Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties

Twee Nederlandse tieners zijn opgepakt in verband met een phishing-zaak rondom Instagram-accounts met soms miljoenen volgers. De tieners kregen wachtwoorden van de accounts in handen via phishing en plaatsten vervolgens advertenties op die accounts.

Het verdiende geld zetten ze om in bitcoins om het zo weg te sluizen, meldt de NOS. De tieners zetten daadwerkelijk voor korte tijd reclame op de accounts. De eigenaars van die accounts raakten de controle over hun profiel kwijt en kunnen niet meer inloggen.

Het maken van reclame verliep in rechtstreeks contract met bedrijven, die vermoedelijk niet doorhadden dat het ging om andere mensen dan de officiële houders van het account. De slachtoffers bevinden zich vermoedelijk voor een groot deel buiten Nederland. De vermoedelijke daders zijn 18 en 19 jaar en komen uit Alblasserdam en Boskoop.

De phishing vond vermoedelijk vorig jaar plaats. Rechercheurs zijn sinds november met de zaak bezig, meldt persbureau ANP onder meer in een bericht op Nu.nl. Het is onbekend hoeveel geld de tieners precies met de zwendel hebben verdiend, maar het gaat vermoedelijk om tienduizenden euro's.

Instagram is inmiddels bezig met het implementeren van tweestapsauthenticatie bij het inloggen. Daarbij moeten gebruikers voor het inloggen een extra code invoeren die per sms op de telefoon komt.

Moderatie-faq Wijzig weergave

Reacties (48)

ontopic ; Ik vind het jammer van die jongens dat ze de crimminaliteit zijn ingegaan en hun toekomst op het spel zetten.Als je zoveel kennis hebt,en vaardigheid ,en bekwaam om dit te kunnen en uit te voeren ,dan kan je toch wel aan de slag in de I.c.T sector ,of vergis ik mij daarin, mensen ? Is de arbeidsmarkt voor zulke "slimme" jongens niet toegangkelijk :? Is er een overschot aan (overgekwalificeerde) I.c.T mensen?

offtopic ; Ik weet het echt niet. Kan ook natuurlijk hun karakter ontwikkeling zijn geweest ,maar toch vind ik het jammer. Zulke "slimme" mensen moeten niet stelen ,maar juist werken en goed betaald krijgen ,en een mooie c.v opbouwen en een hypotheek krijgen en vrouw(of man ) vinden om samen de weg naar geluk te bewandelen.

.

[Reactie gewijzigd door tweaker1971 op 14 maart 2016 11:36]

Dit zijn geen 'slimme' jongens, dit zijn gehaaide jongens. Die wil je niet in je bedrijf want die zitten er toch alleen maar voor zichzelf. Bovendien is het geen raketwetenschap wat ze gedaan hebben, menig Nigeriaan heeft de weg al eerder geleid. Dit is social engineering met zwendel als hoogste doel. Misschien dat ze tweedehands auto's kunnen gaan verkopen.
Ok,thanx . Ik wist het niet dat jongeren al zo ver waren dat dit niet zo moeilijk voor hun is,en je voor dit helemaal niet bekwaam hoeft te zijn.Ik zou het niet kunnen.

"slimme"stond ook tussen aanhalingstekens ;) omdat ik op de ene manier wel respect voor hun bekwaamheid heb,maar niet voor hun ethiek (het stelen en anderen wat aandoen)

[Reactie gewijzigd door tweaker1971 op 14 maart 2016 11:49]

Net les gegeven op 4 HAVO en 5 VWO. In 75 minuten had er een 20 dingen geautomatiseerd met ifttt.com waar hij normaal 3 andere apps en veel handwerk bij deed.

Van telefoon mute automatisch als ik op school kom tot aan als ik op YouTube een video like (laptop), speel dat nummer dan op mijn mobiel via soundcloud af. Tot aan alerts van voetbal nieuws.

En meisje had een app gemaakt met de video van een leuke jongen, maar met het geluid van een liedje dat ze leuk vond.
Daarnaast had ze ontdekt hoe ze in het facebook netwerk Traffic kon zien wie op welk moment (miliseconde precisie) haar profiel had bekeken. [techniek is gevalideerd en klopt]

[Reactie gewijzigd door djwice op 14 maart 2016 22:28]

Een beetje extra geld om te pilsen is natuurlijk nooit weg tijdens je studie.
Je zou haast hopen dat Instagram (en consorten) bij accounts die meer dan x miljoen volgers hebben, ze two-factor-authentication haast verplicht maken. Dat scheelt (waarschijnlijk) een hoop in deze praktijken.
Of Instagram zelf dat verplicht moet maken weet ik niet. Het blijft toch je eigen verantwoordelijkheid vind ik. Overigens hebben we hier al mechanismen voor. Als jij geld verdient met je Instagram account moet je je tegen het hacken daarvan kunnen verzekeren. De verzekering kan dan eisen dat je twee-factor authenticatie gebruikt.
Laat Instagram er maar mee komen :)
Een code die naar het emailadres verstuurd wordt is vaak de ''2e factor''. Het emailadres is juist meestal het doelwit van phishers...is namelijk het meest publiekelijk. Oftewel, helpt niet veel....

[Reactie gewijzigd door Chrotenise op 14 maart 2016 07:22]

Onzin. Tenzij je toegang hebt tot het lezen van de emails op dat email adres kan je de controle code die naar een email gestuurd wordt niet lezen. Dus email gebruiken als tweede factor help weldegelijk.

Met phishing stuur je bijvoorbeeld een password reset email die er uit ziet als een echte password reset, maar met een link naar een andere site die er uit ziet net zoals de echte site. Op die manier kan je achter het wachtwoord komen.
Klopt, maar als je zoals bijvoorbeeld GMail doet, op nieuwe computers eerst met een SMS-code moet inloggen, voorkom je deze ellende.
NOS journaal had het over plannen voor een extra controle-SMS naar een vooraf gecontroleerd mobiel nummer.
Je zou hopen dat er meer voorlichting over zaken als goed updaten en 2-traps authenticatie zou zijn. Ik ken nog genoeg mensen die denken dat ze met het zwaarste norton wurgpakket uit 2007 (bij wijze van spreken) veilig zijn.
Ben benieuwd welke accounts het waren, en op welke manier ze achterhaald zijn door de politie. Wat voor straf staat er doorgaans op zoiets als dit?
Het is een gevalletje "oplichting". Dat het via het Internet is maakt niet uit voor de wet. Straf: http://www.wetrecht.nl/oplichting/ .

Speelt natuurlijk wel mee dat het tieners zijn... http://www.judex.nl/recht...n-voor-minderjarigen-.htm

[Reactie gewijzigd door atlaste op 14 maart 2016 08:18]

18 en 19 is niet minderjarig en dus bij wet volwassen.
Echt tieners zijn het dan ook niet meer. Technisch misschien wel, maar 18+ in mijn boekje geen tiener meer.
"De phishing vond vermoedelijk vorig jaar plaats."
Dus kon de jongste van het stel wel degelijk 17 zijn?
Iemand van 17 classificeer ik alsnog niet als tiener, eerder als jongere. Een tiener is in mijn ogen echt iemand van tussen de 10 en 12 (misschien 13). Technisch gezien is iemand t/m de 19 een tiener maar daar zijn al regelmatig discussies over geweest.

[Reactie gewijzigd door SomerenV op 14 maart 2016 08:46]

Ben ik het mee eens, maar als je onder de 18 bent wordt je nog behandeld als kind door de overheid(met zowel voor als nadelen), dus lijkt het me niet meer dan redelijk om ook zo berecht te worden.

[Reactie gewijzigd door WoutervOorschot op 14 maart 2016 09:13]

Wat is in jouw ogen dan de benaming voor iemand van 14 t/m 16?
Dit zijn toch ook tieners? Het zijn absoluut geen jong volwassenen of iets dergelijks.
Jongeren? Pubers?

Tieners - 10 tot 13
Pubers - 13 tot 16
Jongvolwassen - 16 tot 18
Volwassen - 18+

En dan alles van 13 tot 18 classificeren als jongeren.
Tieners - 13 tot en met 18
Pubers - verschilt per persoon, zolang iemand in de puberteit zit.
Jongvolwassen - 18 tot en met 20
Volwassen - vanaf 21 jaar.

Jongeren - 12 tot en met 18.
:*) O-)
https://nl.wikipedia.org/wiki/Tiener :

Een tiener is een persoon die tien tot en met negentien jaar oud is.
Ook als iemand 17 is kan de rechter beslissen om iemand als volwassene te berechten.
Ik vind het idee leuk. Maar als ze het iets slimmer aangepakt hadden waren ze niet gepakt.

Maar hoe kwamen ze aan het emailadres van die mensen?
Het emailadres staat vaak in het Instagram profiel zodat ze gecontacteerd kunnen worden door adverteerders. Er zijn soms van die meisjes die met fashion bezig zijn en miljoenen volgers hebben. Die beheren hun account nog zelf, zijn niet technisch en zullen nog wel in phising trappen.

Maar hoe zou je het beter aanpakken? Je moet sowieso uitbetaald worden door een affiliate network die vaak identiteitscontrole doen en zelden of nooit in bitcoin uitbetalen. Ik vind het al knap dat ze dat voor elkaar hebben gekregen.
Theoretisch gezien, is het volgens de wet strafbaar als je iemand zijn paswoord ontfutselt en deze gebruikt?
Ja, dat is nog steeds computervredebreuk. Hier zijn genoeg veroordelingen voor geweest. Geraden / afgekeken wachtwoorden valt er dus onder.
Hmm niet echt een snuggere aanpak van de daders. Zowel de gehackte account geen toegang meer geven (=actie van de gebruikers richting instagram etc) als reclames na een deal niet of nauwelijks tonen (=geen herhalende inkomsten). Hadden ze beter gebruiker gewoon toegang laten houden en af en toe reclames tussen de reguliere content plaatsen, grote kans dat veel gebruikers denken dat instagram dit doet ipv kwaadwillenden...
Nuja, goed dat ze gepakt zijn. Vwb security dmv email, denk dat iemand die een phisingmail z'n login data van instagram geeft, ook de toegang tot z'n emailaccount wel te ontfutselen valt. Helaas hebben we nog steeds geen breed gedragen en werkbaar veilig alternatief voor het username/password systeem, wat in de hand werkt dat mensen onveilige acties uithalen met hun inloggegevens.

[Reactie gewijzigd door Grrrr op 14 maart 2016 07:55]

Dit valt onder de noemer "I'm not even mad, that's amazing". Ze tonen daarmee eigenlijk aan dat de eigenaars van die instagram accounts nog een hoop geld kunnen verdienen. Eigenlijk een soort public service :)
/sarcasme
Het enige wat ik nu zie is dat je blijkbaar bekend moet zijn om te zorgen dat er iets gebeurd. Phishing gebeurd zo vaak en oplichting via het internet ook. Meestal komt er pas actie op het moment dat er ~10 mensen zijn opgelicht via marktplaats of wat dan ook.. en dan komt daar 9 van de 10x niets uit.

Het verbaasd mij dan ook dat er zoveel energie ingestoken is. Ze zijn al sinds november bezig tegen 2 broekies die relatief weinig schade uithalen (in feite genereren ze zelf inkomsten en stelen ze dit niet :+ )
Dit waren dus al die scams waar ik me zo aan ergerde bij die ''populaire'' instagram accounts. Wanneer je mensen erop wees, werd je direct geblokkeerd.
En hoe zijn ze gepakt ze hebben toch niet bitcoins omgezet in echt geld :+

[Reactie gewijzigd door wsy1 op 14 maart 2016 17:03]

Nee echt geld in bitcoins. Vandaar gepakt.
Kan je dat verklaren? Zou namelijk niet weten waarom je dan gepakt zou worden?
Even er van uit gaande dat ze het geld niet op een rekening lieten storten met hun eigen naam (Dat lijkt me sowieso niet, want dan waren die bedrijven ook wel afgehaakt).
Bankrekening is aan veel controle onderhevig.
Dat maakt het geld niet herleidbaar. Je kan hooguit zien dat er vanaf die rekening bitcoins zijn gekocht. Alleen dat maakt voor de gene die de bitcoins in bezit heeft natuurlijk niks uit.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Microsoft Xbox One S FIFA 17 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True