S02E20
Het afgelopen weekend kwamen vier geheel nieuwe varianten van de ClickFix-aanvalstechniek aan het licht, waarmee deze methode zich ontpopt als een van de meest veelzijdige dreigingen van dit moment. Verder doken bijna anderhalf miljoen gestolen Belgische persoonsgegevens op in hackerfora en riepen EU- en NAVO-functionarissen tijdens de Munich Cyber Security Conference op tot een fundamenteel andere houding ten opzichte van cyberdreigingen. Dit journaal bestrijkt het nieuws van 14, 15 en 16 februari 2026.
ClickFix explodeert: vier varianten in drie dagen
Van de social engineering techniek ClickFix kwamen het afgelopen weekend vier geheel nieuwe varianten aan het licht. Wat is ClickFix? Het is een techniek waarbij slachtoffers worden misleid om zelf kwaadaardige commando's uit te voeren, vaak via valse foutmeldingen of CAPTCHA-pagina's. Waar we in het vorige journaal al meldden dat AI-platforms worden misbruikt voor malwareverspreiding, tonen de vier nieuw ontdekte varianten aan dat ClickFix nu op elk platform en besturingssysteem opduikt.
De eerste variant werd ontdekt door onderzoekers van LevelBlue en richt zich op Windows-gebruikers via valse Cloudflare CAPTCHA-pagina's op gecompromitteerde websites. Slachtoffers worden geinstrueerd om toetscombinaties (Windows Key + R, Ctrl + V, Enter) in te voeren waardoor zij onbewust een PowerShell-opdracht uitvoeren die de StealC information stealer installeert. De malware werkt volledig in het geheugen, zonder bestanden naar de schijf te schrijven, en richt zich op browsercredentials, cryptocurrency wallets, Outlook-gegevens en Steam-accounts. Bij de tweede variant, gemeld door Moonlock Lab, worden openbare Claude AI-artefacten en Google Ads misbruikt om macOS-gebruikers aan te vallen. Wie zoekt naar termen als "online DNS resolver" komt via gesponsorde zoekresultaten terecht op een nep-beveiligingshandleiding die gebruikers verleidt om Terminal-commando's uit te voeren. Meer dan 15.000 potentiele slachtoffers bezochten de pagina. De MacSync-malware die zo wordt geinstalleerd steelt keychain credentials, browserdata en cryptocurrency wallets.
De derde variant, beschreven door Microsoft, draait DNS om tot een staging-kanaal. Slachtoffers voeren via een ClickFix-lokmiddel een commando uit dat een DNS-lookup doet tegen een aanvallerserver. Het "Name:"-veld in de DNS-response bevat geen servernaam maar code die de Remote Access Trojan ModeloRAT installeert. Omdat DNS-verkeer normaal is in elk netwerk, blijft deze aanval grotendeels onder de radar. De vierde en meest ongebruikelijke variant, aan het licht gebracht door BleepingComputer, richt zich op cryptocurrency-gebruikers via Pastebin-comments. Aanvallers beloven snelle winst via een zogenaamde arbitrage-exploit op wisselplatform Swapzone.io en instrueren slachtoffers om JavaScript in hun browserbalk te plakken. Het script overschrijft het swap-mechanisme en vervangt het stortingsadres, waardoor Bitcoin onherroepelijk naar de aanvallers vloeit.
De golf van ClickFix-onthullingen past in een bredere trend van steeds creatievere social engineering. Uit een recent rapport van Unit 42 (Palo Alto Networks) blijkt dat dagelijks gemiddeld 11.000 kwaadaardige QR-codes worden gedetecteerd, waarbij de financiele sector het zwaarst getroffen is (29%). Zelfs de fysieke wereld wordt ingezet: er circuleren brieven op briefpapier van hardwarewallet-fabrikanten Trezor en Ledger, compleet met QR-codes die naar phishingsites leiden waar recovery phrases worden gestolen. Van valse CAPTCHA's tot fysieke post - aanvallers zoeken voortdurend nieuwe manieren om het vertrouwen van gebruikers uit te buiten.
Miljoenen gestolen gegevens komen op straat
In Belgie doken bijna anderhalf miljoen gestolen persoonsgegevens op in hackerfora en Telegram-kanalen. De data blijkt afkomstig van drie verschillende hacks van vorig jaar. De grootste bron is de aanval op Orange Belgium in juli 2025, waarbij een hacker toegang kreeg tot circa 850.000 klantenaccounts. Daarvan zijn nu 300.000 gegevens gepubliceerd, waaronder klanteninformatie, simkaartnummers, PUK-codes en adresgegevens. Verder staan 65.000 gegevens van Carrefour Mobile en andere virtuele operators online. De derde dataset is de meest gevoelige: van gerechtsdeurwaarder Etude Bordet uit Luik claimt een hackergroep 750.000 tot een miljoen gegevens te hebben, waaronder rijksregisternummers, IBAN-nummers en openstaande schulden.
In Nederland bracht Odido een opvallende verklaring uit: slachtoffers van het eerder deze week gemelde datalek van 6,2 miljoen accounts hebben niet automatisch recht op een vergoeding. Het bedrijf stelt dat klanten "nog geen schade hebben kunnen ondervinden" en waarschuwt zelfs om voorzichtig te zijn met "afwijkende adviezen". Ondertussen werd via bronnen bij de NOS duidelijk hoe de aanvallers destijds binnenkwamen: via phishing gevolgd door telefonische imitatie van de ICT-afdeling om MFA-goedkeuring van medewerkers te verkrijgen voor toegang tot de Salesforce-omgeving.
Uit Zuid-Korea kwam het bericht dat de privacywaakhond LVMH-merken Louis Vuitton, Christian Dior Couture en Tiffany gezamenlijk 25 miljoen dollar boete heeft opgelegd voor datalekken waarbij gegevens van 5,5 miljoen klanten werden blootgesteld. De merken hadden geen IP-restricties, geen bulk download-beperkingen en inspecteerden geen toegangslogs op hun cloud-based CRM-systemen. Bij Dior werd de ontdekking van de inbreuk daardoor meer dan drie maanden vertraagd. Ook in Nederland was er nieuws op het gebied van privacy-handhaving: uit een rapport van de Autoriteit Persoonsgegevens bleek dat de Belastingdienst honderden zelf ontwikkelde applicaties gebruikt waarvan 65 procent een exportfunctie heeft, maar waarvoor nauwelijks risicoanalyses zijn uitgevoerd en logging nagenoeg ontbreekt.
Europa's wake-up call voor cyberdefensie
De Munich Cyber Security Conference werd dit weekend gedomineerd door een dringende boodschap: Europa moet wakker worden. Henna Virkkunen, executive vice-president van de Europese Commissie, waarschuwde dat de EU het zich niet langer kan veroorloven "naief" te zijn over de capaciteit van tegenstanders om kritieke infrastructuur uit te schakelen. Cyberaanvallen zijn een centraal instrument geworden in moderne conflicten, vaak gecombineerd met fysieke sabotage en desinformatie. De Commissie stelde vorige maand voor om de Cybersecurity Act te herzien en het gebruik van hoogrisicoleveranciers in kritieke infrastructuur geleidelijk uit te faseren.
NAVO-plaatsvervangend secretaris-generaal Radmila Shekerinska was nog scherper. Rusland en China moeten "een hogere prijs betalen" voor cyberaanvallen, stelde zij. Ze verwees naar gecoordineerde aanvallen op de Poolse energie-infrastructuur in december en benadrukte dat militaire capaciteiten niet meer kunnen worden ontworpen zonder rekening te houden met cyberdreigingen. De recente NAVO-top in Den Haag besloot de defensie-uitgaven te verhogen naar 5 procent van het BBP, waarvan 1,5 procent bestemd voor veerkracht en cyberveiligheid.
De dreigingen zijn concreet. Google's Threat Intelligence Group onthulde hoe een vermoedelijke Russische actor met de CANFAIL-malware Oekraiense defensie- en energieorganisaties aanvalt, waarbij deze groep technische beperkingen steeds vaker overbrugt met behulp van grote taalmodellen. Taiwan waarschuwde in Munchen dat China een geheim trainingsplatform genaamd "Expedition Cloud" blijkt te hebben ontwikkeld waarmee teams aanvallen op buitenlandse elektriciteitsnetwerken en communicatiesystemen kunnen oefenen. Dichter bij huis deed staatssecretaris van Defensie Gijs Tuinman een opmerkelijke uitspraak: hij suggereerde dat het mogelijk is om de software van het F-35 gevechtsvliegtuig te "jailbreaken", om minder afhankelijk te zijn van Amerikaanse software-updates. Experts waarschuwen dat dit garanties kan doen vervallen en de NAVO-interoperabiliteit in gevaar brengt.
De belangrijkste punten
- ClickFix explodeert: Vier nieuwe varianten in drie dagen, van valse CAPTCHA's en Claude AI-artefacten tot DNS-hijacking en crypto-swaps
- Belgische datalekken: Bijna 1,5 miljoen gestolen gegevens doken op in hackerfora, van Orange Belgium, Carrefour Mobile en gerechtsdeurwaarder Etude Bordet
- Odido compensatie: Provider stelt dat slachtoffers van het datalek niet automatisch recht hebben op vergoeding
- LVMH beboet: Louis Vuitton, Dior en Tiffany krijgen 25 miljoen dollar boete voor datalekken bij 5,5 miljoen klanten
- NAVO verscherpt: Alliantie wil cyberaanvallen "duurder maken" voor Rusland en China, verhoogt defensie-uitgaven naar 5% BBP
- F-35 jailbreak: Nederlandse staatssecretaris Tuinman hint naar mogelijkheid om F-35 software los te koppelen van de VS
Lees ook
► S02E19: Odido hack treft miljoenen, AI als wapen en supply chain - Achtergrond bij de Odido-hack en AI-misbruik door staatsactoren
► S02E18: 6 zero-days gedicht, Fancy Bear valt aan en strijd om DigiD - Over de Microsoft Patch Tuesday zero-days en Solvinity/DigiD discussie
► S02E17: AP gehackt via Ivanti, meldkamers uit en Chinese spionage onthuld - Autoriteit Persoonsgegevens eerder in het nieuws rond kwetsbaarheden
► S02E16: Privacyboetes bij Nederlandse gemeenten - Vergelijkbare privacyproblematiek bij overheidsinstanties
Mis geen enkel Cyber Journaal - schrijf je in voor het journaal of de wekelijkse nieuwsbrief
Bron: Cybercrimeinfo, ondezoeksteam
