MiCA en de Wft worden nu misbruikt als lokaas. Een nieuwe phishingmail uit naam van
Bitvavo doet alsof adrescontrole wettelijk verplicht is en dreigt met accountbeperkingen.
De
Fraudehelpdesk publiceerde op 15 juli 2026 een voorbeeld van de valse e-mail. Het bericht komt zogenaamd van “Bitvavo Support” en draagt het onderwerp “Adresverificatie vereist voor uw account”.
Regelgeving wordt de val
De mail verwijst naar de Wet op het financieel toezicht,
MiCA en de Basisregistratie Personen. Volgens de tekst zouden adresgegevens afwijken van de BRP.
Daarna volgt de druk. Het account zou tijdelijk beperkt worden als de gebruiker zijn gegevens niet controleert.
Dat maakt de aanval gevaarlijker dan een slordige nepmail. Veel cryptogebruikers hebben de afgelopen maanden echte berichten gezien over verificatie, klantonderzoek en nieuwe EU-regels.
Fraudeurs liften daarop mee. Ze gebruiken compliance-taal om de klik logisch te laten voelen.
Fraudehelpdesk noemt het vals
De Fraudehelpdesk classificeert het bericht expliciet als valse e-mail. Ontvangers kunnen verdachte mails doorsturen naar
[email protected] en de mail daarna verwijderen.
Het gaat dus niet om een door
Bitvavo bevestigd verificatiebericht. Het is merk- en identiteitsmisbruik.
Dat verschil telt. Een bekende naam in de afzenderregel zegt niets wanneer de link naar een nagemaakte pagina leidt.
De truc zit niet in slechte spelling, maar in de schijn van wettelijke urgentie.
Bitvavo-phishing komt in golven
De melding staat niet op zichzelf. In het
Bitvavo-archief van de Fraudehelpdesk staan meerdere recente voorbeelden van valse e-mails uit naam van het platform.
De onderwerpen draaien vaak om adresgegevens, berichten in de accountomgeving, klantdata of het voorkomen van blokkades.
Dat wijst niet automatisch op een beveiligingsprobleem bij Bitvavo zelf. Het laat vooral zien dat fraudeurs bekende cryptomerken gebruiken omdat die vertrouwen wekken.
Voor gebruikers is de schade wel direct. Eén verkeerde login op een nepsite kan genoeg zijn.
Waarom crypto extra kwetsbaar is
Bij phishing rond crypto is de foutmarge klein. Wie inloggegevens, herstelcodes of tweefactorcodes invult op een valse pagina, kan criminelen toegang geven tot zijn account.
Daarna kan geld snel naar andere adressen bewegen. Transacties op een blockchain zijn meestal niet terug te draaien.
Daarom zit de bescherming vooral vóór de klik. Niet achteraf.
Een echte verificatie kan nodig zijn. Maar die moet je nooit starten via een link uit een verdachte e-mail.
Bitvavo geeft controlepunten
Bitvavo schrijft in zijn eigen
supportartikel over phishing dat officiële e-mails afkomstig zijn van adressen die eindigen op @bitvavo.com, @info.bitvavo.com of @news.bitvavo.com.
Ook wijst Bitvavo op de anti-phishingcode. Elke automatische e-mail van Bitvavo hoort die code te bevatten wanneer de functie is ingesteld.
Die code kun je zelf instellen in je account. Bitvavo legt op zijn
supportpagina uit hoe dat werkt.
Ontbreekt de code, klopt hij niet of voelt de mail dwingend? Dan moet de link dicht blijven.
Log zelf in, klik niet door
Wie een melding krijgt over adrescontrole of accountbeperking, moet zelf naar de officiële app of website gaan. Niet via de e-maillink.
Controleer daar of er echt een actie openstaat. Is er niets te zien, dan is de kans groot dat de mail vals is.
Deel nooit je wachtwoord, tweefactorcode, herstelcode of seed phrase. Geen enkele helpdesk heeft die nodig.
Een seed phrase hoort alleen bij een eigen wallet. Wie die weggeeft, geeft de controle over zijn crypto weg.
MiCA-taal maakt phishing geloofwaardiger
De nieuwe mail laat zien hoe snel fraude zich aanpast. Nu cryptobedrijven vaker over verificatie en regels communiceren, gebruiken oplichters dezelfde taal.
Voor Nederlandse en Belgische gebruikers wordt dat een lastigere omgeving. Niet elk formeel klinkend bericht is echt. Niet elke verwijzing naar toezicht is betrouwbaar.
De beste gewoonte blijft saai, maar sterk: open zelf de app, controleer de afzender, check de anti-phishingcode en klik niet op drukknoppen in mails.
Regelgeving moet gebruikers beschermen. In deze aanval wordt diezelfde regelgeving gebruikt om ze de val in te trekken.