De politie heeft vandaag een 21-jarige man uit Dordrecht aangehouden op verdenking van het verspreiden van een phishingtool waarmee One-Time Passwords (OTP's) zijn te stelen. Het gaat om een bot genaamd JokerOTP waarmee OTP's en tweefactorauthenticatie (2FA) codes zijn te onderscheppen. Via JokerOTP konden criminelen slachtoffers geautomatiseerd bellen. Slachtoffers kregen een bericht te horen dat er was geprobeerd om op hun account in te breken. Vervolgens werd gevraagd om een OTP- of 2FA-code door te geven.

Wanneer slachtoffers deze code doorgaven konden criminelen op het account inloggen. Vorig jaar werd de tool offline gehaald, waarbij de ontwikkelaar en medeontwikkelaar van het systeem door politie werden aangehouden. Het ging om een 30-jarige Nederlander en een 24-jarige Brit. De Britse politie stelt dat JokerOTP in een periode van twee jaar naar schatting meer dan 28.000 keer in dertien verschillende landen was gebruikt. Via de verkregen inloggegevens zouden criminelen miljoenen euro's hebben gestolen.

De vandaag aangehouden Dordtenaar verkocht volgens de politie de bot aan andere cybercriminelen. Daarnaast zou hij zelf ook over licentiesleutels van de bot beschikken. De politie stelt dat het onderzoek nog niet ten einde is. Er zouden tientallen Nederlandse kopers van JokerOTP in het vizier van de politie zijn gekomen. "Het doel is om hen uiteindelijk ook op te sporen zodat het OM ze kan vervolgen. Zij kopen doelbewust een tool waarmee ze slachtoffers kunnen oplichten", aldus de politie.