Nieuws

Cel voor phishingaanvallen op ING, Bol.com, Wehkamp en Otto

woensdag 18 februari 2015, 16:52 door Redactie, 13 reacties

Een man uit Amsterdam-Zuidoost die het wifi-netwerk van zijn buren gebruikte en phishingaanvallen op klanten van ING, Bol.com, Wehkamp en Otto uitvoerde en met de ontfutselde klantgegevens inlogde is veroordeeld tot een gevangenisstraf van veertien maanden, waarvan zes maanden voorwaardelijk.

Ook werd hem een taakstraf van 160 uur opgelegd. Dat heeft de rechtbank Midden-Nederland vandaag bekendgemaakt. Volgens de rechtbank heeft de man computers gehackt en vervolgens klanten van verschillende webwinkels en klanten van ING opgelicht. De man was betrokken bij een criminele organisatie die zich gedurende lange tijd bezighield met phishing. Hierbij werden phishingmails verstuurd met daarin een link naar een nagemaakte inlogpagina van bijvoorbeeld een webwinkel.

Nadat slachtoffers op deze phishingsites hun inloggegevens hadden ingevoerd konden de criminelen met deze gegevens op de echte pagina van de webwinkels bestellingen plaatsen. Er werden op deze manier onder andere telefoons, tablets, laptops en camera’s besteld. Vervolgens werden de afleveradressen van de bestaande klanten gewijzigd.

De gewijzigde adressen werden doorgeven aan postbezorgers, die tevens deel uitmaakten van de criminele organisatie. De postbezorgers tekenden indien nodig voor ontvangst en hielden de pakketten achter. Er werd echter nooit voor de bestelde goederen betaald. In het geval van de phishingaanvallen op ING-klanten werd hierbij geld naar andere rekeningen overgemaakt.

Wifi-netwerk

Uit het onderzoek dat de politie uitvoerde bleek dat er met een computer van de man is ingelogd op het wifi-netwerk van zijn buren. Er is daarbij gebruik gemaakt van het standaard WPA2-wachtwoord van de router op het adres. De bewoners lieten weten dat ze het WPA2-wachtwoord van hun internetverbinding aan niemand hadden afgegeven. In de publicatie van de rechtbank zijn de IP-adressen onherkenbaar gemaakt, maar het lijkt erop dat de man via het IP-adres van zijn buren accounts op Marktplaats aanmaakte en hiermee ook advertenties plaatste.

Op verschillende computers die bij de man in gebruik waren alsmede telefoons werden aanwijzingen aangetroffen die verband houden met de plaatsgevonden computervredebreuk en oplichtingen, waaronder zogeheten sticky notes met daarin gegevens die gebruikt zijn om goederen bij Wehkamp.nl te bestellen, cookie-informatie met betrekking tot frauduleuze bestellingen, sms-contacten met postbodes waarin namen en adressen worden genoemd en chatgesprekken over hacken, bestellingen plaatsen en het verkrijgen van afleveradressen.

Uit een door Bol.com verstrekt rapport met cookie-informatie behorende bij de frauduleuze bestellingen, kwamen 14 matches naar voren met de cookie-informatie die op de laptops van de man werden aangetroffen. Tijdens de rechtszitting verklaarde de man dat hij de programmeertaal PHP beheerst en dat hij met behulp van deze programmeertaal "de koppeling tussen gebruikers van een internetcafé en een database kan maken", aldus de samenvatting van de rechtbank.

IPads

Om de man en zijn handlangers op te sporen werd er onder andere met een geprepareerde iPad gewerkt. De politie werd in februari 2013 door Otto ingelicht dat er een bestelling van twee iPads en kleding ter waarde van ongeveer 2.000 euro was binnengekomen. De goederen waren besteld met behulp van inloggegevens van een bestaande klant. Eén van de twee bestelde iPads werd vervangen door een geprepareerde versie, zijnde een iPad voorzien van een gps-volgsysteem en een radiobaken.

De twee iPads zijn vervolgens ingepakt en voorzien van codes. Met deze 3SO-codes kon de status van de pakketten worden gevolgd. Via deze operatie kon de politie zien waar de iPads werden afgeleverd. Uiteindelijk wordt de geprepareerde iPad ter reparatie bij een winkel aangeboden. Op de iPad in de winkel wordt een briefje aangetroffen met daarop de naam en telefoonnummer van de postbezorger.

Vertrouwen

Uiteindelijk stelt de rechtbank dat de man die terechtstaat op stelselmatige wijze verschillende webwinkels en klanten van een Nederlandse bank heeft opgelicht. "Hij heeft hiermee financiële schade en veel overlast veroorzaakt voor de (klanten van) die webwinkels en de bank. Daarbij komt dat het vertrouwen van consumenten in het online bestelproces en betalingsverkeer is geschaad."

Spionage-firmware in harde schijven nauwelijks te detecteren

Android-malware schakelt smartphones zogenaamd uit

Reacties (13)

18-02-2015, 17:17 door johanw

Goed. Wat hebben we hier nu van geleerd?

1. Gebruik geen wifi van je echte buren maar doe zoiets anoniem via Tor of ga bij een McDonalds of andere plaats met openbare wifi zitten (tip: veel ziekenhuizen hebben public wifi).
2. Gebruik NOOIT sms of gewone telefonie - na Snowden zijn daar Textsecure en Redphone voor uitgevonden. Niks te tappen, en als het toestel in beslag genomen wordt is de berichtendatabase beveiligd met een wachtwoord. Whatsapp onder Android is tegenwoordig ook bruikbaar maar dan moet je de berichten wel wissen na ontvangst.
3. Als je een overzicht nodig hebt van al je gebruikte identiteiten, wachtwoorden en wat je waarmee uitgespookt hebt neem je geen "sticky notes" maar een speciaal daarvoor gemaakt programma als KeePass zodat er niets te inspecteren valt door de politie.
4. Gebruik een browser die cookies en history automatisch wist na afsluiten. In Firefox en afgeleiden is dat in te stellen.
5. Reparaties laat je natuurlijk onder een valse naam uitvoeren, dat was wel erg dom.

Conclusie: over 8 maanden staat hij weer op straat en weet nu wat hij fout gedaan heeft en hoe het voortaan beter kan.

18-02-2015, 18:06 door Anoniem

Door johanw: Goed. Wat hebben we hier nu van geleerd?

1. Gebruik geen wifi van je echte buren maar doe zoiets anoniem via Tor of ga bij een McDonalds of andere plaats met openbare wifi zitten (tip: veel ziekenhuizen hebben public wifi).
2. Gebruik NOOIT sms of gewone telefonie - na Snowden zijn daar Textsecure en Redphone voor uitgevonden. Niks te tappen, en als het toestel in beslag genomen wordt is de berichtendatabase beveiligd met een wachtwoord. Whatsapp onder Android is tegenwoordig ook bruikbaar maar dan moet je de berichten wel wissen na ontvangst.
3. Als je een overzicht nodig hebt van al je gebruikte identiteiten, wachtwoorden en wat je waarmee uitgespookt hebt neem je geen "sticky notes" maar een speciaal daarvoor gemaakt programma als KeePass zodat er niets te inspecteren valt door de politie.
4. Gebruik een browser die cookies en history automatisch wist na afsluiten. In Firefox en afgeleiden is dat in te stellen.
5. Reparaties laat je natuurlijk onder een valse naam uitvoeren, dat was wel erg dom.

Conclusie: over 8 maanden staat hij weer op straat en weet nu wat hij fout gedaan heeft en hoe het voortaan beter kan.

Afgezien van het feit dat ik er van walgt dat je het bekijkt uit de ogen van de crimineel kan ik je vertellen dat er echt wel goede detectie systemen binnen bedrijven zitten en ik kan het weten: ik heb er zelf gewerkt.
Je kan ipv mensen op te lichten ook gewoon gaan, laten we eens gek doen: werken.

Ik hoop dat ze alles op die kerel verhalen en zijn voortanden er uit timmeren.
Ga hardwerkende mensen niet lastig vallen maar gewoon zelf hard werken en als je geld wilt verdienen met hacken, kan je dit ook ethisch doen en je kennis zo overdragen.
Doe eens iets nuttigs is mijn devies.

18-02-2015, 19:09 door Anoniem

Zou 14 jaar niet beter geweest zijn als straf want die beginnen meestal toch opnieuw dat soort idioten al was het maar voor de kick.

18-02-2015, 20:11 door johanw - Bijgewerkt: 18-02-2015, 20:17

Door Anoniem:Afgezien van het feit dat ik er van walgt dat je het bekijkt uit de ogen van de crimineel

Dat houdt de discussie levendig. En als beveiliger moet je leren denken als je tegenstander, anders kun je geen goed werk afleveren.

kan ik je vertellen dat er echt wel goede detectie systemen binnen bedrijven zitten en ik kan het weten: ik heb er zelf gewerkt.

Dat kan wel, maar vanuit zijn oogpunt gezien is het geen ramp als er eens een zending mislukt omdat het bedrijf het als mogelijk frauduleus aanmerkt. Het is wel een ramp als hij gepakt wordt, dus daar gaat hij zich tegen indekken. Dat probeerde hij zo te lezen ook, maar niet al te best.

Je kan ipv mensen op te lichten ook gewoon gaan, laten we eens gek doen: werken.

Dan moet dat werk er wel zijn natuurlijk, het is crisis. Maar dat is een hele andere discussie.

Ik hoop dat ze alles op die kerel verhalen

Kost je alleen maar extra geld aan advocaten: je krijgt nooit alle kosten toegewezen en als je te gulzig verhaalt en de rechter wijst voldoende punten af mag ieder z'n eigen kosten betalen en als aanbrenger betaal je dan ook het griffierecht en ben je waarschijnlijk meer kwijt dan het bedrag dat je toegewezen krijgt. En dat laatste moet je ook nog maar eens zien te krijgen. Hij zit in de bak, dus kale kip, plukken, schuldsanering?

en zijn voortanden er uit timmeren.

Dan zit jij nog vast als hij al weer vrij is.

Altijd leuk, mensen met een strenge moraal die makkelijk te provoceren zijn. :-)

18-02-2015, 20:14 door johanw - Bijgewerkt: 19-02-2015, 00:04

Door Anoniem: Zou 14 jaar niet beter geweest zijn als straf want die beginnen meestal toch opnieuw dat soort idioten al was het maar voor de kick.

Ach, iemand van het super streng straffen gilde. 14 jaar krijg je nog niet voor enkelvoudige moord. Ga lekker in een land met de sharia leven als je echt strenge straffen wilt.

18-02-2015, 22:15 door Anoniem

14 Maanden min 6 = 8 maanden, min 1/3 of 1/2 voor goed gedrag, dan blijft er nog maar enkele maanden over. De Rechterlijke Macht (en misschien ook het Openbaar Ministerie) hebben hier weer abnormaal gefaald!!

19-02-2015, 07:57 door B3am

De man was betrokken bij een criminele organisatie...

... postbezorgers, die tevens deel uitmaakten van de criminele organisatie.

Is de rest ook opgepakt? Of lopen die nog rond?

19-02-2015, 08:17 door PietdeVries

Door Anoniem: 14 Maanden min 6 = 8 maanden, min 1/3 of 1/2 voor goed gedrag, dan blijft er nog maar enkele maanden over. De Rechterlijke Macht (en misschien ook het Openbaar Ministerie) hebben hier weer abnormaal gefaald!!

Gefaald?!? Hoezo? Zijn misdaad heeft aandacht getrokken, er zijn opsporingsambtenaren achteraan gegaan, ze hebben hem met success opgespoord en gearresteerd. Op basis van het bewijs is hij ook nog eens veroordeeld. En jij noemt het falen omdat 'ie over een paar maanden weer vrij is?
De knakker zit voor de rest van z'n leven met een strafblad. Welk bedrijf met een beetje redelijk inkomen wil die man nog hebben (ok - de taxibranche waarschijnlijk ;-) )?
Hoeveel gevangenisstraf had hij volgens jou dan moeten krijgen? En in hoeverre was hij daar een betere man van geworden? Laat je na een jaar brommen het wel uit je hoofd om te stelen, of heb je in die tijd juist geleerd hoe het wel moet?

19-02-2015, 09:26 door Anoniem

Door Anoniem:
Afgezien van het feit dat ik er van walgt dat je het bekijkt uit de ogen van de crimineel

Waarom walg je daarvan? Wanneer je iets wilt doen aan beveiliging, moet je eerst bekijken hoe je de boel veilig krijgt. En dat lukt niet met een roze bril, je moet denken als een crimineel.

kan ik je vertellen dat er echt wel goede detectie systemen binnen bedrijven zitten en ik kan het weten: ik heb er zelf gewerkt.

Je kan ipv mensen op te lichten ook gewoon gaan, laten we eens gek doen: werken.

Ik hoop dat ze alles op die kerel verhalen en zijn voortanden er uit timmeren.

Ga hardwerkende mensen niet lastig vallen maar gewoon zelf hard werken en als je geld wilt verdienen met hacken, kan je dit ook ethisch doen en je kennis zo overdragen.
Doe eens iets nuttigs is mijn devies.

Uiteraard mee eens, maar zo denken criminelen helaas niet, zij willen makkelijk en vooral veel geld verdienen. En dat lukt maar zelden met hard werken.

19-02-2015, 11:04 door Anoniem

Door PietdeVries:De knakker zit voor de rest van z'n leven met een strafblad.

Maar zou hem dat ook iets kunnen schelen?

Welk bedrijf met een beetje redelijk inkomen wil die man nog hebben (ok - de taxibranche waarschijnlijk ;-) )?

Voor het merendeel van de banen in Nederland is er geen VOG (Verklaring Omtrent het Gedrag) nodig en daarnaast wordt een VOG niet zomaar geweigerd. Wanneer een misdrijf uit het verleden geen relatie heeft met de baan waarvoor de VOG wordt aangevraagd, krijg je gewoon een VOG.

Hoeveel gevangenisstraf had hij volgens jou dan moeten krijgen? En in hoeverre was hij daar een betere man van geworden?

Straf is straf, en daar word je niet beter van. Ik zie de gevangenis meer als een HBO Criminaliteit dan als een Verbeter Je Leven-instelling.

Laat je na een jaar brommen het wel uit je hoofd om te stelen, of heb je in die tijd juist geleerd hoe het wel moet?

Maakt een crimineel zich uberhaubt wel druk over een mogelijke straf? 75% van de criminelen die in de gevangenis heeft gezeten, valt in herhaling en blijft zich bezighouden met criminele activiteiten. Of je nu iemand kort of lang in de gevangenis stopt, 3 van de 4 blijven gewoon crimineel. Dus wat ga je doen? Laat je iemand na een jaar weer vrij zodat hij dan al weer slachtoffers kan maken of laat je iemand pas na 4 jaar weer vrij? Of ga je de straffen zo uitdelen dat bij recidive de straf iedere keer verdubbeld? Stel je voor een misdaad 1 jaar celstraf krijgt: 1e keer: 1 jaar, 2e keer: 2 jaar, 3e keer: 4 jaar. Wie zijn leven betert krijgt dan maar 1 jaar cel, wie dat niet doet, gaat al snel vele jaren achter de deur.

19-02-2015, 20:00 door Anoniem

Ik ben wel eens benieuwd of deze personen nu in de cel nog een PC mogen bedienen :).

Zou ook wel leuk zijn om een paar van hun mails als voorbeeld te zien, kun je tenminste eens kijken welke mails in je mailbox van hun waren. Beetje ala opgeletopinternet.nl, waar per oplichter al z'n praktijken staan gebundeld.

Wellicht iets voor de fraudehelpdesk?

19-02-2015, 23:31 door Anoniem

Door Anoniem:

Door Anoniem:
Afgezien van het feit dat ik er van walgt dat je het bekijkt uit de ogen van de crimineel

Waarom walg je daarvan? Wanneer je iets wilt doen aan beveiliging, moet je eerst bekijken hoe je de boel veilig krijgt. En dat lukt niet met een roze bril, je moet denken als een crimineel.

Ja als je het voor defensieve strategie gebruikt prima, het wordt verteld hoe je voortaan nog beter misbruik kan maken.
Het verhaal wordt imho van de verkeerde kant belicht.

kan ik je vertellen dat er echt wel goede detectie systemen binnen bedrijven zitten en ik kan het weten: ik heb er zelf gewerkt.

Dan kan ik je de hand geven, ik werk in dezelfde branche. Alleen is mijn conclusie dat er voornamelijk gruwelijk slechte detectiesystemen worden gebruikt. En deze conclusie wordt ondersteund door het dagelijkse nieuws: malware, phishing, oplichting, het is een eindeloze stroom van ellende. En die ellende is er omdat het niet wordt gestopt, het is nog steeds lucratief voor de criminelen om aan te vallen, er valt veel geld mee te verdienen.

Zo lang crimineel gedrag lucratief is zullen dit soort figuren altijd de gaten vinden. De wet verzaakt het om dit soort criminelen harder aan te pakken, vandaar dat phishing en verspreiden van malware lucratief zijn.

Je kan ipv mensen op te lichten ook gewoon gaan, laten we eens gek doen: werken.

Met werken is het heel veel moeilijker om zoveel geld te "verdienen". Eén gestolen iPad per dag á 200 euro, is ongeveer 4000 euro netto (!!!) per maand. En dat voor een uurtje werk per dag... Hoeveel mensen ken jij die hun geld zo gemakkelijk verdienen?

Tuurlijk, drugs verkopen verdient ook beter als security engineer maar er is genoeg vraag naar goed security personeel en je kan er een royale boterham van eten en je doet ethisch beter werk.

Ik hoop dat ze alles op die kerel verhalen en zijn voortanden er uit timmeren.

Jammer dat je hier zo door de mand valt, je bent blijkbaar geen haar beter dan de criminelen en je zet aan tot geweld. Dat maakt jou medeplichtig en hiervoor kun je ook een aantal maanden tot zelfs jaren voor achter de deur verdwijnen.

Actie is reactie maar verhaal het geld op die knakker en laat hem 15 jaar putjes scheppen.
Vind ik prima.

Uiteraard mee eens, maar zo denken criminelen helaas niet, zij willen makkelijk en vooral veel geld verdienen. En dat lukt maar zelden met hard werken.

Zelden ja maar mensen zeggen dat het crisis is terwijl ze in de it werken weten best dat er genoeg te verdienen valt en er meer dan zat vraag is naar security personeel.

24-02-2015, 20:24 door Anoniem

Komt net weer een phishing mail binnen hier....

Phishing mail zogenaamd van de RaboBank
Owly en Otto.nl linkje erin.

Hoeveel mensen trappen er nog in....

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer