Nepmails van CJIB in omloop: 'Verband met Odido-hack aannemelijk'

5200 telefoontjes omdat mensen niet meer weten wat echt is, lekker bezig… als je datasets van Odido rondzwerven is dit gewoon phishing-as-a-service. CJIB/overheid blijft ook mails sturen met vage links en “betaal nu” toon, lmao legacy comms, zet gewoon standaard alles in Berichtenbox/app met push en klaar.

Men vergeet gemakkelijk dat dit soort phishing pas echt werkt omdat de overheid zélf een oerwoud aan loketten heeft: CJIB, DigiD, MijnOverheid, Berichtenbox, en dan weer een losse “betaalomgeving” hier en daar. Als Odido-data rondzwerft, krijg je dus mails met je echte naam en adres en dan trapt zelfs een verstandig mens er een keer in; vooral als je ooit wél een boete hebt gehad. Maak één kanaal heilig (Berichtenbox) en stop met halfslachtige mailtjes, anders blijf je dweilen.

Ik zie het elke dag bij oudere patiënten en ook gewoon slimme mensen: zo’n mail met je naam/adres erin en “u moet NU betalen” en ze raken in paniek, klikken toch, en zitten daarna huilend aan de telefoon met de bank. En dan mag je weer uren in de wacht bij CJIB/telecom/alles, want overal is “efficiëntie” wegbezuinigd… zet er gewoon in: betaal NOOIT via een link, ga zelf naar cjib.nl en klaar.

Grappig (nou ja) dat we het “digitale loket” hebben verkocht als gemak, maar in de praktijk is het een permanente staat van twijfel: elke mail kan echt zijn, elke echte mail lijkt op phishing. En dan gaan mensen massaal bellen en is het systeem verbaasd dat het vastloopt… paradoxaal genoeg is dat precies de prijs van “efficiëntie” zonder vertrouwen. Wat zegt dit over ons dat we een overheid bouwen die je eerst bang maakt met boetes, en je daarna verwijt dat je in paniek op de verkeerde link klikt?

5200 belletjes is ook gewoon because “support” de enige auth-factor is bij de overheid: je krijgt een mail, je twijfelt, en dan moet je maar hopen dat de helpdesk het aankan… zet dan tenminste DMARC/DKIM/SPF keihard op reject en maak één officieel afzenderdomein dat je in elke echte brief groot print, nu is het alsof je security model “vertrouw op vibes” is. En die Odido-lek link is logisch: met naam+adres+tel nr kun je perfect spearphishen, dat is basically data-brokers maar dan gratis door een hack, nice.