In Leopoldsburg is een verdachte van phishing op heterdaad aangehouden. Het doelwit was een vrouw van 79 jaar die zes uur aan de telefoon werd gehouden. De politie greep in tijdens de poging tot oplichting. De zaak laat zien hoe geraffineerd telefonische oplichting is en wat de Europese AI-verordening betekent voor overheid en bedrijven.
Telefonische phishing wordt geraffineerder
Criminelen gebruiken steeds vaker de telefoon om mensen te misleiden. Deze methode heet vishing: phishing via een gesprek. Slachtoffers krijgen vaak een verhaal over een “onveilige rekening” of “verdachte betaling”. De beller zegt namens een bank, pakketdienst of politie te spreken.
De druk wordt langzaam opgevoerd tijdens een lang gesprek. Zo blijft het slachtoffer aan de lijn en raakt in paniek. Soms lijkt het nummer op dat van de bank. Dat komt door nummerspoofing, waarbij de beller-ID nep wordt weergegeven.
Bij dit soort fraude spelen techniek én gedrag een rol. De techniek maakt het verhaal geloofwaardig. Het gedrag zorgt dat mensen toch codes delen of geld overmaken. Juist die combinatie maakt opsporing en preventie lastig.
AI vergroot overtuigingskracht oplichters
Generatieve kunstmatige intelligentie kan stemmen nabootsen en scripts schrijven. Tools zoals ElevenLabs en spraaktechnologie van OpenAI maken natuurlijke spraak aan vanuit tekst. Met een kort geluidsfragment kan een stem al overtuigend klinken. Dat vergroot het risico bij vishing, vooral als ook het telefoonnummer lijkt te kloppen.
De kwaliteit is niet altijd perfect, maar vaak “goed genoeg”. In rumoer of onder tijdsdruk horen slachtoffers kleine fouten niet. Criminelen combineren dit met gestolen persoonsgegevens voor extra geloofwaardigheid. Zo ontstaat een sterk verhaal dat lastig te doorzien is.
Tegelijk zetten banken en telecombedrijven ook AI in voor verdediging. Algoritmen letten op ongewoon gedrag, zoals vreemde transactietijden of nieuwe toestellen. Het blijft een kat-en-muisspel. Elke nieuwe truc vraagt om nieuwe tegenmaatregelen.
Vishing is telefonische phishing, waarbij oplichters zich voordoen als een bekende organisatie en vragen om toegangscodes of een geldoverschrijving.
EU-wetten sturen aanpak fraude
De Europese AI-verordening (AI Act) verplicht aanbieders van deepfake-technologie tot duidelijkheid over kunstmatige media. Dat helpt misbruik te beperken, al lost het vishing niet alleen op. Manipulatieve AI-toepassingen die mensen aantoonbaar schaden, vallen onder strenge regels of verbod. Dit geldt op het moment van schrijven gefaseerd in de komende jaren.
De AVG (GDPR) stelt eisen aan gegevensverwerking door banken en telecombedrijven. Denk aan dataminimalisatie, versleuteling en logging. Voice-data en metadata zijn persoonsgegevens en vergen zorgvuldige bescherming. Overtredingen kunnen hoge boetes opleveren.
Voor betalingen geldt PSD2 met sterke klantauthenticatie. Banken mogen geen codes per telefoon vragen en moeten klanten hierover blijven informeren. In veel gevallen is een “geautoriseerde” betaling juridisch lastig terug te draaien. Dat maakt preventie en snelle melding cruciaal voor burgers en instellingen.
Toezichthouders zoals de Nederlandse ACM en het Belgische BIPT eisen maatregelen tegen nummermisbruik. Providers werken aan filtering en authenticatie van beller-ID. Internationale standaarden zoals STIR/SHAKEN worden verkend, al verschilt de invoering per land. Het doel is minder spoofing en beter herleidbare oproepen.
Banken verscherpen digitale controles
Grote banken zoals ING, Rabobank en KBC gebruiken al jaren machinelearning voor fraudedetectie. Systemen analyseren gedragspatronen, toestelkenmerken en locatie. Bij vermoedens volgt extra verificatie of een tijdelijke blokkade. Zo wordt schade beperkt zonder alle klanten te hinderen.
Toch zijn “geautoriseerde” oplichtingen lastig te stoppen. De klant voert zelf de opdracht in en doorloopt sterke authenticatie. Daarom testen banken extra waarschuwen in de app en vertraging bij risicovolle overboekingen. Dat geeft tijd om te heroverwegen of contact op te nemen met de bank.
Samenwerking met politie en sectorspecialisten blijft belangrijk. Delen van indicatoren en nieuwe modus operandi versnelt reactie. Op het moment van schrijven lopen binnen de EU diverse publiek-private projecten. Ze richten zich op snellere detectie en betere voorlichting.
Burgers kunnen risico beperken
Hang op en bel zelf terug via het bekende nummer van uw bank. Deel nooit inlogcodes, pincode of verificatiecodes via telefoon, e-mail of chat. Een echte bank vraagt daar niet om. Twijfelt u, blokkeer direct uw betaalmiddelen in de app.
Meld pogingen bij uw bank en bij nationale meldpunten. In België is dat Safeonweb.be; in Nederland de Fraudehelpdesk.nl. Sla deze adressen op en deel ze met familie. Zo herkent u en uw omgeving verdachte signalen sneller.
Zet app-waarschuwingen aan en beperk daglimieten. Gebruik waar mogelijk biometrie, zoals vingerafdruk of gezichtsherkenning, als extra laag. Bespreek met oudere familieleden hoe vishing werkt. Een kort belscript aan de koelkast helpt om rustig te blijven en op te hangen.
