Cybercriminelen sturen op dit moment valse e-mails uit naam van Engie en Fluvius in België. Ze beloven een “energiepremie”, maar leiden naar nagemaakte betaalpagina’s die bankrekeningen leegtrekken. De campagne speelt in op hoge energiekosten en verwarring over steunmaatregelen. Het roept ook vragen op over veiligheid en de Europese AI-verordening: gevolgen overheid en bedrijven.
Energiepremies als lokaas
De nepberichten gebruiken logo’s en kleuren van Engie en Fluvius en zetten druk met een korte deadline. Een knop “premie aanvragen” leidt naar een website die sterk op de echte lijkt. Daar volgt een formulier met persoonlijke vragen en een verzoek om bankgegevens te “verifiëren”. Zo krijgen daders toegang tot betalingen of machtigingen.
De afzender en domeinnaam lijken echt, maar zijn subtiel anders. Dit heet spoofing: het vervalsen van een afzender of domein om vertrouwen te winnen. De link kan een kleine spelfout bevatten of een ongewoon subdomein. Let ook op onlogische bedragen of vage referenties.
Phishing is het misleiden van mensen om inlog- of bankgegevens te delen via valse berichten en websites.
Energiebedrijven zijn aantrekkelijk voor fraudeurs, omdat bijna iedereen klant is of afhankelijk van de netbeheerder. Engie is een commerciële leverancier, Fluvius beheert het netwerk en heeft gezag. Die naamsbekendheid wekt snel vertrouwen. Echte premies of compensaties lopen meestal via overheidssites en niet via links in e-mail.
Professioneler door AI-tools
De berichten vallen op door foutloos Nederlands en een overtuigende toon. Generatieve AI, software die automatisch tekst schrijft, maakt dat eenvoudig. Criminelen kunnen zo geloofwaardige varianten maken voor Vlaanderen en Nederland. Ook persoonlijke details uit eerdere datalekken vergroten de kans op een klik.
Taalmodellen kunnen in minuten honderden sjablonen produceren. Ze testen welke teksten spamfilters passeren en welke het meest worden aangeklikt. Met zogeheten phishingkits, kant-en-klare pakketten met formulieren en huisstijl, zetten ze snel nieuwe campagnes op. Zo ontstaat een stroom aan steeds net andere berichten.
Verdediging is een kat-en-muisspel. Maildiensten gebruiken ook algoritmen om patronen te herkennen en verdachte links te blokkeren. Toch glipt een deel door, vooral als het bericht nieuw of goed gepersonaliseerd is. Menselijke oplettendheid blijft dus cruciaal.
Beelden en lay-out worden vaak één-op-één gekopieerd van echte sites. Daardoor lijkt alles vertrouwd, van lettertype tot klantenservice-icoon. Een kleine afwijking in de URL verraadt de fraude. Controleer die altijd vóór u inlogt of betaalt.
Beveiliging omzeild via mens
Banken eisen onder PSD2 sterke klantauthenticatie, meestal twee stappen zoals app en biometrie. Fraudeurs omzeilen dit door mensen te laten goedkeuren “ter verificatie”, soms voor 1 cent. In feite keurt het slachtoffer dan een echte betaling of machtiging goed. Dat heet social engineering: misleiding van mensen in plaats van het kraken van techniek.
QR-codes en betaalverzoeken worden misbruikt om snelheid te forceren. De tekst zegt dan dat de “premie” pas na een kleine check vrijkomt. Elke vorm van haast of dreiging is een waarschuwingssignaal. Neem de tijd en verifieer via de officiële app of website.
Als een betaling is goedgekeurd, is terughalen lastig. Banken beoordelen per geval of er sprake is van oplichting en zorgplicht. Er is geen automatische garantie op terugbetaling. Bel direct uw bank en laat rekeningen en apps tijdelijk blokkeren.
Bewaar ook e-mails en links als bewijs voor aangifte. Meld de poging bij Safeonweb (België) of de Fraudehelpdesk (Nederland). Zo kunnen domeinen sneller offline. Anderen worden dan eerder gewaarschuwd.
Plichten voor energiebedrijven
Leveranciers en netbeheerders kunnen hun merk beter beschermen met technische standaarden. Denk aan SPF, DKIM en DMARC om misbruik van hun domeinen te blokkeren. Ook BIMI kan helpen, waarbij een gecontroleerd logo in de mailbox verschijnt. Belangrijk is dat communicatiebeleid duidelijk stelt: geen bankgegevens via e-mail, nooit.
Fluvius valt als netbeheerder onder de NIS2-richtlijn voor essentiële diensten. Die verplicht tot streng risicobeheer, incidentmelding en weerbaarheid tegen phishing. Implementatie in EU-landen loopt tot 2024–2025, op het moment van schrijven. Proactieve waarschuwingen en zichtbare beveiligingsmaatregelen horen daarbij.
Onder de AVG moeten organisaties dataminimalisatie toepassen en versleuteling gebruiken. Bij misbruik van klantnamen of nummers is transparante communicatie nodig, ook als er geen eigen datalek is. Publiceer een vaste pagina “herken valse mails” met voorbeelden en controle-links. Dat verlaagt de drempel voor klanten om zelf te checken.
Beperk het aantal officiële domeinen en subdomeinen. Registreer bekende varianten om misbruik te voorkomen. Werk met eID-middelen zoals itsme of DigiD, maar alleen via zelf ingetypte adressen. Zo wordt het kanaal helder en voorspelbaar.
AI-verordening: gevolgen overheid
De Europese AI-verordening (AI Act) eist transparantie bij synthetische media, zoals deepfakes. Phishing valt er niet direct onder, maar AI-gegenereerde content moet in sommige gevallen herkenbaar zijn. Overheden kunnen deze regels gebruiken in aanbestedingen en eigen communicatie. Dat maakt misleiding lastiger in publieke diensten.
De Digital Services Act verplicht platforms om sneller op te treden tegen fraudeberichten en -advertenties. Registrars en hostingproviders in de EU moeten meewerken aan snelle takedowns. Dit helpt bij phishingdomeinen die zich richten op Europese merken. Samenwerking met CERT’s en toezichthouders versnelt het proces.
In Nederland en België geldt: subsidies en compensaties lopen via officiële portalen. Toegang verloopt via erkende inlogmiddelen, niet via links in e-mail. Centrale, eenduidige processen beperken de speelruimte voor oplichters. Heldere waarschuwingen op gemeente- en rijkssites zijn daarom essentieel.
Voor burgers blijft één regel hoofdzaak: vertrouw alleen het kanaal dat u zelf opent. Type het webadres, gebruik de officiële app, en log niet in via ontvangen links. Twijfelt u, bel de organisatie via een publiek bekend nummer. Zo verkleint u het risico op schade.
Wat je nu kunt doen
Controleer altijd de afzender en vooral de URL achter knoppen. Type het adres van Engie, Fluvius of uw bank zelf in. Vraag uzelf af: verwacht ik dit bericht echt, en klopt de timing? Bel bij twijfel de organisatie via het nummer op de officiële website.
Heeft u gegevens ingevuld of iets goedgekeurd, bel meteen uw bank. Laat betaalmiddelen en apps blokkeren en wijzig wachtwoorden. Meld de e-mail bij Safeonweb (BE) of Fraudehelpdesk (NL). Doe aangifte bij de politie met de verzamelde informatie.
Verhoog uw basisbescherming met een wachtwoordmanager en tweestapsverificatie op e-mail en bank. Update telefoon en browser voor de nieuwste beveiliging. Zet waarschuwingen aan voor transacties in uw bankapp. Leer huisgenoten en collega’s dezelfde signalen herkennen.
- Klik niet op links in onverwachte e-mails over “premies”.
- Controleer domeinen: kleine spelfouten of extra woorden zijn verdacht.
- Voer nooit bank- of pincodegegevens in na een e-mailverzoek.
- Gebruik alleen de officiële app of een zelf getypte URL.
- Meld phishing direct bij Safeonweb (BE) of Fraudehelpdesk (NL).
