We krijgen veel meldingen over valse e-mails namens de Kamer van Koophandel. Over deze fraudevariant komen de laatste tijd talloze meldingen binnen. En omdat deze vorm van oplichting niet alleen op ondernemers, maar op alle Nederlanders is gericht, is het nuttig om uit te leggen wat de risico's zijn. Waar moet je op letten, en wat zijn de gevaren?
Kamer van Koophandel
Begin juni waarschuwde de Fraudehelpdesk voor een valse e-mail namens de Kamer van Koophandel. En wie op de website van de Fraudehelpdesk naar de meest actuele voorbeelden van valse e-mails kijkt, ziet dat er in de week tussen 26 juli en 2 augustus maar liefst dertien verschillende varianten van 'KVK'-nepmails zijn verzameld.
Toch een duidelijke indicatie van het feit dat mensen momenteel massaal worden lastiggevallen uit naam van de Kamer van Koophandel. Reden genoeg om eens te kijken wat er precies achter zit.
Quishing KVK
Ons oog viel op een voorbeeld van zo'n 'KVK'-nepmail met daarin een QR-code (zie hieronder). In de mail staat iets over 'onvolledige persoonsgegevens' en het verzoek om spoedig je contactgegevens bij te werken. Vervolgens zou je gratis toegang krijgen tot de zogenaamde KvK Start Events.
Quishing is een variant op phishing. Hierbij proberen kwaadwillenden jou ‘binnen te hengelen’ door een neppe e-mail, sms of ander lokkertje te gebruiken. Zodra je ‘hapt’, door op het linkje in de mail te drukken, hebben de criminelen beet en gaan ze er met gegevens en/of geld vandoor. Quishing werkt precies zo, maar dan gebruiken criminelen een qr-code als aas.
Klik om het voorbeeld te zien
Deze mail is dan ook niet alleen gericht op reeds bestaande ondernemers, maar ook op mensen die wellicht het ondernemerschap overwegen en zich afvragen of ze zich niet eens moeten melden bij de KVK voor een oriënterende informatiebijeenkomst. En dat past binnen een ontwikkeling die de laatste tijd nadrukkelijker zichtbaar is op de arbeidsmarkt: mensen – met name jongeren – die zich omwille van de flexibiliteit en een hoger uurloon liever door meerdere opdrachtgevers als zzp'er laten inhuren voor verschillende klussen, in plaats van ergens in dienst te treden. Op dinsdag 2 augustus 2022 publiceerde AD.nl een achtergrondartikel over deze trend.
Wat de zaak bovendien ingewikkeld maakt, is dat de échte KVK overigens daadwerkelijk bijeenkomsten onder de naam 'KVK Start Events' organiseert, en daarover stellen ze het volgende: "Ben je net gestart als ondernemer? Of denk je erover om voor jezelf te beginnen? Dan heb je ongetwijfeld nog veel vragen. Kom verder met het juiste advies en praktische informatie. Laat je inspireren tijdens de KVK Start Events en pak een voorsprong met jouw bedrijf."
Wij dachten na het zien van deze mail dan ook "Kom, laten we die QR-code eens scannen en kijken wat er gebeurt". En zowaar, de website waar de QR-code naar verwijst, was op het moment van schrijven nog in de lucht.
Voor potentiële slachtoffers is dat slecht nieuws, maar niet voor ons: het biedt ons immers de gelegenheid om te zien wat deze oplichters zoal willen. En daar gaan we het nu over hebben.
De QR-code verwijst ons in dit geval naar de website 'web8320.web07.bero-webspace.de'. Natrekken van deze domeinnaam levert in dit geval praktisch geen informatie op, al zou je in dit geval kunnen beargumenteren dat 'geen informatie' juist voldoende reden is om de website met een gezonde dosis argwaan en scepsis te bekijken: je kunt uit het gebrek aan informatie in ieder geval afleiden dat het géén domein is van de KVK.
En wat zien we als we deze malafide website bezoeken? Dat is het volgende.
Wat valt hier op? Dat het allereerst lijkt op het échte aanmeldformulier voor de KVK Start Events, maar dat deze oplichters aanzienlijk meer informatie van je willen dan de échte KVK. Het gaat om de volgende gegevens: geslacht (man / vrouw / overig), voornaam, Tussenvoegsel (optioneel), achternaam, straatnaam, huisnummer, postcode, woonplaats, e-mailadres, bankrekeningnummer (IBAN), geboortedatum, of je ondernemer bent (ja / nee), mobiele telefoonnummer, vaste telefoonnummer. Kortom, een heleboel. Wat kunnen ze daar zoal mee? We bespreken hieronder een aantal mogelijke scenario's.
Wat kunnen de cybercriminelen met deze gegevens?
Eén optie is dat de oplichters achter deze valse 'KVK'-website je met jouw eigen gegevens proberen te benaderen, en wel in de vorm van gerichte phishingaanvallen.
In plaats van de standaardmails die geen persoonlijke informatie bevatten en een generieke aanhef kennen ('Geachte heer/mevrouw...'), is het denkbaar dat je uit naam van een officiële instantie een mail krijgt waar gedetailleerde, inhoudelijk juiste informatie in staat.
Dat kan namens de KVK zijn, maar ook namens andere bedrijven en/of instanties. En hoe meer ze van je weten, hoe betrouwbaarder het overkomt, en hoe groter de kans van slagen. Op die manier wordt de informatie die je in een eerder stadium hebt verstrekt, op een later moment juist tegen je gebruikt met als doel je te bestelen.
Ook niet ondenkbaar: iemand die jou niet veel later namens de 'KvK Servicedesk' of 'KVK Helpdesk' belt met een aantal vragen over je zogenaamde aanmelding. Er worden ter controle wat persoonsgegevens opgenoemd, en die kloppen uiteraard: deze heb je in een eerder stadium immers zélf afgestaan als je het formulier op de valse 'KvK'-website hebt ingevuld.
En dat kan zomaar de opmaat zijn om jou ervan te overtuigen om iets te doen waar je enorm veel spijt van krijgt. Denk aan zaken als helpdeskfraude, waarbij de 'behulpzame' oplichter aan de andere kant van de lijn jou probeert over te halen om de controle over je laptop of computer af te staan of om zogenaamd ergens 'in te loggen', bijvoorbeeld op een valse bankwebsite. Jij staat je inloggegevens voor internetbankieren af omdat je simpelweg overrompeld bent en de oplichter erg overtuigend te werk gaat, en dan gaat het mis: je bankrekening wordt in een handomdraai geplunderd.
Wat ook tot de mogelijkheden behoort, is het risico op identiteitsfraude. Na het verzenden van het formulier met alle ingevulde persoonsgegevens krijg je het verzoek om je 'KVK'-aanmelding compleet te maken, en wel door het afstaan van een scan van je paspoort of identiteitskaart. In combinatie met bovenstaande gegevens hebben oplichters in sommige gevallen dan genoeg om op jouw kosten abonnementen af te sluiten. En omdat de kosten voor dit soort abonnementen pas later worden afgeschreven, kan het een flinke poos duren voordat je merkt dat er iets niet in orde is.
Best kans dat de financiële schadepost tegen die tijd al flink is opgelopen.
Hoe voorkomen
Hoe kun je dit allemaal voorkomen? Dat is niet zo ingewikkeld: denk altijd héél goed na voordat je zomaar ergens persoonsgegevens invult, al helemaal als je uit het niets wordt benaderd met dergelijke verzoeken.
En als je een mail krijgt namens een bedrijf, organisatie of instantie waar je wél mee te maken hebt, is het in geval van twijfel altijd beter om nooit zomaar op linkjes in mails te klikken. Om het zekere voor het onzekere te nemen, kun je telefonisch contact opnemen met het betreffende bedrijf of de instantie met de vraag of het inderdaad klopt dat ze iets van je nodig hebben.
Doe dat via een telefoonnummer dat je zélf opzoekt, en let erop dat je niet zonder goed te controleren het eerste de beste telefoonnummer belt dat in de zoekresultaten verschijnt. Dure doorschakeldiensten maken helaas nogal eens misbruik van onwetende consumenten en rekenen per minuut hoge tarieven voor een telefoonnummer dat in werkelijkheid (bijna) gratis is.
Om de kans te verkleinen dat u slachtoffer wordt van digitale criminaliteit, is belangrijk om wanneer u digitaal gaat, de standaard regels van de ABC in acht neemt:
- A = alert blijven
- Te mooi om waar te zijn, is niet oké
- Blijf op de hoogte
- Klik nooit zomaar op een link
- B = bescherm jezelf
- Blijf up-to-date met updates
- Gebruik sterke wachtwoorden
- Gebruik actuele anti-virus programma’s
- Maak offline back-up’s
- C = check altijd
- Vertrouw je het niet, verbreek het contact
- Check de contactgegevens van de afzender
Bron: anoniem, politie.nl, domaintools.com, ad.nl, kvk.nl, fraudehelpdesk.nl, bnnvara.nl
Meer actueel nieuws
GitHub inbraak via VS Code extensie, DBIR en SonicWall MFA
In de periode van woensdag 20 mei tot en met vrijdag 22 mei 2026 bevestigde GitHub dat dreigingsactor TeamPCP via een kwaadaardige VS Code extensie toegang verkreeg tot 3.800 interne repositories in achttien minuten. Het Verizon Data Breach Investigations Report 2026 toont voor het eerst kwetsbaarheidsexploitatie als dominante aanvalsmethode bij datalekken. En een fout in SonicWall VPN, CVE-2024-12802, wordt actief ingezet als beginpunt voor ransomware campagnes op toestellen waarvan de ondersteuning al is beëindigd.
Vrouw gezocht na babbeltruc bij slachtoffer in Oudenbosch
Op donderdag 15 januari 2026 werd een inwoner van Oudenbosch opgelicht door nepagenten. Een vrouw wist het vertrouwen te winnen, drong de woning binnen en nam sieraden, contant geld en een kluisje mee. De politie zoekt haar via vrijgegeven beelden.
Shai-Hulud npm aanval, MiniPlasma zerodag en Microsoft 365
In de periode van maandag 18 mei tot en met dinsdag 19 mei 2026 waren meerdere dreigingen gelijktijdig actief op verschillende aanvalsoppervlakken. Dreigingsactor TeamPCP publiceerde in 22 minuten 639 kwaadaardige versies van 323 npm pakketten, waarna de broncode van de aanvalsworm werd vrijgegeven op BreachForums. Een beveiligingslek in Windows uit 2020 bleek nooit correct te zijn gerepareerd en biedt elke lokale aanvaller volledige systeemrechten op een volledig bijgewerkt systeem. Microsoft 365 omgevingen stonden tegelijk onder druk via SSPR kaping door Storm-2949 en OAuth sessiestiefstal via EvilTokens. En ransomwaregroep The Gentlemen werd officieel partner van BreachForums terwijl onderzoekers meer dan 1.570 slachtoffers identificeerden.
Ledger post, Apple M5 kernel exploit en LockBit Stahlwille
In de periode van vrijdag 15 mei tot en met zondag 17 mei 2026 ontvingen eigenaren van Ledger hardware wallets vervalste papieren brieven met QR codes die leiden naar phishingsites waarop wordt gevraagd om de herstelzin in te vullen. De campagne is gelinkt aan het datalek bij Global-e uit januari 2026. Tegelijkertijd publiceerden vier beveiligingsonderzoekers een werkende exploit voor de Apple M5 chip, waarbij zij de hardwarematige geheugenbescherming van Apple doorbraken met behulp van een AI model van Anthropic. Op het darkweb portaal van LockBit 5.0 verscheen het Nederlandse bedrijf Stahlwille B.V. als een van zes nieuwe geclaimde slachtoffers.
INT geclaimd, Clinical Diagnostics en Kamervragen Canvas
In de periode van woensdag 13 mei tot en met donderdag 14 mei 2026 publiceerde The Gentlemen ransomwaregroep het Instituut voor de Nederlandse Taal als nieuw slachtoffer op haar darkweb portaal, terwijl op een ondergronds forum werd beweerd dat het Belgische medische platform cabinetmedical.be via een SQL kwetsbaarheid is gecompromitteerd met circa 10.000 patiëntgegevens. De Inspectie Gezondheidszorg en Jeugd maakte op 13 mei bekend dat medisch laboratorium Clinical Diagnostics ten tijde van een cyberaanval niet voldeed aan de wettelijk verplichte NEN 7510 norm voor informatiebeveiliging in de zorg, waarbij de gegevens van 850.000 vrouwen uit het bevolkingsonderzoek baarmoederhalskanker zijn gestolen. Tegelijkertijd heeft de ShinyHunters Canvas zaak een politieke dimensie gekregen, met vragen in de Tweede Kamer aan twee ministers en een oproep van de Amerikaanse Huizencommissie voor Binnenlandse Veiligheid aan Instructure om te getuigen.
Verdachte gezocht na bankhelpdeskfraude in Amsterdam
De politie zoekt een man die op camerabeelden is vastgelegd terwijl hij contactloos betaalt via de bankrekening van een ander. De opname is gemaakt in een supermarkt in Amsterdam, nadat meerdere slachtoffers werden opgelicht door iemand die zich voordeed als bankmedewerker.