Een Vlaamse columniste werd deze week slachtoffer van een geraffineerde phishingaanval. Ze ontving een e-mail van wat leek op een Telenet-adres, met een factuur die precies op het origineel leek. De betaling ging naar criminelen, zonder dat ze iets doorhad. Het incident laat zien hoe overtuigend digitale fraude is geworden en werpt tegelijk vragen op over de Europese AI-verordening en de gevolgen voor overheid en telecom.
Phishing wordt overtuigender
Criminelen kopiëren vandaag moeiteloos de huisstijl en toon van bekende merken zoals Telenet, Proximus, KPN en Ziggo. Ze gebruiken lookalike-adressen of vervalsen de afzendernaam, zodat de mail lijkt te komen van het echte domein. De bijgevoegde factuur is vaak een perfecte kopie, inclusief logo’s, kleuren en klantnummer. Zo verdwijnt het klassieke rode vlaggetje van taalfouten of slordig ontwerp.
Het doel is altijd hetzelfde: de ontvanger snel laten betalen naar een rekening van de daders. Soms staat er tijdsdruk in de tekst, bijvoorbeeld door te dreigen met afsluiting of extra kosten. Ook linkjes en QR-codes sturen naar een valse betaalpagina die echt oogt. Op mobiel is de controle extra lastig, omdat afzenderdetails en webadressen minder duidelijk zichtbaar zijn.
Het vertrouwen in een bekend merk werkt in het voordeel van de oplichter. Veel mensen bewaren eerdere facturen in hun mailbox en vergelijken niet actief. Factuurnummers, bedragen en datum lijken logisch, waardoor twijfel verdwijnt. Zo ontstaat een “vertrouwde context” waarin mensen sneller klikken en betalen.
AI vergroot de schaal
Taalmodellen zoals ChatGPT van OpenAI en Gemini van Google maken foutloze teksten in elke stijl en taal. Criminelen kunnen daarmee overtuigende Nederlandstalige e-mails schrijven, zonder spel- of grammaticafouten. Beeldtools zetten er gelikte visuals en factuursjablonen bij. Het resultaat is een overtuigende e-mailstroom die bijna niet te onderscheiden is van echt.
Daarnaast helpt AI bij het verzamelen en ordenen van publiek vindbare gegevens. Denk aan namen, klantnummers uit gelekte datasets en recente gebeurtenissen die druk zetten, zoals een lopende overstap. Ook stemklonen (software die iemands stem nabootst) kunnen telefonische “verificatie” geloofwaardiger maken. Open-source modellen, zoals Meta’s Llama, verlagen bovendien de drempel om dit te misbruiken.
Tegelijk gebruiken maildiensten zelf ook algoritmen om phishing te filteren. Die filters leren van patronen en blokkeren veel rommel automatisch. Maar het blijft een kat-en-muisspel: zodra regels worden aangescherpt, passen aanvallers hun tactiek aan. Geen enkel filter is daarom 100% waterdicht.
Phishing is het misleiden van mensen om geld of gegevens af te troggelen, vaak via een e-mail of website die lijkt te komen van een vertrouwde organisatie.
E-mailbeveiliging schiet tekort
E-mailstandaarden SPF, DKIM en DMARC (controles of een afzender echt is) verminderen spoofing, maar lossen het probleem niet volledig op. Niet elke organisatie heeft DMARC met een streng “reject”-beleid actief. Doorsturen via andere servers kan controles breken en lookalike-domeinen omzeilen de bescherming. Daardoor komt een deel van de valse berichten nog steeds in de inbox.
Visuele zekerheid, zoals het BIMI-logo in sommige mailboxen, helpt alleen als de domeinbeveiliging klopt. Op smartphones is de weergave beperkt en vallen subtiele waarschuwingen minder op. QR-codes verbergen het werkelijke webadres, waardoor mensen niet zien waar ze betalen. Ook bij PDF-facturen is het lastig om een nep-IBAN te herkennen.
Twee-factor-authenticatie beschermt accounts, maar niet losse overboekingen naar criminelen. Als geld eenmaal is verzonden, is terughalen moeilijk of traag. In Nederland helpt de IBAN-Naam Check om vergissingen te voorkomen, maar die is niet waterdicht tegen opzet. Nieuwe of “meesurfende” rekeningen kunnen toch door controles glippen.
Wetgeving biedt deels houvast
De AVG verplicht bedrijven tot dataminimalisatie en goede beveiliging. Dat is belangrijk, want gelekte klantgegevens voeden gerichte phishing. Toezichthouders zoals de Autoriteit Persoonsgegevens (NL) en Gegevensbeschermingsautoriteit (BE) kunnen boetes opleggen bij nalatigheid. Dit zet organisaties aan om hun processen te verbeteren.
NIS2 legt strengere eisen op aan vitale en belangrijke organisaties, waaronder telecom en digitale infrastructuur. Zij moeten risico’s beheersen en incidenten snel melden. De richtlijn moet uiterlijk oktober 2024 in nationale wetgeving staan; in Nederland en België loopt de invoering op het moment van schrijven. Dat kan de weerbaarheid tegen grootschalige phishingcampagnes vergroten.
De Europese AI-verordening (AI Act) komt gefaseerd in 2024–2026 en richt zich op aanbieders en gebruikers van AI-systemen. Ze eist onder meer transparantie rond deepfakes en strengere regels voor hoog-risico-toepassingen. Crimineel misbruik valt niet onder normale conformiteitseisen, maar handhaving bij platforms en toolaanbieders kan misbruik bemoeilijken. Voor overheden betekent dit dat inkoop en gebruik van AI scherper getoetst moeten worden.
Daarnaast verplicht de Digital Services Act platforms om sneller op te treden tegen frauduleuze advertenties en accounts. Snelle verwijdering van phishingdomeinen en valse profielen helpt de schade beperken. Toch blijft internationale afstemming nodig voor hosting en betaalstromen. Zonder die ketensamenwerking blijven daders makkelijk uitwijken.
Praktische stappen voor burgers
Betaal facturen bij voorkeur via het klantportaal of de officiële app van de aanbieder. Ga niet via links of QR-codes in e-mails, maar navigeer zelf naar de website. Klopt een e-mail wel met uw laatste echte factuur en betaalmethode? Twijfel is een signaal om te pauzeren.
Controleer het rekeningnummer en vergelijk dit met eerdere betalingen. Bel de klantenservice via het nummer op de officiële website, nooit via een mail- of sms-link. In Nederland helpt de IBAN-Naam Check bij banken om een verkeerde naam te detecteren. Tijd- of dreigemententaal is een bekende truc: neem juist dan extra tijd.
Meld verdachte berichten in België via verdacht@safeonweb.be en in Nederland via valse-email@fraudehelpdesk.nl. Waarschuw ook uw bank direct; soms is terugboeking nog mogelijk. Verander wachtwoorden als u op een link hebt geklikt en deelt u zo min mogelijk persoonlijke gegevens. Doe aangifte bij de politie bij financiële schade.
Bedrijven moeten proactief zijn
Implementeer SPF, DKIM en DMARC met een strikt “reject”-beleid en monitor actief op lookalike-domeinen. Overweeg BIMI voor visuele herkenning bij klanten met ondersteunde mailboxen. Versleutel e-mailtransport en zorg voor duidelijke afzendernamen en domeinen. Werk samen met hosting- en mailproviders om misbruik snel te blokkeren.
Verleg betalingen zoveel mogelijk naar het beveiligde klantportaal. Voorzie facturen van een unieke verificatiecode die klanten in de app kunnen checken. Wijzig nooit een IBAN via e-mail en communiceer dit beleid zichtbaar naar klanten. QR-codes moeten verwijzen naar het eigen domein en een controleerbare, korte URL tonen.
Publiceer voorbeeldmails en strikte communicatieafspraken op de website, en update die regelmatig. Waarschuw actief via nieuwsbrieven en sociale media bij lopende phishinggolven. Train medewerkers op social engineering, ook in het contactcenter. Interne meldpunten en snelle respons verkleinen de schade.
Deel dreigingsinformatie via sectorale ISAC’s en meld incidenten bij CERT.be of het Nationaal Cyber Security Centrum (NL). Volg richtlijnen van ENISA voor e-mail- en factuurbeveiliging. Werk met banken en betaalproviders aan snellere blokkades van malafide rekeningen. Zo verklein je het speelveld voor aanvallers, nog vóórdat de klant in beeld komt.
