NCSC blokkeert twee miljoen phishingpogingen bij 200.000 Nederlanders
16 april, 2026Bij sportschoolketen Basic-Fit zijn op 13 april 2026 de persoonsgegevens van ongeveer 200.000 Nederlandse leden buitgemaakt bij een grootschalig datalek. Europees gezien werden in totaal circa een miljoen leden getroffen. De buit bestaat uit namen, adressen, telefoonnummers, geboortedata, e-mailadressen en bankrekeningnummers. Wachtwoorden en identiteitsbewijzen zijn volgens Basic-Fit niet gelekt, maar experts waarschuwen voor een stevige golf aan phishingmails en nep-sms-berichten die zich tegen de getroffen sporters zal richten.
Waarom deze hack een perfect phishingrecept is
Volgens Basic-Fit werd de aanval binnen enkele minuten door het eigen beveiligingssysteem gedetecteerd en afgebroken. In die korte tijd hadden de aanvallers genoeg ruimte om een grote dataset te kopiëren. Juist de combinatie van gegevens maakt deze gestolen set zo waardevol voor cybercriminelen: wie weet hoe je heet, waar je woont, wanneer je bent geboren en bij welke sportschool je sport, kan een vrijwel perfect geloofwaardige spear phishing-mail in elkaar zetten.
Dat is precies het scenario waarvoor Basic-Fit zijn leden per e-mail heeft gewaarschuwd. Nepberichten doen zich bijvoorbeeld voor als een betalingsprobleem met je lidmaatschap, een zogenaamde SEPA-incasso die mislukt zou zijn, of een lokkende gratis maand. Eén klik op een vervalste link en je bankgegevens of inloggegevens liggen op straat. Wat phishing precies is en hoe je het herkent, leggen we uit in Phishing: wat is een phishing mail?.
Van toevalstreffer naar doelgerichte misleiding
Waar spamgolven voorheen vooral massaal en onpersoonlijk waren, verschuift het landschap in rap tempo richting gerichte aanvallen. Een gelekte klantendatabase is voor criminelen goud waard: ze sturen geen miljoen willekeurige berichten meer, maar 200.000 nauwkeurig op maat geschreven mails. Die trend sluit aan op een bredere ontwikkeling waarover we eerder schreven in Cybercrime neemt toe in Nederland: niet het systeem, maar de mens is het primaire doelwit geworden.
Ook de Fraudehelpdesk signaleert een sterke toename van phishing na grote datalekken. De Rijksoverheid roept sectoren op om incidenten sneller te melden en klanten beter voor te lichten, aldus het cybersecuritydossier op Rijksoverheid.nl.
Wat ondernemers en thuiswerkers nu moeten doen
Een gelekt privéadres belandt zelden alleen in privémailboxen. Veel Nederlandse ondernemers gebruiken hetzelfde e-mailadres voor een sportschoolabonnement als voor hun zakelijke contact. Dat betekent dat een gerichte phishingmail via het zakelijke kanaal binnen kan komen, waar één onvoorzichtige klik meteen een volledige organisatie kan raken. Een goed ingericht spamfilter is in dit scenario het verschil tussen gemak en schade.
In Wat is het spamfilter van Maq2? beschrijven we hoe een combinatie van technische filtering, heuristieken en realtime blacklists de meeste phishingmails al voor de inbox stopt. Voor wie aan de slag wil met praktische preventie biedt het artikel Tien tips om spam te voorkomen concrete handvatten die vandaag nog toepasbaar zijn.
Drie directe acties voor Basic-Fit-leden
Ten eerste: klik nergens op in mails of sms-berichten die verwijzen naar je Basic-Fit-account, ook niet als ze er overtuigend uitzien. Typ adressen liever handmatig in je browser. Ten tweede: controleer de afzender altijd in de volledige mailheaders en let op subtiele afwijkingen in de domeinnaam, zoals extra streepjes of een andere extensie. Ten derde: stel bij je bank automatische waarschuwingen in bij afschrijvingen tussen de 10 en 25 euro, een geliefde range voor frauduleuze proefafschrijvingen.
Voor bedrijven geldt één harde les: een datalek bij een leverancier van jouw werknemers is óók jouw risico. Wie nu investeert in meerlaagse spambescherming en korte interne trainingen, voorkomt dat een sportschoolabonnement straks de indirecte oorzaak wordt van een zakelijke datacrisis. Het Basic-Fit-incident is vandaag het nieuws, maar het volgende lek ligt statistisch gezien al op de loer.
