AMSTERDAM – Tijdens een verstoringsactie op 29 januari 2025 zijn door verschillende politiediensten servers en domeinen van HeartSender in beslag genomen. HeartSender is de naam van een groepering van makers van phishing software.
Het Team Cybercrime van politie eenheid Oost-Brabant startte eind 2022 een onderzoek, nadat op de computer van een verdachte in een ander onderzoek phishing software werd aangetroffen. In de Verenigde Staten liep al een onderzoek tegen deze groepering. Deze parallelle onderzoeken in de Verenigde Staten en Nederland hebben geleid tot de actie ‘Operation Heart Blocker’.
De actie van 29 januari is het voorlopige sluitstuk van complexe onderzoeken door de FBI en het Team Cybercrime van politie eenheid Oost-Brabant. Bij de actie werden 39 servers en domeinen in het buitenland in beslag genomen.
De criminele groepering achter HeartSender opereerde zeer professioneel. Via vele verschillende criminele webshops, waarvoor reclame werd gemaakt op bijvoorbeeld YouTube, verkochten ze tools om digitale fraude mee te plegen. ‘Senders’, ‘scampages’ en ‘cookie grabbers’ zijn voorbeelden van de tools die aangeboden werden. Een cybercrimineel kan met deze tools grote hoeveelheden spam of phishing e-mails verzenden of deze inzetten om iemands inloggegevens te ontfutselen. Daarnaast konden cybercriminelen in deze criminele webwinkels ook toegang tot gehackte infrastructuur kopen zoals van cPanels (controlepanelen van webservers), smtp-servers (servers die worden gebruikt voor het versturen van e-mailberichten) en WordPress accounts (systeem om websites te beheren). Wereldwijd had de groepering achter HeartSender duizenden klanten.
Kopers
In het onderzoek is het Team Cybercrime een aantal kopers van de tools op het spoor. Vermoedelijk bevinden zich onder deze kopers ook Nederlanders. Naar deze kopers wordt verder onderzoek gedaan. Het onderzoek naar de makers en de kopers van deze phishing software is met de inbeslagname van de servers en domeinen nog niet afgerond.
Nederlandse slachtoffers
In de datasets van HeartSender zijn miljoenen gegevens van slachtoffers wereldwijd gevonden. In de datasets zitten ook ongeveer 100.000 Nederlandse gegevens. Het betreft hier gebruikersnamen en wachtwoorden die mogelijk zijn misbruikt door cybercriminelen. Via www.politie.nl/checkjehack kun je nagaan of jouw inloggegevens voorkomen in de nagekeken dataset uit dit onderzoek. Je kunt hier je e-mailadres invoeren. Blijkt je e-mailadres in de dataset voor te komen, dan ontvang je een e-mail met tips en informatie over wat je het beste kunt doen. Hoor je niets, dan zat je met dat e-mailadres niet tussen de slachtoffers van dit netwerk. Bij de WordPress accounts zien we dat mensen soms in plaats van hun mailadres een andere gebruikersnaam gebruiken. In die gevallen kun je niet bij Check je Hack controleren of jouw gegevens zijn uitgelekt. Ook daarom is het sowieso een goed idee om je wachtwoorden regelmatig te veranderen en voor dit soort systemen adviseren we zeker dit preventief te doen.
Impact
Als jouw accountgegevens voorkomen in de dataset, kan de impact groot zijn. Als bijvoorbeeld je gebruikersnaam en wachtwoord van je mailaccount zijn uitgelekt dan kunnen cybercriminelen hiermee toegang krijgen tot je adresboek. Op die manier kunnen ze vanuit jouw naam phishing e-mails naar al jouw contacten sturen. Jouw contacten zullen de mails waarschijnlijk vertrouwen omdat ze van jou af komen. Op deze manier delen zij wellicht via een linkje in zo’n mail ook weer hun eigen gegevens met criminelen. Ook kunnen criminelen op webshops aangeven hun wachtwoord kwijt te zijn, waarna naar jouw mailbox een herstellink wordt gestuurd. Zo kunnen zij jouw wachtwoord voor de webshop aanpassen. Met de gestolen cPanel of WordPress accounts hebben criminelen toegang tot het beheersysteem van je website of server die daarmee door de criminelen beheerd kan worden.
Wat doe je als je slachtoffer bent geworden?
Verander zo snel mogelijk je wachtwoorden en activeer inloggen in twee stappen. Doe daarnaast altijd aangifte als je slachtoffer bent geworden van cybercrime! Dit onderzoek laat opnieuw zien dat we in staat zijn om de criminele infrastructuur van cybercriminelen flink te verstoren en te ontwrichten. We slaan hiermee een flinke slag. Maar we kunnen het niet alleen. Iedere aangifte draagt bij aan het verzamelen van waardevolle informatie die helpt bij het opsporen van daders en het voorkomen van nieuwe slachtoffers. Dit kan via www.politie.nl of een politiebureau in de buurt.