Belgische ethisch hacker kaapt dashboard cyberbende en stopt phishingcampagnes

Een Belgische securityexpert heeft de IT-systemen van een phishingbende geïnfiltreerd die klanten van de bank Argenta op de korrel nam. De ethisch hacker kwam in actie toen hij zelf een phishingmail van de bende kreeg. Hij wist lopende phishingcampagnes te blokkeren.

De Belgische securityonderzoeker Inti De Ceukelaire bezocht bewust de phishingpagina en vulde daar valse kaartgegevens in, schrijft Het Laatste Nieuws. Vervolgens analyseerde hij de webpagina en kwam hij uit op het controlepaneel van de cybercriminelen. De Ceukelaire verschafte zich toegang, mede doordat de gebruikte code 'verschrikkelijk' was en hij afleidde dat het controlepaneel bereikbaar was via localhost.

Zodra hij toegang had, zag hij dat er op dat moment bezoekers op de phishingpagina waren. Dat konden dus slachtoffers zijn die op het punt stonden om gephisht te worden. De ethische hacker besloot deze lopende phishingactie te blokkeren. Daarbij ging hij voorzichtig te werk zodat de cybercriminelen niet doorhadden dat hij binnen was en wat hij deed.

Phishers opsporen

Uit verdere analyse ontdekte De Ceukelaire dat het controlepaneel de IP-adressen bijhield van inloggende gebruikers, oftewel de cybercriminelen. Daardoor kon hij die daders opsporen en andere phishingacties ook blokkeren. Naar eigen zeggen wist hij zeven phishingcampagnes stop te zetten. Bij de door hem gevonden mogelijke identiteiten van de phishers gaat het om studenten van begin twintig die 'op sociale media lopen te pochen met dure auto's en juwelen'.

Uiteindelijk vielen zijn sabotageacties wel op en probeerden de phishers hem buiten te sluiten. Dat leverde een kat-en-muisspel op. De Ceukelaire informeerde de Belgische bank Argenta en de digitale overheidsdienst Safeonweb van het nationale Centrum voor Cybersecurity België. Het is niet zeker of de bank het door hem vergaarde bewijsmateriaal doorgeeft aan de politie. De Ceukelaire vond in de software van de phishers ook logo's van andere banken in andere landen. De ethische hacker vertelt in een eigen blogpost hoe zijn hack verliep.

Tweakers sprak Inti De Ceukelaire eerder al eens uitgebreid: over simpele bugs, zijn 'hack' van het Twitter-account van Donald Trump, bugbounty's en meer hackerskwesties.

banklogo's in phishingsoftware (bron: Inti De Ceukelaire) — Banklogo's in phishingsoftware (bron: Inti De Ceukelaire)

Vorig nieuwsartikel Volgend nieuwsartikel

Door Jasper Bakker

Nieuwsredacteur

Feedback • 09-03-2026 15:21
135 • submitter: QuantumWalrus

09-03-2026 • 15:21

Submitter: QuantumWalrus

Lees meer

'Ze noemen simpele bugs Inti-bugs' — 2 jun 2022

'Ze noemen simpele bugs Inti-bugs'

Interview met ethisch hacker Inti De Ceukelaire

Belgische internetgebruikers krijgen snellere blokkering van phishingsites

Belgische internetgebruikers krijgen snellere blokkering van phishingsites Nieuws van 17 maart 2026

Belangrijke EU-jurist: banken moeten phishingslachtoffers compenseren

Belangrijke EU-jurist: banken moeten phishingslachtoffers compenseren Nieuws van 10 maart 2026

Politie en Europol rollen LeakBase op en nemen privédata van criminelen over

Politie en Europol rollen LeakBase op en nemen privédata van criminelen over Nieuws van 5 maart 2026

Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming

Na groot datalek geeft Odido klanten twee jaar gratis digitale bescherming Nieuws van 23 februari 2026

Belgische politie waarschuwt voor phishing via politiedomein

Belgische politie waarschuwt voor phishing via politiedomein Nieuws van 23 september 2025

Ethisch hacker infiltreert online accounts vermiste neef - update

Ethisch hacker infiltreert online accounts vermiste neef - update Nieuws van 17 december 2024

Gegevens van 3,2 miljoen Belgische WhatsApp-gebruikers zijn te koop op darkweb

Gegevens van 3,2 miljoen Belgische WhatsApp-gebruikers zijn te koop op darkweb Nieuws van 22 augustus 2024

Meer producten en artikelen

Marktontwikkelingen E-commerce Websites en community's Politiek en recht Bank Cybercrime Cybersecurity Fraude Onderzoek Oplichter Oplichting Phishing

IT-banen

Meer vacatures

Reacties (135)

135

135

55

1

0

74

Wijzig sortering

Roko 9 maart 2026 15:31

Mag je, door jezelf ethisch hacker te noemen, jezelf privé toegang verschaffen in de systemen van anderen? Ik vind het lofwaardig wat hij doet, maar het schuurt wel een beetje.

Technoid @Roko • 9 maart 2026 15:54

Staat in de bron:

Disclaimer
Technically, hacking back phishing panels can be illegal in under certain jurisdictions and I would not recommend doing so without fully understanding and acknowledging the risk.

NoTechSupport @Technoid • 9 maart 2026 16:50

Je vermindert door dit soort acties de kans dat er juridische vervolging volgt. En als je naam in de pers komt ben je kwetsbaar.

telenut @NoTechSupport • 10 maart 2026 08:54

Wie hem een beetje kent weet dat dit net de bedoeling is :-)

Vinny_93 @Technoid • 9 maart 2026 16:17

Dit is natuurlijk het aloude snijvlak waar een gewone burger zich op begeeft als ze zich willen inzetten tegen criminaliteit, eigenlijk heb je geen enkel mandaat. Als deze hacker dit beroepsmatig wil doen (lijkt me niet) dan zal hij in dienst moeten bij een instantie dat wel een mandaat heeft.

Ja, wat hij doet mag eigenlijk niet. En als hij erbij zegt "ik doe het toch en riskeer daarmee dat ik zelf straf krijg" geeft hem een soort 'vigilante'-status. Iedereen begrijpt dat de acties van deze hacker in het voordeel van maatschappelijk belang zijn, maar de manier van uitvoering is tegen de regels die we als samenleving hebben. Juist omdat het nu misschien in algemeen belang is, maar waar trek je de streep? Hij kan overal wel een beetje in systemen gaan rondneuzen om te kijken of er illegale praktijken plaatsvinden.

Ik denk dat je het het best kunt vergelijken met wat je wel eens in (Amerikaanse) politieseries ziet: agenten mogen niet zomaar een woning binnendringen, tenzij er sprake is van een acuut noodgeval: ze horen een gevecht, of iemand om hulp roepen, et cetera. Dat geldt dan voor de politie, het wil niet zeggen dat de buurman dan ook maar naar binnen mag. Achter je eigen gesloten deuren crimineel bezig zijn is een onderdeel van de vrijheid die we genieten. Het mag inderdaad niet wat je doet, maar anderen mogen niet zomaar even komen kijken wat je eigenlijk aan het doen bent.

maevian @Vinny_93 • 9 maart 2026 17:28

Deze hacker doet dit professioneel en heeft zijn eigen bug bounty bedrijf:

https://www.intigriti.com/index

SanderWind @maevian • 9 maart 2026 20:09

Intigriti is niet het bedrijf van Inti. Stijn Jans is de eigenaar van Intigriti.

BlackShadow @SanderWind • 10 maart 2026 14:27

Hij is weldegelijk medeoprichter van Intigriti.

Bron: Interview in De Tijd: https://www.tijd.be/netto/dossiers/geldvragen/10-geldvragen-aan-ethisch-hacker-inti-de-ceukelaire/10388369.html

[Reactie gewijzigd door BlackShadow op 10 maart 2026 14:31]

maevian @SanderWind • 9 maart 2026 20:11

Is inderdaad niet de oprichter wel medevennoot

PalingDrone @maevian • 9 maart 2026 22:22

En dus? Wanneer je je eigen professionele (persoons)beveiligings- of recherche bedrijf hebt mag je nog steeds niet doen wat een politieagent (onder stikte voorwaarden en binnen een wettelijk kader) wel mag.

Cybergamer @PalingDrone • 9 maart 2026 23:34

Ik denk van wel. Als je in aanraking komt met een misdrijf, dan mag je daar toch wel een (passende) oplossing voor vinden? Ik denk dat hij goed gehandeld heeft.

Daarbij, wat willen die criminelen doen dan? Hem aangeven? XD

Als ik die mogelijkheden had zou ik hetzelfde doen.

@3_s Ligt aan de situatie, soms moet je meteen in actie komen en dan is de politie de laatste in de rij van de oplossing.

[Reactie gewijzigd door Cybergamer op 10 maart 2026 00:12]

@Cybergamer • 10 maart 2026 00:05

Ja,, zolang de ’passende oplossing’ het aangeven bij de politie is.

vlieger200 @3_s • 10 maart 2026 10:13

Je mag ook een winkeldief staande houden op straat. Waarom zou dit digitaal niet mogen? Lijkt me nog wel een interesante casus voor in de rechtbank.

Honytawk @vlieger200 • 10 maart 2026 10:33

Staande houden tot de politie er is.
Niet zelf arresteren.

MrMancunian @Honytawk • 10 maart 2026 14:51

En dat heet een burgerarrest. Dat de arrestatie niet dezelfde juridische zwaarte heeft als een arrestatie door een bevoegd ambtenaar is niet zo relevant in deze.

TJDaMan @Honytawk • 11 maart 2026 11:42

Ik zie Inti dat ook niet doen, dat arresteren. Hij geeft de bevindingen door aan de betrokken banken, en zij zijn de enigen die de politie kunnen aansturen (ik weet niet of de gedupeerden dat kunnen).

En dat Inti tijdens zijn actie ook "het breekijzer afpakt van de dief", ook daar zie ik geen graten in.

maevian @PalingDrone • 10 maart 2026 08:59

https://www.vrt.be/vrtnws/nl/2023/02/14/ethische-hackers-mogen-meer-door-nieuwe-wet/

In België is hier gewoon een wettelijk kader rond. Maar gaat inderdaad enkel over Belgische bedrijven, dit zou dus inderdaad niet wettelijk zijn.
De vraag is, wie gaat hier een aanklacht doen.

[Reactie gewijzigd door maevian op 10 maart 2026 09:19]

filip136 @Vinny_93 • 10 maart 2026 07:53

Maken we het zo niet erg gemakkelijk voor criminelen. als zij al rechten krijgen tijdens hun oplichtingspraktijken.

Vinny_93 @filip136 • 10 maart 2026 08:01

Nee, je bent onschuldig tot het tegendeel is bewezen. Dus iedereen heeft dezelfde rechten om niet onrechtmatig onderzocht te worden.

DrWaltman @Vinny_93 • 10 maart 2026 21:06

Alleen werden in dit geval de criminelen niet onderzocht maar de criminele activiteit. Daar kwamen de ip adressen tevoorschijn.

Eigenlijk heeft de hacker hier de aanvaller proberen te ontwapenen en erna de politie ingeschakeld. Lijkt me een prima procedure.

filip136 @Vinny_93 • 11 maart 2026 07:36

inderdaad maar als feiten overduidelijk zijn en je bijna op heterdaad bent betrapt....dan nog wachten tot na maanden onderzoek en er jaren later een uitspraak volgt....dan zijn er ondertussen al heel wat mensen de dupe geworden.

Kopri @Roko • 9 maart 2026 15:39

Kan je verder toelichten waarom het schuurt?

Roko @Kopri • 9 maart 2026 15:44

Stel, ik noem mezelf “ethisch lockpicker” en ik ga het slot van je voordeur proberen te openen. Schuurt dat niet?

Houtenklaas @Roko • 9 maart 2026 16:01

Waar het op misgaat is het algemeen/gerechtvaardigd belang. Jij hebt geen belang om een willekeurige deur open te maken en bent dan ook strafbaar als je dat wel doet. Een journalist, ethisch hacker heeft dat belang potentieel wel. Maar wel een grijs gebied waar de rechter desnoods uitspraak over zal doen.

Het "aantonen" en melden is vaak het doel en niets meer doen/downloaden dan strict noodzakelijk om dat doel te dienen. In die zin is dit wellicht net te ver gegaan. Indien nodig zal een rechter daar wel iets van vinden, maar ik vermoed dat de soep met dit soort dingen niet te heet gegeten wordt.

[Reactie gewijzigd door Houtenklaas op 9 maart 2026 16:04]

Phishing
Cybercrime
Fraude
E-commerce

@Houtenklaas • 9 maart 2026 16:47

Deze handelingen gingen duidelijk niet om slechts het aantonen van misstanden. Er is bewust gekozen ook aanpassingen in het systeem te doen, en dus verder te gaan dan aantonen dat het panel actief was en welke slachtoffers er lijken te zijn.

bwerg @kodak • 9 maart 2026 17:28

Aan de andere kant is hier weer een belang bij het stoppen van lopende fraude. Als je een nep-agent bij iemand een babbeltruc ziet uithalen kun je ook tussenbeiden komen. Nou is dat op zich sowieso al niet illegaal, en de actie uit dit nieuwsbericht wel, dus dat maakt het wat complexer, maar er is wel een gerechtvaardigd belang te noemen.

Phishing
Cybercrime
Fraude
E-commerce

@bwerg • 9 maart 2026 19:22

Het heet woord recht zit niet voor niets in die omschrijving. De rechtsstaat bestaat niet om het wettelijke grenzen selectief toepassen. Anders kan iedereen wel een excuus gebruiken om wetten te negeren. De bevoegdheid ligt meestal al bij opsporingsdiensten. Het kunnen noemen van vermeend belang is dus niet voldoende. Het moet blijken en vooraf duidelijk genoeg zijn. Meestal zo duidelijk dat er werkelijk noodzaak blijkt. Die grens ligt hoog. Bijvoorbeeld bij een zwaar ongeluk op de snelweg over de weg gaan lopen om medische hulp te verlenen, niet bij eenvoudige oplichting. Laat staan als je eerst nog slechts een vermoeden hebt en prima de opsporingdiensten kan bellen in plaats van zelf in te breken in de hoop bewijs te vinden. Om je voorbeeld aan te halen, als je vermoed dat personen slachtoffers gaan maken hoor je ook niet in hun smartphone, auto of huis in te breken omdat je hoopt daar bewijs te vinden. Dat is de taak van opsporingsdiensten.

Websites en community's

@Houtenklaas • 9 maart 2026 17:30

Maar is dit rechtvaardigd belang of is dit wraak wat toevallig ook gezien kan worden als rechtvaardig? Want

De ethisch hacker kwam in actie toen hij zelf een phishingmail van de bende kreeg.

kan dus ook gezien worden als een wraakactie. Had hij dit ook gedaan als zijn account er niet bij zat? Daarnaast heeft hij er geen toestemming voor gehad van de politie. Het kan zelfs zijn dat die officiële politie zaken heeft verstoort. De politie moet het binnen de wet doen maar andere hebben vrij spel? Dat klinkt in mijn oren eigenlijk niet goed. Kan de politie beter oproepen iedere etische hackers alle verkeerde hackers te laten zoeken en daarna de informatie geven. En wie weet heeft hij misschien de hacker wel weggejaagd omdat die weet dat zijn locatie gevonden is.

Daarnaast waar ligt de grens? Stel dat een crimineel mij probeert te beroven mag ik me eigen verdedigen maar ik mag hem niet zomaar doden of al is het dus rechtvaardig. En een grote kans dat we tijdens een gevecht gewond raken wat rechtvaardig is. Maar als hij dus krijgt wat hij wil en weg gaat mag ik hem niet volgen en hem de volgende dag dezelfde verwondingen geven die we hadden gekregen als we dus gevochten hadden ondanks dat het een crimineel is.

En ja digitaal aanvallen is natuurlijk anders als fysiek. Maar zijn acties voelen dus meer als de criminelen volgen en daarna verwonden. Ergens voelt het natuurlijk goed dat de crimineel aangepakt wordt maar ook ergens dus zeker wel verkeerd.

En wanneer is het hacken goed? Als ik jouw 1,000,000 euro zou lenen en je betaalt het niet terug mag ik dan jouw hacken en het geld terug halen (potentieel inclusief rente + extra voor de tijd dat het me gekost heeft om steeds te vragen en daarna hacken)? Het is gerechtvaardigd want het is mijn geld. Zo ja mag ik dit ook bij 100 euro? Daarnaast mag ik jouw leven daarmee ook verwoesten? Mag ik jouw dan 500,000 euro schuld geven (met alle gevolgen van dien zoals uit huis gezet worden, potentieel bijvoorbeeld (kinder) alimentatie niet kunnen betalen, geen geld voor eten en drinken) om mijn miljoen terug te krijgen? Mag ik alleen het geld pakken wat je hebt maar geen schulden maken? Moet ik minimaal 20,000 euro over laten om problemen te voorkomen / zorgen dat je eten kan kopen en je huis kan betalen?

karie @Daoka • 9 maart 2026 18:25

waarom doet de cyber crime politie dit niet ?

Websites en community's

@karie • 9 maart 2026 19:18

Tja dat zal je aan hun moeten vragen. Ik heb geen inzage in hun werk. Misschien te weinig kennis en/of mankracht om alle zaken te behandelen ? Misschien juridische beperkingen? Misschien waren ze bezig met de data analyseren / het in de gaten houden om te zien om het ging om een grotere groep of meer bewijs te krijgen?

[Reactie gewijzigd door Daoka op 10 maart 2026 15:04]

filip136 @Daoka • 10 maart 2026 07:58

Blijven analyseren terwijl mensen opgelicht worden lijkt mij toch ook niet echt ok.
zeker niet als je weet dat sommigen door schaamte en dergelijke dan depressie en of/ zelfmoordneigingen krijgen.

Websites en community's

@filip136 • 10 maart 2026 15:44

Aan de andere kant stel dat hij voor een organisatie zou werken of samen met een andere persoon. Is het dan beter om een aantal mensen extra laten oplichten zodat je misschien de gehele organisatie (of ieder geval meer dan 1 man) / ook de andere persoon kan oppakken? Ze kunnen ook drugsdealers van de straat halen maar die plekken worden snel weer ingevuld door andere. Het is dus (helaas) soms beter om een paar mensen niet beschermen / redden om uiteindelijk meer mensen te beschermen.

Zoals https://tweakers.net/nieu...-van-criminelen-over.html begon in 2023 en is sinds kort opgepakt. Daarbij denk ik ook wel had dit zo lang moeten duren. Maar ik kan niet achter de scherm kijken waarom het zo lang heeft gedaan. Maar uiteindelijk is wel hopelijk iedereen opgepakt in plaats van een paar mensen en dat de rest door gaat of zelfs de opgepakte mensen vervangt.

En zo als ik al zei de ethische hacker heeft wat pogingen gestopt maar wat zijn de gevolgen? De hacker maakt misschien nu nieuwe domein aan, (de data op de) servers verplaatsen, de gat dichten (en dus mogelijk moeilijker maken voor de politie) en hij gaat verder en krijgt weer nieuwe slachtoffers. Mogelijk kan de informatie die de ethische hacker aan de politie gegeven is niet gebruikt worden (als bewijs) omdat het niet op een goede manier verkregen is. Dus ja natuurlijk is het goed dat die 7 pogingen gestopt heeft maar uiteindelijk komen er misschien 50 bij voordat de politie hem kan oppakken.

[Reactie gewijzigd door Daoka op 11 maart 2026 05:02]

filip136 @Daoka • 11 maart 2026 07:39

jammer genoeg en dit zal waarschijnlijk als gesloten worden beschouwd waardoor verder onderzoek uitblijft. Ik probeer altijd wel zo een situatie te vergelijken met een klein lekje in een dam. Als je het lek te groot laat worden krijg je het nooit meer dicht. of pas na immense schade.

PalingDrone @Daoka • 9 maart 2026 22:35

Proportionaliteit is het woord dat je zoekt.

Websites en community's

@PalingDrone • 10 maart 2026 02:22

Ja het laatste gedeelte gaat over proportionaliteit. Maar als ik alleen zo vragen "wanneer is het proportioneel om te hacken?" denk je dan aan dat die geld genoeg heeft en dus alleen geld terug pakken of denk je dan ook aan de mogelijke bijkomende schade? Waarschijnlijk het eerste. Misschien dat ik niet op de meest boeiende manier kan schrijven maar de voorbeelden geven voor mij gevoel wel een beter beeld.

Uiteindelijk heeft de acties van de ethische hacker ook gevolgen. Misschien heeft de hacker nog informatie / backups en worden oude slachtoffers nu gechanteerd. Of misschien heeft die ervan geleerd en wordt het moeilijker voor de politie om hem te vinden en gaat hij (vanuit een andere locatie) verder.

Reucht @Daoka • 12 maart 2026 09:55

Je haalt allerlei extreme situaties aan om te argumenteren, maar in the end beschermt dat de crimineel meer dan de vele slachtoffers. En je hebt gelijk, strikt gezien is dit strafbaar, maar je hebt de letter van de wet en de geest van de wet.

Politie en gerecht komen middelen (en dikwijls kennis) tekort om zulke zaken op te lossen, dus een man zoals Inti kan een mooie aanvulling zijn op ons rechtssysteem. Net zoals in de USA waar je gedeputized kan worden, zou dat hier ook moeten kunnen.

We deputizen mensen die wat tussen politie en bevolking zweven, mensen waar we vertrouwen in hebben. Bij een misstap worden die mensen strenger berecht als de doorsnee bevolking (net zoals politie, in theorie...)

Websites en community's

@Reucht • 12 maart 2026 11:13

Persoonlijk vind ik de voorbeelden niet extreem. Hier niet maar in Amerika isvern pistool bij je hebben heel gewoon en daar mee dood je (onbedoeld) gemakkelijk genoeg iemand. Daarnaast voorkomt dit ook toekomstige potentiële slachtoffers. Want de kans is groot genoeg dat die slachtoffer niet de laatste zal zijn als de dief er mee weg komt.

Daarnaast zie ik mensen gewoon wraak nemen als het kan. En terwijl de verwondingen hetzelfde zijn in mijn voorbeeld (en dan heb ik het dus niet over levenslang invalide). Dus ik zie wel een situatie dat je dus iemand volgt en als je de voordeel hebt toeslaan. Maar hier gaat het vooral om dat dit geen zelfverdediging meer is. Er was voor de ethische hacker geen verdediging nodig. Hij was geen geld kwijt en trapte in in de phishingmail. Dat er goede dingen uitgekomen zijn veranderd daar niets aan. Ik zie dit dus als "wraak"actie met mogelijke goede bedoelingen.

Bij een miljoen lenen die je nooit terug krijgt ben ik ieder geval nog echt iets kwijt. En ondanks dat ik dus niets direct voor de maatschappij iets doe zou ik dan wel in het recht staan om mij geld terug te krijgen. Zoals ik net al zei de ethische hacker had geeneens schade. Ook wist hij niet dat er andere waren die er misschien in zouden trappen. De kans was natuurlijk groot maar niet zeker, vooral niet aangezien je niet kan plannen wanneer mensen dus in de phishingmail trappen. Misschien was dit ook wel zijn redding dat veel mensen het als goed zien. Misschien als er op dat moment niemand was dat we er anders tegen aan zouden kijken.

Maar ik verwacht ook niet dat hij dacht aan de gevolgen. Zoals de informatie die hij gaf aan de politie zou misschien geeneens (als bewijs) gebruikt kunnen worden omdat het op een illegale manier verkregen is. De hacker zou misschien nu deze lek dichten, (de data op) de servers verplaatsen, een nieuwe domein en maakt het misschien nubdus moeilijker voor de politie om hem te vinden of tegenhouden. Dus hoeveel slachtoffers extra krijgen we nu?

En ja het zou mooi zijn als hij de politie kon helpen. Maar voor nu zat hij fout. Nu bedoelde ik zeker niet dat hij moet boeten voor zijn daden maar wel dat we zulke dingen ook niet goed moeten keuren. Want anders zou ik die miljoen ook terug mogen hacken. Of iemand hacken die bijvoorbeeld zit te pesten op Facebook en chanteren (als je natuurlijk iets vind) of dreigen de computer te slopen als die door gaat. Uiteindelijk zijn er dus genoeg (goede) redenen om te hacken maar ik denk niet dat we het bij alle redenen het dus moeten goedkeuren.

habbekrats @Roko • 9 maart 2026 15:53

Als ik weet dat jij een oplichter bent zou ik ook even flink aan de deur rammelen.

Gwaihir @habbekrats • 9 maart 2026 17:44

Dat noemen we 'n heksenjacht.

Je denkt dat te weten. Echt weet je dat pas nadat de persoon in kwestie veroordeeld is. En dan deelt de staat een passende straf uit.

Laten we hier a.u.b. niet gaan oproepen tot eigen rechter spelen.

[Voor de reageerders hieronder: kijk waar ik op reageer.]

[Reactie gewijzigd door Gwaihir op 10 maart 2026 21:10]

Deralte @Gwaihir • 9 maart 2026 20:49

Wat in geval van dit phishing netwerk niet opgaat. Hier weet je 100% zeker dat de infrastructuur gebruikt wordt om mensen op te lichten…

Wat mij betreft is er nog een groot verschil. Inti werkt verstorend en voorkomt dat er feiten gepleegd kunnen worden, das wel wat anders dan rechter spelen.

DrWaltman @Gwaihir • 10 maart 2026 21:09

Onzin. Dit is 100% oplichting door phishing. Heksenjacht is een jacht op personen op basis van dubieuze informatie, dat is hier niet van toepassing.

@Roko • 9 maart 2026 17:54

Inti kreeg een email met uitnodiging. Dus dan moet je wel eerst degene die aan je voordeur morrelt uitnodigen om zijn pinpas in de fake pinautomaat naast je voordeur te stoppen of zoiets. Dan schuurt het minder als je de voordeur gaat proberen.

iRobbery @Roko • 9 maart 2026 16:32

Die mensen noemen we ook wel slotenmakers. Schuurt niet echt nee.

segil @Roko • 9 maart 2026 17:05

als ik weet dat jij daar zware criminele activiteiten uitvoert, dan m.i. niet nee.

@Kopri • 9 maart 2026 15:41

Ik ben niet bekend met de Belgische wetgeving, maar in Nederland zou dit overduidelijk strafbaar zijn.

maartenvdk @Floort • 9 maart 2026 15:56

Strafbaar, zeker, maar het OM vervolgt alleen als dat maatschappelijk opportuun is. Zonder aangifte is dat sowieso beperkt (kan wel, maar alleen als het OM uit eigen initiatief het maatschappelijk belang wil verdedigen). Het lijkt mij wel humor als deze ethische hacker een aangifte aan zijn broek krijgt, dan zal de cybercrimineel toch wel wat moeten uitleggen...

@maartenvdk • 9 maart 2026 16:00

Ik zeg niet dat het niet uitlegbaar is of dat er waarschijnlijk vervolgd zou worden. Ik reageerde alleen op de vraag waarom het schuurt.

Kopri @Floort • 9 maart 2026 16:14

Helder, was een oprechte vraag. Ik ben niet zo bekend met dit gebied in IT, ik zie heel veel mensen het hier persoonlijk nemen dat ik deze vraag gesteld heb terwijl dit niet met die intentie getypt is.

telenut @Floort • 10 maart 2026 08:56

In BE ook. Maar dan moet iemand zich burgerlijke partij stellen... Het slachtoffer, de phishers hier, zullen dat niet snel doen :-)

bussie66 @Kopri • 9 maart 2026 15:58

Wat maakt iemand een etisch hacker?

Ik kan mezelf dat ook wel noemen maar dan ben ik dat denk ik nog niet.

Wie / welke instantie bepaalt dat?

Beschermt beroep allicht?

chantalcoolsma @bussie66 • 9 maart 2026 16:35

Zie de omschrijving op wikipedia:

Ethisch hacken is een activiteit van een persoon die zich, uit idealistische motieven, zonder toestemming toegang verschaft tot beveiligingssystemen en netwerken. Ethisch hackers willen zo fouten opsporen, om ze vervolgens te melden aan de betreffende, 'gehackte' bedrijven of instanties, als bijdrage in de strijd tegen cybercriminaliteit.

drdelta @bussie66 • 9 maart 2026 16:50

Het (ethisch) handelen van iemand, maakt hem/haar een ethisch hacker.

Verder is er inderdaad geen onderscheid, en het is dan ook een onofficiële term zonder enige vorm van validatie van de claim.

Cid Highwind @Kopri • 10 maart 2026 07:53

Het blijft computervredebreuk. Aan de andere kant is het natuurlijk hetzelfde als de autosleutels afpakken van iemand die bezopen achter het stuur is gekropen, die klaag je ook niet aan voor diefstal.

Voor eigen rechter spelen versus je maatschappelijke verantwoordelijkheid nemen en een variant op het burgerarrest toepassen. Dat het met de ene wet schuurt betekent niet dat het onder de streep fout was. Wetten zijn nu eenmaal context afhankelijk.

pierredorado @Roko • 9 maart 2026 15:37

Ik snap dat je hard gaat, maar je mag wel even van die linkerbaan af hoor. Ik heb er persoonlijk geen problemen mee en zie graag een uitzondering in de wet voor ethische "hackers" die dit soort campagnes van criminelen stopzetten en zo voorkomen dat bijv. je oma haar spaarrekening leeggeplunderd wordt.

Kenhas @pierredorado • 9 maart 2026 15:56

Een ethisch hacker is en blijft nog altijd een hacker. Hoewel ik ook wel een nobel doel vind, heb ik toch ergens het gevoel dat hij contact moest opnemen met cybercrime afdeling en het overlaten aan hen.

Als je een seriemoordenaar doodt, is het ook nog altijd onwettelijk. Beetje overdreven om een punt te maken

blouweKip @Kenhas • 9 maart 2026 16:33

Hacken is an sich dan ook nieh strafbaar, dus die vergelijking klopt niet helemaal.

ik denk dat er zeker wel een grijs gebied is maar in dit geval is het eerder vergelijkbaar met zelfverdediging lijkt me en zal vooral de proportionaliteit beoordeeld moeten worden.

PiHole @blouweKip • 9 maart 2026 16:44

Hacken is toch computervredebreuk?

Maar een dief uit een overduidelijk gestolen auto trekken, als burger, mag dat?

bwerg @PiHole • 9 maart 2026 17:32

Dat is een definitiekwestie, in de media wordt het inderdaad als synoniem voor computervredebreuk gebruikt maar in hacker communities betekent het heel wat anders, namelijk alle vormen van dingen doen met techniek die daar niet voor bedoeld zijn.

Denk aan Super Mario draaien op een elektrische tandenborstel, maar meer op het grensvlak ook het breken van de beveiliging van een systeem dat je zelf in bezit hebt - dat is doorgaans niet illegaal.

blouweKip @PiHole • 9 maart 2026 20:30

Tegenwoordig is dat misschien de leken definitie geworden maar op t.net mag je toch wel verwachten ze de oorspronkelijke definitie nog kennen 😉

En ja, je mag in veel situaties proportioneel ingrijpen op het moment dat er een misdrijf gepleegd wordt: het mag weer geen excuus worden om zelf een misdrijf te plegen.

PiHole @blouweKip • 10 maart 2026 17:02

In principe kun je zeggen dat hij dus uit een noodtoestand handelde.
artikel 40 van het Wetboek van Strafrecht.

Maar alleen als er geen andere mogelijkheid was.
Kon het niet anders? mogelijk wel
Was de reactie niet te zwaar? denk het niet, alleen de cyberbende had last.
Was het echt meteen nodig? Ja, hij zag live mensen actief in het dashboard(maar kon hij alleen weten na inbreuk)

1Will @Kenhas • 9 maart 2026 16:38

En als die seriemoordenaar op het punt staat om iemand te doden en jij hebt een pistool in je hand waarmee je dat kunt voorkomen? Om in de overdreven vergelijking te blijven

Rabb @Kenhas • 9 maart 2026 18:17

Deze hackers zijn op heterdaad betrapt. Als iemand op het punt staat een ander te beroven hoop ik dat jij ook ingrijpt.

dakka @Roko • 9 maart 2026 15:59

Mag het: Nee.
Zul je ervoor vervolgd worden: Zeer onwaarschijnlijk.

SkyStreaker @Roko • 9 maart 2026 16:49

"Mijn gejatte fiets gevonden en weer terug gejat"-kwestie? Mwoah, niet helemaal 1 op 1 vergelijkbaar natuurlijk maar ik zal het tuig in kwestie niet snel aangifte zien doen.

@Roko • 9 maart 2026 20:46

Je mag jezelf noemen zoals je wilt, zolang het maar geen beschermde titel is. Ethisch hacker is geen beschermde titel, dus voel je vrij ethisch hacker te noemen, @Roko.

Er is eigenlijk maar één certificaat van waarde in deze sector, en dat is OSCP. Maar iemand als Inti heeft dat niet nodig, die heeft zo'n staat van dienst.

Is hij een ethisch hacker? Volgens de letter van de wet is dit niet ethisch want het is strafbaar. Gaat hij vervolgd worden? Nee, want die phishers die gaan hem niet aanklagen. Die zijn zelf zo strafbaar als wat bezig. Als ze ooit gepakt worden, zouden ze hem wel een proces aan de broek kunnen naaien, puur uit rancune. Als het criminelen zijn uit een bananenrepubliek (zoals Rusland, China, Iran, Noord-Korea, ....) dan zullen ze dat niet zo snel doen.

In deze wereld moet je soms over de grenzen van de wet gaan om hetgeen te doen dat moreel juist is. Vigilante, noemen we dat. Ofwel: typisch grayhat. Of dat fout of goed is, mag een ieder voor zich bepalen. Wellicht hangt het van de context af

rob12424 @Roko • 9 maart 2026 17:46

Officieel niet.

Ook omdat het soms staatshackers zijn.

Maar misschien is het ook handig om digitale kaper brieven uit te gaan geven

Probleem zit hem er ook in: stel hackers gebruiken een server van een ziekenhuis en doen vanuit daar phishing op een bank. Jij hacked terug en denkt weet je wat ik ga niet moeilijk doen ik zie een uitknop of ik blokeer alle inlogpogingen.

Of Dimitri zit in het Russisch leger en werkt op de logistieke afdeling en is trots op de grote leider, dus in zijn vrije tijd heeft hij een command en control server in beheer. Waar zijn meerdere niets van af weet. Hij logt op het werk een keer in. En jij bent zelf net voor de overheid aan de gang geweest (toevallig voor defensie) komt thuis en hacked net Dimitri zijn mooie servertje in je vrije tijd. En denkt wacht eens even......

M3m3nt0m0r1 @Roko • 9 maart 2026 18:09

Dan kan je ook de aivd/mivd schuldig vinden aan computervredebreuk. Die willen ook nog wel eens een computer hier en daar hacken onder de noemer "staatsveiligheid".

JazzKatua @Roko • 9 maart 2026 20:00

mss moet jij dan op jouw manier op een 'ethische' manier een einde maken aan phishing!

Inti De Ceukelaire DOET tenminste IETS aan het probleem en onderschat JIJ het probleem.
Toelichting: https://www.vrt.be/vrtnws/nl/2026/02/27/phishing-slachtoffers-oplichting-geld/

brecht_vb @Roko • 9 maart 2026 22:22

op papier schuurt het een beetje, maar dan zou de gedupeerde aangifte moeten doen.

Net zoals de lokale drugsdealer die gaat geen aangifte toen van 20 kg gestolen cocaine. Of mis ik iets?

fazantendrek @Roko • 10 maart 2026 06:25

Ik heb het volgende gevonden...

Ethisch hacken is het testen van veiligheidssystemen van een (overheids)bedrijf. De hackers breken in om fouten en lekken te ontdekken die een bedrijf zelf over het hoofd ziet. Sinds februari 2023 is ethisch hacken, zonder dat je toestemming moet vragen aan het bedrijf, legaal in ons land (België). De kwetsbaarheden die een ethische hacker vindt, moet hij of zij wel binnen de 72 uur aan het bedrijf melden.

Bron: vrt nieuws

possenier @Roko • 10 maart 2026 11:34

Van mij mag hij. Ik heb daar niets over te zeggen, maar als we met genoeg zeggen dat hij mag kan dat mogelijk veranderen.

Aldy @Roko • 10 maart 2026 14:12

Ik ben het met je eens dat het schuurt, maar wie gaat hem aanklagen?

Orangelights23 9 maart 2026 15:25

Interessant! Zou het stoppen van dit soort digitale acties vallen onder een burgerarrest? Ik ben zelf werkzaam in de cybersecurity wereld en ik weet van mijn collega's en uit mijn netwerk dat het vooral gaat om het aantonen van dit soort zaken ipv het actief stoppen, aangezien overheden in het verleden niet altijd heel netjes zijn geweest omtrent de behandeling van dit soort ethisch hackers.

Triblade_8472 @Orangelights23 • 9 maart 2026 15:45

Ik vraag mij dat dus ook af.

Je mag volgens de wet je eigen fiets, die gestolen is, niet terugstelen. Dat moet te allen tijde via de politie en mèt bewijs dat het echt je eigen fiets betreft. (succes daarmee)

Als ik dit mag doortrekken naar de cyber wereld, mag je een potentieel crimineel wel terughacken zonder bevoegdheid? Er is geen politie tussengekomen en geen rechtszaak met bewijs. Wie weet hack je een proxy en sloop je legale zaken en roep je problemen op jezelf af.

Scriptkid @Triblade_8472 • 9 maart 2026 15:52

Nee je mag nooit inbreken op een andermans systeem,

Ook al is het username en wachtwoord simple te raden, JIJ bent dan moetwillig aan het inbreken.

Daarnaast wordt het nog lastiger omdat je niet weet waar je uit komt, meschien is het wel een achterduer in een bank systeem, en dan ben je helemaal de sjaak want dan ben je aan het inbreken bij een bank.

Ongeacht hoe goed de intensie ook is je dient dit te melden bij de officiele instanties. En als bonus kan het ook nog een zijn dat deel van het bewijs niet meer geldig is omdat er mee geknoeid is door jouw dus jij mag brommen en de hackers gaan vrij uit ivm geknoei met bewijs.

jjjeck @Scriptkid • 9 maart 2026 16:15

Is er in het digitale domein nog verschil tussen inbreken en insluipen? Bij de laatste heb je in het “analoge” domein een openstaande deur of een sleutel. Bij de eerste maak je zaken stuk (bv raampje intikken etc).

Phishing
Cybercrime
Fraude
E-commerce

@Orangelights23 • 9 maart 2026 15:41

Een burgerarrest gaat om fysiek staande houden. Daar is hier geen enkele sprake van. Het feit dat iemand op een geautomatiseerd werk verdachte handelingen ziet wijzigt daar niets aan.

Daarbij mag iemand de wet niet overtreden om dit te bereiken. In Belgie gelden zelfs zulke strenge eisen dat je andermans systemen niet zomaar mag testen zonder toestemming vooraf of instemming van de overheid. Ongeacht van wie het systeem is.

[Reactie gewijzigd door kodak op 9 maart 2026 15:51]

dengregg @kodak • 10 maart 2026 12:41

maar in België is er ook een uitzondering waarbij je de wet mag overtreden om groter onheil te voorkomen. Ik kan me wel inbeelden dat dit van toepassing is indien je puur indringt om een phishing campagne te stoppen

Phishing
Cybercrime
Fraude
E-commerce

@dengregg • 10 maart 2026 14:37

Die uitzonderingen zijn zeer beperkt. Ze gaan bijvoorbeeld om situaties van noodweer of overmacht. Maar er is niet zomaar sprake van nood of noodzaak of overmacht als je eerst zelf de wet gaat overtreden in de hoop illegale handelingen van andere te ontdekken. En ook niet als je negeert dat de bevoegdheid bij opsporingsdiensten ligt en je die maar niet te betrekt omdat het je zelf beter uit komt.

Aldy @kodak • 10 maart 2026 16:40

Weet je, je hebt gelijk, maar als jij bij mij computervredebreuk pleegt, dan klaag ik je aan. Maar wie gaat De Ceukelaire aanklagen? Hooguit als er een opsporingsdienst al op het spoor van de criminelen was, dan zou dit hun werk hebben belemmerd of als de criminelen gepakt worden, dan zou de verdediging dit misschien kunnen (mis)bruiken. Anders komt De Ceukelaire er gewoon mee weg. Het is niet juist, maar menig onderbuikgevoel zegt dat dit terecht is.

Phishing
Cybercrime
Fraude
E-commerce

@Aldy • 10 maart 2026 19:47

Binnen een gezonde rechtsstaat is er geen willekeur op vervolging dus ook niet bij personen die zich voor doen als ethisch hacker, of onder een deel van de bevolking populair zijn, maar vervolgens de wet niet blijken te respecteren. Dus het minste wat het bevoegde gezag hoort te doen is de persoon verhoren en bij twijfel vervolging instellen om de rechter te laten beslissen. Anders is het een vorm van gedogen dat mensen voor eigen wetgever, politie, jury en rechter gaan spelen zonder zich te verantwoorden.

Aldy @kodak • 10 maart 2026 20:46

Natuurlijk, maar het is net als bij een fysieke inbraak, als er geen aangifte wordt gedaan, dan wordt er ook niet vervolgd. En dat heeft niets met willekeur te maken.

Marvex @Orangelights23 • 9 maart 2026 16:09

Je zou het in dit geval wellicht kunnen zien als vergelding.
Deze keer is hij namelijk zelf eerst "aangevallen" met een phishing mail en besloot daarop terug te slaan.
Het is een beetje eigen rechter spelen, maar dit valt dan wel onder "genoegdoening voor het slachtoffer".

starfight 9 maart 2026 15:23

Dit zijn geen logo's van banken uit andere landen, deze zijn allemaal actief in België

Yoshi @starfight • 9 maart 2026 15:28

klopt, maar die uitspraak is uit context (allez ja.. uit context getrokken, de afbeelding heeft niet meteen te maken met die uitspraak, maar staat wat ongelukkig ofz) getrokken, die komt eigenlijk hieruit:

A quick Google search confirmed that the same platform had been used for other European banks as well.

[Reactie gewijzigd door Yoshi op 9 maart 2026 15:30]

starfight @Yoshi • 9 maart 2026 15:59

Ahh fair! dan klopt het inderdaad wel, maar was de subtext verwarrend

Pietervs @starfight • 9 maart 2026 15:29

ING is van oorsprong Nederlands, BNP is Frans.

Maar inderdaad, ik denk dat ze zich alleen op Belgische slachtoffers gericht hebben.

PdeBie 9 maart 2026 15:29

Van de blog:
Responsible disclosure timeline

Jan 25th > Called Argenta phishing desk, was asked to write an e-mail
Jan 25th > Wrote an e-mail with the details & plan for blogpost
Jan 26th > Informed SafeOnWeb
Feb 25th < First e-mail acknowledgement of disclosure received from Argenta
Mar 9th > Blogpost published

Een maand later pas reactie van de bank!!!! Dit soort taferelen horen dezelfde dag/week nog bevestigd te worden.

h8bal @PdeBie • 9 maart 2026 15:47

Van Argenta verbaast me dat dan weer weinig. Die bank is technologisch helemaal niet mee.

9 maart 2026 15:25

Ik heb eerder ook iets dergelijks gedaan. Uit de headers van de e-mail kon ik een IP adres van een VM bij DigitalOcean achterhalen. Op poort 80 bleek gewoon een dashboard te draaien waar ik met admin/password kon inloggen.

In de header zat het IPv4 adres van de VM verwerkt in de "Message-ID" header.

Toegang tot het phishing dashboard en kon de campagne gewoon stop zetten... Aangifte gedaan bij de politie en die hebben het vervolgens verder opgepakt.

Het kan soms zo ontzettend simpel zijn!

Scriptkid @Snow_King • 9 maart 2026 15:48

en dat wat je nu beschrijft is ook strafbaar voor jouw,

Jij hebt immers moet willig ingebroken in iemands anders zijn systeem en dat is niet zo slim, anders mag jij dadelijk gaan zitten in de gevangennis ipv de phisers.

@Scriptkid • 9 maart 2026 16:48

Nou, daar ben ik niet zo bang voor. Ik heb zelfs aangifte gedaan en de politie vond het top dat ik het bewijs aanleverde.

En wie gaat mij aanklagen, de phisher die dan zijn identiteit prijs moet geven?

SkyStreaker @Scriptkid • 9 maart 2026 16:50

Potentieel strafbaar bij aangifte.

Loft @SkyStreaker • 9 maart 2026 17:43

Potentieel strafbaar is iets anders dan ook daadwerkelijk gepakt worden, vervolgd worden en schuldig bevonden worden...

Als je fout parkeert, of als je te hard rijdt ben je ook strafbaar. Maar dat betekent niet dat je dan ook daadwerkelijk aangehouden/gepakt wordt, en vervolgd/bekeurd wordt.

In het geval van @Snow_King denk ik en hoop ik, dat de politie een gezonde afweging maakt als ze hem/haar al uberhaupt willen spreken

@Loft • 9 maart 2026 18:12

In mijn geval was de politie maar al te blij dat ik met de informatie kwam aanzetten en ze hun onderzoek konden starten, geen enkel moment noemde men ook maar dat ik potentieel iets strafbaars gedaan had.

Nogmaals: Wie gaat mij aanklagen voor het feit dat ik op zijn/haar systeem "illegaal" toegang heb verkregen? Juist, niemand.

@Snow_King • 9 maart 2026 20:51

Dit gaat over strafrecht. De staat gaat je aanklagen. De slachtoffers hoeven daar niets voor te doen, jij hebt het bewijs tegen jezelf al geleverd.

mr_fragle @Croga • 10 maart 2026 13:11

Vervolging is geen verplichting maar een discretionaire bevoegdheid. Niet ieder strafbaar feit wordt vervolgd (en die verplichting is er ook niet voor het OM).

Zwatelaar @Scriptkid • 9 maart 2026 18:35

Misschien niet hoe je het bedoelt maar je komt heel erg over alsof je opkomt voor de criminelen.

Scriptkid @Zwatelaar • 9 maart 2026 21:49

Problemen hier zijn idd dat een crimineel :

A jouw aan kan klagen ,

maar nog erger

B kan eissen dat bewijs gedropped door doordat er mee gerommeld is , er is immers bewijs dat iemand toegang heeft gehad tot hun systeem en ongewenst wijzigingen heeft gedaan, dus wat nog meer meschien heb jij de phising wel gestart.

mr_fragle @Scriptkid • 10 maart 2026 13:14

De crimineel kan hier helemaal niet aanklagen. Aanklagen (in strafrechtelijke zin) is voorbehouden aan het OM. Eventueel kan de crimineel aangifte doen. Het OM gaat dan een vervolgingsbeslissing nemen.

Theoretisch kan de crimineel de ethische hacker aansprakelijk stellen voor eventueel geleden schade op basis van een onrechtmatige daad. Dat zal vrij kansloos zijn.

Zwatelaar @Scriptkid • 10 maart 2026 13:24

Ik krijg een beetje een Dunning-Kruger gevoel bij jouw reacties.

Niet zozeer dat wat je zegt technisch wel of niet klopt maar meer dat je niet doorhebt dat er veeeeeeeeeel meer bij komt kijken bij bewijsvoeringsproces dan alleen maar dat je gepakt wordt met een illegale site.

Mijn reactie is op jouw oorspronkelijke bericht: en dat wat je nu beschrijft is ook strafbaar voor jouw,

Jij hebt immers moet willig ingebroken in iemands anders zijn systeem en dat is niet zo slim, anders mag jij dadelijk gaan zitten in de gevangennis ipv de phisers.

Doordat je begint met het er heel stellig op te wijzen dat wat hij doet ook strafbaar is, lijkt het heel erg dat je vooral bezig bent met soort van blaming/shaming van zijn daad en voorbij gaat aan de slechte van de oorspronkelijke crimineel.

Nogmaals, ik denk/hoop dat dat niet je intentie is. Ik denk/hoop dat je oprecht hem probeert te waarschuwen voor de risico’s van zijn daad (en niet alleen maar de smart-ass probeert te zijn).

(Je enorme spel- en taalfouten maken je reacties ook niet bepaald leesbaar, maar dat is in deze minder relevant).

Scriptkid @Zwatelaar • 10 maart 2026 13:50

We proberen hem idd heel erg te waarschuwen dat dit heel glad ijs is voor bijde partijen,

Zowel hemzelf, als voor de case die naar voren gebracht wordt tegen de criminelen,

Het heft in eigen hand nemen is altijd een slechte actie, je dient gewoon te melden bij de betrokken partij (Eigenaar if compromised), hosters (if hosted in 3rd party DC), en politie voor onderzoek,

Maar zelf ingrijpen is meestal alleen toegestaan bij levens bedrijgende situaties of met toestemming van de Politie en rijks overheids diensten.

[Reactie gewijzigd door Scriptkid op 10 maart 2026 13:51]

Zwatelaar @Scriptkid • 10 maart 2026 16:14

I detect a very simplistic view. Sometimes it helps to simlify things to theorize and debate concepts. But never forget irl things are comlicated and almost never black or white. Chances are it’s most likely a shade of gray.

So, dat gezegd hebbende, ik zie niet zo het probleem in de situatie zoals geschetst. Ja er is een risico en ik zie ook het morele en juridische dilemma waar de grens te trekken.

Zoals ik het zie: ik zou hetzelfde gehandeld hebben en nog steeds mijzelf in de spiegel kunnen kijken (morele deel) en ook zonder gene mijn daden uit willen leggen bij een rechter (juridisch deel). Ook een rechter kijkt naar intentie namelijk.

Iemand staat op het punt beroofd te worden en jij stelt dat koste wat kost je de politie moet inschakelen en verder niet mee moet bemoeien. Als ik zoiets tegenkom waarbij een persoon (directe) hulp nodig heeft zegt mijn hart en logica dat ik moet helpen (binnen redelijkheid en zonder excessief geweld enz, etc, bla, bla). Dus het is grijs. Ja, ingrijpen en ja politie verwittigen. En dat is zoals het in een gezonde samenleving zou moeten zijn. Niet weglopen want het is de taak van een ander.

Maar al het theoretische gewouwel hier terzijde, uiteindelijk weet je het pas als je echt in zo een situatie terecht komt. En dan kom je er echt achter dat vooraf en theoretisch uitgebreid discussieren over dit soort zaken niet veel verandert. Dus wees een beetje voorzichtig met het oordelen over de acties van anderen.

Scriptkid @Zwatelaar • 10 maart 2026 22:26

alleen schets je nu een situatie die wel degelijk bedrijgend is ,

Maar de cybercrime waar het hier overgaat en de acties die men doet kunnen rustig een paar uur of paar dagen wachten zonder dat er leed optreed.

In jouw situatie ligt het er echt aan waar het om gaat, als er een overvaller met een mes staat te zwaaien is het zelfs advies om je er niet mee te bemoeien en zo goed mogelijk signalement op te nemen en hulpdiensten inschakelen en afwachten tot de aanvaller vlugt en dan slachtoffer helpen.

Zwatelaar @Scriptkid • 12 maart 2026 11:23

En wat als in die paar uur of dagen de dader nog een paar slachtoffers van hun geld heeft beroofd en misschien al gevlucht is? Jij blijft in je fantasie hangen dat als de politie eenmaal in actie komt dat het allemaal wel goed komt.

Het is misschien niet levensbedreigend maar nog steeds zou ik ingrijpen.

Maar dat terzijde:

Waarom kaap je het hele verhaal en probeert koste wat kost je gelijk te bevestigen? Niemand mag argumenten toevoegen, behalve jij.

Ja maar als dit dan dat en anders zus en zo.

Je bent er zelf niet bij geweest. Een persoon vertelt in een paar zinnen een verhaal en jij oordeelt over hem. Je weet niet eens of het verhaal volledig is.

Wil je per se horen dat je gelijk hebt?

Of heb je kennis genomen van een juridisch weetje en denk je nu iedereen juridisch advies te kunnen geven? (Ongevraagd nota bene). En blijf je hangen in het Dunnig-Kruger effect.

Scriptkid @Zwatelaar • 12 maart 2026 12:18

volgensmij ben jij de gene die er een heel ander verhaal van maakt met overvallen en dergelijke, enik reageer gewoon op wat jij schetst,

Enige wat ik aangeef is dat het heel onverstandig is en zelfs wettelijk strafrechtelijk vervolgd kan worden of juist het process in de weg kan zitten van de case zelf.

Ik ga juist niet in op details omdat ik die niet weet, die details worden door jullie allemaal verzonnen / toegevoegd en daar geef ik juist alleen maar feedback op terug dat je dan ook naar de andere kanten moet kijken van wat je nu doet.

Zwatelaar @Scriptkid • 12 maart 2026 12:34

Ik zie niet waar ik iets erbij heb verzonnen. Bij een phishingsite die bezig is anderen van hun geld te beroven moet je niet wachten. Elk uur of dag kan er een volgende beroofd worden. (misschien is de term beroofd wat losjes gebruikt en daardoor verwarrend voor jou).

Ik heb nergens een verhaal verzonnen met een mes zwaaien, dat haal jij er bij. Lees de thread anders nog een keer rustig door.

Wat ik aangeef is dat je nogal snel oordeelt en blijft hameren op dat degene die iets doet om te helpen zelf ook fout bezig is en vooral dat je daarbij heel zwart-wit bent.

Is Superman een held of crimineel? Ook hij slaat iemand op zijn bek, net als de badguy. Of had hij "zich er niet mee te bemoeien en zo goed mogelijk signalement op te nemen en hulpdiensten inschakelen en afwachten tot de aanvaller vlugt en dan slachtoffer helpen de politie moeten bellen"?

Nogmaals, ik zou hetzelfde doen en mijzelf moreel- en juridisch kunnen verantwoorden.

Scriptkid @Zwatelaar • 12 maart 2026 13:06

Iemand staat op het punt beroofd te worden en jij stelt dat koste wat kost je de politie moet inschakelen en verder niet mee moet bemoeien. Als ik zoiets tegenkom waarbij een persoon (directe) hulp nodig heeft zegt mijn hart en logica dat ik moet helpen (binnen redelijkheid en zonder excessief geweld enz, etc, bla, bla). Dus het is grijs. Ja, ingrijpen en ja politie verwittigen. En dat is zoals het in een gezonde samenleving zou moeten zijn. Niet weglopen want het is de taak van een ander.

Zwatelaar @Scriptkid • 12 maart 2026 13:21

Hier verzin ik niets erbij, ik zal mijn denkwijze uitleggen:

Ik kom een phishingsite tegen (ik zoek het niet op, het begint met een poging mij te phishen), die is in mijn ogen per definitie bedoeld om geld te roven van anderen. Als ik dus zie dat iemand op het punt staat om beroofd te worden, vind ik dat ik moet helpen om dat te voorkomen. Als ik afwacht kan het te laat zijn. Dus ik grijp in en daarnaast geef ik het aan bij de politie.

Nergens verzin ik een situatie die anders is dan de persoon waarop jij reageert.

Later kom jij met een overval met een mes enz. Niet ik.

Jij veroordeelt dit want technisch gezien kan dit ook gezien worden als inbreken. Ik vind het juist moreel verwerpelijk om niets te doen en de boel zijn beloop te laten gaan.

Daarnaast stel je dat de oorspronkelijke bad-guys vrijuit kunnen gaan. Je verliest uit het oog dat de politie/justitie altijd ondersteunend bewijs moet hebben om de bad-guys te kunnen veroordelen. Ook in het geval dat ik alleen aangifte doe.

Je oordeelt heel stellig en blijft jezelf verdedigen terwijl het niet aan jou is om te oordelen. Je bent er niet bij, je bent geen partij, je bent geen politieagent, je bent geen rechter. Just an ordinary guy behind his keyboard. (Just like me by the way).

Scriptkid @Zwatelaar • 12 maart 2026 14:24

jij verzint een ander scenario , ik extend alleen op je eigen scenario,

Een overval irl is echt wat anders dan een phish mailtje.

Zwatelaar @Scriptkid • 12 maart 2026 19:13

En weer blijf je doordrammen dat ik iets bij verzin en je hebt niet door dat je zelf er dingen bij verzint.

Waar en wanneer heb ik een overval erbij gehaald dan?

Maar ja, het zal wel aan mij liggen. Helpt dat jou om het los te laten?

Scriptkid @Zwatelaar • 12 maart 2026 19:56

Iemand staat op het punt beroofd te worden en jij stelt dat koste wat kost je de politie moet inschakelen en verder niet mee moet bemoeien

Zwatelaar @Scriptkid • 13 maart 2026 12:45

Interessant, ik schrijf dat iemand van zijn geld beroofd wordt (exact hetzelfde wat het oorspronkelijke scenario is, hij komt dat tegen, stopt het en meldt het aan de politie) en jij leest overval met zwaaien met een mes.

Nogmaals, zal wel aan mij liggen dat jouw brein dingen leest die ik niet schrijf.

I’ll take the full blame if that helps you to get on with your life.

cat_byte 9 maart 2026 15:27

Mooie actie. En wat een kneuzen inderdaad. Alles in een toegankelijk .txt-bestand in plaats van een deftige database met de juiste configuratie. Al vermoed ik dat het hierbij meer gaat om: zo weinig mogelijk moeite doen om slachtoffers te lokken. Als er maar 1 raak is die je leeg kunt plukken, is dat al een mooi resultaat voor de boeven.

De hele blog is geweldig lesmateriaal overigens. Met plezier gelezen, chapeau.

Shadow_J 9 maart 2026 15:29

Voor mij staat de misdaad hier gelijk met bank overval. Eens benieuwd wat voor straffen hierbij uitgesproken gaan worden.

Ook wel typisch dat de politie dit soort zaken niet kan oplossen, maar ook het gebruik van externen zo te zien niet voldoende is. Enkel als iemand zoals deze hacker er zich eens achter zet komt er vooruitgang in deze zaken. Dit gaat natuurlijk hand in hand met het kunnen en willen van de politie.

Kroesss @Shadow_J • 9 maart 2026 15:42

Dit gaat natuurlijk hand in hand met het kunnen en willen van de politie.

En wellicht ook mogen. Ik ken de wet in België niet uiteraard, maar wat je vaak ziet is dat de politie zich moet houden aan regels/wetten die eenlingen zoals deze man niet deren. Het is echt niet altijd niet kunnen en niet willen van de politie.

Shadow_J @Kroesss • 9 maart 2026 15:51

Op dat vlak lijkt het mij toch heel duidelijk dat deze mensen hun handel valt onder internetfraude: https://www.politie.be/5998/nl/nieuws/internetfraude

En dit is natuurlijk strafbaar in België. Maw ik zie het vooral aan gebrenk van kennis, mankracht & zeker en vast budgetten.

Mss even niet ter zake, maar als je ziet dat het ook op de weg niet meer gaat om veiligheid, maar om budgetten. Dan weten we waar de prioriteiten wel liggen: https://www.vrt.be/vrtnws/nl/2026/03/06/trajectcontroles-geen-verdienmodel/

Vinny_93 @Shadow_J • 9 maart 2026 16:20

Los van of het strafbaar is (natuurlijk is het fraude) heeft de politie zich ook gewoon aan regels van onze (BE en/of NL) rechtsstaat te houden. MDMA maken in je kelder is ook illegaal, maar dat wil niet zeggen dat een politieagent je achterdeur mag openbreken om eens in je kelder te gaan gluren wat je aan het doen bent. Daar is een gerechterlijk bevel voor nodig.

maartenvdk 9 maart 2026 18:17

Mag dit in NL en hoe hoog zou de straf zijn?

Ik ben een beetje een rabit hole in gedoken, was toch wel benieuwd waar hier juridisch nu exact de grens ligt in NL.

[Art. 138ab Sr](https://explore.law/app/l...-strafrecht/artikel-138ab) verbiedt computervredebreuk zonder uitzondering voor goede intenties of criminele systeemeigenaren. Actief ingrijpen (gegevens wijzigen, campagnes saboteren) tilt het naar lid 2 (max. 4 jaar) en mogelijk [art. 350a Sr](https://wetten.overheid.n...ek_TitelXXVII_Artikel350a).

Het OM-gedoogbeleid CVD 2020 (https://www.om.nl/onderwe...sclosure---ethisch-hacken) helpt je hier niet: dat is voor hackers die een lek vinden en netjes melden aan de getroffen organisatie. Drie toetsen: maatschappelijk belang, proportionaliteit, subsidiariteit. Hack-back valt daar structureel buiten.

Jurisprudentie laat zien dat de lat hoog ligt, zelfs bij sympathieke gevallen:

Rb. Oost-Brabant 2013 (Krol) (https://www.security.nl/p...gens+computervredebreuk): lek in medische dossiers aangetoond, toch veroordeeld wegens proportionaliteitsschending. Boete €750. Ik had zelf niet verwacht Henk Krol tegen te komen in research naar ethische hackers :S

Rb. Den Haag 2014 (Groene Hart Ziekenhuis)(https://computerworld.nl/...re-plaatsen-van-rechter): gedeeltelijke veroordeling omdat een grote hoeveelheid patiëntgegevens was gedownload. Taakstraf 120 uur.

Strafmaat als het toch zou komen tot vervolging

Op basis van die jurisprudentie en de OM-richtlijnen voor cybercrime zou je bij een eerste overtreder met aantoonbaar maatschappelijk motief en geen persoonlijk gewin denken aan een taakstraf van 80-120 uur, eventueel voorwaardelijk. Een onvoorwaardelijke gevangenisstraf ligt niet voor de hand. De rechter in de Groene Hart-zaak maakte al expliciet duidelijk dat ethisch hacken met duidelijk maatschappelijk belang zwaar meeweegt als strafverminderende factor, ook bij een formele veroordeling.

Gaat het OM hier überhaupt toe over?

Waarschijnlijk niet

Ten eerste is er geen aangever. De cyberbende kan moeilijk aangifte doen zonder zichzelf te incrimineren. Zonder aangifte heeft het OM weinig aanleiding om ambtshalve te vervolgen, zeker niet in een zaak met evident positieve maatschappelijke uitkomst.

Ten tweede is de politieke en maatschappelijke context ongunstig voor vervolging. Een zaak waarbij de verdachte aantoonbaar phishingslachtoffers heeft beschermd zou het OM publicitair flink in de problemen brengen. De opportuniteitsbeginsel (art. 167 Sv) geeft het OM expliciet de ruimte om van vervolging af te zien als het algemeen belang dat vereist, en dit is precies zo'n geval.

Ten derde speelt de nationaliteit mee. De hacker is Belg en heeft in België gehandeld. Rechtsmacht onder Nederlands recht vereist een aanknopingspunt op Nederlands grondgebied (art. 2-8 Sr), bijvoorbeeld dat de aangevallen systemen of slachtoffers in Nederland zaten. Dat is mogelijk maar niet zeker, en voegt een extra drempel toe aan vervolging.

Conclusie

Technisch strafbaar, praktisch vrijwel onvervolgbaar. België heeft dit in 2023 netjes wettelijk geregeld met een [safe harbour](https://cybersecurity-bit...reiging-of-opportuniteit/). Nederland hinkt achterop en laat dit soort gevallen afhangen van OM-discretie en juridische geluk.

[Reactie gewijzigd door maartenvdk op 9 maart 2026 18:26]

HoppyF 9 maart 2026 20:25

Goede actie van Inti.
Zoals gezegd is hij zelf slachtoffer geworden van phishing dus staat hij in zijn recht maatregelen te treffen en de vermeende daders bij de politie aan te geven.
In feite kun je zeggen dat hij de daders op heterdaad betrapt heeft en daarna aan de politie heeft overhandigd. Een burger arrest.
Dat is wettelijk ook toegestaan.
Wat NIET mag is bv een dief in je huis betrappen en hem met een honkbalknuppel flink bewerken.
Dan is het geweld niet meer proportioneel. Je mag gepast geweld gebruiken om hem aan te houden.
Digitaal is het niet veel anders.
Bij twijfel mag een rechter de zaak toetsen.

Dark Angel 58 9 maart 2026 16:47

Waarom was de politie niet vooraf gewaarschuwd... "wanneer ik binnen ben, geef ik ip adres en of locatie door" dan mag politie een inval uitvoeren waardoor de criminelen bijna niet kunnen ontsnappen. Na hun arrestatie mogen boze ouders hun wannabe criminele kinderen op de politie bureau uitfoeteren

blinchik @Dark Angel 58 • 9 maart 2026 17:14

Dat antwoord ken ik. Dan zegt de politie, hier hebben we geen tijd / zin in.

Ooit opgelicht door een bende in Nederland, uiteindelijk heb ik die teruggetraced en ben ik op het punt gekomen waarbij bewezen was dat dezelfde persoon op de tijdstippen die ik aanleverde altijd van ergens operationeel was. Contact met de beheerder en die zei, als de politie het opvraagt geef ik de identiteit.

Contact opgenomen met de politie en toen zeiden die zelfs, daar gaan we ons niet mee bezig houden

Dark Angel 58 @blinchik • 9 maart 2026 17:32

"zijn jullie soms corrupt? Dat jullie door de criminelen betaald worden? Dan laat ik interne zaken weten... " en maak je rechtsomkeer op weg naar interne zaken afdeling... en je kunt erop rekenen dat ze meteen "stop" zeggen :P
Het is gewoon simpel, want ze hebben geen zin in interne zaken gedoe, waardoor sommige agenten voor onderzoek geschorst kunnen worden en ontvangen ze misschien ook geen salaris.

Je moet gewoon slim spelen...

daarom gaan ze jou wel helpen. Of anders kunnen ze ook volgende dag een paginagrote letters lezen dat de agenten een burger laat zitten...

sappige voer voor een journalist

Om te kunnen reageren moet je ingelogd zijn