In Nederland circuleren op dit moment meer nepmails die lijken te komen van het Centraal Justitieel Incassobureau (CJIB). De berichten vragen om een snelle betaling van een “openstaande boete” via een link of QR-code. De toename volgt mogelijk op het recente datalek bij telecomprovider Odido, waardoor persoonsgegevens op straat kunnen liggen. De kwestie raakt ook aan privacyregels onder de AVG en aan discussies over de Europese AI-verordening gevolgen overheid bij inzet van algoritmen tegen fraude.
CJIB-phishing neemt toe
De valse berichten spelen in op angst en tijdsdruk. Ze noemen soms naam, adres of kenteken om betrouwbaar te lijken. Vaak staat er dat onmiddellijke betaling nodig is om verhogingen of beslag te voorkomen. De link leidt naar een nagemaakte betaalpagina die geld en gegevens probeert te stelen.
De phishing komt via e-mail, sms en soms via chatapps. Criminelen gebruiken herkenbare logo’s en opmaak van het CJIB. Ook domeinnamen lijken echt, met subtiele afwijkingen in spelling. Daardoor is de fraude lastiger te zien dan voorheen.
Op het moment van schrijven zijn geen officiële cijfers gepubliceerd over het aantal meldingen. Wel spreken politie en Fraudehelpdesk al langer van een stijging in betalingsfraude. Deze golf past in dat patroon. De impact is vooral groot bij mensen die recent een echte boete verwachten.
Mogelijke link met Odido-lek
De toename kan samenhangen met het datalek bij Odido. Bij zo’n lek komen vaak namen, e-mailadressen en telefoonnummers vrij. Criminelen combineren die met openbare bronnen om berichten persoonlijker te maken. Dat vergroot de kans dat slachtoffers klikken.
De telecomsector valt onder strenge beveiligingsnormen. Bij een datalek geldt onder de AVG een meldplicht binnen 72 uur aan de Autoriteit Persoonsgegevens (AP) en, waar nodig, aan klanten. Op het moment van schrijven loopt het onderzoek naar aard en omvang van het incident. Het is nog niet publiek bevestigd welke datasets precies zijn buitgemaakt.
Zelfs zonder volledige datasets is misbruik mogelijk. Een enkel juist detail – bijvoorbeeld de juiste aanhef of het klantnummer – wekt vertrouwen. Zo wordt een generiek phishingbericht een gerichte aanval. Dat heet ook wel “spearphishing”.
AI maakt phishing overtuigender
Criminelen zetten steeds vaker generatieve kunstmatige intelligentie in, zoals grote taalmodellen (LLM’s) GPT-4 van OpenAI of Gemini van Google. Zulke modellen maken snel foutloze Nederlandse teksten en geloofwaardige e-mailsjablonen. Ze bootsen ook toon en stijl van overheidscommunicatie na. Daardoor vallen klassieke taalfouten weg als alarmsignaal.
AI-tools kunnen ook logo’s opschalen en lay-outs aanpassen, waardoor valse betaalpagina’s professioneler ogen. Beeld- en tekstanalyse door slachtoffers wordt zo moeilijker. Tegelijk gebruiken banken en overheid zelf ook algoritmen om fraude te detecteren. Die strijd is voortdurend en technologisch.
Er is op het moment van schrijven geen publiek bewijs dat AI specifiek is gebruikt in deze CJIB-phishinggolven. De trend in cybercrime wijst er wel op dat drempels lager worden. Templates, scripts en prompts circuleren in criminele fora. Daarmee kan elke nieuwe datadiefstal snel worden omgezet in misbruik.
Zo herkent u nepberichten
Het CJIB int verkeersboetes en strafrechtelijke geldvorderingen. Het stuurt officiële post via brief en via de Berichtenbox van MijnOverheid. Betalen kan via veilige kanalen, zoals MijnCJIB of met gegevens uit de officiële brief. Berichten via WhatsApp, Tikkie of losse QR-codes zijn verdacht.
- Klik niet op betaal-links en scan geen QR-codes uit e-mails of sms’jes.
- Controleer het afzenderadres en het webadres (URL) nauwkeurig.
- Log zelf in op MijnOverheid of MijnCJIB in plaats van op een meegestuurde link te klikken.
- Bel bij twijfel het officiële nummer van de organisatie, niet het nummer in de mail.
Het CJIB stuurt geen betaalverzoeken via QR-codes of betaal-links.
Heeft u toch betaald of gegevens gedeeld, neem direct contact op met uw bank. Meld de zaak bij de Fraudehelpdesk en bij de politie als er geld weg is. Het CJIB heeft daarnaast een pagina waar u valse berichten kunt doorgeven. Zo helpt u nieuwe slachtoffers te voorkomen.
NIS2 en AVG verhogen druk
De AVG verplicht organisaties tot dataminimalisatie, versleuteling en tijdige datalekmeldingen. Dit moet misbruik van gestolen data beperken. Voor telecom en andere vitale sectoren komt daar NIS2 bij, de Europese cybersecurityrichtlijn met zwaardere zorgplichten en mogelijke boetes. Nederland werkt aan nationale omzetting en handhaving, op het moment van schrijven nog in uitrol.
Overheden die AI inzetten voor fraudedetectie vallen onder de Europese AI-verordening. De regels brengen transparantie en risicobeoordelingen, met gevolgen voor overheid en ketenpartners. Dat moet misstanden en discriminatie door algoritmen voorkomen. Tegelijk blijft basisbeveiliging tegen simpele phishing cruciaal.
Voor burgers verandert vooral het advies: deel zo weinig mogelijk gegevens, en gebruik sterke, unieke wachtwoorden met multifactor-authenticatie. Voor bedrijven geldt: versnel detectie, segmentatie en loganalyse. Test ook regelmatig met phishing-simulaties en training. Zo verkleint u de kans op succesvolle aanvallen.
Wat dit nu betekent
Voor klanten die mogelijk in het Odido-lek zitten, neemt het risico op gerichte phishing toe. Extra alertheid op e-mails en sms-berichten over “boetes” is verstandig. Controleer elke betaalvraag via een tweede, officieel kanaal. Leg ook aan familieleden uit hoe deze fraude werkt.
Voor het CJIB en andere publieke diensten blijft heldere communicatie belangrijk. Duidelijke richtlijnen over betaalroutes en herkenbare domeinen helpen burgers kiezen. Een actueel overzicht van nepberichten op hun websites verlaagt de schade. Snelle samenwerking met banken en politie versnelt blokkades van fraudepagina’s.
Voor Odido en vergelijkbare bedrijven is het prioriteit om impact en datasets precies te duiden. Transparantie helpt klanten hun risico in te schatten. Goede monitoring en gerichte waarschuwingen beperken vervolgschade. Daarmee wordt ook voldaan aan de eisen van AVG en, steeds meer, NIS2.
