Nagemaakte KPN-webmailpagina op een laptop na phishing en Apple Gift Card-fraude via een gehackt e-mailaccount
Cybersecurity12 min

KPN-mail gehackt via phishing? Zo ontstond Apple Gift Card-fraude

Door InstantIT • 11 juli 2026

Anonieme praktijkcase uit regio Delft/Pijnacker: KPN- of HetNet-inloggegevens belandden op een nagemaakte webmailpagina, waarna contacten om Apple Gift Cards werden gevraagd.

Twijfelt u of er iets mis is?

InstantIT kan veilig meekijken, verdachte meldingen controleren en helpen met de eerste stappen. Herstel via externe platformen kan niet worden gegarandeerd.

Kort antwoord: Is je KPN- of HetNet-mail gehackt en krijgen bekenden ineens berichten waarin om Apple Gift Cards of cadeaukaarten wordt gevraagd? Dan kan iemand je echte mailbox, contacten of oude e-mails hebben misbruikt. Verander niet alleen het wachtwoord. Controleer ook KPN-ID, herstelgegevens, doorstuurregels, filters, verzonden en verwijderde berichten, opgeslagen browserwachtwoorden en eventuele hulp-op-afstandsoftware. In deze anonieme praktijkcase bleek een nagemaakte KPN-webmailpagina de meest waarschijnlijke ingang.

KPN-mail gehackt en cadeaukaartmails verstuurd?

Het begint vaak niet met een duidelijke waarschuwing op het scherm. De eigenaar van het e-mailaccount merkt soms pas iets wanneer een bekende belt of appt:

“Ik kreeg een vreemde mail van jou. Klopt dit wel?”

In deze anonieme praktijkcase uit de regio Delft/Pijnacker kregen meerdere bekenden een persoonlijk ogende e-mail. In het bericht werd namens de eigenaar gevraagd om Apple Gift Cards te kopen. De reden klonk alledaags en geloofwaardig: zij voelde zich niet goed en online bestellen lukte niet.

Twee ontvangers vertrouwden het bericht en betaalden samen enkele honderden euro’s.

Dat maakt dit geen gewone spam of onschuldige spoofingmelding. Er was sprake van echte schade en misbruik van vertrouwen binnen haar eigen contactenkring.

Heb je een vergelijkbare situatie?


De opvallende vraag: hoe kwamen de criminelen binnen?

De klant kon zich niet herinneren dat zij bewust haar wachtwoord op een verdachte website had ingevuld. Ook in de browsergeschiedenis stond geen duidelijke phishingpagina meer.

Toch kwamen tijdens de beveiligingscontrole meerdere aanwijzingen bij elkaar.

1. Chrome had een wachtwoord bij een verdachte website opgeslagen

In de wachtwoordmanager van Chrome stond een onbekende website met haar e-mailadres en een opgeslagen wachtwoord.

Het domein hoorde niet bij KPN, maar de pagina deed zich visueel voor als KPN Webmail. De website is veilig en zonder echte klantgegevens bekeken. Daarbij was duidelijk te zien dat bezoekers naar een nagemaakte KPN-inlogpagina werden geleid.

2. In de mailbox stond een bericht dat op HetNet/Telfort leek

In haar mailbox stond een e-mail die zich voordeed als een bericht rond HetNet/Telfort en een vermeende overstap. De link in dat bericht kwam overeen met het verdachte adres dat Chrome bij de opgeslagen wachtwoorden liet zien.

Oude adressen zoals @hetnet.nl en andere provideradressen worden nog veel gebruikt. Daardoor kan een bericht met KPN-, HetNet- of Telfort-uitstraling voor de ontvanger vertrouwd aanvoelen.

3. Het opgeslagen wachtwoord kwam overeen met het oude mailwachtwoord

Het wachtwoord dat Chrome voor de verdachte website had opgeslagen, kwam overeen met het wachtwoord dat eerder voor de e-mail werd gebruikt.

Dat is een sterke aanwijzing dat de inloggegevens op een nagemaakte webmailpagina zijn ingevuld. Het is geen volledige forensische reconstructie, omdat de oorspronkelijke klik en alle technische logs niet meer beschikbaar waren. Maar de combinatie van domein, nagemaakte KPN-pagina, opgeslagen gebruikersnaam en passend wachtwoord maakt phishing de meest waarschijnlijke oorzaak.

De politie beschrijft phishing als een situatie waarin criminelen een vertrouwde organisatie nabootsen en slachtoffers via een link naar een valse website sturen om inloggegevens te verzamelen. Met die gegevens kan de aanvaller vervolgens bij de echte dienst inloggen. Zie ook de officiële uitleg van de politie over phishing.


“Maar ik weet zeker dat ik niets heb ingevuld”

Dat horen we vaker bij phishingincidenten. Dat betekent niet dat iemand liegt of onoplettend is.

Een phishingpagina kan bijna hetzelfde ogen als de echte KPN-webmail. Zeker wanneer iemand:

  • dagelijks hetzelfde e-mailadres gebruikt;
  • een bekend KPN-, HetNet- of Telfort-logo ziet;
  • onder tijdsdruk een melding over afsluiting, overstap of beveiliging krijgt;
  • gewend is dat de browser wachtwoorden automatisch invult;
  • niet verwacht dat een vertrouwde afzender wordt nagemaakt.

Het invullen kan in enkele seconden gebeuren en daarna nauwelijks als bijzondere handeling worden onthouden.

Waarom stond de phishingpagina niet in de browsergeschiedenis?

Een ontbrekende browserregel bewijst niet dat de website nooit is bezocht. Mogelijke verklaringen zijn:

  • de link is op een ander apparaat geopend;
  • de browsergeschiedenis is automatisch of handmatig opgeschoond;
  • er is in een privévenster gewerkt;
  • de pagina heeft via meerdere omleidingen geladen;
  • browserprofielen of synchronisatie stonden niet gelijk;
  • de oorspronkelijke phishingmail is verwijderd;
  • een aanvaller heeft na toegang berichten of sporen weggehaald.

Daarom kijk je bij een e-mailincident nooit naar één signaal. Je combineert mailboxgegevens, wachtwoordmanager, berichten, instellingen, apparaten en de tijdlijn.


Bewijs, aanwijzing of nog onbekend?

Bij incidenthulp is het belangrijk om feiten niet groter te maken dan ze zijn.

BevindingBetekenis
Verdachte KPN-lookalike stond met e-mailadres en wachtwoord in ChromeSterke aanwijzing dat gegevens op die website zijn gebruikt
Het opgeslagen wachtwoord kwam overeen met het oude mailwachtwoordVersterkt de phishinghypothese
Contacten ontvingen persoonlijke cadeaukaartmailsWijst op misbruik van mailbox, contacten of eerder buitgemaakte gegevens
Verdachte berichten stonden deels bij verwijderde e-mailsOndersteunt dat de mailbox of mailroute is misbruikt
Oorspronkelijke phishingklik niet teruggevondenExact moment en apparaat konden niet volledig worden gereconstrueerd
Vaste telefoon gaf een vreemde nummerweergaveGeen bewezen technisch verband met de e-mailhack

Die laatste regel is belangrijk. Na een hack voelt ieder vreemd apparaatgedrag al snel verbonden met hetzelfde incident. Een afwijkende nummermelder is op zichzelf geen bewijs dat een vaste telefoon of modem is overgenomen.


Waarom vragen fraudeurs juist om Apple Gift Cards?

Cadeaukaartfraude werkt door een combinatie van vertrouwen, tijdsdruk en een betaalmiddel dat snel kan worden verzilverd.

Het bericht klinkt meestal persoonlijk:

  • “Ik ben ziek en kan dit zelf even niet regelen.”
  • “Kun je snel een cadeaukaart voor mij kopen?”
  • “Ik betaal je straks terug.”
  • “Stuur even een foto van de code.”

De ontvanger denkt niet dat hij met een onbekende fraudeur praat. Hij denkt dat hij een bekende helpt.

Zodra de code van een cadeaukaart is doorgestuurd, kan die snel worden gebruikt of doorverkocht. Daarom moet een ontvanger bij zo’n onverwacht verzoek altijd via een ander, bekend kanaal controleren of het echt klopt.

Bel de persoon bijvoorbeeld op een nummer dat je al kende. Gebruik niet het nummer, e-mailadres of de link uit het verdachte bericht.


Stonden de fraudemails echt in de mailbox?

Dat is een van de eerste controles bij vreemde mails uit jouw naam.

Controleer deze mappen

  • Verzonden
  • Verwijderd of Prullenbak
  • Concepten
  • Archief
  • Spam
  • zelfgemaakte mappen

In deze case waren in de prullenbak nog berichten zichtbaar die vanuit het account leken te zijn verstuurd, met korte hulpteksten zoals “help me aub”.

Ook was in de fraudemail een handtekening gebruikt met persoonlijke gegevens die de eigenaar soms zelf onder berichten plaatste. Dat kan erop wijzen dat de aanvaller toegang had tot:

  • de echte mailbox;
  • eerder verzonden berichten;
  • de ingestelde handtekening;
  • het adresboek of mailprogramma.

Maar ook hier geldt: leg vast wat je ziet en trek pas daarna conclusies. Een naam of adres kan soms ook uit openbare bronnen, oude datalekken of eerder ontvangen e-mails komen.


Alleen het wachtwoord wijzigen is niet genoeg

KPN had het wachtwoord in deze case al aangepast. Dat was noodzakelijk, maar een beveiligingscontrole moet verder gaan.

Een aanvaller kan na toegang instellingen hebben gewijzigd waardoor hij blijft meelezen of beveiligingsmails buiten beeld houdt.

Controleer in webmail

  • automatisch doorsturen;
  • filters en mailregels;
  • onbekende handtekeningen;
  • automatische antwoorden;
  • hersteladres en herstelnummer;
  • verzonden en verwijderde berichten;
  • onbekende aliassen of extra accounts;
  • of de mailbox weer normaal ontvangt en verzendt.

Controleer KPN-ID apart

Een mailwachtwoord en KPN-ID zijn niet altijd hetzelfde onderdeel van de beveiliging. Controleer daarom ook:

  • of het KPN-ID-wachtwoord uniek is;
  • of tweestapsverificatie aanstaat;
  • of herstelgegevens kloppen;
  • of alleen bekende producten en gegevens gekoppeld zijn.

Gebruik voor wijzigingen nooit opnieuw de link uit het verdachte bericht. Open zelf de officiële KPN-website of app.


De computer controleren: forensic-lite, geen wilde opschoonactie

Bij particuliere incidenthulp is meestal geen volledige digitale forensische kopie nodig. Wel is het belangrijk om gestructureerd te kijken voordat alles wordt verwijderd.

In deze case zijn onder andere gecontroleerd:

  • eerder gebruikte hulp-op-afstandsoftware;
  • TeamViewer en andere remote-supportprogramma’s;
  • geïnstalleerde programma’s en opstart-apps;
  • Windows-beveiliging en updates;
  • browserprofielen en extensies;
  • opgeslagen wachtwoorden;
  • mailprogramma en accountinstellingen;
  • onbekende Windows-gebruikers;
  • OneDrive- en Microsoft-accountkoppelingen.

Een remote-supportprogramma is niet automatisch kwaadaardig. Het kan legitiem door een computerwinkel of helpdesk zijn gebruikt. De vraag is vooral:

  • staat het programma er nog?
  • start het automatisch?
  • is onbeheerde toegang ingesteld?
  • is het gebruikte account nog bekend?
  • weet de klant wie toegang had en wanneer?

Verwijder niet blind ieder programma met “remote” in de naam. Leg eerst vast wat aanwezig is en waarom het gebruikt werd.


Ook de Android-telefoon nalopen

Omdat e-mail vaak ook op de telefoon staat, hoort Android bij dezelfde controle.

Belangrijke punten:

  • Android- en beveiligingsupdates;
  • onbekende of recent geïnstalleerde apps;
  • apps met toegankelijkheidsrechten;
  • apparaatbeheerapps;
  • VPN- of remote-supportapps;
  • Google-account en actieve apparaten;
  • herstelmail en herstelnummer;
  • WhatsApp gekoppelde apparaten;
  • opgeslagen browserwachtwoorden;
  • KPN-mailinstellingen.

Een nieuw telefoonnummer is meestal niet nodig als er geen aanwijzing is voor simswap, nummerportering of overgenomen WhatsApp. Eerst moet worden vastgesteld welk account daadwerkelijk is geraakt.


Wat is in deze case aangepakt?

Tijdens de afspraak zijn de belangrijkste onderdelen gecontroleerd en waar nodig aangescherpt:

  • KPN-mail en KPN-ID;
  • relevante herstel- en beveiligingsinstellingen;
  • webmailmappen, regels en verzonden/verwijderde berichten;
  • Windows-pc en remote-supportsoftware;
  • browserinstellingen en opgeslagen wachtwoorden;
  • Android-telefoon en belangrijke accountkoppelingen;
  • algemene beveiliging, updates en tweestapsverificatie waar mogelijk.

Er werden geen harde garanties gegeven dat een apparaat “100% veilig” is. Wel ontstond een veel duidelijker beeld van de meest waarschijnlijke ingang en de resterende risico’s.

Open vervolgstappen

  1. Een apart Gmail-adres gebruiken voor online bestellingen.
    Dat beperkt hoeveel winkels en nieuwsbrieven het belangrijkste persoonlijke mailadres kennen. Het vervangt geen goede beveiliging, maar zorgt wel voor een nuttige scheiding.

  2. Onveilige of hergebruikte wachtwoorden wijzigen.
    Vooral accounts waarop hetzelfde of een sterk gelijkend wachtwoord als het oude KPN-wachtwoord is gebruikt, krijgen prioriteit.

  3. Belangrijke accounts stap voor stap nalopen.
    Niet twintig wachtwoorden tegelijk in paniek veranderen, maar beginnen bij herstelmail, KPN, Google/Microsoft, bank en andere accounts met veel impact.


Wat moet je direct doen als je KPN-mail is gehackt?

Open zelf de officiële website of app. Zoek de dienst niet op via advertenties en gebruik geen link uit de verdachte mail.

Stap 2: verander het wachtwoord vanaf een gecontroleerd apparaat

Kies een nieuw, uniek wachtwoord. Gebruik het oude wachtwoord nergens opnieuw.

Stap 3: controleer KPN-ID én de mailbox

Kijk naar herstelgegevens, 2FA, doorstuurregels, filters, verzonden berichten en verwijderde berichten.

Stap 4: waarschuw contacten via een ander kanaal

Meld kort dat eerdere cadeaukaart- of betaalverzoeken niet van jou kwamen. Vraag ontvangers niets te betalen en geen codes door te sturen.

Stap 5: laat slachtoffers van de cadeaukaartfraude direct handelen

Wie al heeft betaald of een code heeft doorgestuurd, moet zo snel mogelijk contact opnemen met de verkoper of kaartuitgever, de eigen bank en waar passend politie of Fraudehelpdesk. Bewaar kassabonnen, codes, berichten en betaalbewijzen.

Stap 6: wijzig hergebruikte wachtwoorden

Begin bij accounts met de grootste impact:

  1. herstelmail;
  2. hoofdmail;
  3. Google of Microsoft;
  4. bank en betaalaccounts;
  5. webshops;
  6. sociale media.

Stap 7: bewaar bewijs

Maak screenshots of exports van:

  • verdachte berichten;
  • verzonden of verwijderde mails;
  • onbekende regels;
  • de afzender en zichtbare link;
  • betaalbewijzen;
  • tijdstippen;
  • meldingen van KPN.

Publiceer de phishing-URL niet en open hem niet rechtstreeks op je normale apparaat.


Heb je meteen een nieuw e-mailadres, nummer of provider nodig?

Niet altijd.

Nieuw e-mailadres

Een schoon extra e-mailadres kan verstandig zijn als hersteladres of apart adres voor webshops. Je hoeft je bestaande KPN- of HetNet-adres niet per se direct op te geven als het account goed hersteld en beveiligd kan worden.

Nieuw 06-nummer

Meestal niet nodig zonder signalen van simswap, ongewenste nummerportering, overgenomen WhatsApp of gerichte stalking.

Andere internetprovider

Een providerwissel verwijdert geen gestolen wachtwoord en herstelt geen verkeerd ingestelde mailregels. Beveilig eerst het account, apparaten en herstelgegevens. Overstappen kan later nog om praktische redenen, maar is geen eerste beveiligingsmaatregel.


Wanneer is professionele hulp verstandig?

Laat de situatie beoordelen wanneer:

  • contacten vreemde mails uit jouw naam krijgen;
  • mensen geld of cadeaukaarten hebben betaald;
  • je niet weet welke accounts nog veilig zijn;
  • mail opnieuw uitvalt na herstel;
  • onbekende regels of doorstuuradressen zichtbaar zijn;
  • remote-supportsoftware is gebruikt;
  • je hetzelfde wachtwoord op meerdere plekken gebruikte;
  • bank, DigiD, WhatsApp of sociale media mogelijk geraakt zijn;
  • je door de hoeveelheid meldingen geen overzicht meer hebt.

InstantIT helpt particulieren en kleine ondernemers met e-mailincidenten, phishing, accountbeveiliging en controle van pc en telefoon. Aan huis in Den Haag, Delft, Rijswijk, Pijnacker, Zoetermeer en omgeving, of op afstand in heel Nederland.

Herstel kan nooit volledig worden gegarandeerd. Het doel is om de oorzaak zo goed mogelijk te achterhalen, achtergebleven toegang te verwijderen, risico’s te verlagen en een werkbaar beveiligingsplan te maken.


Veelgestelde vragen

Hoe weet ik of mijn KPN-mail echt is gehackt of alleen is gespooft?

Controleer of de berichten in Verzonden, Verwijderd of andere mailboxmappen staan, of er onbekende mailregels zijn en of KPN vreemde toegang heeft vastgesteld. Bij spoofing wordt alleen je zichtbare afzenderadres nagemaakt. Bij accountovername kan iemand mogelijk echt in je mailbox, contacten en instellingen.

Kan een hacker mijn volledige adresboek gebruiken?

Als iemand toegang heeft tot je mailbox, mailprogramma of gesynchroniseerde contacten, kan die persoon mogelijk bekenden gericht benaderen. Daarom zijn persoonlijke cadeaukaartmails naar meerdere contacten een serieus signaal.

Waarom zie ik de phishingwebsite niet meer in mijn browsergeschiedenis?

De link kan op een ander apparaat of in een privévenster zijn geopend. Geschiedenis kan ook zijn gewist of niet zijn gesynchroniseerd. Kijk daarom ook naar opgeslagen wachtwoorden, mailboxinhoud en accountinstellingen.

Moet ik na een KPN-mailhack direct een nieuw e-mailadres maken?

Niet per se als vervanging. Een extra schoon hersteladres of apart adres voor online bestellingen kan wel verstandig zijn. Beveilig eerst het bestaande account en zet belangrijke herstelroutes goed.

Is een vreemd telefoontje of een fout in de nummermelder bewijs dat mijn modem is gehackt?

Nee. Een vreemde nummerweergave is op zichzelf geen bewijs van een hack. Controleer modem en vaste telefonie wel als er meer concrete signalen zijn, maar houd het technisch los van het e-mailincident totdat er een aantoonbaar verband is.

Wat moet ik doen als iemand al een Apple Gift Card heeft gekocht?

Neem direct contact op met de winkel of kaartuitgever, bank en waar passend politie of Fraudehelpdesk. Bewaar de bon, code, mail, chat en betaalgegevens. Deel de code niet verder en probeer het account waarvan het verzoek kwam via een ander kanaal te bereiken.

Veelgestelde vragen over dit onderwerp