Op deze pagina vind je actueel opsporingsnieuws over cybercriminaliteit, arrestaties, politieonderzoeken, rechtszaken en internationale acties tegen cybercriminelen. De nadruk ligt op Nederland, België en relevante internationale zaken.
Politieacties, arrestaties en rechtszaken rondom cybercriminelen. Nieuws over opsporing in Nederland en België.
Actueel opsporingsnieuws over cybercriminaliteit
5.0 Opsporing:
02 juni 2026 | Spanje arresteert 'doxer' na lekken gevoelige overheidsdata
De Spaanse Nationale Politie heeft een individu gearresteerd dat verantwoordelijk wordt gehouden voor het lekken van gevoelige persoonsgegevens van medewerkers van diverse cruciale staatsorganisaties, waaronder het Nationaal Cybersecurity Instituut (INCIBE). Volgens de autoriteiten heeft de massale verspreiding van deze data aanzienlijke nationale veiligheidsrisico's met zich meegebracht, gezien de posities van de blootgestelde personen.
De gelekte gegevens omvatten informatie van het Openbaar Ministerie, INCIBE, de Nationale Politie, de Guardia Civil en de Nationale Veiligheidsraad. Na identificatie en lokalisatie van de verdachte heeft de politie een huiszoeking verricht en computers en andere elektronische apparaten in beslag genomen voor forensisch onderzoek. Het onderzoek, geleid door de onderzoeksrechtbank Madrid nummer 22, startte nadat de autoriteiten de grootschalige verspreiding van de data constateerden, wat een direct gevaar vormde voor de veiligheid en integriteit van zowel de getroffen individuen als de betrokken instituties. De arrestatie van de dader en de huiszoeking vonden plaats op woensdag 27 mei.
Het persbericht van de politie vermeldt niet of de gearresteerde persoon ook direct verantwoordelijk was voor de initiële inbreuken op de systemen van de organisaties. INCIBE heeft in februari al aangegeven dat er geen sprake was van een directe compromittering van hun eigen systemen, maar van een gerichte verzameling en publicatie van data die belangrijke entiteiten en hun medewerkers trof. Dit proces, bekend als doxing, omvat het aggregeren en correleren van informatie uit diverse bronnen. Potentiële bronnen voor dergelijke data zijn onder meer oudere datalekken, credential dumps en open-source intelligence (OSINT) tools. Er werd gemeld dat sommige gelekte gegevens verouderde informatie bevatten en zelfs namen van medewerkers die jaren eerder INCIBE hadden verlaten.
De dreigingsgroep die verantwoordelijk werd geacht voor het lek, genaamd 'Police-ESP-Doxed', had de data eerder via een iteratie van BreachForum verspreid. Later, in maart, werden persoonlijke gegevens van honderden Spaanse rechters en aanklagers, inclusief volledige namen, DNI-nummers, persoonlijke mobiele telefoonnummers en professionele e-mailadressen, gepubliceerd op Doxbin. De Spaanse Nationale Politie onderzoekt momenteel de in beslag genomen apparaten op aanwijzingen voor de betrokkenheid van additionele deelnemers, wat mogelijk kan leiden tot verdere arrestaties in deze zaak.
Bron: Spaanse Nationale Politie | Bron 2: policia.es | Bron 3: incibe.es
04 juni 2026 | VS legt sancties op aan Iraanse crypto exchange Nobitex wegens banden met ransomware en IRGC
Het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën heeft sancties afgekondigd tegen Nobitex, de grootste cryptocurrency exchange van Iran. Nobitex wordt beschuldigd van het faciliteren van betalingen gerelateerd aan terroristische activiteiten en het omzeilen van economische sancties. De exchange zou ook transacties hebben verwerkt die gekoppeld zijn aan het Islamitische Revolutionaire Garde Korps (IRGC).
Volgens de Amerikaanse autoriteiten zijn er onder de transacties van Nobitex wallets gevonden die geassocieerd kunnen worden met ransomware dreigingsactoren die banden hebben met het IRGC. Het ministerie van Financiën stelt dat Nobitex in 2025 meer dan vijftig procent van alle Iraanse digitale activastromen heeft verwerkt en betalingen mogelijk maakte die verband hielden met terroristische activiteiten van Iran, pogingen tot sanctieontduiking en transacties gelinkt aan het IRGC, inclusief activiteiten van IRGC-gelieerde ransomware actoren.
Bovendien heeft Nobitex de Centrale Bank van Iran geholpen om honderden miljoenen dollars aan stablecoins te verkrijgen. Deze stablecoins werden gebruikt om de dalende waarde van de Iraanse rial te ondersteunen, terwijl insiders van het regime toegang kregen tot internationale digitale activa exchanges en sancties in verschillende jurisdicties konden ontduiken.
Als onderdeel van de actie heeft OFAC ook specifieke individuen aangewezen die als leidinggevenden en oprichters van Nobitex zijn geïdentificeerd. Het betreft voorzitter Amir Hossein Rad, CEO Seyed Ali Khoee, mede-oprichter Seyed Mohammad Ali Aghamir Mohammad Ali en blockchain lead Seyed Mohammad Aghamir Mohammad Ali. Deze maatregel maakt deel uit van de Amerikaanse overheidscampagne genaamd "Economic Fury", die ook gericht is op drie andere Iraanse cryptocurrency exchanges: Wallex, Bitpin en Ramzinex.
Aanvullende informatie van blockchain intelligentie firma Chainalysis toont aan dat het Iraanse cryptocurrency ecosysteem in 2025 bijna 7,8 miljard dollar ontving. Chainalysis schat dat adressen die geassocieerd zijn met het IRGC in het vierde kwartaal van 2025 goed waren voor meer dan vijftig procent van de waarde die door het Iraanse crypto ecosysteem werd ontvangen. Nobitex verwerkte meer dan de helft van de Iraanse crypto instromen, terwijl Wallex en Bitpin respectievelijk twaalf en tien procent voor hun rekening namen.
De sancties betekenen dat alle eigendommen of activa van de aangewezen entiteiten en individuen die onder Amerikaanse jurisdictie vallen, worden bevroren. Amerikaanse personen mogen geen zaken met hen doen. Tegelijkertijd creëren de sancties internationale druk, aangezien bondgenoten van de VS en bedrijven in het buitenland terughoudend zullen zijn om risico's te nemen en zaken te blijven doen met de aangewezen partijen. Eerder, in juni 2025, beweerde de pro-Israëlische hackergroep "Predatory Sparrow" Nobitex te hebben gehackt, waarbij digitale activa ter waarde van ongeveer 90 miljoen dollar werden gestolen en politiek getinte berichten werden achtergelaten.
Bron: U.S. Department of the Treasury | Bron 2: home.treasury.gov | Bron 3: ofac.treasury.gov
04 juni 2026 | Werkstraf geëist tegen Belgische advocaat na Sky ECC-onderschepping
Het parket heeft een werkstraf van 200 uur en een deels voorwaardelijke boete van 40.000 euro geëist tegen de 45-jarige Antwerpse advocaat Jorgen Van Laer. Hij wordt verdacht van poging tot witwassen en deelname aan een criminele organisatie. De aanklachten zijn gebaseerd op onderschepte communicatie van de gekraakte, geëncrypteerde berichtendienst Sky ECC.
Uit de berichten, daterend van maart 2020 tot januari 2021, blijkt dat Van Laer drugscriminelen witwasdiensten heeft aangeboden. Voor verdere besprekingen reisde hij naar Dubai, door hem in de communicatie aangeduid als de 'zandbak'. Het onderzoek heeft echter niet kunnen aantonen dat er daadwerkelijk een concrete witwastransactie heeft plaatsgevonden, noch dat Van Laer er financieel voordeel uit heeft gehaald.
De advocaat werd in februari 2023 gearresteerd en gaf toe gedurende een korte periode een toestel van Sky ECC te hebben gebruikt. Hij verklaarde zich destijds niet goed in zijn vel te voelen, kampend met een alcohol- en cocaïneverslaving, wat mogelijk leidde tot grootspraak. Hij erkende dat de besproken gelden een illegale herkomst hadden.
In februari 2024 verwees de raadkamer Van Laer naar de correctionele rechtbank. Voorafgaand aan het proces onderhandelde de advocaat een 'voorafgaande erkenning van schuld' (VES-akkoord) met het openbaar ministerie. Hij bekende schuld in ruil voor een werkstraf van 150 uur en een boete van 8.000 euro, waarvan 6.000 euro met probatie-uitstel, en verklaarde zich bereid voorwaarden na te leven.
De correctionele rechtbank van Antwerpen weigerde echter in juni 2024 dit VES-akkoord te bekrachtigen. De rechtbank stelde dat uit het dossier over de strafzaak bleek dat Van Laer een zeer gedetailleerde werkwijze had voorgesteld voor het witwassen van geld uit drugshandel, en dat het dus niet louter om een vaag plan of grootspraak ging. Gezien de ernst van de feiten en de persoonlijkheid van de verdachte, achtte de rechtbank de onderhandelde straf niet proportioneel. Een beroep hiertegen werd eind vorig jaar onontvankelijk verklaard.
Van Laer moest hierdoor alsnog voor de rechtbank verschijnen. Het openbaar ministerie vorderde een zwaardere werkstraf en boete, benadrukkend dat de maatschappij niet gebaat is bij een celstraf voor feiten van ruim vijf jaar geleden, gezien Van Laer's inspanningen om zijn verslavingsproblematiek aan te pakken. De advocaten van Van Laer pleitten voor vrijspraak, stellend dat zijn handelen moreel laakbaar was, maar niet strafbaar, aangezien er geen materiële daad was gesteld die een begin van uitvoering aantoonde. Ze voerden aan dat de aandacht van de media reeds als straf had gediend.
Van Laer zelf verklaarde voor de rechtbank dat hij tijdens de periode van de coronapandemie vreesde voor het voortbestaan van zijn kantoor en drugscriminelen uit Dubai als cliënten wilde binnenhalen, wat hij op een "waanzinnige, ongepaste manier" heeft geprobeerd. Hoewel zijn privéleven nu stabiel is, gaf hij aan dat hij professioneel "vernield" is. Er loopt momenteel nog een ander onderzoek naar witwassen tegen hem. Het vonnis wordt op 29 juni verwacht.
Bron: VRT NWS
04 juni 2026 | Spaanse 'Robin Hood hacker' Alcasec veroordeeld tot 31 maanden cel
De Spaanse hacker José Luis Huertas, online bekend als Alcasec en ook wel de "Robin Hood van Spaanse Hackers" genoemd, is veroordeeld tot twee jaar en zeven maanden gevangenisstraf. De 22-jarige Huertas nam een schikking aan bij de Nationale Rechtbank, waarbij hij bekende bankgegevens van meer dan een half miljoen burgers te hebben gestolen. Aanklagers hadden oorspronkelijk een gevangenisstraf van drie jaar geëist, maar deze werd verlaagd nadat Huertas een bekentenis aflegde en zijn wachtwoorden aan de politie overhandigde.
De openbare aanklager legde uit dat Alcasec samenwerkte met twee andere mannen om de cyberaanval uit te voeren. Daniel B.E. (32) kreeg twee jaar en twee maanden cel, terwijl Juan Carlos O.G. (28) veroordeeld werd tot één jaar en drie maanden. De Spaanse rechtbank heeft ook hun contant geld en cryptocurrency activa in beslag genomen.
Volgens de aanklacht, zoals gerapporteerd door Spaanse media, verborg Alcasec zijn identiteit door in oktober 2021 Litouwse opslagservers op te zetten. De daadwerkelijke cyberaanval vond plaats in oktober 2022. Huertas gebruikte naar verluidt een gestolen digitaal certificaat van de Spaanse verkeersdienst, de DGT, om toegang te krijgen tot SARA, een beveiligd computernetwerk dat door de overheid wordt gebruikt. Vervolgens creëerde hij een valse loginpagina om medewerkers van de rechtbank te misleiden hun wachtwoorden in te voeren.
Nadat Alcasec de wachtwoorden in handen had, hackte hij het Neutrale Justitiële Punt, een netwerk dat Spaanse rechtbanken en overheidsinstanties met elkaar verbindt. Hierdoor stal hij 574.908 bankgegevens, die hij vervolgens op een website genaamd uSms te koop aanbood. Juan Carlos O.G. bleek de grootste afnemer te zijn, met een uitgave van 109.876 euro aan de gestolen data.
Het Openbaar Ministerie onthulde dat het serverbedrijf in Litouwen Cherry Servers heette. Kopers van de gestolen gegevens betaalden via een cryptocurrency dienst genaamd Plisio. De Nationale Politie, die de digitale geldwallets volgde, wist uiteindelijk meer dan 543.000 dollar aan crypto te traceren dat aan Huertas was gekoppeld.
Deze zaak volgt op eerdere berichtgeving over de arrestatie van Huertas door de Spaanse politie in Madrid in april 2023. Destijds bestempelden mediaberichten hem als de "Robin Hood van Spaanse Hackers". Hij verscheen zelfs in februari 2023 in een YouTube podcast, waarin hij opschepte dat hij belastinggegevens van "90% van de Spaanse bevolking" had gestolen. Tijdens die eerdere aanval infiltreerde hij een systeem voor gegevensoverdracht om salarissen, creditcardnummers en telefoonnummers te stelen. Daarna creëerde hij een aangepaste zoekmachine genaamd Udyat op het dark web om de gestolen gegevens te verkopen. Met zijn veroordeling is een einde gekomen aan de reeks hoogwaardige cyberaanvallen van de jonge hacker, nu hij zijn meerjarige gevangenisstraf ingaat.
Bron: El Pais
05 juni 2026 | Politie ontmantelt darkweb marktplaats voor valse identiteitsdocumenten
Franse en Spaanse autoriteiten hebben, met ondersteuning van Europol, een online marktplaats ontmanteld die valse identiteitsdocumenten verkocht aan netwerken van mensensmokkelaars die actief waren binnen de Europese Unie. De operatie leidde op 27 mei tot de arrestatie van een verdachte in Alicante, Spanje. Bij de arrestatie werden apparatuur voor documentproductie en ongeveer 800 nagemaakte Europese identiteitsdocumenten in beslag genomen uit een appartement dat onder een valse naam werd gehuurd.
Het onderzoek begon nadat Franse autoriteiten een website identificeerden die nagemaakte identiteitsdocumenten aanbood en de verdachte traceerden naar Alicante, waar hij sinds 2024 woonde. Europol meldde dat de verdachte vermoedelijk de online marktplaats beheerde. Deze marktplaats bood zowel fysieke als digitale valse identiteits- en administratieve documenten aan klanten in heel Europa. Het platform faciliteerde naar verluidt mensensmokkeloperaties door criminele netwerken te voorzien van frauduleuze documenten. Deze werden gebruikt om grenscontroles te omzeilen, op frauduleuze wijze verblijfsrechten te verkrijgen en secundaire bewegingen binnen de Europese Unie te vergemakkelijken.
Europol heeft in maart 2026 zijn capaciteit ter bestrijding van mensensmokkel uitgebreid, volgend op een nieuwe EU-verordening die in december 2025 werd aangenomen. Deze verordening leidde tot de oprichting van het Europees Centrum tegen Mensensmokkel (ECAMS). ECAMS heeft als taak het versterken van de uitwisseling van inlichtingen, financiële onderzoeken en coördinatie tussen Frontex, Eurojust en de wetshandhavingsinstanties van de lidstaten.
De EU Serious and Organised Crime Threat Assessment (EU-SOCTA) van Europol uit 2025 wees documentfraude aan als een van de belangrijkste factoren die de frauduleuze legalisering van verblijf en mensensmokkel binnen de EU mogelijk maken. Het rapport merkte op dat criminele netwerken afhankelijk zijn van nagemaakte en vervalste identiteitsbewijzen om hun operaties in het Schengengebied in stand te houden. Europol benadrukte dat door toegang te bieden tot frauduleuze identiteits- en verblijfsdocumenten, criminele netwerken aanzienlijke illegale winsten genereren en een breed scala aan criminele activiteiten mogelijk maken. De ontmantelde faciliteit in Alicante toont de cruciale rol aan die infrastructuur voor documentfraude speelt bij het in stand houden van mensensmokkelnetwerken die in heel Europa opereren.
Europol heeft recentelijk ook bekendgemaakt dat Europese en internationale wetshandhavingsinstanties uit 13 landen negen georganiseerde misdaadgroepen hebben ontmanteld en 29 verdachten hebben gearresteerd in een grote actie tegen illegale streamingoperaties.
Bron: Europol | Bron 2: eur-lex.europa.eu
06 juni 2026 | Dark web drugsdealer veroordeeld tot 26 jaar cel
Een man uit Californië is veroordeeld tot ruim 26 jaar gevangenisstraf in een federale gevangenis wegens de handel in fentanyl en methamfetamine via Nemesis Market, een van de grootste dark web-marktplaatsen ter wereld. Darren Hughes (39) uit San Jose werd in november 2025 veroordeeld voor drugshandel en op 26 mei jongstleden veroordeeld door de Amerikaanse districtsrechter John F. Kness.
Volgens gerechtelijke documenten exploiteerde Hughes een winkel op Nemesis Market die potentiële klanten gratis monsters van methamfetamine aanbood. Nadat hij een van deze gratis monsters had verstuurd naar een undercover agent van de wetshandhaving, verkocht Hughes de agent in 2023 ook op vijf afzonderlijke gelegenheden methamfetamine en fentanylpillen. De betaling hiervoor vond plaats in cryptocurrency.
Op 28 juni 2023 werd Hughes gearresteerd in Californië door het politiedepartement van Redwood City, nadat een andere verkoop met undercover agenten was geregeld. Detectives van het Street Crime Suppression Team vonden bij een doorzoeking van zijn voertuig ongeveer 672 gram methamfetamine en een geladen 9mm "ghost gun" zonder serienummer.
Amerikaans aanklager Andrew S. Boutros verklaarde dat "criminelen die gif verkopen op het dark web vaak straffeloos en brutaal handelen, omdat zij ten onrechte geloven dat zij buiten het bereik van de federale wetshandhaving vallen. Het kantoor van de Amerikaanse aanklager in Chicago en onze partners van de wetshandhaving zullen drugshandelaren identificeren, onderzoeken en vervolgen, ongeacht waar zij opereren - zelfs als zij op het darknet actief zijn." IRS-CI SAC Adam Jobes voegde hieraan toe dat "drugdealers vroeger afhankelijk waren van straathoeken; tegenwoordig gebruiken zij het internet om klanten wereldwijd te bereiken. Dark web-marktplaatsen lijken misschien anoniem, maar geen enkel platform is buiten het bereik van de wetshandhaving."
Nemesis Market werd gelanceerd in 2021 en groeide snel uit tot een van 's werelds grootste illegale online markten, voordat deze in maart 2024 door Duitse en Amerikaanse autoriteiten werd opgerold. Op zijn hoogtepunt hostte de dark web-marktplaats meer dan 150.000 gebruikersaccounts en 1.100 verkopersaccounts, en verwerkte het meer dan 400.000 bestellingen. Dit omvatte ongeveer 17.000 bestellingen voor opioïden zoals fentanyl, heroïne en oxycodon, en meer dan 55.000 voor methamfetamine, cocaïne en crackcocaïne.
De Duitse federale recherche en de cybercrime-eenheid van Frankfurt leidden de ontmanteling van Nemesis Market op 20 maart 2024. Hierbij werd infrastructuur in Duitsland en Litouwen in beslag genomen en ongeveer 100.000 dollar aan contant geld geconfisqueerd. De onderzoeken waren in oktober 2022 gestart en omvatten Duitse, Litouwse en Amerikaanse instanties, waaronder de FBI, DEA en de IRS Criminal Investigation (IRS-CI).
Bron: U.S. Department of Justice
06 juni 2026 | Man veroordeeld voor diefstal miljoenen klantgegevens bij Allekabels en Scoupy
Een man is veroordeeld tot een voorwaardelijke gevangenisstraf van een jaar en een taakstraf van 180 uur voor het stelen van miljoenen klantgegevens bij de Nederlandse webshop Allekabels en de Nederlandse app Scoupy. Daarnaast had hij gestolen databases van diverse andere Nederlandse organisaties in bezit. De Rechtbank Amsterdam heeft dit vonnis vandaag gepubliceerd, waarbij de man ook is veroordeeld tot het betalen van 113.000 euro aan Allekabels.
De datadiefstallen vonden plaats tussen 17 augustus 2020 en 31 oktober 2021, in Nederland en het Verenigd Koninkrijk. De verdachte verkreeg toegang tot de gegevens van Allekabels en Scoupy door gebruik te maken van onrechtmatig verkregen inloggegevens en/of wachtwoorden. Naast deze twee partijen bleek de man ook in het bezit te zijn van databases die waren gestolen van Hogeschool InHolland, Ticketcounter, Senior Publications, LiteBit, RDC, New York Pizza, Hogeschool Arnhem-Nijmegen en Waternet.
De rechter achtte het tevens bewezen dat de man Allekabels heeft afgeperst met de gestolen gegevens. De webshop betaalde hierbij 35.000 euro losgeld in bitcoin. Bovendien werd de man schuldig bevonden aan het witwassen van ongeveer 127.000 euro. De rechter benadrukte de ernst van de feiten: "Verdachte heeft er door zijn handelen voor gezorgd dat meerdere bedrijven slachtoffer zijn geworden van computervredebreuk, waarbij op grote schaal persoonlijke gegevens van consumenten zijn buitgemaakt."
De veroordeelde was in 2023 al eerder gestraft met een onvoorwaardelijke gevangenisstraf voor vergelijkbare feiten, eveneens gepleegd in dezelfde periode. Bij de huidige uitspraak hield de rechter rekening met deze eerdere veroordeling, alsook met de persoonlijke omstandigheden van de verdachte. Hierbij speelden mee dat hij na een lange detentie weer op vrije voeten is, werk heeft gevonden en dat zijn vrouw ziek is en een WIA-uitkering ontvangt.
Verder stelde de rechter vast dat de bewezenverklaarde feiten oud zijn en dat de inhoudelijke behandeling van de zaak lang op zich heeft laten wachten. Allekabels had aanvankelijk een schadevergoeding van 261.000 euro geëist, of subsidiair 113.000 euro. Het primair gevorderde bedrag werd afgewezen omdat de waardevermeerdering van de bitcoin niet voldoende kon worden onderbouwd als schade voor Allekabels. Uiteindelijk is de materiële schadevergoeding van 113.000 euro toegewezen.
Bron: Rechtbank Amsterdam
06 juni 2026 | Maastricht University en politie ontwikkelen AI tegen bankhelpdeskfraude
Datawetenschappers van Maastricht University werken samen met de politie-eenheid Limburg en het Nationaal Politielab AI aan de ontwikkeling van geavanceerde opsporingsmethoden. Het project richt zich specifiek op het bestrijden van bankhelpdeskfraude en andere vormen van cybercriminaliteit. Door de inzet van kunstmatige intelligentie en datascience analyseren de onderzoekers beschikbare data met als doel cybercriminelen sneller op te sporen en te identificeren.
Pascal Jacobs, projectleider vanuit de politie-eenheid Limburg, benadrukt de noodzaak van deze innovatieve aanpak. Hij legt uit dat de politieorganisatie en de bredere strafrechtketen traditioneel geografisch zijn georganiseerd, wat een uitdaging vormt bij de bestrijding van cybercriminaliteit die inherent grensoverschrijdend is. Het onderzoeksteam, bestaande uit onder meer hoogleraar strategische optimalisatie en datascience Frank Thuijsman en hoogleraar data fusion en intelligente interactie Anna Wilbik, combineert expertise uit toegepaste wiskunde, kunstmatige intelligentie en datascience. Deze multidisciplinaire benadering moet de efficiëntie van het traceren van cybercrime aanzienlijk verbeteren. De samenwerking streeft ernaar om de kloof tussen de geografische structuur van de wetshandhaving en de digitale aard van cybercriminaliteit te overbruggen, waardoor de opsporing van daders effectiever wordt.
Bron: Maastricht University
08 juni 2026 | Mechelse hacker opnieuw opgepakt voor fraude met simkaarten
Een hacker uit Mechelen die eerder werd veroordeeld voor de inbraak op de systemen van American Airlines, is opnieuw opgepakt. De man, in de media bekend als Kevin D., wordt verdacht van fraude met simkaarten en informaticabedrog. Volgens de Belgische autoriteiten had hij het daarbij gemunt op telecombedrijven.
Bij dit nieuwe onderzoek zou de verdachte zich gericht hebben op Telenet. Eerder had hij het naar verluidt voorzien op het Sportpaleis in Antwerpen. De zaak wordt behandeld door het parket van Antwerpen.
Kevin D. werd in 2022 door de correctionele rechtbank in Mechelen veroordeeld tot drie jaar cel voor het hacken van American Airlines. Hij ontliep daarmee een uitlevering aan de Verenigde Staten, waar hem een veel zwaardere celstraf boven het hoofd hing.
Voor de nieuwe feiten geldt het vermoeden van onschuld. Een veroordeling in deze zaak is er nog niet.
Bron: Parket Antwerpen
08 juni 2026 | Twee mannen uit Bergschenhoek opgepakt voor verkoop van phishingpanels
De politie heeft twee 23-jarige mannen uit Bergschenhoek aangehouden die ervan worden verdacht phishingpanels te hebben verkocht. De aanhouding vond plaats op 19 mei en maakt deel uit van een onderzoek van het Team Cybercrime van de Eenheid Noord-Holland.
Phishingpanels zijn een vorm van Phishing as a Service, waarbij criminelen kant-en-klare nepwebsites en hulpmiddelen aanbieden aan andere criminelen. Met deze panels worden valse websites opgezet die sterk lijken op de echte sites van banken. Volgens de politie verkochten de verdachten hun panels via socialemediakanalen aan afnemers in verschillende landen en waren banken in heel Europa het doelwit.
De twee mannen zijn verhoord en worden overgedragen aan de Belgische politie, omdat zij ook daar van strafbare feiten worden verdacht. Voor alle verdachten geldt het vermoeden van onschuld.
Bron: Politie
10 juni 2026 | Belgische politie versnelt aanpak phishing met nieuwe 'Phishline' app
De politiezone Limburg Regio Hoofdstad (LRH) in België zet sinds april een nieuwe applicatie in, genaamd 'Phishline', om slachtoffers van phishing effectiever te ondersteunen. De toepassing werd op 9 juni voorgesteld aan Rob Beenders, de minister van Consumentenbescherming, die hierbij de verantwoordelijkheid van banken in de strijd tegen phishing benadrukte.
Met de Phishline app kunnen gegevens uit processen verbaal, die betrekking hebben op cybercriminaliteit, geautomatiseerd worden verwerkt. Dit proces zorgt ervoor dat het parket sneller een bankvordering kan opstarten, wat cruciaal is voor banken om verdachte financiële transacties tijdig te blokkeren. Korpschef Philip Pirard van politie LRH stelt dat een snelle vordering bij de bank de kans vergroot dat de overschrijving naar cybercriminelen nog kan worden tegengehouden.
Politie LRH is één van de pilotzones die de applicatie sinds 7 april test. Jaarlijks worden er in deze politiezone gemiddeld duizend processen verbaal opgesteld voor cybercriminaliteit. Dit jaar zijn er al meer dan 500 aangiftes geregistreerd, waarbij inwoners van de regio bijna drie miljoen euro van hun rekeningen zagen verdwijnen. Ook het parket Limburg erkent de voordelen van deze nieuwe werkwijze en stelt dagelijks te proberen zoveel mogelijk geld te recupereren en verdachten op te sporen. De tool wordt gezien als een vooruitgang om efficiënter te kunnen opereren.
Tijdens het overleg waren diverse actoren aanwezig, waaronder burgemeester Steven Vandeput en procureur Frank Bleyen. Hoewel de toepassing tijdswinst oplevert en automatisch statistieken kan genereren, zijn er nog verbeterpunten. Een belangrijk tekort is het ontbreken van feedback van banken binnen het systeem. Stefanie Bikkembers van LRH benadrukt de noodzaak om in de communicatie met de banken absoluut korter op de bal te kunnen spelen.
Minister Rob Beenders toonde zijn betrokkenheid bij de demonstratie van de app en omschreef phishing en online oplichting als een groeiend probleem. Hij stelt dat alleen door goede samenwerking criminelen sneller gestopt en slachtoffers beter beschermd kunnen worden. De minister merkte op dat op het moment van de vergadering 25 phishing gevallen waren geregistreerd in de politiezones die met Phishline werken. Dit onderstreept volgens hem dat er nog veel werk aan de winkel is voor de banken, aangezien politie en parket steeds sneller werken aan de verwerking van aangiftes, maar de banken onvoldoende meewerken met het leveren van benodigde documenten. De minister werkt ook aan een strenger wettelijk kader ter bescherming van consumenten tegen phishing.
Bron: VRT NWS
10 juni 2026 | FBI lanceert Operation Riptide tegen netwerken achter cybercrime en onlinefraude
De Amerikaanse federale politie FBI heeft op 9 juni 2026 Operation Riptide aangekondigd, een doorlopende en gecoördineerde campagne gericht op criminele actoren die verantwoordelijk zijn voor cybercrime en onlinefraude. De operatie concentreert zich ook op de essentiële diensten waarop deze criminelen leunen, waaronder hun infrastructuur, tools, communicatieplatformen en geldstromen. Deze campagne is opgezet om invulling te geven aan de prioriteiten die zijn vastgelegd in Executive Order 14390 en de bredere Amerikaanse cyberstrategie.
De noodzaak voor dergelijke acties wordt onderstreept door recente cijfers. Vorig jaar dienden Amerikanen ruim één miljoen klachten in bij de FBI, wat resulteerde in meer dan 20 miljard dollar aan gerapporteerde schade door cybercrime en onlinefraude. Dit betekent een aanzienlijke stijging van 26 procent binnen één jaar.
In de aanloop naar de officiële aankondiging heeft de FBI de afgelopen weken al een reeks concrete acties uitgevoerd. Deze omvatten huiszoekingsbevelen, aanklachten, arrestaties, het ontmantelen van criminele infrastructuur en het in beslag nemen van miljoenen aan cryptovaluta. De FBI heeft als doel om de komende zestig dagen kwaadwillende cyberactoren aanhoudend kosten op te leggen en hen verantwoordelijk te houden voor hun daden. Bij deze missie zijn alle 56 veldkantoren van de FBI en hun verbindingsofficieren wereldwijd betrokken, wat de internationale reikwijdte van de operatie benadrukt.
Een van de eerste tastbare resultaten onder Operation Riptide was de internationale ontmanteling van de criminele VPN dienst First VPN. Deze actie vond eveneens plaats op 9 juni en werd geleid door de Franse en Nederlandse cybercrime eenheden, met actieve steun van onder meer de FBI, Europol en Eurojust. Dit toont de grensoverschrijdende samenwerking bij de bestrijding van georganiseerde cybercriminaliteit.
Bron: FBI
11 juni 2026 | FBI neemt namaak adviessites in beslag gelinkt aan Chinese inlichtingendienst
De Amerikaanse federale autoriteiten hebben dertien domeinen in beslag genomen die volgens functionarissen werden gebruikt in een vermoedelijke Chinese inlichtingenoperatie. Deze operatie was gericht op het rekruteren van Amerikanen met toegang tot geclassificeerde of gevoelige overheidsinformatie van de Verenigde Staten. Het Amerikaanse ministerie van Justitie maakte woensdag bekend dat de websites zich voordeden als adviesbureaus en "vage consultancy" en adviesfuncties promootten, gericht op huidige en voormalige Amerikaanse overheidsmedewerkers, militair personeel en houders van veiligheidsmachtiging.
Na de inbeslagname krijgen bezoekers van de domeinen een bericht van de FBI te zien waarin staat dat de sites in beslag zijn genomen op grond van een federaal bevel. Volgens een beëdigde verklaring ter ondersteuning van de bevelen begon de operatie in november 2023. Hierbij werden nepbedrijfswebsites, online vacatureadvertenties en werving via sociale media gebruikt om mensen te benaderen die informatie van belang konden leveren aan de regering van de Volksrepubliek China.
De banen werden gepresenteerd als betaald advieswerk, met titels zoals "Senior Analist" en "Internationaal Adviseur". De autoriteiten stelden dat de recruiters geld boden voor onderzoeksrapporten en vervolgens kandidaten onder druk zetten om vertrouwelijke of "insider" informatie te verstrekken die zij niet bevoegd waren te delen.
In zijn vandaag gepubliceerde persbericht stelde het ministerie van Justitie dat de campagne gebruikmaakte van een mix van valse persona's, gestolen identiteiten, met behulp van AI gegenereerde profielfoto's, versleutelde berichtenapps, online betaalrekeningen en cryptocurrency. Ook werden contracten en geheimhoudingsverklaringen gebruikt om de nepbedrijven legitiem te doen lijken. Volgens rechtbankdocumenten verscheen de wervingsactiviteit voor deze campagne op wervings- en freelanceplatforms, waaronder Upwork, Expertia AI, Hubstaff Talent, Wellfound en Post Job Free. De advertenties hadden betrekking op onderwerpen die volgens aanklagers overeenkwamen met Chinese overheidsbelangen.
Federale functionarissen zeiden dat betalingen vanuit overzeese rekeningen naar de Verenigde Staten werden verplaatst als onderdeel van de vermeende activiteit. De beëdigde verklaring beschuldigt de beheerders van het gebruik van de domeinen in een samenzwering die omkoping van huidige en voormalige overheidsfunctionarissen, identiteitsdiefstal en internationale witwaspraktijken omvat. De personen achter de sites hebben elke betrokkenheid van een buitenlandse regering ontkend.
De in beslag genomen domeinen die in de Justice Department-aanklacht worden vermeld, omvatten de volgende nep-advies- en wervingswebsites, gerangschikt van kortste naar langste domeinnaam, waaronder gpf-ina.org, gulfpeace.org, thehorizzen.com, vandercons.com, pulsewaveglobal.com, safesec-group.com, thetruthinfo.com, cydfconsulting.com, geoindopacific.com, rightinfoconsult.com, catalystglobalsolutions.com, centrikglobalconsulting.com en finnaclevesperconsulting.com.
Bron: U.S. Department of Justice
12 juni 2026 | Internationale autoriteiten ontmantelen 'AudiA6' cryptowasservice
Internationale wetshandhavingsinstanties hebben de cryptowasservice "AudiA6" ontmanteld, die naar verluidt door ransomware-actoren en andere cybercriminelen werd gebruikt voor het witwassen van meer dan 380 miljoen dollar aan criminele opbrengsten. Volgens Europol was de dienst gekoppeld aan meer dan vijftien afzonderlijke internationale onderzoeken naar aanvallen met ransomware. Men vermoedt dat het platform tussen 2022 en 2025 fungeerde als een centrale hub voor het witwassen van geld.
Europol omschrijft de operatie als het blootleggen van een grootschalige cryptowasoperatie, opgebouwd rond duizenden frauduleuze uitwisselingsaccounts die waren geopend met gestolen of gekochte identiteiten. Analyse door Europol legde een verband tussen de criminele dienst en wereldwijd meer dan vijftien onderzoeken naar aanvallen met ransomware en grootschalige cryptovaluta-diefstal.
De dienst werd gepromoot als een "professionele dienst voor het mixen van cryptovaluta". In werkelijkheid accepteerde de dienst opbrengsten van cybercriminaliteit, verplaatste het geld via complexe transactieroutes om de herkomst te verbergen, en retourneerde het "schoongemaakt" aan de houders binnen ongeveer een uur, minus een commissie van 3 tot 10 procent. Eerdere rapporten van Intel471 en blockchain-onderzoeker ZachXBT hadden AudiA6 al ontmaskerd wegens het faciliteren van illegale activiteiten.
Het onderzoek betrof autoriteiten uit elf landen in Europa, Amerika en Azië, die werden ondersteund door Europol en Eurojust. Europol stelt dat de actie mogelijk werd gemaakt door de arrestatie in Polen in september 2025 van een Oekraïense staatsburger die gelinkt was aan AudiA6. Het forensisch onderzoek van de apparaten van deze verdachte hielp onderzoekers bij het identificeren van sleutelfiguren achter de operatie en leidde uiteindelijk tot hun lokalisatie en arrestatie in Georgië.
Als gevolg van de recente actie hebben de autoriteiten de volgende resultaten behaald. Twee individuen zijn gearresteerd in Georgië; drie eigendommen zijn doorzocht; 25 domeinen zijn in beslag genomen; 80 voertuigen en eigendommen zijn in beslag genomen; 86.000 euro (99.000 dollar) aan cryptovaluta is in beslag genomen; 692.000 euro (798.000 dollar) aan cryptovaluta is bevroren; en Telegram accounts die door het netwerk werden gebruikt, zijn geblokkeerd.
De twee gearresteerde personen, een Oekraïense en een Russische staatsburger, worden beschouwd als beheerders van AudiA6 en van het ondergrondse forum "Dark2Web", dat cybercriminelen gebruikten om illegale diensten te adverteren. Zowel de websites van AudiA6 als Dark2Web tonen nu een inbeslagname-bericht aan bezoekers. Het Amerikaanse ministerie van Justitie heeft Ruslan Igorevich Tkachuk (37) en Alexander Vladimirovich Ledenev (25) geïdentificeerd als senior leden van het AudiA6-platform. De twee personen zijn momenteel in hechtenis van de Georgische autoriteiten en riskeren gevangenisstraffen van maximaal 20 jaar voor het faciliteren van cybercriminele witwasoperaties.
Het ministerie van Justitie stelt dat van de ongeveer 10.333 gestorte bitcoin, circa 393,39 BTC (met een waarde van ongeveer 19.234.331 dollar op het moment van de transacties) direct afkomstig was van bekende darknet-markten, ransomware-organisaties, diensten voor cybercriminaliteit en andere illegale bronnen. Aanvullende fondsen werden indirect van illegale bronnen in AudiA6-wallets gestort. Naast de twee beheerders hebben autoriteiten ook 6.000 'Know-Your-Customer' (KYC) records teruggevonden die gekoppeld zijn aan money mule-accounts. Europol meldt dat deze accounts zijn aangemaakt met gestolen of gekochte identiteiten, en velen zijn verbonden met Russisch sprekende tussenpersonen die ze specifiek voor dit doel hebben gerekruteerd. Dit omvangrijke netwerk van geldezels gebruikte meerdere domeinen om accounts te registreren op cryptovaluta-uitwisselingen, een feit dat Europol heeft gepubliceerd om bewustzijn te creëren en platforms te helpen deze te blokkeren.
Bron: Europol | Bron 2: pog.gov.ge | Bron 3: justice.gov
12 juni 2026 | VS klagen vermeende Void Blizzard hacker aan wegens cyberespionage
Een Russische staatsburger met vermoedelijke banden met de hackgroep Void Blizzard is deze week verschenen voor een federale rechtbank in de Verenigde Staten. Denis Obrezko (36) wordt aangeklaagd voor het ondersteunen van een cyberespionagecampagne die gelinkt is aan het Kremlin en gericht was op Amerikaanse bedrijven. Obrezko verscheen dinsdag voor het eerst voor de federale rechtbank in Boston, nadat hij was overgedragen aan de Amerikaanse autoriteiten vanuit Thailand, waar hij in november vorig jaar werd gearresteerd.
Volgens Russische staatsmedia, die eerder berichtten over de zaak, is Obrezko afkomstig uit de Zuidwest-Russische stad Stavropol en heeft hij gewerkt voor Russische technologiebedrijven die zich bezighouden met de ontwikkeling van hightechsystemen voor binnenlandse industrieën. Amerikaanse aanklagers beweren dat Obrezko de aan de Russische staat gelinkte dreigingsactor Void Blizzard hielp om ongeautoriseerde toegang te krijgen tot computers. Hij deed dit door infrastructuur te leveren die de cyberoperaties van de groep ondersteunde, zo meldde Reuters donderdag. Het Amerikaanse ministerie van Justitie, dat de zaak behandelt, heeft niet gereageerd op verzoeken om commentaar. Obrezko blijft naar verluidt in hechtenis terwijl de zaak voortgaat.
Aanklagers stellen dat cryptocurrency-transacties die aan Obrezko zijn gekoppeld, werden gebruikt voor de aankoop van een virtuele private server en een internetdomein. Deze werden ingezet om aanvallen tegen organisaties in de Verenigde Staten en andere landen te faciliteren. Volgens een beëdigde verklaring van de FBI, ingediend in de zaak, hebben onderzoekers ten minste elf Amerikaanse bedrijven geïdentificeerd die zijn gecompromitteerd. De autoriteiten vermoeden echter dat het werkelijke aantal slachtoffers aanzienlijk hoger ligt.
Thaise autoriteiten arresteerden Obrezko begin november tijdens een gezamenlijke operatie met de FBI op het vakantie-eiland Phuket. Na een inval in zijn hotelkamer namen onderzoekers laptops, mobiele telefoons en cryptocurrency-wallets in beslag. Russische diplomaten bezochten Obrezko later in detentie en drongen aan op zijn terugkeer naar Rusland. Moskou plaatste hem eerder dit jaar afzonderlijk op een internationale opsporingslijst.
Onderzoekers hebben Void Blizzard omschreven als een relatief nieuwe dreigingsgroep die opereert ter ondersteuning van de belangen van de Russische overheid. De hackers hebben zich gericht op overheidsinstanties, defensie-aannemers, transportbedrijven, mediaorganisaties, zorgverleners en niet-gouvernementele organisaties in heel Europa en Noord-Amerika. Zij gebruiken doorgaans gekochte of gestolen inloggegevens om netwerken te infiltreren en e-mails en interne documenten te stelen.
Bron: U.S. Department of Justice | Bron 2: russian.rt.com | Bron 3: reuters.com
12 juni 2026 | Lagere straf in hoger beroep voor bestuurder Ennetcom
De bestuurder van Ennetcom, een bedrijf dat voorheen cryptotelefoons verkocht, is in hoger beroep door het gerechtshof Den Haag veroordeeld tot een gevangenisstraf van tien maanden. Dit is een aanzienlijk lagere straf dan de 54 maanden die de rechtbank eerder had opgelegd. De vermindering van de straf volgt uit het oordeel van het hof dat niet kan worden vastgesteld dat de man wist dat de telefoons aan criminelen werden verkocht, noch dat het geld waarmee de telefoons werden betaald afkomstig was uit strafbare feiten.
Ennetcom verkocht BlackBerry's die waren uitgerust met functionaliteit voor versleutelde e-mailberichten. Deze berichten werden automatisch gewist na een periode van 24 tot 48 uur. Daarnaast bood Ennetcom een helpdesk aan, waarmee gebruikers hun telefoon op afstand konden laten wissen. Begin 2016 speelde een belangrijke ontwikkeling in de zaak toen de Canadese politie, op verzoek van de Nederlandse politie, data kopieerde van een Ennetcom server. Het betrof een omvangrijke hoeveelheid van 3,7 miljoen berichten en notities.
De rechtbank had eerder geoordeeld dat de man zich met zijn bedrijf specifiek op criminelen richtte en dat de cryptotelefoons daadwerkelijk door hen werden gebruikt. De rechtbank beschouwde de man als leider van een criminele organisatie die cryptotelefoons aanbood en verhandelde voor crimineel gebruik, en stelde dat de organisatie zich bezighield met witwassen en valsheid in geschrifte.
Het gerechtshof heeft echter een ander standpunt ingenomen over de witwaspraktijken. Het hof benadrukt dat het aanbieden van de mogelijkheid om beveiligd te communiceren op zichzelf niet strafbaar is. Om deze reden zijn de bestuurder, een medewerkster en het bedrijf Ennetcom vrijgesproken van witwassen.
Wel heeft het hof bewezen geacht dat de bestuurder van Ennetcom, als oprichter en leider, heeft deelgenomen aan een criminele organisatie die zich bezighield met valsheid in geschrifte. Dit omvatte het vervalsen van facturen en grootschalige fraude met de omzet van het bedrijf. Ook is de man veroordeeld voor het bezit van een vuurwapen met bijbehorende munitie. Het hof heeft de man uiteindelijk voor minder feiten veroordeeld dan de rechtbank eerder bewezen had verklaard. Bovendien speelde de uitzonderlijk lange duur van de strafzaak, die meer dan tien jaar in beslag nam, een rol bij de bepaling van de lagere strafmaat.
Het bedrijf Ennetcom is door het hof veroordeeld voor het plegen van valsheid in geschrifte en heeft een geldboete van 80.000 euro opgelegd gekregen. De rechtbank had het bedrijf eerder geen boete opgelegd, omdat de Belastingdienst reeds een vergrijpboete had opgelegd. Deze vergrijpboete is echter succesvol aangevochten en is daardoor niet langer van toepassing.
Bron: Gerechtshof Den Haag
13 juni 2026 | Google daagt Chinees 'smishing'-netwerk aan voor AI-gestuurde phishing
Google heeft juridische stappen ondernomen tegen een Chinees cybercrimenetwerk, dat wordt beschuldigd van het misbruiken van Google's Gemini AI om phishing-sms-berichten (smishing) te versturen die gericht zijn op Amerikaanse burgers. Het netwerk zou verantwoordelijk zijn voor de ontwikkeling en het beheer van een Phishing-as-a-Service (PhaaS) softwarekit genaamd Outsider.
Volgens Google heeft de operatie Gemini AI ingezet om frauduleuze phishingpagina's te genereren en grootschalige smishingaanvallen uit te voeren. Deze aanvallen gebeurden vaak via tekstberichten die legitieme merken imiteerden, waarin ontvangers werden gewaarschuwd voor 'problemen met hun makelaarsaccount' of hen werd verteld dat ze in aanmerking kwamen voor 'beloningen via hun mobiele telefoonprovider'. De berichten spoorden gebruikers aan om op een link te klikken die leidde naar een frauduleuze website, welke vertrouwde instellingen nabootste om persoonlijke en financiële informatie te stelen.
Google heeft de rechtszaak aangespannen met als doel de infrastructuur van het netwerk te ontmantelen. Het bedrijf werkt hiervoor samen met AT&T, T-Mobile en Verizon om te voorkomen dat dergelijke berichten Amerikaanse klanten bereiken. De operaties van Outsider worden gecoördineerd via Telegram, waarbij het netwerk phishingkits distribueert waarmee dreigingsactoren neptekstberichten kunnen versturen die afkomstig lijken te zijn van vertrouwde merken. Naar schatting zijn meer dan 100.000 mensen slachtoffer geworden van deze frauduleuze praktijken, met miljoenen dollars aan verliezen tot gevolg.
Tussen 14 november 2025 en 14 april 2026 zijn 9.000 nepwebsites en meer dan 1,59 miljoen frauduleuze URL's geïdentificeerd die aan de phishingservice gekoppeld zijn. In een periode van twee weken, van 18 mei tot 1 juni 2026, was Outsider verantwoordelijk voor 55.000 spamtekstberichten die door Android-gebruikers werden gemeld. In dezelfde periode werden 2,5 miljoen berichten door het netwerk naar Android-gebruikers gestuurd, die links bevatten naar door Outsider gegenereerde websites. Voor slechts $88 per week stelt de kit criminelen in staat om frauduleuze websites te creëren, phishingcampagnes te lanceren en creditcardnummers, bankrekeninggegevens en persoonlijke data van slachtoffers te stelen. Een licentie kon worden gekocht via een 'zelfbedieningsbot' op Telegram (@OutsiderCodeBot), die inmiddels niet meer toegankelijk is.
De dienst bood ook meer dan 290 vooraf gebouwde templates die legitieme websites van vertrouwde instellingen imiteerden, real-time keystroke logging en een prestatiedashboard om de effectiviteit van een campagne te volgen. Google stelt in de aanklacht, ingediend bij de federale rechtbank van Manhattan, dat Outsider niet alleen eenvoudig te gebruiken is, maar ook stapsgewijze instructies biedt over hoe AI-gegenereerde code kan worden ingezet. Leden van het Outsider Enterprise kunnen AI tools gebruiken om programmeercode te genereren voor een 'shellwebsite' en die code vervolgens kopiëren en plakken in Outsider om deze om te zetten in een frauduleuze site.
De prompts voor Gemini en andere AI-platforms zijn volgens Google geformuleerd als onschuldige verzoeken voor programmeerhulp, waarbij het model wordt gevraagd om HTML-code te genereren voor een 'cadeau-inwisselingpagina' met de gewenste functionaliteit en functies, met instructies om JavaScript te vermijden en inline CSS te gebruiken. Zodra de namaakwebsite online is, wordt de URL via tekstberichten naar potentiële slachtoffers gestuurd.
Het Outsider Enterprise omvat een aantal onderling verbonden groepen die verschillende rollen spelen, maar samenwerken om phishingaanvallen uit te voeren met de phishingkit. Dit zijn de Developer Group (levert software en templates), de Data Broker Group (levert gerichte lijsten van mensen), de Spammer Group (levert tools voor bulk-sms), de Theft Group (helpt gestolen informatie te gelde maken en fondsen van gestolen creditcards wit te wassen) en de Telegram Group (faciliteert samenwerking en rekruteert nieuwe leden). Het voordeel van dergelijke diensten, zoals bij het recent ontmantelde Sniper Dz, is dat ze de drempel voor onervaren fraudeurs zonder programmeerkennis drastisch verlagen, waardoor zij met minimale inspanning en op grote schaal overtuigende phishingaanvallen kunnen opzetten. Brett Leatherman, assistent-directeur van de Cyber Division van de Amerikaanse Federal Bureau of Investigation (FBI), merkte op dat criminelen steeds vaker AI gebruiken om fraude overtuigender en moeilijker detecteerbaar te maken.
Deze ontwikkeling volgt precies zeven maanden nadat Google een andere rechtszaak in de VS aanspande tegen Chinese hackers achter een grootschalig PhaaS-platform genaamd Lighthouse, dat meer dan 1 miljoen gebruikers in 120 landen wist te misleiden.
Bron: blog.google
13 juni 2026 | Oekraïner pleit schuldig aan rol in Conti ransomware operatie
Een Oekraïense staatsburger die vorig jaar vanuit Ierland aan de Verenigde Staten werd uitgeleverd, heeft schuld bekend aan samenzwering gerelateerde aanklachten in verband met de Conti ransomware operatie. Het Amerikaanse Ministerie van Justitie maakte op donderdag 11 juni bekend dat de 44-jarige Oleksii Oleksiyovych Lytvynenko schuldig heeft gepleit aan samenzwering tot draadfraude (wire fraud) voor zijn betrokkenheid bij Conti ransomware aanvallen die tussen 2021 en 2022 werden uitgevoerd.
Volgens aanklagers hebben Lytvynenko en zijn medesamenzweerders Conti ransomware ingezet op netwerken van slachtoffers in de Verenigde Staten en daarbuiten. Daarbij stalen ze data en versleutelden ze apparaten om betalingen in Bitcoin af te dwingen. Lytvynenko heeft toegegeven dat hij zich rond september 2021 bij de Conti samenzwering aansloot en in het bezit was van gestolen data van acht Amerikaanse en vier overzeese slachtoffers.
Tevens heeft Lytvynenko bekend dat hij zich aansloot bij een team dat werd geleid door een andere Conti samenzweerder, waar hij werkte aan de codering van een "loader". Dit is een type malware dat wordt gebruikt om software te laden die nodig is om aanvallen uit te voeren.
De Conti ransomware operatie was een van de meest productieve cybercrimegroepen die destijds actief was. De groep richtte zich wereldwijd op ziekenhuizen, bedrijven, scholen en overheidsinstanties. Rechtbankdocumenten stellen dat Conti meer dan 1.000 slachtoffers wereldwijd trof en meer dan 150 miljoen dollar aan losgeld heeft geïnd.
De schuldbekentenis volgt op de uitlevering van Lytvynenko van Ierland aan de Verenigde Staten, na zijn arrestatie in juli 2023. Lytvynenko riskeert nu een maximale gevangenisstraf van 20 jaar.
De Conti ransomwarebende kwam voort uit de Ryuk cybercrimegroep en was nauw verbonden met het TrickBot malware syndicaat. De groep werd berucht door grootschalige aanvallen op zorgorganisaties, overheden en bedrijven, voordat zij in 2022 stopte na het lekken van haar interne chats en toegenomen druk van wetshandhavingsinstanties. Beveiligingsonderzoekers geloven dat voormalige Conti leden zich later opsplitsten in andere ransomwaregroepen, waaronder BlackCat, Black Basta, ZEON, Hive, Quantum, BlackByte, Karakurt en de Silent Ransom Group.
In september 2023 sanctioneerden en beschuldigden de Verenigde Staten en het Verenigd Koninkrijk ook negen Russische staatsburgers die geassocieerd werden met de TrickBot en Conti ransomware cybercrime operaties, voor aanvallen op meer dan 900 slachtoffers wereldwijd.
Bron: U.S. Department of Justice
13 juni 2026 | INTERPOL ontmantelt Sniper Dz phishing-platform en arresteert beheerder
Een operatie geleid door INTERPOL heeft vorige maand geresulteerd in de ontmanteling van Sniper Dz, een phishing als een dienst (PhaaS) platform dat al bijna tien jaar actief was. Volgens het cybersecuritybedrijf Group-IB vond de actie, genaamd 'Operation Ramz', plaats tussen oktober 2025 en februari 2026. Autoriteiten uit dertien landen in de Midden-Oosten en Noord-Afrika (MENA) regio verrichtten in totaal 201 arrestaties.
Onder de arrestanten bevond zich Guedz, de primaire ontwikkelaar en beheerder van Sniper Dz, die door de Algerijnse Nationale Politie werd opgepakt. De PhaaS-dienst zou meer dan 45.000 slachtofferrecords hebben verzameld. Door de jaren heen opereerde het platform ook onder de namen Joker Dz, Storm Dz en Spam Dz.
Als onderdeel van Operation Ramz is de website die cybercriminelen PhaaS-mogelijkheden aanbood, offline gehaald. Tevens is hardware in beslag genomen die phishingsoftware en scripts bevatte. Group-IB, een cybersecuritybedrijf met hoofdkantoor in Singapore, meldde dat Sniper Dz, actief sinds ten minste 2015, zich had ontwikkeld tot een geavanceerd crimineel platform. Het bood cybercriminelen kant-en-klare phishingkits, hostinginfrastructuur en operationele ondersteuning.
Meer dan 20.000 unieke domeinen die geassocieerd waren met de PhaaS-dienst zijn in de loop der jaren geïdentificeerd. De toolkit richtte zich voornamelijk op dertig grote wereldwijde organisaties, waaronder PayPal, Facebook, Instagram, Yahoo, Netflix en Steam. Hiervoor werden tachtig phishing-templates ingezet in vijf talen, namelijk Arabisch, Engels, Frans, Spaans en Hebreeuws.
De phishingcampagnes die Sniper Dz gebruikten, viseerden gebruikers van technologie-, social media- en streamingplatforms in verschillende geografische gebieden. Dit gebeurde door het imiteren van populaire merken en overheidsinstanties met overtuigende imitatie-websites, met als doel het oogsten van inloggegevens, persoonlijke informatie en andere gevoelige data.
Group-IB legde verder uit dat het platform niet alleen gericht was op traditionele diefstal van inloggegevens. Het maakte ook gebruik van social engineering-technieken die de populariteit en geloofwaardigheid van publieke figuren in de MENA-regio misbruikten. Dreigingsactoren creëerden valse social media-accounts die bekende politieke persoonlijkheden imiteerden en gebruikten deze om phishinglinks te promoten, vermomd als promotieaanbiedingen of gratis internettoegang.
Wat Sniper Dz onderscheidde in de drukke PhaaS-markt, was dat het zijn gehele infrastructuur gratis aanbood. Dit maakte het voor beginnende cybercriminelen gemakkelijker om grootschalige phishingcampagnes uit te voeren. De monetarisatie vond plaats via diefstal van inloggegevens en het omleiden van slachtofferverkeer. Group-IB stelde dat gestolen inloggegevens werden verzameld via phishingcampagnes, terwijl gebruikers die geen inloggegevens afstonden, konden worden omgeleid naar frauduleuze carrier billing, premium SMS-abonnementen, schema's voor misbruik van browsernotificaties en andere affiliate-gedreven scamcampagnes.
Bron: Group-IB
13 juni 2026 | Justitie haalt deepfake-pornosites CFAKE en SOCFAKE offline, arrestatie in Nice
Het Amerikaanse ministerie van Justitie en Homeland Security Investigations hebben een belangrijke stap gezet in de strijd tegen digitaal misbruik door de domeinen CFAKE.com en SOCFAKE.com in beslag te nemen. Deze websites hostten honderdduizenden door kunstmatige intelligentie vervalste naaktbeelden van bekende vrouwen, waaronder politici, journalisten, sporters en entertainers, die zonder hun toestemming waren gecreëerd en gepubliceerd.
Deze actie markeert de eerste handhaving onder de Amerikaanse TAKE IT DOWN Act, een wet die in mei 2025 van kracht werd en het publiceren van non-consensueel vervalst intiem beeldmateriaal strafbaar stelt. De operatie kwam tot stand na een melding van de Italiaanse postpolitie aan de Amerikaanse autoriteiten. Op basis van verzameld bewijs deelden de Amerikanen informatie met de Franse autoriteiten.
Dit leidde tot de arrestatie van een 47-jarige Fransman in Nice op 10 juni 2026, die wordt verdacht de beheerder van CFAKE te zijn. Tijdens een huiszoeking werd computerapparatuur in beslag genomen, evenals ruim 48.000 dollar aan Ethereum, wat de financiële omvang van de illegale activiteiten onderstreept. Deze internationale samenwerking benadrukt de groeiende inspanningen om de verspreiding van deepfake-porno en aanverwante cybercriminaliteit aan te pakken.
Bron: Department of Justice | Bron 2: cyberscoop.com
14 juni 2026 | Voormalig IT-medewerker veroordeeld tot celstraf voor langdurige cyberaanvallen op schooldistrict
Een voormalige IT-medewerker van een schooldistrict in Iowa, Verenigde Staten, is veroordeeld tot 21 maanden gevangenisstraf. De 34-jarige Ezekiel Dean Potter voerde een langdurige cyberaanval uit tegen zijn voormalige werkgever, het Saydel Community School District in Des Moines, wat resulteerde in verstoringen van lessen, het verwijderen van accounts en tienduizenden dollars aan schade.
Potter werkte van mei 2022 tot april 2023 als senior IT-supportspecialist bij het schooldistrict. Na het einde van zijn dienstverband behield hij toegang tot inloggegevens en richtte hij zich de daaropvolgende 21 maanden herhaaldelijk op de systemen van het district. Aanklagers stelden dat Potter gedurende anderhalf jaar een "plaag" was voor het schooldistrict. Hij verwijderde de Facebook-pagina van het Saydel Community School District, ontzegde werknemers toegang tot educatieve platforms en accounts, en probeerde herhaaldelijk gebruikersnamen en wachtwoorden van andere platforms en accounts te resetten.
De aanvallen veroorzaakten wijdverbreide verstoringen, belemmerden de onderwijsmogelijkheden van het district en leidden tot herstelkosten van tienduizenden dollars. Kort na zijn vertrek begon Potter met de aanvallen, waaronder het verwijderen van de Facebook account van Saydel. Later richtte hij zich op de Apple School Manager account van het district, waarbij hij gebruikersaccounts, wachtwoorden, telefoonnummers, factureringsinformatie en gegevens van de apparaatbeheerserver verwijderde. Dit verhinderde dat schoolmedewerkers toegang kregen tot het Apple School Manager-platform en maakte het beheer van district MacBooks en iPads gedurende ongeveer een week onmogelijk, totdat het personeel samen met Apple de toegang kon herstellen.
Het district ervoer ook ongeautoriseerde toegangspogingen tot zijn GoDaddy-account en andere online diensten. In januari 2025 kreeg Potter toegang tot het Schoology leerbeheersysteem van het district via een Google administrator account en verwijderde hij een IT-medewerker account, wat de toegang van leraren tot het platform verstoorde en de lessen gedurende ongeveer twee uur beïnvloedde. Een week later verwijderde Potter, via een ander administrator account, negen Gmail accounts van huidige en voormalige districtsmedewerkers, waaronder de IT-directeur en de superintendent.
Gerechtsdocumenten vermelden dat Potter later overstapte op het gebruik van een VPN dienst nadat hij Google security alerts had ontvangen over ongeautoriseerde accounttoegang. Federale onderzoekers traceerden uiteindelijk een deel van de activiteit naar IP adressen die waren gekoppeld aan andere werkgevers van Potter, waaronder Casey's Store Support Center en The Printer Inc. (TPI). Nadat Potter TPI in januari 2025 had verlaten, vroeg hij een voormalige collega om een USB drive van zijn bureau op te halen en te wissen. De collega overhandigde de drive echter aan onderzoekers, die naar verluidt spreadsheets vonden met gebruikersnamen en wachtwoorden voor Saydel School District accounts en diensten.
Potter pleitte in januari 2026 schuldig aan aanklachten wegens computerfraude onder de Computer Fraud and Abuse Act. Op 11 juni werd hij veroordeeld tot 21 maanden gevangenisstraf, gevolgd door drie jaar proeftijd onder toezicht. Als onderdeel van de voorwaarden voor zijn vrijlating zal Potter onderworpen zijn aan beperkingen en monitoring met betrekking tot werk, financiën en computersystemen, inclusief zoekopdrachten op elektronische apparaten bij redelijke verdenking. Potter is ook verplicht om $59.668,81 aan restitutie te betalen aan het Saydel Community School District en hun verzekeraar, Travelers Casualty and Surety Company, voor de herstelkosten gerelateerd aan de aanvallen.
Bron: U.S. Department of Justice | Bron 2: documentcloud.org
16 juni 2026 | FBI waarschuwt voor inzet koeriers bij cryptofraude
De Amerikaanse Federal Bureau of Investigation (FBI) waarschuwt voor een nieuwe tactiek van cybercriminelen die fysieke koeriers inzetten om contant geld op te halen bij slachtoffers van cryptocurrency-investeringsfraude. Deze praktijken, ook bekend als 'pig butchering' of 'romance baiting', beginnen doorgaans met oplichters die contact leggen via sociale media, datingsites en berichtenapps. Ze bouwen vertrouwen op en lokken slachtoffers vervolgens naar nep-investeringsschema's. In plaats van het geld daadwerkelijk te investeren, stelen de oplichters de fondsen door deze naar hun eigen rekeningen te sluizen.
De waarschuwing is uitgegeven in een openbare mededeling en stelt dat oplichters slachtoffers nu aanzetten tot persoonlijke contante afhalingen. Dit gebeurt vaak nadat legitieme financiële instellingen verdachte geldtransfers blokkeren. De oplichters beweren dan soms dat een rekening van het slachtoffer 'gemarkeerd' is. De ingezette koeriers identificeren zich met een van tevoren afgesproken wachtwoord of het serienummer van een specifiek dollarbiljet.
Nadat het contante geld is opgehaald, zien slachtoffers een gesimuleerde toename in hun virtuele portemonnee. Wanneer ze hun 'winsten' proberen op te nemen, beginnen de oplichters de cyclus opnieuw en eisen ze nog meer contant geld voor frauduleuze belastingen en boetes. Ook deze bedragen worden weer via koeriers geïnd. De FBI benadrukt dat oplichters de slachtoffers voorzien van een Amerikaans dollarbiljet serienummer of een ander soort code/wachtwoord. De koerier toont dit biljet of geeft het afgesproken wachtwoord om de verbinding met de oplichter te authenticeren.
De wetshandhavingsinstantie adviseert mensen om onderzoek te doen naar cryptocurrency-platforms voordat ze investeren, hun huisadressen niet te delen en geen contant geld te overhandigen aan onbekende personen. Ook wordt aangeraden om alle contact te verbreken na ongevraagde 'verkeerd-nummer'-communicatie en alert te zijn op 'love bombing', een manipulatietechniek die wordt gebruikt om snel een vals vertrouwen op te bouwen. Slachtoffers worden dringend verzocht om onmiddellijk een klacht in te dienen bij de FBI, inclusief zoveel mogelijk informatie zoals de namen van de criminelen, communicatiemethoden en gebruikte bankrekeningen.
Twee jaar geleden waarschuwde de FBI ook al dat koeriers werden ingezet om contant geld op te halen bij diverse andere vormen van fraude, waaronder technische ondersteuningsfraude en oplichting waarbij criminelen zich voordoen als overheidsfunctionarissen. Het FBI Internet Crime Report van 2025 toonde aan dat Amerikaanse slachtoffers vorig jaar bijna 21 miljard dollar verloren aan cybergerelateerde misdrijven. Investeringsfraude was verantwoordelijk voor 49% van alle gerapporteerde incidenten en resulteerde in een verlies van 8,6 miljard dollar.
Bron: FBI | Bron 2: ic3.gov | Bron 3: hubs.li
18 juni 2026 | Celstraf voor oplichting ABN Amro met deepfakes
Een 34-jarige man uit Amsterdam is veroordeeld tot een gevangenisstraf van 2,5 jaar, waarvan zes maanden voorwaardelijk, voor het oplichten van ABN Amro met behulp van deepfakes. De man moet daarnaast een schadevergoeding van ruim 13.000 euro aan de bank betalen. Hij wist op frauduleuze wijze tientallen rekeningen te openen die werden gebruikt voor bankhelpdeskfraude en het opnemen van contant geld.
Tijdens het online identificatie- en verificatieproces, bekend als het onboardingproces, van ABN Amro werden verschillende soorten afbeeldingen aan het systeem aangeboden. Deze beelden, bestaande uit identiteitsdocumenten en selfies, waren gemanipuleerd om de controles van het onboardingproces te misleiden. De man gebruikte diverse methodes voor het openen van de bankrekeningen.
Bij het aanleveren van selfies werd een gemanipuleerde afbeelding aangeleverd, samengesteld uit het gezicht van de fraudeur en het gezicht op het identiteitsdocument. Voor het identiteitsbewijs werd soms een bestaande foto van een persoon op een identiteitsdocument geplakt, afkomstig van een socialmediaprofiel van die persoon of uit een eerder datalek. Een derde methode betrof het creëren van een gezichtsbeeld op de pasfoto van het identiteitsdocument, eveneens samengesteld uit het gezicht van de fraudeur en het gezicht op het identiteitsdocument.
De rechter merkte op dat de gezichtsvorm, breedte van het gezicht, het kapsel en de baardgroei van de persoon op de deepfake foto's overeenkwamen met de uiterlijke kenmerken van de verdachte. De verdachte heeft verklaard dat hij niet ontkent dat hij degene is die te zien is op de foto's in het dossier. Ook zijn de locaties waar de verdachte verbleef in Italië, België en Nederland herkend op de achtergrond van de deepfake foto's. Via de genoemde methodes werden in totaal 47 bankrekeningen geopend. Op de telefoon van de man werden 39 identiteitsbewijzen en foto's van bankpassen aangetroffen.
Tevens werd op het toestel van de man een methode gevonden voor het omzeilen van Jumio, een AI-gebaseerd platform voor identiteitsverificatie. De man had ook ChatGPT vragen gesteld over het omzeilen van de identiteitsverificatie van banken. Een deel van de identiteitsbewijzen die de man voor de fraude gebruikte, wist hij te verkrijgen door zich op Marktplaats voor te doen als verhuurder van een Amsterdamse woning, waarbij potentiële huurders om een kopie van hun identiteitsbewijs werden gevraagd. Hoe de man aan de overige identiteitsbewijzen en niet-openbare gegevens kwam, kon niet worden vastgesteld.
De rechter benadrukte dat de verdachte zich gedurende een langere periode schuldig heeft gemaakt aan het frauduleus openen van bankrekeningen op naam van anderen, waarbij hij gemanipuleerde foto's (deepfakes) met biometrische kenmerken gebruikte om het systeem als juist te laten beoordelen. Hierdoor zijn verschillende mensen het slachtoffer geworden van identiteitsfraude, en zijn met de valselijk geopende bankrekeningen andere strafbare feiten mogelijk gemaakt, waaronder bankhelpdeskfraude, waardoor een aantal personen geld zijn verloren. Bij het bepalen van de strafmaat liet de rechter meewegen dat de man in 2022 en 2023 al eerder was veroordeeld wegens vermogensdelicten.
Bron: Rechtbank Amsterdam
19 juni 2026 | Autoriteiten delen half miljoen gestolen wachtwoorden met Have I Been Pwned
Politie en andere opsporingsdiensten hebben een half miljoen gestolen wachtwoorden en 154.000 e-mailadressen van gecompromitteerde accounts gedeeld met de zoekmachine voor datalekken Have I Been Pwned (HIBP). Deze gegevens werden aangetroffen tijdens een operatie gericht op het SocGholish botnet. Bovendien zal het Dutch Institute for Vulnerability Disclosure (DIVD) slachtoffers van dit botnet en de verspreide malware informeren, gebruikmakend van informatie die eveneens van de autoriteiten is ontvangen.
Het SocGholish botnet stond bekend om het infecteren van WordPress sites, die vervolgens werden voorzien van malafide code. Deze code toonde aan bezoekers van de gehackte WordPress sites een valse melding dat hun browser geüpdatet moest worden. De aangeboden 'update' was in werkelijkheid infostealer malware, ontworpen om diverse inloggegevens van de getroffen bezoeker buit te maken.
Tijdens de operatie tegen het SocGholish botnet werden meer dan honderd servers en domeinnamen die door het botnet werden gebruikt, offline gehaald. Hierdoor verkreeg de politie toegang tot de gestolen wachtwoorden en e-mailadressen van gecompromitteerde accounts. De autoriteiten hebben nu meer dan een half miljoen voorheen onbekende wachtwoorden en 154.000 e-mailadressen met HIBP gedeeld.
Have I Been Pwned stelt mensen in staat te controleren of hun e-mailadres voorkomt in een bekend datalek. Van de 154.000 e-mailadressen die nu zijn toegevoegd, bleek 86 procent reeds via een ander datalek bij de zoekmachine bekend te zijn. Naast de zoekmachine voor gecompromitteerde e-mailadressen biedt HIBP ook de dienst "Pwned Passwords", een verzameling van wachtwoorden en wachtwoordhashes die in datalekken zijn aangetroffen. Beheerders kunnen deze dienst gebruiken om te controleren of wachtwoordhashes in hun eigen omgeving overeenkomen met bekende gestolen wachtwoordhashes.
Het Dutch Institute for Vulnerability Disclosure (DIVD) heeft aangekondigd slachtoffers van het botnet en de verspreide malware te zullen informeren. De organisatie heeft hiertoe twee datasets van de autoriteiten ontvangen, namelijk een dataset met e-mailadressen van slachtoffers van de infostealer malware van SocGholish, en een dataset met de gehackte WordPress sites die werden misbruikt voor de verspreiding van de malware. Bij het informeren van slachtoffers zal het DIVD een aantal karakters van het gestolen wachtwoord vermelden, aangezien het niet de volledige wachtwoorden van de autoriteiten heeft ontvangen. Het DIVD benadrukt dat het een gerechtvaardigd belang heeft om deze data te verwerken en zo slachtoffers te informeren over de inbreuk.
Bron: csirt.divd.nl
19 juni 2026 | Operation Endgame 4.0 ontmantelt SocGholish malware netwerk, 154.000 e-mailadressen gelekt
Op 18 juni 2026 heeft de nieuwste fase van Operation Endgame zich gericht op de SocGholish malware operatie, een omvangrijk netwerk voor de distributie van malware. Dit netwerk stond bekend om het compromitteren van systemen en het faciliteren van verdere cybercriminaliteit. De internationale wetshandhavingsinstanties, met steun van Europol en Eurojust, coördineerden de operatie die resulteerde in de sanering van bijna 15.000 gecompromitteerde websites. Meer dan 100 servers en domeinen die werden gebruikt voor de verspreiding van malware zijn ontwricht.
Tijdens de operatie hebben de autoriteiten Have I Been Pwned (HIBP) voorzien van gegevens van 154.000 getroffen e-mailadressen en meer dan een half miljoen eerder onbekende wachtwoorden. De gecompromitteerde data omvat specifiek e-mailadressen en wachtwoorden. Dit betekent dat personen wiens gegevens zijn getroffen, een verhoogd risico lopen op verdere cyberaanvallen, zoals phishing of credential stuffing.
Naar aanleiding van deze data lekkage wordt gebruikers dringend geadviseerd om hun wachtwoorden onmiddellijk te wijzigen voor alle accounts waar hetzelfde wachtwoord werd gebruikt. Daarnaast is het van cruciaal belang om overal waar mogelijk twee-factor authenticatie (2FA) in te schakelen om een extra beveiligingslaag toe te voegen aan accounts. Het gebruik van een wachtwoordmanager wordt ook aanbevolen om sterke, unieke wachtwoorden te genereren en veilig op te slaan.
In Nederland wordt de bevolking geadviseerd over online veiligheid via de samenwerking van publieke en private organisaties op veiliginternetten.nl, waar basistips voor online veiligheid worden aangeboden. Deze campagne benadrukt het belang van proactieve beveiligingsmaatregelen om de risico's van dergelijke grootschalige cybercriminaliteit te mitigeren. De succesvolle ontmanteling van de SocGholish operatie toont de effectiviteit van internationale samenwerking in de strijd tegen cybercrime.
Bron: Politie | Bron 2: veiliginternetten.nl
19 juni 2026 | NCSC adviseert WordPress-beheerders na politieactie tegen SocGholish-botnet
Het Nationaal Cyber Security Centrum (NCSC) heeft een dringende oproep gedaan aan beheerders en eigenaren van WordPress sites om hun websites adequaat te beveiligen tegen malware. Deze waarschuwing volgt op een internationale politieoperatie die gericht was tegen het SocGholish botnet. Dit botnet staat bekend om het misbruik van gestolen inloggegevens om WordPress sites te infecteren met malafide code, die op zijn beurt probeert bezoekers van de gecompromitteerde websites te infecteren.
De werkwijze van het SocGholish botnet omvat het presenteren van een misleidende melding aan websitebezoekers, waarbij zij geloven dat ze een essentiële browser update moeten installeren. In werkelijkheid betreft het hier malware die op het systeem van de bezoeker wordt geïnstalleerd. Het NCSC benadrukt daarom de noodzaak voor eigenaren van WordPress sites om onmiddellijk actie te ondernemen en adviseert bezoekers om extra alert te zijn op verdachte updateverzoeken.
De Nederlandse politie heeft in het kader van deze operatie de hackbevoegdheid ingezet om besmette WordPress sites in Nederland op te schonen. Het NCSC heeft aangegeven dat het eigenaren van gehackte WordPress sites actief informeert. Echter, zelfs beheerders die geen notificatiemail van het NCSC hebben ontvangen, worden sterk aangeraden om de geformuleerde adviezen op te volgen.
De overheidsinstantie heeft een reeks concrete adviezen opgesteld voor het beveiligen van WordPress sites. Deze omvatten het controleren op admin accounts die beginnen met 'wp-maintenance-' of 'wp-backup-', het inschakelen van Multi-Factor Authenticatie (MFA), het beperken van toegang tot de /wp-admin omgeving met IP whitelisting, en het minimaliseren van het aantal admin accounts. Verder wordt geadviseerd om sterke wachtwoorden te gebruiken, uitgebreide logging in te schakelen, meldingen voor ongewone acties te activeren en de uitvoering van PHP bestanden in de uploads map te blokkeren. Het up to date houden van WordPress, plug-ins en themes, het zorgen voor betrouwbare back-ups en continue monitoring zijn eveneens cruciale maatregelen. Bij vermoeden van misbruik adviseert het NCSC om de site tijdelijk in onderhoud te plaatsen, bij voorkeur te herstellen vanaf een schone back-up, het systeem volledig te updaten en alle wachtwoorden te wijzigen.
Bron: NCSC
19 juni 2026 | Politie haalt SocGholish-botnet offline, zet hackbevoegdheid in
De Nederlandse politie heeft in een internationale operatie servers van het SocGholish-botnet offline gehaald en de bijbehorende domeinnamen overgenomen. Deze actie, uitgevoerd in samenwerking met Canadese, Duitse en Amerikaanse autoriteiten, Europol en Eurojust, resulteerde tevens in het opschonen van ongeveer 15.000 geïnfecteerde WordPress-sites. In Nederland is bij het opschonen van deze websites de hackbevoegdheid ingezet, zo heeft de politie bekendgemaakt.
Het SocGholish-botnet is al sinds 2017 een aanhoudende dreiging die wordt gebruikt om malware te verspreiden onder internetgebruikers. Het systeem infecteert gehackte WordPress-sites met malafide code. Bezoekers van dergelijke geïnfecteerde websites krijgen een melding die hen aanspoort hun browser te updaten. Het aangeboden updatebestand is echter malware. Wanneer gebruikers dit bestand installeren, krijgen aanvallers toegang tot hun systeem, wat de weg opent voor verdere kwaadaardige acties. De politie benadrukt dat SocGholish onder meer is gebruikt om verschillende soorten ransomware te installeren die vitale infrastructuren hebben aangevallen, met vele slachtoffers tot gevolg.
Tijdens het onderzoek naar het botnet ontdekte de politie dat inloggegevens van 1,4 miljoen WordPress-sites waren gelekt, waardoor deze websites kwetsbaar zijn voor besmetting met malware. De recente operatie heeft meer dan honderd servers en domeinen van het botnet offline gehaald en in beslag genomen. Bij het opschonen van de gehackte websites in Nederland heeft de politie de toegevoegde backdoors en malafide code verwijderd.
De eigenaren van de getroffen WordPress-sites zijn door de politie geïnformeerd over de ingreep en hebben het verzoek ontvangen om hun websitebeveiliging te verbeteren. Specifieke aanbevelingen omvatten het wijzigen van inloggegevens, het inschakelen van multifactorauthenticatie (MFA), het verwijderen van onbekende WordPress-accounts en het up-to-date houden van de website. Het SocGholish-botnet wordt in verband gebracht met de criminele groep EvilCorp, die eerder verantwoordelijk was voor de Zeus- en malware voor Dridex en ook betrokken is bij grootschalige ransomware- en witwasoperaties.
Bron: Nederlandse Politie
19 juni 2026 | Enschedees bedrijf achter Russischgezinde cyberoperaties failliet, FIOD pakte eigenaar op
De Fiscale Inlichtingen en Opsporingsdienst (FIOD) heeft een bedrijf uit Enschede ontmanteld dat volgens justitie diende als dekmantel voor cyberoperaties ten gunste van Rusland. WorkTitans is deze week failliet verklaard, nadat de eigenaar het faillissement zelf had aangevraagd.
De 57-jarige eigenaar, een organisatieadviseur, werd in mei aangehouden op verdenking van het overtreden van de Europese sanctiewetgeving. Volgens de FIOD werd de infrastructuur van het bedrijf gebruikt om cyberaanvallen, beïnvloedingsoperaties en de verspreiding van desinformatie binnen de Europese Unie te ondersteunen. Daarbij gaat het onder meer om sabotage rond de gemeenteraadsverkiezingen in Denemarken. De verdachten zouden personen en organisaties uit Rusland en Belarus hebben gefaciliteerd die onder Europese sancties vallen.
Bij de actie nam de dienst ruim 800 computers in beslag, samen met laptops, telefoons en administratie op verschillende locaties. Een tweede verdachte, een bekende concertpianist, is eigenaar van het hostingbedrijf Mirhosting uit Almere en wordt gezien als medeverdachte.
Met het faillissement verdwijnt het bedrijf, maar het strafrechtelijk onderzoek naar de rol van beide mannen loopt door.
Bron: RTV Oost
20 juni 2026 | Politie houdt drie mannen aan voor versturen van phishingberichten
De politie heeft afgelopen dinsdag drie mannen uit Terneuzen aangehouden op verdenking van het versturen van phishingberichten via e-mail en sms. Deze berichten leken afkomstig te zijn van de Belastingdienst en informeerden ontvangers over een vermeende betalingsachterstand. De links in de berichten verwezen echter niet naar de officiële rekeningnummers van de Belastingdienst, maar naar bankrekeningen die in gebruik waren door de verdachten. Op deze wijze wisten de aangehoudenen onder valse voorwendselen geld af te troggelen van diverse personen in Nederland.
Het exacte aantal slachtoffers van deze phishingaanvallen is op dit moment nog niet volledig bekend. Echter, de politie heeft reeds elf concrete aangiftes ontvangen die direct gekoppeld kunnen worden aan de verstuurde phishingberichten. De drie mannen, met leeftijden van 21, 22 en 30 jaar oud, zijn na hun aanhouding verhoord. Hoewel zij inmiddels in vrijheid zijn gesteld, zullen zij zich op een later tijdstip voor de rechter moeten verantwoorden voor hun vermeende betrokkenheid bij de fraude.
Als onderdeel van het onderzoek heeft de politie ook verschillende woningen doorzocht. Tijdens deze doorzoekingen zijn onder andere diverse gegevensdragers in beslag genomen, die mogelijk meer inzicht kunnen geven in de omvang en werkwijze van de phishingpraktijken. De aanhoudingen benadrukken het voortdurende risico van phishingaanvallen, waarbij cybercriminelen proberen misbruik te maken van het vertrouwen in officiële instanties om financieel gewin te behalen.
Bron: Politie
20 juni 2026 | New Yorkse man aangeklaagd voor cyberstalking met AI gegenereerde naaktfoto's
Een man uit New York is aangeklaagd voor cyberstalking, nadat hij naar verluidt met kunstmatige intelligentie (AI) gegenereerde naaktfoto's en verzonnen racistische berichten heeft gedeeld. Hij gebruikte valse sociale media profielen om een studente van een universiteit in Georgia te intimideren. De 21-jarige Anthony Belford werd op 10 juni voorgeleid, nadat een federale grand jury hem officieel in staat van beschuldiging had gesteld voor één aanklacht wegens cyberstalking.
Belford en het slachtoffer hadden tijdens het academisch jaar 2023-2024 dezelfde universiteit bezocht. Nadat het slachtoffer in augustus 2024 was overgestapt naar een universiteit in Georgia, zou Belford van deze verhuizing op de hoogte zijn geweest en begon hij het slachtoffer daar te targeten. Tussen januari en maart 2025 creëerde de beklaagde naar verluidt valse accounts op Instagram, LinkedIn, Reddit, X, Strava en Yahoo. Deze gebruikte hij om zich voor te doen als het slachtoffer en AI gegenereerde naaktfoto's te verspreiden. Tevens verspreidde hij valse beweringen dat het slachtoffer racistische opmerkingen had gemaakt over zwarte studenten en anti-islamitische uitspraken.
Belford zou een vals LinkedIn-profiel hebben aangemaakt met een met AI gegenereerde naaktfoto van het slachtoffer als profielfoto. Ook gebruikte hij een gespoofte Yahoo e-mailaccount om een AI gegenereerde naaktfoto van het slachtoffer naar de moeder van het slachtoffer te sturen. De beklaagde zou het slachtoffer al hebben getarget toen ze nog aan dezelfde universiteit studeerden, maar hij zette zijn acties voort nadat het slachtoffer in augustus 2024 was overgeplaatst naar een andere universiteit.
Volgens de Amerikaanse procureur Theodore S. Hertzberg voerde Belford een langdurige online campagne, waarbij hij zich verschuilde achter valse sociale media en e-mailaccounts om zijn slachtoffer te intimideren, te belagen en aanzienlijke stress te bezorgen met racistische berichten en met AI gegenereerde naaktfoto's. Hertzberg benadrukte dat cyberstalking en andere vormen van online misbruik, net als fysiek geweld, levens kunnen ruïneren en gemeenschappen kunnen ontwrichten. Hij voegde eraan toe dat slachtoffers van dergelijke misdaden niet in stilte hoeven te lijden en dat de autoriteiten zullen blijven samenwerken met wetshandhavingspartners om de daders van deze misdaden verantwoordelijk te houden met alle beschikbare middelen.
Het Ministerie van Justitie voegde eraan toe dat de federale wet het delen of dreigen met het delen van intieme beelden (inclusief AI gegenereerde beelden) zonder toestemming verbiedt. Het Ministerie drong er bij slachtoffers op aan om overtredingen te melden bij de FBI en de Federal Trade Commission (FTC) te waarschuwen als online platforms dergelijke inhoud niet binnen 48 uur na een verwijderingsverzoek verwijderen. Meer informatie over hoe men zichzelf kan beschermen tegen pogingen tot cyberstalking en de verspreiding van online gedeelde beelden en video's zonder toestemming kan stoppen, is beschikbaar op het Take It Down platform van de FTC.
Deze zaak volgt op andere recente veroordelingen. In maart pleitte de 22-jarige Jamarcus Mosley uit Alabama schuldig aan cyberstalking, afpersing en computerfraude na het hacken van de sociale media accounts van honderden jonge vrouwen. In dezelfde maand pleitte de 26-jarige Kyle Svara uit Illinois ook schuldig aan het hacken van bijna 600 Snapchat accounts van vrouwen om privé naaktfoto's te stelen, die later online werden verhandeld of verkocht.
Bron: U.S. Department of Justice | Bron 2: documentcloud.org | Bron 3: takeitdown.ftc.gov
23 juni 2026 | Twee leden Scattered Spider bekennen schuld in cyberaanval op Transport for London
Twee leden van het criminele collectief Scattered Spider hebben schuld bekend voor hun betrokkenheid bij een cyberaanval op Transport for London (TfL). Thalha Jubair, 20 jaar oud en afkomstig uit Oost-Londen, en Owen Flowers, 18 jaar oud uit Walsall, hebben beide strafbare feiten onder de Britse Computer Misuse Act erkend. De aanval op TfL begon op 31 augustus 2024 en resulteerde in een verstoring van de online diensten van de vervoerder gedurende ongeveer drie maanden. Deze verstoring trof naar schatting tien miljoen reizigers en veroorzaakte een geschatte schade van 39 miljoen pond voor TfL.
Naast zijn rol in de aanval op Transport for London, bekende Owen Flowers ook schuld aan een poging tot hacking van de Amerikaanse zorgorganisaties Sutter Health en SSM Healthcare. De zaak tegen beide verdachten werd onderzocht door de Britse National Crime Agency. De veroordeling van Jubair en Flowers staat gepland voor 15 juli.
Bron: National Crime Agency
24 juni 2026 | Amerikaanse overheid ontmantelt infrastructuur cybercriminele Huione Group
De Amerikaanse overheid heeft dinsdag aangekondigd verdere stappen te hebben ondernomen om de activiteiten van de Cambodjaanse Huione Group te ondermijnen. Dit conglomeraat wordt beschuldigd van het faciliteren van investeringsfraude, het witwassen van geld en andere cybergerelateerde misdrijven. Het Department of Justice (DoJ) heeft de inbeslagname bekendgemaakt van een cloud computing account dat door dochterondernemingen van de Huione Group werd gebruikt.
Deze niet-gespecificeerde cloud account fungeerde als backend infrastructuur voor de dochterondernemingen. De vermeende criminele operatie omvatte onder meer Telegram-kanalen waar "gesprekken plaatsvonden over illegale producten en/of diensten". Deze varieerden van de verkoop van gestolen creditcard- en identiteitsinformatie en opbrengsten van door malware ondersteunde diefstallen, tot het regelen van personen voor mensensmokkel en het witwassen van opbrengsten uit romantische en investeringsfraude.
Vorig jaar heeft het Financial Crimes Enforcement Network (FinCEN) van het Amerikaanse Ministerie van Financiën de Huione Group al volledig afgesneden van het Amerikaanse financiële systeem. Destijds stelde FinCEN vast dat de Huione Group tussen augustus 2021 en januari 2025 zeker 4 miljard dollar aan illegale opbrengsten had witgewassen. Dit omvatte niet alleen fondsen afkomstig van oplichtingspraktijken in Zuidoost-Azië, maar ook van cyberovervallen gepleegd door Noord-Koreaanse actoren.
De Cambodjaanse autoriteiten voerden vorig jaar al een eigen harde aanpak door tegen de regionale oplichtingsindustrie, wat leidde tot de arrestatie van Li Xiong, de voormalige leider van de Huione Group. Hij werd uitgeleverd aan China om daar aanklachten wegens witwassen en fraude te beantwoorden. Autoriteiten beschuldigden hem ervan lid te zijn van het Chen Xi misdaadsyndicaat.
In april van dit jaar heeft de Amerikaanse overheid afzonderlijk sancties opgelegd aan meer dan twee dozijn personen wegens hun betrokkenheid bij oplichtingspraktijken, waaronder een Cambodjaanse senator. Een hoge functionaris van de FBI verklaarde in april dat het bureau samenwerkte met regeringen in Zuidoost-Azië om de transnationale bendes achter deze industrie te bestrijden.
Assistant Director Heith Janke van de Criminal Division van de FBI benadrukte dat de inbeslagname van dinsdag "onze toewijding toont om elk onderdeel van het illegale ecosysteem te ontwrichten en samen te werken met onze partners om verdere slachtofferschap door oplichting te voorkomen."
Bron: U.S. Department of Justice | Bron 2: fincen.gov | Bron 3: recordedfuture.com
25 juni 2026 | "Snoopy" veroordeeld tot 18 maanden cel voor hack op DraftKings
Nathan Austad, een 21-jarige man uit Minnesota die de alias "Snoopy" gebruikte, is veroordeeld tot 18 maanden gevangenisstraf voor zijn betrokkenheid bij de hack op DraftKings accounts in november 2022. Austad bekende in december 2025 schuld aan samenzwering tot computervredebreuk. Hij gaf toe dat hij en zijn medeplichtigen 60.000 gebruikersaccounts van DraftKings hadden gecompromitteerd.
Tijdens de aanval voegden de hackers betaalmethoden onder hun controle toe aan 1.600 accounts en stalen zij in totaal $600.000. DraftKings, een platform voor fantasiesporten en sportweddenschappen, meldde in november 2022 aanvankelijk dat minder dan $300.000 was gestolen door middel van credential stuffing aanvallen, waarbij misbruik werd gemaakt van zwakke of hergebruikte inloggegevens. Een maand later corrigeerde het bedrijf dit, en stelde dat 67.995 klantaccounts waren gecompromitteerd.
In mei 2023 klaagden de Amerikaanse autoriteiten Joseph Garrison aan voor zijn rol in het plan. Hij en zijn medeplichtigen werden ervan beschuldigd toegang tot gehackte DraftKings accounts te hebben verkocht via online marktplaatsen, waaronder de "Goat Shop". In januari 2024 werden nog meer verdachten aangeklaagd, waaronder Kamerin Stokes ("TheMFNPlug") en Nathan Austad ("Snoopy"). Austad beheerde naar verluidt zijn eigen webshop, genaamd naar het stripfiguur Snoopy, waar hij toegang tot gestolen accounts verkocht en gebruikte hiervoor ook andere platforms.
Het Amerikaanse Ministerie van Justitie (DoJ) heeft niet bekendgemaakt hoeveel de hackers verdienden met de verkoop van toegang tot de gecompromitteerde accounts, maar merkte op dat Austads cryptocurrency accounts ongeveer $465.000 aan activa ontvingen. Het DoJ vermeldde ook directe berichten die Austad naar zijn medeplichtigen stuurde, waarin hij openlijk toegaf fraude te plegen en anderen waarschuwde zich voor te bereiden.
Joseph Garrison ontving in januari 2024 al een gevangenisstraf van 18 maanden, terwijl Kamerin Stokes in april 2026 een straf van 30 maanden kreeg. Naast zijn gevangenisstraf kreeg Austad drie jaar voorwaardelijke vrijlating onder toezicht en werd hij veroordeeld tot een verbeurdverklaring van $463.684 en een schadevergoeding van $1.327.061.
Bron: U.S. Department of Justice | Bron 2: hubs.li
25 juni 2026 | Europol en Microsoft ontmantelen grootschalige cybercrime-operaties
Europol en Microsoft hebben, in samenwerking met internationale wetshandhavingsinstanties, een omvangrijke operatie uitgevoerd om de infrastructuur van "cybercrime als een dienst" te ontwrichten. De tweeweekse actie, die zich richtte op de 'assembly lines' die cybercriminelen gebruiken voor ransomware, financiële fraude en aanvallen op kritieke infrastructuur, resulteerde in de ontmanteling van 326 servers en 142 domeinen. Ook werden crypto-activa van "criminele oorsprong" ter waarde van 41 miljoen euro teruggevonden, samen met ongeveer 27 miljoen gestolen inloggegevens.
De operatie viseerde specifiek de infrastructuur van bendes die de malwarestammen SocGholish, Amadey en StealC verspreidden. Deze tools werden door andere cybercriminelen betaald en gebruikt om diverse misdrijven te plegen. Microsoft omschrijft deze aanpak als een nieuwe strategie in de strijd tegen cybercriminaliteit, waarbij de toeleveringsketen van cyberaanvallen wordt aangepakt, in plaats van alleen individuele diensten. Het doel is om de "cybercrime assembly line" te verstoren die ransomware, financiële fraude en verstoringen van openbare diensten aanstuurt.
Infostealers zoals StealC zijn al langer een probleem, omdat ze ongemerkt wachtwoorden, cookies en sessietokens buitmaken en een belangrijke rol spelen bij andere inbraken. SocGholish en Amadey worden doorgaans ingezet als droppers, malware die toegang verschaft tot netwerken voor de implementatie van andere kwaadaardige code. Microsoft-onderzoekers hebben met behulp van kunstmatige intelligentie vastgesteld dat Amadey en StealC afhankelijk zijn van dezelfde infrastructuur. Ze worden vaak samen gebruikt, waarbij Amadey primair dient voor inbraak en StealC voor het stelen van wachtwoorden en andere gevoelige data. Het gelijktijdig uitschakelen van beide zal volgens Microsoft een exponentieel effect hebben.
De andere verstoorde malware, SocGholish, maakt het mogelijk om in systemen in te breken door valse browserupdates te versturen via gecompromitteerde websites. Europol meldde dat het 14.971 geïnfecteerde websites van alledaagse detailhandelaren heeft gevonden die waren getroffen door deze variant. SocGholish wordt in verband gebracht met Evil Corp, een Russische cybercrimebende die gelinkt is aan diverse grootschalige witwas- en ransomware-activiteiten.
Volgens Microsoft maakt de gelijktijdige ontwrichting van meerdere onderdelen van een operatie het lanceren, schalen en herstellen van aanvallen moeilijker. Dit leidt tot minder verstoringen van diensten, minder winstmogelijkheden voor cybercriminelen en meer frictie wanneer zij proberen hun operaties te herbouwen. De malwarestammen Amadey en StealC waren alleen al in de eerste twee weken van mei geassocieerd met meer dan 140.000 geïnfecteerde computers wereldwijd. De operatie identificeerde in totaal 18.000 computers van slachtoffers. Microsoft benadrukt dat modulaire, pay-as-you-go modellen zoals StealC en Amadey dreigingsactoren in staat stellen om een enkele initiële infectie snel te escaleren naar meerdere andere dreigingen.
Bron: Europol | Bron 2: blogs.microsoft.com | Bron 3: recordedfuture.com
25 juni 2026 | Internationale operatie ontmantelt Amadey en StealC malware netwerken, 27 miljoen inloggegevens hersteld
Een gecoördineerde wetshandhavingsoperatie, in samenwerking met private sector bedrijven zoals Bitdefender, Bitsight, ESET en Microsoft, heeft geleid tot de ontmanteling van de criminele infrastructuur achter de malware Amadey en StealC. Europol verklaarde in een verklaring dat het hoofddoel was om de 'assemblagelijnen' te ontwrichten die cybercriminelen gebruiken voor het lanceren van ransomware, financiële fraude en aanvallen op kritieke infrastructuur.
Deze ontwikkeling volgt op een eerdere actie waarbij autoriteiten uit Nederland, Canada, Duitsland en de Verenigde Staten kwaadaardige infrastructuur gerelateerd aan SocGholish ontwrichtten en bijna 15.000 geïnfecteerde WordPress websites opschoonden. Als onderdeel van de twee weken durende actie zijn cryptocurrency activa van criminele oorsprong ter waarde van meer dan 47 miljoen dollar geïdentificeerd, gemarkeerd en geblokkeerd voor gebruik. Bovendien zijn maar liefst 27 miljoen gestolen inloggegevens hersteld en is het distributienetwerk van de malware gehinderd door de ontmanteling van 326 servers en 142 domeinen.
Alex Cosoi, chief security strategist bij Bitdefender, benadrukte de kracht van publiek-private samenwerking: "Deze ontmanteling is een krachtige demonstratie van wat publieke en private sector samenwerking kan bereiken bij het ontwrichten van de infrastructuur die cybercriminaliteit op schaal mogelijk maakt."
Alle drie de malwarefamilies, Amadey, StealC en SocGholish, werden aangeboden via een malware-as-a-service (MaaS) model, waardoor klanten extra payloads konden leveren of gevoelige informatie van gecompromitteerde hosts konden stelen. SocGholish en Amadey functioneren als loaders voor het introduceren van volgende-fase malware, waarbij SocGholish voornamelijk wordt verspreid via gecompromitteerde WordPress websites en Amadey via phishingcampagnes. Amadey is ook verspreid via andere loaders zoals **Emmenhtal** en SmokeLoader.
Amadey, een modulaire backdoor op basis van C++, is sinds oktober 2018 actief en wordt geadverteerd door een dreigingsactor genaamd InCrease. De dienst kost 600 dollar voor een enkele licentie, met een extra 50 dollar per herbouw. De nieuwste versie van Amadey is 5.87. De malware kan onder andere machines 'fingerprinten', bestanden, DLL's, MSI's of PowerShell scripts downloaden, commando's uitvoeren via "cmd.exe", een VNC- of reverse proxy-sessie openen, en klembordinhoud en inloggegevens vastleggen. Volgens gegevens van Mitsui Bussan Secure Directions steeg het dagelijkse aantal actieve Amadey command-and-control (C2) servers van ongeveer twee tot achttien tot september 2022, naar vijf tot dertig van januari tot december 2023, wat duidt op wijdverbreid gebruik. **In 2024, na een korte slapende periode, daalde het dagelijkse aantal geleidelijk vanaf een piek van 17 en is tot op heden blijven dalen.** Het aantal malware samples dat via Amadey werd verspreid, bereikte in 2025 een hoogtepunt van 11.635.
StealC, aan de andere kant, maakte gebruik van diverse initiële toegangsmethoden, waaronder malware loaders (zoals Amadey) en lokmiddelen van ClickFix. Het is uitgerust om gevoelige informatie te extraheren, zoals screenshots, inloggegevens, sessiecookies, autofill-gegevens, creditcardgegevens, browsergeschiedenis en extensiegegevens. De malware verscheen voor het eerst in januari 2023 en werd verkocht voor 300 dollar per maand (of 1.000 dollar voor zes maanden) door een dreigingsactor met het pseudoniem "plymouth". De nieuwste versie van de stealer is 2.2.1. De hoogste infectieconcentraties zijn gemeld in de Verenigde Staten, Polen en Italië. Naast het richten op Chromium browsers, verzamelt de malware gegevens van desktopapplicaties zoals Discord, FileZilla, Foxmail, Microsoft Outlook, Steam en Telegram, evenals bestanden die overeenkomen met bepaalde naamgevingspatronen. Het fungeert ook als een secundaire loader, die in staat is om EXE-, MSI- of PowerShell-payloads te downloaden en uit te voeren op basis van commando's van een externe server. Een opvallend aspect van de stealer, geschreven in C++, is de mogelijkheid om de standaardtaal van het systeem op te vragen en zichzelf te beëindigen als de locale overeenkomt met landen als Rusland, Oekraïne, Wit-Rusland, Kazachstan of Oezbekistan. Amadey heeft een vergelijkbare controle om bepaalde functionaliteiten, zoals het stelen van inloggegevens en klembordinhoud, over te slaan bij uitvoering op een Russische, Oekraïense of Wit-Russische host.
Eerder in januari legde CyberArk een cross-site scripting (XSS) kwetsbaarheid bloot in het webgebaseerde controlepaneel van de StealC-operatoren, waardoor inzicht kon worden verkregen in de MaaS-operatie, inclusief een van zijn klanten genaamd YouTubeTA, die Google's videoplatform gebruikte om de stealer te verspreiden door gekraakte versies van Adobe Photoshop en Adobe After Effects aan te bieden. IBM X-Force en Proofpoint identificeerden ook meerdere beveiligingsfouten in het C2-paneel, waaronder een directory traversal kwetsbaarheid die het mogelijk maakte een webshell te uploaden naar de StealC C2-server. Dit probleem werd in februari 2026 door de StealC-ontwikkelaars gepatcht.
Bron: Europol | Bron 2: blogs.microsoft.com | Bron 3: trendmicro.com
25 juni 2026 | België verdubbelt inzet ingrijpende spionagemethoden door inlichtingendiensten
Het gebruik van ingrijpende spionagemethoden door de Belgische inlichtingendiensten is in ruim tien jaar tijd meer dan verdubbeld. Van 1.378 keer in 2013 steeg het aantal toepassingen naar 3.135 keer in 2025. Dit blijkt uit het jaarrapport van het Comité I, het toezichtsorgaan dat de burgerlijke inlichtingendienst (Staatsveiligheid) en de militaire inlichtingendienst (ADIV) controleert.
De bijzondere inlichtingenmethoden (BIM's) omvatten onder meer telefoontaps, observaties, het opvragen van telecomgegevens, het binnendringen in computersystemen en het doorzoeken van niet-publiek toegankelijke plaatsen. Vorig jaar gaf de BIM-commissie, bestaande uit magistraten, 3.135 keer groen licht voor het inzetten van dergelijke methoden. Dit is een stijging van 6,7 procent ten opzichte van 2024, toen 2.937 keer toestemming werd verleend.
De Staatsveiligheid is verantwoordelijk voor het merendeel van deze toepassingen, met 2.386 goedkeuringen in 2025, vergeleken met 749 voor de ADIV. Ongeveer driekwart van alle methoden wordt door de Staatsveiligheid ingezet. Dit verschil wordt deels verklaard door de focus van de ADIV op buitenlandse operaties, terwijl de Staatsveiligheid voornamelijk in België actief is. Bovendien is het personeelsbestand van de Staatsveiligheid sinds de aanslagen van 22 maart 2016 verdubbeld tot ongeveer 1.000 medewerkers, wat logischerwijs leidt tot een toename van het gebruik van deze methoden.
Het opvragen van telefoniegegevens, zoals de lokalisatie van een telefoon of de identiteit achter een nummer, is een van de meest gebruikte methoden door de Staatsveiligheid. Daarnaast werden in 2025 473 toestemmingen gegeven voor het afluisteren van telefoons. Andere frequente methoden zijn observaties met technische middelen, zoals verborgen camera's, en het verzamelen van gegevens over bankrekeningen en transacties. Het doorzoeken van woningen of niet-publiek toegankelijke plaatsen gebeurde 18 keer in 2025. Opvallend is dat de Staatsveiligheid vorig jaar geen gebruik maakte van de mogelijkheid tot infiltratie, noch fysiek, noch virtueel (op het internet).
De bijzondere inlichtingenmethoden worden voornamelijk ingezet in dossiers rond terrorisme en spionage, en in mindere mate bij dreigingen van inmenging en extremisme. Nieuw is de inzet van deze methoden door de Staatsveiligheid in de strijd tegen georganiseerde misdaad. Voor personen met een beschermd beroep, zoals advocaten, artsen of journalisten, gelden strengere voorwaarden. Het Comité I stelde vast dat in een zeer beperkt aantal gevallen BIM’s werden ingezet tegen mensen met zo’n beroep, en dat aan de wettelijke garanties en voorwaarden was voldaan.
Sinds 2022 kunnen inlichtingendiensten ook ondersteuningsmaatregelen aanvragen, zoals toestemming om strafbare feiten te plegen, valse identiteiten te gebruiken of nepfirma's op te richten om hun informatiepositie te versterken. In 2025 keurde de BIM-commissie 17 van dergelijke verzoeken goed, allen afkomstig van de Staatsveiligheid. Hierbij kan het gaan om medewerkers of menselijke bronnen die bijvoorbeeld strafbare uitlatingen doen op het internet om geloofwaardig te zijn binnen een extremistische groepering. Het Comité I meldt dat er vorig jaar geen klachten zijn ingediend over het gebruik van een bijzondere inlichtingenmethode.
Bron: Comité I
25 juni 2026 | Politie haalt servers malware voor infostealer offline, vindt 24 miljoen inloggegevens
De Nederlandse politie heeft, in samenwerking met Europol, Microsoft en diverse internationale opsporingsdiensten, een grootschalige actie uitgevoerd tegen malware voor infostealer. Tijdens deze operatie zijn servers van de malware offline gehaald en domeinen in beslag genomen. De autoriteiten ontdekten hierbij meer dan 24 miljoen gestolen inloggegevens, afkomstig van 384.000 besmette systemen wereldwijd.
De operatie richtte zich specifiek op de malwarevarianten Amadey en StealC. Amadey fungeert als een 'loader', een type malware dat in staat is om andere kwaadaardige software op geïnfecteerde systemen te installeren. Dit kunnen bijvoorbeeld ransomware, remote access trojans of aanvullende malware voor infostealer zijn. De verspreiding van Amadey vindt onder andere plaats via phishingcampagnes en ClickFix-aanvallen. Een van de specifieke malware-exemplaren die Amadey op besmette computers kan plaatsen, is StealC.
StealC is een infostealer die gespecialiseerd is in het stelen van gevoelige informatie. Deze malware kan data ontfutselen uit diverse bronnen, waaronder internetbrowsers, cryptowallets, chatapps, e-mailclients en gamingplatforms. De buit bestaat voornamelijk uit inloggegevens zoals wachtwoorden en session cookies, die cybercriminelen toegang kunnen geven tot talloze online diensten. Volgens gegevens van Microsoft waren alleen al in de eerste twee weken van mei van dit jaar wereldwijd zeker 140.000 systemen besmet met de malware.
De internationale samenwerking, waarbij het Team High Tech Crime van de Nederlandse politie intensief optrok met Duitse, Deense, Britse en Amerikaanse opsporingsdiensten, en met ondersteuning van Eurojust, resulteerde in het offline halen van honderden servers en de inbeslagname van ruim honderdveertig domeinnamen. Op de ontmantelde servers troffen de autoriteiten de enorme hoeveelheid van 24 miljoen inloggegevens aan. Deze gegevens waren gerelateerd aan meer dan anderhalf miljoen verschillende online diensten en bedrijven, wat de omvang van de dreiging benadrukt.
De politie benadrukt dat slachtoffers van malware voor infostealer ervan uit moeten gaan dat de inloggegevens van álle accounts die vanaf het besmette systeem zijn gebruikt, in handen van criminelen zijn gevallen. Het is daarom cruciaal om niet alleen het wachtwoord van het account waarvoor een specifieke melding wordt ontvangen te wijzigen. Het dringende advies luidt om onmiddellijk de inloggegevens van alle accounts die op hetzelfde geïnfecteerde apparaat zijn gebruikt aan te passen en, waar mogelijk, tweefactorauthenticatie in te schakelen voor extra beveiliging.
Bron: Politie | Bron 2: microsoft.com | Bron 3: europol.europa.eu
25 juni 2026 | Europol waarschuwt voor neppe updates na operatie tegen SocGholish botnet
Europol heeft een waarschuwing uitgegeven over het gevaar van pop-ups en updates die in browsers verschijnen, na een internationale operatie gericht op het SocGholish botnet. Deze opsporingsdienst benadrukt dat internetgebruikers dergelijke meldingen nooit blindelings moeten vertrouwen, zelfs als ze legitiem lijken. De Nederlandse politie nam ook deel aan deze actie.
Criminelen misbruikten gehackte sites die draaien op WordPress om malafide updates aan te bieden aan bezoekers. Deze zogenaamde updates waren in werkelijkheid malware, vandaar dat SocGholish ook wel bekendstaat als 'FakeUpdates'. In veel gevallen ging het om infostealer malware, ontworpen om diverse wachtwoorden en andere inloggegevens van systemen te stelen. Tijdens de operatie werden maar liefst 27 miljoen gestolen inloggegevens door opsporingsdiensten aangetroffen.
Om infecties door SocGholish malware te voorkomen, adviseert Europol enkele cruciale maatregelen. Ten eerste mogen pop-ups die in de browser verschijnen nooit worden vertrouwd. Daarnaast moeten gebruikers terughoudend zijn met updates die een schreeuwerige toon hebben en om directe actie vragen. Het is van groot belang om updates niet te vertrouwen enkel en alleen omdat ze er legitiem uitzien.
Europol stelt duidelijk dat legitieme updates altijd afkomstig zijn van een officiële bron. Dit kan bijvoorbeeld via de systeeminstellingen van een apparaat of via erkende appstores. Gebruikers moeten altijd de herkomst van updates controleren en deze alleen installeren via betrouwbare kanalen.
Bron: Europol
26 juni 2026 | Poolse autoriteiten arresteren SIM-swapping bende achter miljoenen aan cryptodiefstal
Autoriteiten in Polen hebben vier leden gearresteerd van een georganiseerde cybercriminele groep die wordt beschuldigd van het inbreken bij telecommunicatiepartners en het kapen van e-mail accounts om SIM-swapping aanvallen uit te voeren. De operatie werd uitgevoerd door het Poolse Cybercrime Bureau (CBZC), met ondersteuning van de FBI en Homeland Security Investigations (HSI) in de Verenigde Staten.
Volgens onderzoekers voerden de verdachten geavanceerde cyberaanvallen uit om data te verkrijgen die werden gebruikt bij SIM-swapping. Ze kaapten telefoonnummers van slachtoffers, onderschepten SMS-berichten en e-mailcommunicatie, en verkregen uiteindelijk controle over accounts bij cryptocurrency beurzen. Naar schatting zijn op deze wijze miljoenen Amerikaanse dollars gestolen, die vervolgens werden witgewassen "via een gedistribueerd financieel netwerk".
Het Poolse Cybercrime Bureau (CBZC) verklaarde dat de daders, door gebruik te maken van gespecialiseerde software en social engineering, ongeautoriseerde toegang verkregen tot de infrastructuur van entiteiten die samenwerken met telecommunicatie operators en tot e-mail accounts van werknemers. De aldus verkregen gegevens maakten zogenaamde SIM-swap aanvallen mogelijk, waarbij telefoonnummers van slachtoffers illegaal werden gekloond en overgenomen.
De Poolse autoriteiten merken op dat de daders deze activiteiten beschouwden als "een reguliere bron van inkomsten", waarbij ze meerdere bankrekeningen in verschillende landen en digitale wallets gebruikten om de gestolen fondsen over te maken. Het CBZC schat dat de totale waarde van de op deze manier witgewassen fondsen tientallen miljoenen Poolse złoty overschrijdt, wat neerkomt op ten minste 5 miljoen dollar tegen de huidige wisselkoers.
De vier gearresteerde personen, die allemaal in voorlopige hechtenis zijn geplaatst, worden nu aangeklaagd voor deelname aan een georganiseerde criminele groep, het hacken van IT systemen om diefstal te plegen en witwassen. De maximale straf voor deze vergrijpen is 25 jaar gevangenisstraf. Hoewel het CBZC geen namen van de gearresteerde dreigingsactoren noemde, identificeerde blockchain misdaadonderzoeker ZachXBT een van hen als Wojtek Kulisz, ook bekend als "Merry", op basis van beelden die de autoriteiten vrijgaven van de politie-inval.
Bron: Poolse Cybercrime Bureau (CBZC) | Bron 2: cbzc.policja.gov.pl
26 juni 2026 | Internationale phishingbende opgerold in Oost-Vlaanderen na oplichting van ruim 100.000 euro
De federale gerechtelijke politie van Oost-Vlaanderen heeft een internationale bende die zich bezighoudt met phishing opgerold. De criminelen lichtten slachtoffers in België en andere Europese landen voor meer dan 100.000 euro op. Drie verdachten zijn gearresteerd en zitten momenteel in de gevangenis in afwachting van hun proces.
Het onderzoek begon begin 2025, nadat het parket van Oost-Vlaanderen meldingen ontving van ongeveer veertig gevallen van phishing. De slachtoffers kregen valse e-mails die afkomstig leken van MyEbox, het officiële platform van de overheid. In deze e-mails werd hen gevraagd op een link te klikken om een bericht te kunnen raadplegen.
Wie op de kwaadaardige link klikte, kwam terecht op een nagemaakte website van de overheid die sterk leek op de officiële toegangspoort tot overheidsdiensten. Deze phishingpagina bevatte ook de logo's van diverse Belgische banken. Slachtoffers werden daar verzocht hun bankgegevens, zoals naam, kaartnummer en CVC-code, in te vullen en deze vervolgens te bevestigen via itsme of een kaartlezer. Met de verkregen gegevens sluisden de verdachten geld weg via onder meer online winkels, Booking.com, Airbnb, Uber, Bolt en PayPal Singapore.
Patrick Willocx van de Federale Gerechtelijke Politie Oost-Vlaanderen verklaarde dat de verdachten met het buitgemaakte geld een luxe leven leidden. Ze pronkten op sociale media met luxe reizen, dure voertuigen en een opvallende levensstijl.
Op 12 februari 2026 arresteerde de federale gerechtelijke politie twee verdachten in een verblijf via Airbnb in Brussel. Een derde verdachte werd in Italië opgepakt en aan België overgeleverd. De onderzoeksrechter in Dendermonde heeft de drie verdachten aangehouden. Het onderzoek naar de volledige omvang van de fraude en eventuele andere betrokkenen is nog gaande.
Het parket en de politie roepen het publiek op waakzaam te zijn. De belangrijkste aanbeveling is om nooit op een link in een e-mail te klikken, maar altijd zelf rechtstreeks naar de website van de bank of de overheid te gaan. Officiële instanties vragen nooit om gevoelige gegevens via e-mail of onbekende links en komen ook niet aan huis om een bankkaart op te halen. Verdachte berichten kunnen gemeld worden via verdacht@safeonweb.be. Slachtoffers wordt geadviseerd zo snel mogelijk contact op te nemen met hun bank om de rekening te laten blokkeren, dit kan 24/7 via Fraudstop op het nummer 078 170 170.
Bron: Federale Gerechtelijke Politie Oost-Vlaanderen
26 juni 2026 | Man veroordeeld voor bezit leadlijsten en crimineel gebruik AnyDesk
De Rechtbank Noord-Nederland heeft een 27-jarige man veroordeeld tot een onvoorwaardelijke gevangenisstraf van twee jaar. De man werd schuldig bevonden aan het bezit van leadlijsten met niet-openbare persoonsgegevens en het criminele gebruik van de software AnyDesk. Dit vonnis volgt op een onderzoek van de politie naar de handel in lead- en combolijsten op Telegram.
Leadlijsten bevatten persoonlijke informatie zoals namen, adresgegevens, telefoonnummers en rekeninggegevens. Deze gegevens zijn vaak afkomstig van datalekken of worden door medewerkers van bedrijven buitgemaakt en verkocht aan criminelen. Combolijsten zijn lijsten met inloggegevens. Beide typen lijsten worden veelvuldig ingezet voor diverse vormen van fraude.
De politie startte eind 2023 een pseudokoop om de identiteit van een handelaar in deze lijsten te achterhalen. Tijdens het contact met de handelaar werd een URL gedeeld. Na het klikken op deze link kon het IP-adres van de handelaar worden achterhaald, evenals informatie over het gebruikte apparaat. Op basis van het IP-adres leidde het spoor naar een woonadres, waar vervolgens een huiszoeking plaatsvond.
Tijdens de huiszoeking werd een MacBook in beslag genomen. Op deze laptop werden acht leadlijsten aangetroffen, met daarin de gegevens van meer dan 110.000 personen. Ook was de software AnyDesk op de laptop geïnstalleerd. AnyDesk is legitieme software die remote toegang tot andere systemen mogelijk maakt, maar wordt vaak misbruikt bij bankhelpdeskfraude.
De verdachte verklaarde dat de aangetroffen gegevens en AnyDesk niet bedoeld waren voor het plegen van een misdrijf en dat hij het programma nodig had voor ICT-ondersteuning van zijn webshop. De rechter achtte deze verklaringen niet geloofwaardig. De rechtbank stelde dat het een feit van algemene bekendheid is dat grote hoeveelheden persoonsgegevens, vallend onder de Algemene Verordening Gegevensbescherming (AVG), niet legaal beschikbaar zijn en veelal voor illegale doeleinden worden gebruikt. De aanwezigheid van AnyDesk in combinatie met de grote hoeveelheid leadlijsten en de overige misdrijven waar de verdachte zich schuldig aan maakte, werd als kenmerkend voor het plegen van strafbare feiten beschouwd.
De man werd schuldig bevonden aan het voorhanden hebben van leadlijsten en de software AnyDesk, wetende dat deze bestemd waren voor het plegen van misdrijven. Daarnaast werd hij veroordeeld voor het ronselen van inloggegevens en bankpassen van geldezels, medeplegen van oplichting, diefstal van bankrekeningen en witwassen. De rechter benadrukte dat leads worden gebruikt voor fraude, zoals phishing en bankhelpdeskfraude, waarbij vaak ouderen en andere kwetsbare mensen slachtoffer worden. Een medeverdachte in dezelfde zaak kreeg een gevangenisstraf van drie jaar.
Bron: Deze informatie is afkomstig van een anonieme tip aan Cybercrimeinfo
26 juni 2026 | Nederlandse politie haalt StealC malware infrastructuur offline, 3.000 Nederlandse computers besmet
De Nederlandse politie heeft, in samenwerking met diverse opsporingsdiensten, de servers en domeinnamen die werden gebruikt door de StealC malware succesvol offline gehaald. Deze internationale operatie, waarvan de resultaten gisteren al bekend werden gemaakt, richtte zich op een wereldwijd netwerk van besmette Windows computers. Uit recente gegevens van The Shadowserver Foundation blijkt dat in totaal bijna 385.000 Windows computers wereldwijd besmet waren met de StealC malware, waarvan drieduizend zich in Nederland bevonden.
StealC is een type infostealer malware, ontworpen om wachtwoorden en andere gevoelige inloggegevens van geïnfecteerde systemen te stelen. De malware wordt veelal geïnstalleerd via de Amadey 'loader' malware, die dient als een initial toegangspunt voor de aanvallers.
Tijdens de opsporingsoperatie hebben de politiediensten op de servers van de cybercriminelen een aanzienlijke hoeveelheid gestolen data aangetroffen. Het ging hierbij om 9,9 miljoen unieke inloggegevens en 9,6 miljoen unieke wachtwoordhashes. Deze gegevens waren afkomstig van de eerder genoemde 385.000 besmette computers.
The Shadowserver Foundation, een stichting die zich toelegt op het onderzoeken van kwetsbare systemen op het internet, heeft de geografische spreiding van de besmettingen nauwkeurig in kaart gebracht. Hieruit blijkt dat de meeste infecties werden waargenomen in landen als India, de Verenigde Staten en Brazilië. Deze besmettingen vonden onder andere plaats via methoden zoals phishing en ClickFix aanvallen. Duitsland is met 8.200 infecties het enige Europese land dat een plek in de Top 10 van meest besmette landen inneemt. In Nederland werden, zoals eerder vermeld, circa drieduizend besmette computers geregistreerd.
Nadere analyse van de gestolen inloggegevens door The Shadowserver Foundation toont aan dat het merendeel betrekking had op e-mail diensten. Specifiek werden 1,5 miljoen inloggegevens van Gmail.com, 138.000 van Hotmail.com, 72.000 van Outlook.com, 68.000 van Yahoo.com en 24.000 van iCloud.com gestolen. Daarnaast waren er inloggegevens afkomstig van diverse regionale varianten van deze maildiensten, zoals outlook.fr en yahoo.fr. Het bezit van een gecompromitteerd e-mail adres stelt aanvallers in staat om verdere accounts van slachtoffers over te nemen.
De politie heeft gisteren naar aanleiding van de operatie een dringend advies uitgebracht aan potentiële slachtoffers. Personen die vermoeden dat zij slachtoffer zijn geworden van een infostealer, moeten ervan uitgaan dat alle accounts waarop via het geïnfecteerde apparaat is ingelogd, mogelijk in handen van de criminelen zijn gevallen. Het is daarom cruciaal om niet alleen het wachtwoord van het account waarvoor een melding is ontvangen te wijzigen, maar direct de inloggegevens van alle accounts die op hetzelfde apparaat zijn gebruikt aan te passen. Tevens wordt sterk aangeraden om waar mogelijk twee-factor authenticatie in te schakelen voor extra beveiliging.
Bron: Politie | Bron 2: shadowserver.org
27 juni 2026 | Federale Politie richt Nationale Cel Phishing op na massaal verlies Vlamingen
De Belgische Federale Politie intensiveert de strijd tegen phishingbendes met de oprichting van een speciale Nationale Cel Phishing. Deze maatregel volgt op een alarmerende toename van financiële verliezen bij slachtoffers in Vlaanderen, waarbij gemiddeld meer dan 10.000 euro per persoon verloren gaat en in sommige gevallen zelfs bedragen van meer dan een miljoen euro. De criminele kopstukken achter deze fraudepraktijken wisten tot nu toe grotendeels onder de radar te blijven.
De nieuwe gespecialiseerde ploeg heeft als taak om verspreide aangiftes van phishing uit heel België te bundelen. Door deze nationale coördinatie hopen speurders sneller inzicht te krijgen in de werkwijze en structuur van de verantwoordelijke criminele organisaties. Commissaris-generaal Eric Snoeck heeft aangekondigd dat het team een versnelling hoger schakelt om de georganiseerde misdaad achter de phishingaanvallen effectiever aan te pakken. Deze centrale aanpak moet leiden tot een efficiëntere opsporing en vervolging van de daders, die aanzienlijke schade toebrengen aan individuele burgers en de samenleving.
Bron: HLN.be
27 juni 2026 | Bankhelpdeskfraudeur krijgt twee jaar cel na aanhouding op heterdaad
Een 23-jarige man is veroordeeld tot een onvoorwaardelijke gevangenisstraf van twee jaar voor bankhelpdeskfraude. De rechtbank Midden-Nederland oordeelde tevens dat de man een bedrag van meer dan 35.000 euro moet terugbetalen aan ABN Amro, ING, Rabobank en diverse slachtoffers.
De man opereerde door slachtoffers telefonisch te benaderen en zich voor te doen als medewerker van verschillende banken. Hij overtuigde hen om geld over te maken naar rekeningen die hij controleerde. In andere gevallen liet hij slachtoffers software zoals AnyDesk installeren, waardoor hij hun computers kon overnemen. Daarnaast wist hij slachtoffers te bewegen hun fysieke bankpas of creditcard af te geven aan een persoon die deze aan huis kwam ophalen.
De politie kwam de verdachte op het spoor dankzij historische verkeersgegevens van een telefoonnummer dat bij één van de fraudegevallen werd gebruikt. Hij werd op heterdaad aangehouden terwijl de politie meeluisterde met een telefoongesprek waarin hij zich volgens zijn gebruikelijke werkwijze voordeed als bankmedewerker. Op de laptop van de verdachte werden zogeheten leadlijsten gevonden met persoonsgegevens van ongeveer 12.000 personen. Ook waren er tekstbestanden aanwezig waarin werd bijgehouden welke leads succesvol waren en welke niet. Meerdere namen op deze lijsten konden worden gekoppeld aan aangiften. Verder werden twee bestanden met de naam "Scripts" aangetroffen, waarin voorbeelden van gesprekken voor bankhelpdeskfraude stonden beschreven, evenals energiecontracten op namen en adressen van verschillende personen.
De rechter verwierp de verdediging van de verdachte dat hij slechts ‘op afstand’ als in een soort ‘computerspel’ te werk ging, in de veronderstelling dat slachtoffers hun schade wel vergoed zouden krijgen. De rechtbank merkte op dat deze veronderstelling niet zonder meer juist is en dat de verdachte zich geen moeite heeft getroost om dit te controleren. De rechter achtte het zorgwekkend dat de verdachte het kennelijk niet erg vond dat zijn gedrag tot forse schade bij de banken kon leiden.
Bovendien nam de rechtbank in strafverzwarende zin mee dat de verdachte slachtoffers in sommige gevallen langdurig aan de telefoon hield, hen bang maakte en vervolgens misbruik maakte van die angst. Dit gaf de gepleegde misdrijven een sterk ‘hands-on’ karakter, waarbij de verdachte alle middelen inzette om de slachtoffers te beïnvloeden. Gezien de ernst van de feiten achtte de rechter alleen een forse onvoorwaardelijke gevangenisstraf passend, die uiteindelijk op twee jaar uitkwam.
Bron: Rechtbank Midden-Nederland | Bron 2: cjib.nl
29 juni 2026 | Aan Anonymous gelinkte hacktivist veroordeeld voor cyberaanval op Texaanse Republikeinen
Aubrey Cottle, een hacktivist uit Oshawa die gelinkt wordt aan de Anonymous-beweging, is veroordeeld tot achttien maanden gevangenisstraf. Cottle bekende zijn betrokkenheid bij een website defacement aanval in 2021 op de Republikeinse Partij van Texas (GOP). De uitspraak werd gedaan door rechter Joseph Di Luca tijdens een zitting in Newmarket.
De inbreuk werd oorspronkelijk gerapporteerd door Steven Monacelli, een onafhankelijk onderzoeksjournalist uit Texas, nadat hij online een verklaring van de hackers had gevonden. Cottle zal nog 175 dagen vastzitten, aangezien hij de rest van zijn straf al in voorarrest heeft doorgebracht. Vorige week pleitte hij schuldig aan drie aanklachten, namelijk het beschadigen van data, het illegaal verkrijgen van computerdiensten en het overtreden van zijn borgtochtvoorwaarden door internet te gebruiken zonder toezicht.
Volgens gerechtelijke documenten vielen hackers van het Anonymous collectief op 11 september 2021 het Amerikaanse bedrijf Epik aan. Epik is een webhost die de website van de Texaanse Republikeinen (texasgop.org) hostte. Cottle wijzigde de homepage van de politieke website, waarbij deze cartoonfiguren, een muziekvideo en expliciete afbeeldingen toonde. Deze actie was een protest tegen een abortuswet in Texas. Bovendien stal hij 180 gigabyte aan back-up data, die persoonlijke details van medewerkers en donateurs van de politieke partij bevatte. Cottle deelde deze gestolen bestanden vervolgens op sociale media en claimde de verantwoordelijkheid voor de actie op TikTok.
Voor zijn arrestatie werkte Cottle legaal als security researcher en maakte hij deel uit van het onderzoeksteam van Sakura Samurai. In die rol ontdekte hij eerder een softwarefout in de chat applicatie Keybase, die verhinderde dat verwijderde afbeeldingen definitief werden gewist, en een kwetsbaarheid die de persoonlijke gegevens van 100.000 medewerkers van de Verenigde Naties blootstelde. Zijn acties werden echter later dat jaar illegaal. In een persbericht van het Amerikaanse ministerie van Justitie uit 2025 kondigden federale functionarissen aan dat er strafrechtelijke aanklachten tegen hem waren ingediend voor de aanval in Texas. De strafklacht, ingediend in 2024, is openbaar beschikbaar.
Indien uitgeleverd aan de Verenigde Staten, kan Cottle nog eens vijf jaar gevangenisstraf tegemoetzien. Zijn advocaten hebben bezwaar gemaakt tegen zijn uitlevering en premier Mark Carney verzocht om tussenbeide te komen, met het argument dat een persoon niet tweemaal voor dezelfde feiten berecht mag worden. De 39-jarige hacker heeft de rechtbank laten weten dat hij zijn leven wil veranderen, zijn misdaden beschouwt als "een verspilling van mijn gaven, intellect en talenten", en plannen heeft om zijn universitaire diploma te behalen en een securitybedrijf op te richten.
Bron: The Globe and Mail | Bron 2: justice.gov
30 juni 2026 | VS ontmantelt honderden illegale WK-streamingwebsites
De Amerikaanse overheid heeft bijna 400 internetdomeinen in beslag genomen die illegaal uitzendingen van Wereldkampioenschap voetbalwedstrijden streamden. De operatie, die werd uitgevoerd net op tijd voor de "knockout" ronde van het Wereldkampioenschap, werd vrijdag aangekondigd door het Ministerie van Justitie van de Verenigde Staten.
Volgens Eric Weindorf, speciaal agent van het Washingtonse veldkantoor van Homeland Security Investigations (HSI), vormen ongeautoriseerde streams niet alleen een schending van auteursrechtwetten, maar stellen ze kijkers ook bloot aan potentiële bedreigingen. Deze bedreigingen omvatten malware aanvallen en onveilige verbindingen die persoonlijke en financiële gegevens kunnen compromitteren.
De actie werd gecoördineerd door HSI, een onderdeel van het Department of Homeland Security, en het International Computer Hacking and Intellectual Property (ICHIP) Netwerk van Amerikaanse openbare aanklagers. De Wereldkampioenschap organiserende instantie FIFA, samen met de Amerikaanse omroep NBC Universal en andere entiteiten, heeft geholpen bij het identificeren van de domeinen.
De servers en domeinen die gericht waren op het illegaal streamen van Wereldkampioenschap voetbalwedstrijden bevonden zich onder andere in Peru en Bulgarije, landen die bekend staan als centra voor online piraterij. Aanvullende verstoringen met ondersteuning van ICHIP vonden plaats in Kroatië, Roemenië, Polen en Colombia.
HSI heeft in het verleden al soortgelijke operaties geleid. Zo werden er voor het Wereldkampioenschap van 2022 meer dan 70 websites in beslag genomen. Illegale sportstreams worden doorgaans aangeboden via Internet Protocol Television (IPTV). Autoriteiten hebben de afgelopen jaren grote illegale operaties aangepakt, zoals Streameast en 247TVStream. Onderzoeken hebben aangetoond dat illegale streaming miljoenen dollars kan opleveren. De waarschuwingen voor malware en onveilige verbindingen benadrukken het bredere cybersecurity risico dat gepaard gaat met het gebruik van dergelijke illegale diensten.
Bron: U.S. Department of Justice | Bron 2: apnews.com | Bron 3: recordedfuture.com
30 juni 2026 | VS looft 10 miljoen dollar uit voor info over Russische hackers
De Verenigde Staten hebben een beloning van maximaal 10 miljoen dollar uitgeloofd voor informatie die leidt tot de identificatie of locatie van leden van twee aan Rusland gelinkte cyber groepen. Deze groepen worden ervan beschuldigd Signal en WhatsApp accounts te hebben aangevallen die toebehoren aan overheidsfunctionarissen, journalisten en andere prominente personen. De beloning is aangekondigd via het Rewards for Justice programma van het Amerikaanse ministerie van Buitenlandse Zaken en richt zich op de hackergroepen die bekendstaan als UNC5792 en UNC4221. Amerikaanse autoriteiten stellen dat UNC5792 is geassocieerd met de Russische Federale Veiligheidsdienst (FSB), en UNC4221 met zowel de grenswachten als de militaire inlichtingendienst.
In een openbare waarschuwing die vrijdag is uitgegeven, waarschuwde de FBI dat de spionagecampagnes van de groepen zijn geëvolueerd. Aanvallers proberen steeds vaker back-up herstelsleutels voor versleutelde berichten applicaties te stelen. Ambtenaren benadrukten dat gecompromitteerde back-up herstelsleutels geldig kunnen blijven, zelfs als slachtoffers nieuwe accounts aanmaken met hetzelfde telefoonnummer, waardoor aanvallers potentieel in de toekomst opnieuw toegang kunnen krijgen.
De FBI verklaarde dat de Russische inlichtingen campagne is ontworpen om individuele Signal en WhatsApp accounts te compromitteren, in plaats van kwetsbaarheden in de versleutelde berichten platforms zelf uit te buiten. De hackers maken gebruik van social engineering technieken om slachtoffers te misleiden en hen te verleiden verificatie codes, account PINs en back-up herstelsleutels te delen. Dit stelt de aanvallers in staat om toegang te krijgen tot berichten geschiedenissen, privé en groepschats, en in sommige gevallen de accounts van slachtoffers over te nemen. In bepaalde gevallen hebben de hackers legitieme Signal groepsuitnodigingspagina's gewijzigd om slachtoffers om te leiden naar kwaadaardige links die door de aanvaller gecontroleerde apparaten met hun accounts verbonden.
De Amerikaanse waarschuwing volgt op een aankondiging van vorige week door de Oekraïense Veiligheidsdienst (SBU). De SBU meldde dat zij met de FBI had samengewerkt om een langdurige Russische cyberespionage campagne te ontdekken die gericht was op de berichten accounts van overheidsfunctionarissen, militair personeel, politici en activisten in Oekraïne, Europa en de Verenigde Staten. De SBU gaf aan dat de operatie gericht was op het verkrijgen van gevoelige militaire, politieke en economische informatie die werd uitgewisseld via versleutelde berichten applicaties, terwijl ook persoonlijke gegevens van slachtoffers werden gestolen. Een van de meest voorkomende methoden omvatte het versturen van tekstberichten die zich voordeden als officiële ondersteuningsdiensten van berichten platforms en gebruikers aanspoorden hun account gegevens vrij te geven.
Bron: FBI | Bron 2: ic3.gov | Bron 3: rewardsforjustice.net
30 juni 2026 | Oekraïne financiert oorlogsobligaties met in beslag genomen cryptovaluta van cybercriminelen
Oekraïne is van plan om cryptovaluta ter waarde van enkele miljoenen dollars, die in beslag zijn genomen van een vermeende internationale cybercrimegroep, om te zetten in staatsoorlogsobligaties. Dit is de eerste keer dat het land geconfisqueerde digitale activa gebruikt om zijn oorlogseconomie te ondersteunen, zo hebben staatsautoriteiten bekendgemaakt.
De Oekraïense Asset Recovery and Management Agency (ARMA), die eigendommen beheert die in strafzaken in beslag zijn genomen, meldde dat meer dan 8,3 miljoen dollar aan cryptovaluta is overgemaakt naar haar officiële digitale wallet na een gerechtelijk bevel. ARMA verklaarde op zaterdag dat dit de eerste keer is dat in beslag genomen digitale activa onder haar beheer zijn geplaatst, wat de bereidheid van de overheid toont om nieuwe soorten activa te beheren.
De cryptovaluta werd verkregen tijdens een onderzoek naar een internationale hackgroep die wordt beschuldigd van het uitvoeren van cyberaanvallen op individuen en bedrijven in Europa en de Verenigde Staten. Oekraïense wetshandhavingsinstanties hebben de naam van de groep niet bekendgemaakt en hadden ten tijde van publicatie nog niet gereageerd op een verzoek om commentaar.
Volgens het State Bureau of Investigation (SBI) heeft de groep gevoelige informatie gestolen, slachtoffers **afgeperst** via ransomware en andere cybercrimineele schema's, en de opbrengsten witgewassen in Oekraïne door de aankoop van onroerend goed, voertuigen en andere waardevolle activa. Het SBI heeft vier verdachten, waaronder de vermeende organisator, gearresteerd en in voorlopige hechtenis geplaatst.
Autoriteiten hebben activa ter waarde van meer dan 11,1 miljoen dollar in beslag genomen, waaronder woonruimtes, voertuigen, 1 miljoen dollar aan contant geld en de eerder genoemde cryptovaluta van meer dan 8,3 miljoen dollar. Onderzoekers schatten dat de activiteiten van de groep meer dan 100 miljoen dollar aan verliezen hebben veroorzaakt.
Zodra de digitale activa zijn omgezet in traditionele valuta, zullen de opbrengsten worden gebruikt voor de aankoop van Oekraïense oorlogsobligaties, aldus het SBI. Oorlogsobligaties zijn overheidsschuldwaarden die door Oekraïne worden uitgegeven om de overheidsuitgaven, inclusief defensiebehoeften, te financieren tijdens de lopende oorlog met Rusland, terwijl investeerders een vast rendement ontvangen bij het aflopen van de obligatie. ARMA benadrukte in een verklaring: "Als criminelen digitale instrumenten gebruiken om illegale opbrengsten te verbergen, moet de staat ook voorbereid zijn om dergelijke activa effectief te beheren."
Bron: ARMA | Bron 2: dbr.gov.ua | Bron 3: recordedfuture.com
30 juni 2026 | Politie arresteert verdachten voor diefstal creditcardgegevens via phishing
De politie heeft recentelijk twee mannen aangehouden op verdenking van het stelen van creditcardgegevens door middel van phishing. Het betreft een 23-jarige man uit Zaandam en een 21-jarige man uit Amsterdam. Zij worden ervan verdacht slachtoffers via misleidende websites hun creditcardgegevens te hebben laten invoeren, waarna de gestolen data werd misbruikt en mogelijk ook aan andere personen is verstrekt.
In het kader van het onderzoek werden huiszoekingen verricht bij de verdachten. Hierbij zijn diverse apparaten in beslag genomen die vermoedelijk zijn gebruikt voor transacties met de ontvreemde creditcardgegevens. Bovendien heeft de politie beslag gelegd op luxegoederen en een auto die mogelijk met de opbrengsten van de fraude zijn aangeschaft.
De politie benadrukt het belang van aangifte doen voor slachtoffers van phishing. Zij roepen gedupeerden op om zich niet te schamen, aangezien dit type cybercriminaliteit iedereen kan overkomen. De autoriteiten sluiten niet uit dat er in deze zaak nog meer aanhoudingen zullen volgen.
Bron: Politie
02 juli 2026 | Verdachte van hackgroep Scattered Spider uitgeleverd aan VS
Een 19-jarige man met de Amerikaanse en Estse nationaliteit is deze week vanuit Finland uitgeleverd aan Chicago, Verenigde Staten. Peter Stokes moet daar strafrechtelijke aanklachten tegemoetzien wegens zijn vermeende deelname aan cyberaanvallen als lid van de cybercrimegroep Scattered Spider. De verdachte verscheen dinsdag voor het eerst voor de federale rechtbank in het Northern District of Illinois, zo maakte het Amerikaanse ministerie van Justitie bekend.
De strafrechtelijke aanklacht van de FBI beschuldigt Stokes van samenzwering, cyberinbraak en fraude. Centraal in de aanklacht staat een datalek bij een ongespecificeerde "luxe juwelier", aangeduid als Bedrijf F, dat plaatsvond rond 12 mei 2025. De FBI stelt dat Stokes en mogelijk andere leden van Scattered Spider data stalen van het bedrijf en vervolgens een losgeld van 8 miljoen dollar in cryptovaluta eisten.
Volgens de aanklacht deden de dreigingsactoren zich voor als werknemers-gebruikers van Bedrijf F en vroegen zij om een reset van hun authenticatiegegevens, waaronder het wachtwoord en het mobiele apparaat voor meervoudige authenticatie. Door deze phishing-techniek te gebruiken, wisten de aanvallers binnen ongeveer twee tot drie uur drie gebruikersaccounts van Bedrijf F te compromitteren. Twee van deze gecompromitteerde accounts behoorden toe aan IT-beheerders met toegang tot accounts met hoge privileges.
Leden van de losjes verbonden, Engelssprekende Scattered groep Spider zijn eerder beschuldigd of veroordeeld voor scam-operaties met SMS-phishing, inbraken bij Amerikaanse casino's en een federaal rechtssysteem, en een grote netwerkverstoring bij het transportbedrijf van Londen. De deze week openbaar gemaakte aanklacht beschuldigt Stokes er ook van dat hij in maart 2023 ongeautoriseerde toegang verkreeg tot het netwerk van een "online communicatieplatform", aangeduid als Bedrijf H.
Stokes, die naar verluidt de aliassen "Bouquet", "Spencer" en "Jordan" gebruikte, werd in april gearresteerd door de Finse autoriteiten na een Interpol Red Notice. De Chicago Tribune rapporteerde zijn arrestatie eerder dit voorjaar. Na zijn zitting van dinsdag blijft Stokes in hechtenis van wetshandhavers.
Bij de inbraak bij de juwelier stelt de FBI dat de verdachten Google Voice-nummers gebruikten om de IT-helpdesk te bellen, de wachtwoordresets aan te vragen en later toegang te krijgen tot de hogere accounts. Als onderdeel van de criminele operatie gebruikten de verdachten vervolgens ngrok, een legitieme tool die app-ontwikkelaars gebruiken voor het beheer van internetverkeer, om "persistente ongeautoriseerde toegang" tot het datacenter van het bedrijf mogelijk te maken.
Het bedrijf betaalde de 8 miljoen dollar losgeld niet, aldus de FBI, maar de "verliezen als gevolg van bedrijfsverstoring, onderzoek en mitigatie bedroegen ongeveer 2 miljoen dollar, en verdere verliezen werden verwacht." De Amerikaanse overheid schat dat Scattered Spider betrokken is geweest bij meer dan 100 netwerkinbraken en meer dan 100 miljoen dollar aan losgeldbetalingen heeft geïnd.
Bron: U.S. Department of Justice | Bron 2: chicagotribune.com | Bron 3: recordedfuture.com
02 juli 2026 | Belgische politie richt aparte eenheid op voor bestrijding van phishing
De Belgische Federale Politie heeft een speciale eenheid opgericht, de 'Nationale Cel Phishing', met als doel de bestrijding van phishing-activiteiten te intensiveren. Deze cel bestaat uit gespecialiseerde cyberspeurders, administratieve ondersteuning en misdrijfanalisten, die zich zullen richten op het in kaart brengen van trends, fenomenen en de criminele structuren die achter phishingcampagnes schuilgaan. De focus van de eenheid ligt specifiek op de personen die deze campagnes opzetten, daders met specifieke rollen en het wegsluizen van gestolen geld.
Volgens Eric Snoeck, commissaris-generaal van de Federale Politie, is de oprichting van deze cel een belangrijke en noodzakelijke stap in de strijd tegen phishing. Door phishingfeiten te clusteren en verbanden te leggen, verwacht de politie criminele netwerken doelgerichter te kunnen aanpakken. De eenheid zal ook de coördinatie van de aanpak van phishing verbeteren door versnipperde informatie uit dossiers van diverse politieregio's en federale diensten te bundelen. Dit stelt hen in staat om bepaalde werkwijzen te detecteren, daderprofielen te vergelijken en verbanden tussen de verschillende dossiers te leggen die anders onopgemerkt zouden blijven.
Voor de analyses maakt de Nationale Cel Phishing gebruik van Phishnet, een platform dat phishingmeldingen omzet in visuele weergaven. Dit systeem helpt bij het koppelen van gelijkaardige feiten en het herkennen van patronen. De eenheid werkt ook nauw samen met verschillende partners. Zo wisselt Phishnet informatie uit met het Centre for Cybersecurity Belgium (CCB). Daarnaast wordt Phishline ingezet, een tool die ervoor zorgt dat specifieke informatie uit phishingaangiften automatisch wordt doorgestuurd naar de juiste partners, zoals de bank van het slachtoffer, het CCB en het meldpunt van het Belgische ministerie van Economie.
Commissaris-generaal Snoeck benadrukt het belang van snel schakelen in een continu veranderende samenleving waarin criminele praktijken voortdurend evolueren. Door technologie, data-analyse en samenwerking slim te combineren, wordt niet alleen de slagkracht van de politie zelf versterkt, maar ook die van alle partners. Hij stelt dat geen enkele organisatie phishing alleen kan bestrijden. De nieuwe eenheid start deze zomer en zal in de komende periode verder worden uitgebouwd.
Bron: Federale Politie
Opsporing nieuws
1 jun 2026
Op deze pagina vind je actueel opsporingsnieuws over cybercriminaliteit, arrestaties, politieonderzoeken, rechtszaken en internationale acties tegen cybercriminelen. De nadruk ligt op Nederland, België en relevante internationale zaken.
Opsporing 2026 mei
1 mei 2026
Deze pagina biedt een overzicht van het opsporingsnieuws, arrestaties, politieonderzoeken, rechtszaken en internationale acties tegen cybercriminelen in mei 2026, met een focus op Nederland, België en relevante internationale zaken.
Opsporing 2026 april
1 apr 2026
▽ JANUARI 2027 | ▽ DECEMBER 2026 | ▽ NOVEMBER 2026 | ▽ OKTOBER 2026 | ▽ SEPTEMBER 2026 | ▽ AUGUSTUS 2026 | ▽ JULI 2026 | ▽ JUNI 2026 | ▽ MEI 2026 | ▽ APRIL 2026 | ▽ MAART 2026 | ▽ FEBRUARI 2026 | ▽ JANUARI 2026 | ▽ DECEMBER 2025
Opsporing 2026 maart
1 mrt 2026
▽ JANUARI 2027 | ▽ DECEMBER 2026 | ▽ NOVEMBER 2026 | ▽ OKTOBER 2026 | ▽ SEPTEMBER 2026 | ▽ AUGUSTUS 2026 | ▽ JULI 2026 | ▽ JUNI 2026 | ▽ MEI 2026 | ▽ APRIL 2026 | ▽ MAART 2026 | ▽ FEBRUARI 2026 | ▽ JANUARI 2026 | ▽ DECEMBER 2025
Opsporing 2026 februari
1 feb 2026
▽ JANUARI 2027 | ▽ DECEMBER 2026 | ▽ NOVEMBER 2026 | ▽ OKTOBER 2026 | ▽ SEPTEMBER 2026 | ▽ AUGUSTUS 2026 | ▽ JULI 2026 | ▽ JUNI 2026 | ▽ MEI 2026 | ▽ APRIL 2026 | ▽ MAART 2026 | ▽ FEBRUARI 2026 | ▽ JANUARI 2026 | ▽ DECEMBER 2025
Opsporingsnieuws 2026 januari
1 jan 2026
▽ JANUARI 2027 | ▽ DECEMBER 2026 | ▽ NOVEMBER 2026 | ▽ OKTOBER 2026 | ▽ SEPTEMBER 2026 | ▽ AUGUSTUS 2026 | ▽ JULI 2026 | ▽ JUNI 2026 | ▽ MEI 2026 | ▽ APRIL 2026 | ▽ MAART 2026 | ▽ FEBRUARI 2026 | ▽ JANUARI 2026 | ▽ DECEMBER 2025