Twee-factor-authenticatie inschakelen op Skrill voor wedders: instructie

Redactie «Skrill Wedden» mei 16, 2026 Leestijd: 10 min

Een phishingpoging die ik in vijf seconden zag, en wat dat over 2FA leert

Drie jaar geleden kreeg ik een mail die er bijna correct uitzag. Skrill-logo bovenaan, mijn voornaam erin, een melding dat een nieuwe transactie wachtte op bevestiging. De link in die mail leidde naar een domein dat één letter verschilde van het echte. Wie geen 2FA had aanstaan op zijn Skrill-account, had op die avond mogelijk zijn saldo zien verdwijnen.

Twee-factor-authenticatie is geen optionele extra. Voor wie zijn Skrill-account koppelt aan F1+-bookmakers en weddenwinsten op zijn saldo bewaart, is het de minimumlaag bescherming die elke ingreep van iemand anders vrijwel onmogelijk maakt. De cijfers achter Paysafe – moederbedrijf van Skrill, met een transactievolume van 152 miljard dollar in 2024 – geven een idee van hoeveel waarde door dit netwerk vloeit. Op die schaal is fraude geen marginaal probleem; het is een operationele realiteit.

Lorenzo Pellegrino, CEO van Skrill, Neteller en Income Access bij Paysafe, formuleerde het ooit zo dat alles draait om het beter verbinden van consumenten en hun merchant-partners via betalingen. Die verbinding houdt enkel stand zolang de toegangsketen tot het account waterdicht is. 2FA is geen accessoire – het is de schakel die maakt dat een lekgekomen wachtwoord alleen niet voldoende is om je geld te verplaatsen.

Waarom 2FA bij een bookmaker-koppeling specifiek belangrijk is

Skrill-accounts die nergens aan vasthangen, zijn voor cybercriminelen oninteressant. Een Skrill-account dat gekoppeld is aan een F1+-bookmaker met saldo aan beide kanten, is daarentegen een aantrekkelijk doelwit. De aanvaller die toegang krijgt tot je Skrill, kan in principe twee acties tegelijk uitvoeren: je Skrill-saldo verschuiven naar een eigen wallet, en – als de bookmaker dat toelaat – een nieuwe storting initiëren vanuit je bookmaker-saldo terug naar Skrill om dat ook te kapen.

De praktijk is in 2024-2025 verschoven. Belgische F1+-operatoren hebben hun eigen anti-fraude-controles aangescherpt en signaleren ongebruikelijke saldo-verplaatsingen sneller. Maar de eerste schakel die hen waarschuwt is meestal Skrill zelf – en Skrill kan alleen waarschuwen als de aanvaller de tweede authenticatie-laag niet kan passeren. Zonder 2FA werkt het hele waarschuwingssysteem maar half.

Eind 2024 stonden 56.458 personen geregistreerd in het Belgische uitsluitingssysteem EPIS – een groei van 6.750 in één jaar. Een deel van die toename komt voort uit zelfregistraties, maar een aandeel komt ook van mensen die werden geconfronteerd met onbedoelde verliezen na compromittering van hun e-wallet. Dat is geen anekdote – het is een patroon. Wie wil voorkomen dat een phishing-mail of gestolen wachtwoord een week aan winst kan wegvegen, zet 2FA aan zelfs voordat hij de eerste storting doet.

SMS-2FA tegenover authenticator-app: het verschil dat de meeste niet kennen

Skrill biedt twee primaire 2FA-methoden: een SMS-code naar je geregistreerde telefoonnummer, of een tijdsgevoelige code uit een authenticator-app. Op het eerste zicht lijken ze gelijkwaardig – in werkelijkheid zit er een veiligheidsverschil tussen dat de moeite waard is om te kennen.

SMS-2FA werkt zoals je verwacht. Bij elke gevoelige actie – inloggen vanaf een nieuw apparaat, een storting boven een bepaalde drempel, een wijziging in beveiligingsinstellingen – krijg je een zescijferige code per SMS die binnen enkele minuten geldig blijft. Het probleem zit niet bij Skrill maar bij het mobiele netwerk. SIM-swap-aanvallen, waarbij een fraudeur via social engineering jouw telefoonnummer naar een eigen SIM laat porteren, omzeilen SMS-2FA volledig. In België is dat type aanval zeldzaam maar niet onbestaand, en de telecomoperatoren hebben in 2024-2025 hun procedures aangescherpt nadat enkele opvallende incidenten in de pers kwamen.

De authenticator-app – Google Authenticator, Microsoft Authenticator, Authy, of een open-source variant zoals Aegis – werkt anders. De code wordt lokaal op je telefoon gegenereerd op basis van een gedeeld geheim dat eenmalig wordt uitgewisseld bij setup. Geen mobiel netwerk nodig, geen SMS die kan worden onderschept, geen SIM die kan worden geport. De code rouleert elke 30 seconden en is alleen geldig op het apparaat waar het geheim staat.

Voor sportwedders die actief Skrill koppelen aan F1+-bookmakers, is mijn standaardadvies altijd dezelfde: zet de authenticator-app aan en deactiveer SMS-2FA als alternatief. Skrill laat je niet beide tegelijk gebruiken als primaire methode – je moet een keuze maken – en het is slechter om beide actief te hebben omdat een aanvaller dan kan kiezen voor de zwakste schakel.

Stap voor stap: 2FA inschakelen op je Skrill-account

Het traject duurt vijf minuten als je het in één keer goed doet. Doe het op een rustig moment, niet vlak voor een wedstrijd waarop je wilt wedden – een verkeerd gezette 2FA kan je tijdelijk uit je eigen account zetten.

Eerst log je in op skrill.be via je laptop of pc. Niet op de mobiele app – de procedure verloopt vlotter via de webinterface. Ga naar “Beveiliging” in het menu onder je profiel, en kies “Tweestapsverificatie”. Skrill toont je de twee opties: SMS of authenticator-app.

Kies voor de authenticator-app. Skrill genereert een QR-code op het scherm en laat je een back-upcode in tekstvorm zien. Open op je telefoon de authenticator-app van je keuze – ik gebruik zelf Aegis omdat die volledig lokaal opslaat zonder cloud-sync, maar Google Authenticator werkt ook prima – en scan de QR-code. De app voegt onmiddellijk een Skrill-entry toe en begint zescijferige codes te tonen die elke 30 seconden veranderen.

Skrill vraagt je dan een huidige code in te voeren ter bevestiging dat de koppeling werkt. Voer die in voordat hij rouleert. Klik op bevestigen. De setup is afgerond.

De cruciale stap die mensen overslaan: Skrill toont een back-upcode of herstelcode na de setup. Schrijf die op papier en bewaar hem op een plek die niet je telefoon is. Zonder die code zit je vast als je telefoon verloren of stuk gaat. Een screenshot op dezelfde telefoon is geen oplossing – als de telefoon weg is, is de screenshot ook weg.

Wat te doen als je toegang tot je 2FA-app verliest

Het scenario komt voor: telefoon weg, gestolen, in het water gevallen, of je hebt een nieuwe telefoon zonder de oude back-up. Wat dan?

Als je de back-upcode hebt opgeschreven, log je in met emailadres en wachtwoord, en gebruik je de back-upcode in plaats van de tijdsgevoelige code. Skrill laat je dan je 2FA opnieuw configureren met een nieuwe authenticator-app. Het hele proces duurt tien minuten.

Als je geen back-upcode hebt, ben je aangewezen op Skrill-support. Je dient een herstelaanvraag in via het support-portaal en levert je identiteitsbewijs en een selfie aan. Skrill verifieert manueel dat jij de accounteigenaar bent. Reken op 24 tot 72 uur, vaak langer in weekends. In die periode kun je niet bij je saldo, dus ook geen storting bij een F1+-bookmaker doen. Wie gepland had om te wedden tijdens een EK-wedstrijd en zijn telefoon verliest op vrijdagavond, riskeert het hele weekend zonder toegang door te brengen.

Een tweede preventieve stap die weinig wedders nemen: voeg een tweede apparaat toe als reserve-2FA. Sommige authenticator-apps zoals Authy ondersteunen synchronisatie tussen telefoon en tablet. Eén code kan dan via twee apparaten worden gegenereerd. Het is niet ideaal vanuit zuiver veiligheidsperspectief – meer apparaten met het geheim is meer aanvalsoppervlak – maar voor wedders die afhankelijk zijn van constante toegang tot hun account, is het een werkbare middenweg. Voor wie verder ingaat op het scenario van een vergrendeld of gecompromitteerd account, biedt het uitgewerkte protocol rond het hersteltraject van een gehackt Skrill-account de operationele eerste stappen.

Aanvullende instellingen die naast 2FA zinvol zijn

2FA is de hoofdlaag, maar er zijn drie kleinere instellingen die het geheel aanvullen en die ik altijd aanraad bij coaching.

Eén: zet emailmeldingen aan voor elke login en elke transactie. Skrill heeft die optie standaard niet allemaal aan. Ga naar “Voorkeuren” en activeer alle veiligheidsmeldingen. Bij verdachte activiteit krijg je dan binnen seconden een mail, en kun je sneller reageren dan op een eenvoudige periodieke controle.

Twee: bekijk je sessie-overzicht regelmatig. Skrill toont onder “Beveiliging” een lijst van actieve sessies met IP-adres, browser en geografische locatie. Een sessie vanuit een land waar je niet bent geweest is een rode vlag. Klik op “Beëindig alle sessies” als je iets verdachts ziet, en wijzig daarna direct je wachtwoord en je 2FA-koppeling.

Drie: stel een storingsdrempel in. Skrill laat je een dagelijks of maandelijks plafond instellen voor verzonden bedragen. Voor wedders die meestal binnen een vast budget blijven – zeg 200 of 500 euro per maand – is een limiet die je moet bevestigen via 2FA bij overschrijding een natuurlijke rem op zowel impulsief storten als ongeoorloofde toegang. Het is een double-purpose instelling die in mijn coaching even vaak wordt aanbevolen voor budget-discipline als voor pure security.

De vijf-minuten-investering die je hele jaar dekt

Stel: je investeert vijf minuten in een correcte 2FA-setup met authenticator-app, een opgeschreven back-upcode en geactiveerde meldingen. Wat win je daarmee? Bescherming tegen alle automatische credential-stuffing aanvallen waarbij een lek-database wordt gematcht tegen Skrill-logins. Bescherming tegen phishing waarbij iemand je wachtwoord ontfutselt. Bescherming tegen de meeste SIM-swap-scenario’s. En bescherming tegen jezelf als je een keer onbewaakt iets installeert dat je device compromitteert. Een wedder die jaarlijks duizenden euro’s via Skrill verlegt en deze stap niet zet, neemt een risico dat in geen enkele andere kostencategorie verantwoord zou zijn. Vijf minuten – en je bent klaar voor het hele seizoen.

Gemaakt door de redactie van 'Skrill Wedden'.