Politie Den Haag houdt man aan wegens gebruik phishingpanel

Politie Den Haag heeft maandag een 22-jarige Hagenaar gearresteerd wegens onder meer computervredebreuk en diefstal. De man zou een phishingpanel hebben gekocht van een man uit Almelo, die vorig jaar werd veroordeeld tot een gevangenisstraf van drie jaar.

De politie kreeg de Hagenaar in beeld tijdens een onderzoek naar afnemers van een panelbouwer, schrijft de politie. De Almeloër leverde phishingpanels op bestelling. Phishingpanels zijn pakketten met nagemaakte bankwebsites waarmee inloggegevens kunnen worden gestolen. In 2020 is de toen 19-jarige man opgepakt in zijn woonplaats. Vorig jaar is hij veroordeeld tot een gevangenisstraf van drie jaar, waarvan een jaar voorwaardelijk.

De afnemers van de panelbouwer gebruikten de phishingpanels om de inloggegevens van bankklanten te stelen. De slachtoffers kregen een link toegestuurd van hun 'bank' via een appbericht of sms. Wanneer ze daarop klikten, werden ze naar het inlogscherm van de nagemaakte bankwebsite gestuurd. De inloggegevens voor internetbankieren die daar werden ingevuld, zijn vervolgens door de criminelen gebruikt om de bankrekeningen van hun slachtoffers leeg te halen.

De aangehouden Hagenaar wordt verdacht van oplichting, diefstal, computervredebreuk, witwassen, het voorhanden hebben van een phishingpanel en deelname aan een criminele organisatie. Op 17 maart wordt de man voorgeleid.

IT-banen

Reacties (66)

ro8in 16 maart 2022 21:09

Ik snap dit toch niet helemaal, met alleen een login kan je toch nog steeds niks bij online bankieren? Je moet altijd nog een 2factor authenticatie doen. Hoe hebben zij precies de rekeningen leeg gehaald met enkel de logins dan?

n9iels

@ro8in • 16 maart 2022 21:14

Die 2factor authenticatie wordt ook gephist. Tijdens het inloggen, na het invullen van een gebruikersnaam/wachtwoord/rekeningnummer krijg je een wacht schermpje. Op de achtergrond is crimineel druk bezig met die gegeven in de echte bank website invullen. Hij krijg de echte 2FA response en geeft deze weer door aan de niets vermoedende wachtende gebruiker.

RAAF12 @n9iels • 16 maart 2022 21:25

Kan ook via een SMS bericht dan is de telefoon nodig van de originele bankrekeninghouder.

DropjesLover @RAAF12 • 16 maart 2022 21:49

Die zijn ontvangen code intikt in de phishing webpagina... De phishing webpagina is soort man-in-the-middle aanval

SkyStreaker @DropjesLover • 17 maart 2022 05:13

Dit gebeurt niet altijd met een creditcard van de ING, ten dele waar. Soms wel een goedkeuring, soms niet.

Wootism @SkyStreaker • 17 maart 2022 07:00

Dit wordt ook niet gebruikt met creditcards maar met traditionele bankpassen.
Vaak zijn de slachtoffers mensen die een overschrijving willen doen voor een tweedehands product via marktplaats o.i.d. Meer dan een bankreader komt er dan niet bij kijken.

Bulkzooi @n9iels • 17 maart 2022 00:29

2fa kan via mail of sms, dus dat betekent dat de aanvaller nog een hack moet doen. Als dat gelukt is, lijkt het me onzinnig om met een panel te gaan phishen. Dan zijn er veel meer dingen te bedenken. Zeker als ze GSM nrs. kunnen spoofen om 2fa SMS te ontvangen.

Wootism @Bulkzooi • 17 maart 2022 06:29

Er wordt niks ‘gehackt’.
Wat een phishingpanel enkel doet is de gegevens die het slachtoffer intypt op een neppe bank-site doorzetten naar de crimineel die het vrolijk meetypt in de écht banksite. Dus ook het sms-verificatienummer.

fastedje @Wootism • 17 maart 2022 07:18

Dit lijkt me onmogelijk met een bank-reader. Daarin worden namelijk het bedrag en rekeningnummer van de andere partij in verificatiecpde verwerkt.

Pret @fastedje • 17 maart 2022 07:57

Die kunnen ze ook wel laten weergeven (overnemen van de echte website), waarschijnlijk komt hier ook geen mens aan te pas en is het volledig geautomatiseerd.

bommel @fastedje • 17 maart 2022 11:09

Maar die kloppen ook wel, het is alleen dat aan de gebruiker iets anders getoond wordt

bakkerl @fastedje • 17 maart 2022 18:53

Dat is niet bij elke bank zo.

unreal0 @Wootism • 17 maart 2022 09:15

In principe is wat je omschrijft gewoon een vorm van hacken.

Bulkzooi @Wootism • 17 maart 2022 19:28

@Wootism tuurlijk en dan zijn er 2 ingelogden. Weet je wel waar je over praat?

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 22:21]

Wootism @Bulkzooi • 17 maart 2022 21:40

Nee, natuurlijk niet. Er is slechts één sessie actief bij de betreffende bank. De ‘bank omgeving’ die het slachtoffer ziet is nep en heeft niks met zijn/haar rekening te maken.

Bulkzooi @Wootism • 18 maart 2022 15:40

juist, dus zowel de bank als het slachtoffer hebben dat in 1 seconde door. En die banken hebben nog meer beveiliging dan 2fa.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 22:21]

Wootism @Bulkzooi • 18 maart 2022 19:20

Tja, we zouden het probleem en populariteit van die phishingspanels niet hebben als iedereen het daadwerkelijk zo snel door zou hebben en het allemaal zo goed beveiligd is…

Volgens mij begrijp je niet zo goed hoe het werkt. Verdiep je er maar eens goed in, dit is nog steeds een erg groot probleem waarmee miljoenen afhandig worden gemaakt.

[Reactie gewijzigd door Wootism op 24 juli 2024 22:21]

Bulkzooi @Wootism • 18 maart 2022 21:43

onzin; die paar kiddies die niet eens zelf kunnen programmeren of compileren zijn geen enkel probleem. bovendien zijn die panels niet populair. Pure opruiing van je. Bovendien is de schade altijd klein en de pakkans 99%. Wat een onzin praat je toch. Ongelofelijk; zelden zoveel onzin gelezen.

[Reactie gewijzigd door Bulkzooi op 24 juli 2024 22:21]

mjz2cool @Bulkzooi • 17 maart 2022 08:24

Dat hoeft niet, de gebruiker vult die code netjes in op de site, en dan kan de phisher aan de slag.

mphilipp @n9iels • 16 maart 2022 22:31

Daarom heeft ING de 2FA verplaatst naar een goedkeuring geven in de ING app. Die hebben zij niet en kunnen ze ook niet onderscheppen. Er is gewoon geen code meer om in te typen.

Zackito @mphilipp • 16 maart 2022 23:07

Lost het probleem op voor mensen die weten wat ze doen, een ander drukt gewoon op goedkeuren want dat doe ik altijd toch?

mphilipp @Zackito • 16 maart 2022 23:51

Dat kun je zo makkelijk stellen, maar ik denk niet dat iemand zomaar een banktransactie goedkeurt als ie bv op zijn werk zit en er popt ineens zoiets op. Lijkt mij erg onwaarschijnlijk.

GoBieN-Be @mphilipp • 17 maart 2022 00:04

Maar het gebeurt realtime terwijl jij op de phishing website aanlogt hé

[Reactie gewijzigd door GoBieN-Be op 24 juli 2024 22:21]

Muna34 @mphilipp • 17 maart 2022 07:18

De mensen die getarget worden "schaffen het product zelf aan". M.a.w. deze mensen zijn al op zoek naar iets, willen het aanschaffen en worden zo slachtoffer gemaakt.

gimbal @Zackito • 16 maart 2022 23:26

Je hangt niet de hele dag in de app rond, de app openen en daar inloggen is een hele bewuste keuze die je maakt meestal omdat je wil inloggen in de site, of een ideal betaling wil doen. Dus nee je drukt niet zomaar op goedkeuren.

Daoka @gimbal • 17 maart 2022 00:56

Mensen loggen in op een betaal website of hun bank website. Dan ze verwachten gewoon dat ze een goedkeuring moeten geven. Of dit een code is via sms of een knop in de app. De code of goedkeuring komt bij de phisher aan.

Daarnaast is een goedkeuring via app ook een gewoonte soms. Ik zie iets wat ik herken dus druk ik maar dat het goed is. Ik heb bijvoorbeeld ook wel eens me telefoon gepakt omdat ik weg ging en het eerste wat ik deed was me vinger op de scanner leggen. Nou was dit niet schadelijk natuurlijk maar zo een gewoonte is het dus wel dat het kan gebeuren zonder dat ik het eigenlijk bedoelde. Of dat iemand denkt dat het een foutje van de app is en dus toch geen kwaad kan om op oke te drukken. Ze denken aan een partner thuis die wat besteld dus maar goedkeuring geven zelfs voordat de partner er om vraagt zodat de aanvraag ook niet kan verlopen.

e.dewaal

@gimbal • 17 maart 2022 00:00

Het zou ook nog door middel van social engineering kunnen gaan. Hierbij wordt het slachtoffer gebeld waarna door één of ander lulverhaal iemand omgepraat wordt om op 'toestaan' te drukken. Vervolgens wordt in de achtergrond een betaling gemaakt waarna met hetzelfde verhaal nogmaals de betaling bevestigd wordt. Bij ons oplettende tweakers en bij jongeren zal dit niet zo snel gebeuren, maar bij de oudere generatie zijn mensen vaak toch nog goedgelovig.

Ik zal niet zeggen dat het hier ook op deze manier gegaan is, maar het gebeurd wel. En blijkbaar is het nog effectief ook, want criminelen blijven het proberen.

Zackito @gimbal • 17 maart 2022 07:34

Nee wij niet, genoeg andere mensen wel. Was vrij recent nog in het nieuws dat een of andere ambtenaar op goedkeuren had gedrukt met Microsoft MFA terwijl hij gehackt was. Zijn reden was dat hij er niet over nagedacht had en uit gewoonte op goedkeuren geklikt had.

Je hangt idd niet de hele dag in de app rond maar neem aan dat het wel een push notificatie genereerd.

xzibbitist @mphilipp • 17 maart 2022 09:17

Tenzij ze live op de echte ING website de inloggegevens overnemen. De app geeft de gebruiker op de nep-site dan een popup met 'je wilt inloggen' en deze klikt op doorgaan. Net zo makkelijk behalve dat je niets hoeft in te vullen. De phisher heeft dus alleen de logingegevens nodig en een namaak popup met 'Log in via de app'. Vervolgens word de phisher doorgestuurd naar de echte banksite en de data die hij ontvangt kan hij misschien streamen naar de phishing site zodat de data daar ook echt lijkt.

Het enige wat je voorkomt is dat de SMS over een onbeveiligde verbinding gaat volgens mij.

[Reactie gewijzigd door xzibbitist op 24 juli 2024 22:21]

TheVivaldi @mphilipp • 17 maart 2022 12:21

Moet je alleen wel een smartphone hebben met ook nog eens een door de app ondersteund OS. Die afhankelijkheid vind ik maar niks.

mphilipp @TheVivaldi • 17 maart 2022 12:50

Ja, dat is nu eenmaal zo. De wereld is verdeeld in iOS en Android. Ze kunnen moeilijk voor elk fringe systeem iets maken. Of moeten ze ook ondersteuning voor postduiven realiseren?

TheVivaldi @mphilipp • 17 maart 2022 13:00

Ik zeg toch niet dat ze dat moeten doen? Ik zeg alleen dat ik daarom de app niet gebruik.

veltnet @mphilipp • 17 maart 2022 16:27

Vroeger hadden ze gewoon een loket waar iedereen gebruik van kon maken .

Nu heb je apps die alleen op de 2 grootste platformen werken.

Als je vroeger naar het loket was gegaan en ze hadden je weggestuurd omdat je niet protestant of katholiek was dan had je raar staan kijken. Nu sturen ze je weg omdat het merk van je telefoon hun niet bevalt. ;-)

mphilipp @veltnet • 17 maart 2022 16:37

Sorry hoor, maar dat is gewoon baarlijke nonsens. De vergelijking met religie gaat volledig mank.
De smartphonewereld is verdeeld in 2 partijen. De rest is welgeteld iets meer dan 3/4 procent (0,77%). Je kunt gewoon niet verwachten dat ze dáárvoor speciaal een app gaan maken.
En ik kan mij vergissen, want ik heb het nooit geprobeerd, maar je kunt denk ik ook gewoon de website opzoeken met je smartphone. Alleen contactloos betalen met je phone gaat niet als ie niet de app kan draaien. Maar je kunt denk ik net zo goed een betaling doen op een niet ondersteunde smartphone via de browserd.

Bovendien denk ik dat niet alleen de banken een probleem zijn als je geen Android of iOS hebt. Maar dat is gewoon een keuze. Je kiest zelf voor een bepaald smarttphone os op basis van argumenten/eisen & wensen die voor jou van belang zijn. Als het kunnen draaien van een bankapp niet hoog op het lijstje stond, dan wel het verloor van de andere argumenten, is dat nog steeds JOUW keuze. Met andere woorden: niet zeiken!

veltnet @mphilipp • 21 maart 2022 11:47

Dus ik MOET een bepaalt merk telefoon kopen om van de bank gebruik te kunnen maken
Of ik MOET een andere bank kiezen die bij mijn telefoon past
En daarbij MAG ik van jou niet zeiken omdat ik er zelf voor gekozen dat het nu zo werkt.

De bank moet gewoon zorgen dat de shit goed werkt op elk platform (zonder enige uitzondering). Je moet tegenwooridg behoorlijk betalen voor een bankrekening terwijl de persoonlijke/menselijke service bijna volledig is verdwenen.

[Reactie gewijzigd door veltnet op 24 juli 2024 22:21]

YopY @n9iels • 17 maart 2022 09:15

Bij de Rabobank moeten ze dan best snel zijn, de QR codes die de gebruiker moet scannen wisselen om de zoveel tijd. Natuurlijk is het wel een afweging want tegenwoordig kun je ook op een knop in je app drukken.

ATB @ro8in • 16 maart 2022 22:34

Kijk naar deze video:https://www.youtube.com/watch?v=3ogyS4KOlXc als je kwaadwillend bent dan zijn er legio middelen aanwezig die gebruikt kunnen worden om websites na te maken en gegevens te bemachtigen. Het is tegenwoordig zelf voor een leek gemakkelijk om dit te doen. Helaas ..

TweakerVincent @ATB • 16 maart 2022 23:12

erg interessante video! +3

pasop8erje @ro8in • 16 maart 2022 21:12

Als je een fake login page maakt, kun je ook de 2FA meenemen. Het enige dat je als scammer hoeft te doen, is (geautomatiseerd) in dezelfde 30 seconde ook de echte inlog doorzetten naar de bankwebsite.

Het.Draakje @ro8in • 17 maart 2022 05:44

Hoezo "je moet altijd nog een 2factor doen"

Ik ken niet alle inlog-manieren bij alle Nederlandse banken. Maar afgezien van een challenge-response op mijn 'calculator' hoef ik niets in te vullen. Niet bij het inloggen en niet bij mijn betaling. Bij mijn vorige bank ook niet. Beiden zijn toch redelijk groot. (Ze zitten in de top vijf).

HooksForFeet @Het.Draakje • 17 maart 2022 08:46

Je calculator is toch je tweede factor?

Bolle2011 @ro8in • 17 maart 2022 09:27

zodra je het snapt ben je strafbaar

roawser 16 maart 2022 21:04

Deze criminaliteit vervangt langzamerhand de traditionele veelvoorkomende criminaliteit zoals autodiefstallen, insluipingen en inbraak. Voor de slachtoffers misschien een groter financieel verlies maar ik vraag me af: wat zou ik liever hebben, dat ik op straat overvallen word door een stel opgeschoten jongens met messen, of dat mijn rekening 'clean op afstand' leeggetrokken wordt?

Niettemin, de politie is op weg om hier geroutineerd mee om te gaan. Ze hebben de specialisten al, nu nog uitbreiden naar de basisteams waar digicrime veelal nog onbekend en onbemind is. De digitale wijkagenten zijn alvast een goede stap.

n9iels

@roawser • 16 maart 2022 21:12

Voor de slachtoffers misschien een groter financieel verlies maar ik vraag me af: wat zou ik liever hebben, dat ik op straat overvallen word door een stel opgeschoten jongens met messen, of dat mijn rekening 'clean op afstand' leeggetrokken wordt?

Ideaal beide natuurlijk. Dit zijn twee verschillende soorten criminaliteit dus eigenlijk heb je daar ook twee verschillende soorten mensen voor nodig. We hebben natuurlijk al team hightech crime, geen idee of er ook al zo iets als digitale recherche bestaat? Oftwel een tak van de politie die hier full-time mee bezig is?

Patriot @n9iels • 16 maart 2022 21:44

Ideaal beide natuurlijk.

Masochist, of gewoon de typo van de dag?

PdeBie @n9iels • 16 maart 2022 22:06

Ja die eenheid is er

Admiral Freebee

@roawser • 16 maart 2022 21:49

Het één sluit natuurlijk het ander niet uit. Niet elke crimineel is voldoende technische onderbouwd om zoiets uit te voeden, zelfs niet met ready made software pakketten. En ik denk ook niet dat je de hoeveelheid criminaliteit mag onderschatten die voortkomt uit acute geldnood, al dan niet met druggebruik als oorzaak. Die gaan niet even een phishing handeltje opzetten.

GekkePrutser @roawser • 16 maart 2022 21:50

Nou vervangen zal het niet zo gauw.. Een heleboel criminelen zijn dat omdat ze verder gewoon niks kunnen of willen leren, ze hebben geen vaardigheden behalve dat ze weten om te gaan met hun vuisten. Bij legale functies waar dat van pas komt zoals uitsmijter zijn ze vaak ook niet meer welkom ivm antecedenten. En terecht, als je je handen niet thuis kan houden dan hoor je niet in een baan met contact met het publiek thuis.

Maargoed dat zijn niet het soort types dat een complexe phishing aanval gaat uitvoeren

De witteboordencrimineel is toch een heel andere groep dan de straatrover en die twee gaan elkaar nooit vervangen.

Je zal wel wat verschuiving zien van criminelen die vroeger bankfraude pleegden en nu naar phishing gaan omdat het lager risico is.

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 22:21]

Verwijderd @roawser • 16 maart 2022 21:38

Op straat heb ik meestal niet zoveel geld mee, maar het is sowieso een beetje vreemde vergelijking wat heb je liever een kernoorlog of een kind voor de trein? Beide vormen van criminaliteit hebben geven extreme stress voor de slachtoffer waar ze nog jaren last van kunnen hebben.

YopY @Verwijderd • 17 maart 2022 09:18

Niet zoveel geld, maar mogelijk wel een telefoon die een paar honderd op kan leveren via de juiste kanalen.

Ik weet overigens niet hoe effectief o.a. Apple's "dit apparaat is gestolen" functie werkt, na bijv. een factory reset. Als de telefoon gebricked wordt dan is het ook niet meer waard om een telefoon te stelen. En ik weet dat bijv. Apple al individuele componenten van een serienummer e.d. voorziet, wat het verkopen van de telefoon als onderdelen ook lastiger maakt.

Mr.Veng 17 maart 2022 01:12

De kans is vrij groot dat het hier om het "uAdmin" phishing panel ging.

Afgelopen jaren heb ik enorm veel Nederlandstalige phishing berichten, SMS'sen en e-mails met links naar nep bank-websites of zelfs overheidswebsites zien passeren en iedere keer als ik het wat verder onderzocht, werd het al vlug duidelijk dat er telkens dit panel / software pakket achterliggend voor gebruikt werd.

Hier is een interessante video over de werking van zo'n phishing panel die beide interfaces (phisher / slachtoffer) langs elkaar toont: https://youtu.be/Rs-R7R-cuz4

Kimbo72 16 maart 2022 21:59

22 jaar en nu al verrot.

uiltje @Kimbo72 • 16 maart 2022 22:30

Huh? Er zijn zat jongeren die al de fout in gaan. Als je voor dit soort dingen vatbaar bent - vanwege allerlei redenen - en de verkeerde vrienden hebt dan hoeft het echt niet jaren te duren. Sterker nog, als je eenmaal een bepaalde fase voorbij bent dan verval je minder snel in dit soort dingen. Ik weet niet of dat ook geld voor witteboordencriminaliteit, maar voor dit soort criminaliteit lijkt het me logisch.

Kimbo72 @uiltje • 17 maart 2022 00:46

En nu maak jij van de dader het slachtoffer.
Ik heb geen medelijden met dit soort hersenloze.

Gewoon lekker werken voor je geld.

Vertel jij dit ook even aan zijn slachtoffers?

uiltje @Kimbo72 • 17 maart 2022 01:01

Ik zeg nergens dat de dader geen verantwoordelijkheid draagt. Ik schets alleen een situatie waarin jongeren terecht kunnen komen, en die er aan mee kunnen helpen dat ze de fout in gaan. Dit om aan te geven dat 22 niet zo jong is en dat mensen die wel werken voor hun geld minder snel de fout in zullen gaan.

HenkEisDS 16 maart 2022 23:03

Waarschijnlijk gehoste omgevingen met Beef preconfigured voor de Nederlandse markt?
https://github.com/beefproject/beef

kodak

Politie
Phishing
Cybercrime
Economie en maatschappij

@HenkEisDS • 17 maart 2022 08:52

Wat is er volgens jou relevant aan om een willekeurig framework te gaan noemen en naar te verwijzen?

HenkEisDS @kodak • 17 maart 2022 09:12

Wut?

kodak

Politie
Phishing
Cybercrime
Economie en maatschappij

@HenkEisDS • 17 maart 2022 10:13

Dat je een framework kan noemen dat gebruikt kan worden om beveiligingsonderzoek te doen maakt het nog niet zomaar relevant.
Er zijn heel veel frameworks en andere manieren, net zoals er heel veel hamers en ander gereedschap bestaat om iets crimineels mee te kunnen doen.

Waarom denk je nu dat wat jij kiest zo speciaal is dat het volgens jou te maken heeft met deze situatie?

Bender @HenkEisDS • 17 maart 2022 09:21

Ik moet bekennen dat ik het ook niet helemaal zie.

Waarschijnlijk gaat het namelijk gewoon om wat html en php bestanden, die er uit zien als een bank site en de data doorstuurt.
De link die jij geeft heeft er waarschijnlijk geen enkele raakvlak mee.

HenkEisDS @Bender • 17 maart 2022 09:28

Heb je ervaring met Beef of de moeite genomen mijn link te lezen? Beef wordt gebruikt om “wat html en php” aan gebruikers te serveren.

Bender @HenkEisDS • 17 maart 2022 09:31

Ik heb het gelezen.
Ik heb het nogmaals gelezen.

Ik zie geen enkele link, want er wordt niks aan de browser gedaan, dat hoeft ook niet, is ook vele malen complexer om te doen en gaat het doel volledig voorbij.

Kecin

@HenkEisDS • 16 maart 2022 23:38

Moest ik dus ook aan denken (en trouwens wel meer open-source projectjen die bedoelt zijn om te pentesten). Voor de rest is zo'n phising pagina natuurlijk relatief simpel te bouwen als je een beetje kan webdevelopen.

Zatthäus 17 maart 2022 08:57

Jammer, want op de pc gaat het vaak nog 'ouderwets' bij ABN Amro met de e-identifier en bankpas. Dus al ben je ingelogd, voor het bevestigen van transacties heb je de e-identifier en bankpas weer nodig.
Op mijn telefoon is mijn inlogcode voldoende om transacties goed te keuren. In het verleden gold dit alleen voor reeds bekende transacties, die dus al een paar keer eerder zijn gedaan. Ik weet niet of dit nog steeds geldt maar het zou dan toch wel een kleine beveiligings buffer zijn voor mensen die opgelicht zijn met hun inlog-code

Bender @Zatthäus • 17 maart 2022 09:20

De gegevens die je ziet en invoert worden direct ook doorgestuurd naar de echte bank site, dus een extern apparaat voorkomt dit verder niet.

Eren 17 maart 2022 23:55

oplichting, diefstal, computervredebreuk, witwassen, het voorhanden hebben van een phishingpanel en deelname aan een criminele organisatie.

Nederland: Hier is twee jaar cel straf in onze luxe hotel en een klap op de schouder.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (66)

Sorteer op:

Weergave: