Politie arresteert verdachte die 2fa-code-steler op Telegram zou hebben verkocht

De Nederlandse politie heeft een 21-jarige man uit Dordrecht aangehouden, die verdacht wordt van het verkopen van een Telegram-bot die 2fa-codes kon onderscheppen. Eerder werden de vermeende ontwikkelaars van JokerOTP aangehouden.

Het Team Cybercrime van de eenheid Oost-Brabant heeft de verdachte eerder deze week aangehouden. Het gaat om een man uit Dordrecht van 21 jaar die de tool zou hebben doorverkocht. De tool heet JokerOTP, een bot die one-time passwords (otp) kan stelen. Dat zijn de vaak tijdelijke codes die gebruikers krijgen via bijvoorbeeld een authenticatorapp of e-mail als ze ergens inloggen met tweetrapsauthenticatie.

JokerOTP is een bot die slachtoffers belt met een geautomatiseerde melding dat iemand zogenaamd op hun account probeert in te breken. De gebruiker moet dan diens otp-code intoetsen, maar die wordt in werkelijkheid onderschept door een fraudeur. Die kan daarmee dan inloggen op een externe dienst. De politie zegt 'tientallen' Nederlandse kopers van de bot op de korrel te hebben die toegang tot apps en diensten zoals webshops kopen en daarna JokerOTP inzetten voor de laatste stap. Die gebruikers moeten nog wel worden opgespoord, aldus de politie.

Vorig jaar arresteerde de politie al twee personen die worden verdacht van het ontwikkelen van de bot. Dit is de eerste keer dat iemand verdacht wordt van het verkopen van de bot. Ook zegt de politie dat de Dordrechtenaar zelf licentiesleutels van de bot in handen had.

Politie. Bron: Robert vt Hoenderdaal/iStock/Getty Images

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 11-02-2026 10:12
20 • submitter: Ossebol

11-02-2026 • 10:12

20

Submitter: Ossebol

Lees meer

Nederlands OM eist 3 jaar cel tegen 21-jarige sleutelfiguur van onlinedrugsmarkt
Nederlands OM eist 3 jaar cel tegen 21-jarige sleutelfiguur van onlinedrugsmarkt Nieuws van 1 december 2025
Politie arresteert 17-jarigen die met wifisniffer voor Rusland zouden spioneren
Politie arresteert 17-jarigen die met wifisniffer voor Rusland zouden spioneren Nieuws van 26 september 2025
Politie identificeert 126 Nederlandse gebruikers op Cracked.io
Politie identificeert 126 Nederlandse gebruikers op Cracked.io Nieuws van 11 juni 2025
Belgische politie pakt Nederlander op die exposegroepen op Telegram zou beheren
Belgische politie pakt Nederlander op die exposegroepen op Telegram zou beheren Nieuws van 31 december 2024
Meer producten en artikelen
Politiek en recht Cybercrime Nederland Politie telegram Wetgeving

Reacties (20)

-Moderatie-faq
20
19
8
0
0
9
Wijzig sortering

Sorteer op:

Weergave:
Orthodroom 11 februari 2026 10:21
Ik snap niet dat mensen daar intrappen, maar zal een kwestie zijn van te weinig training. Als je zelf niet aan het inloggen bent zou er nergens 2fa nodig moeten zijn. Daarnaast hoor je het alleen bij de dienst zelf in te voeren en niet via de telefoon te verstrekken.
Reageer
RRRobert @Orthodroom11 februari 2026 10:33
Ik snap niet dat mensen daar intrappen, maar zal een kwestie zijn van te weinig training.
Precies dit. Een familielid van me is gepensioneerd politieagent, die trapte ooit vol in een phishing poging. Gelukkig liep e.e.a. met een sisser af, maar de trucs en misleidingen worden wel steeds geraffineerder, en de risico's daarmee steeds groter, als je het mij vraagt.

Omgekeerd gaat dat dus soms ook fout, hè. Recent ging er bij ons op het werk een email rond die vanaf ons moederbedrijf werd verstuurd, en veel collegae hadden zoiets van 'volgens mij is dit een poging tot phishing', maar het bleek een bloedserieuze email te zijn. Het blijft dus gewoon verrekte goed opletten.
Reageer
Teun! @RRRobert11 februari 2026 11:02
Dat je collegas dit uberhaupt opmerken mag je al heel blij mee zijn denk ik.
Reageer
RVervuurt @Orthodroom11 februari 2026 10:37
Dat is makkelijk praten, maar als jij echt denkt de ABN AMRO aan de lijn te hebben die zegt "we sturen je een code, geef die even aan ons om te bevestigen dat jij het bent", dan klinkt dat helemaal niet gek, want zo werken 2FA-codes in principe ook bij het inloggen, dus waarom niet bij een belletje?

Net als deze DoorDash scam, ze pakken je op een moment waar je even bezig bent (je rijdt DoorDash, of rond etenstijd waar je druk bent in de keuken) en dan ben je even afgeleid en is het zo gebeurd.
Reageer
sapphire @RVervuurt11 februari 2026 10:42
Ik weet niet hoe het bij ABN AMRO zit maar bij meerdere andere banken weet ik dat ze expliciet aangeven nooit zomaar te bellen en nooit dit soort data te delen.
Reageer
Skit3000 @sapphire11 februari 2026 10:52
En ondertussen sturen ze nog wel mails met daarin links om bijvoorbeeld een nieuwe spaarrekening te openen met een interessante rente, etc. Als je dus een soortgelijke mail krijgt, je klikt op de link en probeert in te loggen, vult de 2fa-code die je op je telefoon ziet in, maken die criminelen ondertussen je hele saldo over aan een katvanger.

Banken moeten 100% stoppen met het sturen van mails of post. Laat ze maar aansluiten bij de Berichtenbox van MijnOverheid, of laat de banken (en andere geldverstrekkers, verzekeraars, etc) gezamelijk een soortgelijk initiatief maken waarbij het voor alle consumenten duidelijk is dat ze altijd zelf deze app of website moeten openen en dat alle berichten die daar in staan 100% te vertrouwen zijn.
Reageer
R_Zwart @Skit300011 februari 2026 11:22
Mijn bank (ASN) mailt alleen maar om te zeggen dat ik in moet loggen of de app moet openen voor bepaalde informatie. Sturen andere banken nog steeds emails met links? Marketingtechnisch lijkt het me sowieso effectiever om extra diensten te verkopen als mensen ingelogd zijn. Dan ben je toch al bezig met je financiën en sta je er waarschijnlijk meer voor open dan als je de zoveelste email op een dag krijgt.
Reageer
Bux666 @sapphire11 februari 2026 10:55
De ING belt je ook niet op, tenzij er een uitzonderlijke situatie is als het gaat om een product hoorde ik eergisteren. Ik sprak toen iemand van de ING Alarmlijn, nadat ik hem via de vaste lijn live had laten meeluisteren met een ING scam. Hij vroeg me, terwijl ik de scammer op mute had staan, tot wel 3x of ik wist waarmee ik bezig was. Uiteindelijk gaat dat gesprek, dat opgenomen is bij de ING, gebruikt worden bij trainingen. Tof om zo iets negatiefs om te buigen tot iets positiefs. Wel jammer dat ik pas halverwege het gesprek de ING eraan kreeg.

Op het moment dat ik de 'gedownloade' AnyDesk applicatie moest opstarten en de code moest doorgeven, ging ik natuurlijk nat. De oplichter werd daarop ook nog boos. Waarom ik hem zo lang aan de lijn had gehouden... 🤡🤦🏻
Reageer
sapphire @Bux66611 februari 2026 12:16
Omdat hoe langer je een oplichter aan de lijn houd hoe minder tijd die kan besteden aan het scammen van een ander _/-\o_
Reageer
KeesAlderlieste @Bux66611 februari 2026 12:52
DON'T REDEEM!! :-)
Reageer
davince72 @NeuroTechie11 februari 2026 12:35
Onnodig kwetsende reactie op iets dat complimenten verdiend.
Reageer
pstalman @sapphire11 februari 2026 10:59
ik ben ooit door een bank gebeld, waarbij niets aangegeven werd dat ze zouden bellen.

Ze probeerden geen gegevens van mij te achterhalen, dus heb netjes geluisterd naar hun "verkoop" verhaal (iets over aandelen).
Reageer
JacOwns7 @sapphire11 februari 2026 11:30
De Rabobank heeft mij zeer zeker wel een keer gebeld of het niet eens tijd werd om te gaan beleggen. Het was ook daadwerkelijk een medewerker van de Rabobank (Kun je in de RaboApp zien)

Aangegeven hier niet van gediend te zijn, want er word ons altijd verteld dat de bank niet zomaar belt. Hiervoor hadden ze prima de Inbox fuctie kunnen gebruiken in de Rabo App zoals ze ook doen met Nieuwsbrieven.
Reageer
Prosperot @sapphire11 februari 2026 13:00
Sterker zelfs, als de bank mij belt, willen ze eerst mij verifieren en vragen ze naar mijn geboortedatum en plaats. Als ik dan zeg dat ik dat gek vind, dan snappen ze dat niet
Reageer
sapphire @Prosperot11 februari 2026 13:10
Vreemde verificatie met data die als je pech hebt inmiddels publiekelijk is :X
Reageer
FicoF @RVervuurt11 februari 2026 11:24
Sowieso is mijn ervaring dat iedereen >2010 z`n telefoon op niet storen heeft staan en sowieso niet opneemt bij een onbekende beller.
Reageer
AnonymousGerbil @Orthodroom11 februari 2026 11:35
Ik snap niet dat mensen daar intrappen, maar zal een kwestie zijn van te weinig training.
Het zou toch wel bekend mogen zijn dat mensen nu eenmaal niet 100% van hun tijd 100% alert kunnen zijn op dergelijke zaken.

Bovendien worden mensen vandaag de dag op websites/software ook wel als aapjes getraind om maar nummertjes zonder nadenken door te sturen en om zaken die ze niet volledig begrijpen goed te keuren.

[Reactie gewijzigd door AnonymousGerbil op 11 februari 2026 11:39]

Reageer
memphis @Orthodroom11 februari 2026 11:48
Omdat een campagne dat een paar weken duurt op Nederlandse media dat niet door iedereen wordt bekeken niet helpt als ook reclame bij veel mensen een soort van natuurlijke spamfilter heeft opgebouwd. Banken zouden dit continu richting hun klanten moeten communiceren en nooit linkjes in hun berichten moeten zetten en dat dan ook duidelijk bij ieder bericht aangeven.

Wij Tweakers kunnen makkelijk praten maar om je heen zal je vast wel iemand kennen die niet handig is met computers en smartphones en er zijn best nog veel van dat soort mensen.
Reageer
JeroenSpock 11 februari 2026 10:23
In de link naar de politie, en als je zoekt naar die JokerOTP, is niet veel te lezen over Telegram. Behalve dat hij daar de bot of wachtwoorden verkocht aan anderen.

Deze bot zou toch van allerlei websites of apps de wachtwoorden kunnen herleiden op deze manier? Die je vervolgens op Whatsapp kan verkopen.
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq