Autoriteiten halen darkwebmarktplaats voor inloggegevens Slilpp offline

De darkwebmarktplaats Slilpp, waar men gestolen logingegevens kon kopen, is offline gehaald. Daartoe was een internationale operatie opgezet waar ook het Nederlandse Team High Tech Crime aan meewerkte.

Naast Nederland werkten de Verenigde Staten, Duitsland en Roemenië mee aan de operatie. De Amerikaanse autoriteiten hebben volgens het Department of Justice meer dan twaalf mensen aangeklaagd of gearresteerd. Ook zijn servers en domeinnamen in beslag genomen.

Slilpp bestond volgens de Amerikaanse Justitie sinds 2012 en bood meer dan tachtig miljoen credentials te koop aan. Die zouden verspreid zijn over meer dan 1400 verschillende 'account providers'. Daaronder vielen accounts bij banken en winkels, maar ook 'accounts voor mobiele telefoons' en 'andere online accounts'. Slilpp voorzag niet alleen in een plek waar vragers en aanbieders samen konden komen, maar leverde hiervoor ook een betaalsysteem.

De omvang van de schade van deze handel is nog niet goed in kaart gebracht, maar 'op basis van de beperkte meldingen van slachtoffers, bedraagt de schade in de VS zeker 200 miljoen dollar', staat er in de bekendmaking. De ceo van securitybedrijf Advanced Intelligence noemt de marktplaats tegenover Bleeping Computer in ieder geval 'de grootste marktplaats voor gestolen log-ins die de criminele wereld ooit heeft gehad'.

Reacties (43)

Nostalgmus

13 juni 2021 13:25

De omvang van de schade van deze handel is nog niet goed in beeld gebracht, maar "op basis van de beperkte meldingen van slachtoffers, bedraagt de schade in de VS zeker 200 miljoen dollar

En hier is nu het probleem, tegenwoordig moet je voor veel websites aanmelden met je email adres om extra functionaliteit of informatie te benutten.
Deze worden dan om de haverklap weer verkocht/gestolen om wat voor reden dan ook al dan niet altijd met een wachtwoord maar die zijn in het verleden van die data vergaring tegenwoordig ook voorgekomen.

De meeste lui gebruiken een of een simpel wachtwoord wat makkelijk te achterhalen is waardoor je met zulke informatie gelijk toegang hebt to al zijn gegevens/ online bankieren of ergens nog een saldo via paypal ofzo.

r03n_d @Nostalgmus • 13 juni 2021 13:33

Na het datalek van allekabels heb ik de comments doorgespit en heb ik op aanraden een catch-all emailadres genomen op een domein dat ik al had. Zo heb ik voor elke website een ander emailadres. Dus bv. tweakers@domein.nl en google@domein.nl. Dan zijn de wachtwoorden minder bruikbaar.

Robthebest @r03n_d • 13 juni 2021 15:31

Catch all is inderdaad spam gevoelig. Echt alles @domeinnaam komt aan

Sebas- @Robthebest • 13 juni 2021 18:11

Een tip voor mensen die dit doen, plaats er een subdomein voor, *@spam.domeinnaam.tld

Mijn ervaring is dat er geen ongewenste mail op komt, behalve dan van adressen die al gelekt zijn natuurlijk.

Verwijderd @r03n_d • 13 juni 2021 13:38

Ipv een catchall kan je ook gebruik maken van bijv. gebruikersnaam+shop@domein.tld dan heb je geen catchall nodig. Het is namelijk prima volgens de e-mail specs, helaas zal niet elke shop zal een + in een email adres ondersteunen als de validatie incorrect is.

Caviatjuh @Verwijderd • 13 juni 2021 13:45

Ik vraag me af of dat zinnig is. Het is kinderlijk eenvoudig om alles vanaf de plus tot het apenstaartje er weer (geautomatiseerd) uit te gooien.

[Reactie gewijzigd door Caviatjuh op 27 juli 2024 01:52]

IStealYourGun @Caviatjuh • 13 juni 2021 15:14

Het plus teken is goedgekeurd teken van het mail adres. Als bedrijf moet je er van uitgaan dat daar een correct mail adres achterzit. Het kan goed zijn dat een mail provider die plus-hack niet toestaat en je daar dus gewoon een volwaardig mailbox aan gekoppeld is met plus teken

dingo35 @IStealYourGun • 13 juni 2021 15:41

Je bent niet goed geïnformeerd. De "plus-hack" heet formeel subaddressing en is gestandaardiseerd in internet standaard RFC5233.

Als je al een mailprovider zou kunnen vinden die zich hier niet aan de RFC standaarden houdt, dan zou ik snel switchen.

Sommige ecommerce/content management systemen zijn misschien vergeten deze (wat minder bekende) standaard te ondersteunen, een bug-report lost dat naar mijn ervaring snel op....

gooos @dingo35 • 14 juni 2021 08:36

Het mag dan wel gestandaardiseerd zijn, het betekent niet dat het geen problemen oplevert op websites.

Als ze de + al wel toestaan bij registratie dan gaat het dikwijls nog fout bij het resetten van een wachtwoord waar dan vervolgens geen + is toegestaan in het email adres...

Of bij registratie wordt de +etc gestript van het mailadres en kan je vervolgens om die reden niet meer je wachtwoord resetten (omdat ze het dan niet strippen) totdat je het eens zonder probeert.

Gelukkig wordt het de laatste jaren wel minder, maar ik zie het nog altijd gebeuren.

DXaroth @Caviatjuh • 13 juni 2021 14:04

Dat kan, maar het betekend wel dat je voor elke service en andere login naam hebt, dus dan moeten ze niet alleen je wachtwoord weten, maar ook welk adres je gebruikt voor die service.

Daarnaast is het daarmee ook goed om te zien wanneer partijen je contactgegevens doorverkopen/gebruiken voor andere zaken. Als je opeens spam begint te ontvangen op adres+tweakers@domein dan weet je gelijk waar het lek vandaan komt.

Wat @Verwijderd zegt is alleen jammergenoeg wel aan de orde. Veel applicaties accepteren de + niet in een mail adres, ook al is het een valide teken.

r2504 @DXaroth • 13 juni 2021 17:49

Als je adres+tweakers@domein gebruikt dan kan ik al raden dat het adres+google@domain of adres+gmail@domein zal zijn voor je Gmail account, zodra je er logica instopt kan iemand anders die logica ook vinden.

Beter zou zijn adres+001@domain voor Tweakers, adres+002@domain voor Gmail, ... maar dan moet je zelf een lijstje bijhouden.

Verwijderd @r2504 • 13 juni 2021 17:57

Ik hanteer adres+randomcode@domain.

En dan de boel lekker opslaan in een passsword manager

jaenster

@Verwijderd • 13 juni 2021 18:36

Ja, want het is totaal onmogelijk voor spammers om de + er af te slopen en op adres@domain te gaan spammen

Ik gebruik zelf randomcode@domain.tld (catch all ftw)

[Reactie gewijzigd door jaenster op 27 juli 2024 01:52]

DhrRob @jaenster • 13 juni 2021 20:07

Lekker spamgevoelig. Nog beter: account-tweakers@domain.tld. Wie heeft catch alls nodig?

jaenster

@DhrRob • 13 juni 2021 20:10

ik krijg echt geen enkele spam op mijn catch all domeinen. Zowel via .info als .net, geen spam what so ever

Rouwette @jaenster • 14 juni 2021 15:26

Klopt maar kun je dan nog inloggen ergens?

Christoxz @Caviatjuh • 13 juni 2021 14:05

Met een catchall heb je ook altijd raak. De methode van @Verwijderd is dus prima als je geen eigen mail hosting hebt.

Edit extra uitleg:

Want je kan ook geautomatiseerd een catchall herkennen, (tenzij je het heel moeilijk maakt), maar de meeste gebruiken dan site@domein.tld.
Dan kan je dus mailen naar elk random email op dat domein en weet de gebruiker alsnog niet waar het vandaan komt.

Tevens lijkt mij ook niet dat hackers, kopers(spammers, scammers) boeien of jij weet waar het email adres vandaan kwam. 999 trappen er niet in, 1 wel.

[Reactie gewijzigd door Christoxz op 27 juli 2024 01:52]

sjongenelen @Caviatjuh • 13 juni 2021 14:04

En wordt inderdaad vaker gedaan dan vroeger

ajolla @Verwijderd • 13 juni 2021 17:03

Daarom gebruik ik een liggend streepje ipv de +.

Verwijderd @ajolla • 13 juni 2021 17:47

Ja, maar dan heb je dus een catch-all nodig. Met een plus heb je dat niet nodig bij de meeste email servers. De plus is een speciaal geval, gebruiker+tag@domein zal worden afgeleverd bij "gebruiker". Dat is met een - niet het geval.

ajolla @Verwijderd • 14 juni 2021 04:14

Bedankt voor de uitleg, had ik nog niet begrepen.
Bij mij is 'webmaster' (email is geen web, maar goed...) de catch-all. Alles wat 'ie niet kent komt daar terecht.

dasiro @r03n_d • 13 juni 2021 15:19

te vaak worden mailadressen nog als username gebruikt, waardoor je die later ook niet meer kan wijzigen

in het geval van een doorverkochte site of extra sites in de toekomst maakt dat het weer wat onduidelijker ook

Daoka @dasiro • 14 juni 2021 08:15

Ik vraag me af of het beter of slechter is. Ik zie inderdaad voordeel dat je dit kan wijzigen. Maar ik zie meer nadelen dan voordelen.
1: Genoeg mensen vinden wachtwoord onthouden /wachtwoorden lijst bijhouden lastig. Laat staan dat dat ze dus nog eens gebruikersnaam moeten onthouden. Ik ken ook mensen die geeneens weten dat gebruikersnaam geen emailadres hoeft te zijn.

2: Emailadres of telefoonnummer is nodig ter verificatie als iemand zijn of haar wachtwoord vergeten is. Bij gestolen of verkochte data zit dit er dus evengoed wel bij. Bijkomende schade is dus dat je dan mogelijk ook je gebruikersnaam extra gestolen kan worden.

3: Meestal is de inlognaam dan ook de nickname op de site. Laat je dit veranderen dan kan er verwarring komen. Zoals nu reageer ik op jou als dasiro maar stel dat je dan je naam veranderd en ik niet meer zou weten wie jij dus was. Of je moet aparte inlognaam en nickname kunnen gebruiken maar daar verwacht ik dan weer verwarring van mensen dat ze het verschil niet snappen.

Als voorbeeld: ik ken iemand die zijn emailadres als gebruikersnaam heeft gebruikt voor digid want hij wist niet dat het ook anders kon. Nu heeft hij zijn emailadres veranderd en ook bij digid. Maar de gebruikersnaam bleef wel zijn oude emailadres. Hij snaote dus niet waarom hij niet kon inloggen. En probeerde ik het uit te leggen snapte hij het niet. Hij heeft toen maar zijn oude emailadres maar weer in gebruik genomen want dit was simpeler.

dasiro @Daoka • 14 juni 2021 12:46

tot je van provider verandert en het daarbij behorende mailadres ook niet meer werkt, dan weet je waarom ik ervoor pleit

Daoka @dasiro • 14 juni 2021 16:16

Dat kan je natuurlijk voorkomen door geen email van de provider te gebruiken maar gmail, outlook, yahoo ofzo iets te gebruiken. Mijn hotmail van 20 jaar geleden is nog steeds actief.

Maar inderdaad dit is wel een ding waar sommige mensen mee zitten. Al ging jouw post over gestolen en verkochte data. Dit verzin je er nu bij (al is het natuurlijk wel een goede rede).

dasiro @Daoka • 14 juni 2021 21:00

zelfs bij technet-accounts is het zo dat je login je mailadres blijft, zelfs al verander je dat later. Zo heb ik indertijd mijn professioneel adres ervoor gebruikt en hang ik nu vast aan een login met een firmanaam waar ik niets meer mee te maken heb. De password resets en alles wat bij het account hoort gaat wel naar m'n privé nu, maar puur de string om mee in te loggen is dus een @oudbedrijf.TLD

Zomborro @r03n_d • 13 juni 2021 13:44

Voor degene die geen domain hebben of willen hebben, wat je ook kan doen is gebruik maken van een email alias provider, bv SimpleLogin of Anonaddy.

e.dewaal

@r03n_d • 13 juni 2021 14:22

Ik doe dat tegenwoordig ook, alleen ik maak gebruik van random woorden in plaats van de bedrijfsnaam. Bij het lek van allekabels (uit mijn hoofd) waren mensen die overduidelijk individuele e-mailadressen gebruikten eerder op de hoogte gesteld van een lek, vermoedelijk om te voorkomen dat het groots in het nieuws kwam.

elmuerte @r03n_d • 13 juni 2021 14:30

Ik doe dit al 10+ jaar. Het is ook meteen een handige manier om te achterhalen waar je email adres nu weer gelekt/verkocht is.

threaker2 @Nostalgmus • 13 juni 2021 14:09

In veel situaties kun je ook volstaan met een tijdelijk e-mail adres bij een wegwerpmail-provider, dat je alleen gebruikt om het bevestigingsmailtje tijdens registratie te lezen.

ajolla @threaker2 • 13 juni 2021 17:07

In mijn ervaring wordt dat vaak, heel vaak zelfs, geweigerd.

amsterdamned 13 juni 2021 14:35

Het gebeurt naar mijn mening toch iets te vaak dat darknet websites worden opgerold. Moeten we hieruit concluderen dat Tor niet meer veilig is?

Verwijderd @amsterdamned • 13 juni 2021 14:46

Nee. Het is politie zelf die op darknet en toestanden meekijkt.

Frame164 @Verwijderd • 13 juni 2021 14:55

Maar als je mee kunt kijken is het dus niet veilig (even los van de discussie voor wie het veilig zou moeten zijn).

Christoxz @Frame164 • 13 juni 2021 15:01

Dan betekent niet dat Tor specifiek niet veilig is.
Dit zijn undercover acties en zij worden zelf toegelaten op zulke forums.

Verwijderd @Frame164 • 13 juni 2021 20:12

Nee dat zie je verkeerd. De politie doet zich gewoon voor als potentieele koper, en "lurkt" mee op zulk soort darknet websites. Op basis daarvan is ingegrepen. De server zal ook wel ergens hebben gestaan daar waar ze relatief makkelijk toegang toe konden hebben.

Zomaareenmening @amsterdamned • 13 juni 2021 14:46

Voor de mensen die bedrogen worden lijkt het inderdaad wat veiliger geworden.

ajolla @amsterdamned • 13 juni 2021 17:12

Als je als dark-websiteoperator Tor browser draait op een windows PC met java script aan en nog wat extensies erbij, kan het snel met je afgelopen zijn.

RoestVrijStaal @amsterdamned • 13 juni 2021 15:02

Niet echt.

Deze site was al 9 jaar in de lucht. Hoe ouder een website bestaat, hoe bekender het kan worden. Dus hoe groter de kans bestaat dat het in de kijker van de autoriteiten komt.

De politie stelt de prioriteit aan de hand van de schade wat veroorzaakt is en gaat worden. Ook omdat het budget maar één keer kan worden uitgegeven.

[Reactie gewijzigd door RoestVrijStaal op 27 juli 2024 01:52]

FttH 13 juni 2021 17:14

Hoe kan het dat politie al jaren onderzoek doet op het darknet, maar dat de website met de grootste data/verkeer voor alles wat inlogfraude te maken heeft sinds 2012 actief blijft?

Edit=typo

[Reactie gewijzigd door FttH op 27 juli 2024 01:52]

Goldwing1973 @FttH • 13 juni 2021 17:34

Weten dat een site bestaat is één ding.
Achterhalen wie het beheert en waar een darkweb site staat is iets heel anders, daar gaat veel tijd inzitten.

Chielemans 13 juni 2021 20:10

Zo dit nieuws is al een week oud.. hoe kan het dat jullie zo laat zijn ermee?

Op dit item kan niet meer gereageerd worden.

Autoriteiten halen darkwebmarktplaats voor inloggegevens Slilpp offline

Lees meer

Reacties (43)

Sorteer op:

Weergave: