In Nederland neemt het aantal nepboetes uit naam van het Centraal Justitieel Incassobureau (CJIB) sterk toe. Criminelen sturen e-mails, sms’jes en WhatsApp-berichten die vragen om direct te betalen via een link. Meldpunten en opsporingsdiensten registreren op het moment van schrijven meer signalen, ook vanuit bedrijven. Ondernemers met lease- of bedrijfsauto’s lopen extra risico en moeten weten hoe je een nepboete van het CJIB herkent.
Meer meldingen van nepboetes
Oplichters misbruiken de bekendheid van het CJIB om vertrouwen te winnen. Berichten lijken echt door gebruik van logo’s, kentekens of dossiernummers die geloofwaardig ogen. Vaak staat er tijdsdruk in, zoals vandaag nog betalen om extra kosten te voorkomen. Dat vergroot de kans dat ontvangers zonder check klikken en betalen.
De fraude verloopt via meerdere kanalen: sms, e-mail, WhatsApp en soms telefoontjes met nummerspoofing. Links leiden naar nagemaakte betaalpagina’s of valse iDEAL-omgevingen. Ook QR-codes worden ingezet om snel af te rekenen. Wie betaalt, ziet het geld direct verdwijnen naar rekeningen van tussenpersonen.
Niet alleen particulieren worden geraakt. Finance-afdelingen krijgen berichten over vermeende boetes van bedrijfsauto’s of poolauto’s. Daardoor lijkt de betaalvraag zakelijk en urgent. Zonder vaste controleprocedures kan een medewerker zo een ongeautoriseerde betaling doen.
Zo herken je nep-CJIB
Let op betaal-links in berichten: dat is een alarmsignaal. Het CJIB communiceert primair via brieven en de Berichtenbox van MijnOverheid. Mail of sms met druk en een link om direct te betalen hoort daar niet bij. Typ webadressen altijd zelf in of gebruik opgeslagen favorieten.
Controleer de afzender en de domeinnaam zorgvuldig. Kleine afwijkingen in het e-mailadres, spelfouten of slordige opmaak verraden phishing. Kloppen kenteken, naam of adres niet precies, of ontbreekt informatie die het CJIB normaal wel vermeldt, dan is dat verdacht. Twijfel? Bel het CJIB via het officiële nummer op cjib.nl en gebruik nooit het nummer uit het bericht.
Het CJIB stuurt geen betaalverzoek via WhatsApp of sms.
Betaal nooit via Tikkie of een onbekende betaalprovider als het om een “boete” gaat. Controleer bij bankbetalingen altijd de begunstigde naam en onderbreek als die afwijkt. Log alleen in via MijnOverheid of cjib.nl die je zelf hebt ingevoerd. Een echte boete is ook zichtbaar in je Berichtenbox als je die hebt geactiveerd.
Risico’s voor ondernemers
Voor bedrijven zit de schade niet alleen in het weggesluisde geld. Een klik op een malafide link kan malware installeren en toegang geven tot inboxen en facturatiestromen. Dat vergroot de kans op vervolgfraude, zoals aanpassing van leveranciersrekeningnummers. Herstel kost tijd, geld en vertrouwen bij klanten en leveranciers.
Ondernemers met wagenparken ontvangen vaker echte verkeersboetes en zijn daardoor gewend aan betalingen op tijd. Criminelen haken daarop in met realistische termijnen en bedragen. Zonder het vier-ogenprincipe en duidelijke betaalregels kan de druk van “voorkom verhoging” tot fouten leiden.
Reputatieschade is een extra risico. Als aanvallers mailboxen kapen, kunnen zij uit naam van het bedrijf klanten benaderen met valse betaalverzoeken. Dat raakt de relatie en kan leiden tot claims, zeker als beveiligingsafspraken met opdrachtgevers tekortschieten.
Wetgeving en plichten
De AVG (Europese privacywet) verplicht organisaties om een datalek te melden bij de Autoriteit Persoonsgegevens binnen 72 uur als er risico is voor betrokkenen. Een datalek is elke inbreuk op de beveiliging van persoonsgegevens, bijvoorbeeld door phishing of mailboxkaping. Interne registratie en snelle beoordeling zijn noodzakelijk om boetes en extra schade te voorkomen. Informeer ook de betrokken personen als het risico groot is.
De komende NIS2-richtlijn van de EU scherpt cybersecurity-eisen aan voor veel middelgrote en grote organisaties en hun keten. Bedrijven moeten risico’s beheersen, incidenten snel melden en bestuurders blijven eindverantwoordelijk. Ook mkb’ers buiten de directe scope krijgen vaker beveiligingseisen via klanten en aanbestedingen. Een aantoonbaar phishing- en betaalproces helpt om aan deze eisen te voldoen.
Banken bieden een NaamCheck bij overboekingen, maar die is niet waterdicht. Wie zelf een betaling autoriseert naar een fraudeur, heeft juridisch vaak beperkte bescherming. Doe daarom direct een melding bij de bank en de politie bij vermoedens van oplichting. Verzamel bewijs, zoals e-mails, headers en betaalgegevens, om opsporing en mogelijke recuperatie te ondersteunen.
Praktische stappen voor mkb
Leg een vast proces vast voor boetes en andere incidentele betalingen. Gebruik het vier-ogenprincipe, dagelijkse betaalmomenten en een verbod op ad-hocbetalingen via links of QR-codes. Laat medewerkers verdachte berichten alleen verifiëren via contactgegevens die zij zelf opzoeken. Documenteer elke controle in het dossier.
Train teams elk kwartaal met korte phishing-oefeningen en duidelijke voorbeelden van nepboetes. Werk instructies bij in de onboarding voor nieuwe collega’s. Activeer multifactorauthenticatie op e-mail en financiële systemen om misbruik te beperken. Zet e-mailbeveiliging aan met SPF, DKIM en DMARC om misbruik van uw domein te verminderen.
Maak gebruik van publieke hulpmiddelen. Het Digital Trust Center van het Ministerie van EZK deelt waarschuwingen en basismaatregelen voor veilig ondernemen. De Kamer van Koophandel en de Fraudehelpdesk bieden checklists en actuele fraudevormen. Evalueer ten minste jaarlijks uw aanpak en neem uitkomsten op in het informatiebeveiligingsbeleid.