Fraudehelpdesk waarschuwt voor valse Kraken-mail met MiCA en Wft

Nederlandse cryptogebruikers moeten opnieuw alert zijn op phishing uit naam van Kraken. De Fraudehelpdesk publiceerde op 11 mei 2026 een voorbeeld van een valse e-mail waarin ontvangers onder verwijzing naar de Wft, MiCAR en de Basisregistratie Personen worden aangezet om hun adresgegevens via een link te controleren.

Juist die opzet maakt het bericht verraderlijk. De mail doet alsof Kraken verplicht is adres- en identiteitsgegevens actueel te houden en stelt vervolgens dat de gegevens van de ontvanger zouden afwijken van de BRP. Daarna volgt de dreiging dat het account tijdelijk wordt beperkt totdat de gegevens zijn geverifieerd. De Fraudehelpdesk merkt het bericht aan als een valse e-mail die bij de organisatie is gemeld.

De kracht van deze scam zit niet in slechte taal, maar juist in geloofwaardige taal. In het voorbeeldbericht worden de Wet op het financieel toezicht, de Europese Markets in Crypto-Assets Regulation en de BRP in één compliance-verhaal samengebracht. Voor Nederlandse gebruikers klinkt dat logisch genoeg om argwaan even uit te schakelen.

Dat is niet toevallig. Kraken meldde in augustus 2025 dat al zijn klanten in de Europese Economische Ruimte voortaan worden bediend via de MiCA-gereguleerde entiteit die is geautoriseerd door de Central Bank of Ireland. Een verwijzing naar Europese cryptoregels klinkt daardoor voor veel klanten niet vreemd, en precies dat vertrouwen wordt hier misbruikt.

Op de eigen supportpagina schrijft Kraken dat phishing een veelvoorkomende bedreiging is voor klanten. Volgens het bedrijf proberen oplichters gebruikers via ongevraagde e-mails of sms-berichten naar nepwebsites te lokken die vragen om inloggegevens of andere gevoelige informatie. Kraken adviseert daarom om nooit op links in zulke berichten te klikken, maar altijd handmatig naar de officiële inlogpagina te gaan.

Kraken noemt ook signalen waar gebruikers op kunnen letten. Supportmails horen volgens het bedrijf van erkende domeinen te komen, waaronder adressen onder @kraken.com, @futures.kraken.com, @email2.kraken.com en @email.krak.app. Daarnaast zegt Kraken dat het gebruikers nooit zal vragen om wachtwoorden, het verwijderen van 2FA-methoden of toegang tot apparaten via software voor externe desktoptoegang.

Voor Nederlandse lezers zit de extra relevantie in de lokale aankleding. Deze phishingmail gebruikt niet alleen de naam van een internationale exchange, maar ook typisch Nederlandse begrippen als BRP en Wft. Daarmee krijgt het bericht een plausibel Nederlands sausje dat beter aansluit op wat gebruikers van een gereguleerd platform verwachten.

Dat maakt deze waarschuwing breder dan een standaard veiligheidsbericht. Het laat zien dat oplichters hun scripts aanpassen aan de markt waarin ze slachtoffers zoeken. Naarmate crypto in Europa formeler wordt gereguleerd, verschuift ook het vocabulaire van phishingcampagnes mee. Die laatste conclusie volgt uit de combinatie van de Fraudehelpdesk-mail en Kraken’s MiCA-context.

Wie zo’n bericht ontvangt, doet er verstandig aan niets aan te klikken en geen gegevens in te vullen. De Fraudehelpdesk vraagt ontvangers om verdachte mails door te sturen naar het meldadres van de organisatie en ze daarna uit de inbox te verwijderen. De site waarschuwt ook dat extra actie nodig kan zijn als iemand al op een bijlage heeft geklikt of gegevens heeft ingevuld.

Voor Kraken-gebruikers geldt daarnaast dat een vermoedelijk phishingincident direct bij het platform moet worden gemeld. Kraken adviseert in dat geval om contact op te nemen met support, het wachtwoord van zowel het Kraken-account als het gekoppelde e-mailadres te wijzigen en goed te controleren of er alleen is ingelogd via de officiële Kraken-omgeving.

De belangrijkste les is simpel: een bericht dat juridisch correct klinkt, is nog geen legitiem bericht. Deze campagne leunt niet op paniektaal alleen, maar op geloofwaardige regelgeving, lokale termen en een bekend merk. Dat maakt broncontrole voor Nederlandse cryptogebruikers alleen maar belangrijker.