De politie heeft afgelopen dinsdag een 24-jarige man uit Arnhem aangehouden op verdenking van het ontwikkelen, verspreiden en in bezit hebben van phishingpanels. Via een phishingpanel kunnen criminelen de gegevens ontvangen die slachtoffers van phishing op phishingsites invoeren.

"De ontwikkelaar is de belangrijkste schakel in het phishingproces. Zonder ontwikkelaar geen phishing. Met phishingpanels kunnen andere kwaadwillenden phishingwebsites opzetten", aldus de politie. Naast de man uit Arnhem hield de politie ook een 15-jarige jongen uit Loenen aan de Vecht aan, die wordt verdacht van het verkopen van phishingpanels. Bij een derde persoon, een 18-jarige man uit Hoogeveen, werd huiszoeking gedaan. Bij doorzoekingen zijn een vuurwapen, telefoons, laptops en andere gegevensdragers in beslag genomen, die zijn onderzocht. Hierbij werd ook de broncode van het phishingpanel aangetroffen.

De politie werd door securitybedrijf Group-IB ingelicht over personen die op Telegram phishingpanels aanboden. Het onderzoek dat volgde leidde naar twee verdachten. In een analyse stelt Group-IB dat de aangeboden phishingpanels de tweefactorauthenticatie (2FA) van banken konden omzeilen. Wanneer slachtoffers hun gegevens op de phishingsite invoerden kregen de criminelen erachter een melding dat er een nieuw slachtoffer online was. Vervolgens konden de oplichters aanvullende informatie vragen om toegang tot de bankrekening te krijgen, waaronder de 2FA-tokens.

Eerder deze maand werd een 20-jarige man uit Almelo wegens het ontwikkelen en aanbieden van phishingpanels veroordeeld tot een gevangenisstraf van drie jaar, waarvan één jaar voorwaardelijk. Daarnaast moet de man meewerken aan Hack_Right, een alternatief straftraject voor jonge cybercriminelen. Het Openbaar Ministerie heeft hoger beroep tegen het vonnis aangekondigd.