Politie arresteert verdachte die 2fa-code-steler op Telegram zou hebben verkocht

De Nederlandse politie heeft een 21-jarige man uit Dordrecht aangehouden, die verdacht wordt van het verkopen van een Telegram-bot die 2fa-codes kon onderscheppen. Eerder werden de vermeende ontwikkelaars van JokerOTP aangehouden.

Het Team Cybercrime van de eenheid Oost-Brabant heeft de verdachte eerder deze week aangehouden. Het gaat om een man uit Dordrecht van 21 jaar die de tool zou hebben doorverkocht. De tool heet JokerOTP, een bot die one-time passwords (otp) kan stelen. Dat zijn de vaak tijdelijke codes die gebruikers krijgen via bijvoorbeeld een authenticatorapp of e-mail als ze ergens inloggen met tweetrapsauthenticatie.

JokerOTP is een bot die slachtoffers belt met een geautomatiseerde melding dat iemand zogenaamd op hun account probeert in te breken. De gebruiker moet dan diens otp-code intoetsen, maar die wordt in werkelijkheid onderschept door een fraudeur. Die kan daarmee dan inloggen op een externe dienst. De politie zegt 'tientallen' Nederlandse kopers van de bot op de korrel te hebben die toegang tot apps en diensten zoals webshops kopen en daarna JokerOTP inzetten voor de laatste stap. Die gebruikers moeten nog wel worden opgespoord, aldus de politie.

Vorig jaar arresteerde de politie al twee personen die worden verdacht van het ontwikkelen van de bot. Dit is de eerste keer dat iemand verdacht wordt van het verkopen van de bot. Ook zegt de politie dat de Dordrechtenaar zelf licentiesleutels van de bot in handen had.

Politie. Bron: Robert vt Hoenderdaal/iStock/Getty Images

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 11-02-2026 10:12
36 • submitter: Ossebol

11-02-2026 • 10:12

Submitter: Ossebol

Lees meer

Nederlands OM eist 3 jaar cel tegen 21-jarige sleutelfiguur van onlinedrugsmarkt

Nederlands OM eist 3 jaar cel tegen 21-jarige sleutelfiguur van onlinedrugsmarkt Nieuws van 1 december 2025

Politie arresteert 17-jarigen die met wifisniffer voor Rusland zouden spioneren

Politie arresteert 17-jarigen die met wifisniffer voor Rusland zouden spioneren Nieuws van 26 september 2025

Politie identificeert 126 Nederlandse gebruikers op Cracked.io

Politie identificeert 126 Nederlandse gebruikers op Cracked.io Nieuws van 11 juni 2025

Belgische politie pakt Nederlander op die exposegroepen op Telegram zou beheren

Belgische politie pakt Nederlander op die exposegroepen op Telegram zou beheren Nieuws van 31 december 2024

Meer producten en artikelen

Politiek en recht Cybercrime Nederland Politie telegram Wetgeving

IT-banen

Meer vacatures

Reacties (36)

36

35

11

0

0

22

Wijzig sortering

Orthodroom 11 februari 2026 10:21

Ik snap niet dat mensen daar intrappen, maar zal een kwestie zijn van te weinig training. Als je zelf niet aan het inloggen bent zou er nergens 2fa nodig moeten zijn. Daarnaast hoor je het alleen bij de dienst zelf in te voeren en niet via de telefoon te verstrekken.

RVervuurt @Orthodroom • 11 februari 2026 10:37

Dat is makkelijk praten, maar als jij echt denkt de ABN AMRO aan de lijn te hebben die zegt "we sturen je een code, geef die even aan ons om te bevestigen dat jij het bent", dan klinkt dat helemaal niet gek, want zo werken 2FA-codes in principe ook bij het inloggen, dus waarom niet bij een belletje?

Net als deze DoorDash scam, ze pakken je op een moment waar je even bezig bent (je rijdt DoorDash, of rond etenstijd waar je druk bent in de keuken) en dan ben je even afgeleid en is het zo gebeurd.

sapphire @RVervuurt • 11 februari 2026 10:42

Ik weet niet hoe het bij ABN AMRO zit maar bij meerdere andere banken weet ik dat ze expliciet aangeven nooit zomaar te bellen en nooit dit soort data te delen.

@sapphire • 11 februari 2026 10:52

En ondertussen sturen ze nog wel mails met daarin links om bijvoorbeeld een nieuwe spaarrekening te openen met een interessante rente, etc. Als je dus een soortgelijke mail krijgt, je klikt op de link en probeert in te loggen, vult de 2fa-code die je op je telefoon ziet in, maken die criminelen ondertussen je hele saldo over aan een katvanger.

Banken moeten 100% stoppen met het sturen van mails of post. Laat ze maar aansluiten bij de Berichtenbox van MijnOverheid, of laat de banken (en andere geldverstrekkers, verzekeraars, etc) gezamelijk een soortgelijk initiatief maken waarbij het voor alle consumenten duidelijk is dat ze altijd zelf deze app of website moeten openen en dat alle berichten die daar in staan 100% te vertrouwen zijn.

R_Zwart @Skit3000 • 11 februari 2026 11:22

Mijn bank (ASN) mailt alleen maar om te zeggen dat ik in moet loggen of de app moet openen voor bepaalde informatie. Sturen andere banken nog steeds emails met links? Marketingtechnisch lijkt het me sowieso effectiever om extra diensten te verkopen als mensen ingelogd zijn. Dan ben je toch al bezig met je financiën en sta je er waarschijnlijk meer voor open dan als je de zoveelste email op een dag krijgt.

@R_Zwart • 11 februari 2026 14:15

ING (prive) en Rabobank (zakelijk) sturen bijna wekelijks wel een update over welke mooie nieuwe producten ze nu weer hebben.

Helemaal prima natuurlijk, maar doe dit dan zonder links.

Xfade @R_Zwart • 11 februari 2026 15:35

ik krijg af en toe een mail van abn amro maar niet iets waar ik direct moet inloggen. nieuwsbrief achtig etc.

JacOwns7 @sapphire • 11 februari 2026 11:30

De Rabobank heeft mij zeer zeker wel een keer gebeld of het niet eens tijd werd om te gaan beleggen. Het was ook daadwerkelijk een medewerker van de Rabobank (Kun je in de RaboApp zien)

Aangegeven hier niet van gediend te zijn, want er word ons altijd verteld dat de bank niet zomaar belt. Hiervoor hadden ze prima de Inbox fuctie kunnen gebruiken in de Rabo App zoals ze ook doen met Nieuwsbrieven.

Prosperot @sapphire • 11 februari 2026 13:00

Sterker zelfs, als de bank mij belt, willen ze eerst mij verifieren en vragen ze naar mijn geboortedatum en plaats. Als ik dan zeg dat ik dat gek vind, dan snappen ze dat niet

sapphire @Prosperot • 11 februari 2026 13:10

Vreemde verificatie met data die als je pech hebt inmiddels publiekelijk is :X

Antiloop @Prosperot • 11 februari 2026 19:06

Die heb ik ook al een paar keer meegemaakt, en dan vinden ze het inderdaad gek dat je niets wil vertellen

En idem voor sommige zaken die gemaild zijn, terwijl ze een eigen inbox systeem via internetbankieren hebben

vervolgens vinden ze het dan ook gek dat je die mails keihard negeert omdat het naar phishingaanvallen neigt

Bux666 @sapphire • 11 februari 2026 10:55

De ING belt je ook niet op, tenzij er een uitzonderlijke situatie is als het gaat om een product hoorde ik eergisteren. Ik sprak toen iemand van de ING Alarmlijn, nadat ik hem via de vaste lijn live had laten meeluisteren met een ING scam. Hij vroeg me, terwijl ik de scammer op mute had staan, tot wel 3x of ik wist waarmee ik bezig was. Uiteindelijk gaat dat gesprek, dat opgenomen is bij de ING, gebruikt worden bij trainingen. Tof om zo iets negatiefs om te buigen tot iets positiefs. Wel jammer dat ik pas halverwege het gesprek de ING eraan kreeg.

Op het moment dat ik de 'gedownloade' AnyDesk applicatie moest opstarten en de code moest doorgeven, ging ik natuurlijk nat. De oplichter werd daarop ook nog boos. Waarom ik hem zo lang aan de lijn had gehouden... 🤡🤦🏻

sapphire @Bux666 • 11 februari 2026 12:16

Omdat hoe langer je een oplichter aan de lijn houd hoe minder tijd die kan besteden aan het scammen van een ander $_/-\o_$

@sapphire • 11 februari 2026 14:14

Totdat de oplichter in kwestie geen mens meer is, maar een (chat)bot die honderden mensen gelijktijdig kan benaderen.

Aldy @sapphire • 11 februari 2026 14:19

De aanbeveling van de banken is om het gesprek te beëindigen zodra je door hebt dat het een phishingpoging gaat. Maar juist als je het doorhebt, is het interessant om het spelletje mee te spelen en zoals je schrijft, als ze met jou in gesprek zijn, dan hebben ze minder tijd om een ander op te lichten.

KeesAlderlieste @Bux666 • 11 februari 2026 12:52

DON'T REDEEM!! :-)

davince72 @NeuroTechie • 11 februari 2026 12:35

Onnodig kwetsende reactie op iets dat complimenten verdiend.

NeuroTechie @davince72 • 11 februari 2026 13:32

Je trekt iets zwaar uit z’n verband, ik bedoelde het als een sarcastische antwoord dat je kon geven aan de scammer

. Was de /s vergeten.

pstalman @sapphire • 11 februari 2026 10:59

ik ben ooit door een bank gebeld, waarbij niets aangegeven werd dat ze zouden bellen.

Ze probeerden geen gegevens van mij te achterhalen, dus heb netjes geluisterd naar hun "verkoop" verhaal (iets over aandelen).

Knallmeister @sapphire • 11 februari 2026 14:20

Ik weet niet hoe het bij ABN AMRO zit maar bij meerdere andere banken weet ik dat ze expliciet aangeven nooit zomaar te bellen en nooit dit soort data te delen.

Bij ABN AMRO idem ditto met een sterretje, ze bellen je niet.

dixet @sapphire • 11 februari 2026 15:18

Rabo zegt ook dat ze nooit bellen, maar toch werd ik door notabene de anti-witwas/fraude afdeling gebeld over een verdachte transactie.
Ik ben heel lang bezig geweest de vriendelijke medewerker duidelijk te maken dat híj moest bewijzen dat hij van de bank was voor ik ook maar iets deelde. Uiteindelijk maar afgesproken dat ik het algemene nummer van de rabo zou bellen en me laten doorverbinden met hem.
Ik was volgens hem de eerste klant die er over viel dat ze zomaar belden (maar hij was het wel met me eens dat ze dit eigenlijk niet zo moesten doen)

Antiloop @dixet • 11 februari 2026 19:13

Nee hoor ik ben je al eens voorgegaan bij de Rabobank op eenzelfde manier

Maar ze doen net alsof je de enige bent, en vind dat ze daar actief op zouden moeten trainen

Politie
Cybercrime
Nederland

@sapphire • 11 februari 2026 20:27

Welke banken zijn dat dan en waar blijkt je bewering uit?

Veel banken verkondigen dat ze nooit om codes of wachtwoorden vragen. Dat is omdat ze de vrijheid willen om toch 'koud" te bellen met klanten, bijvoorbeeld voor verkoop van extra diensten. Dat is ook waarom je op gezamenlijke initiatieven van banken zoals veiligbankieren.nl of voorkomfraude.nl niet zal lezen dat je het moet wantrouwen als je bank belt, niet zal lezen dat een bank nooit belt en ze vooral waarschuwen alleen geen belangrijke codes te geven.

FicoF @RVervuurt • 11 februari 2026 11:24

Sowieso is mijn ervaring dat iedereen >2010 z`n telefoon op niet storen heeft staan en sowieso niet opneemt bij een onbekende beller.

RRRobert @Orthodroom • 11 februari 2026 10:33

Ik snap niet dat mensen daar intrappen, maar zal een kwestie zijn van te weinig training.

Precies dit. Een familielid van me is gepensioneerd politieagent, die trapte ooit vol in een phishing poging. Gelukkig liep e.e.a. met een sisser af, maar de trucs en misleidingen worden wel steeds geraffineerder, en de risico's daarmee steeds groter, als je het mij vraagt.

Omgekeerd gaat dat dus soms ook fout, hè. Recent ging er bij ons op het werk een email rond die vanaf ons moederbedrijf werd verstuurd, en veel collegae hadden zoiets van 'volgens mij is dit een poging tot phishing', maar het bleek een bloedserieuze email te zijn. Het blijft dus gewoon verrekte goed opletten.

Teun! @RRRobert • 11 februari 2026 11:02

Dat je collegas dit uberhaupt opmerken mag je al heel blij mee zijn denk ik.

AnonymousGerbil

@Orthodroom • 11 februari 2026 11:35

Ik snap niet dat mensen daar intrappen, maar zal een kwestie zijn van te weinig training.

Het zou toch wel bekend mogen zijn dat mensen nu eenmaal niet 100% van hun tijd 100% alert kunnen zijn op dergelijke zaken.

Bovendien worden mensen vandaag de dag op websites/software ook wel als aapjes getraind om maar nummertjes zonder nadenken door te sturen en om zaken die ze niet volledig begrijpen goed te keuren.

[Reactie gewijzigd door AnonymousGerbil op 11 februari 2026 11:39]

Rutger Muller @AnonymousGerbil • 11 februari 2026 13:46

[...]

Het zou toch wel bekend mogen zijn dat mensen nu eenmaal niet 100% van hun tijd 100% alert kunnen zijn op dergelijke zaken.

Bovendien worden mensen vandaag de dag op websites/software ook wel als aapjes getraind om maar nummertjes zonder nadenken door te sturen en om zaken die ze niet volledig begrijpen goed te keuren.

Goed punt ja. We zijn helaas ook heel erg "gewend" geraakt aan allerlei dark patterns (misleidende UI's, met marketing-doeleinden, etc.).

memphis @Orthodroom • 11 februari 2026 11:48

Omdat een campagne dat een paar weken duurt op Nederlandse media dat niet door iedereen wordt bekeken niet helpt als ook reclame bij veel mensen een soort van natuurlijke spamfilter heeft opgebouwd. Banken zouden dit continu richting hun klanten moeten communiceren en nooit linkjes in hun berichten moeten zetten en dat dan ook duidelijk bij ieder bericht aangeven.

Wij Tweakers kunnen makkelijk praten maar om je heen zal je vast wel iemand kennen die niet handig is met computers en smartphones en er zijn best nog veel van dat soort mensen.

Rutger Muller @Orthodroom • 11 februari 2026 13:39

Training tegen phishing werkt niet altijd, en kan zelfs averechts werken wanneer het een vals gevoel van zekerheid/bekwaamheid geeft. Dus daar zit al een eerste probleem. (bron: https://www.darkreading.com/endpoint-security/phishing-training-doesnt-work).

En, training of geen training, er kan altijd een kleine 'perfect storm' optreden van factoren als stress/vermoeidheid (cognitief even niet sterk), onoplettendheid (afgeleid, etc.), toeval (net aan het inloggen, of net daarvoor), en vast nog dingen die ik vergeet...

[Reactie gewijzigd door Rutger Muller op 11 februari 2026 13:44]

mac1987 @Orthodroom • 12 februari 2026 11:35

De overheid is niet de enige partij die de sleepnet methode toepast. Als één op de duizend mensen hier intrapt, dan heb je met een miljoen (geautomatiseerde) pogingen alsnog duizend slachtoffers en dus opbrengsten.

William_H @Orthodroom • 21 februari 2026 17:29

Dit kan perfect gebruikt worden voor een laatste stap, zoals in het artikel staat. Ze hebben al de inloggegevens, of een ingang in een apparaat, en dan heb je alleen nog dit nodig om een account over te nemen. Als het minder getrainde mensen zijn, dan kan dit perfect.

JeroenSpock 11 februari 2026 10:23

In de link naar de politie, en als je zoekt naar die JokerOTP, is niet veel te lezen over Telegram. Behalve dat hij daar de bot of wachtwoorden verkocht aan anderen.

Deze bot zou toch van allerlei websites of apps de wachtwoorden kunnen herleiden op deze manier? Die je vervolgens op Whatsapp kan verkopen.

DefaultError 11 februari 2026 14:12

Ik denk dat bedrijven hun beveiliging nog beter op orde kunnen hebben. Het is een kat & muisspel om tot kritieke computers door te dringen. Een mail met een gecomprimeerde link is wat we redelijk in de smiezen hebben, tot je een keer moe bent of verkouden en er per ongeluk op klikt.

En dan is Joker OPT een iets slimmere methode die men doorgaans nog niet kent. Als je denkt met 2fa veilig te zijn waarvan genoeg mensen dit nog niet standaard 2fa gebruiken kun je de boot ingaan

Nogmaals denk goed na over de structuur van een bedrijfsnetwerk. Tom & Jerry is een bekend metafoor.

OlivierH 11 februari 2026 18:08

Titel: "2fa-code-steler" > Samenvatting van werking: auto-dailer...?

Nou niet bepaald iets wat in een normale opzet 2fa kan kraken, en er word dus ook geen code "gestolen" als de gebruiker die zelf moet invoeren? dus volgens mij een beetje overdreven? maar okey 🤷‍♂️

Verder moeten we volgens mij gewoon Telegram blokkeren, want dat is altijd waar dit soort sneue dingen gebeuren en verkocht worden. En het is gewoon "VK-mobiel" he, gemaakt door dezelfde Russen die dat "VKontakte" social media netwerk hebben wat overduidelijk gelinkt is met de Russische overheid...

[Reactie gewijzigd door OlivierH op 11 februari 2026 18:09]

Om te kunnen reageren moet je ingelogd zijn