Hey {{first_name}} 👋,

Het was een feestdag in mei. We hadden net lekker buiten gegeten en ik zat in de tuin toen mijn telefoon ging. Op het scherm: het noodnummer van mijn bank. Netjes opgeslagen in mijn contacten, dus ik dacht meteen: dit is niet goed.

Ik nam op en kreeg een bandje. Er was iets met een overboeking of incasso. Druk 1 om een medewerker te spreken. Ik hing direct op, want dit rook naar oplichting. Maar het rare was: dit nummer had ik zelf opgeslagen. Ik checkte het daarna op de officiële website van mijn bank en ja hoor - het was exact hetzelfde nummer.

Hoe kan iemand bellen vanaf het echte noodnummer van je bank? Dat wilde ik uitzoeken. En wat ik vond is behoorlijk verontrustend.

Duik er maar in👇

Na het ophangen logde ik direct in bij mijn bank. Gelukkig stond alles er normaal bij. Geen vreemde transacties, geen wijzigingen. Maar ik wilde het zeker weten.

Mijn bank heeft geen telefonische klantenservice die je kunt bellen. Wel kun je een noodchat starten met een reactiegarantie van tien minuten. Binnen vijf minuten had ik antwoord.

De medewerker stelde me gerust: ze bellen nooit zelf en vragen nooit om inloggegevens. Na twee keer doorvragen kreeg ik ook de bevestiging dat mijn account veilig was.

Wat mijn bank daarna wél deed vond ik goed: ze zetten mijn account in een veiligheidsmodus. Dat betekende dat grote bedragen tijdelijk geblokkeerd werden terwijl ze handmatig alles controleerden. Een dag later kreeg ik bericht dat alles in orde was.

Aan de ene kant fijn. Aan de andere kant best beangstigend dat dit blijkbaar gewoon kan.

Wat mij overkwam heet spoofing. Oplichters "lenen" een bestaand telefoonnummer en laten dat op jouw scherm verschijnen. Ze bellen dus niet echt vanaf dat nummer - ze doen alsof.

Technisch gezien is het verrassend simpel. Er bestaan programma's waarmee je elk willekeurig nummer kunt instellen als beller-ID. Een Nederlands 06-nummer, een vast nummer, het noodnummer van je bank - het maakt niet uit. De technologie achter bellen is daar gewoon niet tegen beveiligd.

Vergelijk het met een brief. Je kunt elke afzender op de envelop schrijven die je wilt. De postbode controleert niet of die afzender klopt. Bij telefonie werkt het in principe hetzelfde: het netwerk controleert niet of het nummer dat wordt meegegeven ook echt van de beller is.

Dit is misschien wel het belangrijkste punt. De meeste mensen denken: als een nummer in mijn contacten staat, dan is het betrouwbaar. Dat is niet zo.

Als oplichters het nummer van je bank spoofen en jij hebt dat nummer opgeslagen, dan zie je gewoon "ING Noodnummer" of "Rabobank" op je scherm verschijnen. Inclusief het contactfoto'tje dat je er eventueel bij hebt gezet. Alles ziet er legitiem uit.

De Fraudehelpdesk waarschuwt hier al langer voor. Het aantal meldingen van spoofing neemt fors toe. Oplichters gebruiken steeds vaker Nederlandse nummers omdat mensen buitenlandse nummers inmiddels standaard negeren.

Het script is bijna altijd hetzelfde. Je krijgt een geautomatiseerd bandje dat zegt dat er iets mis is met je rekening. Er is een verdachte transactie gedetecteerd, of een incasso gaat niet goed. Druk op 1 om een medewerker te spreken.

Als je dat doet, krijg je een "medewerker" aan de lijn. Die klinkt professioneel en vriendelijk. Het doel: je inloggegevens, een verificatiecode of toegang tot je apparaat krijgen. Soms vragen ze je om geld over te maken naar een "veilige rekening."

De tijdsdruk is bewust. Het is altijd urgent. Er moet nu iets gebeuren. Juist die haast zorgt ervoor dat mensen niet nadenken en meewerken.

De belangrijkste regel is simpel maar voelt raar: vertrouw nooit een inkomend telefoontje van je bank. Ook niet als het nummer klopt. Ook niet als het in je contacten staat.

Hang altijd op en bel zelf terug. Zoek het nummer op via de officiële website of app van je bank en bel dat nummer. Oplichters kunnen een nummer alleen spoofen als zij jou bellen. Als jij zelf belt, kom je altijd bij de echte organisatie uit.

Verder:

Eerlijk gezegd: niet heel veel op dit moment. Het probleem zit in de telefonie-infrastructuur, niet bij de bank zelf. Banken kunnen hun eigen nummer niet "beschermen" tegen spoofing.

Wat ze wél kunnen doen is wat mijn bank deed: duidelijk communiceren dat ze nooit bellen en snel reageren als je via een noodchat contact opneemt. Die veiligheidsmodus was even vervelend (mijn schadeverzekering kon niet afgeschreven worden omdat het bedrag te hoog was) maar achteraf precies de juiste actie.

In sommige landen wordt gewerkt aan technische oplossingen. Maar dat gaat nog erg langzaam…

Nummer-spoofing is een van die dingen waarvan je denkt: mij overkomt dat niet. Tot het je overkomt en je ziet dat het echt overtuigend is. Zelfs als je weet dat het bestaat, schrikt het je even af als het echte noodnummer van je bank op je scherm verschijnt.

De kern is simpel: beller-ID is niet te vertrouwen. Nooit. Niet bij een onbekend nummer en niet bij een nummer dat je zelf hebt opgeslagen. Hang op en bel zelf terug. Dat is het enige dat werkt.

En deel dit vooral met mensen in je omgeving die minder tech-savvy zijn. Want juist de groep die braaf het noodnummer van hun bank opslaat - precies zoals de bank adviseert - is het kwetsbaarst voor deze truc.