Nieuws
image

Cel voor man die via phishingmails 230.000 euro van zeventig ICS-klanten stal

vrijdag 27 maart 2026, 16:29 door Redactie, 5 reacties

Een man die meer dan zeventig mensen door middel van ICS-phishingmails oplichtte en daarbij 230.000 wist te stelen is door de rechtbank Midden-Nederland veroordeeld tot een gevangenisstraf van vier jaar. Daarnaast moet hij zijn slachtoffers een schadevergoeding betalen. Het gaat onder andere om ICS dat ruim 220.000 euro van de man krijgt. Slachtoffers ontvingen een phishingmail die van ICS afkomstig leek.

In het bericht werd gesteld dat de ontvanger zich vanwege de identificatieplicht moest identificeren. Dit kon via de meegestuurde link. De link in de e-mail wees echter naar een phishingsite. Met de gegevens die slachtoffers daar invulden kon de verdachte hun creditcardaccounts overnemen om daarmee betalingen te verrichten. Op een telefoon van de verdachte werden leadlijsten met namen, adressen, geboortedatums, creditcardgegevens en inloggegevens van mensen aangetroffen. Ook bleek dat hij toegang had tot phishingpanels, waar de gegevens terechtkomen die slachtoffers op phishingsites invullen.

"De omvang en de ernst van de bewezenverklaarde feiten, en de verstrekkende gevolgen hiervan leiden tot het oordeel dat alleen een vrijheidsbenemende straf een passende sanctie is. Bij het bepalen van de hoogte hiervan heeft de rechtbank acht geslagen op de straffen die in vergelijkbare zaken doorgaans worden opgelegd. In strafverzwarende zin houdt de rechtbank rekening met het grote aantal slachtoffers, de hoogte van de schade en de duur van de periode dat de verdachte actief bezig was met phishing-praktijken", aldus de rechter. Die veroordeelde de verdachte ook tot het betalen van schadevergoedingen aan een deel van de slachtoffers. Het gaat onder andere om ICS, dat bijna 222.000 euro eiste, wat overeenkomt met het bedrag dat de creditcardmaatschappij aan slachtoffers vergoedde.

Reacties (5)
Reageer met quote
27-03-2026, 22:30 door Erik van Straten
Kennelijk maken gevangenisstraffen geen induk op huidige phishers, want de volgende ICS phisingsite is nog live (de laatste punt in de domeinnaam heb ik door • vervangen om onbedoeld openen te voorkomen):

        https://lcs.1419•info

Een screenshot van die site zie je links in https://todon.nl/@ErikvanStraten/116297657886369869.

Vanzelfsprekend zit die phishingsite achter een bulletproof proxyserver van Cloudflare: in het RELATIONS tabblad van https://virustotal.com/gui/domain/lcs.1419.info zie je 104.21.56.109 en 172.67.184.165; voor die IPv4 adressen zie resp. https://virustotal.com/gui/ip-address/104.21.56.109 en https://virustotal.com/gui/ip-address/172.67.184.165.

Sinds 4 december 2025 hebben Google Trust Services en Let's Encrypt elk al twee DV speelgoedcertificaten uitgegeven voor 1419•info en *.1419•info (zie https://crt.sh/?q=1419.info).

In elk geval alle volgende "doorstuursites" (die als URL's in phishingmails worden gebruikt) stuurden mijn browser zojuist door naar de bovengenoemde ICS phishingsite:

        https://timsauctionservice•com
        https://paramountwebsales•com
        https://iserve.co•uk
        https://eldiabaptismoglobal•net
        https://insuranceopedia•ca
        https://spartancu•com
        https://wallstreetedge•com

De www. varianten heb ik niet getest (maar werken vermoedelijk ook). Genoemde doorstuursites zijn gehost bij Hetzner en allemaal te vinden in het RELATIONS tabblad van https://virustotal.com/gui/ip-address/46.225.225.20.

Vorige week stuurden al die doorstuursites mijn browser nog door naar een andere phishingsite (die nog steeds live is, ook achter Cloudflare):

        https://digitaalformulier.4417•info

Die doorstuursites beschreef ik toen in https://todon.nl/@ErikvanStraten/116260867512597776 en de reply daarop.

Screenshots van de laatstgenoemde phishingpagina kun je zien in https://todon.nl/@ErikvanStraten/116216004495882854 en van opvolgende pagina's in https://todon.nl/@ErikvanStraten/116216202535400934.
Reageer met quote
28-03-2026, 13:27 door Erik van Straten - Bijgewerkt: 28-03-2026, 13:32
Er zijn nu andere "doorstuursites" live die doorsturen naar:

    https://digitaalformulier.4417•info

die ook nog steeds live is.

Gisteravond ontving ik, op mijn 2 door Odido gelekte e-mailadressen (feitelijk aliassen), e*05@xs4all.nl en e*14@xs4all.nl, kort na elkaar phishingmails (beide in de inbox, dus niet als spam aangemerkt door KPN).

In beide phishing e-mails zat een link die begint met:

    https://therapeutix•com/

gevolgd door 5 willekeurige letters en cijfers (ik heb die link "onklikbaar" gemaakt door de punt te vervangen door '•').

Aan de hand daarvan vond ik nog meer live doorstuursites (ook varianten waarbij de domeinnaam door www. wordt voorafgegaan, werken):

    https://islandnight•org
    https://cbc-restaurant-corp•com
    https://247.co•il
    https://isimgt•com
    https://cheqpaq•com
    https://bidonmacon•com
    https://kkbrocks•com
    https://therapeutix•com

Veel meer info plus screenshots vindt u in een draadje bestaande uit 4 toots vanaf https://todon.nl/@ErikvanStraten/116306671421582568.
Reageer met quote
29-03-2026, 11:55 door Erik van Straten
Op dezelfde Russische server die ik in de reactie hierboven beschreef, zijn bijgekomen:

    https://ramey-photography•com                    (detectie: 6/94)
    https://www.ramey-photography•com          (detectie: 5/94)

Zie het RELATIONS tabblad van https://virustotal.com/gui/ip-address/185.68.93.129.

Beide websites sturen door naar:

    https://digitaalformulier•im/html1.html        (detectie: 0/94)

vanzelfsprekend opnieuw achter Cloudflare (zie het RELATIONS tabblad van https://virustotal.com/gui/ip-address/104.21.31.44).

Screenshots zijn te zien in https://todon.nl/@ErikvanStraten/116311752293115440.

Aanvulling, bovenaan die Cloudflare pagina bij VT:

    https://historymatters010•nl

Of u daar uw naam en e-mailadres wilt invullen. Onder de "Subscribe" knop staat:
And don't worry, we hate spam too! You can unsubscribe at any time.

#CloudFlareIsEvil
Reageer met quote
29-03-2026, 19:43 door Erik van Straten
Opnieuw een sterke aanwijzing dat het om dezelfde groep cybercriminelen gaat die zowel de Duitse Hetzner server (46.225.225.20, zie mijn eerste reactie hierboven) als de Russische server (185.68.93.129, zie mijn 2 reacties direct hierboven) huren - de volgende "doorstuursites":

    https://ephemeralgarbage•com                      (detectie: 0/94)
    https://www.ephemeralgarbage•com            (detectie: 0/94)
    https://dynamic-1001•com                              (detectie: 0/94)
    https://www.dynamic-1001•com                    (detectie: 0/94)

zijn nu te zien bovenaan het RELATIONS tabblad van https://virustotal.com/gui/ip-address/46.225.225.20, en sturen door naar de volgende nep KvK website:

    https://digitaalformulier•im/html1.html     (detectie: 0/94)

Een screenshot van laatstgenoemde nepsite is te zien (links) in https://todon.nl/@ErikvanStraten/116311752293115440.

Die site (achter Cloudflare) is nog steeds live. Dat geldt ook voor de volgende phishing sites, ook allemaal achter Cloudflare:

    https://bunq.diaojj•com                                (detectie: 1/94)
    https://digitaalformulier.4417•info             (detectie: 5/94)
    https://lcs.1419•info                                     (detectie: 1/94)
    https://keepass-xc•com/index.php            (detectie: 17/94)

Voor die laatste (een waarschijnlijk ongerelateerde) nepsite met malware, zie https://todon.nl/@ErikvanStraten/116304008307652971.

#CloudFlareIsEvil
Reageer met quote
31-03-2026, 11:48 door Erik van Straten
De laatste update (met 6 screenshots) vindt u in https://todon.nl/@ErikvanStraten/116323126760276917.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components