Politie pakt twee verdachten op die 200 slachtoffers hackten via phishingmails

De politie heeft twee verdachten van grootschalige phishingaanvallen aangehouden. De twee mannen uit Amsterdam worden ervan verdacht mails uit naam van ING te hebben verstuurd, en daarmee de inloggegevens van slachtoffers te hebben gestolen.

De daders verstuurden e-mails uit naam van ING. Daarin stond een waarschuwing dat klanten hun bankpas moesten vervangen. In de mail stond ook dat dat persé online moest, omdat de bankfilialen vanwege de coronacrisis niet bereikbaar waren. In de mail stond een link naar een nagemaakte versie van de ING-website waarmee de verdachten inloggegevens stalen.

Hoeveel slachtoffers de hackers precies maakten is nog niet helemaal duidelijk. De recherche schat het aantal op 200 mensen. Bij één van de slachtoffers werd meer dan 20.000 euro buitgemaakt.

De politie ging na een aangifte van ING achter een aantal meldingen aan. Uiteindelijk zijn er twee mannen 24 en 26 jaar uit Amsterdam aangehouden in een hotelkamer in de hoofdstad. Daar hadden zij meerdere smartphones en computers bij zich. Later is ook een huiszoeking gedaan in een woning in Amsterdam.

Reacties (50)

Jaïr.exe 8 mei 2020 19:13

Waarschijnlijk hotel wifi én of datasimkaart voor de internetverbinding. Daders opsporen is dan blijkbaar goed te doen. De server van de gestuurde phishing mails zal wel van een derde partij aangeschaft zijn.

Meerdere smartphones om de ING rekening op de app te koppelen zodat zij geld kunnen overboeken.

Kunnen banken gewoon geen verplichting invoeren dat er een soortvan extra authenticatie plaatsvindt los van SMS e.d.

WillySis @Jaïr.exe • 8 mei 2020 22:07

In een (bijna) leeg hotel val je wel op als je met meerdere computers en smartphones inlogt. Het hotel kan de politie dan ook getipt hebben. Amsterdammers in een hotel in Amsterdam is ook al verdacht.

Dennisdn @WillySis • 9 mei 2020 07:25

Of juist niet. Mijn werkgever huurt hotelkamers voor collega's die thuis niet rustig kunnen werken. Die gaan elke dag naar het hotel alsof ze naar hun werk gaan. En zij vertelde dat heel veel kamers in hun hotel zo zijn verhuurd op dit moment.

Daoka @WillySis • 9 mei 2020 07:15

Waarschijnlijk te veel problemen met hun vriendinnen omdat ze ze veel computers in huis hadden. Dus moesten de mannen met alle computers helaas even logeren in een hotel. Niets vreemds aan

JW1

@Daoka • 9 mei 2020 20:52

Met een beetje geluk krijgen deze verdachten nu een flink aantal overnachtingen in een staatshotel, zonder WiFi en mobiele telefoons mag ik aannemen.

d22wth @Jaïr.exe • 8 mei 2020 19:23

Bij de ING vind al zo'n checkvenster plaats, met 'je gaat nu toestemming geven' en dan 4 vinkjes. Maar dan geen extra SMS en/of bericht...

Mopperman @d22wth • 9 mei 2020 09:43

Koppelen van een telefoon heeft een TAN code (Papier of sms) nodig of authenticatie vanuit de app op een bekende telefoon. Toevallig laatst nog moeten doen ivm een nummer/toestel wissel.

[Reactie gewijzigd door Mopperman op 23 juli 2024 09:43]

matdriks41 @Jaïr.exe • 9 mei 2020 00:22

Bij de bank heb je een geldig ID bewijs nodig. Dus als dat goed gecheckt word en de politie aangifte goed behandelen, dan kunnen dit soort zaken sneller geblokkeerd worden.

arjankoole 8 mei 2020 18:35

Oh ja, daar had ik er inderdaad ook een van. Ik vond het misbruiken van Corona al extra schoffering. Dus ik ben blij dat ze gepakt zijn.

ocn @arjankoole • 8 mei 2020 18:36

Wat was het afzendadres?

DigitalExorcist @ocn • 8 mei 2020 19:08

Bank@ING.nl 😜

ocn @DigitalExorcist • 8 mei 2020 21:10

Dat lijkt me sterk. ing.nl heeft DMARC, SPF en DKIM goed ingeregeld: https://internet.nl/mail/ing.nl/360090/#

DigitalExorcist @ocn • 8 mei 2020 21:21

lngbank.nl dan

(kleine L) of lNG.nl (ook met kleine L)

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 09:43]

Cis @DigitalExorcist • 8 mei 2020 22:27

Mijn ex wilde er ook op klikken, maar zag gelukkig de kleine L.
Daar knapte ze vroeger ook al op af.

HeepH @Cis • 8 mei 2020 23:29

Hahahahahaha. Goud.

On-topic: Wordt tijd dat we iets verzinnen tegen dit soort spook-domeinen...

TwiekertBOB @HeepH • 9 mei 2020 08:53

Dat ga je niet tegenhouden. Ik denk dat de echte oplossing inderdaad een scherpere controle is op de juiste domeinen(standaard kleine letters in browsers en emailapplicaties) en voor inloggen in je bankaccount inderdaad een 2 staps verificatie met sms.

off-topic: Bij mijn vrouw gaat de liefde door de maag. Size does matter

AibohphobiA BoB

@HeepH • 9 mei 2020 13:14

Wordt tijd dat we iets verzinnen tegen dit soort spook-domeinen...

Dat zal niet meevallen. Ik denk dat mensen beter opgevoed moeten worden en gewoon nooit meer klikken op linkjes in een mail en zeker niet van een bank.
Aan de andere kant moeten financiële instellingen zelf ook geen mailtjes meer sturen met een link.
PayPal stuurt mij bijvoorbeeld elke maand een mail met een link om mij aan te moedigen te gaan kijken dat ik weer niets heb betaald of ontvangen met dat account.

-Colossalman- @DigitalExorcist • 9 mei 2020 14:04

Ik was in de veronderstelling dat URLs niet case sensitive waren.

Dit is dus schijnbaar niet zo:

https://www.w3.org/TR/WD-html40-970708/htmlweb.html

DigitalExorcist @-Colossalman- • 9 mei 2020 14:24

De URL's vallen wel mee. Het gaat om een link die je als user ziet en waar je op kan klikken.

Als je in hoofdletters in een klein font " WWW.lNG.NL " ziet klik je er al vrij snel op als achteloze eindgebruiker (met alle goede bedoelingen!). Maar het is dus "LNG.NL" waar je op klikt.

Zelfs als WWW.RABO8ANK.NL of noem eens wat.

Henrikop @ocn • 9 mei 2020 09:37

Overigens moet de ontvangende (hosting) partij daar wel naar kijken! Vorig jaar was Ziggo in ieder geval nog niet uitgerust met systemen die naar SPF en DKIM keken. Daarom kregen mensen ineens e-mails van hun zelf met de melding dat ze gehackt waren. Die mails hadden natuurlijk gewoon in de SPAM terecht moeten komen.

Keypunchie

Nederland
Politie

@Henrikop • 9 mei 2020 10:26

Alleen SPF en DKIM is onvoldoende, ook DMARC moet ingeregeld zijn

En eerlijk gezegd, met een achtergrond in professioneel serverbeheer en hobby-interesse op dit gebied: ik vind het correct instellen van al die zaken voor een domeintje niet echt triviaal.

Heeft me menig uurtje fröbelen gekost, voordat het ook helemaal 100% functioneerde.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 09:43]

Henrikop @Keypunchie • 9 mei 2020 14:56

Ja, maar dit moet ingesteld worden door de hosting provider... De gebruiker zelf hoeft niets te doen. Die zou dit soort mails niet binnen mogen krijgen.

En hosting providers moeten nog veel meer snappen dan SPF, DMARC, DKIM, etc.

Als je geen diepgaand verstand van e-mail hebt, zou je zeker geen mailboxen aan moeten bieden aan gebruikers. En bedrijven als Ziggo zouden zich dan ook moeten schamen.

[Reactie gewijzigd door Henrikop op 23 juli 2024 09:43]

Keypunchie

Nederland
Politie

@Henrikop • 9 mei 2020 16:20

Ja, maar dit moet ingesteld worden door de hosting provider...

Dit hangt er een beetje van af, een full-service provider: ja.

Maar doorgaans hebben bedrijven/bedrijfjes hun diensten bij verschillende (Saas)-partijen. E-mail bij Microsoft, hosting bij Foursquare, domeintje bij Trans-IP.

Wie moet dan het DNS-beheer doen (want dat is het). De hosting-provider? En zeker als het om mail gaat: de marketing-afdeling moet hun campagnes dan gaan afstemmen met IT...

Misschien dat dit in de toekomst vanzelfsprekend wordt, maar voor nu zie je dat het overgrote gedeelte van de bedrijven misschien SPF of DKIM hebben, maar nauwelijks DMARC.

Probeer maar (op linux/macos):

dig -t TXT _dmarc.tweakers.net

Je krijgt alleen een SOA terug, wat dus betekent dat hij geen record heeft. In een snel rondje testen lijken mediabedrijven het doorgaans niet te hebben ingesteld, maar gemeentes (voor de verandering) wel.

Tweakers.net heeft wel netjes een SPF (en ook wel DKIM, maar dat is ff wat lastiger checken en niet zo'n zin om daarvoor nu in de mails te gaan graven)

[Reactie gewijzigd door Keypunchie op 23 juli 2024 09:43]

Henrikop @Keypunchie • 9 mei 2020 21:38

IT-ers die niet weten hoe SPF / DKIM werkt moeten geen mailservers instellen en beheren.

En zeker als bedrijf die mail stuurt naar anderen moet gewoon deze twee zaken en liefst DMARC op orde hebben. Het is de bescherming van je gebruikers tegen een hoop basis phishing.

Maar goed, we snappen elkaar :-)

kodak

Politie
Phishing
Beveiliging en antivirus
Nederland

@arjankoole • 8 mei 2020 18:46

Hoe weet je of het dezelfde criminelen zijn? Er zijn helaas wel meer criminelen die aan phishing doen.

vinkjb @kodak • 8 mei 2020 19:05

Denk je dat het onderzoeksteam jou gaat vertellen hoe ze achter deze mensen zijn gekomen? lijkt me niet toch.

Lammert Odinga 11 mei 2020 00:03

We hebben het hier over pure gevallen van poging tot diefstal.
Zeker omdat hier kwetsbare groepen getroffen worden.

En de bedrijven die deze groepen hiertoe DWINGEN roepen bij mij twee zaken op:
- bedrijven verantwoordelijk indien het fout gaat: geef kwetsbare groepen een goed betrouwbaar alternatief
(want dat is digitaal niet meer)
- aanvallers (wel/of niet succesvol) direct (internationaal) kunnen berechten

Vrij internet is een relatief begrip:
Waarom maakt de iemand tegenwoordig graag misbruik van vrij internet?
cq. waarom is iemand die er misbruik van maakt niet snel (genoeg) traceerbaar?

Net al het corona virus; die is niet zichtbaar (genoeg)

Ik hoop in de toekomst nog lang digitaal actief te zijn, maar de schaduwkanten worden nu wel wat groot.

@Daoka : op zoek naar oplossingen: TOP

Daoka @Lammert Odinga • 11 mei 2020 04:05

Dank je wel. Helaas zal het niet meer worden als een idee aangezien ik niet de connecties heb om het naar bedrijven krijgen. Maar wie wordt het door de juiste mensen gelezen en wordt het ooit ingevoerd.

Daoka 9 mei 2020 07:55

Blij dat deze niet weggekomen zijn met hun schandalige acties. Ik vind eigenlijk dat er andere normen moeten komen voor emails.
1: elke programma moet elke emailadres altijd veranderen naar kleine letters zodat men niet zo makkelijk de kleine L als hoofdletter i kan gebruiken.
2: er mag geen naam alleen meer staan als de persoon niet in de adressenboek staat. Dan kan je makkelijker zien of het van een rare email adres afkomt. Zoals dat ik van iemand die zich Jumbo 1k genoemd heeft met een @cabin.gottuh.de domein gestuurd. Zie je sneller dat het niet klopt. Heb het nu via mijn telefoon (web outlook) en om dit adres te zien moet ik eerst een reply doen en dan in de reply moest ik op de Jumbo 1k drukken in het adressenbalk om achter het adres te komen. Niet echt handig.
3: voor de telefoon en tablet in de browsers en email programma's als je een link ingedrukt houdt dat er een optie komt met "Laat adres zien van de link" zodat je er achter kan komen waar "Klik hier" heen gaat.

Ik denk als de belangrijkste bedrijven dit toevoegen aan hun programma's dat het ook al iets makkelijker wordt voor mensen om er achter te komen of iets nep is.

Xaphod 9 mei 2020 11:23

Ik krijg ook regelmatig spam van "ING, Netflix" e.d.
Ik heb niet eens een rekening bij Ing en ook geen netflix.
Gelukkig herkent Mozilla Thunderbird het gelijk als spam.
Nooit op een link van een bank of zo klikken in een mail.
Het adres van mijn bank en andere belangrijke bedrijven heb ik in m'n snelkoppelingen staan. (ik heb ruim 200 bladwijzers, allemaal gerangschikt in mappen en submappen).

killerdemon 9 mei 2020 21:51

Ik dacht al, waar blijft mijn wasbare Corona bankpas?

Kaibo 9 mei 2020 08:30

e-mail niet maar ik heb onlangs nog wel een SMS gehad van "de ING" waarbij vermeld stond dat mijn rekening in "quarantaine" is geplaatst wegens "verdachte inlogpogingen" en of ik de ING app opnieuw wil instaleren via bijgevoegd linkje.

LopendeVogel @Kaibo • 9 mei 2020 12:56

Ik krijg ontiegelijk veel ing mails, schijnbaar vandaag nog ivm mijn tan codes.
Ik ben dan geen klant bij ing dus dat valt gelijk op.

Mail vandaag is afkomstig van: ing@mail.fr
Andere mails komen van:
ing@ing.nl
Service@urbanet.nl