder fysiek risico door niet publiek te praten over bezittingen of winsten. Oefen met een duress- of dummy-wallet voor kleine bedragen als afschrikmiddel. Bel direct 112 bij dreiging en doe aangifte; meld fraude ook bij uw bank en, waar van toepassing, de financiële inlichtingeneenheid.
Druk op sector en overheid
Met de komst van MiCA vallen cryptodienstverleners in de EU onder striktere regels voor governance en beveiliging. In Nederland houden DNB en AFM toezicht op het moment van schrijven; in Frankrijk doen ACPR en AMF dat. NIS2 vergroot daarnaast de zorgplichten rond cyberweerbaarheid voor meer sectoren.
Bedrijven moeten hun leveranciersketen aanpakken. Veel datalekken beginnen bij een toeleverancier of marketingdienst. Contractuele beveiligingseisen, penetratietests en pseudonimisering van klantbestanden worden randvoorwaardelijk.
Voor burgers en instellingen raken beleid en technologie elkaar hier direct. Sterke encryptie en dataminimalisatie verkleinen de buit voor criminelen. Tegelijk helpen uitlegbare algoritmen en beter toezicht opsporing en rechtspraak om gerichter en rechtvaardiger te handelen.
