Een 22-jarige man uit Alabama heeft schuld bekend aan afpersing, cyberstalking en computermisdrijf nadat hij de social media accounts van honderden jonge vrouwen (waaronder minderjarigen) had gekaapt. Tussen april 2022 en mei 2025 deed Jamarcus Mosley zich voor als vrienden van de slachtoffers en gebruikte hij andere tactieken om zijn slachtoffers over te halen account recovery codes en wachtwoorden te overhandigen. Mosley gebruikte vervolgens de gestolen inloggegevens om de controle over hun Snapchat-, Instagram- en andere social media accounts over te nemen.

Nadat hij hun accounts had overgenomen, dreigde hij hun privé naaktfoto's en -video's openbaar te maken of hen uit hun accounts te sluiten, tenzij de slachtoffers aan zijn eisen voldeden. Deze eisen omvatten het overdragen van volledige toegang tot extra accounts, het sturen van seksueel expliciete content of het betalen van verschillende geldsommen.

Volgens U.S. Attorney Theodore S. Hertzberg is Mosley de gevaarlijke online vreemdeling waar elke ouder bang voor is. Door het vertrouwen van tieners en jongvolwassenen te misbruiken, hackte Mosley hun accounts om intieme en seksueel getinte afbeeldingen te stelen en hen gedurende een periode van drie jaar af te persen.

In een specifiek geval deed Mosley zich voor als een middelbare schoolvriend van een 20-jarige vrouw uit Georgia en overtuigde haar om haar Snapchat recovery code te delen. Vervolgens kaapte hij haar account, kreeg toegang tot haar privé afbeeldingen en stuurde haar een dreigend bericht, waarin hij zei dat hij 65 video's en een foto van haar had die op het punt stonden te worden gepost.

In een ander incident weigerde een 18-jarige vrouw uit Florida aan zijn eisen te voldoen om meer naaktfoto's te sturen. Mosley maakte zijn dreigementen waar en plaatste haar gestolen privé foto's online. Later gebruikte Mosley ook het gehackte account van een 17-jarig slachtoffer uit Illinois om contact op te nemen met de 13-jarige zus van de vrouw uit Florida, waarbij hij een Snapchat-kaartafbeelding stuurde om te impliceren dat hij wist waar ze woonde. Mosley zal op 27 mei worden veroordeeld door U.S. District Judge Michael L. Brown. Eerder deze maand bekende de 26-jarige Kyle Svara uit Illinois ook schuld aan het hacken van bijna 600 Snapchat-accounts van vrouwen. Hij gebruikte social engineering om privé naaktfoto's te stelen die hij later online verkocht of verhandelde.

Bron: U.S. Department of Justice

Een vrouw uit Florida is veroordeeld tot 22 maanden gevangenisstraf voor het jarenlang verhandelen van duizenden gestolen Microsoft Certificate of Authenticity (COA)-labels. De 52-jarige Heidi Richards, die een e-commercebedrijf genaamd Trinity Software Distribution runde, kreeg ook een boete van 50.000 dollar opgelegd.

COA labels zijn kleine stickers die software authenticeren en unieke productcodes bevatten om producten op fysieke media te activeren, zoals Microsofts Windows en Office. Volgens aanklagers hebben COA labels geen zelfstandige commerciële waarde en mogen ze niet los van de bijbehorende software en hardware worden verkocht. De codes op deze labels kunnen echter worden gebruikt om Microsoft-software te activeren zonder een legitieme licentie, wat leidt tot een illegale markt voor losse COA labels.

De enige geautoriseerde manier om een Windows OEM COA te distribueren, is bevestigd aan de computer waarop de software is geïnstalleerd, of met de complete, verzegelde OEM-verpakking, inclusief het COA label en de licentie. De labels mogen niet los worden verkocht van de software.

Tussen juli 2018 en januari 2023 kochten Richards en haar medeplichtigen tienduizenden originele Windows 10- en Microsoft Office COA labels van een bedrijf in Texas, voor miljoenen dollars tegen prijzen ver onder de detailhandelwaarde. In plaats van de labels te verkopen met de software, liet Richards werknemers de productcodes handmatig extraheren en in Excel-spreadsheets zetten. Vervolgens verkochten ze de Microsoft-licentiecodes in bulk aan klanten over de hele wereld, waarbij ze tussen 2018 en 2023 in totaal 5.148.181,50 dollar overmaakten aan de leverancier.

De zaak werd behandeld door Assistant U.S. Attorney Risha Asokan en trial attorney Jared Hosid van de Computer Crime and Intellectual Property Section (CCIPS). De afgelopen vijf jaar heeft CCIPS meer dan 180 cybercrime-veroordelingen verkregen en slachtoffers geholpen meer dan 350 miljoen dollar terug te krijgen.

Bron: U.S. Department of Justice | Bron 2: documentcloud.org

Een internationale politieactie, genaamd Project Compass, heeft het 764-netwerk (ook bekend als The Com) blootgelegd, een online netwerk dat zich richt op jongeren wereldwijd. De groep, die begon als een lokaal initiatief, is uitgegroeid tot een internationaal probleem waarbij de National Crime Agency van het Verenigd Koninkrijk, de FBI en de politie van 28 andere landen betrokken zijn.

Het netwerk, opgericht in 2020 door de 15-jarige Bradley Chance Cadenhead uit Texas, opereert via verschillende platforms, waaronder Minecraft en sociale media. Het is verdeeld in verschillende takken, elk met een specifiek doel. Cyber Com richt zich op hacking en het gijzelen van bedrijfsgegevens, terwijl Offline Com en Sextortion Com kinderen manipuleren en chanteren om zichzelf te filmen in situaties van zelfbeschadiging of geweld tegen dieren. Deze beelden worden vervolgens gebruikt om de slachtoffers gevangen te houden in een cyclus van misbruik.

Project Compass, onder leiding van het Europees Centrum voor Terrorismebestrijding, is sinds januari 2025 actief en bouwt aan een internationaal netwerk om expertise en advies over preventie te delen. Het project brengt specialisten op het gebied van terrorismebestrijding, georganiseerde misdaad en kinderbescherming samen om informatie uit te wisselen en hun onderzoeken te coördineren. Een belangrijk onderdeel van het werk zijn data sprints, waarbij functionarissen uit het Verenigd Koninkrijk, Canada, Australië en Nieuw-Zeeland samenwerken om de bewegingen van de criminelen op het internet te volgen.

Tot nu toe heeft Project Compass geleid tot de arrestatie van 30 verdachten en de identificatie van 179 andere personen die vermoedelijk betrokken zijn bij de misdaden. Vier slachtoffers zijn uit onmiddellijk gevaar gered en 62 anderen zijn geïdentificeerd voor ondersteuning.

Eerdere arrestaties hebben al aangetoond hoe gedecentraliseerd het netwerk is geworden. In plaats van als één georganiseerde groep te opereren, functioneert 764 meer als een losse verzameling van gemeenschappen en subgroepen die tactieken, ideologie en doelwitten delen. Deze structuur bemoeilijkt het volledig ontmantelen van het netwerk, waardoor internationale initiatieven zoals Project Compass noodzakelijk zijn.

Bron: Europol

Het phishing-as-a-service (PhaaS) platform Tycoon2FA, dat sinds augustus 2023 actief was, is door een gezamenlijke actie van Microsoft en Europol ontmanteld. Tycoon2FA stelde cybercriminelen in staat om op grote schaal phishingcampagnes uit te voeren, waarbij maandelijks tientallen miljoenen phishingberichten meer dan 500.000 organisaties wereldwijd bereikten. Het platform, ontwikkeld door de dreigingsactor Storm-1747, bood adversary-in-the-middle (AiTM) mogelijkheden, waardoor zelfs minder ervaren cybercriminelen multifactor authenticatie (MFA) konden omzeilen.

Tycoon2FA werd ingezet in diverse sectoren, waaronder het onderwijs, de gezondheidszorg, de financiële sector, non-profitorganisaties en de overheid. De populariteit van het platform onder cybercriminelen kwam mogelijk voort uit verstoringen van andere phishingdiensten zoals Caffeine en RaccoonO365.

Om detectie te voorkomen, maakte Tycoon2FA gebruik van technieken zoals anti-bot screening, browser fingerprinting, code obfuscation, zelf gehoste CAPTCHA's, custom JavaScript en dynamische decoy pagina's. Slachtoffers werden vaak gelokt via phishing e-mails met bijlagen zoals .svg, .pdf, .html of .docx bestanden, vaak met QR codes of JavaScript.

Het Tycoon2FA-beheerpaneel, dat via een webinterface toegankelijk was, integreerde alle functionaliteiten van het PhaaS platform. Het diende als een centraal dashboard voor het configureren, volgen en verfijnen van campagnes. Hoewel het geen ingebouwde mailer functionaliteiten bevatte, bood het paneel de benodigde componenten voor phishingcampagnes, waaronder templates, attachments, domein- en hostingconfiguratie, redirect logic en victim tracking. Phish kits werden verkocht via Telegram en Signal, vanaf $120 USD voor 10 dagen toegang tot het panel en $350 voor een maand.

campagne operators konden een breed scala aan parameters configureren, waaronder lure template selectie, branding customization, redirection routing, MFA interception behavior, CAPTCHA appearance, attachment generation en exfiltration configuration. Ze konden kiezen uit landingspagina's en sign-in thema's die diensten zoals Microsoft 365, Outlook, SharePoint, OneDrive en Google imiteerden. Gevangen sessie informatie, zoals accountattributen, browser- en locatie metadata en authenticatie artifacts, werd geëxfiltreerd via een Telegram bot.

De infrastructuur van Tycoon2FA is verschoven van statische domeinen naar een ecosysteem met diverse top-level domeinen (TLD's) en short-lived fully qualified domain names (FQDN's), waarvan de meeste op Cloudflare werden gehost.

Microsoft Defender biedt detectie en hunting guidance om gebruikers te beschermen tegen Tycoon2FA en soortgelijke AiTM phishing bedreigingen.

Bron: Microsoft

De FBI en Europese politie instanties hebben een wereldwijde actie uitgevoerd tegen het cybercrimeforum Leakbase, waar criminelen gestolen inloggegevens en exploits van softwarekwetsbaarheden kochten en verkochten. Het forum, dat sinds 2021 actief was, bood een platform voor de handel in gecompromitteerde inloggegevens, persoonlijke identificeerbare informatie en andere gevoelige data.

De operatie, genaamd "Operation Leak", omvatte 100 acties tegen 45 doelwitten in meer dan een dozijn landen. De hostinginfrastructuur in onder meer Nederland en Maleisië werd stilgelegd en de domeinen van het forum werden in beslag genomen en omgeleid naar servers onder controle van de FBI.

Volgens Brett Leatherman, assistent directeur van de cyberdivisie van de FBI, resulteerde de operatie in 13 arrestaties, 32 huiszoekingen en interviews met 33 verdachten. De volledige database van het forum werd in beslag genomen. Leatherman benadrukte dat het onderzoek al meerdere jaren liep en werd geleid door het veldkantoor van de FBI in Salt Lake City.

Leakbase werkte met een abonnementsmodel, waarbij gebruikers eenmalig een paar honderd dollar betaalden voor "premium" toegang. Het forum was uitgegroeid tot meer dan 142.000 geregistreerde leden, met meer dan 33.000 forumthreads en 215.000 berichten over gestolen data. Geen van de arrestaties vond plaats in de Verenigde Staten.

Het bedrijf Flare beschreef Leakbase eerder als een van de meer geavanceerde forums op het dark web, zowel wat betreft de hoeveelheid beschikbare gevoelige data als de volwassen aanpak van ontdekking en handel. Veel van de aangeboden data was verkregen via ongeautoriseerde toegang tot overheidssystemen en Amerikaanse bedrijven, vaak via SQL injectieaanvallen op ongepatchte webapplicaties.

De autoriteiten onderzoeken nog hoeveel omzet Leakbase heeft gegenereerd en hoeveel er van slachtoffers is gestolen als gevolg van de verschillende aangeboden diensten. Leatherman gaf aan dat de actie aansluit bij de aanstaande nationale cyberstrategie van het Witte Huis, die prioriteit geeft aan het verleggen van de risicobelasting in de cyberspace van Amerikanen naar tegenstanders.

Bron: FBI | Bron 2: flare.io | Bron 3: recordedfuture.com

De FBI heeft het cybercrime forum LeakBase overgenomen, een online platform dat door cybercriminelen werd gebruikt voor de aankoop en verkoop van hackingtools en gestolen data. Deze actie is onderdeel van een internationale operatie, gecoördineerd door Europol onder de naam "Operation Leak", waarbij wetshandhavingsinstanties uit 14 landen betrokken waren.

Op 3 en 4 maart hebben de FBI en andere wetshandhavers LeakBase offline gehaald door twee domeinen in beslag te nemen. Na het verzamelen van bewijsmateriaal werden waarschuwingsbanners geplaatst om de LeakBase-leden te informeren over de inbeslagname. Tevens werden huiszoekingen verricht, arrestaties verricht en interviews afgenomen in de Verenigde Staten, Australië, België, Polen, Portugal, Roemenië, Spanje en het Verenigd Koninkrijk.

Het domein van LeakBase (leakbase[.]la) toont nu een bericht dat de website in beslag is genomen door de FBI als onderdeel van een internationale wetshandhavingsoperatie. De database van het forum en alle inhoud, inclusief IP-logs en privéberichten, zullen worden gebruikt voor bewijsvoering in toekomstige onderzoeken. De nameservers van het domein zijn gewijzigd in ns1.fbi.seized.gov en ns2.fbi.seized.gov, de nameservers die de FBI gebruikt bij het in beslag nemen van domeinen.

Europol meldt dat er op 3 maart gecoördineerde acties zijn uitgevoerd in verschillende landen, waaronder arrestaties, huiszoekingen en 'knock-and-talk' interventies. Wereldwijd werden ongeveer 100 acties uitgevoerd, waaronder maatregelen tegen 37 van de meest actieve gebruikers van het platform. Op 4 maart gingen de autoriteiten over tot de technische verstoring, waarbij het domein van het forum in beslag werd genomen en vervangen door een splashpagina van de wetshandhaving. De operatie gaat nu een preventiefase in, gericht op het ontmoedigen van verdere criminele activiteiten en het vergroten van het bewustzijn van de gevolgen van betrokkenheid bij cybercriminaliteit.

LeakBase was sinds 2021 actief en begon als een project ondersteund door de ARES dreigingsgroep. Na de sluiting van het Breached hacker forum groeide het ledenbestand geleidelijk tot meer dan 142.000 leden. Het forum was gratis toegankelijk en bood toegang tot databases, een marktplaats voor de verkoop van leaks, exploits en andere cybercrime diensten, en een escrow betalingssysteem. Daarnaast bood het ruimte voor programmeren, hackingtips, social engineering, cryptografie en opsec-gidsen.

Deze actie volgt op de verstoring van RaidForums in 2022 en BreachForums in 2023, twee cybercrime marktplaatsen die LeakBase voorgingen, evenals de veroordeling van de oprichter van BreachForums in 2025.

Bron: FBI | Bron 2: justice.gov | Bron 3: europol.europa.eu

Maart 2026