Oplichting, dreigingsinformatie

Valse e-mails over domeinverlenging misleiden website-eigenaren om geld te betalen aan oplichters

door Stefan Dasic | 25 juni 2026
Social engineering
Toevoegen als voorkeursbron op Google

Je ontvangt een e-mail waarin wordt gewaarschuwd dat de domeinnaam van je website bijna verloopt. Vernieuw nu, zo staat er, anders werken je website en e-mail mogelijk niet meer. De link opent een professioneel ogende pagina die je domeinnaam al kent, je registrar en de vervaldatum weergeeft en een afteltimer start.

Het voelt urgent en persoonlijk, dus het voelt echt.

De website, die onder de naam Renovarix opereert, verlengt geen domeinnamen. In plaats daarvan leidt de site bezoekers door een reeks pagina’s waarop persoonlijke gegevens en uiteindelijk ook betalingsgegevens worden verzameld.

Vals domeinverlengingsbericht

Hoe de zwendel werkt

Domeinnamen verlopen inderdaad, en het verlies ervan kan een ernstig probleem zijn. Voor veel mensen en bedrijven is een domein meer dan alleen een webadres. Het is uw merk, uw e-mailadres, uw positie in de zoekresultaten en de naam die klanten intypen als ze u willen vinden. Als het verloopt, kunnen uw website en e-mail niet meer werken. Als iemand anders het registreert voordat u het terugkrijgt, kan het moeilijk of zelfs onmogelijk zijn om het terug te krijgen. Dat is een groot verlies, en oplichters weten dat.

Deze zwendel speelt in op die angst door middel van een overtuigende nep-verlengingsprocedure.

De e-mail en de website zijn nep. De „live registratiegegevens“ zijn slechts gedeeltelijk echt. Als je op „Nu verlengen“ klikt, wordt je domein niet verlengd. In plaats daarvan word je doorgestuurd via een reeks websites die eerst je naam, adres, telefoonnummer en e-mailadres verzamelen en je uiteindelijk om betalingsgegevens vragen.

Als je de e-mail hebt verwijderd, hoef je je geen zorgen te maken. Als je op de link hebt geklikt, sluit je gewoon de pagina. Als je persoonlijke gegevens of betalingsgegevens hebt ingevoerd, volg dan de bovenstaande instructies.

De e-mail waarmee het allemaal begint

De zwendel begint met een e-mail, hoewel de vorm waarin deze wordt gepresenteerd kan variëren. Sommige zijn nogal primitief: een simpele „Herinnering domeinverlenging“ van een generiek bedrijf als „Domain Services Inc.“ met een factuurnummer en een te betalen bedrag.

Valse e-mail over verlenging

Andere zijn veel professioneler: ze maken gebruik van het merk Renovarix, een referentienummer en een respectabel ogend bedrijfsadres in Londen.

Valse e-mail over verlenging

Maar ze hebben één ding gemeen. De ‘officiële’ verlengingsmelding van Renovarix werd verstuurd vanaf een gewoon Gmail-adres. Een bedrijf dat beweert een kantoor in Londen te hebben en 24/7 ondersteuning te bieden, zal waarschijnlijk geen facturen versturen via Gmail. Als de huisstijl er professioneel uitziet, maar de afzender daar niet bij past, is dat een belangrijk alarmsignaal.

Een pagina die te veel weet

De link opent een pagina die onmiddellijk een „zoekopdracht“ uitvoert, waarbij de voortgang wordt weergegeven met meldingen als „verbinding maken met het register“ en „WHOIS-gegevens ophalen“, waarna je domeinnaam, registrar en vervaldatum worden weergegeven.

Vals domeinverlengingsbericht

Daardoor lijkt het alsof de website gegevens heeft opgevraagd bij het officiële domeinregister. Een deel van de informatie is wellicht afkomstig uit echte openbare registers, maar veel van wat de pagina een betrouwbare indruk geeft, is verzonnen. Zo is de weergegeven „Registry ID“ bijvoorbeeld niet uit een register opgehaald. Deze wordt lokaal in je browser gegenereerd op basis van je domeinnaam en is uitsluitend bedoeld om er officieel uit te zien.

Alles is erop gericht om je in paniek te brengen

Zodra dat dashboard is geladen, verandert de hele pagina in een trechter die is ontworpen om je te haasten.

Op een rode banner staat dat je domein over „03 dagen“ verloopt, ongeacht de werkelijke vervaldatum. Een tweede aftelling geeft aan dat een „speciale prijs“ van € 2,00 – een korting op € 9,99 – over vijftien minuten verloopt. Probeer de pagina te sluiten en er verschijnt een pop-up met de waarschuwing: „Wacht – je domein loopt gevaar!“, met een knop om de pop-up te sluiten waarop staat: „Nee bedankt, ik neem het risico wel.“

Valse urgentie bij verlenging

Betrouwbare domeinregistrars maken geen gebruik van afteltimers of pop-ups die een schuldgevoel opwekken. De druk is juist de zwendel.

De „vernieuwing” vernieuwt helemaal niets

Dit is het duidelijkste teken dat er iets mis is: als je op ‘Nu verlengen’ klikt, wordt er geen contact opgenomen met je registrar en wordt de verlenging niet verwerkt. Je browser wordt dan gewoon doorgestuurd naar een andere website.

Sommige versies geven zelfs een vrolijke bevestiging weer met de tekst „Vernieuwing voltooid!”, inclusief een nieuwe vervaldatum, een bevestigingsnummer en een bericht waarin staat dat er een ontvangstbewijs per e-mail is verzonden. Dit alles heeft niets te maken met een echte transactie. Alles wordt in je browser gegenereerd.

Waar je gegevens precies terechtkomen

Via deze knop word je via een affiliate-link doorgestuurd naar een pagina met de naam ‘Secure Checkout’.

Afrekenen om gegevens te verzamelen

Op de pagina wordt om je naam, adres, postcode, woonplaats, telefoonnummer en e-mailadres gevraagd. Nadat je deze gegevens hebt ingevuld, word je doorgestuurd naar andere pagina’s, waar je uiteindelijk wordt gevraagd om te betalen.

Afrekenen om gegevens te verzamelen

Twee details wijzen erop dat het hier om een hergebruikte oplichtingskit gaat en niet om een echte domeindienst. Het systeem kan je gegevens automatisch invullen op basis van de link waarop je hebt geklikt, en de valse vijfsterrenrecensies verwijzen nog steeds naar „HappyPrizes“ en hoe gemakkelijk het was om „iets leuks te winnen“ — overblijfselen van een eerdere prijsoplichting waarbij hetzelfde sjabloon werd gebruikt.

Waarom mensen erin trappen

De zwendel werkt omdat hij inspeelt op een reële zorg. De zwendel begint met een geloofwaardig uitgangspunt. Het verlengen van domeinnamen is een normaal onderdeel van het beheren van een website, dus een kennisgeving dat de geldigheidsduur afloopt, lijkt niet vreemd. De oplichters bouwen daarop voort met overtuigende huisstijl, openbaar beschikbare informatie en een kunstmatig gecreëerde urgentie.

Het voelt ook persoonlijk aan. Veel mensen vragen zich af hoe oplichters van hun specifieke domein op de hoogte waren. Het antwoord is dat ze je niet persoonlijk kennen. Elk geregistreerd domein staat vermeld in openbare WHOIS/RDAP-registers, die de domeinnaam, de registrar, belangrijke data en soms een e-mailadres van een contactpersoon bevatten. Oplichters verzamelen deze informatie in grote hoeveelheden en genereren vervolgens links die jouw eigen domeingegevens aan je tonen. Door bekende informatie te zien, lijkt de pagina legitiem, ook al is deze afkomstig uit openbare registers.

Ten slotte wekt de zwendel een gevoel van urgentie op. Afteltimers , waarschuwingen dat je domein in gevaar is en een „speciale aanbieding“ van € 2,00 zijn allemaal bedoeld om je tot actie aan te zetten voordat je de tijd neemt om de bewering te controleren. De lage prijs is niet het doel. Het gaat om je persoonlijke gegevens en betalingsgegevens.

Dit alles betekent niet dat het slachtoffer onvoorzichtig is. Het maakt hem of haar juist menselijk: het doelwit van mensen die precies weten hoe een bezorgde website-eigenaar reageert.

Wat te doen

Als je zo’n e-mail ontvangt, kun je die gewoon verwijderen. De veiligste manier om een domeinverlenging af te handelen is heel eenvoudig:

  • Klik niet op de link in de e-mail. Ga naar je domeinregistrar via een bladwijzer of door het adres zelf in te typen, en controleer daar de daadwerkelijke vervaldatum. Als je op de link hebt geklikt, sluit dan de pagina. Het bekijken van de pagina brengt je domein niet in gevaar.
  • Weet wie je domeinregistrar is. De verlenging vindt plaats via het account dat je al hebt, niet via een website waar je nog nooit van hebt gehoord.
  • Beschouw urgentie als een waarschuwing, niet als een reden om je te haasten. Echte vernieuwingen zijn geen noodsituaties van een kwartier.
  • Controleer de afzender. Facturen die afkomstig zijn van een Gmail-adres of een merknaam die niet overeenkomt met je daadwerkelijke provider, zijn redenen tot argwaan.
  • Malwarebytes Browser Guard is gratis en kan helpen bij het blokkeren van oplichtings- en phishingpagina's terwijl u surft.

Als je al persoonlijke gegevens hebt ingevoerd (zoals je naam, adres, telefoonnummer of e-mailadres):

  • Wees voorbereid op vervolgpogingen tot oplichting. Aanvallers kunnen telefonisch of per e-mail contact met u opnemen en zich voordoen als uw domeinregistrar, of verwijzen naar uw domein, een „bestelling“ of een „verlenging“.
  • Vertrouw geen ongevraagde telefoontjes of e-mails, ook al lijken ze details over uw domein te kennen.
  • Als u contact moet opnemen met uw registratie-instantie of bank, gebruik dan de contactgegevens van hun officiële website, en niet die welke in de e-mail of op de oplichtingspagina worden vermeld.

Als je betaalkaartgegevens hebt ingevoerd:

Schakel transactiemeldingen in, zodat je een melding krijgt zodra je kaart wordt gebruikt.

Neem onmiddellijk contact op met je bank of kaartuitgever. Vertel hen dat je je kaartgegevens op een frauduleuze website hebt ingevoerd en vraag of ze aanraden om de kaart te blokkeren en te vervangen, ook al zie je nog geen ongeautoriseerde afschrijvingen.

Houd je rekening goed in de gaten. Oplichters voeren soms kleine ‘test’-afschrijvingen uit voordat ze grotere transacties proberen uit te voeren.

Indicatoren van compromittering

  • renovarix[.]org — nep-pagina voor domeinverlenging
  • xe54ghj[.]com — omleider
  • paysuccessful[.]site — pagina voor het invoeren van persoonsgegevens
  • molipy8trk[.]com — omleider
  • topprogressstores[.]online — landingspagina voor het laatste aanbod

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Stefan Dasic

Stefan Dasic

Gepassioneerd door antivirusoplossingen is Stefan al vanaf jonge leeftijd betrokken bij het testen van malware en QA van AV-producten. Als onderdeel van het Malwarebytes team is Stefan toegewijd aan het beschermen van klanten en het waarborgen van hun veiligheid.

LAATSTE ARTIKELEN

Insecten
PixelSmash

Door het PixelSmash-beveiligingslek worden videobestanden omgezet in aanvalsmiddelen

Juni 24, 2026

Onderzoekers hebben een ernstig beveiligingslek in FFmpeg ontdekt waardoor aanvallers met behulp van een kwaadaardig videobestand kwetsbare systemen zouden kunnen compromitteren.

Product
Een wolf in schaapskleren

Pas op voor oplichting bij verlengingen waarbij men zich voordoet als Malwarebytes

Juni 24, 2026

Oplichters versturen valse kennisgevingen over softwareverlenging waarin wordt beweerd dat er kosten in rekening zijn gebracht voor een abonnement. Sommigen doen zich zelfs voor als Malwarebytes.

Oplichting
Een jongeman ging zitten met zijn hoofd in de ene hand en een telefoon in de andere.

Total tot al je apparaten.” Oplichters die zich bezighouden met sextortion slaan opnieuw toe

Juni 24, 2026

Ze beweren dat ze video’s en malware in hun bezit hebben en volledige controle over je apparaten hebben. Hier lees je hoe je een sextortion-e-mail kunt benaderen als een beveiligingsonderzoeker in plaats van als slachtoffer.

Toevoegen als voorkeursbron op Google

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting