Ondernemer controleert een verdacht e-mailbericht op zijn laptop Ondernemer controleert een verdacht e-mailbericht op zijn laptop

Fraude en oplichting via betaallinks: hoe herken je nep-verzoeken en bescherm je je bedrijf

Je krijgt een betaallink binnen van een leverancier waarmee je al jaren samenwerkt. De e-mail ziet er vertrouwd uit, het bedrag klopt met een openstaande factuur, en de tekst klinkt precies zoals hij normaal schrijft. Je klikt op de link, vult je gegevens in, en bevestigt de betaling. Pas daarna zie je dat het IBAN net iets anders is dan je gewend bent. Fraude via betaallinks werkt precies zo: geloofwaardig genoeg om even niet te twijfelen, en snel genoeg om te slagen voordat je het doorhebt. In dit artikel lees je waar je op moet letten en wat je kunt doen om je bedrijf te beschermen.

De drie zakelijke situaties met het hoogste risico

Fraudeurs richten zich niet willekeurig op iedereen. Ze kiezen situaties waarin tijdsdruk normaal voelt en vertrouwen hoog is. Op dit moment zijn er drie scenario’s die bijzonder veel ondernemers raken.

Het eerste is het gehackte leveranciersaccount. Een crimineel neemt de e-mailaccount van jouw leverancier over, leest mee met lopende gesprekken en stuurt op het juiste moment een betaalverzoek. De inhoud klopt, de context klopt, alleen het IBAN niet. Dit heet ook wel ‘business email compromise’.

Het tweede scenario is de valse factuurportal. Je ontvangt een e-mail met een link naar wat eruitziet als een zakelijk betaalplatform. De pagina heeft een professioneel design en vraagt om inloggegevens of directe betaling. In werkelijkheid is het een nagebouwde pagina die je gegevens steelt of je geld doorsluist naar een frauderekening.

Het derde scenario speelt zich af via WhatsApp of Teams. Iemand stuurt je als ‘collega’ of ‘leidinggevende’ een dringend betalingsverzoek via een zakelijk chatkanaal, soms met een link. De drempel voelt laag omdat het een bekende app is, maar dat maakt het juist gevaarlijk.

Anatomie van een frauduleuze betaallink

Een nep-betaallink verraadt zichzelf bijna altijd, als je weet waar je op moet letten.

Kijk als eerste naar het domein. Een legitieme betaalpagina van Mollie staat op mollie.com, niet op mollie-payments.net of mol1ie.com. Fraudeurs gebruiken kleine spellingsvarianten of voegen woorden toe om echtheid te suggereren. Lees het domein letter voor letter, niet vluchtig.

Verkorte URLs zijn een extra waarschuwingsteken. Een link als bit.ly/3xQ9p2 zegt niets over de bestemming. Gebruik linkcheck-tools zoals URLVoid of het gratis voorbeeldvenster van Google Safe Browsing om de werkelijke bestemming te zien voordat je klikt.

Let ook op het IBAN in het betaalverzoek. Vergelijk het altijd met een eerder ontvangen factuur of je eigen administratie. Een afwijkend IBAN, ook al is het maar één cijfer anders, is een harde stopgrens.

En let op de toon van het bericht. Zinnen als ‘Betaal vandaag nog, anders vervalt de korting’ of ‘Urgent: verwerk voor 17:00’ zijn bewuste drukmaatregelen. Echte zakelijke partners stellen zelden ultimatums in betaalverzoeken.

Rode vlaggen per kanaal

Niet elk kanaal verraadt fraude op dezelfde manier. Hier zijn de meest concrete signalen per communicatievorm.

Via e-mail: het afzenderadres lijkt op het bekende adres maar wijkt minimaal af, er staat geen persoonlijke aanhef, bijlagen zitten er ‘vreemd’ bij, of de link in de e-mail verwijst naar een ander domein dan het e-mailadres suggereert. Hover met je muis over de link zonder te klikken: de echte URL verschijnt dan onderin je browser.

Via sms: sms-berichten van bedrijven zijn bijna nooit de juiste plek voor een betaallink. Als je er toch een ontvangt, behandel die dan als verdacht tot het tegendeel bewezen is. Controleer of het telefoonnummer overeenkomt met wat je eerder hebt gebruikt.

Via WhatsApp of Teams: iemand heeft soms letterlijk het profiel van een collega of leidinggevende nagemaakt, compleet met foto. Vraag jezelf af: is het normaal dat deze persoon mij via dit kanaal om een betaling vraagt? Zo niet, bel dan direct op het bekende nummer.

Het dubbele gevaar: ook jijzelf kan onbewust fraude verspreiden

Als ondernemer loop je niet alleen risico als ontvanger. Als jouw e-mail of zakelijke account gehackt wordt, kunnen fraudeurs namens jou betaallinks versturen naar jouw klanten. Die klanten vertrouwen jou, klikken sneller en betalen eerder. Het gevolg is tweeledig: financiële schade bij de klant en reputatieschade voor jou. In sommige gevallen kan er ook juridische aansprakelijkheid ontstaan, zeker als je onvoldoende beveiligingsmaatregelen had getroffen. Dit maakt het voorkomen van onnodige risico’s als ondernemer ook vanuit dat perspectief urgent.

Verificatiestappen die je altijd neemt

Bouw deze stappen in als vaste gewoonte, ook bij vertrouwde contacten.

Stap 1: Ontvang je een betaallink van een bestaand contact, bel dan altijd op het telefoonnummer dat je al in je administratie hebt staan. Niet het nummer in de e-mail zelf.

Stap 2: Vergelijk het IBAN in het verzoek met een eerder verstuurde factuur of je eigen bankcontacten. Gebruik daarvoor je eigen archieven, niet de bijlage of link die je net ontving.

Stap 3: Plak de URL in een linkchecker voordat je erop klikt. Gratis tools als URLVoid of VirusTotal geven direct inzicht.

Stap 4: Kijk of het betaalportaal een geldig HTTPS-certificaat heeft (slotje in de adresbalk), maar weet ook dat dit alleen betekent dat de verbinding versleuteld is, niet dat de site betrouwbaar is.

Hoe je je eigen betaallinks fraudebestendig maakt

Zorg dat jouw klanten weten hoe een betaalverzoek van jou eruitziet. Stuur betaallinks altijd vanuit hetzelfde e-mailadres, benoem in je facturen expliciet via welk domein jouw betaalpagina bereikbaar is, en informeer nieuwe klanten actief dat je nooit via sms of WhatsApp om betaling vraagt. Gebruik een vaste betaalpagina op je eigen domein in plaats van links van derden die voor elke transactie wisselen.

Schakel tweefactorauthenticatie in op alle zakelijke e-mailaccounts. Dit is de meest effectieve maatregel tegen het scenario waarbij fraudeurs namens jou links versturen vanuit jouw eigen inbox.

Wat te doen als het toch misgaat

Heb je een verdachte link ontvangen, maar nog niet betaald? Meld het via de Fraudehelpdesk (fraudehelpdesk.nl). Die verzamelt meldingen en waarschuwt andere ondernemers.

Heb je al betaald? Handel dan snel: bel je bank direct en vraag om een ‘recall’ van de overboeking. Banken hebben een procedure om betalingen terug te halen, maar dit werkt alleen als je snel handelt, idealiter binnen enkele uren. Doe daarna aangifte bij de Politie, ook als je denkt dat het bedrag nooit meer terugkomt. Die aangifte is soms ook nodig voor een verzekeringsclaim of voor het terugkrijgen van kosten via je bank.

Intern protocol voor bedrijven met meerdere medewerkers

Eén medewerker die zelfstandig betaallinks kan aanmaken én uitvoeren is een risico. Verdeel die rollen bewust. Stel vast wie betaallinks mag aanmaken, wie ze verifieert en wie de definitieve betaling goedkeurt. Leg dit schriftelijk vast, ook als je met een klein team werkt.

Train je medewerkers minimaal één keer per jaar aan de hand van concrete voorbeelden. Maak afspraken over wat er moet gebeuren als iemand twijfelt: de standaardregel is altijd stoppen en vragen, nooit zelf de beslissing nemen omdat het ‘vast wel klopt’.

Fraude via betaallinks draait zelden om technische inbraak. Het draait om gewoontes, of het gebrek daaraan. Een vaste verificatieroutine, zoals even bellen bij een afwijkend IBAN of een linkcheck voordat je gegevens invult, maakt het aanvallers al een stuk moeilijker. Dat hoeft geen ingewikkeld proces te zijn. Een kort telefoontje of dertig seconden extra aandacht kan een flinke schadepost voorkomen.