De volledige keten, stap voor stap
Het lek
Een ziekenhuis, sportschool of boekingssite wordt gehackt. U heeft niets fout gedaan — de fout ligt bij de derde partij die uw gegevens beheerde. Zie het dossier datalekken in Nederland voor de gedocumenteerde Nederlandse gevallen.
De circulatie
De gestolen gegevens worden te koop aangeboden of vrij toegankelijk gemaakt, vaak op gespecialiseerde forums. Volgens de Nederlandse Vereniging van Banken beschikken criminelen steeds vaker over "voorkennis" — persoonsgegevens uit eerdere phishingaanvallen of datalekken — om het vertrouwen van een slachtoffer sneller te winnen. Bij het Secureholiday-lek van februari 2026 duurde het bijvoorbeeld drie maanden voordat de gestolen boekingsgegevens werden ingezet in phishingmails.
NVB, via NOS · Security.NL / EenVandaag, 2026De constructie van het scenario
Dit is de minst zichtbare en meest bepalende stap. De oplichter werkt niet willekeurig: hij combineert meerdere lekken of bronnen tot een samenhangend verhaal — uw bank, uw gemeente, uw sportschool, uw laatste camping-vakantie. Social engineering maakt gebruik van menselijke psychologie, niet van een technisch lek: de aanval wordt in lagen opgebouwd, waarbij elk kloppend detail de waargenomen geloofwaardigheid vergroot.
Trend Micro · MetaCompliance — dossiers over social engineeringDe uitvoering
Het contact komt via telefoon, sms, soms WhatsApp — met een kunstmatig gecreëerde urgentie ("er loopt fraude op uw rekening", "uw dossier moet dringend worden gecontroleerd"). Bij bankhelpdeskfraude wordt daarbij vaak het echte telefoonnummer van de bank getoond via spoofing, en soms zelfs de naam van een echte medewerker genoemd. Niets in het gesprek doet denken aan een generieke oplichting: geen spelfouten, geen ongeloofwaardige prijsbelofte. Alleen kloppende gegevens en tijdsdruk.
De uiteindelijke vraag
Een overboeking naar een "veilige rekening", een verificatiecode die moet worden doorgegeven, of een omleiding naar een nepwebsite. Het gemiddelde bedrag per slachtoffer van bankhelpdeskfraude in Nederland komt uit op ruim 4.300 euro, berekend uit de totale schade van 2025 gedeeld over het aantal gemelde slachtoffers.
Berekend uit Fraudehelpdesk / NVB-cijfers 2025, via NOSWat de officiële cijfers bevestigen
De jaarcijfers van de Fraudehelpdesk over 2025 tonen een duidelijke versnelling, precies op de categorieën fraude die op persoonlijke, vooraf verzamelde gegevens leunen:
Eén getuigenis die het mechanisme illustreert
« Het ging er bijzonder professioneel aan toe. Als een geoliede machine. […] Het kwam zo vertrouwelijk over. »
Henk (83), slachtoffer van bankhelpdeskfraude van ruim 10.000 euro — RTV Noord, 2024Henk had kort daarvoor zijn daglimiet voor pintransacties verhoogd — een detail dat de oplichter tijdens het gesprek zelf ter sprake bracht en dat zijn wantrouwen wegnam. De politie kon niet vaststellen of dit toeval was of dat de daders er via een eerder datalek van op de hoogte waren — een aanwijzing dat ook zonder volledig bewijs, kloppende details het slachtoffer overtuigen.
Wie wordt geraakt
Personen van 70 jaar en ouder blijven oververtegenwoordigd bij bankhelpdeskfraude, maar niet om de redenen die vaak worden verondersteld:
80%
Aandeel slachtoffers van bankhelpdeskfraude dat ouder is dan 70 jaar.
82%
Aangiftepercentage bij bankhelpdeskfraude — veel hoger dan bij bijvoorbeeld aankoopfraude (20%), mede dankzij coulanceregelingen van banken.
Daders relatief jong
De daadwerkelijke dadergroep achter bankhelpdeskfraude is opvallend jong — een contrast met het overwegend oudere slachtofferprofiel.
Een belangrijke nuance
Belangenorganisaties benadrukken: iedereen kan slachtoffer worden. Personalisatie via gestolen data ondermijnt het gebruikelijke voordeel van een alerte, digitaal vaardige houding.
Veelgestelde vragen
Leidt een datalek automatisch tot een fraudegeval?
Niet automatisch en niet meteen — gestolen data circuleert, wordt doorverkocht, en wordt soms pas maanden na het oorspronkelijke lek ingezet. Het Secureholiday-datalek van februari 2026 leidde bijvoorbeeld pas in mei en juni 2026 tot phishingmails met echte boekingsgegevens erin.
Waarom kent een oplichter mijn echte bank, gemeente of vereniging?
Waarschijnlijk omdat die informatie ooit is gelekt bij een datalek dat uw bank, een overheidsinstelling of een organisatie waarbij u bent aangesloten heeft getroffen. Oplichters kopen zulke datasets juist om een scenario te bouwen dat onmogelijk uit het niets lijkt te komen.
Waarom worden vooral 70-plussers slachtoffer van bankhelpdeskfraude?
80% van de slachtoffers van bankhelpdeskfraude is ouder dan 70 jaar, volgens cijfers die ANBO-PCOB baseert op de Fraudehelpdesk. Een combinatie van factoren speelt mee: opgebouwd vermogen, soms grotere terughoudendheid om hulp te vragen, en een dalersgroep die juist relatief jong is en professioneel te werk gaat. Belangenorganisaties benadrukken wel dat iedereen slachtoffer kan worden — een script dat uw echte gegevens gebruikt, ondermijnt het gewone voordeel van een alerte houding.