Mogelijke grootste gebruiker illegale botmarktplaats Genesis Market opgepakt

De politie heeft mogelijk een van de grootste gebruikers van de onlangs offline gehaalde cybercrimetool- en botmarktplaats Genesis Market opgepakt. Het gaat om een 32-jarige Nederlander die in Brazilië verbleef.

De verdachte stond bovenaan de lijst van het Cybercrimeteam Rotterdam en is mogelijk zelfs wereldwijd een van de grootste Genesis Market-gebruikers, zo zegt de Nederlandse politie. De man zou via Genesis Market voor tienduizenden euro's aan illegale software, bots en tools hebben gekocht. Met deze cybercrimetools heeft hij volgens de politie 'heel veel mensen gedupeerd'. De overheidsdienst zegt dat er meerdere aangiftes zijn ontvangen tegen de verdachte, waaronder van slachtoffers die voor tienduizenden euro's bestolen zouden zijn. De politie sluit verdere aanhoudingen van gebruikers niet uit.

Genesis Market was een internationaal illegaal handelsplatform dat begin april offline gehaald werd door de FBI. Bij de zogenoemde Operatie Cookie Monster werkten politiediensten van over de hele wereld samen om de marktplaats offline te halen; ook de Nederlandse politie werkte mee. Daarbij werden zeventien Nederlanders gearresteerd, waarvan de meesten overigens ondertussen niet meer in hechtenis verkeren. Op de Genesis Market, dat via het darkweb en het normale internet bereikbaar was, konden kwaadwillenden op uitnodiging uiteenlopende cybercrimetools en pakketten met gestolen credentials kopen. Het was een van 's werelds grootste illegale online marktplaatsen.

Door Yannick Spinner

Redacteur

Feedback • 25-07-2023 08:54
37 • submitter: Doane

25-07-2023 • 08:54

37

Submitter: Doane

Lees meer

Kant-en-klare malware te koop

8 mei 2023

Kant-en-klare malware te koop

Onderzoekers ontrafelen hoe Genesis Market werkte

32
Student ontwikkelt AI-model dat darkwebmarktplaatsen kan analyseren
Student ontwikkelt AI-model dat darkwebmarktplaatsen kan analyseren Nieuws van 28 oktober 2024
Rechtbank geeft drie Nederlandse Genesis Market-gebruikers taakstraffen
Rechtbank geeft drie Nederlandse Genesis Market-gebruikers taakstraffen Nieuws van 12 juni 2024
OM eist twee jaar cel tegen twee Nederlandse gebruikers van Genesis Market
OM eist twee jaar cel tegen twee Nederlandse gebruikers van Genesis Market Nieuws van 30 mei 2024
Nederlandse providers moeten grote illegale e-bookdownloadplatforms blokkeren
Nederlandse providers moeten grote illegale e-bookdownloadplatforms blokkeren Nieuws van 25 maart 2024
Nederlandse 'grootverbruiker' van marktplaats Genesis Market krijgt 4 jaar cel
Nederlandse 'grootverbruiker' van marktplaats Genesis Market krijgt 4 jaar cel Nieuws van 6 februari 2024
OM eist vijf jaar cel tegen 'grootverbruiker' darkwebmarktplaats Genesis Market
OM eist vijf jaar cel tegen 'grootverbruiker' darkwebmarktplaats Genesis Market Nieuws van 23 januari 2024
Eurocommissaris wil vrijwillige afspraken met bedrijven tegen cookiemoeheid
Eurocommissaris wil vrijwillige afspraken met bedrijven tegen cookiemoeheid Nieuws van 2 januari 2024
OM eist 4 jaar cel voor diefstal van 100.000 euro via Genesis Market
OM eist 4 jaar cel voor diefstal van 100.000 euro via Genesis Market Nieuws van 25 december 2023
OM eist 40 maanden cel tegen gebruiker van darknetmarktplaats Genesis Market
OM eist 40 maanden cel tegen gebruiker van darknetmarktplaats Genesis Market Nieuws van 5 september 2023
Politie Nederland deed mee met actie tegen botnet dat 700.000 pc's infecteerde
Politie Nederland deed mee met actie tegen botnet dat 700.000 pc's infecteerde Nieuws van 29 augustus 2023
Logius verwijdert 3154 DigiD-accounts die werden verhandeld op Genesis Market
Logius verwijdert 3154 DigiD-accounts die werden verhandeld op Genesis Market Nieuws van 26 juli 2023
Zeventien Nederlanders zijn gearresteerd bij operatie tegen Genesis Market
Zeventien Nederlanders zijn gearresteerd bij operatie tegen Genesis Market Nieuws van 5 april 2023
Internationale politiediensten halen botmarktplaats Genesis Market offline
Internationale politiediensten halen botmarktplaats Genesis Market offline Nieuws van 5 april 2023
Meer producten en artikelen
Beveiliging en antivirus Politiek en recht FBI Nederland Politie

Reacties (37)

-Moderatie-faq
37
36
12
3
0
13
Wijzig sortering
DaFeliX Developer 25 juli 2023 09:21
Mocht je nu zelf willen checken of jouw gegevens bij die hack zaten, check je hack
hiostu @DaFeliX25 juli 2023 09:27
Jammer dat je het niet op domein niveau kunt doen. Ik gebruik verschillende email adressen op een eigen domein.
Risce @hiostu25 juli 2023 09:36
Hoe zie je dat voor je precies? Dat je even checkt of er hotmail.com adressen tussen zitten en welke?
hiostu @Risce25 juli 2023 09:51
Bij haveibeenpwned.com heb je verschillende opties.
  • Email verificatie. Er wordt een email gestuurd naar security@, hostmaster@, postmaster@ of webmaster@
  • Meta tag. Je moet een meta tag toevoegen aan een webpagina in de root van het domein
  • File. Je zet een specifiek bestand met een code in de root van je domein.
  • Domain TXT record.
De eerste optie is het eenvoudigst en zou voor mij ook al prima werken. Dan kan daar een overzicht in komen met alle email adressen van mijn domein die gevonden zijn in de dataset. Dan weet ik dus dat ik email op dat adres niet meer kan vertrouwen en blokkeer ik dat email adres en pas het aan op de site. Dat heb ik ook gedaan voor bv het lek bij Adobe destijds.
juke1349 @hiostu25 juli 2023 15:32
Betreft de vergelijking "Check-je-Hack" (NL-politie) vs Haveibeenpwned.com (Australiër Troy Hunt):
Bij de eerste bekendmaking over Cookie Monster heb ik (zeer net) contact gehad met de mensen achter checkJeHack, of ze ook een dump met Troy Hunt willen/kunnen delen.

Op dit moment wil de Nederlandse Politie geen email-wachtwoord(hash) combos met Troy delen, omdat dit volgens hun huidige interpretatie beschermde persoonsgegevens onder AVG zijn.
Die kunnen ze niet zonder goede rechtsgrond delen met een niet-EU privépersoon, ook al hebben ze waanzinnig veel respect voor de man.

Ook de losse hashes (voor Pwned Passwords) zien ze nog als koppelbaar aan de (soms herleidbare, slecht-gekozen) persoonsgegevens. Ze weten dat dit een zeer voorzichtige interpretatie is. Maar delen kun je niet ongedaan maken.

Maar, ze houden Troy in de gaten, en als er meer ervaring met dit soort acties is verzameld, staat samenwerking met Haveibeenpwned zeker op het verlanglijstje van onze politie.

[Reactie gewijzigd door juke1349 op 22 juli 2024 18:24]

hiostu @juke134925 juli 2023 16:52
Bij de eerste bekendmaking over Cookie Monster heb ik (zeer net) contact gehad met de mensen achter checkJeHack
Zou je eens kunnen informeren of ze open staan voor domein uitvragen?
gooos @hiostu26 juli 2023 12:57
Was me nog niet eerder opgevallen. Wel erg handig!

Gelijk maar alle domeinen die ik beheer toegevoegd voor notificaties zodat ik weer gebruikers op de domeinen kan inlichten indien ze voorkomen in de berichten.
Christoxz @Risce25 juli 2023 09:43
Eventueel met een DNS proof, dat je bewijst eigenaar te zijn.

Dat kan bijvoorbeeld ook bij HIBP. (Via mail, Metatag, file of TXT record)
https://haveibeenpwned.com/DomainSearch
Caelorum @Risce25 juli 2023 09:42
En belangrijker: waar ga je de mail met de bevestiging heen sturen dan?
witchdoc @Risce25 juli 2023 09:42
Logischer zou zijn dat je gewoon whatevermijndomeinis.nl zou kunnen checken denk ik :)
Eventueel na een mailtje richting postmaster@ of whatever ter confirmatie.
CivLord @witchdoc25 juli 2023 14:23
En op die manier de complete mailserver van Outlook.com en Gmail.com volplempen met meldingen?
witchdoc @CivLord25 juli 2023 14:27
"Eventueel na een mailtje richting postmaster@ of whatever ter confirmatie."
of aan de hand van een DNS record op dat domein of whatever.. genoeg mogelijkheden.

hiostu zegt het veel beter dan ik: hiostu in 'Mogelijke grootste gebruiker illegale botmarktplaats Genesis Market opgepakt'

[Reactie gewijzigd door witchdoc op 22 juli 2024 18:24]

Dennisb1 @Risce25 juli 2023 09:46
Hoe zie je dat voor je precies? Dat je even checkt of er hotmail.com adressen tussen zitten en welke?
Bewijs kan makkelijk via webmaster, postmaster of soortgelijk email adres of op DNS of HTTPS niveau.
Aldy @Risce25 juli 2023 15:14
Je bent de smiley vergeten. :)
Groningerkoek @Risce26 juli 2023 01:14
Wij hebben een domein voor de familie en daar gebruiken we ongeveer 30 emailadressen. Dan is zoeken op domein toch wel een heel stuk handiger dan 30x een aparte zoekopdracht te doen.

Resultaat kunnen ze sturen naar info@domein dan komt die lijst ook daar waar die moet zijn.
sko @hiostu25 juli 2023 09:33
Ik ook, heb duizenden e-mail adressen ondertussen
lighting_ 25 juli 2023 09:23
Er moet een systeem/methode worden bedacht om ID fraude te voorkomen.
Dat is de kern.
DD-IRM @lighting_25 juli 2023 09:32
Helaas.... dat zal ook t.z.t. weer gekraakt/misbruikt gaan worden. Het blijft een kat en muis spel....
lighting_ @DD-IRM25 juli 2023 09:37
Maar wel minder.
Waarom is bijv een kopie paspoort voldoende om je te legitimeren?
Is je BSN genoeg om schade aan te richten?
Zo lek als een mandje en zadel je de burger op met je krakkemikkige systeem.

[Reactie gewijzigd door lighting_ op 22 juli 2024 18:24]

DD-IRM @lighting_25 juli 2023 11:31
Dat ben ik ook met je eens: de procedures voor legitimatie zijn (vaak) achterhaald en kunnen beter.
Ik wilde ook aangeven dat wat je ook verzint, het gekraakt kan worden. Al geeft het in eerste instantie een hogere drempel waardoor alleen de experts het kunnen misbruiken en nog niet voor de massa-misbruikers te exploiten is.

Er zijn al wel bedrijven die al een extra laag hebben opgebouwd: ik moest mij laatst legitimeren bij de creditcard maatschappij: dat moest via een kopie id en vervolgens moest ik via een speciale webpagina op de smartphone een selfie maken.
Aannnemdende dat de webpagina alleen een live genomen selfie accepteert en geen gemanipuleerd JPG bestand die al op de phone staat, lijkt mij dit toch een nuttige extra laag in de id check die ik bij veel bedrijven nog mis...
lighting_ @DD-IRM25 juli 2023 13:45
Identiteitsfraude voorkomen met BSN
Het BSN is in de eerste plaats bedoeld voor het contact tussen burgers en de overheid en voor overheden onderling. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor zorgverleners, zoals huisartsen, apotheken en zorgverzekeraars. Het nummer ondersteunt een foutloze uitwisseling van persoonsgegevens door overheidsorganisaties. Een organisatie is verplicht om te controleren of u en het BSN bij elkaar horen.

Waarom is er geen landelijk loket voor ID fraude? Waarom is er geen procedure zodat de slachtoffer snel kan aantonen niet de schuldige is?
Waarom draait het bedrijf niet automatisch op voor de schade bij eigen gebrekkig controle?
CivLord @lighting_25 juli 2023 14:39
Waarom is bijv een kopie paspoort voldoende om je te legitimeren?
Is je BSN genoeg om schade aan te richten?
Zo lek als een mandje en zadel je de burger op met je krakkemikkige systeem.
Het systeem is niet krakkemikkig, want het kan officiëel allebei niet.
Dat het tóch kan, komt doordat bedrijven laks zijn en vervolgens niet thuis geven wanneer het mis gaat.
Je kan je niet met een kopie van een paspoort legitimeren. Maar sommige bedrijven accepteren het toch, omdat het voorzowel het bedrijf als de klant lekker makkelijk is, en accepteren daarmee dat hun klanten daardoor in de problemen kunnen komen. En exact hetzelfde geldt vor je BSN. daar kan je officieel niets mee zonder dat je je persoonlijk hebt gelegtimeerd met je paspoort of ander legitimatiebewijs.

Het wordt aan de slachtoffers overgelaten om te bewijzen dat ze iets niet hebben gedaan, wat vaak vrijwel onmogelijk is. Maar het zijn juist de bedrijven waar iets is geaan die moeten bewijzen dat de slachtoffers iets hebben geaan, wat onmogelijk is omdat de oplochter zich niet juist heeft gelegitimeerd. Maar voordat je die bedrijven zover hebt weten te krijgen dat ze toegeven dat ze steken hebben laten vallen omdat ze te laks waren ben je meestal enige tijd en flink wat advocaatkosten verder. Vaak sta je ook niet zo sterk omdat je je met dezelfde gebrekkige methode voor de diensten van het bedrijf hebt aangeeld in de eerste plaats.
lighting_ @CivLord25 juli 2023 14:43
Daaron typte ook. Het slachtoffer moet makkelijker zijn onschuld kunnen bewijzen. En dan kom ik weer uit op de overheid die daar te laks in is. Er wordt al jaren geroepen dat er een ID fraude loket moet komen. Als de bedrijven hun vingers makkelijk branden bedenken ze zicb wel 2 keer

[Reactie gewijzigd door lighting_ op 22 juli 2024 18:24]

metalant @lighting_25 juli 2023 15:17
Ieder systeem staat of valt met het juiste gebruik er van. Als jij je ergens kan identificeren met een kopie van je paspoort, dan is degene die het moet controleren niet goed bezig. Iemand anders kan zich dan ook identificeren met een (eventueel aangepaste) kopie van jouw paspoort.
lighting_ @metalant25 juli 2023 15:24
Het systeem bepaalt ook de mate van veiligheid.
3R!K 25 juli 2023 09:10
De overheidsdienst zegt dat er meerdere aangiftes zijn ontvangen tegen de verdachte, waaronder van slachtoffers die voor tienduizenden euro's bestolen zouden zijn.
Moet ik dit lezen als dat het slachtoffer weet wie de dader/verdachte is? Of dat achteraf een aangifte is te herleiden naar deze persoon?
codeneos @3R!K25 juli 2023 09:15
Ze zijn bestolen door andere die de zich bijvoorbeeld hebben voorgedaan als het slachtoffer op basis van gegevens die ze van de persoon in kwestie gekocht hebben.

De persoon in kwestie heeft ze dus niet direct bestolen maar heeft criminelen enabled.

[Reactie gewijzigd door codeneos op 22 juli 2024 18:24]

Groningerkoek @3R!K26 juli 2023 01:19
Je doet aangifte van een feit, als je de dader weet dan neem je dat op in de aangifte, weet je die niet dan wordt je aangifte opgenomen zonder dader. Als de politie later een verdachte heeft dan kunnen ze prima meerdere aangiften hebben liggen die naar die verdachte zijn te herleiden.

Uit de tekst hier valt niet op te maken op de verdachte bekend was bij de slachtoffers, maar aangezien het hier om identiteitsfraude gaat kun je dat eigenlijk wel uitsluiten.
Ozymandias 25 juli 2023 09:49
Hij heeft voor tienduizenden euro's bots gekocht en daar mensen voor tienduizenden euro's mee opgelicht? Dit heeft hem dus zo goed als niks opgeleverd behalve een gevangenisstraf en een hoge boete. Hij had dus beter aardappelen kunnen verkopen op de markt. :+
Slonzo @Ozymandias25 juli 2023 09:53
Dat is niet wat er staat:
De overheidsdienst zegt dat er meerdere aangiftes zijn ontvangen tegen de verdachte, waaronder van slachtoffers die voor tienduizenden euro's bestolen zouden zijn.
Er staat dat meerdere van de personen die aangifte gedaan hebben, bestolen werden voor tienduizenden euro's per invividu ;)

Dat kan dus heel erg snel optellen naar heel veel centjes. En dan tel je de rest van de aangiftes nog niet mee, noch de mensen die geen aangifte gedaan hebben.

[Reactie gewijzigd door Slonzo op 22 juli 2024 18:24]

svane @jmsaow25 juli 2023 11:58
Familie en kennissen aanpakken |:(

Dat past meer in Noord-Korea.... wil je zeggen dat het leven daar zo geweldig is? Daar pakken ze criminaliteit inderdaad wel sterk aan. 8)7
FONfanatic @svane25 juli 2023 13:09
Het regime in Noord-Korea is zelf crimineel: het schendt grootschalig de mensenrechten van de bevolking.
cariolive23 @FONfanatic25 juli 2023 15:44
Hoe kan Noord Korea nou rechten schenden die er niet zijn?
FONfanatic @cariolive2325 juli 2023 17:05
Nog nooit gehoord van de Universele Verklaring van de Rechten van de Mens, dat bij de grondslagen van de in 1945 opgerichte Verenigde Naties hoort?
cariolive23 @FONfanatic25 juli 2023 19:03
Voor zover mij bekend, hebben vele landen schijt aan de VN. Ook al zijn ze daar lid van. De grootste voorbeelden die dagelijks on het nieuws staan, zijn China, Rusland en de USA.

Dat je in theorie rechten hebt, wil niet zeggen dat je ze in de praktijk ook hebt. Zo heeft Nederland grote problemen met het erkennen van EVRM artikel 8... Die rechten krijg je alleen wanneer je er voor vecht, ondanks dat je deze gewoon zou moeten hebben. Dus wat dat betreft staat Noord Korea niet alleen, alleen is het daar nog wel een tandje extremer.
FONfanatic @cariolive2326 juli 2023 09:21
Die universele verklaring is een intentie, waaraan je geen claim kunt verbinden, maar die je wel politiek en juridisch als argument kunt inzetten. In 1949 werd de Raad van Europa opgericht, die het Europese Hof voor de Rechten van de Mens (EHRM of ECHR) oprichtte, de hoogste juridische instantie waar je vanuit de deelnemende landen (en daar zitten landen bij ver buiten de EU) je recht op een mensenrecht kunt halen. De uitspraken zijn bindend. Nederland is er vaak veroordeeld, vooral op het gebied van sociale zekerheid. Rusland stapte vorig jaar uit de Raad van Europa.

Ook in onze Grondwet staan zgn. sociale rechten die een inspanningsverplichting maar geen resultaatsverplichting voor de overheid inhouden, al zijn er inmiddels uitspraken gedaan door rechters over zorgplichten die de overheid verzaakt, zoals op het gebied van natuurbescherming, milieumaatregelen en het tegengaan van klimaatverandering. Rechters beargumenteren t.a.v. klimaatmaatregelen dat het nalaten daarvan direct levensgevaar oplevert, en er dus impliciet een inspanningsverplichting bestaat.

Overigens is een recht hebben nooit hetzelfde als een recht krijgen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq