We krijgen veel meldingen over valse e-mails namens de Kamer van Koophandel. Over deze fraudevariant komen de laatste tijd talloze meldingen binnen. En omdat deze vorm van oplichting niet alleen op ondernemers, maar op alle Nederlanders is gericht, is het nuttig om uit te leggen wat de risico's zijn. Waar moet je op letten, en wat zijn de gevaren?
Kamer van Koophandel
Begin juni waarschuwde de Fraudehelpdesk voor een valse e-mail namens de Kamer van Koophandel. En wie op de website van de Fraudehelpdesk naar de meest actuele voorbeelden van valse e-mails kijkt, ziet dat er in de week tussen 26 juli en 2 augustus maar liefst dertien verschillende varianten van 'KVK'-nepmails zijn verzameld.
Toch een duidelijke indicatie van het feit dat mensen momenteel massaal worden lastiggevallen uit naam van de Kamer van Koophandel. Reden genoeg om eens te kijken wat er precies achter zit.
Quishing KVK
Ons oog viel op een voorbeeld van zo'n 'KVK'-nepmail met daarin een QR-code (zie hieronder). In de mail staat iets over 'onvolledige persoonsgegevens' en het verzoek om spoedig je contactgegevens bij te werken. Vervolgens zou je gratis toegang krijgen tot de zogenaamde KvK Start Events.
Quishing is een variant op phishing. Hierbij proberen kwaadwillenden jou ‘binnen te hengelen’ door een neppe e-mail, sms of ander lokkertje te gebruiken. Zodra je ‘hapt’, door op het linkje in de mail te drukken, hebben de criminelen beet en gaan ze er met gegevens en/of geld vandoor. Quishing werkt precies zo, maar dan gebruiken criminelen een qr-code als aas.
Klik om het voorbeeld te zien
Deze mail is dan ook niet alleen gericht op reeds bestaande ondernemers, maar ook op mensen die wellicht het ondernemerschap overwegen en zich afvragen of ze zich niet eens moeten melden bij de KVK voor een oriënterende informatiebijeenkomst. En dat past binnen een ontwikkeling die de laatste tijd nadrukkelijker zichtbaar is op de arbeidsmarkt: mensen – met name jongeren – die zich omwille van de flexibiliteit en een hoger uurloon liever door meerdere opdrachtgevers als zzp'er laten inhuren voor verschillende klussen, in plaats van ergens in dienst te treden. Op dinsdag 2 augustus 2022 publiceerde AD.nl een achtergrondartikel over deze trend.
Wat de zaak bovendien ingewikkeld maakt, is dat de échte KVK overigens daadwerkelijk bijeenkomsten onder de naam 'KVK Start Events' organiseert, en daarover stellen ze het volgende: "Ben je net gestart als ondernemer? Of denk je erover om voor jezelf te beginnen? Dan heb je ongetwijfeld nog veel vragen. Kom verder met het juiste advies en praktische informatie. Laat je inspireren tijdens de KVK Start Events en pak een voorsprong met jouw bedrijf."
Wij dachten na het zien van deze mail dan ook "Kom, laten we die QR-code eens scannen en kijken wat er gebeurt". En zowaar, de website waar de QR-code naar verwijst, was op het moment van schrijven nog in de lucht.
Voor potentiële slachtoffers is dat slecht nieuws, maar niet voor ons: het biedt ons immers de gelegenheid om te zien wat deze oplichters zoal willen. En daar gaan we het nu over hebben.
De QR-code verwijst ons in dit geval naar de website 'web8320.web07.bero-webspace.de'. Natrekken van deze domeinnaam levert in dit geval praktisch geen informatie op, al zou je in dit geval kunnen beargumenteren dat 'geen informatie' juist voldoende reden is om de website met een gezonde dosis argwaan en scepsis te bekijken: je kunt uit het gebrek aan informatie in ieder geval afleiden dat het géén domein is van de KVK.
En wat zien we als we deze malafide website bezoeken? Dat is het volgende.
Wat valt hier op? Dat het allereerst lijkt op het échte aanmeldformulier voor de KVK Start Events, maar dat deze oplichters aanzienlijk meer informatie van je willen dan de échte KVK. Het gaat om de volgende gegevens: geslacht (man / vrouw / overig), voornaam, Tussenvoegsel (optioneel), achternaam, straatnaam, huisnummer, postcode, woonplaats, e-mailadres, bankrekeningnummer (IBAN), geboortedatum, of je ondernemer bent (ja / nee), mobiele telefoonnummer, vaste telefoonnummer. Kortom, een heleboel. Wat kunnen ze daar zoal mee? We bespreken hieronder een aantal mogelijke scenario's.
Wat kunnen de cybercriminelen met deze gegevens?
Eén optie is dat de oplichters achter deze valse 'KVK'-website je met jouw eigen gegevens proberen te benaderen, en wel in de vorm van gerichte phishingaanvallen.
In plaats van de standaardmails die geen persoonlijke informatie bevatten en een generieke aanhef kennen ('Geachte heer/mevrouw...'), is het denkbaar dat je uit naam van een officiële instantie een mail krijgt waar gedetailleerde, inhoudelijk juiste informatie in staat.
Dat kan namens de KVK zijn, maar ook namens andere bedrijven en/of instanties. En hoe meer ze van je weten, hoe betrouwbaarder het overkomt, en hoe groter de kans van slagen. Op die manier wordt de informatie die je in een eerder stadium hebt verstrekt, op een later moment juist tegen je gebruikt met als doel je te bestelen.
Ook niet ondenkbaar: iemand die jou niet veel later namens de 'KvK Servicedesk' of 'KVK Helpdesk' belt met een aantal vragen over je zogenaamde aanmelding. Er worden ter controle wat persoonsgegevens opgenoemd, en die kloppen uiteraard: deze heb je in een eerder stadium immers zélf afgestaan als je het formulier op de valse 'KvK'-website hebt ingevuld.
En dat kan zomaar de opmaat zijn om jou ervan te overtuigen om iets te doen waar je enorm veel spijt van krijgt. Denk aan zaken als helpdeskfraude, waarbij de 'behulpzame' oplichter aan de andere kant van de lijn jou probeert over te halen om de controle over je laptop of computer af te staan of om zogenaamd ergens 'in te loggen', bijvoorbeeld op een valse bankwebsite. Jij staat je inloggegevens voor internetbankieren af omdat je simpelweg overrompeld bent en de oplichter erg overtuigend te werk gaat, en dan gaat het mis: je bankrekening wordt in een handomdraai geplunderd.
Wat ook tot de mogelijkheden behoort, is het risico op identiteitsfraude. Na het verzenden van het formulier met alle ingevulde persoonsgegevens krijg je het verzoek om je 'KVK'-aanmelding compleet te maken, en wel door het afstaan van een scan van je paspoort of identiteitskaart. In combinatie met bovenstaande gegevens hebben oplichters in sommige gevallen dan genoeg om op jouw kosten abonnementen af te sluiten. En omdat de kosten voor dit soort abonnementen pas later worden afgeschreven, kan het een flinke poos duren voordat je merkt dat er iets niet in orde is.
Best kans dat de financiële schadepost tegen die tijd al flink is opgelopen.
Hoe voorkomen
Hoe kun je dit allemaal voorkomen? Dat is niet zo ingewikkeld: denk altijd héél goed na voordat je zomaar ergens persoonsgegevens invult, al helemaal als je uit het niets wordt benaderd met dergelijke verzoeken.
En als je een mail krijgt namens een bedrijf, organisatie of instantie waar je wél mee te maken hebt, is het in geval van twijfel altijd beter om nooit zomaar op linkjes in mails te klikken. Om het zekere voor het onzekere te nemen, kun je telefonisch contact opnemen met het betreffende bedrijf of de instantie met de vraag of het inderdaad klopt dat ze iets van je nodig hebben.
Doe dat via een telefoonnummer dat je zélf opzoekt, en let erop dat je niet zonder goed te controleren het eerste de beste telefoonnummer belt dat in de zoekresultaten verschijnt. Dure doorschakeldiensten maken helaas nogal eens misbruik van onwetende consumenten en rekenen per minuut hoge tarieven voor een telefoonnummer dat in werkelijkheid (bijna) gratis is.
Om de kans te verkleinen dat u slachtoffer wordt van digitale criminaliteit, is belangrijk om wanneer u digitaal gaat, de standaard regels van de ABC in acht neemt:
- A = alert blijven
- Te mooi om waar te zijn, is niet oké
- Blijf op de hoogte
- Klik nooit zomaar op een link
- B = bescherm jezelf
- Blijf up-to-date met updates
- Gebruik sterke wachtwoorden
- Gebruik actuele anti-virus programma’s
- Maak offline back-up’s
- C = check altijd
- Vertrouw je het niet, verbreek het contact
- Check de contactgegevens van de afzender
Bron: anoniem, politie.nl, domaintools.com, ad.nl, kvk.nl, fraudehelpdesk.nl, bnnvara.nl
Meer actueel nieuws
Supply chain aanvallen, Marimo gehackt en FBI leest Signal
Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.
NB413: ChipSoft ransomware treft ziekenhuizen, REvil baas ontmaskerd en twee Fortinet zerodays
Deze week werd Nederland opgeschrikt door een ransomware aanval op ChipSoft, de grootste leverancier van patiëntendossiers in Nederland. Elf ziekenhuizen haalden uit voorzorg hun portalen offline en de Autoriteit Persoonsgegevens ontving 23 meldingen. Ondertussen onthulde de Duitse BKA de identiteit van de beruchte REvil ransomware leider UNKN, ontmantelden de FBI en het VK een Russische spionagecampagne via gehackte routers en namen aanvallen op Kubernetes met 282 procent toe. Twee kritieke zerodays in FortiClient EMS werden binnen een week ontdekt en actief misbruikt en Noord-Koreaanse hackers stalen in 2025 al meer dan twee miljard dollar aan crypto. LinkedIn bleek stilletjes browserextensies van gebruikers te volgen en een bankhelpdeskfraudeur kreeg zeven jaar cel na het stelen van 900.000 euro. De politie zoekt daarnaast meer slachtoffers van verdachte Turpien. Lees alle details in de vier artikelen van deze week.
ChipSoft ransomware treft zorg, VENOM steelt executive logins en 7 jaar cel
Een ransomware aanval op EPD leverancier ChipSoft treft de hele Nederlandse zorg, elf ziekenhuizen halen hun portalen offline en de Tweede Kamer stelt vragen over de gevaarlijke afhankelijkheid van een handvol leveranciers. Cybercriminelen misbruiken echte Meta notificaties om meer dan veertigduizend phishing mails te versturen en het gesloten VENOM platform jaagt specifiek op CEO's en CFO's. Het updatesysteem van een populaire WordPress plugin wordt gekaapt voor een volledige supply chain aanval en onderzoekers ontdekken dat het CLAUDE.md bestand van AI assistent Claude Code misbruikt kan worden voor SQL injectie. In de rechtbank krijgt een 24 jarige man uit Delfzijl zeven jaar cel voor het stelen van 900.000 euro via bankhelpdeskfraude.
Politie zoekt extra slachtoffers van verdachte Turpien
De politie roept slachtoffers van een man uit Spijkenisse op om zich te melden. De verdachte zou onder de naam Turpien op Snapchat tientallen meisjes hebben afgeperst. Inmiddels zit hij vast, maar door de hoeveelheid beeldmateriaal die bij hem werd aangetroffen, vermoedt de politie dat er nog meer slachtoffers zijn die nog niet bekend zijn.
APT28 kaapt routers, Kubernetes onder vuur en BKA ontmaskert REvil baas
Bron: Cybercrimeinfo, ondezoeksteam
Twee FortiClient zerodays, Noord-Korea's miljardenbusiness en LinkedIn als spion
Twee kritieke kwetsbaarheden in FortiClient EMS in één week, beide actief misbruikt als zeroday. Noord-Korea blijkt in 2025 voor meer dan twee miljard dollar aan crypto gestolen te hebben en hackt de populaire Axios library via een nep Teams update. Device code phishing neemt 37 keer toe door nieuwe phishing kits. En onderzoekers ontdekken dat LinkedIn meer dan 6.000 browserextensies scant van gebruikers.