Onzichtbare mailboxregels: nieuwe tactiek na Microsoft 365-hack
20 april, 2026
Phishing via Microsoft en Google stijgt met 67 procent
22 april, 2026
Het Centraal Justitieel Incassobureau (CJIB) wordt overspoeld met bezorgde telefoontjes. In slechts één week tijd kwamen er ruim 5.200 vragen binnen van mensen die twijfelden of een ontvangen boete wel echt was. Achter de piek zit een grootschalige phishingcampagne die Nederland op dit moment teistert via e-mail, sms en WhatsApp.
Zo ziet de valse CJIB-boete eruit
In de berichten staat dat de ontvanger een openstaande verkeersboete heeft en binnen 24 uur moet betalen. De mails ogen verrassend professioneel: ze bevatten het CJIB-logo, een officieel ogend dossiernummer (bijvoorbeeld 2026-CJ-8192-3), de volledige naam van het slachtoffer en soms zelfs een kloppend IBAN-nummer. Door die persoonlijke gegevens lijkt het bericht direct geloofwaardig.
Klikt iemand op de betaallink, dan verschijnt een valse iDEAL-pagina of een formulier dat creditcardgegevens uitvraagt. Het bedrag verdwijnt meteen, en met de achtergelaten gegevens kunnen criminelen vervolgens nieuwe aankopen doen of accounts overnemen. Dit soort misleiding valt onder klassieke phishing-mail, maar wordt door de persoonlijke details steeds moeilijker te herkennen.
Link met het Odido-datalek
Opvallend is hoe persoonlijk de nepberichten zijn. Beveiligingsonderzoeker Sijmen Ruwhof noemt het volgens de NOS “aannemelijk” dat de oplichters gebruikmaken van gegevens uit het Odido-datalek. Bij die hack lekten begin dit jaar persoonsgegevens én IBAN-nummers van miljoenen klanten. De timing van de phishingcampagne en het gebruik van correcte bankrekeningnummers wijzen sterk in die richting.
Dat past in een breder patroon waarin criminelen datalekken stap voor stap verzilveren. We schreven eerder over de phishinggolf na de Odido-hack en signaleerden al dat cybercrime in Nederland blijft toenemen. De huidige CJIB-campagne laat opnieuw zien dat een gelekte dataset nog jaren later wordt ingezet.
CJIB verstuurt geen boetes per e-mail of sms
Het CJIB benadrukt dat het nooit boetes, aanmaningen of betalingsherinneringen via e-mail, sms, WhatsApp of andere berichtendiensten verstuurt. Echte verkeersboetes komen altijd per post, in een herkenbare envelop, met een duidelijk betaalkenmerk. Twijfelt u of een boete klopt? Log dan in met DigiD op cjib.nl en controleer daar of er iets openstaat op uw naam.
Klik nooit op links in verdachte berichten en maak geen bedragen over naar een rekening die u niet kent. Verdachte e-mails kunt u melden bij de Fraudehelpdesk via [email protected]. Heeft u al betaald? Neem dan direct contact op met uw bank om de transactie te laten terugdraaien.
Wat betekent dit voor ondernemers?
Ook binnen bedrijven duiken de nepboetes op. Wagenparkbeheerders en administratief medewerkers zijn vaak de eerste ontvangers van verkeersboetes en daarmee een dankbaar doelwit. Eén onbezonnen klik door een medewerker kan leiden tot financiële schade, maar ook tot gecompromitteerde zakelijke accounts.
Preventie begint bij een stevige e-mailfilter. Goede filtering vangt het merendeel van dit soort berichten automatisch af, zodat ze uw medewerkers niet eens bereiken. Bekijk hiervoor Maq2 spamfilter of lees waarom een extern spamfilter naast Microsoft 365 tegenwoordig geen luxe meer is. Aanvullend geeft ons overzicht met tien tips om spam te voorkomen concrete stappen voor binnen uw organisatie.
Drie vuistregels bij verdachte CJIB-berichten
Leer uw medewerkers deze drie punten uit het hoofd. Eén: het CJIB belt, mailt, sms’t of appt u nooit over openstaande bedragen. Twee: een deadline van 24 uur is een klassieke phishing-truc; haast hoort niet bij een overheidsincasso. Drie: controleer openstaande boetes altijd zelf via de officiële website met DigiD en nooit via een link in een bericht.
Zolang datasets uit grote datalekken in omloop zijn, blijven dit soort campagnes terugkomen. Wie vandaag zijn filters en interne procedures op orde heeft, hoeft morgen niet tussen 5.200 andere bellers te staan.
