CJIB nepmail herkennen en melden: stap voor stap

Elke week ontvangen duizenden Nederlanders een mail die lijkt te komen van het CJIB. De mail dreigt met een verhoogde boete als je niet snel betaalt. Maar het CJIB verstuurt nooit e-mails, sms-berichten of WhatsApp-berichten over boetes. Elke digitale boodschap die beweert van het CJIB te zijn, is nep. In dit artikel lees je hoe je zo’n nep-mail stap voor stap herkent, wat je vervolgens doet en hoe je voorkomt dat je erin trapt.

Waarom het CJIB nooit mailt

Het Centraal Justitieel Incassobureau (CJIB) is de overheidsorganisatie die verkeersboetes en andere financiële sancties int. Wettelijk is vastgelegd dat het CJIB officiële berichten alleen per gewone post verstuurt, of via de Berichtenbox van MijnOverheid. E-mail, sms en WhatsApp zijn uitdrukkelijk geen kanalen die het CJIB gebruikt voor betalingsverzoeken.

Dat is ook de reden waarom criminelen juist dit kanaal misbruiken: mensen zijn niet gewend dat het CJIB mailt, dus de verrassing werkt in het voordeel van de oplichter. Houd als vaste regel aan: iedere mail, sms of app die zegt van het CJIB te zijn, is vals. Punt.

Hoe een CJIB-phishingmail eruitziet

Phishingmails worden steeds professioneler. In 2026 zijn er meerdere golven geweest waarbij de mails vrijwel identiek leken aan echte overheidscommunicatie. Dit zijn de kenmerken die je terugziet:

• Officieel logo: het CJIB-logo en huisstijl zijn vrijwel perfect nagebootst.
• Geloofswaardige dossiernummers: nummers als 2026-CJ-8192-3 of 202656847718 zien er echt uit maar zijn gefabriceerd.
• Tijdsdruk: zinnen als “Betaal vóór 22 april” of “Voorkom een verhoging tot €640” moeten je haastig laten handelen.
• iDEAL-betaallink: de mail bevat een knop of link die naar een nep-betaalpagina leidt.
• Correcte IBAN: soms staat er zelfs een echt IBAN-nummer in (gestolen uit een datalek), wat het geheel geloofwaardiger maakt.
• Aanhef “Geachte heer/mevrouw”: het CJIB zou je bij naam aanschrijven; criminelen kennen die naam niet altijd en gebruiken een algemene aanhef.

In februari en maart 2026 ontving het CJIB meer dan 5.200 meldingen per week van valse boetes. Experts vermoeden een verband met het Odido-datalek waarbij IBAN-nummers en persoonsgegevens van miljoenen klanten op straat kwamen te liggen.

Stap voor stap: wat doe je als je zo’n mail ontvangt?

1. Niet klikken. Open geen links, knoppen of bijlagen in de mail. Ook niet om “even te kijken wat er staat”.
2. Controleer of je echt een boete hebt. Log in op MijnOverheid.nl met je DigiD en open de Berichtenbox. Staat er niets? Dan is de mail nep.
3. Stuur de mail door naar de Fraudehelpdesk. Stuur het bericht als bijlage of forward het naar [email protected]. Zo helpen anderen.
4. Markeer als spam/phishing in je mailprogramma. In Gmail klik je op de drie puntjes naast het bericht en kies je “Phishing melden”. In Outlook gebruik je de knop “Ongewenste e-mail” → “Phishing”.
5. Verwijder de mail. Bewaar hem niet in je inbox.
6. Betaal nooit. Heb je per ongeluk al geklikt maar nog niet betaald? Sluit de pagina direct en doe niets.

Wat als je al hebt betaald of je gegevens hebt ingevuld?

Heb je toch op een link geklikt en je bankgegevens ingevuld? Handel dan direct:

1. Bel je bank. Vraag of de betaling geblokkeerd of teruggedraaid kan worden. Hoe sneller, hoe groter de kans op succes.
2. Blokkeer je betaalpas via de app of via het spoedblokkeeringnummer van je bank (Visa/Mastercard: 0800-0224, ING: 020-228 88 00, Rabobank: 088-726 2265).
3. Doe aangifte bij de politie. Ga naar politie.nl of naar een politiebureau en meld cybercriminaliteit. Noteer de URL en de afzender van de mail voor bewijs.
4. Meld het bij het CJIB zelf. Via cjib.nl kun je valse berichten melden zodat zij actie kunnen ondernemen om de nepsite offline te laten halen.
5. Check je overige accounts. Als je hetzelfde wachtwoord op meerdere plekken gebruikt, wijzig het dan overal en schakel tweestapsverificatie in.

Veelgemaakte fouten bij CJIB-phishing

Zelfs mensen die weten dat er CJIB-phishing bestaat, maken soms fouten. Dit zijn de meest voorkomende:

• Toch klikken “om het te controleren”: criminelen registreren kliks. Ook een klik zonder betalen kan je e-mailadres markeren als actief, waardoor je meer phishing krijgt.
• De link intypen in de browser in plaats van erop klikken: hetzelfde effect. Bezoek nepsites niet.
• De afzender vertrouwen op naam: het afzendernaam in je mailprogramma kan worden gefakeed. Kijk altijd naar het echte e-mailadres (klik op de naam om het te zien). Een echt overheidsadres eindigt op @cjib.nl of @rijksoverheid.nl.
• Denken “ik heb geen boete” is niet genoeg: sommige mails claimen onbetaalde boetes van jaren geleden. Controleer altijd via MijnOverheid.
• De mail bewaren als bewijs: stuur hem door naar de Fraudehelpdesk en verwijder hem daarna. Je inbox is geen archief voor phishing.
• Vrienden en familie niet waarschuwen: oudere of minder digitaalvaardige mensen zijn extra kwetsbaar. Een kort berichtje kan hen behoeden.

Hoe herken je een echte brief van het CJIB?

Nu je weet dat het CJIB nooit mailt, is het goed om te weten hoe echte communicatie eruitziet:

• Een fysieke brief op papier, verstuurd per post naar je woonadres.
• Een bericht in de Berichtenbox van MijnOverheid (alleen zichtbaar als je bent ingelogd met DigiD).
• De brief bevat een acceptgirokaart of betaalinstructies zonder dat je op een link hoeft te klikken.
• Het CJIB noemt altijd je volledige naam en adres zoals geregistreerd bij de BRP.

Twijfel je of een brief echt is? Bel het CJIB op 088-0708 009 (maandag t/m vrijdag 08:00-20:00) en geef het zaaknummer door. Zij kunnen direct bevestigen of het dossier bestaat. Zoek het telefoonnummer op via de officiële CJIB-website en niet via de brief of mail zelf.

Wat doet het CJIB zelf tegen valse berichten?

Het CJIB werkt actief samen met het Nationaal Cyber Security Centrum (NCSC), de Fraudehelpdesk en hostingproviders om nepsites snel offline te laten halen. In 2026 zijn er meerdere phishingcampagnes binnen enkele dagen na ontdekking neergehaald dankzij meldingen van burgers.

Je melding telt dus echt mee. Hoe meer mensen een nep-site melden, hoe sneller die verdwijnt en hoe minder slachtoffers er vallen. Meld via cjib.nl/valse-berichten of via de Fraudehelpdesk.

Bescherm jezelf structureel tegen phishing

CJIB-phishing is een variant van een breder probleem. Met een paar structurele maatregelen maak je het oplichters moeilijker:

• Zet MijnOverheid-notificaties aan. Ontvang een berichtje als er iets in je Berichtenbox belandt. Zo weet je wanneer er echt iets van de overheid is.
• Gebruik een wachtwoordmanager zodat je voor elke site een uniek wachtwoord hebt. Als één wachtwoord uitlekt via een datalek, zijn je andere accounts veilig.
• Schakel tweestapsverificatie in op je e-mail en bankieren-app. Zelfs als oplichters je wachtwoord hebben, kunnen ze dan niet inloggen.
• Houd je software en apps up-to-date. Updates dichten beveiligingslekken die phishingsites misbruiken.
• Lees je mail rustig. Tijdsdruk is het wapen van de oplichter. Neem altijd even de tijd voordat je klikt of betaalt.

Wil je meer weten over hoe je phishingmails in het algemeen herkent? Op handleidingstart.nl vind je uitgebreide stappenplannen voor diverse vormen van online oplichting.

CJIB-phishing via sms en WhatsApp

Naast e-mail gebruiken oplichters ook sms en WhatsApp om nepberichten te versturen. De aanpak is gelijk: een korte tekst met een link naar een betaalpagina. Soms staat er zelfs een plaatje van het CJIB-logo mee gestuurd om de boodschap geloofwaardiger te laten lijken.

Sms-phishing (ook wel smishing genoemd) is extra gevaarlijk omdat je op een telefoon minder snel het echte adres achter een link ziet. Houd je aan dezelfde regel: klik nooit. Log in op MijnOverheid om te controleren of er echt iets openstaat.

Heeft iemand via WhatsApp contact opgenomen namens het CJIB? Blokkeer de afzender direct en meld het nummer via de drie puntjes in WhatsApp → “Melden”. WhatsApp stuurt de melding door naar zijn veiligheidsteam.

Wat staat er in een echte CJIB-brief?

Een echte beschikking van het CJIB bevat altijd de volgende elementen:

• Je volledige naam, adres en geboortedatum zoals geregistreerd bij de gemeente.
• Een WAHV-beschikkingsnummer of zaaknummer.
• De overtreding en de datum en locatie ervan.
• Het te betalen bedrag en de uiterste betaaldatum.
• Een acceptgirokaart of QR-code die verwijst naar cjib.nl/betalen.
• Informatie over bezwaar maken (binnen zes weken, bij de kantonrechter of via het CJIB).

Mis je een van deze elementen in een brief die je hebt ontvangen? Bel het CJIB voor verificatie. Twijfel je over een digitale mededeling? Dan is het antwoord altijd: het is nep.

Kinderen en ouderen beschermen

Jongeren en ouderen zijn extra kwetsbaar voor CJIB-phishing. Jongeren omdat ze soms minder bekend zijn met overheidsprocessen en niet weten dat het CJIB nooit mailt. Ouderen omdat phishingmails steeds realistischer worden en ze minder vertrouwd zijn met hoe e-mailadressen te controleren.

Wat je kunt doen:

• Leg aan kinderen en tieners uit dat overheden nooit betaling vragen via een link in een e-mail.
• Help ouders of grootouders om MijnOverheid in te stellen. Zo kunnen ze zelf boetes en brieven controleren zonder jouw hulp te hoeven vragen.
• Stel in op hun apparaat dat verdachte links automatisch worden geblokkeerd. Google Safe Browsing (ingebouwd in Chrome) en Microsoft Defender SmartScreen (ingebouwd in Edge) doen dit gratis.

Meldpunten en nuttige links

Veelgestelde vragen

Stuurt het CJIB ooit een e-mail?

Nee, nooit. Het CJIB verstuurt officiële berichten uitsluitend per gewone post of via de Berichtenbox van MijnOverheid. Elke e-mail, sms of WhatsApp die zegt van het CJIB te zijn, is nep.

Hoe weet ik of ik echt een openstaande boete heb?

Log in op MijnOverheid.nl met je DigiD en open de Berichtenbox. Staat er niets van het CJIB? Dan heb je geen openstaande boete. Je kunt ook bellen met het CJIB op 088-0708 009.

Ik heb op de link geklikt maar niet betaald. Wat nu?

Sluit de pagina direct. Controleer je apparaat op vreemde software (voer een antivirusscan uit). Wijzig het wachtwoord van je e-mail en bankieren-app voor de zekerheid. Meld de phishingpoging bij de Fraudehelpdesk.

Kan ik de nep-CJIB-mail doorzetten naar iemand?

Ja, stuur hem als bijlage door naar [email protected]. Stuur hem niet gewoon door naar vrienden als waarschuwing — iemand die onoplettend is, kan dan per ongeluk toch klikken.

Hoe herken ik een echt CJIB-afzenderadres als ze toch zouden mailen?

Het CJIB mailt niet, dus een officieel e-mailadres bestaat niet voor boeteberichten. Als je twijfelt over een afzender, kijk dan of het adres eindigt op @cjib.nl of @rijksoverheid.nl. Maar onthoud: ook dat kan gespoofed zijn.

Ik heb al betaald. Krijg ik mijn geld terug?

Bel direct je bank. Bij snelle melding (binnen enkele uren) is terugboeken soms mogelijk. Doe ook aangifte bij de politie. Helaas is terugkrijgen van geld bij phishingfraude niet altijd gegarandeerd.

Waarom zijn er opeens zo veel CJIB-nep-mails in 2026?

Experts leggen een verband met het Odido-datalek begin 2026, waarbij persoonsgegevens en IBAN-nummers van miljoenen klanten uitlekten. Die gegevens worden gebruikt om geloofwaardige phishingmails samen te stellen.