Een telefoontje van ‘het beveiligingsteam’? Dat komt niet van ons.

In het volledige artikel: hoe de oplichting stap voor stap werkt, de waarschuwingssignalen waarmee u een aanval herkent en een checklist met 6 punten om uw rekening vandaag nog te beveiligen.

Inhoud

Eén telefoontje en uw rekening is leeg

Het kost maar één telefoontje om een bedrijf al zijn geld af te troggelen. Fraudeurs doen zich voor als de klantenservice van uw bank, spreken u persoonlijk aan en zetten u onder druk door te vragen naar een code uit een sms’je 'om een verdachte betaling te annuleren'. Twee minuten later is het geld voorgoed weg.

We hebben echte gevallen van rekeningovernames bij bedrijven uit begin 2026 geanalyseerd. De conclusie is duidelijk: 6 van de 10 aanvallen beginnen niet met hacken, maar met een simpel telefoontje of een link – in 58% van de gevallen is de eerste stap van de oplichter daarnaast het wijzigen van uw telefoonnummer, zodat deze vervolgens elke code kan onderscheppen.

Onthoud één belangrijk ding: Finom belt klanten nooit op om naar een code of wachtwoord te vragen of om op een link te klikken. Als iemand ‘van Finom’ belt en daarom verzoekt, is het echt een fraudeur.

Ontdek onze zakelijke rekening

Waarom dit nu zo belangrijk is

Rekeningovernames klinken als iets technisch en zeldzaams. In werkelijkheid is het een van de meest voorkomende en snelst opkomende bedreigingen voor ondernemers. En het belangrijkste om te onthouden? In de meeste gevallen hoeven fraudeurs helemaal niets te hacken. U moet de deur voor hen opendoen.

Toen we echte incidenten uit begin 2026 nader bekeken, bleek dat 60% van de aanvallen voortkomt uit social engineering – oftewel een gesprek – en dat bij ongeveer de helft ook phishing (nepmails en -links) een rol speelt. Technische inbreuken, malware en sim-swapping maken een veel kleiner deel uit. Uw grootste gevaar is daarom niet een ‘zwak wachtwoord’, maar een overtuigende stem aan de andere kant van de lijn.

Het goede nieuws is dat – omdat deze aanvallen erop gericht zijn iemand te misleiden – u zichzelf ertegen kunt beschermen door simpele gewoontes aan te houden, zonder gebruik van dure technologie.

De enige regel die u altijd moet onthouden

Voordat we ingaan op de details, is dit het allerbelangrijkste punt:

Finom belt of stuurt klanten nooit een bericht om naar een wachtwoord, sms- of pushcode te vragen. Ook verzoeken we nooit om op een link te klikken om een transactie te ‘bevestigen’ of ‘annuleren’.

Onze echte klantenondersteuning heeft uw codes nooit nodig – die is er juist om u tegen buitenstaanders te beschermen. Dus elk telefoontje of bericht ‘van het Finom-beveiligingsteam’ waarin zo’n verzoek wordt gedaan, betreft zonder uitzonderingen een oplichting. Twijfelt u? Beëindig dan gewoon het gesprek en neem zelf contact op met de bank via de app.

Meer over de gratis factuurdienst

Hoe een scam werkt

Het meest voorkomende en succesvolle scenario is een combinatie in twee stappen (goed voor meer dan 40% van alle gevallen):

  1.  Phishing. U krijgt een e-mail of sms ‘van uw bank’, zoals 'Bevestig uw aanmelding', 'Uw rekening is geblokkeerd' of 'Nieuw apparaat gedetecteerd'. De betreffende link leidt naar een valse inlogpagina, die er precies zo uitziet als een echte. Als u uw gebruikersnaam en wachtwoord invoert, komen die meteen bij de oplichter terecht.
  2. Vishing (een telefoontje). Om voorbij uw tweede beveiligingslaag te komen, wordt u gelijk gebeld door ‘het beveiligingsteam’. Een rustige, zelfverzekerde stem spreekt u met uw naam aan, heeft het over een ‘verdachte transactie’ en vraagt u om de code uit uw sms ‘om de betaling te annuleren’. Die code is uw laatste barrière.

Daarna gaat het allemaal heel snel. Als de oplichter eenmaal binnen is, verandert deze bijna altijd eerst het gekoppelde telefoonnummer – in 58% van de gedocumenteerde gevallen was dat de allereerste actie die werd geregistreerd. Het is ook een cruciaal moment: de telefoon is de ‘hoofdsleutel’ van uw rekening. Door uw nummer te kapen, ontvangt de aanvaller alle sms-codes, links om uw wachtwoord te resetten en bevestigingen. Vervolgens veranderen ze het e-mailadres en wachtwoord, waardoor de echte eigenaar de toegang tot hun eigen rekening helemaal verliest.

Het geld is daarna vaak bijna gelijk weg. In bepaalde echte gevallen werd er binnen 2 minuten nadat de inloggegevens waren gewijzigd al een overschrijving gedaan – via directe betalingen die niet meer teruggedraaid kunnen worden. Bovendien is een derde van deze aanvallen geautomatiseerd, omdat de ontvangende rekening al van tevoren is aangemaakt.

Waarom zelfs ervaren mensen erin trappen

Het gaat er niet om dat u naïef bent. Oplichters zijn erin gespecialiseerd om op bepaalde psychologische knoppen te drukken:

  • Dringende kwestie. 'De betaling wordt binnen 5 minuten uitgevoerd, tenzij u bevestigt.' Er is geen tijd om na te denken.
  • Vertrouwen in het merk. De beller weet uw naam, bedrijf en soms zelfs uw recente transacties. Dat klinkt als echte ondersteuning.
  •  Angst om toegang of geld te verliezen. De paradox: iemand leest de code voor om hun rekening te ‘redden’ – en juist daardoor raakt diegene hun geld kwijt.
  • Autoriteit. 'Beveiligingsteam', 'bankmedewerker' en 'Google-vertegenwoordiger' – allemaal rollen waaraan we normaal gesproken gehoorzamen.

Een belangrijk detail uit de data: de oorzaak van het probleem ligt vaak buiten de bank – namelijk in de gehackte e-mail van het slachtoffer. In 41% van de gevallen had de fraudeur al toegang tot de e-mail van het slachtoffer voordat deze de rekening überhaupt aanraakte. E-mail is eigenlijk de reservesleutel voor alles, dus het beveiligen ervan is net zo belangrijk als de beveiliging van de bankapp zelf.

Meer over Finom

Een aanval van binnenuit: een scenario uit de praktijk

De eigenaar van een klein bedrijf krijgt een sms: 'Finom: er is een aanmelding vanaf een nieuw apparaat gedetecteerd. Als u dit niet was, tik dan hier.' Ze klikken erop, zien het bekende inlogformulier en vullen hun gegevens in. Er lijkt niets te gebeuren – ze sluiten de pagina en vergeten het gewoon.

Maar een minuut later volgt er een telefoontje: 'Hallo, u spreekt met het beveiligingsteam van Finom. We zien dat er een poging is gedaan om € 3.900 op te nemen. Als u dit wilt annuleren, moet u de code uit uw sms voorlezen.' Ze verstrekken vervolgens de code. 'Bedankt, de betaling is geblokkeerd. Alles is nu in orde.'

In werkelijkheid wordt op datzelfde moment eerst het telefoonnummer van de rekening gewijzigd, daarna het e-mailadres en vervolgens het wachtwoord. En een paar minuten later wordt er een directe overschrijving uitgevoerd. De ondernemer merkt daar helemaal niks van – de app stuurt geen meldingen meer, omdat de gegevens niet meer op hun naam staan. Gemiddeld wordt het probleem pas drie weken later ontdekt, als er feitelijk niets meer te redden valt.

En het belangrijkste punt is nogmaals: in een dergelijke situatie belt het echte Finom nooit en vragen ze ook niet om een code. Het telefoontje zelf is al een teken dat het een aanval betreft.

Waarschuwingssignalen

Wees op uw hoede als:

  • Iemand contact met u opneemt en vraagt om een code, wachtwoord of het klikken op een link.
  • De beller zet u onder druk en laat u niet 'ophangen en terugbellen'.
  • U krijgt een melding over een wijziging in uw telefoonnummer, e-mailadres of wachtwoord die u niet zelf hebt doorgevoerd.
  • Uw gebruikelijke sms’jes en pushberichten van de bank komen ineens niet meer binnen.
  • Een link in een e-mail verwijst naar een adres dat er wel op lijkt, maar niet precies hetzelfde is (bv. finom-secure.com in plaats van het echte domein).
  • U wordt gevraagd om geld over te maken naar een 'veilige' of 'reserverekening'.

Hoe beschermt u zichzelf?

Concrete maatregelen, gerangschikt op impact:

  • Lees nooit sms- of pushcodes voor aan iemand. Geen enkele echte bankmedewerker, ook niet bij Finom, zal ooit om een code vragen – alleen een oplichter doet dat. Dat is regel nummer één.
  • Klik niet op links in e-mails of sms’jes. Ga alleen naar uw bank via de officiële app of door het webadres zelf in te typen.
  • Schakel over van sms-codes naar bevestiging via de app (push-/toegangscode) als uw bank dit ondersteunt. Als dan het telefoonnummer wordt veranderd, kan de oplichter dit niet gebruiken.
  • Bescherm uw e-mail – dat is de tweede sleutel tot alles. Schakel tweefactorauthenticatie in en gebruik een uniek wachtwoord.
  • Gebruik sterke, verschillende wachtwoorden en een wachtwoordbeheerder. Door hetzelfde wachtwoord voor uw e-mail en internetbankieren kan één beveiligingslek beide in gevaar brengen.
  • Schakel alle meldingen in voor inloggen, gegevenswijzigingen en transacties, zodat u een aanval binnen enkele minuten in plaats van pas na weken opmerkt.
  •  Twijfelt u? Hang dan op en log zelf in via de officiële app.

Wat moet u doen bij een vermoedelijke hack?

Hebt u een code voorgelezen, op een verdachte link geklikt of onbekende veranderingen opgemerkt? Onderneem dan meteen actie, want echt elke minuut telt:

  1. Open de app en kijk of u nog toegang hebt.
  2. Wijzig uw wachtwoord zowel bij de bank als voor uw e-mail.
  3. Neem via de officiële app contact op met Finom en meld de rekeningovername – vraag ze om de rekening en transacties onmiddellijk te blokkeren.
  4.  Bekijk uw recente transacties en controleer of er iets verdachts is.
  5. Controleer uw telefoonnummer en e-mailadres in de instellingen – zorg ervoor dat ze niet verwisseld zijn.
  6. Doe aangifte bij de politie als er geld is gestolen.

Snelheid is essentieel: directe overschrijvingen zijn bijna onmogelijk terug te halen, maar door snel te blokkeren kunt u het geld dat nog over is vaak redden.

Waar het op neerkomt

Bij een rekeningovername gaat het niet om geniale hackers. Het draait om een rustige stem, een valse link en één minuutje waarin u tot haast wordt geboden. Oplichters zijn uit op uw aandacht en vertrouwen, niet op ‘gaten’ in de bank. De beste verdediging bestaat uit een paar simpele maar standvastige gewoontes. En de eerste is echt heel simpel: als iemand ‘van Finom’ belt en om een code vraagt – dan zijn wij het niet. Hang op.

Checklist: 6 dingen die u vandaag kunt doen

  1. Deel nooit sms- of pushcodes – zelfs niet met ‘het beveiligingsteam’. Finom vraagt daar nooit om.
  2. Schakel inloggen via een app of toegangscode in en laat sms-codes achterwege.
  3. Schakel tweefactorauthenticatie in voor uw e-mail en stel een uniek wachtwoord in.
  4. Gebruik een wachtwoordbeheerder met verschillende wachtwoorden voor uw bank, e-mail en andere diensten.
  5. Schakel alle meldingen in voor aanmeldingen, wijzigingen in gegevens en betalingen.
  6. Onthoud altijd deze regel: als u twijfelt, beëindig dan het gesprek en log zelf in bij uw bank via de app.

Laatste artikelen