Takedown is een podcast van het Team High Tech Crime van de Nederlandse politie. Het THTC houdt zich bezig met complexe, (inter)nationale cybercrimezaken en nieuwe vormen van hightech criminaliteit. De doelstelling van dit team? Het bestrijden van cybercrime, om Nederland minder aantrekkelijk voor cybercriminelen en dus veiliger te maken. In de serie Takedown spreken leden van het THTC met journalist Vivianne Bendermacher over hun specialistische werk. In deze serie van zes afleveringen staat iedere keer één zaak centraal. Deze vijfde aflevering draait om een bouwer van phishingpanels, verantwoordelijk voor een groot deel van alle phishingaanvallen in Nederland.
De zaak start in 2021 en komt aan het licht als Group-IB, een internationaal cybersecuritybedrijf dat voortdurend online verkeer monitort, verdachte activiteiten opmerkt. Daarbij wordt iemand ontdekt die via Telegram zelfgebouwde phishingpanels verkoopt en verhuurt. Deze tools zijn aan te merken als bouwstenen voor ernstige vormen van cybercrime, aangezien ze cybercriminelen in staat stellen vertrouwelijke informatie zoals inloggegevens en creditcardnummers van hun slachtoffers te verkrijgen.
Sofie, senior tactische opsporing bij THTC, neemt samen met haar collega’s de melding van Group-IB onder de loep. De met deze panels uitgevoerde phishingaanvallen zijn volgens haar zeer geraffineerd: slachtoffers worden naar nep-webpagina's geleid, waarbij de crimineel achter het phishingpanel volledige controle heeft. Met grote financiële verliezen voor slachtoffers als gevolg.
Wieteke, Officier van Justitie en expert in hightech onderzoeken, werkt nauw samen met THTC. Zij benadrukt in deze aflevering de ernst van de situatie en de omvang van de schade die phishingaanvallen in recente jaren hebben veroorzaakt. Opvallend is dat de panelbouwer zijn panels niet verkoopt, maar verhuurt, waarbij klanten betalen in Bitcoin en een maandelijkse huur of een percentage van de
criminele opbrengsten afdragen.
Beluister de podcast:
Hoe werkt een phishingpanel?
Een phishingpanel is een website of een verzameling mappen en bestanden op een computer die door cybercriminelen wordt gebruikt om phishingaanvallen uit te voeren. Via een beheerderspaneel op de website kunnen cybercriminelen verschillende typen phishingaanvallen kiezen, zoals met gebruik van valse e-mails of nepwebsites, om slachtoffers te lokken en hun gegevens te stelen.
Een phishingpanel werkt doorgaans als volgt. Cybercriminelen gebruiken phishingkits; ready-to-deploy-pakketten waarmee gebruikers met minimale inspanning valse websites maken om persoonlijke informatie te verzamelen. Deze kits zijn vaak ontworpen om snel fakewebsites van bekende merken met grote doelgroepen aan te maken. De nepwebsites worden gemaakt en gehost op een server, meestal via een vpn-verbinding, mobiele verbinding of openbaar wifi-netwerk.
De console van een phishingpanel is feitelijk een webinterface van waaruit de cybercriminelen de status van hun aanval kunnen controleren en specifieke acties uitvoeren die zijn gericht op de huidige bezoeker van de nepwebsite. De gekozen aanval wordt gevolgd en is ontworpen om slachtoffers te misleiden zodat ze hun gegevens delen, zoals bankgegevens, wachtwoorden of persoonlijke informatie. Wanneer een slachtoffer op een valse website klikt en zijn gegevens verstrekt, worden die gestolen om vervolgens te worden gebruikt om bankaccounts binnen te dringen of voor andere frauduleuze doeleinden.
Opensource en closedsource
Terug naar de zaak in kwestie. Sofie gebruikt opensource-intelligencetechnieken om de verdachte te traceren. Ze onderzoekt openbare bronnen en richt zich op Telegram, waar ze een schat aan informatie over de verdachte en zijn activiteiten vindt. Door het analyseren van zijn communicatie en gedrag op Telegram kan ze uiteindelijk belangrijke aanwijzingen verzamelen over zijn identiteit en locatie. Behalve van opensource intelligence maakt het team gebruik van closedsource intelligence, door te graven in politiedatabases en informatie van Group-IB. Dit leidt tot de vaststelling van de identiteit en de vermoedelijke verblijfplaats van de verdachte. Een cruciale stap is het plaatsen van een tap op het IP-adres van de verdachte, waardoor het team kan vaststellen dat er veel activiteit op zijn adres is. Het team zet daarnaast observatieteams in en gebruikt ook andere middelen, zoals verborgen camera's, om de aanwezigheid van de verdachte te bevestigen. Nadat er voldoende bewijs is verzameld, wordt zorgvuldig de aanhouding voorbereid.
Verschillende soorten phishing
De term phishing is inmiddels een containerbegrip geworden. Je kunt er grofweg onderstaand onderscheid bij maken:
E-mail phishing: het meest voorkomende type phishing, waarbij oplichters valse e-mails versturen die legitieme organisaties nabootsen om ontvangers te verleiden tot het klikken op kwaadaardige links of het verstrekken van gevoelige informatie.
Spear phishing: hierbij worden gerichte e-mails verstuurd naar specifieke personen of groepen, op maat gemaakt om zeer geloofwaardig te zijn en de slachtoffers te misleiden.
Whaling: een type phishing dat zich richt op waardevolle individuen, zoals hogere leidinggevenden, die toegang hebben tot bedrijfsgeld en/of gevoelige informatie.
Smishing en phishing: smishing is phishing via sms, terwijl phishing via telefoongesprekken verloopt. Beide zijn bedoeld om individuen te misleiden zodat ze persoonlijke informatie verstrekken of op kwaadaardige links klikken.
Clone phishing: het creëren van een replica van een legitieme e-mail of website om ontvangers te misleiden om gevoelige informatie te verstrekken.
Angler phishing: richt zich op individuen op socialmedia-platforms, waarbij nep-klantenservice-accounts worden gebruikt om gebruikers te misleiden zodat ze inloggegevens of persoonlijke informatie verstrekken.
Https phishing: dit houdt in dat slachtoffers een e-mail krijgen met een link naar een nepwebsite die Https gebruikt om legitiem te lijken, waardoor slachtoffers worden misleid om privé-informatie in te voeren.
Search engine phishing: ook bekend als seo-vergiftiging. Dit type phishing omvat het manipuleren van zoekresultaten om slachtoffers naar kwaadaardige websites te leiden.
De politie
We kennen de politie allemaal als het ‘blauw op straat’, maar ook online zet de dienst zich in voor veiligheid in de maatschappij. De specialisten van Team High Tech Crime (THTC) van de Landelijke Eenheid onderzoeken complexe, (inter)nationale cybercrimezaken en nieuwe vormen van hightech crime. Het doel? Nederland veiliger en minder aantrekkelijk voor cybercriminelen maken. Wil jij onderdeel uitmaken van dit team of een van de andere cybercrimeteams van de politie? Bekijk hier de mogelijkheden.
De ‘grote held’ gearresteerd: Telegram in rep en roer
In aanvulling op de opsporing is de politie in de volle breedte bezig met het voorkomen, verstoren en opsporen van cybercrime. Daarbij wordt zeker niet alleen gefocust op het opsporen van de kopstukken annex (hoofd)daders, maar ook op andere betrokkenen, zoals de gebruikers van platforms en first offenders. Zij zijn immers ook strafbaar.
Het team van Elise is bij het THTC gespecialiseerd in daderpreventie. Elise benadrukt het belang van het bereiken van (potentiële) daders op de plekken waar ze actief zijn, zoals Telegram. In deze betreffende casus is haar team op de dag van de aanhouding al heel vroeg in de ochtend actief. De leden volgen live de aanhouding van de verdachte, die actief is op zijn apparaten, wat betekent dat ze toegankelijk zijn voor onderzoek. Na de succesvolle aanhouding plaatst het team van Elise vanuit de politie een bericht op Telegram, direct gericht aan de klanten van de verdachte. Het bericht is opgesteld in 'hun taal' en kondigt aan dat hun 'grote held', beroemd om zijn onvindbaarheid, is gearresteerd en dat zijn diensten niet langer beschikbaar zijn. Dit veroorzaakt onmiddellijk reacties en verwarring binnen de Telegram-gemeenschap. Veel leden verlaten de groep of verwijderen hun accounts, wat aantoont dat de boodschap impact heeft gehad. Een nieuw account is zo aangemaakt, maar de status ben je kwijt. En met wie praat je eigenlijk echt online? Online gebruikers met veel status doen zich professioneel voor. Offline blijkt echter vaak het tegendeel; ze zijn gerelateerd aan jonge daders die helemaal niet zo professioneel zijn als ze doen lijken.
Broncode in beslaggenomen
Na de aanhouding volgt een intensief onderzoek. Op het huisadres van de verdachte worden meerdere apparaten, dure artikelen en zelfs een vuurwapen aangetroffen. Belangrijker nog is dat de politie op één van de apparaten de broncode van het phishingpanel vindt, wat direct bewijs levert van de betrokkenheid van de verdachte bij de cybercriminaliteit. Wat ook naar voren komt, is dat blijkt dat de verdachte het panel op aanvraag aanpast voor de fraudeurs die het panel gebruiken. Zo zitten standaard zes banken in het panel, en hij kan dit aantal op aanvraag uitbreiden zodat het mogelijk is om ook klanten van andere banken te phishen.
Door het in beslag nemen van deze code hoopt het THTC de verspreiding van het panel te stoppen en toekomstige afnemers te ontmoedigen. Dit blijkt succesvol: in de maanden na de aanhouding zien de banken een duidelijke daling in het aantal phishingpogingen. Dit komt echter zeker niet alleen door de aanhouding, en het gebeurt ook niet alleen in de maanden erna. Het is wel zo dat de populariteit van dit specifieke panel afneemt, aangezien er geen aanpassingen meer worden verricht in de code. De detectie - en het offline halen - van het panel is hierdoor een stuk eenvoudiger.
Zo beluister je de Takedown-podcast + geef je mening!
Je kunt Takedown beluisteren via deze artikelen die in samenwerking met de Nationale Politie en Team High Tech Crime op Tweakers worden gepubliceerd, maar ook op Spotify of welk podcastplatform je ook verkiest. Door je te abonneren op Takedown ontvang je een notificatie zodra er een nieuwe aflevering beschikbaar is.
Aflevering 1 vind je overigens hier terug, aflevering 2 hier, aflevering 3 hier en aflevering 4 hier.
Daarnaast zijn we benieuwd wat jij van deze podcast vindt. Als je dat nog niet hebt gedaan, vinden we het leuk als je hier een korte enquête invult. En wil je meer weten over werken bij het THTC? Hier vind je een overzicht van alle IT-vacatures bij de politie.
Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij de politie en Tweakers Partners. Tweakers Partners is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Bekijk hier het overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].
:strip_exif()/i/2006225226.jpeg?f=fpa)
/u/12436/p1_normal.png?f=community){kind=small}
:strip_exif()/u/609320/crop5b6ae539e2dcd_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/253641/crop5c9876a10e6ae_cropped.jpeg?f=community){kind=small}
/u/342375/crop5e13205150e40_cropped.png?f=community){kind=small}
:strip_exif()/u/8063/phizzie_05.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/464574/crop5ef5b118724ae_cropped.jpeg?f=community){kind=small}
/u/1568000/crop6111972429a47_cropped.png?f=community){kind=small}