Opgepakte Nederlandse hacker bekent schuld in drie verschillende zaken

Een 25-jarige hacker uit Den Bosch heeft in drie verschillende zaken schuld bekend. Het gaat onder meer om het hacken van een Dropbox-account, waarbij persoonlijke beelden van de gebruiker online werden gezet.

Volgens de politie heeft de verdachte bekend een Dropboxaccount van een vrouw te hebben gehackt, waarbij hij dreigde seksueel getinte beelden van de gebruikster online te zetten, tenzij ze een geldbedrag zou betalen. De beelden kwamen uiteindelijk op internet terecht. De politie sluit niet uit dat er meer Dropbox-accounts zijn gehackt, maar voor zover bekend zijn daar geen aangiften van binnengekomen.

Daarnaast blijkt uit het politieonderzoek dat de hacker per nacht geautomatiseerd 15.000 tot 20.000 Marktplaats-adverteerders benaderde. De gebruikers die reageerden, werden omgeleid naar een door de hacker gemaakt phishingwebsite, waarmee hij de bankgegevens kon inzien. Vervolgens werd er geld van de rekeningen van de slachtoffers overgemaakt of werden er spullen mee gekocht.

De man is op 3 juli opgepakt op verdenking van het hacken van webshopaccounts. Bij zijn aanhouding zijn volgens de politie meerdere gegevensdragers in beslag genomen. Na onderzoek rees het vermoeden dat de verdachte ook bij andere zaken betrokken was. Hij wordt ervan verdacht de afgelopen jaren meer dan duizend slachtoffers te hebben gemaakt door middel van hacking, phishing en identiteitsfraude. Zijn voorarrest is op 16 augustus opnieuw verlengd met zestig dagen. Op 16 oktober vindt de eerste rechtbankzitting plaats.

IT-banen

Reacties (88)

Douweegbertje 21 augustus 2018 14:33

Wat ik vooral bizar vind is dat hij 20 - 25k berichten stuurde per nacht en blijkbaar niet tegen gehouden werd door marktplaats. Als je zelfs DAT niet kan detecteren en tegenhouden heb je eigenlijk wel een issue als bedrijf.

Steeds maar weer vind ik dat er iets te makkelijk word omgegaan met zo'n medium. Persoonlijk ben ik van mening dat je je klanten ook moet beschermen tegen verschillende vormen van oplichting en whatnot. Het enige waar marktplaats goed in is om groot te vermelden: "Marktplaats is niet aansprakelijk voor (gevolg)schade die voortkomt uit het gebruik van deze site"

Het word misschien tijd voor een nieuw medium..

YoghurtO_o @Douweegbertje • 21 augustus 2018 15:34

Marktplaats, in 2004 overgenomen door eBay, heeft er helemaal geen belangstelling bij om oplichters tegen te gaan. Het is zo makkelijk om iemand via Marktplaats op te lichten; je kan zo een nieuwe account aanmaken en je hebt geen feedback van andere kopers die iets bij de verkoper hebben gekocht.

Ebay-Kleinanzeigen in Duitsland is net zo. Onlangs was een vriend van mij daar opgelicht met zijn camera. Het is ontzettend lastig om details van mensen te achterhalen en het hele systeem is gebaseerd op blind vertrouwen zonder enige vorm van beveiliging.

Ebay zelf is ook niet veel beter, maar daar heb je nog steeds een beetje kopersbescherming. Als verkoper ben je op ieder platform genaaid, maar op Ebay zelf nog het meest.

Maar ebay heeft er schijt aan, want ze verdienen ongelofelijk veel geld aan het feit dat mensen opgelicht worden.

teunw @Douweegbertje • 21 augustus 2018 14:47

Ik denk dat ik die berichten ook wel eens gehad kan hebben. Het waren in ieder geval wel steeds andere accounts, maar met constant hetzelfde berichtje. Het duurde niet lang voordat ik het doorhad.

[Reactie gewijzigd door teunw op 23 juli 2024 07:12]

tsjakoe @Douweegbertje • 21 augustus 2018 15:35

Ze kunnen het wel detecteren, maar willen het gewoon niet. Dat is gewoon hun bron van inkomsten.
Anders was er al lang een rating systeem geweest om de rotte appels er uit te vissen..

totaalgeenhard @Douweegbertje • 22 augustus 2018 00:13

1) hoe wil je dat detecteren? Iemand kan meerdere Ip's gebruiken.

2) waarom zouden ze daarin energie steken. Alle sites van eBay zijn bagger traag en bevatten fouten of hebben basale functionaliteit al niet. (Inclusief paypal)

3) waarom zijn mensen zo naïef?

4) waarom kwam politie er pas.achteraf pas achter hoe groot zaak is.

Part @totaalgeenhard • 22 augustus 2018 09:15

1) hoe wil je dat detecteren? Iemand kan meerdere Ip's gebruiken.

Deze oplichter maakte een account aan en verstuurde op dag 1 ruim 20.000 berichten/aankopen.
Daar moeten alle alarmbellen al gaan rinkelen bij marktplaats.
Dus bv bij x aantal aankopen op 1 dag blokker account .
En bij x maal vrijwel dezelfde tekst blokker account

En dan moet x zeker geen 20.000 zijn maar bv 50

3) waarom zijn mensen zo naïef?

Mensen maken fouten.
Op 20.000 willekeurige mensen (per dag) zijn er altijd wel een aantal die iets niet door hebben.
Dat zal nooit veranderen. Probleem is de oplichter die hier gebruik van weet te maken en Marktplaats zelf die het mogelijk maakt om 20.000 mensen per dag te benaderen.

4) waarom kwam politie er pas.achteraf pas achter hoe groot zaak is.

Dat is toch niet zo raar. Ze pakken iemand op en kijken vervolgens of de verdachte met meer zaken te maken heeft.

In dit topic is de werkwijze van deze oplichter te lezen:
Marktplaats oplichting, hoe dan?

[Reactie gewijzigd door Part op 23 juli 2024 07:12]

totaalgeenhard @Part • 22 augustus 2018 13:17

1) nogmaals welke algoritme / technische oplossing kan jij verzinnen?

Als iemand een botnet heeft kan hij soms wel zonder moeite over honderdduizenden IP's beschikken. Marktplaats detecteert wel buitenlandse IPs.

Ik weet niet hoeveel transacties en communicatie er dagelijks via marktplaats gaat maar dat zal een veelvoud zijn van die 20.000. Stel ze hebben 500.000 berichten per dag dan is 20.000 waar niets mee is niets.

Teksten hoeven niet geheel het zelfs te zijn dynamische velden in "evil script" bouwen te zijn. Dus uit 500.000 berichten overeenkomsten vinden is lastig.

Bovendien komt.marktplaats zelf al met default tekst suggestie...

Wie zegt dat hij maar 1 marktplaats account had?

3) mensen zijn minder ook hun hoede. Ik.ben een keer fysiek opgelicht door een.bedrijf met een marktplaats account dat 9 jaar actief was met zakelijke naam. Achteraf bleek volgens KvK dat de 19 jarige eigenaar net jaar begonnen was. Ondanks hem hebben geïnformeerd dat hij ze leven aan.het verpesten was volharde hij en heeft hij nu een deurwaarder op.zijn dak.

4) als.ze.fouten bij huiszoeking hebben gemaakt kunnen ze hem niet voor bijvangst pakken. Mogelijk zijn aangiftes afgepoeierd en/Of.niet behandeld.

Mbt je voorbeeld heb je publieke vonnis gezien waaruit die methode blijkt.

Part @totaalgeenhard • 22 augustus 2018 15:33

1) nogmaals welke algoritme / technische oplossing kan jij verzinnen?

100% ga je het natuurlijk nooit oplossen maar om te beginnen:
Beperk het aantal berichten/aankopen.
Geen enkele gebruiker zal op 1 dag 20.000 aankopen willen doen dus waarom geeft Marktplaats wel die mogelijkheid?
Hiermee staat de deur wagenwijd open voor oplichters.

2e Marktplaats doe eens wat met de aangifte van de gebruikers.
De oplichter was er direct uit te vissen omdat hij telkens de zelfde tekst gebruikte,
Echter zijn account bleef telkens 3 tot 5 dagen open staan. Ze hadden deze al binnen elke minuten kunnen sluiten. Ik heb ze elke keer een bericht gestuurd net als andere gebruikers.
Na een x aantal meldingen zou Marktplaats een account gewoon "tijdelijk" kunnen blokkeren.

Eerder had je nog de site opgeletopinternet.nl zodra je daar melding deed van een oplichter las Marktplaats dat en was dat account binnen een paarminuten gesloten. Nu doe je een bericht naar Marktplaats en de eerste 3 dagen doen ze niets.

Het gaat er niet om dat een systeem voor 99,999% waterdicht zou moeten zijn maar wat marktplaats hier doet is is het andere uiterste.
Vergelijk het een een fietsslot. Geen enkel fietsslot is 100% garantie tegenneen fietsdiefstal. Dus zetten we vanaf nu de fiets maar niet meer op slot of doen we er een prutsslot op?

[Reactie gewijzigd door Part op 23 juli 2024 07:12]

totaalgeenhard @Part • 22 augustus 2018 20:13

Lees eens wat ik geschreven heb.

Je kunt detectie processen omzeilen. Je kunt hooguit vertragen nieuwe account eerste week geen biedingen/berichten etc... Maar dat maakt bij een botnet ook niet uit.

Als je marktplaats hebt gebruikt dan weet je dat ze zelf tekst suggestie verstrekken.

Dynamisch gebruik van gegevens die je hebt zoals naam/onderwerp/omschrijving is heel makkelijk te schrijven.

Technomania

21 augustus 2018 13:28

Politie neemt de zaak wel bloedserieus (en terecht natuurlijk) aangezien de dader nu al 7 weken in voorarrest zit. Dat is best pittig voor Nederlandse begrippen AFAIK.

mjl @Technomania • 21 augustus 2018 13:35

Als ik het zo lees ook terecht.

Wat ik me wel afvraag: waarom zet je sexueel getinte beelden op een cloud service... zoiets lijkt me toch privé en hou je dan toch binnenshuis...

faim @mjl • 21 augustus 2018 13:43

Automatische filmrol upload naar Dropbox?

Arunia @mjl • 21 augustus 2018 13:43

Tja, waarom mensen dat doen? Wellicht hebben ze het niet door? Wellicht denken ze dat ze het daar veilig op hebben staan? Who knows.

Maar ja, ook bekende mensen doen/deden dat (the fappening anyone?). Echter waren die wachtwoorden blijkbaar te makkelijk. Naam van huisdier oid.

Amadeus1966 @mjl • 21 augustus 2018 14:25

Ben ik helemaal met je eens, doch als je als leek of gewone sterveling een smartphone in gebruik neemt en je doorloopt de procedure dan wordt je al eindgebruiker toch geadviseerd om media te uploaden.
De meeste gebruikers doen dit dan ook.

Ik snap alleen de stupiditeit erachter niet.
De media staat vol met dergelijke gebeurtenissen.
Denk alleen maar aan de Paaipisvideo ( al heb ik daar mijn bedenkingen bij ).
En nog maken ze dergelijke foto's en of video's en bewaren ze dat in de cloud of toestel.
Dat laatste is natuurlijk extra kwetsbaar door verlies of diefstal.
Want niet iedereen heeft een slot op dat ding en een eventueel sd kaartje is er zo uitgewipt.

Ik begrijp sowieso weinig van mensen die zich zelf in zulke eh....chantabele poses fotograferen of filmen.
Maar ja ieder zijn ding zeg maar.

Kanttekening, mensen zijn lakse wezens.
Heb in de tijd dat ik in het openbaar vervoer werkte diverse smartphones gevonden ( en braaf ingeleverd ).
Vele waren niet beveiligd en sterker nog, de meeste werden niet eens afgehaald ook al was de eigenaar achterhaald.

totaalgeenhard @Technomania • 22 augustus 2018 00:17

Serieus ?

Politie kwam achteraf pas achter de schaal.
Bovendien gaat politie niet over voorarrest.

Ik ken een zaak die honderden duizenden betreft die ze hebben laten liggen.

Het is een kwestie van een makkelijke zaak die ze van het OM mochten draaien (quota OM is minimaal 40 zaken per jaar !!) en ze na inbeslagname van zijn computers er achterkwamen dat het een veel grotere zaak blijkt.

Kun je je voorstellen dat als.je maar 40 zaken hoeft af te leveren bij OM hoeveel zaken die mogelijk groter zijn laat liggen?

RetroMan @Technomania • 22 augustus 2018 08:48

Daar gaat de politie niet over. Dat beslist de OvJ.

ShellGhost 21 augustus 2018 13:03

Max een jaar gevangenis en 120 uur schoffelen. Meer zal het niet zijn vrees ik.
Het wordt tijd dat cybercrime hard wordt aangepakt met straffen.

Op afpersing staat een maximumstraf van negen jaar of een geldboete van de vijfde categorie (76.000 euro).
http://www.wetrecht.nl/afpersing-en-afdreiging/

Cybercrime met oogmerk diefstal vermogen (diefstal internetbankieren, art. 139d Sr, crypto/ransomware): GS 3 jaar
https://zoek.officielebekendmakingen.nl/stcrt-2018-3271.html

Dus ik heeeel benieuwd wat hij gaat krijgen.

Kees BOFH

Netwerk en systeembeheer

@ShellGhost • 21 augustus 2018 13:09

Aangezien zijn voorarrest dus weer met 60 dagen is verlengt (dus 120 dagen al) neem ik aan dat ze op een langere gevangenisstraf inzetten. Anders is zijn straf in voorarrest langer dan de daadwerkelijke straf.

Lukas83 @F-I-X • 21 augustus 2018 14:05

En dan verrekenen ze het wel met de uitspraak van onze flut rechters. Aangezien er alleen materiële schade is zal het een taakstraf en voorwaardelijke celstraf worden. Je mag dan hopen, want je hoort er later nooit meer wat over, dat ze dan wel nog goed geplukt worden door de verschillende instanties.

Dit zijn van die uitspraken waar ik ernstige jeuk van krijg... Waarom snappen mensen niet dat ze bij de wetgever moeten zijn om over de strafmaat te klagen in plaats van bij de rechter? Die volgt gewoon het wetboek.

Daarnaast, het strafrecht is niet bedoeld voor uitgebreide schadevergoedingen, dit kan gewoon via het civielrecht geregeld worden.

Als mensen eerst eens zorgen dat ze weten waar ze over praten in plaats van meteen maar een onderbuikmening te ventileren.

bed76 @Lukas83 • 21 augustus 2018 14:24

Jij neemt als uitgangspunt het bestaande systeem als juist. F-I-X neemt zijn/haar rechtvaardigheidsgevoel als uitgangspunt (zoals ik kan inschatten, dus idd een aanname

).

De andere mening is niet minder waar, alleen minder toepasbaar met de huidige kaders. En het zijn juist vaak die kaders/wetten/systemen waar we aan vast zitten, waar die mensen die hun onderbuikmening ventileren, juist moeite mee hebben. Jij accepteert ze, zij niet. Beide hebben gelijk, afhankelijk van hun perceptie.

gday

@bed76 • 21 augustus 2018 15:02

Nee, Lukas83 zegt alleen dat je niet de rechters als schuldige moet aanwijzen als je straffen te laag vindt, omdat de rechters niet de wetgevende macht maar de rechtsprekende macht zijn. Dat is gewoon een voldongen feit, en daar komt geen mening aan te pas.

Hij geeft nergens een oordeel over of dat systeem juist is of niet (al zou ik je niet aanraden te streven naar het opheffen van de trias politica).

bed76 @gday • 21 augustus 2018 15:49

Hij geeft nergens een oordeel over of dat systeem juist is of niet (al zou ik je niet aanraden te streven naar het opheffen van de trias politica).

Dit noem jij geen mening? :
"Als mensen eerst eens zorgen dat ze weten waar ze over praten in plaats van meteen maar een onderbuikmening te ventileren. "

Verwijderd @bed76 • 21 augustus 2018 19:29

Nee, dit is een algemene stelling.

Een mening begint meestal, ik vind dit of dat of het eindigt met, "naar mijn mening".

gday

@bed76 • 21 augustus 2018 20:02

Dat is inderdaad geen mening. En bovendien gaat het ook niet over de kwestie of straffen zwaar genoeg zijn of niet. Het gaat over hoe ongeïnformeerd mensen aan deze discussies deelnemen.

mashell @F-I-X • 21 augustus 2018 14:19

In Nederland zijn de straffen tov omliggende landen al vrij zwaar. Ik ben erg tegen het eeuwige geroep om zwaardere straffen, het zogenaamde "keihard aanpakken". Er gaat vrijwel geen afschrikingseffect van die horror straffen, het biedt de slachtoffers geen genoegdoening (die is er gewoon nooit) maar het kost de maatschappij wel bakken met geld en maakt het risico dat het helemaal nooit meer goed komt met de crimineel wel groter. Laten we daarom de strafmaat maar gewoon door de rechter bepalen en laten we niet luisteren naar "keihard aanpakken" gejammer van politici, hoofdredacteuren van kranten en internet commentaren.

Verwijderd @mashell • 21 augustus 2018 15:47

De klepel is inderdaad aan het doorslaan. Die veel zwaardere straffen zorgen ook niet noodzakelijk voor een veiligere samenleving. De opvolging na de straf is daar veel belangrijker voor.

Er zijn ook veel te veel pseudo-rechters en mensen die denken dat omdat ze een verschrikkelijk extreme mening hebben dat de extreemheid van hun mening maakt dat ze meer gelijk hebben.

Er wordt ook steeds minder geluisterd daar experts criminologie of mensen die strafrecht gestudeerd hebben. In plaats daarvan vinden we dat populisme en zo hard mogelijk roepen en tieren, vooral door mensen zonder enige kennis van zaken, het beste is.

Een beetje zoals hoe Brexit verlopen is: the populism is strong on this one.

mashell @F-I-X • 21 augustus 2018 19:02

Ik hoor dit wel vaker dat "Nederland" hoog zou straffen alleen heb ik hier nooit een stuk van kunnen vinden waar dit uit blijkt.

Dit is best een neutraal artikel. Een wat ouder artikel uit een krant kan ook.

het recht schijnen te hebben verworven op te bepalen wat de gemeenschap als rechtvaardige straf moet zien

We hebben een gekozen parlement dat de regering gevormd heeft, wij hebben dus allemaal samen de mensen gekozen die de maximale strafmaat vaststellen. Overigens is het zelfs in wat "primitievere" landen met een jury rechtspraak ook niet zo dat jury de strafmaat bepaald.

Bij een rechtstaat hoort ook rechtvaardigheid. En niet zoals jij benoemt "genoegdoening"

Inderdaad, de slachtoffers willen genoegdoening die helemaal niet bestaat, zullen vrijwel nooit tevreden zijn. Ik ben er dan ook geen fan van dat slachtoffers steeds meer een rol krijgen in strafprocessen. Misschien goed voor het verwerkingsproces van die slachtoffers maar of het goed is voor het recht?

Ik stoor me altijd mateloos aan de "kosten bakken met geld" redenen. Het is een standaard onderdeel van een democratische rechtstaat met regels en straffen. Bij een rechtstaat hoort ook rechtvaardigheid.

Rechtvaardigheid naar de samenleving is ook voor de diefstal van een fiets van €300 niet een celstraf van een jaar met een prijskaartje van tienduizenden euro's opleggen. Er moet ook een balans zijn. Celstraffen zijn duur, niet erg effectief, die alleen inzetten als het de beste optie is dus verstandig.

F-I-X @mashell • 22 augustus 2018 01:00

Als dat het artikel is waarna zo vaak wordt gerefereerd voor de stelling dat Nederland zwaar zou straffen dan bevestigd het alleen maar mijn vermoeden dat het juist NIET zo is. Alleen al het laatste hoofdstuk leest als een aaneenschakeling van voorbehoudends omdat er in die tijd (2009) geen uniforme registratie was. Ook in veel gevallen logisch omdat recht systemen in de landen haast niet te vergelijken is.

Blijft ook in dat stuk in internationale zin er geen enkele grafiek te zien is waaruit een directe vergelijking wordt gedaan op de strafmaat. Is ook logisch omdat dit haast nooit te vergelijken is in de meegewogen omstandigheden. Daar hebben we terecht een rechter voor die een zaak beoordeeld en binnen de kaders van de wet een straf oplegt die een rechtvaardig beeld geeft van de zwaarte en omstandigheden van het vergrijp.

Punt wat ik maak is dat de rechters in Nederland zich in hun strafmaat teveel laten beïnvloeden door factoren die eigenlijk niet meegewogen moeten worden. Zoals recentelijk de advocaat van Micheal P die in beroep gaat omdat een strafvermindering voor de "harde aanpak" van het arrestatie team, niet mee was genomen door de rechter.
En zo zijn er meer factoren die worden aangedragen die een kans maken in de overweging van de strafmaat. Daar zijn we in onze maatschappij teveel in doorgeschoten. Pappen en nat houden. Aai over het bolletje en een Foei !.

mashell @F-I-X • 22 augustus 2018 10:45

Als dat het artikel is waarna zo vaak wordt gerefereerd

Dat is niet "het" artikel, het is één van vele. Omdat het gewoon statistisch een feit is. Vind je dat er in Nederland te licht gestraft wordt, tja dan vindt je dat er in het buitenland helemaal te licht gestraft wordt.

En zo zijn er meer factoren die worden aangedragen die een kans maken in de overweging van de strafmaat. Daar zijn we in onze maatschappij teveel in doorgeschoten

Daar ben ik het wel mee eens. De rechter moet zich niets aantrekken van publieke opinie, politici, internet commentaren en zelfs niet van slachtoffers. En dat doen ze ook niet, wat vervolgens weer tot gejammer van de publieke opinie, politici, internet commentaren en de slachtoffers lijdt.

satya @F-I-X • 21 augustus 2018 14:27

Levenslang is in Nederland levenslang en er zitten er een aantal voor die periode achter de tralies.

Alleen wordt het op dit moment niet toegepast omdat het tegen het Europese recht in zou gaan, en men bekijkt wat de gevolgen er van zijn.

Verwijderd @ShellGhost • 21 augustus 2018 13:31

Ik vind niet dat het predicaat 'cybercrime' hier zo belangrijk is. M.a.w. wat je zelf al aangeeft: afpersing en afdreiging, diefstal, en zo verder zijn voldoende om deze man op te sluiten. Dat zijn eigenlijk ook de echte misdaden die gepleegd zijn.

Dat hij daarvoor een computer en websites of andere technische middelen gebruikte doet er eigenlijk weinig toe.

We gaan toch ook niet dieven veroordelen omdat ze sloten kunnen openen. We veroordelen dieven omdat ze stelen.

Cerberus_tm

@Verwijderd • 21 augustus 2018 13:48

Mee eens. Voor misdaden waarvan de aard niet veranderd door het gebruikte middel, zou het middel dus ook niet uit moeten maken. Alleen voor dingen als DoS en massaal gegevens stelen uit een database heb je aparte wetten nodig, omdat deze echt andere gevolgen hebben voor de slachtoffers.

Verwijderd @Cerberus_tm • 21 augustus 2018 14:07

Ikzelf ben meer voorstander van een strafrecht dat vooral kijkt naar de intentie en niet echt naar de gevolgen (hoewel er kan rekening gehouden worden met de gevolgen, vind ik de intentie veel belangrijker). Wanneer we bepaalde vocabulair gaan toewijzen op basis van (potentiële) gevolgen, dan doen we dat soort strafrecht geen eer aan.

M.a.w. deze persoon had de intentie om af te persen, had te intentie om af te dreigen, had te intentie om te stelen. M.a.w. is hij een afperser, een dief. Welk middel hij ervoor gebruikte doet er niet toe. Het gevolg doet er toe maar in mindere mate dan zijn bedoelingen. M.a.w. dat de vrouw psychische problemen krijgt wil niet zeggen dat we hem een soort slechte psycholoog gaan noemen. Dat de vrouw financieel geruiineerd is wil niet zeggen dat we hem een financieel-ruiineerder gaan noemen. Maar dus afperser, dief. Want dat was zijn intentie. Om af te persen. Om te stelen.

bed76 @Verwijderd • 21 augustus 2018 14:32

Ik dus niet, je moet naar beide kijken.

Als iemand 1000,- steelt van iemand die 50.000 op zijn bankrekening heeft staan, is de impact heel veel lager dan wanneer die 1000,- het enige geld op de spaarrekening is van bijv. een oud vrouwtje/alleenstaande moeder. De gevolgen zijn voor het ene slachtoffer toch ook veel groter? Imo zou de strafmaat daarop aangepast worden. Het slachtoffer heeft toch ook extra straf? Vaak worden juist arme mensen die weinig hebben, gepakt door dit soort oplichters/afpersers.

mashell @bed76 • 21 augustus 2018 15:39

Imo zou de strafmaat daarop aangepast worden

Huh, wat zeg je nou? De strafmaat hangt samen met de daad en beweegredenen van de dader, niet met het banksaldo van het slachtoffer. Die heiloze weg moeten we niet nemen, want ergens zeg je dan "stelen van rijken is minder erg". Robin Hood is natuurlijk maar gewoon een sprookje en dat heeft niets in het rechtssysteem te zoeken.

bed76 @Verwijderd • 21 augustus 2018 14:45

Ik gaf heel duidelijk aan dat je naar beide moet kijken. Ik ben het met je eens; stelen is stelen.

Alleen vind ik, dat als je iemand met die diefstal ruïneert of relatief veel schade toebrengt, dat de straf zwaarder mag zijn. Niet, dat als je iemand relatief weinig schade toebrengt, dat je straf lichter zou mogen zijn.

mashell @bed76 • 21 augustus 2018 15:46

Dat mag alleen meetellen als ruinieren het doel is. Als jij 1000 euro steelt om drugs van te gaan kopen van een miljonair of van een arm vrouwtje mag niet uitmaken.

Luppie @ShellGhost • 21 augustus 2018 14:14

Het zal waarschijnlijk iets soortgelijks worden als deze:

nieuws: Rechter legt 240 uur taakstraf op aan Nederlanders achter Coinvault-r...

De gevangenisstraf zal dan 4x het voorarrest zijn, waarvan 3/4 voorwaardelijk, U gaat gewoon langs start en ontvangt uw bonus voor de volgende ronde.

Verwijderd @ShellGhost • 21 augustus 2018 15:37

Max een jaar gevangenis en 120 uur schoffelen. Meer zal het niet zijn vrees ik.
Op afpersing staat een maximumstraf van negen jaar of een geldboete van de vijfde categorie (76.000 euro).

En omdat dit een afperser is kan hij die straf ten hoogste krijgen. Waarom denk je dat omdat dit digitaal ging hij een minder straf zou krijgen?

trisje @ShellGhost • 21 augustus 2018 14:00

Onze zelfbenoemde rechters dienen zich al aan. Vol van zichzelf en van hun vooroordelen. Alle met een goed gevulde onderbuik gevoel. Werkelijkheid en feiten geven hele andere straffen.

totaalgeenhard @ShellGhost • 22 augustus 2018 00:18

Gezien leeftijd niet veel.

Om heeft programma waarin jonge daders ipv veroordeling die hun leven gaat verpesten begeleiding krijgen zodat recidive lager zal zijn (in hun optiek).

Wannial @ShellGhost • 21 augustus 2018 13:47

Het is afdreigen, niet afpersen. (er is niet gedreigd met geweld, maar met smaad) Hier staat maximaal 4 jaar op. Tenzij recidiverend, dan kunnen er hogere straffen worden opgelegd.

Tarij @Unsocial Pixel • 21 augustus 2018 17:21

In het artikel staat niet hoe hij toegang heeft verkregen tot de dropbox. Ik kan mij voorstellen dat dit ook door phishing of een keylogger o.i.d. is gebeurt. Hij zou het ook gekraakt kunnen hebben natuurlijk, in dit artikel lees ik dat niet terug.

Het woord hacken slaat niet alleen op het doorbreken van de beveiliging van software. Daar is het woord cracking of kraken beter van toepassing. Van wikipedia, "Een hacker is een persoon die geniet van de intellectuele uitdaging om op een creatieve en onorthodoxe manier aan technische beperkingen te ontsnappen." De moeilijkheidsgraad maakt hier natuurlijk niet uit, "hacken" is niet alleen voor de beste van het vak. Of ik nou 1 keer in de week 5 minuutjes naar mijn werk fiets of op wereldniveau rondjes fiets, ik ben en blijf een fietser. Of beter, of de voordeur nou van staal is of van gips, als je naar binnen gaat als het niet mag ben je een inbreker.

Het slachtoffer is niet schuldig. Hoe makkelijk of toegankelijk iets ook is voor de crimineel. Als ik mijn voordeur open laat staan en vertrek is dat erg dom. Zelfs met de verzekering kan dit misschien problemen opleveren. Dat neemt niet weg dat de dief die mijn eigendommen uit mijn huis haalt strafbaar bezig is. Zelfs al ligt het op straat.

De beste meneer ging over de schreef toen hij zich voordeed als iemand anders met de phishing e-mails. Afhankelijk van de voorwaarde van marktplaats ging hij al over de schreef toen hij geautomatiseerd duizenden berichten aan het versturen was. Toen hij geld van bankrekeningen haalde was het diefstal natuurlijk.

Verder is het binnendringen in een digitale omgeving die niet van jou is en waar je geen toestemming voor hebt ook verboden. Toen de beste man op de dropbox ging was hij dus ook over de schreef gegaan. Eigenlijk is het enige in het bericht waar ik over twijfel of het wel of niet mag de duizenden berichten via marktplaats. Voor de rest is alles buiten het wetboekje.

kodak

Politie
Nederland

21 augustus 2018 13:42

Dit doet me denken aan het artikel 'Criminelen verkopen duizenden gehackte Nederlandse accounts voor webwinkels'.
Zou een bijverdienste kunnen zijn als de verdachte genoeg accounts had en ze zelf bijvoorbeeld al een paar keer succesvol gebruikt had of er zelf door tijdgebrek niets mee kon.

MichaelCorleone 21 augustus 2018 15:48

"Vervolgens werd er geld van de rekeningen van de slachtoffers overgemaakt of werden er spullen mee gekocht."

Ja, maar hoe dan? Ik snap dat hij met phishing wat credentials kan jatten maar met bankieren is er toch ook nog verplichte out-of-band authenticatie (2FA, etc.)?

Xfade @MichaelCorleone • 21 augustus 2018 16:35

Het is tijden in het nieuws geweest hoe dit te werk ging. Overmaken van 1 cent wat dan een groot bedrag blijkt te zijn via een malafide Ideal link etc. Marktplaats oplichting, hoe dan? Er zijn ook andere manieren gebruikt. Ik neem aan dat sommige manieren niet direct in de media terecht komen vanwege onderzoek.

[Reactie gewijzigd door Xfade op 23 juli 2024 07:12]

Dartillus @MichaelCorleone • 21 augustus 2018 16:41

Ik denk dat op het moment dat het slachtoffer op die phishingsite geprompt werd voor z'n 2FA code, de hacker met een programma'tje snel probeert in te loggen op de bank van het slachtoffer en een vooraf vastgesteld bedrag probeert af te boeken. Als de 2FA code snel genoeg wordt ingevoerd op de phishingsite kan je die nog gebruiken voor de daadwerkelijke bank website.

Keypunchie

Nederland
Politie

@Ryan_ • 21 augustus 2018 12:59

Troll-reactie? Het is duidelijk een vrij kille misdadiger. Niet alleen hackt hij dingen, hij maakt vervolgens ook misbruik voor eigen geldelijk gewin!

sellh @Keypunchie • 21 augustus 2018 13:49

Volgens mij geen troll-reactie, maar het in twijfel trekken van de bewering dat de hacker bankgegevens zou kunnen inzien na mensen om te leiden naar een phishingwebsite.
Een terechte twijfel, want om bankgegevens in te kunnen zien is er wel wat meer nodig dan mensen lokken naar een phishingwebsite. Je moet die mensen dan ook nog zo ver zien te krijgen om rekeningnummer, inlogcode en e-dentifier codes (of hoe de verschillende banken het ook noemen) in te tikken.
Mensen laten clicken op een link en hup, je hebt als hacker toegang tot de bankgegevens, is wel heel kort door de bocht gezegd. Een beetje het niveau van hoaxberichten op Facebook: "Accepteer Pietje niet als vriend, want dan kan hij je wachtwoord en je bankgegevens inzien".

[Reactie gewijzigd door sellh op 23 juli 2024 07:12]

.oisyn Moderator Devschuur® @sellh • 21 augustus 2018 15:14

Euhm, het gaat om een phishing website (geschreven met ph overigens

). Het soort site dat jij beschrijft, waarbij er puur door het kliken een link gegevens worden ontfutseld, is geen phishing website maar gewoon een site met de nodige malware. Een phishing website is zo ontworpen dat hij eruit ziet als de site van een legitieme instantie. De argeloze bezoeker waant zich op een officiele site, en zal vervolgens zijn accountgegevens invullen om in te kunnen loggen.

Het feit dat het artikel spreekt over een phishing website, impliceert dus dat de bankgegevens zelf zijn ingevoerd door de gebruiker, niet dat hij het zonder verdere handeling van de bezoeker weet in te zien.

[Reactie gewijzigd door .oisyn op 23 juli 2024 07:12]

sellh @.oisyn • 21 augustus 2018 16:35

Schrijffoutje verbeterd....
Verder bevestig je wat ik al schreef. De hacker is niet puur door middel van de phishing site in staat toegang te krijgen tot de bankrekening van de argeloze bezoeker, maar heeft daar nog wel hulp van die bezoeker bij nodig.

.oisyn Moderator Devschuur® @sellh • 21 augustus 2018 16:42

Verder bevestig je wat ik al schreef

Niet echt, jij schrijft dat de twijfel van @Ryan_ terecht is. Ik claim dat die twijfel helemaal niet terecht is, simpelweg omdat dat helemaal niet is wat er staat. Als het artikel vermeld dat er gegevens zijn buitgemaakt door middel van een phishing website, dan impliceert dat dat de gebruiker zélf iets heeft ingevoerd. Die zin uit het artikel interpreteren alsof hij de gegevens vanzelf heeft gekregen zonder dat gebruikers zelf iets hebben ingevoerd is gewoonweg onjuist.

maar heeft daar nog wel hulp van die bezoeker bij nodig.

Ja, dat is dus het hele idee van een phishing website

. Het is dat impliciete waar jij aan voorbij lijkt te gaan in beide reacties.

[Reactie gewijzigd door .oisyn op 23 juli 2024 07:12]

sellh @.oisyn • 21 augustus 2018 17:28

Wat bedoeld wordt, is:
1) De hacker lokt bezoekers naar zijn phishing site
2) De bezoekers vullen hun bank- en inloggegevens argeloos in
3) De hacker krijgt daarmee toegang tot de bankgegevens van de bezoekers
Tot zover zijn we het eens.

Maar 3) is het gevolg van 2) en niet van 1), zoals het artikel suggereert.

Je stelt nu dat als gezegd wordt dat 3) een gevolg is van 1) dat daarmee automatisch wordt geïmpliceerd dat 2) geldt. Dat kan zo zijn, maar dat wordt niet letterlijk zo gezegd. Je bent dan aan het doorredeneren.

Hoe dan ook, zo veel verschillen onze meningen niet ondanks een klein verschil in tekstinterpretatie.

.oisyn Moderator Devschuur® @sellh • 21 augustus 2018 21:43

Maar 3) is het gevolg van 2) en niet van 1), zoals het artikel suggereert.

En dat is dus de kern van mijn post en waar wij het niet eens over zijn. Het artikel suggereert dat helemaal niet. Een site waarbij 3 een gevolg is van 1 heet geen phishing site. Een phishing site is niet een site met malware, maar een site die (op het eerste gezicht) moeilijk van echt te onderscheiden is. Het hele doel is om de gebruiker zo ver te krijgen vrijwillig zijn gegevens in te voeren. Het zit niet voor niets in de naam, er wordt "gehengeld" naar gegevens.

Je stelt nu dat als gezegd wordt dat 3) een gevolg is van 1) dat daarmee automatisch wordt geïmpliceerd dat 2) geldt.

Absoluut niet. Ik stel dat als er wordt gezegd dat het een phishing site is, dat dán 2 wordt geïmpliceerd.

sellh @.oisyn • 22 augustus 2018 02:15

Ik hou er over op, want we praten volledig langs elkaar heen en dat komt niet goed.
Nogmaals... we zijn het gewoon helemaal eens, al blijf je beweren van niet.

totaalgeenhard @Keypunchie • 22 augustus 2018 00:24

Alsof er bij overheid geen mensen werken die in hun jeugd geen onethische dingen hebben gedaan maar nooit betrapt zijn.

Grootste gevaar bij overheid zijn niet de mensen waar je geschiedenis van kent, want die hebben veel meer te verliezen dan de beroepsambtenaar die zijn hele leven nooit een echte baan heeft gehad maar dagelijks bij overheid beslissingen mag nemen die onze maatschappij beïnvloed terwijl hij daar of niet competent voor is of het altijd inteelt zal betreffen omdat hij altijd inschikkelijk naar organisatie zal opstellen.

Als de schade veroorzaakt door beroepsambtenaar (en bestuurders) zouden uitrekenen zou het me.niets verbazen dat we 50% teveel belasting betalen dankzij deze "mensen".

Niet Henk @Ryan_ • 21 augustus 2018 13:05

Dat valt echt wel mee...

Een phisingwebsite maken is niet zo lastig. Mensen moeten alléén dom genoeg zijn om hem te gebruiken.

Je kan met wat automatisering eenvoudig een banksite bezoeken, daar de vereiste tan/identifier code vandaan halen, die doorspelen naar jouw phishingsite, en dan de gebruiker laten "inloggen". Er zijn daarom vaak twee codes vereist om naar een willekeurige partij over te maken, maar je kan daar op meerdere manieren om heen proberen te werken.

De site zal niet zo snel zijn als normaal, en natuurlijk kan een oplettende gebruiker vaak andere tekenen zien, maar als je 20K bezoekers hebt kan je met een slechte website vaak toch best wat geld binnenhalen.

Verwijderd @Niet Henk • 21 augustus 2018 15:40

Je kan met wat automatisering eenvoudig een banksite bezoeken, daar de vereiste tan/identifier code vandaan halen,

Leg eens uit want dat zou een enorm lek zijn.

Niet Henk @Verwijderd • 21 augustus 2018 15:53

Eh... Je kan middels Selenium een browser automatiseren, en dingen doen als screenshots maken (en daar specifieke delen uitknippen en doorzetten naar jouw site), en de HTML analyseren.

Dit kan je programmatisch doen op basis van input van het doelwit in jouw phishing-site. Het is alleen traag: i.p.v. bankrekening nummer invullen op banksite -> code terug, krijg je bankrekeningnummer invullen op phishingsite -> naar server phisher -> invullen middels selenium op banksite door phisher -> code terug -> doorzetten naar phishingsite.

Dit maakt het window dat je deze truc uit kan halen met tijdgebaseerde codes kort, zeker als je visuele codes zoals de rabo scanner gebruikt. Een snelle server en verbinding naar het doelwit zijn dus belangrijk, en je moet rate-limiting van banken omzeilen als je het vaak doet.

Niks nieuws, en er is heel weinig aan te doen. Je kan het rapporteren als lek bij een bank, maar dat is het niet. Het is een design flaw, geen bug. Je kan Captcha-achtige dingen op de banksite gooien, maar die zijn ook door te spelen naar de phishing-site, hoewel het dan wel iets lastiger wordt. Je kan dingen doen als analyse van muisbewegingen, cookies, etc. maar dat is allemaal matig betrouwbaar.

Je kan proberen te detecteren of iemand Selenium gebruikt, maar dat is niet betrouwbaar

Nee, dit heb ik niet in praktijk gedaan, maar het vereiste kennisniveau om zoiets te doen is niet heel hoog. Als je denkt: goed idee, dit ga ik doen: vrij zeker dat je gepakt wordt, net als deze vent.

[Reactie gewijzigd door Niet Henk op 23 juli 2024 07:12]

Dartillus @Niet Henk • 21 augustus 2018 16:43

Je zou misschien niet eens een browser hoeven te automatiseren, denk dat je met een aantal web requests een heel eind kan komen.

Gamebuster @Ryan_ • 21 augustus 2018 12:59

Goed idee. Als ik werk zoek ga ik dan ook even inbreken, staat goed op mn CV. /sarcasme

mjl @Gamebuster • 21 augustus 2018 13:38

Ja, ik wil een baan bij de brandweer dus steek ff een bos in de hens.... lol

Hackers moet je straffen, en de wil ontnemen om het weer te gaan doen.
Een aantal jaar:
- geen internet toegang
- geen mobiele abonnementen
- geen credit cards etc.

Daarna langzaam rehabiliteren...

DeBers @Ryan_ • 21 augustus 2018 13:00

Preek? Op afpersing staat wel iets meer dan alleen een preek. En met goed recht.

Loggedinasroot @Ryan_ • 21 augustus 2018 13:02

Deze man gaat echt geen goede functie meer krijgen. Iemand die op zijn 25ste zulke ontzettende kutstreken uitvoert wordt nooit meer belangrijke informatie toevertrouwd.
En terecht.

Theo @Ryan_ • 21 augustus 2018 13:02

Dit is niet heel spannend om te doen; het is geen technisch hoogstaand werk. Je moet hem daarom zeker niet belonen, maar gewoon keihard straffen.

In dezelfde analogie kun je vrij gemakkelijk een auto openbreken met een staaf of een ander plat en dun materiaal; dat doet de ANWB immers ook als je je autosleutels in de auto hebt liggen. Iemand die dat 'kunstje' kan, en daarmee duizenden auto's leegrooft wil je ook geen baan aanbieden in de autobranche. Die moet ook met z'n hoofd op het schavot.

jeffreytigch @Ryan_ • 21 augustus 2018 13:03

Wat ben ik blij als dit fabeltje de wereld uit is zeg... We leven niet in Hollywood, zo’n persoon gaat zo respectloos om met andere mensen, die moet je juist van vertrouwlijke informatie afhouden.

Nyarlathotep @Ryan_ • 21 augustus 2018 13:04

Drie minuten na het plaatsen van het artikel gepost. Lekker nagedacht weer...

On-topic: Dit hele inlijven van criminelen bij overheidsinstanties is echt een urban legend. Het zal gerust wel eens (een paar keer) voor (zijn) (ge)komen, maar dan heb je het over uitzonderingen.
Dit is gewoon een crimineel met een slecht functionerend moraal kompas. Die moet je gewoon straffen.

Keypunchie

Nederland
Politie

@Nyarlathotep • 21 augustus 2018 13:15

Het was een beetje een dingetje in de jaren '90. Maar dan ging het wel over white hat akties, of op zijn slechtst niveau blikje cola stelen/vandalisme. Denk eraan dat de dader alleen zichzelf gratis toegang gaf tot een dienst, of alleen een webpagina defacede.

In Nederland kreeg de maker van het (weinig schade aanrichtende) Anna Kournikova-virus ook een baan-aanbod, maar dat was op zich een beetje misplaatst, want dat was 100% script-kiddie werk.

(Hij heeft zichzelf aangegeven en is veroordeeld tot een taakstraf).

Het beste voorbeeld dat ik kan vinden van iemand die echt aangenomen werd door het bedrijf dat hij hackte is:
Chris Putnam

[Reactie gewijzigd door Keypunchie op 23 juli 2024 07:12]

hulseman @Ryan_ • 21 augustus 2018 13:06

Ik hoop wel dat je van mening bent, dat de overheid en de politie moet bestaan uit bekwaamde en betrouwbare mensen... zo'n "hacker" is niets meer dan een crimineel.. door en door verrot zijn dit soort figureren. Je bent ze liever kwijt dan rijk.

Orangelights23 @Ryan_ • 21 augustus 2018 13:07

Is een beetje vreemd als je jouw uitspraak doortrekt naar andere gevallen. Dieven die inbreken in een museum en voor een paar miljoen aan schilderijen stelen, worden ook geen baan aangeboden bij de recherche. Deze jongeman heeft daadwerkelijke bedrijven schade laten toekennen dankzij zijn handelen. Een stevige preek en een mooie baan - ondanks dat het slim in elkaar gezet zou kunnen zijn - is niet de juiste wijze om dit soort criminelen te behandelen, laat staan dat het een voorbeeld zou moeten zijn voor andere criminelen die dit soort praktijken (willen) gaan uitvoeren.

ZpAz

@Ryan_ • 21 augustus 2018 13:25

Mailtjes sturen een neppe, maar op echt lijkende website opzetten is geen rocket science, dat kan elke 14 jarige hobby programmeur op zijn zolderkamer al. Niet bepaald "baan aanbieden" waardig.

raro007 @Ryan_ • 21 augustus 2018 12:59

Jij bent ook die politie agent die elk dief een baan aanbied bij de politie?

janfokke @Ryan_ • 21 augustus 2018 13:00

Net alsof dat zo moeilijk is

emnich @Ryan_ • 21 augustus 2018 13:05

Er zitten nog wel meer kandidaten in de bak

. Dit is gewoon een crimineel die eerst maar even z'n tijd uit moet zitten en daarna heel lang moet wachten op een VOG.

Pater91 @Ryan_ • 21 augustus 2018 13:17

Zo'n pagina is erg simpel op te zetten hoor. Domeintje erbij wat op het origineel lijkt en je bent er al.

Het automatiseren van het hele proces is een ander verhaal. Daar heb je toch best wat kennis voor nodig om dat fatsoenlijk uit te voeren. Echter ben ik niet van mening dat hij hierdoor een baan verdiend. Hij heeft namelijk de moeite genomen een proces te bedenken waarbij hij geautomatiseerd een steady cashflow kon generen dmv het benadelen van anderen.
Hij wist precies wat de gevolgen zouden zijn van zijn acties, en alsnog heeft hij besloten dit zo breed mogelijk in te zetten. In mijn optiek is hij geen haar beter dan de callcenters die zich voordoen als Microsoft om je een trojan te laten installeren.
Deze jongen verdiend een straf van meerdere jaren, en hij dient tevens de gedupeerden schadeloos te stellen.

Maargoed, we leven in Nederland waarbij de straffen altijd lager uitvallen dan je zou verwachten. Het zou me dus niets verbazen als meneer er vanaf komt met een taakstraf en < 1 jaar zitten...

Amadeus1966 @Ryan_ • 21 augustus 2018 14:28

Iemand die een ander chanteert ?
Misschien spreek ik voor mezelf,
maar ik heb liever collega's die ik kan vertrouwen ipv die ik in de gaten moet houden.

Daivy @Ryan_ • 21 augustus 2018 13:05

Niet om mijn eigen beroep te min te doen, programmeren is makkelijk. Goed programmeren daar in tegen is lastig, maar dat ziet de eindgebruiker vaak niet. Iedereen die in jaar 1 van het MBO zit (voorbeeld, zelfs zonder opleiding kun je dit eenvoudig leren) kan een nep website maken, zo spectaculair is het niet.

Als je dit soort idiote mensen bij de politie of overheid wilt dan ben je niet goed snik of snap je totaal niks van ICT.

Op dit item kan niet meer gereageerd worden.

Opgepakte Nederlandse hacker bekent schuld in drie verschillende zaken

Lees meer

IT-banen

Reacties (88)

Sorteer op:

Weergave: