Politie: vijf miljoen Nederlandse e-mailadressen op lijst cybercriminelen

Cybercriminelen verhandelden lijsten met 7,3 miljoen unieke e-mailadressen. De Nederlandse politie trof de lijsten aan tijdens een onderzoek, nadat zes verdachten eind januari waren aangehouden voor bankhelpdeskfraude.

Van de aangetroffen e-mailadressen zijn er 5 miljoen Nederlands, meldt de politie. Uit welke landen de 2,3 miljoen andere adressen komen, is niet bekendgemaakt. De e-mailadressen worden gebruikt voor het versturen van phishingmails.

Dat de zes verdachten zijn aangehouden, betekent niet dat de lijsten verdwijnen, waarschuwt de politie. "Deze lijsten worden verhandeld en opnieuw gebruikt door cybercriminelen. Het is daarom belangrijk om te checken of jij op deze lijst staat en alert te zijn op mails die je niet vertrouwt."

Via Check je hack van de politie is te controleren of een e-mailadres op de lijsten staat. Komt een e-mailadres daarin voor, dan stuurt de politie een bericht met tips over wat gebruikers het best kunnen doen. Staat een gecontroleerd e-mailadres niet op de lijsten, dan volgt er geen bericht.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 28-03-2024 09:35
89 • submitter: DeComponeur

28-03-2024 • 09:35

89 Linkedin Whatsapp

Submitter: DeComponeur

Lees meer

Politie rolt internationaal phishingnetwerk op, vijf arrestaties in Nederland
Politie rolt internationaal phishingnetwerk op, vijf arrestaties in Nederland Nieuws van 18 april 2024
Fors minder schade en minder slachtoffers bankhelpdeskfraude in 2023
Fors minder schade en minder slachtoffers bankhelpdeskfraude in 2023 Nieuws van 11 maart 2024
FBI: gemelde schade internetcriminaliteit in 2023 bedraagt 12,5 miljard dollar
FBI: gemelde schade internetcriminaliteit in 2023 bedraagt 12,5 miljard dollar Nieuws van 8 maart 2024
Politie houdt vier mannen aan voor grootschalige phishing en bankhelpdeskfraude
Politie houdt vier mannen aan voor grootschalige phishing en bankhelpdeskfraude Nieuws van 1 maart 2024
Driekwart van gemeentewebsites voldoet niet aan verplichte beveiligingseisen
Driekwart van gemeentewebsites voldoet niet aan verplichte beveiligingseisen Nieuws van 29 februari 2024
'Jongeren denken dat iedereen online slachtoffer kan worden, maar niet zijzelf'
'Jongeren denken dat iedereen online slachtoffer kan worden, maar niet zijzelf' Nieuws van 27 februari 2024
Nederland levert Oekraïense verdachte achter Raccoon Infostealer uit aan VS
Nederland levert Oekraïense verdachte achter Raccoon Infostealer uit aan VS Nieuws van 19 februari 2024
Chrome gaat Safe Browsing voortaan niet meer vóór het laden van sites inzetten
Chrome gaat Safe Browsing voortaan niet meer vóór het laden van sites inzetten Nieuws van 15 februari 2024
Hackers stelen gegevens van 33 miljoen Fransen bij betalingsverwerkers
Hackers stelen gegevens van 33 miljoen Fransen bij betalingsverwerkers Nieuws van 9 februari 2024
Meer producten en artikelen
Beveiliging en antivirus Phishing Politie Security

Reacties (89)

-Moderatie-faq
89
87
42
4
0
38
Wijzig sortering
Master_duck
28 maart 2024 09:42
helaas sta ook op de lijst, is wel een 25 jaar oud mail adres.


Beste lezer,

U heeft op de website van de politie gecontroleerd of uw e-mailadres voorkomt in gestolen (inlog)gegevens uit een grootschalig bankhelpdeskfraude- en phishing onderzoek. Lees deze e-mail goed.

Het door u opgegeven e-mailadres "edit"mail@adres.com"edit" zit hier helaas bij. Dat betekent dat uw gegevens verhandeld worden op het internet. Op deze manier bent u online kwetsbaar voor oplichting.

Doe de updates
Om te voorkomen dat u opgelicht wordt, is het belangrijk dat u extra alert bent.

Log uit op alle openstaande accounts en sessies op internet
Verwijder cookies en tijdelijke internetbestanden
Voorzie uw computer altijd van de laatste systeemupdates
Wees alert op (nep)e-mails met linkjes die u ontvangt, controleer de website van deze linkjes op juistheid
Wijzig uw wachtwoorden
Gebruik altijd lange ‘sterke’ wachtwoorden en gebruik niet steeds hetzelfde wachtwoord. Stel zoveel mogelijk multi-factor authenticatie in. Door uw identiteit te bevestigen met uw vingerafdruk, gezichtsherkenning of goedkeuring op een ander apparaat zoals uw telefoon, maakt u misbruik moeilijker.

Telefoonnummer
Het kan zo zijn dat criminelen ook uw telefoonnummer hebben. Vertrouwt u het niet? Hang op en bel zelf de bank.

Twijfelt u aan de betrouwbaarheid van dit bericht?
Op politie.nl leest u meer over de betrouwbaarheid van deze e-mail. Zoek op de site van de politie op ‘checkjehack’ en/of ‘online fingerprint’ voor meer informatie.

Let op: dit is een automatisch gegenereerde e-mail, waarop u niet kunt antwoorden.

Met vriendelijke groet,
Politie
Reageer
oak3
@Master_duck28 maart 2024 10:29
Log uit op alle openstaande accounts en sessies op internet
Verwijder cookies en tijdelijke internetbestanden
Ik ben dan toch benieuwd waarom deze adviezen worden gegeven. Zie geen (technische) relatie tussen een gelekt e-mail adres en ingelogde sessies op een computer.
Reageer
Master_duck
@oak328 maart 2024 10:50
waarschijnlijk ook password er bij, als ik naar de log in activity kijk:

Recent activity
Time (CET)Session TypeApproximate location
Handheld device icon2 hours agoUnsuccessful sign-inEl Salvador
Handheld device icon2 hours agoUnsuccessful sign-inBrazil
Handheld device icon3 hours agoUnsuccessful sign-inFrance
Computer icon5 hours agoUnsuccessful sign-inUnited States
Computer icon6 hours agoUnsuccessful sign-inLiechtenstein
Automatic syncing device icon9 hours agoAutomatic Sync United States
Handheld device icon10 hours agoUnsuccessful sign-inUnited Kingdom
Handheld device icon10 hours agoUnsuccessful sign-inBrazil
Computer icon11 hours agoUnsuccessful sign-inIreland
Computer iconYesterday 11:33 PMUnsuccessful sign-inUnited States
Computer iconYesterday 10:43 PMUnsuccessful sign-inLiechtenstein
Handheld device iconYesterday 10:23 PMUnsuccessful sign-inBrazil
Handheld device iconYesterday 8:24 PMUnsuccessful sign-inUnited States
Handheld device iconYesterday 6:23 PMUnsuccessful sign-inUnited States
Handheld device iconYesterday 3:40 PMUnsuccessful sign-inUnited States
Computer iconYesterday 1:18 PMUnsuccessful sign-inUnited States
Computer iconYesterday 12:21 PMUnsuccessful sign-inUnited States
Handheld device iconYesterday 12:08 PMUnsuccessful sign-inMexico
Handheld device iconYesterday 11:01 AMUnsuccessful sign-inBrazil
Handheld device iconYesterday 10:52 AMUnsuccessful sign-inUnited States

en gaat zo maar door

MS doet er niks tegen. en zolang ze je password niet goed hebben hoef je niks te doen. hoop dat ze dit niet zo doen bij Azure klanten. want dit is echt ontoelaatbaar. ik zou graag GEO locatie willen kunnen blokkeren

[Reactie gewijzigd door Master_duck op 28 maart 2024 10:51]

Reageer
Soneraxx
@Master_duck28 maart 2024 12:22
Als het over het Hotmail of Outlook adres gaat heb ik ooit het volgende gedaan.

Maak een nieuwe alias aan (je kan tot 10 aliassen aanmaken als ik het goed heb).

Vervolgens uitvinken dat je met het gelekte mailadres kan inloggen en enkel inloggen met het nieuw aangemaakte alias. Het nieuw aangemaakte alias deel ik nergens.
Reageer
SunnieNL
@Soneraxx28 maart 2024 16:03
Ik wist niet eens dat dat kon. Dat is wel een top tip!

Voor degene die zoeken waar je dat moet doen:
-> account.microsoft.com
-> kies your info
-> edit account info -> aanmaken alias -> maak alias primary
-> sign-in preferences -> uncheck alle accounts waar je niet mee wilt inloggen.

Al hoop ik wel dat Microsoft toch nog een optie inbouwd zoals banken dat ook hebben. Zodat je kan aanvinken vanaf welke landen je bij je account wilt kunnen.

[Reactie gewijzigd door SunnieNL op 28 maart 2024 16:03]

Reageer
Soneraxx
@SunnieNL28 maart 2024 19:08
Graag gedaan. Men zegge het voort 😉
Reageer
oak3
@Master_duck28 maart 2024 11:01
Met wachtwoord waren het geen unsuccesful logins geweest. En password spraying aan de hand van dit soort gelekte lijsten is heel erg standaard. In zakelijke omgevingen zie je 10.000-en pogingen per dag voorbij komen.
Reageer
Duke of Savage
@oak328 maart 2024 10:49
Omdat als een sessie al leeft, kan het zijn dat ondanks het wijzigen van het wachtwoord, de sessie in leven blijft.
Reageer
oak3
@Duke of Savage28 maart 2024 10:50
Dat kan, maar wat heeft dat te maken met een e-mail adres dat ergens in een bestand staat?
Reageer
Duke of Savage
@oak328 maart 2024 10:54
Als je gegevens gelekt zijn, kan het zijn dat het wachtwoord ook buit gemaakt is...

Het advies dat de politie in hun e-mail zit gaat er van uit dat er een kans is dat een crimineel toegang heeft tot je e-mail account. Daarom het advies om je wachtwoord te wijzigen en alle bestaande sessies uit te loggen.
Reageer
oak3
@Duke of Savage28 maart 2024 10:59
In dit lek worden alleen e-mailadressen verhandeld, geen wachtwoorden. Op basis van enkel een gelekt e-mailadres vind ik dit een advies wat heel makkelijk gegeven wordt, maar wat heel veel impact heeft op gebruikers.
Reageer
Duke of Savage
@oak328 maart 2024 11:02
Dit gaat niet om een lek, dit gaat om een database waar 5 miljoen e-mail addressen in staan van Nederlanders.

Die kun je vrij makkelijk leggen naast andere databases die gelekt zijn en zo de gegevens kunnen combineren en verdere informatie van jou koppelen aan die adressen. Zo moeilijk is dat niet.
Reageer
Scriptkid
@Duke of Savage28 maart 2024 12:02
en wat nog, wacht woord is maar 1 van de MFA requirements ,

dus komen ze nog niet in je email.
Reageer
gamezfreak
@oak328 maart 2024 11:41
Ik ben dan toch benieuwd waarom deze adviezen worden gegeven. Zie geen (technische) relatie tussen een gelekt e-mail adres en ingelogde sessies op een computer.
Er bestaat wel degelijk een technische relatie tussen een gelekte e-mail adres een een ingelogde sessie, namelijk session hijacking.

Als een hacker tussen jouw en de website komt, of al toegang heeft tot jouw systeem, kan hij de sessie cookie clonen en een replay aanval doen, zodat ze op een andere machine ingelogd zijn met de session cookie die jij al hebt gegenereerd.

Stel dat je wat wilt bestellen bij een webwinkel, je hebt je product gevonden en logt daarna in, zodat het product onder jouw account wordt gekocht. Nu heb je een actieve sessie lopen (net zoals Tweakers de optie geeft om alleen deze sessie te beëindigen, of alle sessies). Zodra een hacker de session cookie weet te pakken, begint het proces pas. Eenmaal ingelogd kan je natuurlijk de email adres wijzigen, of extra bestellingen doen (afhaaladres wijzigen + achteraf betalen op naam van het slachtoffer). En dan begint de ellende pas.

In dat geval is de schade nog enigszins beperkt, maar als ze de session cookie hebben van je mailadres (Outlook, Gmail), dan is de schade aanzienlik groot en héél risicovol, gezien ze dan wachtwoorden van verschillende sites waarop je bent ingeschreven, kunnen wijzigen.

Ja, het is makkelijker om ingelogd te blijven en je sessie te verlengen, maar hier kleven natuurlijk weer risico's met zich mee. Ik meende dat al de huidige session cookies een geldigheid hebben van 15 minuten, zodat de kans op een replay aanval klein is.

Dus nee, het is niet gek dat de advies luidt om op alle apparaten uit te loggen, je cookies te verwijderen en desnoods je apparaat opnieuw te installeren, mocht je echt gecompromitteerd zijn.

OnTopic:
Ik vraag mij af of deze mailadressen niet per toeval uit een onontdekte database van Genesis Market komen (helaas ben ik daarvan ook een van de getroffene en heb de nodige maatregelen genomen).

Feit blijft dat vroeg of laat, je gegevens wel een keer op straat komen te liggen, vooral als een derde partij (bijv. de gebeuren rondom Blauw Research), ook jouw gegevens heeft gehad dan wel heeft verwerkt.

Security kost geld en hoe hoger de gestelde security eisen, hoe minder gebruiksvriendelijk het product of dienst is. Een passphrase dat bestaat uit 15 karakters incl. hoofdletters, kleine letters, cijfers en lees tekens / vreemde symbolen + MFA zorgt er voor dat hackers buiten de deur blijven en hopelijk dat hackers dan het opgeven (wat ze niet doen).
Reageer
oak3
@gamezfreak28 maart 2024 12:56
Als een hacker tussen jouw en de website komt, of al toegang heeft tot jouw systeem, kan hij de sessie cookie clonen en een replay aanval doen, zodat ze op een andere machine ingelogd zijn met de session cookie die jij al hebt gegenereerd.
En wel een hele belangrijke nuance:
Dus nee, het is niet gek dat de advies luidt om op alle apparaten uit te loggen, je cookies te verwijderen en desnoods je apparaat opnieuw te installeren, mocht je echt gecompromitteerd zijn.
Dat is wel significant meer als een gelekt e-mail adres. Iemand die een man-in-the-middle (mitm) kan doen (niet onmogelijk, maar wel flink ingewikkeld tegenwoordig met TLS encryptie) of al toegang toe je computer. Als je beide hebt en/of kan, heb je echt geen e-mail adres meer nodig om te hacken. En mensen op deze lijst zijn niet gecompromitteerd, hun e-mail is gelekt.

Mijn hele punt bij deze discussie is, het is super eenvoudig om het heel groot te maken met wat allemaal kan. Maar we hebben het hier over alleen een gelekt e-mail adres, niets meer en niets minder. Dat e-mail adres laat je overal en nergens achter. Puur en alleen op basis van die info vind ik het bijzonder dat het advies is om een wachtwoord te wijzigen.
De generieke adviezen die vaak gegeven worden zijn mij een doorn in het oog. De gemiddelde gebruiker kan helemaal niet meer beoordelen wat wel en niet gevaarlijk is of wat een risico vormt en daarom storten we maar willekeurige adviezen over gebruikers uit waar ze soms niets mee kunnen. Elke maand je wachtwoorden resetten na weer een lek is ook geen werkbaar advies. En niet klikken op linkjes, of wees voorzichtig bij het openen van bijlages. Allemaal niet behulpzaam.


En als je last hebt van een mitm of een hacker op jouw pc, dan is het resetten van een wachtwoord, een uniek wachtwoord of het gebruik van de meeste MFA oplossingen ook niet voldoende om een hacker buiten te houden.
Security kost geld en hoe hoger de gestelde security eisen, hoe minder gebruiksvriendelijk het product of dienst is. Een passphrase dat bestaat uit 15 karakters incl. hoofdletters, kleine letters, cijfers en lees tekens / vreemde symbolen + MFA zorgt er voor dat hackers buiten de deur blijven en hopelijk dat hackers dan het opgeven (wat ze niet doen).
Deze mening deel ik ook niet. Passkeys en passwordless zijn eenvoudiger en veiliger. En t.a.v. wachtwoorden is lengte het voornaamste, je hoeft helemaal geen speciale karakters o.i.d. te gebruiken, als het maar lang is. Een wachtwoord van drie / vier woorden is super sterk en eenvoudig te gebruiken. En als je MFA gebruikt doet wachtwoordsterkte er nog minder toe.

[Reactie gewijzigd door oak3 op 28 maart 2024 13:26]

Reageer
Duke of Savage
@Terrestrial28 maart 2024 10:56
Behoorlijk naief gedacht van je.

Kijk eens op haveibeenpwned.com, kans dat je e-mail account gelekt is icm unsalted md5 hash voor je wachtwoord.
Reageer
Terrestrial
@Duke of Savage28 maart 2024 13:25
Wie is hier nu naief ? Als er iets is uitgelekt - wat dan nog ? Dan is dat maar zo, alsof jij daar iets aan kunt veranderen. Dat is overigens niet eens het geval hier, want het gaat alleen om email adressen dus geen wachtwoorden.

Dit is compleet nutteloos en onnozele bangmakerij. daarom vermoed ik dat iets anders achter zit. Ze willen gewoon graag weten of de identiteit tov het email adres bevestigd kan worden. Dat is voor de verschillende inlichtingen diensten ook weer nuttige data die ze gebruiken met hun sleepnet.

Laatst trouwens met de browser een melding dat mijn ww was uitgelekt, schijnbaar zit die onzin al in Chrome ingebakken. Ik denk hoezo... dus ik kijken.. blijkt dat ze een user/ww combinatie die je ergens gebruikt waar absoluut niemand bij kan want is niet publiekelijk! hashen en vergelijken met of die ergens op zo'n prutsite met gelekte accounts voor komt.

Maar dan word je voorgelogen want immers het is niet jou account die is uitgelekt, ze vergelijken alleen die hashes en zien dat die overeenkomstig zijn maar ze hebben geen flauw idee welke site/adres of persoon er bij hoort., Kortom je hebt er absoluut niks aan. !
Reageer
Duke of Savage
@Terrestrial28 maart 2024 14:18
Niemand die je dwingt om het advies van ze op te volgen. Mij boeit het echt niets wat jij doet met je accounts :+

Om nou een conspiracy theorie om heen te gaan bouwen gaat mij wat te ver..
Reageer
BasZer
@Master_duck28 maart 2024 14:55
Iemand een idee waarom je een mailtje moet krijgen om te weten of je in de database zit? Waarom niet, zoals bij HIBP, direct een antwoord in de browser

[Reactie gewijzigd door BasZer op 28 maart 2024 14:55]

Reageer
rjmno1
@Master_duck28 maart 2024 11:48
mijn email adres staat er gelukkig niet bij.
Ik heb de check gedaan.
Reageer
w0rkw0rk
@Master_duck28 maart 2024 13:13
Dus naast de 5 miljoen mail adressen heeft de politie nu sowieso ook jouw email adres.. :)

In hoeverre is de politie te vertrouwen vraag ik me af.
Reageer
nutty
28 maart 2024 09:38
Natuurlijk zeer onwaarschijnlijk, maar zou fijn zijn om te weten bij wie de gegevens zijn buitgemaakt.
Reageer
oef!
@nutty28 maart 2024 09:40
Je kan je mailadres checken via de link in het artikel.
Reageer
bvloon
@oef!28 maart 2024 09:43
Zou ook lekker zijn als je een domein kunt checken (ivm met catchall)
Reageer
stenkate
@bvloon28 maart 2024 10:17
Dat zou heel fijn zijn, net zoals https://haveibeenpwned.com/
Reageer
wildhagen
@nutty28 maart 2024 09:40
Denk niet dat ze dat soort info mogen delen vanwege de privacy-wetgeving enzo.

Daarnaast heeft het ook niet zoveel toegevoegde waarde om te weten of ze in het bezit van Piet Pietersen of Jan Janssen waren. Het ging om cybercriminelen, dat alleen al maakt het risico dat de gegevens misbruikt zijn reëel.

In ieder geval goed werk van de politie. En netjes dat ze ook een check-tool aanbieden om je gegevens te larten controleren.
Reageer
MrE
@wildhagen28 maart 2024 09:54
Toevallig typ ik net een reactie over een serie autobranden waarbij ik mij afvraag wat de consequenties zijn voor iemand met een laag inkomen wiens derdehands auto door een pyromaan in rook opgaat.
Zover ik weet mag je het als slachtoffer lekker allemaal zelf uitzoeken want verzekering en justitie doen verder niets voor je waar het aankomt op het verhalen van gevolgschade. Maar dan moet ik als slachtoffer wel weten wie ik aansprakelijk kan stellen.

Als mijn gegevens voorkomen in deze set en ik de daders aansprakelijk wil stellen voor (eventuele) schade ten gevolge van het verhandelen of misbruiken van mijn gegevens dan zal ik wel de gegevens van de daders moeten hebben om stappen tegen ze te kunnen ondernemen. Tenzij de politie het mij toestaat dat ik zelf sting operaties uitvoer om deze persoonsgegevens zelf te achterhalen (wat mij dan wel een goed excuus geeft om op allerlei verkeerde sites bezig te zijn 'nee, nee, ik kocht alleen drugs teneinde de dealer te kunnen achterhalen').
Dus hoe is dat dan geregeld?
Ik heb recht om iemand aansprakelijk te stellen maar hoe moet ik dat doen als de politie mij de gegevens van die persoon niet geeft?
Reageer
oak3
@MrE28 maart 2024 10:22
Alhoewel je wat mij betreft echt wel een punt hebt dat je nu niet weet waar je schade kan verhalen, is de vraag vooral welke schade je hebt.
In in brand gestoken auto is vrij duidelijk. Maar een (vrij publiek) e-mail adres ergens in een bestand, levert nog geen directe schade op. Het maakt het misschien mogelijk voor iemand om er schade mee aan te richten. En rechters in Nederland kijken niet naar potentiële schade, maar naar echt geleden schade. Dus moet er eerst iets gebeuren wat echt schade oplevert, en dan kun je iemand aansprakelijk stellen. Is dat dan diegene die jouw e-mail adres heeft gelekt of diegene die er misbruik mee heeft gepleegd?
Reageer
marktweakt
@oak328 maart 2024 11:15
De redenen die je hier noemt zijn exact de goede argumenten waarom in dit soort zaken omkering van bewijslast in de wet verankerd zou moeten worden.

De instelling bij wie de gegevens buit zijn gemaakt en/of degene die ze verhandeld of misbruikt zou dan aansprakelijk gesteld kunnen worden voor veronderstelde schade en de bewijslast ligt dan bij de andere partij om aan te tonen dat die schade niet is geleden.

Dit is de enige manier waarop bestolen burgers hun recht kunnen halen.

En dan komt er mogelijk ook eens een einde aan die eindeloze reeks met datalekken bij bedrijven/overheden die gegevensbeveiliging nog steeds niet erg serieus lijken te nemen.

[Reactie gewijzigd door marktweakt op 28 maart 2024 11:20]

Reageer
cariolive23
@MrE28 maart 2024 14:23
Dit gaat via de rechtbank, wanneer de betrokken crimineel wordt veroordeeld. Bij een veroordeling kan deze ook worden veroordeeld tot het vergoeden van de schade.

Wat het inkomen van het slachtoffer is, of hoe oud de auto is, dat is totaal irrelevant. Geen idee waarom je dat noemt. Het is wel zo dat mensen met hogere inkomens vaak ook juridische hulp verzekeren, waardoor je als slachtoffer minder zelf hoeft toe doen. Verder zijn er in Nederland pro deo advocaten, juist voor de lage inkomens.
Reageer
Seth_Chaos
28 maart 2024 09:49
Wat is het belang van het weten of je in die lijst staat? Wat voegt dat toe? Ik denk dat je er vanuit kunt gaan dat elk e-mailadres wel op één of meerdere lijsten staat. Ik denk dat de overheid er verstandig aan zou doen om gewoon te adviseren zo weinig mogelijk via mail af te handelen. Het is ouderwets en onveilig. En voor de meeste zaken zijn er veel slimmere, snellere en veiligere methodes.
Reageer
wildhagen
@Seth_Chaos28 maart 2024 09:53
Wat is het belang van het weten of je in die lijst staat? Wat voegt dat toe?
Dat je wat alerter kunt zijn op bijvoorbeeld phishing mails etc.

Vergeet niet dat die notificaties primair niet bedoeld zijn voor tweakers die dit zelf wel weten. De doelgroep is natuurlijk de 99+ procent van de bevolking die minder digitaal onderlegd is, en die zo nog eens alert gemaakt worden op de risico's.
Reageer
kodak
@wildhagen28 maart 2024 16:17
Onder digitaal onderlegd zijn valt volgens mij dat we ons bewust zijn dat deze lijsten en criminaliteit dagelijkse praktijk zijn, met miljoenen pogingen per dag. Dus dat het niet bijzonder is dat men op een lijst staat. Dus dat het niet bijzonder is dat criminelen je als doel kiezen voor bankfraude enz. Terwijl dit waarschuwen zich niet richt op dat duidelijk maken.

Het mag dus te verwachten zijn dat een niet onderlegd persoon dit bericht opvat alsof men alleen of vooral om deze lijst moet opletten. Het mag dus te verwachten zijn dat een niet onderlegd persoon hieruit op maakt dat op een ontdekte lijst staan meer risico geeft dan op niet door de politie ontdekte lijsten staan. Dit waarschuwen is dus niet zomaar op te vatten alsof dit waarschuwen werkelijk meer helpt dan schade doet. Hoe goed bedoeld het ook mag lijken.

Het lijkt mij pas te helpen als de politie duidelijk is dat dit verhandelen absoluut niet bijzonder is. Dat het grootste deel van de bevolking hoe dan ook kans maakt doelwit te zijn en niet van deze gevonden lijst af hangt. Dat de politie vooral persoonlijk waarschuwd omdat het door het vinden mag, niet dat het om het kunnen waarschuwen er bijzonder meer risico is.
Reageer
centr1no
@kodak29 maart 2024 11:04
Dit waarschuwen is dus niet zomaar op te vatten alsof dit waarschuwen werkelijk meer helpt dan schade doet. Hoe goed bedoeld het ook mag lijken.
Ik ben het er mee eens dat de formulering van het 'uw gegevens worden verhandeld, u bent kwetsbaar voor oplichting' als zodanig bij onwetenden alleen maar onduidelijkheid en misschien angst oproept.

Het is sowieso een raar gegeven dat iedereen voor alles naar het digitale wordt geforceerd en er maar vanuit wordt gegaan dat mensen de kennis hebben dat allemaal te kunnen bijhouden.
Zelfs de adviezen van de politie als het verwijderen van cookies en multi-factor authenticatie zal bij de gemiddelde digibeet alleen maar vragen oproepen.
Ik krijg nog best wel wat vragen van familie en bekenden over mails van bekende bedrijven en instanties, met daarin de vraag om geld over te maken of telefoonnummers te bellen.
Ieder jaar is er wel iemand die vraagt hoe ze een digitaal toegezonden formulier (pdf) moeten ondertekenen en terugsturen.
En ondertussen vullen ze op iedere wazige website die er om vraagt al hun persoonlijke gegevens in en leest niemand de kleine lettertjes.
Blijkbaar is het nog steeds niet bij iedereen bekend dat instanties telefonisch of via mail nooit zullen vragen om wachtwoorden of pincodes.
Reageer
kabelmannetje
@Seth_Chaos28 maart 2024 10:24
Omdat veel eigenaren van deze adressen, niet digitaal vaardig zijn. Een extra waarschuwing is dan een prima initiatief.
Reageer
metalmania_666
@Seth_Chaos28 maart 2024 12:27
Van mijn 8 e-mailadressen is er maar 1 die er op staat.
Degene die er op staat is niet zo geheel vreemd, aangezien die vermeld staat in diverse gidsen en op mijn website staat.
Mail die hier op binnenkomt bekijk ik altijd met argusogen. Sowieso klik ik nooit op een link, en bankmail open ik niet (banken hebben dit mailadres niet)
Reageer
Sascha G.
28 maart 2024 09:39
Telefoonnummer en welke bank je gebruikt is blijkbaar ook in omloop.
Zijn er een aantal die verzamelen, koppelen en heel gericht te werk gaan.

Een tijd terug kreeg ik een telefoontje van het telefoonnummer van de bank zelf, om 21:00 's avonds.
Bleek 'gespoofed' en ze kregen een hoop telefoontjes van mensen die terugbellen.
Knap ergens... Als je zelfs schijnbaar via het telefoonnummer van de bank kunt bellen.

[Reactie gewijzigd door Sascha G. op 28 maart 2024 09:40]

Reageer
ShatterNL
@Sascha G.28 maart 2024 09:47
Knap ergens... Als je zelfs schijnbaar via het telefoonnummer van de bank kunt bellen.
Ja kan iemand mij dit uitleggen hoe dit mogelijk is? Is telefonie en email gewoon echt zo lek als een mandje als blijkbaar iedereen "namens" iemand anders kan bellen of mailen?
Reageer
ramius
@ShatterNL28 maart 2024 09:51
Technisch kun je elk nummer (callerid) meesturen en ahankelijk van je provider wordt dat ook geaccepteerd (lees: niet bij de gerenommeerde partijen, of partijen die waarde hechten aan standaarden). Er is geen check mogelijk bij de ontvangende partij of de opgegeven callerid daadwerkelijk bij de beller hoort. Het zou voor Nederlandse nummers technisch wel mogelijk moeten zijn (via COIN weet je waar bij welke provider het nummer geactiveerd is voor inkomende gesprekken). Zo'n check/lookup is echter lastiger dan bijvoorbeeld email, omdat een vertraging van één of enkele seconden niet geaccepteerd wordt bij telefonie en er is, anders dan bij mail met SPF, DKIM, etc. geen standaard voor.

[Reactie gewijzigd door ramius op 28 maart 2024 09:53]

Reageer
jochem4207
@ShatterNL28 maart 2024 09:52
Voor zo ver mijn kennis rijkt (niet al te ver), zijn een hoop internet protcollen ooit opgezet en niet met veiligheid in het oogpunt, er was toen nog nauwelijks iemand online. Email spoofen kan al zo lang als er email is, alleen de dienst die je gebruikt herkent het vaak voor je.
Reageer
Dennisdn
@Sascha G.28 maart 2024 10:38
Met één zoekopdracht heb je websites gevonden waarmee je telefoontjes of sms kan spoofen. Wij deden dat in de jaren ‘90 al op school om de docenten en de receptie te pesten…

[Reactie gewijzigd door Dennisdn op 28 maart 2024 10:39]

Reageer
Kees
@Dennisdn28 maart 2024 10:44
Tenzij ze een ISDN lijn hadden met nummerherkenning dan had je nummer spoofen in de jaren 90 niet bijzonder veel nut, want bijna geen enkele telefoon gaf het nummer weer dat jouw belde ;)
Reageer
arbraxas
@Kees28 maart 2024 11:17
Duh, niet wakker. ik neem nog bak koffie.

[Reactie gewijzigd door arbraxas op 28 maart 2024 11:17]

Reageer
Sascha G.
@Dennisdn28 maart 2024 12:34
Voor SMS kende ik het inderdaad, maar dat dit zo gemakkelijk kan voor telefoongesprekken is lastig.
Wat een knullig antiek systeem is het eigenlijk.
Reageer
HoppyF
@Sascha G.28 maart 2024 14:25
Klopt.
Ze weten ook het rekeningnummer van jou plus dat het om de juiste bank gaat die je hebt.
Maar de oplossing is simpel, klets wat mee en hang daarna op en bel het echte telefoonnummer van je bank over fraude. Je zult dan snel horen dat er niets aan de hand is met je bankrekening.
Reageer
mati1983
28 maart 2024 09:41
Ik heb de check uitgevoerd en (helaas) is mijn emailadres bekend. Alleen zegt mij dit niet zo heel veel, want mijn emailadres an sich is geen geheim. Ik zou het fijn vinden wanneer ik zou kunnen inzien welke gegevens van mij exáct in die datasets zitten.

Hebben ze een wachtwoord? Hebben ze die plain text, of hebben ze die salted? etc
Reageer
Bender
@mati198328 maart 2024 09:46
https://haveibeenpwned.com/

Die website verteld je in ieder geval uit welke dataset het mogelijk komt.


De dataset van de politie zal niet zoveel zin hebben, dit zit eigen gemaakt datasets op basis van veel bronnen dus de afkomst is waarschijnlijk niet eens bekend.
Reageer
mati1983
@Bender28 maart 2024 09:48
Thanks! Ik ga kijken. In het verleden af en toe wel gedaan, maar dat was nooit 'spannend'.
Echter geen idee of dit dezelfde datasets zijn als die de Politie heeft? :)
Reageer
fverhoef
@Bender28 maart 2024 10:01
Ik denk ook dat die 'Nederlands' cybercriminelen die email adressen uit een van die internationale databronnen hebben gekocht. Dus haveibeenpawned.com is veel interessanter om te checken, ook omdat je dan meer te weten komt welke informatie mogelijk bekend is bij het criminele volk.

Beste advies dat ik kan geven is om ter aller tijden terughoudend te zijn met het geven van gevoelige informatie via ontvangen emailtjes en telefoongesprekken. Nooit wachtwoorden en dergelijke geven, en nooit zomaar software installeren. Maar goed, ik ga ervan uit dat de meeste tweakers dit al weten :)
Reageer
shadowheart
28 maart 2024 09:51
Loop al 25 jaar met hetzelfde email en helaas staat mijn email erbij.
Het beste zou zijn om mijn adres te verwijderen en volledig op een nieuw email over te gaan.
Reageer
c-nan
@shadowheart28 maart 2024 09:55
Verwijderen zou ik niet doen, dan gaat een ander dat adres registreren en in gebruik nemen.
Reageer
Dacuuu
@c-nan28 maart 2024 10:14
Over 2 weken staat je nieuwe mail adres op een lijst. Wat maakt het uit.
Reageer
bamboe
@Dacuuu28 maart 2024 11:16
Yep, het enigste wat uit maakt is om te zorgen dat er een goeie spam filter op zit,
tot nu toe blijkt google daar in beter te zijn dan microsoft, maar dat is eigen ervaring.
Reageer
shadowheart
@bamboe28 maart 2024 16:32
Ik verwacht met de komst van AI dat scammers nog makkelijker kunnen scammen en des te meer privacy gegevens ze aan elkaar kunnen koppelen en je oplichten. Google is idd een stuk beter, scam mails komen telkens weer door mijn outlook filter.
Reageer
shadowheart
@Dacuuu28 maart 2024 16:29
Nou ik mijn huidige is mijn voornaam en achternaam verwerkt.
Privacy wordt met de dag belangrijker dus in dit geval is niet alleen mijn mail buit gemaakt maar ook mijn voornaam en achternaam.
Reageer
shadowheart
@c-nan28 maart 2024 16:28
Het is nog een hotmail adres die kunnen ze niet overnemen lijkt mij?
Reageer
NotWise
@shadowheart28 maart 2024 10:22
Je kan s' werelds nr.1 security specialist zijn, maar het is bijna onmogelijk dat je e-mail adres niet een keertje wordt gestolen.
Reageer
oak3
@shadowheart28 maart 2024 10:25
Het beste is om best practices te hanteren als niet je wachtwoord hergebruiken, MFA in te stellen en je bewust te zijn van de verhoogde kans dat je gephist wordt.

Als je die best practices volgt, kun je niet zoveel met een e-mail adres.

Maak je je alsnog erg veel zorgen, richt dan iets in waarbij je voor elke dienst een uniek e-mail adres maakt, als die dan uitlekt zijn mailtjes op dat adres een stuk verdachter.
Reageer
nemesis2212
28 maart 2024 09:56
Zolang je niet klikt op vage links als zij je email adres hebben, kunnen ze er werkelijk helemaal niks mee.
Reageer
CPV
@nemesis221228 maart 2024 09:59
De tijd van de vage links (lieve postbankklant) zijn al lang voorbij.
Reageer
nemesis2212
@CPV28 maart 2024 10:34
Ik blijf spam emails af en toe wel leuk vinden om te lezen.

zo kon ik laatst nog 44 miljard claimen via de Federal Reserve Bank. Wat lief.
Wel moest ik eerst een iTunes kaart van $100 kopen en de code of foto van deze kaart doorsturen naar een email adres om gebruik te kunnen maken van de 44 miljard. Wel kon ik maar 40k per dag opnemen. Dus over 1,1 miljoen dagen heb ik mijn hele bedrag binnen!

Ik blijf altijd lachen over hoe dom die emails geschreven worden.

[Reactie gewijzigd door nemesis2212 op 28 maart 2024 10:37]

Reageer
MennoE
@nemesis221228 maart 2024 13:32
Haha prachtig. Ik snap dat ze al beet hebben als 1 op de 10.000 mensen erin trapt, maar wie trapt hier nou nog in?
Reageer
mikeyfire643
28 maart 2024 10:03
Wat ook intressant is hoe ze bepaald hebben dat nederlandse adressen zijn. Dan zouden ze letterlijk van .nl moeten zijn uitgegaan. Maar onder nederlandse adressen zou ik ook verstaan .frl bijvoorbeeld voor Friesland.
Reageer
Bux666
@mikeyfire64328 maart 2024 14:36
Dat vroeg ik me ook al af. Als ik zo om mij heen kijk, dan gebruiken veel mensen voornamelijk e-mailadressen van de bekendere dienstverleners zoals Gmail, Hotmail, etc.
Hoe heeft de politie bepaalt dat van die 7,3 miljoen e-mailadressen er daar 5 miljoen Nederlands van zijn? :/
Reageer
Krommetenen
@Bux66629 maart 2024 08:10
Misschien zo in hey dataset aangetroffen met label .nl en bleek het bij een steekproef te kloppen.

Hoe wisten de boefjes dat dan? Tja als je uit lek opvangt van een Nederlands systeem?
Reageer
NeFoRcE
28 maart 2024 09:45
Check ook met regelmaat even https://haveibeenpwned.com . Die doet denk ik hetzelfde als dat spul van de politie. Maar HIBP is wereldwijd ook, + je ziet direct of je gelekt bent.

[Reactie gewijzigd door NeFoRcE op 28 maart 2024 11:16]

Reageer
Citroentjuh
@NeFoRcE28 maart 2024 10:10
Zeker goede tip. Er zijn daarnaast ook manieren waarop je een aantal emailadressen, telefoonnummers en andere gegevens permanent kunt laten monitoren, dan hoef je niet steeds handmatig te kijken. Dit kan bijvoorbeeld met darkwebscanners in verschillende security suites maar is volgens mij ook los verkrijgbaar. Die scanners gaan ook meer bronnen langs dan alleen HIBP.
Reageer
Robru1
@NeFoRcE28 maart 2024 10:47
Correctie op jouw linkje: https://haveibeenpwned.com/
Reageer
NeFoRcE
@Robru128 maart 2024 11:17
dank, snel getypt, haha! heb m'n post aangepast
Reageer
Boekenworm
28 maart 2024 09:46
En hoe zijn ze dan gelekt ? Geldt dit voor alle banken ? En wat moet je doen als je email er in staat ?
Reageer
1 2 3


Om te kunnen reageren moet je ingelogd zijn

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee