Mobiel bankieren is inmiddels bij alle banken mogelijk. Handig en snel, want card-readers en TAN-codes zijn dan overbodig. U kunt internetbankieren en zelfs contactloos afrekenen met uw smartphone. Maar is het ook veilig? En hoe zit het met contactloos betalen met de pinpas?
Inloggen en geld overmaken met de mobiele app
Mobiel bankieren is geldzaken regelen via een app op uw tablet of smartphone. Anders dan bij internetbankieren doorloopt u geen 2-stapsverficatie: inloggen op de website en een unieke code invoeren die via SMS of cardreader beschikbaar is. Nee, de mobiele app werkt met maar 1 stap: met een een 4-, 5- of 6-cijferige mobiele pincode invoeren. De beveiliging is dus lager, en mede daardoor zijn de mogelijkheden ook beperkter. De meeste mobiele apps hanteren een lagere grens van wat u maximaal mag overmaken, dit verschilt per bank.
Ook zijn er een aantal banken waar u standaard alleen geld kunt overmaken naar bekende rekeningnummers, dus mensen die in uw adresboek staan, en nummers waar in de afgelopen periode al geld naar is overgemaakt via internetbankieren. Deze beperkingen worden wel langzaamaan minder naarmate de tijd vordert.
Andere mogelijkheden
Naast het controleren van uw saldo en het overmaken van geldbedragen bieden de apps van banken vaak andere mogelijkheden, zoals het inzien van creditcards en spaarrekeningen. Bij een groot aantal banken kunt u een incasso terugboeken, of uw giropas blokkeren in geval van diefstal. Ook kunt u uw pas aanzetten voor betalen buiten Europa, contactloos betalen aan- en uitzetten en de limieten verhogen en verlagen.
En dan nu de hamvraag: is het veilig?
Smartphones zijn zelden voorzien van een virusscanner en een TAN-code of cardreader is niet nodig. Is het dan wel veilig? Kunnen mensen de gegevens niet van uw telefoon stelen?
Het korte antwoord: ja, het is in principe net zo veilig als bankieren via de PC. Sterker nog, apps hebben op vlak van veiligheid een streepje voor omdat ze volledig door de bank zelf zijn geschreven. De code die achter apps zit, is veel diverser en specialistischer dan bij de websites die u via een browser laadt. Ze zijn dus juist moeilijker te hacken. Die variatie maakt de vertaalslag voor de cybercrimineel moeilijker en zorgt ervoor dat deze het vaak niet waard acht om voor één bepaalde applicatie een virus (malware) te gaan schrijven. Het is minder inspannend en winstgevender voor een crimineel om te proberen computers te hacken dan een telefoon.
Maar het hangt in hoge mate af van hoe u er zelf mee omgaat. Houd altijd het volgende in gedachten:
- Controleer uw bankrekening regelmatig. Eventuele vreemde of onterechte afschrijvingen heeft u dan snel in de gaten.
- Download altijd de nieuwste en officiële versie van de app via de App Store of Google Play Store
- Kies een pincode die niet makkelijk te raden is. Gebruik bijvoorbeeld niet uw geboortedatum
- Beveilig ook de smartphone zelf met een pincode
- Gebruik geen openbaar wifi-netwerk. Ook geen beveiligd netwerk. Doe het liever via 4/5G of uw wifi thuis
- Sluit de sessie altijd af na gebruik
- Installeer geen illegale apps op uw telefoon
- Verlaag het maximaal overboekbare bedrag. Gaat er iets mis, dan blijft de schade beperkt
- Trap niet in phishing-mails. In zo'n mail wordt u gevraagd op een link te klikken, zodat u op een nepwebsite komt die erg lijkt op de site van de bank. Op die website wordt u meestal gevraagd om uw gegevens en uw beveiligingscodes in te vullen
Contactloos betalen met een app op de smartphone
U kunt tegenwoordig ook betalen door uw smartphone tegen de betaalautomaat aan te houden. Banken bieden ook apps aan waarmee dit mogelijk is.
Betalen met de smartphone is relatief veilig. Het is dan wel belangrijk om de telefoon te beveiligen met bijvoorbeeld een pincode, wachtwoord of patroon. Voordat u de betaling uitvoert, moet u op uw mobiel een pincode invoeren. Zodra u dit heeft gedaan, gaat de klok tikken: u heeft 30 seconden om de betaling te voltooien. Houd uw telefoon even bij de betaalmachine en klaar is Kees. U kunt trouwens die pincode vaak ook uitzetten (voor transacties tot 50 euro) maar dat brengt natuurlijk risico's met zich mee. Maar zoals gezegd, als u uw telefoon toch beveiligt is er alsnog weinig aan de hand bij diefstal.
Dit kan met vrijwel iedere moderne telefoon, vanaf grofweg de generatie Samsung Galaxy S4 of Galaxy Note 3 en Apple iPhone 6 of nieuwer. De telefoon heeft een Near Field Communication (NFC) chip nodig. Check bij de fabrikant of uw telefoon aan deze eisen voldoet. Maar ook in een nieuwe SIMkaart wordt tegenwoordig standaard een NFC geplaatst, dus u hoeft niet eens een nieuw toestel te kopen. Vervolgens kunt u bij uw bank de app downloaden.
Het 'gevaar' van betalen met je smartphone zit hem in de kwetsbaarheid van software, zowel Android als de app. In onveilige apps, kon een aanvaller bijvoorbeeld het rekeningnummer van de ontvanger wijzigen. Tegenwoordig zou het echter een stuk veiliger zijn geworden.
Contactloos betalen met de pinpas
Bij contactloos betalen rekent u af door de betaalpas tegen de betaalautomaat te houden, zonder op een toets te drukken. Bedragen lager dan 25 euro rekent u af zonder pincode. Betalingen worden direct van de betaalrekening afgeschreven. Bedragen hoger dan 25 euro rekent u af met pincode.
U kunt niet meer dan 25 euro per keer afrekenen zonder pincode, en een limiet van 50 euro in korte termijn zonder pincode. Koopt u een worstenbroodje op het station van 1 euro, dan kan dit 50 keer. Bij de 51e poging moet u een pincode invoeren, tot de volgende 50 euro.
Hoe veilig is het?
Veilig, zo blijkt in de praktijk. Theoretisch bestaat de mogelijkheid om 25 tot 50 euro verliezen als u in fysiek contact komt met vreemden die kwaad in de zin hebben. Iemand met de juiste apparatuur die 'per ongeluk' tegen u opbotst. Dit alles bleek uit een test van de Consumentenbond.
Maar in de praktijk is dit tot op heden nooit gebeurd, stelt Betaalvereniging Nederland. Sterker nog: volgens de betaalvereniging draagt contactloos betalen juist bij aan de veiligheid. Want veruit de meeste schade door fraude met betaalpassen ontstaat door ouderwets shoulderen: eerst de pincode afkijken en daarna de betaalpas stelen. Met pincode en betaalpas kan de dief zijn gang gaan tot de betaalpas wordt geblokkeerd. Contactloos betalen helpt om juist die dominante vorm van fraude terug te dringen.
Sommige banken (zoals ABN Amro) verstrekken wel een speciaal hoesje om passen te beschermen tegen contactloos zakkenrollen. Bij bijna alle banken kunt u bovendien de functie van contactloos betalen met de pinpas aan- en uitzetten. Dat kan telefonisch en via internetbankieren.
Bron: youtube.com, consumentenbond.nl, plusonline.nl
Bekijk alle vormen en begrippen
Inschrijven voor wekelijkse nieuwsbrief
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met de politie. Telefonisch via het nummer 0900-8844 of online via het meld formulier. Uiteraard kunt u daarnaast ook tips melden bij Cybercrimeinfo.
Meer actueel cybercrime nieuws
Phishing van eigen kredietbank, Ivanti Sentry misbruikt
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van donderdag 11 en vrijdag 12 juni. Cliënten van Kredietbank Limburg kregen phishingmails die werkelijk van hun eigen kredietbank kwamen, het kritieke lek in Ivanti Sentry ging in één dag van een waarschuwing van het NCSC naar bevestigd misbruik met een spoeddeadline van CISA, en een internationale politieactie ontmantelde de witwasdienst AudiA6 die ruim 380 miljoen dollar aan criminele opbrengsten verwerkte. Daarnaast bevestigt een universiteit 454.600 getroffen studenten in de PeopleSoft campagne van ShinyHunters, en toont onderzoek van Anthropic dat AI de tijd tussen patch en werkende exploit terugbrengt van weken naar uren. We lopen het thema voor thema langs.
Check Point VPN met Qilin, phishing bij Vlaamse hotels
In deze aflevering van het Cyber Journaal kijken we naar het nieuws van dinsdag 9 en woensdag 10 juni. Een kritiek lek in de VPN van Check Point wordt actief misbruikt en mondt in minstens één geval uit in Qilin ransomware, bijna honderd Vlaamse hotels worden getroffen door phishing met betaalverzoeken die tot in detail kloppen, en een internationale politieactie haalt de criminele dienst First VPN offline. Daarnaast zien we een recordronde patches van Microsoft, een autonome agent die eigenhandig kwetsbaarheden vindt, en aanvallers die zich steeds vaker richten op de mensen die software bouwen. We lopen het thema voor thema langs.
Pink kaapt Microsoft 365 via telefoon, datalek Epe
In deze aflevering van het Cyber Journaal kijken we terug op het weekend van zaterdag 6 tot en met maandag 8 juni. Een nieuwe afpersgroep steelt bedrijfsdata uit Microsoft 365 zonder ook maar één regel malware, een Nederlandse gemeente verloor honderden gigabytes aan persoonsgegevens en boven Europa lijkt een Russische satelliet het navigatiesignaal te verstoren. Daarnaast zien we beveiligingssoftware die blijft draaien maar stilvalt, een reeks actief misbruikte kwetsbaarheden in netwerkapparatuur, en flinke resultaten in de opsporing. We lopen het thema voor thema langs.
Verdachte gezocht na babbeltruc bij 76-jarige in Rotterdam
Een 76-jarige Rotterdammer raakte zijn bankpas en pincode kwijt nadat oplichters zich voordeden als zijn bank en als de politie. De politie zoekt de man die daarna met de pinpas geld opnam en op camerabeelden staat.
Mailboxspionage en Cisco SD-WAN actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van donderdag 4 en vrijdag 5 juni centraal. Aanvallers lazen vijf maanden lang ongezien mee in de mailbox van een beursdirecteur en sluisden de inhoud weg via vertrouwde clouddiensten. In Nederland en België blijven hotelgasten en bankklanten doelwit van fraude die naadloos aansluit op de werkelijkheid. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden kwetsbaarheden in netwerkapparatuur en WordPress actief misbruikt, en zien we beweging in opsporing, spionage en het beleid rond digitale soevereiniteit. We lopen het thema voor thema langs.
Datalek hotelsector, Windows NETLOGON actief misbruikt
In deze aflevering van het Cyber Journaal staan de dagen van dinsdag 2 en woensdag 3 juni centraal. Koninklijke Horeca Nederland waarschuwt voor een breed datalek in de hotelsector, waarbij gestolen reserveringsgegevens gasten bereiken via geloofwaardige phishing. In Den Bosch onderzoekt de overheid een mogelijk datalek bij de gevangenis van Vught dat niet door een hack ontstond, maar door een overgeslagen procedure. Tegelijk staat de toeleverketen van software opnieuw onder druk, worden twee kritieke lekken in Windows en Android actief misbruikt, en zien we beweging in opsporing, hacktivisme en spionage. We lopen het thema voor thema langs.
Meta AI lek kaapt Instagram, vier Benelux datalekken
In het weekend van 30 en 31 mei en op maandag 1 juni 2026 stond kunstmatige intelligentie centraal als nieuw aanvalsoppervlak. Een lek in de digitale assistent Meta AI maakte het mogelijk om Instagramaccounts over te nemen, zelfs met tweefactorauthenticatie, waarbij het gearchiveerde Instagramaccount van het Witte Huis uit de regeringsperiode van Barack Obama het bekendste slachtoffer was. Tegelijk verschenen op cybercrimefora vermeende datasets van vier grote organisaties uit Nederland en België, waaronder het Utrechtse BCD Travel en het grootste Belgische ziekenfonds. De opsporing boekte een succes met de aanhouding van de beheerder van een van de grootste platforms voor gestolen data. Verder worden twee kwetsbaarheden in Palo Alto GlobalProtect en de WordPress plugin WP Maps Pro op dit moment actief misbruikt.
Cyberoorlog nieuws
Op deze pagina vind je actueel cyberoorlog nieuws over staatshackers, hybride dreigingen, digitale aanvallen op infrastructuur en geopolitieke cyberdreigingen die relevant zijn voor Nederland en België.
Opsporing nieuws
Op deze pagina vind je actueel opsporingsnieuws over cybercriminaliteit, arrestaties, politieonderzoeken, rechtszaken en internationale acties tegen cybercriminelen. De nadruk ligt op Nederland, België en relevante internationale zaken.
Zes Nederlandse darkweb vermeldingen, FortiClient misbruikt
In de periode van 27 tot en met 28 mei 2026 claimden meerdere dreigingsactoren op darkwebportalen dat zij toegang hadden verkregen tot gegevens van zes Nederlandse organisaties, waaronder een zorgvergelijker, een webshop voor vliegersartikelen en een hoveniersbedrijf. Beveiligingsonderzoekers van Arctic Wolf documenteerden actief misbruik van een kwetsbaarheid in FortiClient EMS, waarbij aanvallers via het eigen beheerkanaal van de managementserver een infostealer installeerden op verbonden endpoints. Sysdig publiceerde een analyse van de eerste volledig door een agent gestuurde aanval, waarbij een database werd gestolen in minder dan twee minuten. Verder haalde de Nederlandse politie samen met het NCSC het Asocks proxynetwerk offline, een botnet met 17 miljoen besmette apparaten waarvan 200 sturende servers in Nederland stonden.
Man gezocht na bankhelpdeskfraude bij 79-jarige in Velsen
Op 12 december 2025 ontving een 79-jarige man uit Velsen een sms met een alarmerende boodschap. Daarin stond dat iemand uit Rusland had geprobeerd geld van zijn bankrekening te halen. De sms bevatte een hulplijn waarop hij direct kon bellen.
Ajax hack Buren, NL ransomware en valse AI installaties
In de periode van 25 tot en met 26 mei 2026 werd een 35-jarige man uit Buren aangehouden als verdachte van de hack bij Ajax eerder dit jaar, waarbij gegevens van tienduizenden seizoenkaarthouders toegankelijk waren. Drie Nederlandse bedrijven verschenen op darkwebportalen van de ransomwaregroepen PLAY, DragonForce en LockBit 5.0. Onderzoekers van EclecticIQ documenteerden een lopende campagne waarbij ontwikkelaars worden gelokt naar valse installatiepagina's voor Gemini CLI en Claude Code om een fileless infostealer te verspreiden. En een artikel van mei 2026 in The Hacker News zet het fenomeen van MFA prompt bombing uiteen, inclusief de bekende inbraak bij Cisco in 2022.