Bij een internationale operatie op 29 januari 2025 zijn servers en domeinen van een groot phishingnetwerk in beslag genomen. Dit netwerk, bekend onder de naam HeartSender, werd gebruikt voor de verkoop van phishingsoftware en andere digitale fraudetools. De actie was het resultaat van een langdurig onderzoek door het Team Cybercrime van politie-eenheid Oost-Brabant in samenwerking met de FBI.
Onderzoek gestart na ontdekking phishingsoftware
Het onderzoek naar HeartSender begon eind 2022, toen Nederlandse opsporingsdiensten phishingsoftware aantroffen op de computer van een verdachte in een ander lopend onderzoek. Tegelijkertijd voerden Amerikaanse autoriteiten een afzonderlijk onderzoek uit naar dezelfde criminele organisatie. De gecombineerde inspanningen leidden tot de operatie, bekend als ‘Operation Heart Blocker’.
Inbeslagname servers en opsporing daders
Tijdens de actie op 29 januari werden 39 servers en domeinen in het buitenland uitgeschakeld. De cybercriminelen achter HeartSender opereerden via een netwerk van illegale webwinkels, waar zij tools aanboden voor digitale fraude. Voor de promotie van deze illegale diensten werden platforms zoals YouTube gebruikt. Onder de aangeboden tools bevonden zich ‘senders’, ‘scampages’ en ‘cookie grabbers’, die cybercriminelen in staat stellen om grote hoeveelheden phishingmails te versturen en inloggegevens te stelen.
Naast software verkochten de criminelen ook toegang tot gehackte infrastructuur, zoals controlepanelen van webservers (cPanels), smtp-servers en gehackte WordPress-accounts. Wereldwijd maakten duizenden klanten gebruik van deze diensten.
Onderzoek naar kopers en betrokkenen
Uit het onderzoek blijkt dat diverse afnemers van de phishingsoftware inmiddels in beeld zijn bij opsporingsdiensten. Vermoedelijk behoren ook Nederlandse kopers tot deze groep. De inbeslagname van de servers betekent dan ook niet het einde van het onderzoek. Politiediensten blijven zich richten op het opsporen van zowel de makers als de gebruikers van deze software.
Nederlandse slachtoffers getroffen door datalek
In de datasets van HeartSender zijn miljoenen gestolen gegevens aangetroffen. Onder deze data bevinden zich ook ongeveer 100.000 Nederlandse inloggegevens. Dit kunnen gebruikersnamen en wachtwoorden zijn die mogelijk door cybercriminelen zijn misbruikt.
Burgers kunnen via www.politie.nl/checkjehack controleren of hun e-mailadres voorkomt in de dataset. Als een e-mailadres wordt gevonden, ontvangt de gebruiker een waarschuwing en advies over verdere stappen. Inloggegevens van systemen waar geen e-mailadres maar een gebruikersnaam wordt gebruikt, kunnen niet via deze weg gecontroleerd worden. Het regelmatig wijzigen van wachtwoorden blijft daarom een belangrijk preventiemiddel.
Risico’s van gelekte gegevens
Het uitlekken van accountgegevens kan grote gevolgen hebben. Met toegang tot een e-mailaccount kunnen criminelen phishingberichten sturen namens het slachtoffer, waardoor contacten sneller in de val trappen. Daarnaast kunnen hackers via herstelfuncties wachtwoorden van andere accounts aanpassen, zoals webshops en andere online diensten.
Ook gestolen cPanel- of WordPress-accounts vormen een groot risico. Criminelen kunnen hiermee controle krijgen over websites en servers, wat kan leiden tot verdere cyberaanvallen of misbruik van de infrastructuur voor nieuwe phishingcampagnes.
Voorkom misbruik: handel snel
Wie vermoedt dat zijn of haar gegevens zijn gelekt, wordt aangeraden direct wachtwoorden te wijzigen en waar mogelijk tweestapsverificatie in te schakelen. Dit helpt om accounts beter te beschermen tegen misbruik door cybercriminelen. Door alert te blijven op verdachte e-mails en regelmatig inloggegevens te vernieuwen, kunnen gebruikers zichzelf beter beschermen tegen digitale dreigingen.
Bron: Politie
