Oplichting, dreigingsinformatie

We hebben deze campagne met valse facturen ontdekt toen de oplichters deze nog aan het opzetten waren

door Stefan Dasic | 3 juni 2026
Social engineering
Toevoegen als voorkeursbron op Google

Er wordt op dit moment een nieuwe reeks valse betalingsfacturen verspreid, en we hebben de campagne ontdekt nog voordat deze volledig was opgezet. De e-mails doen zich voor als afkomstig van PayPal, Amazon, Geek Squad en andere bedrijven, en hebben allemaal hetzelfde doel: u zo bang maken dat u een telefoonnummer belt waar een valse „klantenservicemedewerker“ op u wacht.

Wat deze golf zo bijzonder maakt, is dat sommige van de sjablonen die we hebben teruggevonden nog lege velden bevatten waar het telefoonnummer en de prijs hadden moeten staan, terwijl andere al volledig waren ingevuld en in omloop waren. We hebben de campagne midden in de uitrol betrapt.

Wat is de zwendel?

Als je een e-mail ontvangt die eruitziet als een ontvangstbewijs – „Je abonnement is verlengd voor $ 349“, „Je hebt een betaling van $ 598,96 gedaan“ – en waarin je wordt gevraagd een nummer te bellen om de afschrijving te annuleren of te betwisten, stop dan.

Er zijn geen kosten aan verbonden. Het e-mailbericht is bedoeld om je aan de telefoon te krijgen met een oplichter die je vervolgens zal proberen over te halen om hem op afstand toegang te geven tot je computer, je kaartgegevens te verstrekken of een „terugbetaling“ te regelen waarvoor je op de een of andere manier geld naar hem moet overmaken.

Deze specifieke vorm van oplichting staat bekend als een ‘fantoomfactuur’- of ‘terugbetalingszwendel’, en de truc is psychologisch van aard, niet technisch. Daarom kunnen deze e-mails vaak door spamfilters heen glippen: er zit vaak geen schadelijke bijlage of link in die beveiligingssystemen kunnen analyseren. De zwendel zit hem in het telefoonnummer dat je wordt aangeraden te bellen.

Als u de aankoop niet hebt gedaan, hoeft u het nummer in de e-mail niet te bellen om deze te annuleren. Echte bedrijven zetten klanten niet onder druk om onverwachte kosten te regelen via ongevraagde telefoonnummers.

Het doel is simpel: genoeg ongerustheid zaaien zodat je gaat bellen. Je ziet een hoge afschrijving die je niet herkent, bijvoorbeeld 499 dollar, en je eerste reactie is om dit te stoppen. Op de factuur staat handig een nummer vermeld dat je kunt bellen „als je dit niet zelf hebt gedaan“. Dus je belt, en nu heb je de oplichter aan de lijn.

Vanaf dat moment loopt het gesprek meestal uit op een van de volgende scenario’s. Ze kunnen je vragen om software te installeren zodat ze de afschrijving kunnen ‘corrigeren’, waardoor ze toegang krijgen tot je computer. Ze kunnen om je kaart- of bankgegevens vragen om ‘de terugbetaling te verwerken’. Of ze kunnen ‘per ongeluk’ te veel terugstorten en je vragen het verschil terug te sturen, meestal via een cadeaubon of een bankoverschrijving.

De factuur is slechts het lokaas, terwijl het telefoontje de val is.

Deze e-mails zijn overtuigend en sommige komen al in de inbox terecht. Het goede nieuws is dat je alleen al door het ontvangen ervan geen risico loopt. De zwendel werkt alleen als het lukt om je ertoe te bewegen het opgegeven nummer te bellen. Als je het bericht als frauduleus herkent en het verwijdert, houdt de aanval daar op.

Als je het nummer hebt gebeld en de instructies van een oplichter hebt opgevolgd, voer dan een virusscan uit en controleer je bankrekeningen. Wijzig je belangrijke wachtwoorden, schakel meervoudige authenticatie (MFA) in en zorg ervoor dat je beveiligingssoftware up-to-date is.

Hoe we het in halve afbouw aantroffen

De meeste onderzoeken naar oplichting beginnen pas nadat de schade al is aangericht. Dit geval was anders. We stuitten op een reeks vrijwel identieke factuursjablonen die duidelijk deel uitmaakten van dezelfde set, en een aantal daarvan was onvolledig.

Waar in een voltooide phishing-e-mail normaal gesproken een telefoonnummer zou staan, stond in sommige van deze e-mails de letterlijke tekst #TFN# in plaats daarvan, wat slechts een tijdelijke aanduiding is. (“TFN” is de afkorting die oplichters gebruiken voor ‘gratis nummer’, het terugbelnummer waarnaar ze slachtoffers doorverbinden.) Anderen lieten de prijs staan als #PRICE#, de datum als #DATE#, en de ontvanger als #EMAIL#. Dit zijn samenvoegvelden: de lege velden die een tool voor bulkverzending automatisch invult voordat een campagne wordt verstuurd.

Het feit dat die tijdelijke aanduidingen er nog stonden, gaf aan dat de campagne nog in aanbouw was. Sommige sjablonen waren nog half af, terwijl andere al voltooid waren en echte terugbelnummers bevatten. We waren de campagne midden in de uitrol tegengekomen, tussen de opbouw en de volledige lancering in.

Waarom deze facturen geloofwaardig lijken

De oplichters maken gebruik van bekende merken zoals PayPal, Amazon en Geek Squad. Het zijn bedrijven waarvan mensen verwachten dat ze facturen en verlengingsberichten sturen, waardoor ze minder argwaan wekken.

Ook de bedragen zijn zorgvuldig gekozen. Bedragen van enkele honderden dollars zijn hoog genoeg om argwaan te wekken, maar komen toch geloofwaardig over als verlenging van een abonnement of online aankoop.

In veel berichten wordt een gevoel van urgentie gecreëerd door ontvangers te vragen snel te bellen om de afschrijving te betwisten of te annuleren. Deze druk is bedoeld om te voorkomen dat mensen de transactie zelfstandig controleren.

Sommige facturen combineren zelfs bekende merken, bijvoorbeeld door te beweren dat een betaling via PayPal Amazon is overgemaakt. Door naar meerdere bekende bedrijven te verwijzen, lijkt het bericht geloofwaardiger.

Hoe herken je een valse factuur?

Het goede nieuws is dat deze oplichtingspraktijken een aantal herkenbare signalen vertonen. Als je eenmaal weet waar je op moet letten, zijn ze veel makkelijker te herkennen. Let op de volgende signalen:

  • Een afschrijving die u zich niet kunt herinneren. Als u de afschrijving niet herkent, controleer deze dan zelf via uw account of bij uw bank. Als er geen vermelding van te vinden is, is de factuur waarschijnlijk een lokkertje om u aan de telefoon te krijgen.
  • Een tikkende klok. „Bel binnen 12 uur“, „zeg op voordat het abonnement wordt verlengd“ of „onderneem onmiddellijk actie“ wekken een vals gevoel van urgentie op, bedoeld om je ervan te weerhouden na te denken. Echte factureringsproblemen kunnen wel even wachten terwijl je dit nagaat.
  • Merknamen die je vertrouwt, worden als dekmantel gebruikt. Hoe bekender het logo, hoe minder aandachtig mensen lezen. Oplichters maken misbruik van vertrouwen dat ze niet hebben verdiend.
  • Vreemde details die niet helemaal kloppen. Een PayPal die zogenaamd van Amazon komt, een verdwaald e-mailadres dat van niemand is, of een formulering die net niet helemaal klopt. Let op die kleine dingen die niet helemaal in de haak zitten.
  • Druk om je aan de lijn te houden. Als je eenmaal belt, zou een echt bedrijf je nooit tegenhouden als je wilt ophangen om iets te controleren, maar een oplichter doet dat wel.

Als ook maar één van deze kenmerken aanwezig is, beschouw het hele bericht dan als verdacht.

Onthoud deze ene regel die deze hele zwendel onschadelijk maakt: een betrouwbaar bedrijf zal je nooit onder druk zetten om te bellen om een betaling ongedaan te maken die je nooit hebt gedaan. Als je twijfelt of een afschrijving legitiem is, sluit dan de e-mail en controleer je rekening op de gebruikelijke manier: door zelf de website van het bedrijf in je browser in te voeren, of door het nummer op de achterkant van je bankkaart te bellen.

Pro-tip: Malwarebytes Guard kan je helpen dit soort oplichting te herkennen en je begeleiden bij wat je vervolgens moet doen, terwijl Browser Guard u de toegang tot oplichtingswebsites blokkeert.

Wat moet je doen als je zo’n bericht in je inbox krijgt?

Als u een verdachte factuur ontvangt zoals hier beschreven, neem dan een paar eenvoudige voorzorgsmaatregelen:

  • Bel dat nummer niet. Dat is de kern van de zwendel. Bij legitieme terugbetalingen of annuleringen hoef je nooit te bellen naar een nummer dat op een ongevraagde bon staat.
  • Reageer niet en klik nergens op. Beschouw het bericht als verdacht, ook al ziet het er legitiem uit.
  • Controleer de afschrijvingen zelf. Als je twijfelt of een afschrijving legitiem is, log dan rechtstreeks in bij PayPal, je bank of de winkel door het adres zelf in te voeren en je transactiegeschiedenis te bekijken.
  • Meld het. Stuur verdachte phishing-e-mails door naar het meldpunt voor misbruik van het bedrijf waarvan de identiteit is misbruikt en meld ze in de VS bij de FTC via reportfraud.ftc.gov. Door dit te melden helpt u oplichtingspraktijken te doorbreken.
  • Als je al hebt gebeld, beëindig het gesprek dan. Installeer geen software die ze aanbevelen. Als je toegang op afstand hebt verleend of betalingsgegevens hebt gedeeld, neem dan onmiddellijk contact op met je bank en voer een betrouwbare beveiligingsscan uit op je apparaat.
  • Wees op je hoede voor dringende oproepen. Zinnen als „binnen 12 uur“ of „nu annuleren“ zijn bedoeld om je onder druk te zetten, zodat je handelt voordat je nadenkt. Neem de tijd om de bewering zelf te controleren.

Oplichters maken steeds vaker gebruik van methoden die door software niet eenvoudig kunnen worden opgespoord. Een telefoonnummer in een e-mail is voor beveiligingsprogramma’s moeilijk te beoordelen, en de daadwerkelijke oplichting vindt plaats via een telefoongesprek in plaats van via een schadelijke link of bijlage.

Daarom is het belangrijk dat we deze campagne tijdens de uitrol hebben ontdekt. In plaats van achteraf de schade te zien, kregen we een kijkje in de voorbereidingen: onafgewerkte sjablonen, onvolledige gegevens en de oplichtingskit voordat deze volledig in gebruik was genomen.

De beste verdediging is simpel: als er op een onverwachte factuur staat dat je onmiddellijk een bepaald nummer moet bellen, wacht dan even en controleer de kosten eerst zelf.

Indicatoren van compromittering

Domeinen

invoicepdfin[.]xyz

invoicepdfus[.]xyz

invoicepdfusa[.]xyz

invoicerep[.]xyz

invoicestatement[.]xyz

invoicestm[.]xyz

Terugbelnummers

804-392-2793

801-640-8589

Voelt er iets niet helemaal goed? Controleer het even voordat je klikt.  

Met Malwarebytes Guardkunt u verdachte links, teksten en schermafbeeldingen direct analyseren.  

Verkrijgbaar viaMalwarebytes Premium voor al je apparaten, en in deMalwarebytes voor iOS Android.  

Probeer het gratis → 

Over de auteur

Stefan Dasic

Stefan Dasic

Gepassioneerd door antivirusoplossingen is Stefan al vanaf jonge leeftijd betrokken bij het testen van malware en QA van AV-producten. Als onderdeel van het Malwarebytes team is Stefan toegewijd aan het beschermen van klanten en het waarborgen van hun veiligheid.

LAATSTE ARTIKELEN

Oplichting
phishing op grote schaal

Informatiedieven worden steeds vaker de favoriete keuze voor phishing-aanvallen

Juni 3, 2026

Cybercriminelen geven de voorkeur aan infostealers boven traditionele phishingtechnieken, omdat deze minder weerstand opleveren, goed schaalbaar zijn en op grote schaal beschikbaar zijn.

Mobiel
Mobiel

Valse viruswaarschuwingen overspoelen mobiele games

Juni 2, 2026

"Je apparaat is geïnfecteerd!" Valse accountwaarschuwingen en virusmeldingen veranderen sommige in-game advertenties in malwarevallen.

Privacy

Nep-BlueWallet steelt wachtwoorden, accounts en cryptovaluta van Macs

Juni 1, 2026

Een valse BlueWallet-download zorgt ervoor dat Mac ongewild malware uitvoeren die wachtwoorden, crypto-wallets en gegevens uit het klembord steelt.

Toevoegen als voorkeursbron op Google

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting