OM eist 3,5 jaar cel tegen Nederlandse maker van 'multifunctionele phishingtool'

Het Openbaar Ministerie Oost-Nederland eist 3,5 jaar celstraf tegen een 26-jarige verdachte uit Assen die een 'multifunctionele cybercrimetool voor phishingaanvallen' ontwikkelde. Het OM noemt de tool een 'Zwitsers zakmes' om inloggegevens van slachtoffers te stelen.

De verdachte gebruikte volgens de aanklager de gestolen inloggegevens van 1700 mensen om onder meer cryptovaluta te stelen en door te sluizen naar 650 verschillende cryptowallets. Via webshopaccounts van slachtoffers kocht hij vervolgens dure producten. Door hun e-mailadres ook te misbruiken, kon hij eventuele bevestigingsmails of aanmaningen van onbetaalde facturen verwijderen, zo claimt het OM. Om pakketten op te halen is soms een identificatiebewijs nodig, dat hij volgens de aanklagers vervalste. Hij maakt zich daarmee mogelijk ook schuldig aan identiteitsfraude.

De zaak kwam volgens het OM aan het licht nadat enkele bedrijven aangifte deden en informatie met de politie deelden. Het rechtsorgaan noemt een hostingbedrijf uit Zwolle en een uitbater van een parkeerapp. Tegelijkertijd zou uit het dossier van de zaak blijken dat meerdere bedrijven geen melding van datadiefstal maakten en de cyberaanval daarmee 'onder de mat' zouden hebben geveegd.

Reacties (25)

wildhagen

Cybercrime
Politiek en recht
Beveiliging en antivirus

9 juli 2024 18:01

Mooie actie dat de politie hem opgepakt heeft en het OM hem vervolgt. Wel vind ik een eis van 3.5 jaar vrij karig gezien de meerdere misdrijven die hij (blijkbaar) gepleegd heeft en de enorme aantallen slachtoffers (1700 minimaal) dus die hij gemaakt heeft.

Hopelijk volgt de rechter de eis van het OM, of doet hij er nog een schepje bovenop qua strafmaat. De maatschappij dient tegen dit soort onfrisse figuren beschermd te worden.

Tegelijkertijd zou uit het dossier van de zaak blijken dat meerdere bedrijven geen melding van datadiefstal maakten en de cyberaanval daarmee 'onder de mat' zouden hebben geveegd.

En hier zakt mijn broek van op mijn enkels hoor. Lekker dan. Zitten hier voor die bedrijven nog (strafrechterlijke) consequenties aan, dat ook zij vervolgd of minimaal beboet kunnen worden voor het verzwijgen van die data-diefstal?

raro007 @wildhagen • 9 juli 2024 18:37

Idd die bedrijven zijn net zo een crimineel bezig en mag best wel een mooi boete tegenover staan + bekend making wie het zijn zodat die klanten ook voorbereidingen kunnen treffen.

h8bal @raro007 • 9 juli 2024 20:50

Volgens mij bevat dit artikel en het bronartikel te weinig relevante informatie om hiervan uit te kunnen gaan.
Is er daadwerkelijk informatie van consumenten ontvreemd? Of zijn een aantal slachtoffers professionele accounts.

Dekar @wildhagen • 9 juli 2024 18:41

Niet echt. AP kan een boete opleggen, maar dat is vrij zeldzaam. Het is eigenlijk erg slecht geregeld met de bescherming van je persoonsgegevens. Je gegevens laten verwijderen bij bedrijven is een hopeloze strijd. De Europese Commissie zou hier strengere voor moeten opstellen, en dingen als Data Brokers verbieden.

White Feather

@wildhagen • 9 juli 2024 18:47

[...]

En hier zakt mijn broek van op mijn enkels hoor. Lekker dan. Zitten hier voor die bedrijven nog (strafrechterlijke) consequenties aan, dat ook zij vervolgd of minimaal beboet kunnen worden voor het verzwijgen van die data-diefstal?

Als het klant data is, dan het verzwijgen van een datalek strafbaar.

Maar als er bedrijfsgegevens zijn gestolen, hoeft het verzwijgen daarvan helemaal niet strafbaar te zijn.

Het ligt er dus echt aan wat er precies gestolen is. Als dat account gegevens van een medewerker zijn, zal dat meestal niet verplicht zijn dat aan te geven.

Dutchzilla @wildhagen • 9 juli 2024 20:32

En dat betreft het slechts een Eis, in veel gevallen valt de straf dan veel lager uit.
criminelen weten dat ook, en daardoor durven ze in Nederland gewoon het risico te nemen.
Omdat de uiteindelijke strafmaat niet opweegt tegen wat het heeft opgeleverd.

CivLord

@Dutchzilla • 10 juli 2024 13:09

In de meeste gevallen komt de opgelegde straf redelijk overeen met de strafeis. Soms gaat de rechter er overheen, wanneer deze vindt dat er strafverzwarende omstandigheden zijn. De rechter zal alleen veel lager dan de eis opleggen wanneer het OM de volledige omvang van de strafbare feiten niet kan bewijzen, waardoor de straf maar op een deel van de strafbare feiten betrekking heeft, of wanneer de hele rechtsgang naar het oordeel van de rechter te lang geduurd heeft.

Criminelen weten ook dat Nederland, in verhouding met de omringende landen vrij streng straft en dat opgelegde straffen meestal geheel uitgezeten moeten worden. (In de omringende landen straffen ze op papier misschien strenger, maar daar hoeft vaak minder dan de straf uitgezeten te worden. Automatische vervroegde vrijlating bij goed gedrag na 2/3 van de straf is in Nederland een paar jaar geleden afgeschaft.)

rjberg @wildhagen • 9 juli 2024 23:46

Straffen worden op basis van wetten en precedenten berekent. De eisen kunnen dus misschien niet veel hoger zijn.

Overigens denk ik niet dat 3,5 jaar in een cel te zacht is om een afschrikwekkend effect te hebben. Dat is jaren in de cel zitten buiten de maatschappij. Als je die tijd in een gokspel als straf zou krijgen voor verliezen zou je niet durven gokken. Helaas denken dit soort misdadigers dat ze toch niet gepakt worden.

Mosterd @wildhagen • 10 juli 2024 00:52

En hier zakt mijn broek van op mijn enkels hoor. Lekker dan. Zitten hier voor die bedrijven nog (strafrechterlijke) consequenties aan, dat ook zij vervolgd of minimaal beboet kunnen worden voor het verzwijgen van die data-diefstal?

Het lijkt zo wel iedere keer te gaan. Bedrijf bezuinigt lekker op de IT/Cybersecurity want extra centjes, bedrijf maakt zichzelf daar eigenlijk mee schuldig aan nalatigheid, bedrijf wordt slachtoffer hack, bedrijf krijgt geen boete want slachtoffer. En zo blijft de vicieuze cirkel in stand.

Ik zeg niet dat elk bedrijf elke hack kan voorkomen, maar het zou toch wel handig zijn dat bedrijven (middel en groot bedrijf) die digitale diensten aanbieden en met gegevens van derden/klanten omgaan een soort van compliance register aangaande cyberveiligheid moeten bijhouden die ze dienen te delen bij hacks, dan kan de rechter zien dat de hackers inderdaad gewoon te slim waren en dat alle bekende gaten gedicht waren uit dat register en dan is er niks aan de hand, anderzijds kan het bedrijf dan ook makkelijker aansprakelijk worden gesteld voor nalatigheid.

Nu blijf je als eindklant altijd in de ether hangen en komen lakse bedrijven er gewoon mee weg want slachtoffer.

ibmpc 9 juli 2024 19:51

Deze tools zijn juist super belangrijk! Ik gebruik elke dag evilginx om mensen te laten zien dat MFA echt niet meer kan. De makers van deze tools zouden juist subsidie moeten krijgen zodat we kunnen blijven ontwikkelen aan phishing-resistant authentication.

vgroenewold @ibmpc • 9 juli 2024 20:20

Ik lees "de hackers die Nederland veranderden" (super goede Tweakers tip) en dat was zeker het idee toen, vraag is alleen of die visie ook tegenwoordig nog beetje aanwezig is. Als je kan laten zien hoe makkelijk iets is, dit in goed vertrouwen deelt met de instantie dan lijkt me dat alleen maar waardevol, alleen dat gebeurt hier niet vogens mij.

[Reactie gewijzigd door vgroenewold op 22 juli 2024 16:59]

ibmpc @vgroenewold • 9 juli 2024 20:25

vraag is alleen of die visie ook tegenwoordig nog beetje aanwezig is

Zeker. Ik verdien mijn dagelijks brood met het uitfaseren van MFA en vervangen door meer veilige authenticatiemiddelen. Evilginx en soortgelijke tools zijn enorm belangrijk voor mij.

WildemanM @ibmpc • 9 juli 2024 20:44

Wat zijn dan meer veilge methodes?

ibmpc @WildemanM • 9 juli 2024 20:47

• FIDO2
• Windows Hello for Business
• CBA
• Passkeys
Kan zo wel eindeloos doorgaan. Maar MFA via voice/text/TOTP/push is echt zo onveilig dat het wat mij betreft zo snel mogelijk wordt uitgefaseerd. Ik heb inmiddels voor zo veel miljoenen dollars aan schade gezien doordat bedrijven slechts MFA gebruikten, dat ik persoonlijk van mening ben dat lokale wetgeving een minimaal authenticatieniveau zou moeten verplichten.

[Reactie gewijzigd door ibmpc op 22 juli 2024 16:59]

naaitsab @ibmpc • 9 juli 2024 22:23

Het is vooral onveilig omdat de big tech geen stappen maakt om cookies/session-tokens in je browser te beveiligen. Als de diefstal van vooral je session/auth-token geen zin meer heeft zal MFA in welke vorm dan ook überhaupt weer een heel stuk veiliger worden. Als je actieve sessie wordt gehijacked helpen de methodes die je opnoemt ook niet bij het overgrote deel van de online diensten/sites. Niet voor niets dat het aantal malware activiteiten die zich daarom hierop focused ipv phishing enorm stijgt.

ibmpc @naaitsab • 9 juli 2024 22:40

Is in preview bij de big tech. En anders is er ook nog device compliance om toegang te beschermen. Maar de grootste bescherming is nog altijd een goede authentication strength gecombineerd met device compliance. En voor de eindgebruiker is het alleen maar makkelijker geworden en tegelijkertijd veiliger. De big tech maakt enorme stappen, maar we moeten de opties die zij bieden wel gebruiken. Legacy MFA (text/voice/TOTP/push) uitfaseren moet echt prioriteit krijgen.

[Reactie gewijzigd door ibmpc op 22 juli 2024 16:59]

naaitsab @ibmpc • 10 juli 2024 07:07

Daarom zei ik met opzet 'overgrote deel'. Ik weet dat Microsoft deze technieken heeft en die zetten mijn team en ik professioneel ook zo veel mogelijk in. Hier zit al een begin stap in om een sessie te vernietigen als er zaken 'niet kloppen'. Dit zit alleen verborgen achter een Entra/365 subscription (plus kennis) en is niet voor normale mensen beschikbaar voor bijv Outlook.com. De andere grote clubs zoals Meta en Google weten al jaren dat deze exploit bestaat en doen hier mijn inziens echt bizar weinig aan. Google had recent een idee uitgewerkt maar dat lijkt het ook niet te worden.

Sinds de hack van Linustechtips op deze manier heb ik het idee dat de media het ook meer oppakt en dat men wat meer bewust wordt van dit gevaar. Laten we hopen dat dit genoeg zetjes zijn zodat er iets komt voor het hele internet.

WildemanM @ibmpc • 10 juli 2024 08:04

Thanks voor je uitleg.

Ik gebruik op het moment nog Google Authenticator. Hoe zou ik dit het beste dan kunnen vervangen door iets meer secure in mijn dagelijks leven?

Wat ik ook merk is dat je soms geen andere mogelijkheid hebt voor een andere methode..

ibmpc @WildemanM • 10 juli 2024 17:44

Google Authenticator (TOTP) zo snel mogelijk mee stoppen. Dat is bijna zo onveilig als een wachtwoord. Voor consumenten is de makkelijkste oplossing om de volgende drie te doen:

• Yubikey voor aan je sleutelhanger, voor als je onderweg moet authenticeren. Authenticeren op een phishing website faalt by default.
• Microsoft Authenticator Push Notification: Let op, dit is niet phishing resistant dus alleen gebruiken als er geen andere mogelijkheid is en je 100% zeker weet dat je niet op een phishing website zit. Je kunt NIET AAN DE URL zien of je op een phishing website zit of niet, zie bijvoorbeeld het apple.com demo incident met Griekse tekens.
• Windows Hello (de personal) variant om passkeys aan te maken voor je OneDrive/Google account. Authenticeren op een phishing website faalt by default.

Je kunt een combinatie van de bovenstaande gebruiken, bijvoorbeeld alleen Windows Hello en een Yubikey. Of Push en Hello. Ik raad minimaal Push en Hello aan, maar als je het niet erg vindt om eenmalig te investeren (best-practise moet je twee Yubikeys hebben, maar je hebt voldoende backups als je alledrie gebruikt), koop dan een Yubikey.

En natuurlijk je wachtwoord op je Outlook account volledig uitschakelen. Ik verwijs alleen naar de webwinkel Kommago omdat dat een van de weinige webwinkels is die ik ken in Nederland, je kunt ze natuurlijk overal kopen

Dump dus je wachtwoord. Wij stellen bij users een random wachtwoord in dat niet met de gebruiker wordt gedeeld en iedere week door middel van een tool wordt gewijzigd, niet wordt gelogd en met niemand (ook niet de gebruiker) wordt gedeeld. Helaas kun je in Entra nog niet het wachtwoord dumpen.

En belangrijk: Goed op je my signins pagina kijken of er geen persistent session tokens zijn. Wat een evilginxer bijvoorbeeld kan doen is je laten authenticeren en vervolgens zelf een Windows Hello key aanmaken voor persistent toegang.

[Reactie gewijzigd door ibmpc op 22 juli 2024 16:59]

WildemanM @ibmpc • 10 juli 2024 19:45

Hey thanks voor je advies. Stel het erg op prijs

Ik ga kijken wat ik kan doen!

P.S. Als ik vragen heb, kan je ik deze over DM vragen?

[Reactie gewijzigd door WildemanM op 22 juli 2024 16:59]

h8bal 9 juli 2024 20:47

Ik vraag me wel af waar Tweakers 1700 slachtoffers vandaan haalt, in het bronartikel staat net benoemd dat ze niet weten hoeveel slachtoffers er gemaakt zijn.

"Hoeveel slachtoffers hij precies dupeerde, valt niet te achterhalen: de man beroept zich op zijn zwijgrecht en wist zijn eigen apparaten dermate te versleutelen dat die informatie niet kon worden achterhaald."

CivLord

@h8bal • 10 juli 2024 13:19

In het artikel staat dat hij de inloggegevens van 1700 mensen heeft gebruikt. Dat betekent niet dat al die 1700 mensen ook gedupeerd zijn. (Als in dat ze door het gebruik van die inloggegevens benadeeld zijn.)

Lagonas @thekingis13 • 9 juli 2024 18:35

Ja, dat is gewoon een correct woord. De tool had meerdere functies. Oftewel, multifunctioneel. Kan je wellicht iets duidelijk zijn waar je verward over bent? Een enkel woord helpt niemand echt.

Ontopic: Goed dat deze crimineel gepakt is. Hopelijk krijgt die een goede straf, al vind ik 3,5 jaar wat aan de lage kant als je kijkt naar al zijn misdaden en het aantal slachtoffers.

batumulia @Lagonas • 9 juli 2024 18:44

Hij doelt op een typo in de tekst, welke overigens hier gemeld kan worden: forumtopic: Meld hier spel- en tikfoutjes - en dus *geen* andere foutjes @thekingis13

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (25)

Sorteer op:

Weergave: