Oplichters gebruiken in Nederland een nieuwe truc rondom een zogenoemd ‘noodpakket’. Ze sturen berichten en bellen om mensen onder druk te zetten en geld of persoonlijke data los te krijgen. Dit speelt online en via de telefoon, de afgelopen weken. De angst om steun te missen wordt misbruikt, met duidelijke gevolgen voor consumenten en — via Europese digitalisering — ook voor het bedrijfsleven.
Noodpakket als lokaas
Criminelen verwijzen naar een niet-bestaand of vaag ‘noodpakket’ en beloven snelle compensatie. Ze doen zich voor als Rijksoverheid, Belastingdienst of een bank, en gebruiken termen die vertrouwen wekken. Vaak gaat het om sms, e-mail of WhatsApp-berichten met een link. Soms volgt een telefoontje dat het verhaal versterkt en de druk opvoert.
De kern van de truc is eenvoud: klik, log in of betaal een klein bedrag om “je recht veilig te stellen”. Een nepsite kopieert de huisstijl van overheid.nl of een bankportaal en vraagt om inlogcodes. Ook kan gevraagd worden om DigiD-gegevens, wat toegang geeft tot overheidsdiensten. Daarmee krijgen oplichters controle over geld en persoonlijke informatie.
De onzekerheid rond toeslagen en koopkracht maakt mensen kwetsbaar. Wie twijfelt of hij geld misloopt, reageert sneller op tijdsdruk. Die psychologie — schaarste en urgentie — is precies wat de fraudeurs benutten. Een “laatste kans” of “vandaag verlopen” zet slachtoffers aan tot haast.
Druk en spoofing werken
De aanpak combineert smishing en spoofing. Smishing is phishing via sms of chat; spoofing is het vervalsen van een afzender of telefoonnummer. Hierdoor lijkt een bericht of oproep echt, bijvoorbeeld met ‘BelastingTelefoon’ in het scherm. Het doel is dat mensen op automatische piloot handelen.
Nepwebsites vragen vaak om een iDEAL-testbetaling van enkele centen. Dat klinkt onschuldig, maar leidt naar invoer van bankinloggegevens. Soms vragen criminelen om het installeren van een hulpprogramma voor “ondersteuning”, zoals een schermdeel-app. Daarmee kunnen ze live meekijken en betalingen autoriseren.
Officiële instanties delen nooit links om in te loggen en vragen niet om DigiD-codes via e-mail, sms of telefoon. DigiD is het digitale inlogsysteem van de overheid; inloggen gebeurt alleen via digid.nl of de DigiD-app. Ook banken als ING, Rabobank en ABN AMRO vragen niet om codes of om schermdelen. Berichten hierover zijn een duidelijke rode vlag.
Platforms moeten fraude weren
Online platforms en hostingdiensten vallen onder de Digital Services Act (DSA). Die Europese wet vereist dat aanbieders misleidende advertenties, nepaccounts en schadelijke links sneller aanpakken. Grote platforms moeten risico’s op fraude beoordelen en maatregelen nemen. Dat omvat onder meer betere meldknoppen, snellere verwijdering en transparantie over handhaving.
Voor betalingen geldt PSD2, de Europese betaalrichtlijn met sterke klantauthenticatie (SCA). Die extra stap helpt tegen technische misbruikpogingen, maar niet tegen slimme babbeltrucs. Bij social engineering verleiden criminelen mensen om zélf goedkeuring te geven. Dat blijft een lastige zwakke plek in de keten.
In Nederland houdt de Autoriteit Consument & Markt toezicht op oneerlijke handelspraktijken. De Autoriteit Persoonsgegevens ziet toe op de AVG, die dataminimalisatie en beveiliging voorschrijft. Bedrijven die klantdata verwerken, moeten hun processen en meldroutes op orde hebben. Het niet snel verwijderen van nepcontent kan onder de DSA tot sancties leiden.
Bescherm DigiD en bankapp
Log nooit in via links uit e-mail of sms, ook niet bij ogenschijnlijk vertrouwde afzenders. Gebruik favorieten of typ zelf het adres van digid.nl, overheid.nl of je bank. Controleer het webadres en het slotje in de browser. Raadpleeg voor overheidsberichten altijd de Berichtenbox van MijnOverheid.
Deel geen codes, niet via telefoon, niet via chat. Installeer geen software op verzoek van een “medewerker”, hoe vriendelijk of dwingend ook. Zet pushmeldingen in bankapps aan, zodat je autorisaties direct ziet. Gebruik waar mogelijk biometrie en sterke, unieke wachtwoorden.
Smishing is phishing via sms of chat: klik niet op links en log nooit in via een ontvangen bericht.
Twijfel je? Hang op en bel zelf het officiële nummer van de organisatie. Zoek het nummer via de eigen website, niet via een link in het bericht. Controleer bij banken transacties in de app en zet desnoods je pas tijdelijk uit. Snel handelen beperkt de schade.
Melden en herstelacties
Is er geld verdwenen of heb je gegevens gedeeld? Neem direct contact op met je bank en laat je rekening en betaalmiddelen blokkeren. Wijzig wachtwoorden en zet waar mogelijk sessies uit. Bel daarna met DigiD om je account te controleren of te laten blokkeren.
Meld de fraude bij de politie en bij de Fraudehelpdesk, zodat patronen zichtbaar worden. Deel het bericht of het telefoonnummer in de melding, inclusief screenshots. Dat helpt ook platforms om nepaccounts en valse advertenties te verwijderen. Bedrijven kunnen intern een security-team of CISO laten beoordelen of er extra risico’s zijn.
Op het moment van schrijven verbeteren banken de IBAN-Naam Check en transactiemonitors om verdachte betalingen te herkennen. Toch blijft eigen alertheid essentieel. Europese regels zoals de DSA helpen de aanvoer van frauduleuze content te beperken, maar nemen de sociale druk niet weg. Blijf daarom kritisch bij elk “noodpakket” dat via een link of belletje komt.