Dit telefoontje wist van mijn Amazon-winkelwagentje
Een paar maanden geleden kreeg ik een vishing-telefoontje (voice phishing) waar ik nog steeds aan terugdenk. Het begon simpel genoeg: ik was op zoek naar een nieuwe iPhone op Amazon, legde hem in mijn winkelwagentje, en — zoals de meeste mensen meestal doen — rondde de aankoop niet af.
Ik werd afgeleid, sloot het tabblad, en ging verder met mijn dag. Een paar dagen later ging mijn telefoon. Een gewoon Nederlands 06-nummer. Niets aan leek verdacht.
Heel even was ik echt van mijn stuk gebracht. Had ik die bestelling toch geplaatst? Dat kon niet kloppen — er was geen bevestigingsmail. Ik logde in op Amazon en checkte mijn lopende bestellingen, en zelfs mijn volledige bestelgeschiedenis. Niets.
Die korte twijfel is precies het doel van zo'n telefoontje. Het is er niet om je te informeren — het is er om je net genoeg uit balans te brengen dat je stopt met helder nadenken.
Binnen in een vishing-telefoontje
Het geautomatiseerde bericht had een menu-optie om de betaling te betwisten. Ik drukte erop, in de verwachting weer een opname te horen. In plaats daarvan werd ik doorverbonden met een persoon.
Hij vertelde me, op kalme en zelfverzekerde toon, dat ik een bestelling had geplaatst en moest betalen. Ik zei dat ik niets had besteld. Het stond nergens in mijn huidige bestellingen.
Zonder ook maar te haperen veranderde zijn verhaal compleet. Van een financiële claim werd het een hack: "Meneer, u bent gehackt." Zijn toon verschoof. Nu was hij er om me te helpen, en ik moest onmiddellijk zijn instructies volgen.
"Een legitiem bedrijf maakt van een betalingsgeschil geen veiligheidscrisis op het moment dat je tegenspreekt."
Die directe ommezwaai was wat hem verraadde. Ik hing op, logde in op mijn Amazon-account, wijzigde mijn wachtwoord en schakelde multifactorauthenticatie (MFA) in. Niet omdat ik dacht dat ik gehackt was, maar omdat het geen kwaad kon om het zeker te weten.
Er was immers alle reden om aan te nemen dat iemand ergens minstens wat gegevens van mijn account had. Daarom meldde ik het telefoontje ook bij het Nationaal Cyber Security Centrum via info@ncsc.nl.
Waarom dit soort vishing-telefoontjes werkt
Of het telefoontje nu echt werd getriggerd door mijn achtergelaten winkelwagentje, of gewoon een goed getimede gok was, de onderliggende mechanismen zijn hetzelfde. Daardoor verklaren ze namelijk waarom dit type fraude nu zo snel toeneemt.
Allereerst zijn de gegevens er gewoon, en worden ze steeds makkelijker te misbruiken. Tussen gelekte inloggegevens, databrokers en eenvoudige browse- of aankoopsignalen hoeven oplichters daardoor steeds minder te gokken. In plaats daarvan verwijzen ze liever naar iets echts, zoals een bestelling, een bank of een abonnement, omdat een vaag "er is een probleem met uw account" veel slechter converteert dan een telefoontje dat iets noemt dat klopt.
Daarnaast heeft AI de drempel om overtuigend te klinken volledig weggehaald. Voice cloning, natuurlijk klinkende scripts en callcenters die op schaal opereren zorgen er namelijk voor dat het stereotype van de "duidelijk nepbuitenlandse oplichter" inmiddels achterhaald is. Sterker nog, een onderzoek uit 2026 testte of mensen AI-gekloonde stemmen konden onderscheiden van echte stemmen in realistische vishing-scenario's, en daaruit bleek dat luisteraars het maar in ongeveer 37,5% van de gevallen goed hadden. Dat is dus slechter dan een muntje opgooien.
Tot slot is de telefoon ook nog eens het snelst groeiende kanaal, juist omdat het alles omzeilt waar we onszelf inmiddels op getraind hebben wantrouwig over te zijn. Aan de ene kant zijn we namelijk redelijk goed geworden in het herkennen van verdachte e-mails en sms'jes. Aan de andere kant draagt een telefoontje echter nog steeds die oude, diepgewortelde aanname met zich mee: een mens zou toch niet de moeite nemen om mij persoonlijk te bellen om te liegen?
De cijfers zullen je verbazen
In België waarschuwt Safeonweb al gedurende 2025 en 2026 herhaaldelijk publiekelijk voor precies dit patroon: telefoontjes van buitenlandse of geheime nummers met een ingesproken bericht over een frauduleuze betaling, gevolgd door het verzoek om een toets in te drukken om dit te "betwisten". De oplichters die opnemen zijn vaak beleefd en welbespraakt. Dat is bewust — het bouwt snel genoeg vertrouwen op om bankgegevens los te krijgen voordat het slachtoffer de tijd heeft om er goed over na te denken.
Kortom, dit is geen randverschijnsel meer. Het is een volwassen, goed gefinancierde industrie, en de mensen erachter zijn heel goed geworden in het ene ding dat het meest telt: de eerste tien seconden van het telefoontje volkomen normaal laten aanvoelen.
Wel en niet doen na een vishing-telefoontje
✓ Wel doen
- Behandel elk onverwacht telefoontje over een betaling, bestelling of "verdachte activiteit" als ongeverifieerd totdat je het zelf checkt — via de app of website rechtstreeks, niet via een link of nummer dat de beller je geeft
- Let op de ommezwaai. Als het verhaal van een beller verandert zodra je tegenspreekt — van "u bent ons iets schuldig" naar "u bent gehackt, ik help u" — dan is dat het signaal. Hang op
- Schakel MFA in op accounts die ertoe doen: e-mail, bankzaken, webshops, cloudopslag. Doe dit voordat je het nodig hebt, niet erna
- Meld verdachte telefoontjes. In Nederland: de Fraudehelpdesk of info@ncsc.nl. In België: Safeonweb via verdacht@safeonweb.be
✗ Niet doen
- Druk nooit op een toets, bevestig geen gegevens, of "betwist" iets via het menu van een ongevraagd telefoontje, geautomatiseerd of niet
- Geef nooit wachtwoorden, eenmalige codes of bevestigingen via je bank-app door aan de telefoon
- Bel nooit terug naar een nummer dat de beller je gaf, of dat je op je beller-ID ziet — zoek het officiële nummer van het bedrijf zelf op
- Laat je nooit door urgentie de beslissing laten nemen — een echt accountprobleem kan de vijf minuten wachten die je nodig hebt om te verifiëren
Wat mij beschermde was geen tool of instelling. Het was één feit waar ik zeker van was — ik had die bestelling niet geplaatst — en de bereidheid om dat feit te vertrouwen boven een zelfverzekerde stem aan de telefoon. Dat is uiteindelijk de hele verdediging: weet wat er echt waar is, en laat niemand je daar voorbij jagen.
Blijf alert, blijf melden, blijf beschermd.
Het volgende telefoontje, sms'je of e-mailtje dat je krijgt, is niet altijd zo makkelijk te doorzien — oplichters zijn geduldig, en ze worden steeds beter in overtuigend klinken. Behandel onverwacht contact over je accounts of geld als ongeverifieerd totdat je het zelf hebt gecheckt, en meld wat je opmerkt: dat helpt dezelfde scam stoppen voordat hij iemand bereikt die minder voorbereid is.
En schakel overal waar het kan MFA in, vandaag nog, niet pas nadat er iets misgaat. Het is de goedkoopste verzekering die je ooit zult afsluiten.
Bij Magicstone helpen we mkb-bedrijven hun cyberweerbaarheid te versterken met bewustwordingstrainingen, e-mailbeveiliging en AI-gestuurde bescherming.
Neem contact op →