Mei 2025 | Cyberaanvallen, datalekken en ransomware: Hoe Nederland en België zich wapenen tegen de digitale dreiging
Reading in another language
In mei 2025 werden Nederland en België opnieuw geconfronteerd met een verhoogd aantal cyberaanvallen en datalekken. Diverse bedrijven en overheidsinstellingen, zoals het OCMW van Rebecq in België, werden getroffen door ransomware-aanvallen. Ook bedrijven als Decoline werden aangevallen door ransomwaregroepen, wat leidde tot het stelen van vertrouwelijke gegevens. Datalekken bij mobiele netwerkoperators in België, zoals Carrefour Mobile, resulteerden in de blootstelling van persoonlijke gegevens van duizenden klanten. Uit een rapport in Vlaanderen bleek dat bijna de helft van de bedrijven in 2024 slachtoffer werd van cyberaanvallen, met aanzienlijke schade in sommige gevallen. Cybercriminelen passen steeds geavanceerdere technieken toe, waaronder het misbruik van kwetsbaarheden in software en VPN-systemen. De incidenten benadrukken de noodzaak voor bedrijven en overheden om hun digitale weerbaarheid te versterken en betere beveiligingsmaatregelen te nemen om de groeiende dreigingen het hoofd te bieden.
Het UWV heeft gezondheidsgegevens van verschillende cliënten gelekt door een menselijke fout bij het versturen van een e-mail. Dit blijkt uit een recent gepubliceerde rapportage over de uitvoering van sociale zekerheid. In de eerste drie maanden van dit jaar heeft het UWV 216 datalekken gemeld bij de Autoriteit Persoonsgegevens. Een van de incidenten, in januari, betrof een interne e-mail die per ongeluk naar een cliënt werd gestuurd met bijlagen die persoonsgegevens van andere cliënten bevatten. De ontvanger heeft de e-mail ongeopend verwijderd. In februari vond een ander datalek plaats waarbij twee bestanden met gegevens van 158 personen naar een verkeerde afnemer werden gestuurd. Het UWV heeft de betrokken cliënten en de Autoriteit geïnformeerd en werkt aan oplossingen om dergelijke fouten in de toekomst te voorkomen.
Een cybercriminele groep genaamd HAX0RTeam beweert de volledige interne medewerkersdatabase van het Belgische softwarebedrijf Odoo S.A. te hebben buitgemaakt en biedt deze aan voor $25.000 in Bitcoin of Monero. De database, met een omvang van 63,4 MB, zou zijn verkregen met hulp van een interne medewerker en bevat volgens de verkopers onder andere namen, e-mailadressen, gehashte wachtwoorden, telefoonnummers, functiegegevens, authenticatietokens en geolocatie-informatie.
Hoewel de authenticiteit van de gegevens nog niet is bevestigd, roept de gedetailleerde aard van de aangeboden informatie ernstige zorgen op over de mogelijke impact op de privacy en veiligheid van Odoo-werknemers. Het incident benadrukt het risico van insider threats, waarbij interne medewerkers met toegang tot gevoelige systemen betrokken zijn bij datalekken.
Odoo staat bekend om zijn open-source ERP-oplossingen die wereldwijd door miljoenen bedrijven worden gebruikt. Het bedrijf heeft beveiligingsmaatregelen zoals rolgebaseerde toegangscontrole en tweefactorauthenticatie geïmplementeerd, maar dit voorval toont aan dat zelfs geavanceerde technische beveiligingen kwetsbaar kunnen zijn voor interne bedreigingen.
In de periode 2023–2024 zijn meer dan 150 Nederlandse gemeenten direct of indirect getroffen door ransomware-incidenten, voornamelijk via hun leveranciers. Volgens het Dreigingsbeeld 2025/2026 van de Informatiebeveiligingsdienst (IBD) van de VNG blijft ransomware de grootste dreiging voor gemeenten. Hoewel gemeenten niet altijd het directe doelwit zijn, worden ze vaak slachtoffer door kwetsbare systemen en gestolen inloggegevens. De afhankelijkheid van externe ICT-diensten vergroot het risico op grootschalige verstoringen en datalekken. De IBD adviseert gemeenten om duidelijke beveiligingseisen te stellen aan leveranciers, netwerksegmentatie toe te passen, actuele back-ups te maken en toegangsrechten strikt te beheren. Daarnaast moeten crisisteams voorbereid zijn met uitgewerkte continuïteitsplannen en heldere communicatieprotocollen om de dienstverlening snel te herstellen.
Op een Russischtalige darkwebforum is een aanbieding verschenen waarin een hacker genaamd Anon-WMG beweert volledige administrator-toegang te verkopen tot het interne netwerk van een groot Nederlands bedrijf in de auto-industrie. Het zou gaan om een organisatie met een jaaromzet van 195 miljard dollar en meer dan 258.000 medewerkers.
Roularta Media Group is het slachtoffer geworden van een cyberaanval die de werking van verschillende websites en apps verstoort. Het betreft een DDoS-aanval, waarbij servers worden overbelast met verkeer, wat leidt tot storingen bij het bezoeken van mediawebsites zoals Knack en Libelle. Deze aanval heeft ook invloed op de drukkerij in Roeselare, wat mogelijk vertragingen veroorzaakt bij de bezorging van kranten en tijdschriften, waaronder Krant van West-Vlaanderen. Roularta heeft aangegeven dat er geen gevaar is voor de gegevens van klanten. Het bedrijf werkt samen met IT-provider Proximus om de problemen zo snel mogelijk op te lossen.
Unilever is een internationale onderneming die consumentengoederen verkoopt, waaronder voedingsproducten, dranken, schoonmaakmiddelen en persoonlijke verzorgingsproducten. Het bedrijf, opgericht in 1929, heeft zijn hoofdkantoren in Londen, Engeland, en Rotterdam, Nederland. Unilever is actief in meer dan 190 landen en bezit meer dan 400 merken, waaronder Dove, Lipton en Ben & Jerry's. Op 15 april 2025 werd het bedrijf getroffen door een ransomware-aanval, uitgevoerd door de ransomware-groep Warlock. De aanval werd op 11 juni 2025 ontdekt.
In onderzoek
AP Lettering is een Belgisch bedrijf dat zich richt op grafisch ontwerp en digitale drukwerkdiensten. Het bedrijf biedt op maat gemaakte printoplossingen voor zowel bedrijven als particulieren. Op 11 juni 2025 werd AP Lettering getroffen door een ransomware-aanval, uitgevoerd door de beruchte ransomware-groep Space Bears. De aanval werd ontdekt toen medewerkers merkten dat hun systemen vergrendeld waren en belangrijke bestanden onbereikbaar waren geworden. Het incident heeft geleid tot aanzienlijke verstoringen in de bedrijfsvoering van het bedrijf, dat gevestigd is in België. Het is nog niet duidelijk hoeveel schade de aanval heeft aangericht of welke gegevens mogelijk zijn gelekt.
Agaris werd op 16 juni 2025 getroffen door een ransomware aanval van de groep worldleaks, een relatief nieuwe speler in het digitale afpersingslandschapciteturn2view0 Het in België gevestigde bedrijf opereert in de sector groeimedia voor de internationale tuinbouw en levert duurzame substraten en aanverwante producten aan telers in meer dan zestig landenciteturn2view0 De aanval werd ontdekt op dezelfde datum, toen de criminelen bedrijfsgegevens publiceerden op hun leksite, waardoor de druk op Agaris om losgeld te betalen toenamciteturn2view0 Door deze ongeoorloofde toegang riskeert de onderneming verlies van vertrouwelijke recepturen, klantinformatie en strategische documenten, wat zowel de toeleveringsketen als de omzet ernstig kan ontwrichten. Het incident onderstreept dat ook organisaties in de agritech sector, die doorgaans minder opvallend zijn dan zorg of financiële instellingen, steeds vaker doelwit worden van cyberbendes. Agaris werkt momenteel samen met beveiligingsspecialisten en autoriteiten om de omvang van het datalek vast te stellen, getroffen systemen te herstellen en toekomstige risico’s te beperken.
Screenshot
Ab Ovo is een Nederlands IT servicebedrijf dat gespecialiseerd is in supply chain planning en optimalisatie voor logistiek en industrie. Van het hoofdkantoor in Capelle aan den IJssel bedient het sinds 1997 klanten wereldwijd met maatwerksoftware en data gedreven advies. Op 16 juni 2025 werd bekend dat de organisatie slachtoffer is geworden van een aanval met de akira ransomware, waardoor circa tweeënzeventig gigabyte aan gevoelige bedrijfs en klantgegevens in handen van criminelen kwam. De aanval werd ontdekt door het openbare monitoringplatform Ransomware.live dat de akira groep volgt en meldde dat de gestolen data binnenkort openbaar gemaakt kan worden als er geen losgeld wordt betaald. Het incident onderstreept de dreiging voor middelgrote technologiebedrijven die hun infrastructuur nog niet volledig hebben gehardend tegen hedendaagse afpersingsmethoden. Ab Ovo werkt naar eigen zeggen samen met externe securityspecialisten om de schade te beperken en de continuïteit voor zijn internationale klanten te waarborgen. citeturn7view0turn5view0
Het hackingcollectief 888 heeft aangegeven verantwoordelijk te zijn voor een datalek bij het snoepmerk Perfetti Van Melle. Het datalek zou gevoelige werknemersinformatie bevatten, inclusief persoonlijke gegevens en contractinformatie. 888 heeft screenshots gedeeld waarop de gestolen gegevens zichtbaar zijn. De groep beweert toegang te hebben gekregen tot interne systemen van het bedrijf en heeft de gestolen data mogelijk verkocht op het darkweb.
Screenshot
Center Parcs is begin juni slachtoffer geworden van een cyberaanval waarbij de gegevens van ongeveer 20.000 klanten zijn gestolen. Het gaat hierbij om namen, e-mailadressen en reserveringsinformatie, zoals boekingsnummers en verblijfsdata. Gelukkig werden geen gevoelige gegevens zoals wachtwoorden, telefoonnummers, thuisadressen of financiële informatie buitgemaakt. De aanval richtte zich specifiek op het systeem voor telefonische boekingen en werd op 6 juni gestopt. Center Parcs heeft het incident gemeld bij de Franse databeschermingsautoriteit CNIL en maatregelen genomen om de veiligheid te verbeteren. Klanten kunnen slachtoffer worden van phishing-aanvallen, waarbij cybercriminelen hen via e-mail proberen te misleiden. Het bedrijf waarschuwt klanten om extra waakzaam te zijn voor verdachte berichten. Alle getroffen klanten zijn inmiddels persoonlijk geïnformeerd. Er wordt ook een formele klacht ingediend bij de politie.
Op 18 juni 2025 voerde de pro-Israëlische hacktivistische groep Predatory Sparrow een aanval uit op Nobitex, de grootste cryptobeurs van Iran. De hackers stalen meer dan 90 miljoen dollar aan cryptocurrency, maar in plaats van het voor zichzelf te behouden, stuurden ze het naar zogenaamde vanity-adressen, die moeilijk toegankelijk zijn en een anti-Iranische boodschap bevatten. Hierdoor werd de crypto vernietigd, wat de bedoeling had om de fondsen onbereikbaar te maken voor iedereen. Nobitex ontdekte het beveiligingslek vroeg in de ochtend van 19 juni en stopte onmiddellijk alle toegang tot hun systemen. Predatory Sparrow verklaarde de aanval als politiek gemotiveerd, gericht op het verstoren van de Iraanse financiering van terreur. De hackers hadden eerder ook een aanval uitgevoerd op de Iraanse Bank Sepah, met een vergelijkbare focus op schade en verstoring in plaats van financieel gewin.
Rusland verstoort actief GPS-signalen in Noord-Polen, wat wordt gezien als een poging om haar NAVO-buurman te destabiliseren. De Poolse vicepremier Krzysztof Gawkowski beschreef deze verstoring als een onderdeel van de hybride oorlog die Rusland dagelijks tegen Polen voert via cyberspace. Drones in de regio ondervinden aanzienlijke verstoringen van hun GPS-signalen, wat de veiligheid van luchtvaart en civiele infrastructuur bedreigt. De Poolse regering en militaire cyberdefensieunits monitoren de situatie en nemen tegenmaatregelen. Deze verstoring is niet alleen een probleem voor Polen, maar heeft ook gevolgen voor andere landen in de Baltische en Noordse regio, zoals Litouwen en Finland. GPS-storingen kunnen leiden tot ernstige operationele problemen, van verloren locatiegegevens tot verkeerde navigatie, en worden steeds vaker ingezet als middel in elektronische oorlogvoering.
De inzet van cyberaanvallen in geopolitieke conflicten, vooral tussen Israël en Iran, heeft de stabiliteit van het Midden-Oosten en de wereldwijde verhoudingen veranderd. In juni 2025 vonden meerdere cyberaanvallen plaats op belangrijke Iraanse financiële instellingen, waaronder de cryptocurrency exchange Nobitex en Bank Sepah. De aanvallen, vermoedelijk uitgevoerd door Israëlische hackers, hadden als doel niet alleen economische schade aan te richten, maar ook politieke boodschappen over te brengen. De aanvallen laten zien hoe digitale middelen steeds meer als strategische wapens worden ingezet in conflicten, wat nieuwe dynamieken in oorlogvoering creëert. Dit roept zorgen op over de kwetsbaarheid van kritieke infrastructuur wereldwijd. Bovendien benadrukt het de noodzaak voor landen om hun cybersecurity te versterken, aangezien dergelijke aanvallen de geopolitieke verhoudingen kunnen verstoren en leiden tot een digitale wapenwedloop.
De afgelopen weken zijn er steeds meer en intensere cyberaanvallen uitgevoerd op Belgische websites. Deze aanvallen zijn vaak gericht op publieke en commerciële platforms, waarbij de aanvallers hun steun voor het Russische regime willen uiten. De hackers gebruiken verschillende methoden, zoals DDoS-aanvallen, om websites tijdelijk uit de lucht te halen. Belgische overheidsinstanties, bedrijven en nieuwswebsites werden hierbij niet gespaard. De aanvallen lijken deel uit te maken van een breder geopolitiek conflict, waarbij hackers zich als digitale soldaten manifesteren. Dit benadrukt het groeiende gevaar van cyberdreigingen en de rol van digitale aanvallen in internationale spanningen. Experts waarschuwen dat dergelijke aanvallen in de toekomst waarschijnlijk zullen toenemen, wat bedrijven en overheden dwingt om hun cyberbeveiliging verder te versterken.
Iran maakt gebruik van kwetsbaarheden in beveiligingscamera's om real-time informatie te verkrijgen over Israël’s bewegingen. Dit gebeurt door camera's in woningen over te nemen, waarbij gevoelige gegevens worden verzameld, vooral na de recente conflicten tussen beide landen. Een Israëlische cybersecurity-expert waarschuwde dat Iran probeert te begrijpen waar hun raketten landen om de nauwkeurigheid van toekomstige aanvallen te verbeteren. Beveiligingscamera's, vooral goedkope modellen, zijn vaak onvoldoende beveiligd, wat ze kwetsbaar maakt voor hackpogingen. Veel van deze camera's hebben eenvoudige wachtwoorden of zijn zonder enige beveiliging te vinden op het internet. Hierdoor kunnen aanvallers toegang krijgen tot privé-informatie van consumenten en bedrijven. Israël heeft zijn bevolking opgeroepen om tweefactorauthenticatie in te schakelen en de beveiliging van hun camera's te versterken, vooral na eerdere hackpogingen van Hamas en andere groeperingen.
De Europese Unie heeft een nieuwe database gelanceerd: de European Vulnerability Database (EUVD). Deze database biedt betrouwbare en geaggregeerde informatie over beveiligingslekken, die cruciaal is voor bedrijven en organisaties in Nederland en België om zich te beschermen tegen cyberdreigingen. De database bevat gegevens van diverse bronnen, zoals Computer Incident Response Teams (CSIRTs), leveranciers en andere bestaande databanken.
Met de EUVD kunnen kwetsbaarheden eenvoudig worden bekeken via verschillende dashboards. Deze zijn ingedeeld in drie categorieën: kritieke kwetsbaarheden, misbruikte kwetsbaarheden en kwetsbaarheden die door de EU zijn gecoördineerd. De database is nu nog in de bètafase, maar zal later dit jaar verder ontwikkeld worden. Deze nieuwe informatiebron is bijzonder relevant voor de digitale veiligheid in Europa, ook voor organisaties in Nederland en België die regelmatig met cyberdreigingen te maken krijgen.
Met de EUVD kunnen zowel bestaande kwetsbaarheden als nieuwe beveiligingslekken snel gevolgd worden, wat het makkelijker maakt om beveiligingsmaatregelen te treffen. Bovendien maakt de EUVD gebruik van de bekende CVE-nummers, die wereldwijd worden gebruikt om kwetsbaarheden te identificeren.
Op onze kwetsbaarhedenpagina van Cybercrimeinfo hebben we deze database toegevoegd.
Microsoft heeft op Patch Tuesday van juni 2025 beveiligingsupdates uitgebracht voor 66 kwetsbaarheden in verschillende producten, waaronder een actief geëxploiteerde zero-day kwetsbaarheid en een openbaar bekende kwetsbaarheid. De updates verhelpen onder andere tien kritieke kwetsbaarheden, waarvan acht kwetsbaarheden voor remote code execution en twee voor privilege-escalatie. De actief geëxploiteerde zero-day betreft een remote code execution kwetsbaarheid in de WebDAV-functionaliteit, die aanvallers in staat stelt om willekeurige code uit te voeren op getroffen systemen. Daarnaast is er een kwetsbaarheid in Windows SMB, die het mogelijk maakt om SYSTEM-rechten te verkrijgen. Microsoft heeft patches uitgebracht om deze en andere kwetsbaarheden te verhelpen, waaronder meerdere in Microsoft Office en Windows-diensten. Het is sterk aanbevolen om de updates zo snel mogelijk te installeren om systemen te beschermen tegen mogelijke aanvallen.
Cisco heeft een beveiligingslek (CVE-2025-20271) ontdekt in de AnyConnect VPN-server van de Meraki MX- en Z-serie apparaten. Dit lek, veroorzaakt door fouten bij het initialiseren van variabelen tijdens het opzetten van een SSL VPN-sessie, stelt aanvallers in staat om een denial of service (DoS) aanval te lanceren. Door specifieke HTTPS-verzoeken naar het kwetsbare apparaat te sturen, kan een aanvaller de VPN-server laten herstarten, waardoor bestaande SSL VPN-sessies worden beëindigd en nieuwe verbindingen niet mogelijk zijn. Dit maakt de VPN-dienst onbeschikbaar voor legitieme gebruikers. Hoewel er momenteel geen bewijs is van actief misbruik, wordt aanbevolen om de beveiligingsadviezen van Cisco te volgen en het netwerkverkeer naar de VPN-server te beperken. Het is belangrijk om op updates te letten en eventuele patches zodra ze beschikbaar zijn toe te passen.
De AI Engine plugin voor WordPress vertoont een kritieke kwetsbaarheid die aangetroffen is in versies 2.8.0 tot 2.8.3. Deze kwetsbaarheid ontstaat door een ontbrekende controle op de functie 'Meow_MWAI_Labs_MCP::can_access_mcp', waardoor geauthenticeerde aanvallers met toegang op abonnee-niveau of hoger onbevoegde acties kunnen uitvoeren. Dit maakt het mogelijk voor aanvallers om hun toegangsrechten te escaleren, gebruikers te creëren, bij te werken of te verwijderen, site-instellingen te wijzigen en berichten of reacties aan te passen of te verwijderen. Het risico van deze kwetsbaarheid is hoog, met een CVSS-score van 8.8. De aanbevolen oplossing is om de plugin bij te werken naar een versie hoger dan 2.8.3 en de toegang tot de plugin te beperken tot vertrouwde gebruikers. Verder is het belangrijk om het systeem regelmatig te monitoren op ongeautoriseerde wijzigingen en een grondige beveiligingsaudit uit te voeren.
Een kwetsbaarheid in IBM QRadar SIEM versies 7.5 tot en met 7.5.0 Update Package 12 stelt een bevoegde gebruiker in staat om configuratiebestanden te wijzigen. Dit kan leiden tot het uploaden van een kwaadaardig autoupdate-bestand, waarmee willekeurige commando’s kunnen worden uitgevoerd. De impact is significant, aangezien aanvallers met hoge machtigingen mogelijk toegang kunnen krijgen tot gevoelige systeembestanden en de integriteit van het systeem in gevaar kunnen brengen. Er is op dit moment geen bewijs dat deze kwetsbaarheid actief wordt misbruikt. Het wordt aanbevolen om onmiddellijk de toegang van bevoorrechte gebruikers te beperken en beveiligingsupdates toe te passen. Het installeren van een update die hoger is dan Update Package 12 wordt aangeraden om de kwetsbaarheid te verhelpen.
Er is een kritieke kwetsbaarheid ontdekt in het Motors Theme voor WordPress, dat door meer dan 22.000 websites wordt gebruikt, voornamelijk door autodealers en verwante bedrijven. Aanvallers maken misbruik van deze zwakte door via een wachtwoordreset zonder autorisatie toegang te verkrijgen tot de accounts van gebruikers, inclusief beheerders. Hierdoor kunnen zij wachtwoorden wijzigen en volledige controle over de website overnemen. Het beveiligingslek heeft een ernstscore van 9,8 op 10. De ontwikkelaars van het theme werden op 8 mei op de hoogte gesteld en brachten op 14 mei een update uit. Sinds 20 mei maken cybercriminelen actief gebruik van dit lek, met een piek in aanvallen vanaf 7 juni. Het is van cruciaal belang dat beheerders de laatste versie van het theme installeren om hun websites te beschermen.
WhatsApp heeft bevestigd dat een kwetsbaarheid in FreeType, die in maart door Meta werd ontdekt, werd misbruikt in aanvallen met de Graphite-spyware van Paragon Solutions. FreeType is een open-source bibliotheek voor het weergeven van lettertypen, die ook door browsers wordt gebruikt. De kwetsbaarheid (CVE-2025-27363) werd actief benut om toegang te krijgen tot smartphones. In mei voegde Google een update toe aan Android om deze kwetsbaarheid te verhelpen, maar gaf geen gedetailleerde informatie over de misbruikscenario’s. De Graphite-spyware lijkt veel op de Pegasus-spyware en richt zich niet alleen op gegevens op de telefoon zelf, maar ook op cloudback-ups en chatapp-gegevens, waardoor het moeilijker wordt om de inbreuk te detecteren. WhatsApp ontdekte en verholp een actieve aanval met de spyware, waarbij negentig doelwitten werden gewaarschuwd. Het onderzoek werd ondersteund door The Citizen Lab, dat aanwijzingen vond op Android-apparaten van slachtoffers.
In nieuwsbrief 367 van Cybercrimeinfo wordt uitgebreid stilgestaan bij actuele cyberdreigingen en de reacties daarop. De Technische Universiteit Eindhoven werd in januari 2025 getroffen door een ernstige cyberaanval, maar wist door snel handelen grotere schade te voorkomen. Deze gebeurtenis onderstreept het belang van goede netwerkbeveiliging, een doordacht incidentresponsplan en transparantie binnen organisaties.
Daarnaast wordt aandacht besteed aan de impact van het zonder toestemming verspreiden van intieme beelden, een probleem dat wereldwijd toeneemt. De nieuwsbrief bespreekt hoe Nederland, België en Zweden deze problematiek juridisch aanpakken.
De politie intensiveerde in 2024 haar strijd tegen cybercriminaliteit met behulp van geavanceerde technologieën zoals de Safe Browser en kunstmatige intelligentie. Internationale samenwerking leidde tot succesvolle operaties zoals "Endgame", gericht op ransomwarebestrijding, en "RapTor", waarbij wereldwijd 270 arrestaties werden verricht, waaronder vier in Nederland.
Tot slot wordt een zaak in Velserbroek besproken, waar een 79-jarige vrouw slachtoffer werd van bankhelpdeskfraude. Dit benadrukt de noodzaak van waakzaamheid en kennis over oplichtersmethoden.
De door Amerikaanse organisaties gesteunde Take9-campagne adviseert mensen om negen seconden te pauzeren voordat ze klikken, downloaden of delen, om zo scams, phishing en malware te voorkomen. Beveiligingsexperts Bruce Schneier en Arun Vishwanath bekritiseren deze aanpak als ineffectief en onrealistisch. Ze stellen dat een pauze van negen seconden in routinematige handelingen onnatuurlijk is en dat het onduidelijk is wanneer deze pauze moet worden toegepast.
Hoewel het doorbreken van gewoontes nuttig kan zijn, benadrukken de experts dat het kernprobleem is dat mensen vaak niet kunnen onderscheiden wat legitiem is en wat een aanval betreft. Daarom is het volgens hen zinloos om mensen simpelweg te laten pauzeren zonder hen te leren waarop ze moeten letten. Een effectieve bewustwordingscampagne zou gebruikers eerst moeten aanzetten tot wantrouwen en vervolgens instrueren hoe ze verdachte situaties kunnen herkennen en beoordelen.
Daarnaast bekritiseren Schneier en Vishwanath dat de campagne de verantwoordelijkheid voor cyberaanvallen bij de gebruikers legt, terwijl het werkelijke probleem ligt in de onveiligheid van de systemen zelf. Ze pleiten voor een meer diepgaande benadering die verder gaat dan een eenvoudige advertentiecampagne.
De "Russian Market" is uitgegroeid tot een van de populairste marktplaatsen voor de handel in gestolen inloggegevens. Dit platform, dat al zes jaar actief is, heeft recentelijk een enorme stijging in populariteit doorgemaakt, deels door de ondergang van Genesis Market. Ongeveer 85% van de verkochte gegevens op de Russian Market zijn hergebruikt uit bestaande bronnen, en logs kunnen al vanaf $2 worden gekocht. Deze logs bevatten vaak inloggegevens, sessiecookies, creditcardinformatie en cryptocurrency-data die zijn gestolen door infostealer malware. Dit soort malware richt zich met name op zakelijke platforms zoals Google Workspace en Salesforce. Daarnaast zijn er nieuwe infostealers, zoals Acreed, die steeds meer populair worden. Aangezien infostealers verspreid worden via phishing en malvertising, is het cruciaal om voorzichtig te zijn bij het downloaden van software en het openen van verdachte e-mails.
De nieuwste versie van de Android-malware Crocodilus introduceert een gevaarlijke functie die nepcontacten toevoegt aan de contactenlijst van het slachtoffer. Dit stelt de aanvallers in staat om hun telefoongesprekken te laten verschijnen als oproepen van vertrouwde contacten, zoals banken of familieleden, wat het vertrouwen van de slachtoffers vergroot. Deze functie is een aanvulling op eerdere verbeteringen die gericht zijn op het ontwijken van detectie, zoals versleuteling en complexere codering van de malware. Crocodilus, oorspronkelijk waargenomen in kleine campagnes in Turkije, heeft zich inmiddels wereldwijd verspreid. Het maakt gebruik van social engineering om slachtoffers te manipuleren, waarbij het bijvoorbeeld valse meldingen toont die gebruikers aansporen om hun cryptowallets veilig te stellen. Android-gebruikers wordt aangeraden om alleen apps uit vertrouwde bronnen te downloaden en Google Play Protect in te schakelen om zich tegen dergelijke bedreigingen te beschermen.
Scattered Spider is geen specifieke groep, maar een breed netwerk van cybercriminelen die zich richten op identiteitsdiefstal en het omzeilen van MFA-beveiliging. Hun activiteiten, zoals vishing en AiTM-phishing, richten zich op cloudgebaseerde accounts van bedrijven, waaronder grote retailers zoals Marks & Spencer en Co-op. Wat vaak over het hoofd wordt gezien, is dat Scattered Spider gebruik maakt van verschillende technieken, zoals helpdeskfraude, om toegang te krijgen tot vertrouwelijke gegevens. Dit gebeurt vaak door het helpen van een medewerker via sociale manipulatie om MFA-instellingen te resetten. Ook al zijn helpdeskfraudes al sinds 2022 een vast onderdeel van hun werkwijze, hun aanvallen worden steeds ernstiger en geavanceerder. Scattered Spider combineert hun methodes met gerichte aanvallen op servers en heeft een flexibele benadering, waardoor ze in staat zijn om snel toegang te krijgen tot accounts met hoge beheerdersrechten.
Twee schadelijke RubyGems-pakketten, die zich voordoen als populaire Fastlane CI/CD-plug-ins, sturen Telegram API-verzoeken door naar servers van de aanvaller om gegevens te onderscheppen en te stelen. RubyGems is een pakketbeheerder voor de Ruby-programmeertaal. Deze aanvallen omvatten het stelen van gevoelige informatie zoals chat-ID's, berichteninhoud, geüploade bestanden en zelfs bottokens die gebruikt kunnen worden om Telegram-bots over te nemen. De aanvaller maakte gebruik van typografische fouten in de namen van de Fastlane-plug-ins om de schadelijke versies te verspreiden. Hoewel de gem-pagina's beweren geen gegevens op te slaan, kan de aanvaller wel de gegevens inspecteren of aanpassen. Ontwikkelaars die deze gem's hebben geïnstalleerd, moeten ze onmiddellijk verwijderen en hun bottokens wijzigen.
en hacker heeft een campagne opgezet die andere hackers, gamers en onderzoekers doelbewust aanvalt via exploits, bots en spelcheats in broncode op GitHub, waarin verborgen achterdeuren zijn ingebouwd. Onderzoek van Sophos toonde aan dat een specifiek voorbeeld, de Sakura RAT, weliswaar niet functioneel was, maar malafide code bevatte die malware op de apparaten van slachtoffers installeert bij compilatie. De dader, bekend als "ischhfd83", heeft connecties met 141 andere GitHub-repositories, waarvan 133 verdachte code bevatten. Veel van deze repositories hebben een automatische workflow die een valse indruk van activiteit wekt en gerichte malware verspreidt, waaronder info-stealers en remote access trojans. Gebruikers worden gewaarschuwd om voorzichtig te zijn bij het downloaden en compileren van open-source projecten, daar de code onbetrouwbaar kan zijn en aanzienlijke risico's met zich meebrengt voor de beveiliging van hun apparaten.
In een recent rapport van KELA wordt onthuld hoe de ransomware-groep Black Basta gebruikmaakt van Phishing-as-a-Service (PhaaS) om hun aanvallen te optimaliseren. Deze dienst heeft een explosieve groei doorgemaakt, met een stijging van 650% in populariteit tussen het eerste kwartaal van 2023 en 2025. Black Basta, die verantwoordelijk is voor ernstige datalekken in sectoren zoals de gezondheidszorg en financiën, maakt gebruik van verschillende specialisten op de zwarte markt om hun phishingcampagnes te voeren. Door de gemoderniseerde aanbieders van PhaaS zijn de technische barrières voor aanvallen verlaagd, waardoor zelfs minder ervaren criminelen campagnes kunnen lanceren. Het rapport benadrukt de noodzaak voor beveiligingsleiders om proactief toezicht te houden op het gehele cybercrime-ecosysteem, inclusief de leveranciers van phishingdiensten, om te kunnen anticiperen op toekomstige aanvallen. De evolutie van PhaaS illustreert hoe ransomware-groepen hun methoden steeds meer industrialiseren en modulariseren.
Google heeft bedrijven gewaarschuwd voor een phishing-aanval die zich richt op organisaties die gebruik maken van Salesforce. De aanvallers, onderdeel van de groep UNC6040, gebruiken social engineering om medewerkers van Engelssprekende afdelingen te misleiden. Ze doen zich voor als de helpdesk en proberen toegang te krijgen tot gevoelige gegevens of Salesforce-omgevingen. Zodra ze toegang hebben, wordt vertrouwelijke data gestolen, waarna de aanvallers proberen de organisatie af te persen. Een veelgebruikte tactiek is het gebruik van een malafide versie van de Salesforce Data Loader-app, die medewerkers via een telefoongesprek installeren. De toegang leidt niet alleen tot dataverlies, maar opent vaak ook de deur voor verdere aanvallen op andere bedrijfsnetwerken. Google waarschuwt dat de afpersing mogelijk pas weken of maanden na de aanvallen plaatsvindt.
Sinds 2022 heeft de Play-ransomwaregroep wereldwijd meer dan 900 organisaties getroffen, waaronder vitale infrastructuren in Europa, Noord- en Zuid-Amerika. Slachtoffers zijn onder andere de gemeente Antwerpen, Royal Dirkzwager en woningcorporatie Woonkracht10. De groep maakt gebruik van gecompromitteerde accounts en bekende kwetsbaarheden in systemen zoals FortiOS, Microsoft Exchange en SimpleHelp om toegang te krijgen tot netwerken. Na binnenkomst schakelen ze beveiligingssoftware uit, verwijderen logbestanden en stelen gevoelige data voordat ze systemen versleutelen. Slachtoffers ontvangen vaak dreigende e-mails en telefoontjes waarin wordt geëist dat ze losgeld betalen om te voorkomen dat gestolen gegevens openbaar worden gemaakt. Voor communicatie gebruiken de aanvallers unieke e-mailadressen eindigend op gmx.de of web.de. Om zich te beschermen, wordt organisaties geadviseerd om bekende kwetsbaarheden te verhelpen, multifactorauthenticatie in te schakelen, beveiligingsupdates tijdig te installeren en systemen regelmatig te scannen op kwetsbaarheden.
De FBI slaat alarm over een nieuwe oplichtingsmethode waarbij cybercriminelen misbruik maken van NFT-airdrops op het Hedera Hashgraph-netwerk. Gebruikers ontvangen onverwacht gratis tokens of NFT's in hun wallet, vergezeld van een memo met een link naar een website waar ze hun "beloning" kunnen claimen. Deze websites zijn echter phishingpagina's die vragen om gevoelige informatie zoals wachtwoorden of herstelzinnen. Zodra deze gegevens zijn ingevoerd, krijgen de aanvallers toegang tot de wallet en kunnen ze deze leegmaken.
De fraudeurs verspreiden deze valse airdrops niet alleen via wallettransacties, maar ook via phishingmails, sociale media en nepwebsites. De FBI adviseert gebruikers om nooit op onverwachte links te klikken, geen gevoelige informatie te delen en altijd de legitimiteit van airdrops te verifiëren via officiële kanalen. Het is essentieel om walletactiviteiten regelmatig te controleren op ongeautoriseerde transacties. Bij vermoeden van fraude wordt aangeraden direct contact op te nemen met de walletprovider en het incident te melden bij de FBI's Internet Crime Complaint Center.
Hackers maken gebruik van een ernstige kwetsbaarheid, CVE-2025-49113, in de populaire open-source webmailoplossing Roundcube. Deze kwetsbaarheid, die al meer dan tien jaar bestaat, maakt het mogelijk om op afstand code uit te voeren. Hoewel er op 1 juni een patch werd uitgebracht, hadden aanvallers binnen enkele dagen de oplossing geanalyseerd, de kwetsbaarheid geüpdatet en een werkend exploit op een hackerforum geplaatst. Roundcube wordt wereldwijd gebruikt door grote hostingproviders en organisaties in diverse sectoren. De kwetsbaarheid krijgt een score van 9,9 uit 10 voor ernst en wordt omschreven als "email armageddon". De oorzaak ligt in een gebrek aan sanitatie van een parameter, waardoor objectinjectie mogelijk wordt. Aanvallers kunnen logins verkrijgen via brute force of cross-site request forgery (CSRF). Deze kwetsbaarheid kan door cybercriminelen worden misbruikt om ernstige schade aan te richten.
De FBI heeft gewaarschuwd voor de BADBOX 2.0 malware, die meer dan 1 miljoen internetverbonden apparaten heeft geïnfecteerd. Deze malware verandert consumentenelektronica, zoals smart-tv's, streamingboxen en tablets, in zogenaamde ‘residential proxies’, die door cybercriminelen worden gebruikt voor kwaadaardige activiteiten. De malware wordt vaak al vooraf geïnstalleerd op goedkope Android-apparaten of komt binnen via schadelijke apps die via officiële en onofficiële appstores verspreid worden. Eenmaal geïnfecteerd, kunnen de apparaten als proxynetwerken dienen voor advertentiefraude of credential stuffing. Ook kunnen ze gebruikt worden voor andere cybercriminaliteit. De FBI adviseert consumenten om verdachte activiteit op hun IoT-apparaten te controleren, geen apps van onbetrouwbare bronnen te downloaden en apparaten up-to-date te houden om infecties te voorkomen.
De Qilin ransomwaregroep maakt gebruik van twee ernstige kwetsbaarheden in Fortinet-apparatuur om aanvallen uit te voeren waarbij authenticatie wordt omzeild en kwaadaardige code op afstand wordt uitgevoerd. Deze kwetsbaarheden, CVE-2024-21762 en CVE-2024-55591, werden eerder dit jaar gepatcht, maar blijven een doelwit voor aanvallers. Qilin, die in augustus 2022 opkwam, heeft inmiddels honderden slachtoffers geëist, waaronder grote organisaties zoals Yangfeng en Lee Enterprises. De groep richt zich momenteel voornamelijk op Spaanse-sprekende landen, maar verwacht wordt dat de aanvallen wereldwijd zullen uitbreiden. De kwetsbaarheden in Fortinet-systemen worden vaak misbruikt door cybercriminelen voor zowel ransomware-aanvallen als cyberespionage. Fortinet waarschuwde eerder voor de risico’s van onvolledige patches, omdat veel apparaten nog kwetsbaar zijn. De recente aanvallen benadrukken de noodzaak om snel beveiligingsupdates door te voeren om dergelijke risico's te vermijden.
Twee kwaadaardige npm-pakketten, 'express-api-sync' en 'system-health-sync-api', zijn ontdekt in de npm JavaScript-pakketindex. Ze deden zich voor als nuttige tools voor database-synchronisatie en systeembewaking, maar blijken destructieve data-wipers te zijn die volledige projectmappen wissen. Beide pakketten bevatten achterdeurtjes waarmee aanvallers op afstand gegevens kunnen wissen van geïnfecteerde systemen. Het eerste pakket voert de opdracht "rm -rf *" uit, waardoor alle bestanden in de werkmap worden verwijderd. Het tweede pakket is geavanceerder en ondersteunt zowel Linux als Windows-besturingssystemen voor het wissen van bestanden. De pakketten werden in mei 2025 gepost en zijn inmiddels verwijderd van npm. Dit soort aanvallen zijn zeldzaam, omdat ze geen financieel gewin beogen, maar eerder gericht lijken op sabotage of verstoring.
Een geavanceerd malwareprogramma genaamd "mac.c Stealer", dat gericht is op macOS, wordt vermoedelijk te koop aangeboden op het dark web. De broncode, het command-and-control panel en de builder worden aangeboden voor een startprijs van $35.000. Dit vormt een aanzienlijke dreiging voor macOS-gebruikers, aangezien de beschikbaarheid van de broncode kan leiden tot de verspreiding van op maat gemaakte malwarevarianten die moeilijker te detecteren en te verdedigen zijn. De malware is ontworpen om een breed scala aan gevoelige gegevens te stelen, waaronder wachtwoorden, crypto-wallet gegevens en Telegram-sessies. De verkoper beweert dat het project een 'kant-en-klare' onderneming is, met een bestaande klantenkring. De verkoop van dergelijke malware benadrukt de groeiende trend van Malware-as-a-Service (MaaS) en de noodzaak voor robuuste beveiligingsmaatregelen, zelfs op systemen die vaak als veiliger worden beschouwd.
Op 6 juni 2025 werd een grote supply chain-aanval ontdekt waarbij 16 populaire NPM-pakketten van Gluestack, die samen meer dan 950.000 wekelijkse downloads genereerden, werden gecompromitteerd. De aanvallers voegden schadelijke code toe aan de pakketten, waardoor ze fungeerden als een remote access trojan (RAT). Deze kwaadaardige code was moeilijk te detecteren, aangezien het verstopt zat in de laatste regel van een scriptbestand. De aanval werd ontdekt door het cybersecuritybedrijf Aikido Security, dat ook meldde dat de kwaadaardige code dezelfde technieken gebruikte als die in eerdere aanvallen. Door deze compromittering konden de aanvallers commando’s uitvoeren op de getroffen systemen, waaronder het uploaden van bestanden en het wijzigen van directorypaden. Tot nu toe heeft Gluestack nog niet gereageerd op de meldingen van de aanval.
Meer dan 20 schadelijke apps op de Google Play Store richten zich op cryptocurrency-gebruikers door zich voor te doen als betrouwbare crypto-wallets en exchanges. Deze apps stelen de zogenaamde 'seed phrases', de sleutels waarmee gebruikers toegang krijgen tot hun crypto-fondsen. De apps gebruiken de namen en iconen van bekende platforms zoals SushiSwap en PancakeSwap en vangen gebruikers door hen te laten invoeren van hun herstelzinnen. Zodra deze gegevens zijn ingevoerd, kunnen de aanvallers de wallets leegroven. Hoewel Google veel van deze apps heeft verwijderd, blijven sommige actief. De apps zijn vaak gekoppeld aan phishing-websites die zich voordoen als legitieme wallet interfaces. Gebruikers wordt aangeraden om voorzichtig te zijn met het downloaden van apps, Google Play Protect in te schakelen, en nooit hun seed phrases in te voeren zonder absolute zekerheid over de legitimiteit van de app.
De nieuwsbrief van Cybercrimeinfo.nl bespreekt de groeiende cyberdreigingen waarmee Nederland en België geconfronteerd worden. In mei 2025 werden beide landen getroffen door diverse cyberaanvallen, waaronder ransomware en datalekken, wat druk zette op bedrijven en overheden om hun digitale beveiliging te verbeteren. De nieuwsbrief belicht de kwetsbaarheden die hackers benutten, van cloudapplicaties tot IoT-apparaten, en biedt waardevolle inzichten voor het versterken van de digitale veiligheid. Verder worden de recente stappen van opsporingsdiensten wereldwijd besproken, waaronder de ontmanteling van gevaarlijke netwerken en de arrestatie van belangrijke cybercriminelen. Er wordt ook aandacht besteed aan de strijd tegen carding marktplaatsen op het darkweb en een schrijnend geval van helpdeskfraude. Tot slot biedt de nieuwsbrief praktische tips voor het herkennen en voorkomen van vishing en smishing.
In 2024 en begin 2025 ontdekte SentinelOne een reeks gerichte cyberaanvallen die verband houden met Chinese dreigingsactoren, met als doel zowel overheidsinstellingen als bedrijven wereldwijd, waaronder cybersecurityleveranciers. Deze aanvallen werden uitgevoerd met behulp van malware zoals ShadowPad en GOREshell, en betroffen onder andere een Zuid-Aziatische overheidsorganisatie, een Europese mediagroep en meer dan 70 andere organisaties uit verschillende sectoren. De aanvallers gebruikten geavanceerde technieken, zoals obfuscatie van ShadowPad en reverse_ssh-functionaliteiten in GOREshell, om toegang te verkrijgen en gegevens te stelen. Bij een van de aanvallen op SentinelOne bleek dat de aanvallers probeerden toegang te krijgen via een IT-logistieke partner, maar er werd geen daadwerkelijke compromis vastgesteld. De aanvallen werden toegeschreven aan Chinese cyberespionagegroepen zoals APT15 en UNC5174, wat de aanhoudende dreiging van China-nexus actoren onderstreept.
Een cybercrimineel, bekend als skart7, heeft een exploit voor een 0-day kwetsbaarheid in de SonicWall SRA 4600 gepost op een cybercrime-forum. Deze kwetsbaarheid, die een Remote Code Execution (RCE) mogelijk maakt zonder authenticatie, zou apparaten met oudere firmwareversies dan 9.0.0.10 of 10.2.0.7 treffen. De exploit wordt aangeboden voor een prijs van 60.000 USD, waarbij betalingen via escrow worden geaccepteerd. Deze kwetsbaarheid is nog niet officieel bevestigd, maar het bericht suggereert dat de exploit functioneel is en voor ernstige risico's kan zorgen als hij niet wordt gepatcht. Het is van belang dat organisaties die SonicWall-producten gebruiken, snel maatregelen treffen om de kwetsbaarheid te verhelpen door de nieuwste firmware bij te werken.
Een beveiligingsonderzoeker heeft ontdekt dat het 06-nummer van Nederlandse Google-accounts binnen 15 seconden achterhaald kon worden. Dit gebeurde via het accountherstelformulier van Google, waar het mogelijk bleek om telefoonnummers te verkrijgen als JavaScript was uitgeschakeld. Google gebruikt een botbeveiliging, maar die werkte niet wanneer JavaScript niet geactiveerd was. De onderzoeker vond een manier om via een Looker Studio-document de volledige naam van een gebruiker te achterhalen, waarna een brute force-aanval op het telefoonnummer mogelijk werd. Het 06-nummer kon in enkele seconden worden achterhaald. Google werd in april 2024 op de kwetsbaarheid gewezen en nam snel maatregelen om het probleem te verhelpen. De onderzoeker ontving een beloning van 5.000 dollar voor zijn ontdekking. De details van het probleem zijn nu openbaar gedeeld.
Gemeenten in Nederland worden geconfronteerd met een groeiend aantal digitale dreigingen zoals ransomware, datalekken en verstoringen. Ransomware blijft de grootste zorg, met aanvallen via zwakke plekken in gemeentelijke systemen, vaak via externe leveranciers. Dit kan leiden tot ernstige privacyschendingen en verstoring van de gemeentelijke dienstverlening. Daarnaast verhoogt de afhankelijkheid van clouddiensten de kwetsbaarheid van gemeenten, vooral wanneer leveranciers getroffen worden door cyberaanvallen.
Kunstmatige intelligentie biedt zowel kansen als risico's voor de digitale veiligheid van gemeenten, zoals het verbeteren van detectie van verdachte activiteiten, maar ook het uitvoeren van verfijnde cyberaanvallen door criminelen. Ook de opkomst van quantumcomputing vormt een bedreiging, aangezien het huidige encryptie kan doorbreken. Gemeenten moeten zich voorbereiden op deze technologische ontwikkelingen door zowel technische maatregelen als een cultuuromslag te implementeren, en intensief samen te werken met andere gemeenten om hun digitale weerbaarheid te vergroten.
De hackinggroep FIN6 heeft een nieuwe aanpak om recruiters en HR-afdelingen te misleiden. In plaats van zichzelf voor te doen als recruiters, doen ze zich nu voor als werkzoekenden. Ze gebruiken overtuigende cv's en phishingwebsites om malware te verspreiden. De aanvallers benaderen recruiters via platforms zoals LinkedIn en Indeed, waar ze een relatie opbouwen voordat ze een phishing-e-mail sturen. Deze e-mail bevat URL's naar zogenaamde 'cv-websites', waarbij de ontvangers gedwongen worden de URL handmatig in hun browser in te voeren om detectie te omzeilen. De websites bevatten een verborgen Windows snelkoppelingsbestand, dat een backdoor genaamd "More Eggs" downloadt. Deze malware kan worden gebruikt voor het stelen van inloggegevens, het uitvoeren van commando's en het verspreiden van andere schadelijke software. Recruiters wordt geadviseerd voorzichtig te zijn met sollicitanten die externe links sturen voor cv-downloads.
Sinds 5 juni worden Apache Tomcat Manager interfaces het doelwit van gecoördineerde brute-force aanvallen. Tomcat is een populaire open-source webserver, en Tomcat Manager is een beheertool voor webapplicaties. Normaal gesproken is deze tool alleen toegankelijk vanaf de lokale computer, maar wanneer hij online blootgesteld wordt, kunnen aanvallers proberen toegang te verkrijgen. Twee campagnes werden gedetecteerd waarbij respectievelijk bijna 300 en 250 kwaadaardige IP-adressen betrokken waren. Deze aanvallen maken gebruik van geautomatiseerde tools om miljoenen inloggegevens te testen. De aanvallers richten zich specifiek op Tomcat-diensten en gebruiken vaak servers van DigitalOcean voor hun aanvallen. Hoewel er geen specifieke kwetsbaarheid werd misbruikt, werd eerder dit jaar wel een kritieke kwetsbaarheid (CVE-2025-24813) in Apache Tomcat gepatcht. Organisaties die Tomcat Manager online blootstellen, wordt geadviseerd om sterke authenticatie en toegangslimieten in te stellen en verdachte inlogpogingen onmiddellijk te blokkeren.
Phishingaanvallen maken steeds vaker gebruik van specifieke top-level domeinnamen (TLD's), zoals .li, .es en .dev, om gebruikers te misleiden en gevoelige informatie te stelen. Deze TLD's worden vaak ingezet voor valse inlogpagina's, malafide redirects of malware. Volgens gegevens uit 2025 is het .li-domein het meest misbruikt, vooral omdat het als tussenpersoon fungeert bij redirects naar phishingwebsites. Dit maakt het moeilijker voor detectietools om deze aanvallen te identificeren. Andere veelgebruikte domeinen zijn onder meer .es, dat vaak wordt ingezet voor valse leverings- en inlogfraudes, en .sbs, populair vanwege de lage registratiekosten, die het aantrekkelijk maken voor snel opgezette phishingcampagnes. De .dev-domeinen profiteren van het vertrouwen dat wordt gekoppeld aan Google’s platformen, waardoor de op phishing lijkende sites professioneel en legitiem overkomen. Het is essentieel om verdachte domeinen grondig te controleren om deze bedreigingen te voorkomen.
Een nieuwe malware, BrowserVenom, is ontdekt die via een valse DeepSeek-phishingwebsite wordt verspreid. Deze malware wordt gedistribueerd via Google Ads en misbruikt de populariteit van de DeepSeek chatbot. Wanneer gebruikers op de phishinglink klikken, worden ze naar een nepwebsite geleid die hen probeert te verleiden een schadelijk bestand te downloaden. De malware installeert een proxy op de browser, waardoor de aanvallers netwerkverkeer kunnen manipuleren en gevoelige gegevens kunnen onderscheppen. De malware wijzigt browserinstellingen van populaire browsers zoals Chrome en Mozilla, zodat al het verkeer via de door de aanvaller gecontroleerde proxy verloopt. Het gebruik van DeepSeek als lokaas maakt de campagne bijzonder effectief, terwijl de verspreiding via advertenties de geloofwaardigheid vergroot. Het is belangrijk voor gebruikers om voorzichtig te zijn met zoekresultaten en alleen officiële websites te bezoeken om zich tegen deze aanvallen te beschermen.
AitM (Adversary-in-the-Middle) phishing is een geavanceerde vorm van cyberaanval waarbij de aanvaller zich tussen de gebruiker en een legitieme website plaatst om inloggegevens en MFA-codes te onderscheppen. De aanvaller zorgt ervoor dat de gebruiker denkt dat ze inloggen op een echte website, maar vangt in werkelijkheid de communicatie af. Dit maakt AitM phishing moeilijk te detecteren en kan leiden tot ernstige gevolgen, zoals toegang tot gevoelige bedrijfsinformatie en financiële fraude.
Phishing-as-a-Service (PhaaS) vergemakkelijkt deze aanvallen door cybercriminelen kant-en-klare phishingkits aan te bieden, waardoor de drempel voor aanvallers zonder technische kennis wordt verlaagd. Organisaties kunnen zich beschermen door extra beveiligingsmaatregelen te implementeren, zoals het monitoren van authenticatielogs en het trainen van personeel om phishing te herkennen. De dreiging van AitM phishing groeit, en bedrijven moeten zich blijven aanpassen om deze geavanceerde aanvallen te kunnen weerstaan.
Een nieuwe aanval genaamd 'SmartAttack' maakt gebruik van smartwatches als een verborgen ontvanger van ultrasone signalen om data te stelen van fysiek geïsoleerde systemen, ook wel air-gapped systemen genoemd. Deze systemen worden vaak gebruikt in kritieke omgevingen, zoals overheidsinstellingen en nucleaire installaties, en zijn fysiek gescheiden van externe netwerken om malware-infecties en datadiefstal te voorkomen. Ondanks deze isolatie kunnen ze toch kwetsbaar zijn voor aanvallen, bijvoorbeeld door interne dreigingen zoals corrupte medewerkers.
Bij SmartAttack wordt malware gebruikt om gevoelige gegevens van de computer te verzamelen, die vervolgens via ultrasone geluidsgolven door de ingebouwde luidspreker van het apparaat worden verzonden. Een smartwatch die in de buurt is, kan deze signalen opvangen en de gegevens via draadloze verbindingen zoals Wi-Fi of Bluetooth exfiltreren. Het meest effectieve antwoord op deze dreiging is het verbieden van het gebruik van smartwatches in beveiligde omgevingen.
De Fog ransomware-aanval maakt gebruik van een opvallend ongewone combinatie van tools, waaronder open-source pentesting-hulpmiddelen en legitieme software voor medewerkersbewaking, Syteca. Deze aanval, die vorig jaar begon, werd mogelijk gemaakt door het misbruiken van VPN-inloggegevens om netwerken binnen te dringen. Na toegang werden "pass-the-hash"-aanvallen gebruikt om beheerdersrechten te verkrijgen en alle bestanden te versleutelen. De nieuwste Fog-aanvallen maken gebruik van ongebruikelijke tools zoals Syteca, die het mogelijk maakt om wachtwoorden en andere gevoelige gegevens van medewerkers te stelen. Daarnaast werd een open-source proxytool, Stowaway, ingezet voor verborgen communicatie en bestandoverdrachten. Ook andere tools zoals GC2 en 7-Zip werden gebruikt om gegevens te exfiltreren. De inzet van dergelijke ongebruikelijke tools maakt het voor aanvallers makkelijker om detectie te omzeilen. Symantec heeft indicatoren gedeeld die organisaties kunnen helpen zich tegen dergelijke aanvallen te beschermen.
Onderzoekers hebben een nieuwe malwarecampagne ontdekt die misbruik maakt van een kwetsbaarheid in Discord's uitnodigingssysteem. Aanvallers kapen verlopen of verwijderde uitnodigingen om gebruikers naar kwaadaardige servers te leiden. Via phishing en sociale manipulatie installeren ze geavanceerde malware, zoals AsyncRAT en Skuld Stealer, die zich via vertrouwde cloudservices zoals GitHub en Pastebin verspreiden. Het misbruik van Discord's linkbeheersysteem maakt het moeilijk voor gebruikers om het verschil te zien tussen legitieme en vervalste uitnodigingen. Wanneer slachtoffers op de kwaadaardige server terechtkomen, worden ze gevraagd om een zogenaamde verificatie uit te voeren, wat hen leidt naar een phishingwebsite. Hier wordt een PowerShell-script uitgevoerd dat verdere malware downloadt, waaronder keyloggers en afstandsbedieningstools. Deze aanval maakt gebruik van verschillende omzeilingstechnieken om antivirussoftware te ontwijken en blijft zo lange tijd onopgemerkt op geïnfecteerde systemen.
Hackers hebben meer dan 80.000 Microsoft Entra ID-accounts aangevallen bij honderden organisaties wereldwijd, gebruikmakend van het TeamFiltration pentesting-framework. De aanvallen, die in december 2024 begonnen, werden uitgevoerd door de groep UNK_SneakyStrike. Deze campagne bereikte een hoogtepunt op 8 januari, toen 16.500 accounts in één dag werden getroffen. TeamFiltration helpt bij het op grote schaal overnemen van accounts door middel van password spraying. De aanvallers maakten gebruik van AWS-servers wereldwijd en een Office 365-account met een Business Basic-licentie om toegang te krijgen tot Microsoft Teams API. De meeste aanvallen kwamen uit de Verenigde Staten, gevolgd door Ierland en het Verenigd Koninkrijk. Aanbevolen wordt om multi-factor authenticatie in te schakelen, OAuth 2.0 af te dwingen en gebruik te maken van toegangspolicies in Microsoft Entra ID om verdere risico's te beperken.
Het Nationaal Cyber Security Centrum (NCSC) heeft gewaarschuwd voor phishingmails die zich voordoen als officiële communicatie van de organisatie. De e-mails bevatten een nep-dagvaarding waarin de ontvanger beschuldigd wordt van het bezitten of verspreiden van kinderpornografisch materiaal. De berichten zijn zorgvuldig opgesteld met valse namen en logo's van onder andere de nationale politie, Europol en het NCSC. In de e-mail wordt gesuggereerd dat geavanceerde software gebruikt is om de ontvanger te betrappen op illegale activiteiten. Het NCSC benadrukt dat zij nooit direct contact opnemen met burgers via e-mail. Ontvangers van dergelijke berichten worden aangeraden de e-mail direct te verwijderen en melding te maken bij de Fraudehelpdesk. Deze waarschuwing komt ook na een soortgelijke phishingcampagne die door het Australische Cyber Security Centre werd opgemerkt.
Oplichters proberen door middel van valse berichten en telefoontjes de simkaarten van klanten van KPN en Odido over te nemen, zo waarschuwt de Fraudehelpdesk. Slachtoffers ontvangen vaak sms'jes die lijken te komen van hun provider, met de mededeling dat hun simkaart binnenkort zal vervallen of gedeactiveerd wordt. Via een link in het bericht worden ze gevraagd om hun identiteit of simkaart te verifiëren, waarna persoonlijke gegevens zoals e-mailadres, telefoonnummer en soms BSN-nummer worden gestolen. Ook proberen de oplichters telefonisch inloggegevens van klanten te verkrijgen, door te zeggen dat hun simkaart gevalideerd moet worden of dat ze moeten overstappen naar een eSIM. Het doel van deze oplichters is om de simkaart van het slachtoffer over te nemen en deze vervolgens te gebruiken voor frauduleuze activiteiten, zoals het versturen van valse sms-berichten naar andere slachtoffers.
Een recent rapport van Cloudflare toont een sterke stijging van cyberaanvallen, voornamelijk DDoS-aanvallen, gericht op maatschappelijke organisaties zoals mensenrechtengroepen en onafhankelijke media. Dit gebeurt via het Project Galileo van Cloudflare, dat deze kwetsbare organisaties gratis beschermt tegen cyberdreigingen. In de afgelopen elf maanden werden maar liefst 108,9 miljard bedreigingen geblokkeerd, een stijging van 241% ten opzichte van het vorige jaar. Vooral onafhankelijke mediaorganisaties en journalisten werden zwaar getroffen, met meer dan 97 miljard geblokkeerde verzoeken. De meeste aanvallen lijken te volgen op de toenemende wereldwijde druk op activisten en NGO’s. Daarnaast werden milieu- en sociale welzijnsorganisaties geconfronteerd met miljoenen kwaadaardige verzoeken, vooral tijdens noodsituaties. Het rapport benadrukt dat veel kleinere mensenrechtengroepen vaak onvoldoende middelen hebben voor adequate cyberbeveiliging, wat hen kwetsbaar maakt voor dergelijke aanvallen.
De Anubis ransomware-as-a-service (RaaS) heeft een nieuwe functie toegevoegd aan zijn encryptiemalware: een wiper-module die doelbestanden vernietigt, waardoor herstel zelfs na betaling van het losgeld onmogelijk is. Anubis, die voor het eerst werd opgemerkt in december 2024, is actiever geworden in 2025 en biedt een affiliate-programma waarbij partners een percentage van de opbrengst krijgen. De wiper, die wordt geactiveerd via een commando, maakt alle bestandinhoud onherstelbaar door de grootte van de bestanden te reduceren tot 0 KB, terwijl de bestandsnamen en mappenstructuur behouden blijven. Deze destructieve functie is bedoeld om druk op slachtoffers uit te oefenen om sneller te betalen, door herstelpogingen te saboteren, zelfs nadat bestanden zijn versleuteld. Anubis gebruikt phishing-e-mails als de primaire aanvalsmethode en versleutelt bestanden met de extensie '.anubis'.
In nieuwsbrief 370 van Cybercrimeinfo wordt de groeiende digitale dreiging in Nederland besproken. Gemeenten worden steeds vaker doelwit van ransomware-aanvallen, mede door de opkomst van kunstmatige intelligentie en quantumcomputing, wat niet alleen de systemen verstoort, maar ook het vertrouwen in publieke dienstverlening schaadt. Daarnaast wordt het gevaar van AitM phishing belicht, waarbij cybercriminelen zich tussen gebruikers en inlogpagina's plaatsen om wachtwoorden en multifactorcodes te stelen. De nieuwsbrief waarschuwt ook voor de toenemende dreigingen rond de NAVO-top in Den Haag, waar zowel cybercriminelen als statelijke actoren actief zijn. Met het vakantieseizoen in aantocht worden lezers gewaarschuwd voor valse reisaanbiedingen en nepwebsites die vakantiegangers oplichten. Tot slot wordt de ontmanteling van het platform Cracked besproken, waarbij politie en Europol 126 Nederlandse gebruikers identificeerden.
In een grootschalige cyberaanval zijn meer dan 269.000 websites besmet met de JSFireTruck JavaScript-malware. Deze malware, die gebruik maakt van een techniek genaamd JSFuck, verbergt de ware intentie van de code door gebruik te maken van obscure symbolen. Het doel van de geïnfecteerde websites is om bezoekers door te sturen naar schadelijke URL’s, waar ze kunnen worden blootgesteld aan malware, advertenties of scams. De aanval, die tussen 26 maart en 25 april 2025 plaatsvond, was bijzonder geraffineerd, waarbij het gebruik van zoekmachines zoals Google of Bing als trigger diende voor de redirects. De malafide code is ontworpen om slachtoffers naar kwaadaardige pagina’s te leiden, vaak via een systeem dat afhankelijk is van apparaat- en netwerkfingerprinting. Deze aanval benadrukt de geavanceerde methoden die cybercriminelen gebruiken om onopgemerkt grote schade aan te richten.
In 2025 hebben crypto-hackers al meer dan $2,1 miljard gestolen. Het merendeel van de schade komt door inbraken in crypto-wallets, die met slechts 23 incidenten verantwoordelijk zijn voor maar liefst $1,6 miljard verlies. Phishing-aanvallen en kwetsbaarheden in de code volgen, maar hebben een veel kleinere impact. De trend verschuift van aanvallen op smart contracts naar directe aanvallen op crypto-gebruikers. In mei alleen al ging er $140,1 miljoen verloren door hacks, terwijl er tegelijkertijd $162 miljoen werd bevroren, wat aangeeft dat niet alle aanvallen succesvol waren. De grootste schade werd veroorzaakt door de hack van het Sui-gebaseerde platform Cetus, waarbij $225 miljoen werd buitgemaakt. Deze cijfers benadrukken de groeiende dreiging van wallet-aanvallen en het belang van robuuste beveiliging voor crypto-gebruikers.
Cyberdreigingsonderzoekers waarschuwen dat hackers, die gebruik maken van de technieken van de groep Scattered Spider, meerdere Amerikaanse verzekeringsmaatschappijen hebben aangevallen. Deze groep, die eerder het VK als doelwit had, is nu actief in de VS, waarbij ze gebruik maken van sociale-ingenieurstechnieken zoals phishing, SIM-swapping en MFA-bombing om toegang te krijgen. In de latere fase van de aanval wordt vaak ransomware gedropt, zoals DragonForce of Qilin. Organisaties in de verzekeringssector worden geadviseerd om waakzaam te zijn, vooral met betrekking tot social engineering-pogingen via helpdesks en callcenters. De aanvalsgroep staat ook bekend om zijn gebruik van geavanceerde technieken, waaronder identiteitsdiefstal en het misbruiken van zwakke plekken in multi-factor-authenticatie. Bedrijven wordt aangeraden om sterke identiteitsbeveiliging en onderwijs over phishing te implementeren, evenals het monitoren van verdachte inlogpogingen.
Onderzoekers van Netcraft hebben een reeks nieuwe SEO-poisoning-aanvallen ontdekt die Google’s zoekresultaten misbruiken om schadelijke content en scams te verspreiden. Hacklink, een zwartmarktplatform, maakt het mogelijk voor cybercriminelen om links naar phishingpagina’s en frauduleuze diensten in geïnfecteerde websites in te voegen. Deze verborgen links worden geoptimaliseerd om hoog in zoekresultaten te verschijnen, vooral in sectoren zoals gokken, farmaceutica en volwassen content. De aanvallers gebruiken bestaande, vaak gerenommeerde domeinen om de zoekalgoritmes van Google te misleiden en zo fraudeurs een groter bereik te geven. Hacklink fungeert als een marktplaats waar kwaadwillenden tegen een lage prijs toegang krijgen tot gehackte websites en zoekwoorden kunnen kiezen om hun content te injecteren. Deze aanvallen richten zich vooral op het online gokken in Turkije, maar de techniek kan ook andere sectoren treffen. Organisaties moeten hun websites goed beveiligen en zoekresultaten regelmatig controleren om dergelijke aanvallen te voorkomen.
Internetgebruikers betalen een hoge prijs voor gratis apps en websites die gebruikmaken van online tracking, wat risico's met zich meebrengt voor zowel individuen als de samenleving. Tracking kan de privacy en autonomie aantasten, leiden tot ongelijke behandeling en de nationale veiligheid en democratie in gevaar brengen. Huidige wet- en regelgeving biedt weliswaar bescherming, maar de handhaving laat te wensen over. Veel websites en grote technologiebedrijven ontduiken regels door bijvoorbeeld zonder toestemming te tracken of door gebruikers onterecht onder druk te zetten om toestemming te geven. Het Rathenau Instituut roept beleidsmakers op om Europese wetgeving te versterken, online tracking te beperken of zelfs te verbieden, en alternatieve verdienmodellen te verkennen. Ook wordt duidelijkheid gevraagd over de juridische haalbaarheid van bepaalde betaalmodellen, zoals "pay-or-okay", die het gebruik van persoonsgegevens voor advertenties mogelijk maken.
Later meer hierover in een uitgebreid artikel op ccinfo
Het Amerikaanse cyberagentschap CISA heeft gemeld dat er actief misbruik wordt gemaakt van een kwetsbaarheid in de Linux-kernel, waarmee aanvallers rootrechten kunnen verkrijgen. Het beveiligingslek, aangeduid als CVE-2023-0386, werd al in maart 2023 ontdekt en betreft een probleem met de overlayFS-implementatie, die wordt gebruikt om directorystructuren en bestanden te combineren. Aanvallers kunnen deze kwetsbaarheid misbruiken om speciale bestanden naar normale directories te kopiëren, waarna de uitvoering ervan rootrechten verleent. Het platform Docker, dat veel gebruik maakt van overlayFS, is ook kwetsbaar. CISA heeft Amerikaanse overheidsinstanties opgedragen om de benodigde Linux-updates voor 8 juli te installeren. De details over de aanvallen blijven beperkt, maar de waarschuwing geldt voor alle betrokken systemen.
De snelle online radicalisering van jongeren is een groeiende dreiging voor de nationale veiligheid, zo blijkt uit het nieuwe Dreigingsbeeld Terrorisme Nederland (DTN). Het dreigingsniveau blijft op 4, wat substantieel is, vanwege de reële kans op een terroristische aanslag. Zowel jihadistische als rechts-extremistische netwerken spelen hierbij een rol. Jihadistische groepen, vooral bestaande uit jongeren, verspreiden radicaliserende content en kunnen leiden tot gewelddadige daden. Tegelijkertijd radicaliseren steeds meer jongeren binnen rechts-extremistische netwerken, vaak via sociale media, waar extremistisch taalgebruik wordt aangemoedigd. Beide groepen zoeken via online platformen contact met gelijkgestemden, wat de kans vergroot dat ze overgaan tot terroristisch geweld. Het rapport benadrukt dat deze vormen van online radicalisering een actuele bedreiging vormen voor de veiligheid van Nederland.
Later meer hierover in een uitgebreid artikel op ccinfo
De Nobitex cryptocurrency-exchange werd getroffen door een geavanceerde cyberaanval, met een verlies van 81,7 miljoen dollar. De aanval werd opgeëist door de groep "Gonjeshke Darande", die Nobitex beschuldigt van het helpen van Iran bij terrorismefinanciering. De hack richtte zich op de zogenaamde 'hot wallets', maar de koude opslag bleef veilig. Het bleek echter dat twee medewerkers van Nobitex via infostealers werden geïnfecteerd, wat de aanvallers toegang gaf tot kritieke interne systemen van de exchange. Infostealers, malware die gevoelige gegevens zoals wachtwoorden en cookies steelt, blijken steeds vaker een toegangspoort te zijn voor grotere cyberaanvallen. De aanval benadrukt de noodzaak voor crypto-exchanges om hun beveiliging te versterken, vooral op het gebied van medewerkers en eindpuntbeveiliging.
Cybercriminelen maken gebruik van een complexe malwarecampagne die zich richt op Minecraft-spelers. Via zogenaamde "mod" downloads, die als legitieme mods gepresenteerd worden, wordt kwaadaardige software verspreid via het Stargazers Ghost Network. Het begint met een Java downloader die een tweede malwarestadium activeert, gevolgd door een .NET-stealer. Deze malware is in staat om gevoelige informatie te stelen, waaronder Minecraft-inloggegevens, Discord- en Telegram-tokens, en cryptowallet-informatie. De aanvallen zijn moeilijk te detecteren door antivirussoftware, omdat ze specifiek gericht zijn op Minecraft-mods, die vaak als onschuldig worden gezien. Het blijkt dat de aanvallers waarschijnlijk afkomstig zijn uit Rusland, wat blijkt uit Russische taalartefacten in de malware. Deze aanvallen benadrukken het risico van het downloaden van derdenmodificaties in populaire online games en de gevaren van onveilig internetgedrag binnen gaminggemeenschappen.
Google heeft gewaarschuwd voor een phishingaanval waarbij aanvallers misbruik maken van 'app passwords', om zo toegang te krijgen tot Google-accounts met ingeschakelde multi-factorauthenticatie (MFA). Deze app-wachtwoorden zijn zestiencijferige codes waarmee minder veilige apps toegang krijgen tot een account. Bij de aanval ontvangen slachtoffers een phishingmail die hen uitnodigt voor een online bijeenkomst, vaak zogenaamd van een officiële organisatie zoals het Amerikaanse ministerie van Buitenlandse Zaken. In de bijgevoegde instructie wordt het slachtoffer gevraagd om een app-wachtwoord te genereren en dit te delen met de aanvallers. Zodra de code is gedeeld, krijgen zij permanente toegang tot het account. Google heeft bevestigd dat de aanvallen mogelijk door Russische staatshackers zijn uitgevoerd. Het advies is om waakzaam te zijn voor verdachte e-mails en om app-wachtwoorden uit te schakelen tenzij strikt noodzakelijk.
Later meer hierover in een uitgebreid artikel op ccinfo
In de afgelopen maanden zijn Nederlandse cryptobezitters doelwit geworden van een phishingaanval die zich voordeed als een bericht van de Belastingdienst. Deze e-mails bevatten een link naar een valse website, waar slachtoffers gevraagd werden om persoonlijke gegevens in te vullen en vervolgens hun cryptowallet "seed phrase" te verstrekken. Deze seed phrase biedt aanvallers toegang tot de cryptowallet en maakt het mogelijk om de inhoud te stelen. In een andere versie van de aanval werd geprobeerd gebruikers via WalletConnect naar een malafide app te leiden, waardoor crypto werd gestolen. Deze phishingcampagne is gestart in Nederland en breidt zich uit naar andere Europese landen, zoals België, Duitsland en Frankrijk. De Belastingdienst heeft gewaarschuwd dat zij nooit zulke e-mails sturen en adviseert slachtoffers de berichten direct te verwijderen.
Later meer hierover in een uitgebreid artikel op ccinfo
Oplichters hebben een nieuwe methode ontdekt om valse telefoonnummers weer te geven op officiële websites van bedrijven zoals Apple, Microsoft en PayPal. Ze plaatsen advertenties op Google die naar de zoekfunctie van deze sites verwijzen, met een zoekopdracht die de tekst "Call Now" en een telefoonnummer bevat. Het nummer leidt naar de scammers die proberen slachtoffers op te lichten door hen te laten betalen voor niet-bestaande problemen of toegang te krijgen tot hun computers. Deze techniek maakt misbruik van een kwetsbaarheid in de zoekfunctionaliteit, die ongefilterd zoekopdrachten toont. Het doel van de scammers is om via deze nep-helplines toegang te verkrijgen tot gevoelige informatie van slachtoffers. Bedrijven als Apple, Bank of America, Netflix en Facebook worden ook getroffen door deze oplichtingstechniek.
De Godfather Android malware heeft een nieuwe versie die gebruik maakt van virtualisatie om bankapplicaties te kapen. Deze malware creëert geïsoleerde virtuele omgevingen op mobiele apparaten, waardoor het mogelijk wordt om real-time gegevens te stelen en transacties te manipuleren zonder dat de gebruiker het merkt. De malware verbergt zich door de werkelijke bankapp te tonen, terwijl op de achtergrond gevoelige informatie zoals inloggegevens, wachtwoorden en pin-codes wordt onderschept. Godfather richt zich op meer dan 500 apps, waaronder bank-, crypto- en e-commerce apps wereldwijd. De malware maakt gebruik van open-source tools en voert schadelijke activiteiten uit door API's te manipuleren. Gebruikers worden misleid door een nep-schermafbeelding die hen vraagt om hun gegevens in te voeren, terwijl de werkelijke gegevens stiekem worden gestolen. Het is essentieel om alleen apps van betrouwbare bronnen te downloaden en waakzaam te zijn voor verdachte toestemmingsaanvragen.
Onlangs is er veel ophef ontstaan over een zogenaamd datalek van 16 miljard gestolen inloggegevens, wat werd gepresenteerd als een van de grootste in de geschiedenis. Na analyse blijkt dit datalek echter veel minder ernstig dan het lijkt. De gegevens bestaan voornamelijk uit oude, gerecycleerde informatie, inclusief verouderde infostealer-logbestanden en eerdere datalekken. Een aanzienlijk deel van de gegevens is mogelijk gemanipuleerd of zelfs gefabriceerd om de omvang van het lek te vergroten. Het totaal aantal gestolen gegevens zou volgens experts veel te hoog zijn voor de bekende besmettingen wereldwijd. Hoewel het lek zelf niet zo gevaarlijk is, blijft infostealer-malware een belangrijke dreiging, aangezien deze malware ongemerkt inloggegevens steelt en regelmatig betrokken is bij cyberaanvallen. Bedrijven worden aangeraden om sterke beveiligingsmaatregelen, zoals multi-factorauthenticatie en endpointbeveiliging, in te voeren om zich tegen dergelijke aanvallen te beschermen.
In een rechtszaak in Den Bosch heeft het Openbaar Ministerie celstraffen van 27 maanden tot twaalf jaar geëist tegen zes leden van het drugsnetwerk Team Sonic. De groep handelde op grote schaal in harddrugs via het darkweb, waarbij ze de bestellingen in honden- of kattenvoer verstuurden. Het onderzoek, dat begon in oktober 2021 met behulp van ontsleutelde EncroChat-berichten, leidde naar zeven verdachten die zich bezighielden met de productie, export en verkoop van drugs naar landen zoals Denemarken en Roemenië. Van 2019 tot 2022 deden ze meer dan 8300 verkopen. De pakketten werden voornamelijk via Duitse postkantoren verstuurd. Na de arrestatie van de leden in november 2022 werd bij doorzoekingen grote hoeveelheden drugs, vuurwapens en materiaal voor de verpakking van drugs aangetroffen. De rechtbank doet op 25 juli uitspraak.
Operatie Deep Sentinel heeft Archetyp Market, een toonaangevende drugsmarktplaats op het darkweb, volledig stilgelegd. In een gecoördineerde actie bundelden politie en justitie uit Duitsland, Nederland, Spanje, Zweden en andere landen hun krachten, ondersteund door Europol en Eurojust. De hoofdbeheerder, een dertigjarige Duitser, werd in Barcelona gearresteerd en servers in Nederland zijn in beslag genomen. Daardoor kregen onderzoekers toegang tot terabytes aan data over 612 000 gebruikers en meer dan 3 000 verkopers. Bij huiszoekingen werden grote hoeveelheden drugs, 47 telefoons, 45 computers en cryptovaluta met een waarde van circa 7,8 miljoen euro geconfisqueerd. Het wegvallen van Archetyp verstoort een netwerk dat sinds 2020 miljoenen euro’s verdiende via Monero transacties, escrowdiensten en een betrouwbaar imago. Historisch gezien stapt de community snel over naar nieuwe platforms, maar deze operatie tast het vertrouwen aantoonbaar aan en benadrukt het belang van blijvende internationale samenwerking en investering in digitale opsporingstechnieken voor de komende jaren.
Op 27 april 2025 werd een 59-jarige man uit Ooltgensplaat slachtoffer van helpdeskfraude. Hij ontving een sms die hem waarschuwde voor een ongeautoriseerde transactie bij Bol.com, met het verzoek om contact op te nemen met een alarmnummer. Nadat de man het nummer belde, werd hij door de oplichter overtuigd om zijn pinpassen en waardevolle spullen af te geven. Later die avond werd er geld gepind bij automaten in Den Bommel en Willemstad. De man kreeg herhaaldelijk nepberichten van zogenaamde bankmedewerkers, wat leidde tot veel stress. De politie is op zoek naar getuigen of mensen die de dader(s) op camerabeelden herkennen. Dit incident maakt deel uit van een groeiend probleem van bankhelpdeskfraude, waarbij criminelen zich voordoen als bankmedewerkers om persoonlijke en financiële informatie te verkrijgen.
Een 33-jarige man, lid van de beruchte Ryuk-ransomwaregroep, is uitgeleverd aan de Verenigde Staten. De man, die werd gearresteerd in april 2025 in Kiev op verzoek van de FBI, wordt beschuldigd van het verkrijgen van toegang tot bedrijfsnetwerken om zo data te stelen en ransomware te verspreiden. Deze groep, actief tussen 2018 en 2020, was verantwoordelijk voor grote aanvallen op verschillende sectoren, waaronder de gezondheidszorg tijdens de COVID-pandemie. In 2020 hernoemde de groep zich naar Conti, die tot 2022 actief bleef. De uitwisseling van informatie tussen Oekraïense cyberpolitie en internationale wetshandhavingsinstanties leidde tot de arrestatie van meerdere cybercriminelen, waaronder deze toegangsspecialist. De Ryuk-groep zou naar schatting 150 miljoen dollar hebben verdiend met haar aanvallen.
Het Amerikaanse ministerie van Justitie heeft meer dan 225 miljoen dollar aan cryptocurrency in beslag genomen die was gestolen via beleggingsfraudes en witwasoperaties. Dit is de grootste crypto-inbeslagname in de geschiedenis van de Amerikaanse Secret Service. Onderzoekers gebruikten blockchain-analyse om de gestolen fondsen, die afkomstig waren van meer dan 400 slachtoffers, te traceren. De gestolen cryptocurrencies werden via een complex netwerk van adressen gewassen om hun oorsprong te verbergen. Het Amerikaanse ministerie van Justitie, samen met de FBI en de Secret Service, heeft de fondsen geconfisqueerd. Ook de stablecoin Tether heeft geholpen door de betrokken tokens te bevriezen en opnieuw uit te geven aan de Amerikaanse overheid. De volgende stap is het identificeren van de slachtoffers en mogelijk het teruggeven van de verbeurde bedragen.
Kaspersky heeft onderzocht welke onderwerpen kinderen in 2025 op het internet zoeken. De studie werd uitgevoerd op zoekopdrachten van kinderen via populaire platforms zoals YouTube en Google. De top zoekopdrachten omvatten muziek, video’s, video games, en memes. YouTube is veruit het populairste platform, gevolgd door WhatsApp en TikTok. Daarnaast werd er veel gezocht naar AI-tools zoals ChatGPT en Character.ai, wat aangeeft dat kinderen snel nieuwe technologieën omarmen. De analyse benadrukt ook de toenemende populariteit van zogenaamde 'brainrot'-memes, die wereldwijd onder kinderen virale trends zijn. Het onderzoek laat zien dat kinderen zich met uiteenlopende online content bezighouden, variërend van educatieve programma's tot online.
De handel in gestolen data is een groeiend probleem, waarbij cybercriminelen persoonlijke informatie misbruiken voor financiële winst of andere criminele activiteiten. Dit kan variëren van het stelen van inloggegevens tot het verkrijgen van toegang tot systemen, vaak door social engineering en systeemkwetsbaarheden te exploiteren. De gestolen data wordt verhandeld op geheime marktplaatsen en forums, waar criminelen toegang verkopen aan andere criminele actoren. De toenemende inzet van kunstmatige intelligentie maakt deze aanvallen efficiënter, waardoor gepersonaliseerde phishing-aanvallen en geautomatiseerde technieken effectiever worden. Dit verstoort niet alleen de veiligheid van individuen maar heeft ook ernstige gevolgen voor bedrijven en overheden.
Onderzoek uitgevoerd door het Marsh McLennan Cyber Risk Intelligence Center in opdracht van Zscaler toont aan dat de implementatie van een zero trust architectuur significante voordelen biedt voor organisaties. Zero trust vermindert het risico op cyberincidenten door continu gebruikers, apparaten en applicaties te verifiëren. De studie concludeert dat het toepassen van zero trust de jaarlijkse cyberverliesverzekering met 31% kan verlagen, wat neerkomt op een besparing van $2,3 miljard in de VS. Met name grote bedrijven en sectoren zoals de bouw en gezondheidszorg zouden aanzienlijk profiteren van deze benadering.
Download
De Zscaler ThreatLabz 2025 Data@Risk Report belicht de toenemende risico’s rondom datalekken door AI-applicaties en populaire bedrijfssoftware zoals SaaS, e-mail en bestandsdeling. In 2024 werden wereldwijd miljoenen gegevensverliesincidenten geregistreerd, met AI-apps als een belangrijke bron van datalekken. Bij SaaS-applicaties werden 872 miljoen datalekken ontdekt, waarbij vaak persoonlijke gegevens zoals medische informatie en sociaalzekerheidsnummers werden gelekt. Ook e-mail blijft een belangrijke oorzaak van dataverlies. Het rapport benadrukt dat bedrijven robuuste beveiligingsmaatregelen nodig hebben, waaronder Data Loss Prevention (DLP) en Zero Trust Architectuur, om de veiligheid van gevoelige gegevens te waarborgen.
Het trendrapport van Awareways benadrukt de cruciale rol van menselijke weerbaarheid in informatieveiligheid en privacy. Hoewel technische oplossingen belangrijk blijven, blijkt het gedrag van medewerkers essentieel voor het versterken van de veiligheid binnen organisaties. Het rapport toont trends uit de periode 2022-2024, waaronder een stabiel beeld in veilig gedrag en toenemende intenties om veilig te werken. Toch is er een afname in aandacht voor belangrijke thema’s zoals AVG-richtlijnen, wachtwoordbeheer en veilig thuiswerken. Het rapport benadrukt dat het versterken van de menselijke factor in een snel veranderende digitale wereld cruciaal blijft voor de veerkracht van organisaties.
NIS2 is een belangrijke Europese richtlijn die de digitale veiligheid van bedrijven versterkt. Hoewel het vooral gericht is op grote organisaties in kritieke sectoren, raakt het ook kleinere bedrijven die deel uitmaken van toeleveringsketens. In dit artikel ontdek je waarom NIS2 ook voor jouw bedrijf relevant is en welke stappen je kunt nemen om compliant te worden. Mis niet de kans om te leren hoe je je organisatie kunt beschermen tegen de steeds toenemende cyberdreigingen.
Waarom cyberaanvallen en datalekken openbaar maken? Lees waarom transparantie over cyberdreigingen cruciaal is voor bedrijven en slachtoffers, en hoe je je kunt beschermen.
Europese overheden en bedrijven vertrouwen massaal op Amerikaanse cloudomgevingen zoals Microsoft en Google. Dit biedt gemak, maar brengt ook grote risico’s met zich mee. Van juridische onzekerheden rondom privacywetgeving tot de dreiging van cyberaanvallen: de afhankelijkheid van buitenlandse techgiganten zet de digitale soevereiniteit onder druk. Wat betekent dit voor de veiligheid van onze gegevens en kritieke infrastructuur? En welke alternatieven zijn er om deze risico’s te beperken?
De opkomst van quantumcomputing dreigt de fundamenten van huidige beveiligingssystemen, zoals wachtwoordbeheer, te ondermijnen. De kracht van quantumcomputers maakt traditionele encryptiemethoden kwetsbaar, maar wat betekent dit voor de tools die we dagelijks gebruiken? In dit artikel onderzoeken we de impact van quantum computing op wachtwoordbeheer en of MindYourPass een toekomstbestendige oplossing biedt. Ontdek hoe de nieuwste technologieën de digitale veiligheid kunnen versterken in een wereld die snel verandert.
Pentesten zijn essentieel om kwetsbaarheden in systemen te ontdekken voor cybercriminelen dat doen. Leer waarom deze tests cruciaal zijn voor de cybersecurity van bedrijven.
Op sociale media circuleren valse advertenties die beweren afkomstig te zijn van geldexpert Paul D’Hoore. De berichten, waarin onder meer zijn "tragisch overlijden" wordt vermeld, zijn gesponsorde advertenties die gebruik maken van AI-gegenereerde foto's. Ze zijn verspreid door cybercriminelen, die via de advertenties gebruikers proberen te misleiden en naar een website leiden waar ze onder andere met cryptobedrog trachten te frauderen. Paul D’Hoore zelf heeft aangegeven niets te maken te hebben met deze berichten en dat hij altijd kritisch is geweest over alles wat met crypto te maken heeft. Hoewel Meta, het moederbedrijf van Facebook en Instagram, op de hoogte is gesteld van de valse berichten, is er nog geen actie ondernomen. HLN heeft bevestigd dat de berichten niet van hun redactie afkomstig zijn en werkt samen met het Centrum voor Cybersecurity in België om de verspreiding te blokkeren.
The North Face heeft klanten gewaarschuwd dat hun persoonlijke gegevens zijn gestolen tijdens een credential stuffing-aanval op de website van het bedrijf in april 2025. Bij dit type cyberaanval proberen aanvallers toegang te krijgen tot gebruikersaccounts door gebruik te maken van inloggegevens die eerder bij datalekken zijn blootgesteld. De gestolen gegevens omvatten onder andere namen, aankoopgeschiedenis, verzendadressen, e-mailadressen, geboortedata en telefoonnummers. Gelukkig werd er geen betaalinformatie gestolen, omdat betalingen via een externe provider verlopen. Dit is niet de eerste keer dat The North Face wordt getroffen door een credential stuffing-aanval, aangezien het bedrijf al eerder in 2020, 2022 en 2025 dergelijke incidenten heeft gehad. Dit probleem komt door het hergebruik van wachtwoorden, en het ontbreken van verplichte multi-factor authenticatie (MFA) op de accounts.
Het luxemerk Cartier heeft klanten geïnformeerd over een datalek waarbij persoonlijke klantgegevens zijn gestolen. Volgens een melding die het bedrijf verstuurde, kregen hackers tijdelijk toegang tot hun systemen en haalden zij beperkte informatie van klanten. Het gaat om gegevens zoals namen, e-mailadressen en het land van verblijf, maar niet om gevoelige informatie zoals wachtwoorden, creditcardnummers of bankgegevens. Cartier waarschuwt klanten om alert te zijn op ongewenste communicatie, omdat de gestolen data mogelijk gebruikt kan worden voor gerichte aanvallen. Het bedrijf heeft de kwestie onder controle en werkt samen met cybersecurity-experts om verdere schade te voorkomen. Dit datalek is onderdeel van een reeks cyberaanvallen op modebedrijven, waaronder Dior en Adidas, die recent soortgelijke incidenten hebben gemeld.
De val van het kabinet kan de Nederlandse Digitaliseringsstrategie (NDS) in gevaar brengen. Het beleid, dat vrijdag gepresenteerd zou worden, dreigt nu op de lange baan te raken na het vertrek van staatssecretaris Zsolt Szabo. Szabo, samen met andere bewindslieden, had hard gewerkt aan de strategie, die vooral gericht was op het verbeteren van digitale infrastructuur en het verminderen van afhankelijkheid van Amerikaanse clouddiensten. Een belangrijk onderdeel van de strategie was het versterken van de positie van Europese en Nederlandse aanbieders. De vraag is nu hoe het beleid verder zal verlopen, vooral gezien de staatsrechtelijke kwesties en het demissionaire kabinet. De toekomst van de NDS hangt af van de politieke situatie na de verkiezingen en of er voldoende steun is voor de plannen, zoals de verschuiving naar meer Europese clouddiensten.
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) begint vandaag weer met het monitoren van het internet. Dit gebeurt op basis van de in werking getreden Wet coördinatie terrorismebestrijding en nationale veiligheid (Wcotnv), die de NCTV de wettelijke basis biedt om internetdata te verwerken, inclusief persoonsgegevens. De monitoring werd in juli 2021 tijdelijk stopgezet, nadat de Autoriteit Persoonsgegevens had geconcludeerd dat er geen geldige juridische grondslag was voor het verwerken van persoonsgegevens.
De nieuwe wet stelt de NCTV in staat om trends en gevaarlijke fenomenen op het internet te signaleren en te analyseren. Het doel is om de nationale veiligheid te waarborgen door informatie van inlichtingen- en veiligheidsdiensten en de politie te bundelen. Hierbij kan het verwerken van bijzondere persoonsgegevens, zoals namen of levensbeschouwelijke overtuigingen, noodzakelijk zijn. De wet heeft als belangrijkste taak de coördinatie van de terrorismebestrijding, waarbij de NCTV geen zelfstandige analysetaken meer uitvoert.
Vodafone Duitsland is door de Duitse privacytoezichthouder BfDI bestraft met een boete van 30 miljoen euro wegens kwetsbaarheden in het authenticatieproces. Deze problemen boden ongeautoriseerde derde partijen toegang tot eSIM-profielen via de "MeinVodafone" online portal en de Vodafone-hotline. Naast deze boete kreeg Vodafone ook 15 miljoen euro aan boetes opgelegd wegens gebrekkige controle over partnerbedrijven die in naam van Vodafone contracten aan klanten verkopen. Dit leidde tot contractfraude door kwaadwillende medewerkers, die fictieve contracten afsloten of bestaande contracten wijzigden. De BfDI heeft echter bevestigd dat Vodafone inmiddels de nodige aanpassingen heeft doorgevoerd in haar processen en systemen om dergelijke risico's te voorkomen. Dit omvat verbeteringen in de selectie en auditing van partnerbedrijven, waarbij de samenwerking met frauduleuze partners is stopgezet.
Cryptobeurs Coinbase was al in januari op de hoogte van een datalek bij een helpdeskbedrijf dat klantgegevens had gelekt. Dit datalek bleek verbonden te zijn met een groter incident waarbij malafide helpdeskmedewerkers klantgegevens doorgaven aan criminelen. Deze gebruikten de gegevens om klanten op te lichten en Coinbase af te persen. Ondanks dat Coinbase hier in januari van op de hoogte was, werd het incident pas op 15 mei openbaar gemaakt, waarbij het bedrijf meldde dat gegevens van 70.000 klanten waren gelekt. De oorzaak bleek fraude door voormalige medewerkers van het helpdeskbedrijf, dat inmiddels duizenden werknemers ontsloeg. Coinbase schat dat de schade tussen de 180 en 400 miljoen dollar ligt, deels als gevolg van de compensatie aan klanten die slachtoffer werden van oplichting. Coinbase heeft inmiddels de samenwerking met het betrokken helpdeskbedrijf beëindigd.
Bijna drieduizend klanten van het outdoormerk The North Face zijn het slachtoffer geworden van een credential stuffing-aanval. Hierbij werden hergebruikte e-mailadressen en wachtwoorden gebruikt om toegang te krijgen tot accounts. Het lijkt erop dat de aanvallers voornamelijk geïnteresseerd waren in de loyaliteitspunten van klanten, die gebruikt kunnen worden voor kortingen op aankopen. De aanval kwam voort uit het hergebruik van wachtwoorden door de klanten, wat de kans vergrootte dat aanvallers toegang kregen tot meerdere accounts. The North Face meldde dat 2861 klanten getroffen waren, waarbij de aanval vooral plaatsvond in de VS en Canada, waar het merk een loyaliteitsprogramma aanbiedt. Dit is niet de eerste keer dat het bedrijf te maken heeft met dergelijke aanvallen; in eerdere jaren werden klanten ook al slachtoffer van credential stuffing. Het hergebruiken van wachtwoorden blijft een groot risico voor online veiligheid.
De Britse belastingdienst HMRC is slachtoffer geworden van een grootschalige phishingaanval waarbij criminelen ongeveer 56 miljoen euro hebben buitgemaakt. Door middel van phishing verkregen de daders toegang tot bestaande belastingaccounts of creëerden ze nieuwe accounts op naam van burgers zonder online profiel. Vervolgens dienden ze frauduleuze belastingteruggaven in.
In totaal zijn de accounts van circa 100.000 Britten gecompromitteerd. HMRC heeft deze accounts inmiddels geblokkeerd en de inloggegevens gereset om verdere ongeautoriseerde toegang te voorkomen. Getroffen burgers worden de komende weken geïnformeerd. Volgens HMRC zullen zij geen financiële schade ondervinden van het incident.
De aanval wordt beschouwd als een georganiseerde criminele actie waarbij gebruik is gemaakt van eerder verkregen persoonlijke gegevens. Er is geen sprake van een directe hack van HMRC-systemen. Het onderzoek naar de daders loopt nog en heeft al tot enkele arrestaties geleid.
Ticketmaster, een wereldwijd toonaangevend bedrijf voor ticketverkoop en -distributie, is recentelijk het slachtoffer geworden van een ransomware-aanval. De aanval is uitgevoerd door de cybercriminele groep Arkana. Ticketmaster heeft bevestigd dat het incident hen heeft getroffen, maar heeft verdere details over de impact en het getroffen datalek niet openbaar gedeeld. Ransomware-aanvallen zoals deze kunnen bedrijven ernstig schaden, zowel financieel als qua reputatie. Het is belangrijk dat organisaties blijven investeren in cybersecurity om zichzelf te beschermen tegen dergelijke dreigingen.
Het Deense ministerie voor Digitalisering heeft aangekondigd Windows en Microsoft Office 365 te vervangen door Linux en LibreOffice. De helft van de medewerkers zal in juli al op deze systemen werken, met de ambitie om het ministerie "Microsoftvrij" te maken tegen de herfst. Minister Caroline Stage gaf aan dat ze persoonlijk wil zien hoe de overstap verloopt, maar benadrukte dat het ministerie terug kan schakelen naar Microsoft als het systeem niet naar behoren functioneert. Ze is echter optimistisch over het succes van de overstap, verwijzend naar de vele gebruikers van LibreOffice. De minister is bovendien bezig met een nieuwe digitaliseringsstrategie, die als basis moet dienen voor het beschermen van de digitale toekomst van Denemarken.
Google Cloud en Cloudflare onderzoeken momenteel wijdverspreide storingen die de toegang tot websites en verschillende diensten in meerdere regio's beïnvloeden. Cloudflare meldde aanvankelijk problemen met authenticatiefuncties en de WARP-connectiviteit, veroorzaakt door een storing bij Google Cloud. Beide bedrijven werken aan het herstellen van de getroffen diensten, waarbij Google zijn infrastructuur in vrijwel alle regio's heeft hersteld, behalve in de regio us-central1. Daarnaast ervaren gebruikers problemen met Google Workspace-diensten zoals Gmail, Google Drive en Google Meet. De problemen leidden tot tienduizenden meldingen via storingsmonitoren, en ook andere platforms zoals Spotify en Discord ondervonden beperkte toegang. De bedrijven verwachten snel herstel van de meeste diensten, hoewel er nog een klein aantal resterende problemen zijn.
Cloudflare heeft bevestigd dat de grote storing op 12 juni niet werd veroorzaakt door een beveiligingsincident en dat er geen gegevens verloren zijn gegaan. De storing begon rond 17:52 UTC, toen het Workers KV-systeem volledig offline ging. Dit systeem is cruciaal voor Cloudflare's serverless platform en zorgt voor de opslag en levering van gegevens. De storing had brede gevolgen, waaronder problemen bij Google Cloud Platform en andere diensten die door miljoenen mensen werden gebruikt. Cloudflare heeft het incident toegeschreven aan een storing in de opslaginfrastructuur van een externe cloudprovider. Als reactie op de storing zal Cloudflare de afhankelijkheid van derden verminderen en de opslaginfrastructuur migreren naar eigen systemen. De onderneming zal ook maatregelen nemen om toekomstige uitvallen sneller te kunnen herstellen en secundaire storingen te voorkomen.
Vakantieboekingen via het internet zijn populair, maar vormen ook een risico op oplichting. Cybercriminelen zetten nepwebsites en valse aanbiedingen op om consumenten te misleiden. Vaak lijken deze sites legitiem, maar zodra je betaalt, blijkt de vakantie niet te bestaan. De oplichters gebruiken gestolen foto's, vervalsen keurmerken en bieden extreem lage prijzen aan om slachtoffers te lokken. Om jezelf te beschermen, is het belangrijk om altijd de URL van een website te controleren, naar reviews te zoeken en te kijken of de site een geldig beveiligingscertificaat heeft. Daarnaast is het raadzaam om veilige betaalmethoden te gebruiken, zoals creditcards, die extra bescherming bieden. Als je slachtoffer wordt, meld het dan bij de Fraudehelpdesk en bewaar alle documenten en communicatie. Door bewust te zijn van de gevaren en de juiste voorzorgsmaatregelen te nemen, kun je oplichting voorkomen.
Op donderdag 12 juni 2025 ondervond Google Cloud een ernstige storing die wereldwijd miljoenen gebruikers trof en veel online diensten ontregelde. De storing, die meer dan drie uur duurde, werd veroorzaakt door een probleem met het API-beheersysteem van Google Cloud. Dit systeem faalde door ongeldige gegevens, wat resulteerde in het afwijzen van externe API-aanvragen. De fout werd pas laat ontdekt door een gebrek aan effectieve test- en foutoplossingssystemen. Google legde uit dat de storing het gevolg was van een onjuiste automatische quotumupdate in het systeem, die wereldwijd werd verspreid. Na het omzeilen van deze fout werd de meeste regio's binnen twee uur hersteld, maar sommige producten hadden tot een uur na de herstelpoging nog last van achterstanden. De storing had ook invloed op platforms zoals Spotify, Discord en Snapchat, die gebruikmaken van Google Cloud.
Uit onderzoek blijkt dat het Zwitserse telecombedrijf Fink Telecom Services sms berichten verzendt voor duizenden bedrijven waaronder grote techbedrijven en daardoor toegang kan hebben tot miljoenen verzonden tweefactorauthenticatiecodes. Dat risico kwam aan het licht nadat onderzoekers honderd miljoen datapakketten analyseerden die via het netwerk van Fink werden verstuurd waarbij zij miljoenen beveiligingscodes terugvonden. Een afzonderlijk lek toonde ruim een miljoen 2fa berichten uit juni 2023. Er zijn zorgen omdat de oprichter van Fink eerder samenwerkte met inlichtingendiensten wat twijfel oproept over de bescherming van gebruikersgegevens. Fink stelt dat het de inhoud van berichten juridisch niet mag inzien en zegt niet langer surveillanceactiviteiten te verrichten. Techbedrijven zoals Google Amazon en Meta geven aan dat zij niet rechtstreeks met Fink werken maar leveranciers zullen vragen om Fink te vermijden. Privacyexperts benadrukken dat sms voor 2fa onveilig is en pleiten voor overstap naar veiligere methoden zoals authenticator apps. Bron
Demissionair minister Van Weel heeft de Tweede Kamer meegedeeld dat de omzetting van de Europese nis2 richtlijn naar Nederlandse wetgeving opnieuw vertraging oploopt. De eerder beoogde inwerkingtreding in het derde kwartaal van 2025 is niet langer haalbaar, waardoor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten nu pas in het tweede kwartaal van 2026 worden verwacht. Volgens de minister is het omvangrijke en complexe traject de belangrijkste oorzaak van de vertraging maar hij benadrukt dat de parlementaire behandeling zo snel mogelijk moet plaatsvinden omdat Nederland de omzettingsdeadline van 18 oktober 2024 al heeft gemist en de geopolitieke spanningen oplopen. Nis2 vervangt de richtlijn uit 2016 en breidt de eisen uit naar meer sectoren zoals energie vervoer banken gezondheidszorg digitale infrastructuur openbaar bestuur en ruimtevaart. Daarnaast verplicht de richtlijn tot strengere rapportage meer toezicht een gezamenlijke kwetsbaarheidsdatabase en betere samenwerking tussen lidstaten. Ook negentien andere EU landen zijn nog niet klaar.
Nieuw onderzoek van Infoblox Threat Intel heeft een geheime alliantie blootgelegd tussen cybercriminaliteitsgroepen zoals VexTrio en AdTech-bedrijven zoals Los Pollos, Partners House en RichAds. Deze ontdekking volgde na een verstoring van het Traffic Distribution System (TDS) van VexTrio, wat leidde tot verschuivingen naar een ander, eerder verborgen systeem. Malwaregroepen, waaronder DollyWay, schakelden over op een TDS genaamd Help, dat diep verbonden is met VexTrio. Onderzoekers ontdekten dat de verschuiving van malware naar dit netwerk aanwijzingen gaf voor een nauwe samenwerking en gedeelde infrastructuur tussen AdTech-bedrijven en cybercriminelen. De onthulling toont de groeiende complexiteit van cybercriminaliteit, waarbij het moeilijker wordt om legitieme van kwaadaardige operaties te onderscheiden. Dankzij samenwerking tussen verschillende beveiligingsgroepen kan echter steeds beter bescherming worden geboden tegen dergelijke bedreigingen.
Het wetsvoorstel voor de Cyberbeveiligingswet (Cbw) is onlangs ingediend bij de Tweede Kamer. De regering streeft naar inwerkingtreding van de wet en bijbehorende regelgeving in het tweede kwartaal van 2026, hoewel de daadwerkelijke uitvoering afhankelijk is van de voortgang van de parlementaire behandeling. Tot de Cbw in werking treedt, zijn er nog geen verplichtingen voor organisaties volgens de NIS2-richtlijn, maar er zijn wel rechten, zoals het ontvangen van bijstand bij incidenten van een Computer Security Incident Response Team (CSIRT). Organisaties kunnen zich alvast vrijwillig registreren voor toegang tot de diensten van het Nationaal Cyber Security Centrum (NCSC). Daarnaast wordt er gewerkt aan de algemene maatregel van bestuur en ministeriële regelingen die specifieke bepalingen, zoals drempelwaarden voor incidentmeldingen, bevatten.
Scania, de Zweedse fabrikant van vrachtwagens en bussen, heeft bevestigd dat het slachtoffer is geworden van een cyberaanval waarbij gehackte inloggegevens werden gebruikt om toegang te krijgen tot hun financiële systemen. De aanvallers stalen verzekeringsclaims en dreigden deze online te lekken, tenzij hun eisen werden ingewilligd. Het incident vond plaats op 28 mei 2025, toen een aanvaller de gegevens van een externe IT-partner gebruikte om het systeem te compromitteren. De gestolen documenten bevatten waarschijnlijk gevoelige persoonlijke en financiële informatie. De aanvallers contacteerden Scania-medewerkers via e-mail en publiceerden later delen van de gestolen data op hackerfora. Scania heeft het incident gemeld bij privacyautoriteiten en stelt dat de impact van de aanval beperkt was. De getroffen applicatie is inmiddels offline gehaald en er wordt een onderzoek naar het incident uitgevoerd.
De Zwitserse bank UBS heeft bevestigd dat de persoonlijke gegevens van meer dan 130.000 medewerkers zijn gestolen tijdens een cyberaanval. De gegevens omvatten namen, e-mailadressen, telefoonnummers, functies en andere werkgerelateerde informatie. De aanval vond plaats via de inkoopdienstverlener Chain IQ, waarbij niet alleen UBS werd getroffen, maar ook negentien andere bedrijven. De aanvallers zouden meer dan 1,9 miljoen bestanden hebben buitgemaakt, goed voor 900 gigabyte aan data. De identiteit van de aanvallers en de specifieke methode van toegang zijn echter nog onbekend. Dit incident benadrukt opnieuw de kwetsbaarheid van externe leveranciers en de grote impact van ransomware-aanvallen op bedrijven wereldwijd.
Zorgverlener Pluryn heeft onlangs een onbeveiligde usb-stick verloren die gegevens bevatte van zowel huidige als voormalige cliënten en medewerkers. De eerste inschatting is dat het gaat om persoonlijke gegevens, waaronder namen, adressen en BSN-nummers. Pluryn biedt zorg aan mensen met een beperking, jeugdzorg en geestelijke gezondheidszorg, en is nog bezig met het onderzoeken van het datalek. De usb-stick is tot op heden niet teruggevonden, wat het risico vergroot dat de gegevens in verkeerde handen terechtkomen. Pluryn heeft een voorlopige melding van het incident gedaan bij de Autoriteit Persoonsgegevens en is bezig om de betrokkenen te informeren. De zorgorganisatie heeft geen details gegeven over waarom de gegevens op een onbeveiligde usb-stick stonden, hoewel zij normaal gesproken claimen de gegevens veilig op te slaan en alleen te delen wanneer dat noodzakelijk is voor de zorgverlening of wettelijk verplicht is.
Steeds vaker maken oplichters gebruik van kunstmatige intelligentie (AI) om documenten te vervalsen en valse verzekeringsclaims in te dienen. Dit kan variëren van vervalste doktersverklaringen tot nepbonnen voor beschadigde producten. Vroeger moesten fraudeurs met complexe software zoals Photoshop werken, maar tegenwoordig kunnen ze eenvoudig AI-tools gebruiken om documenten te manipuleren. Een opvallend voorbeeld betreft een man die valse vakantiekosten claimde bij meerdere verzekeraars, waardoor er 150.000 euro werd uitgekeerd. Andere gevallen betreffen vervalste schadeclaims voor tuinsets en televisies. Verzekeraars nemen deze fraude serieus, want het kan leiden tot ernstige gevolgen, zoals het stopzetten van verzekeringen en het betalen van onderzoekskosten. Het Verbond van Verzekeraars erkent het probleem, maar heeft geen volledig inzicht in de omvang van fraude met behulp van AI.
Het internet speelt een grote rol in de online radicalisering van jongeren, die vaak via sociale media en gamingplatforms in aanraking komen met extremistische ideologieën. Vooral jongeren tussen de 12 en 17 jaar lopen risico om zich te verliezen in deze netwerken, die zowel jihadistische als rechts-extremistische ideeën verspreiden. Deze ideeën worden vaak subtiel gepromoot door algoritmes, waardoor jongeren zonder het te beseffen verder in de radicaliseringsproces terechtkomen. De dreiging is niet alleen theoretisch, maar heeft geleid tot daadwerkelijke gewelddadige acties, soms door jongeren die zelfstandig optreden. De overheid en maatschappelijke organisaties werken samen om jongeren te beschermen tegen radicalisering, door hun digitale weerbaarheid te versterken en gerichte interventies te bieden. Het is belangrijk om vroeg in te grijpen, zodat jongeren niet verder radicaliseren en betrokken raken bij gewelddadig extremisme.
Het demissionaire kabinet verwacht dat begin volgend jaar de herziening van de Wet op de Inlichtingen- en Veiligheidsdiensten 2017 (Wiv 2017), ook wel bekend als de "Sleepwet", ter consultatie kan worden aangeboden. De herziening is nodig omdat de wet op verschillende punten tekortschiet, wat blijkt uit de evaluatie van 2021. De vernieuwde wet zal meer aandacht besteden aan het ondersteunen van de krijgsmacht en de voorwaarden waaronder inlichtingen kunnen worden verzameld. Een belangrijke wijziging is dat de gebruikte inlichtingenmiddelen niet langer bepalend zijn voor de voorwaarden, maar de specifieke context en het doel van de verzamelde gegevens. Daarnaast wordt er gekeken naar nieuwe manieren voor het toetsen van de inzet van bevoegdheden, waarbij drie scenario's in overweging worden genomen. Het wetsvoorstel wordt begin 2026 verwacht.
Nederlanders die deze zomer naar Frankrijk reizen, moeten goed opletten bij het gebruik van de Flux Libre-snelwegen. Dit systeem voor automatische betalingen via een elektronische tag maakt het makkelijker om door tolpoorten te rijden. Echter, criminelen sturen valse herinneringsberichten naar bestuurders, waarin wordt gevraagd om een openstaande betaling te voldoen. Deze berichten lijken afkomstig van bedrijven zoals Vinci of Ulys en bevatten officiële logo's. De berichten leiden vaak naar een valse website waar slachtoffers hun bankgegevens moeten invoeren, waardoor ze slachtoffer worden van fraude.
De oplossing is eenvoudig: het gebruik van een telepéage-badge, die automatische betalingen mogelijk maakt en voorkomt dat valse herinneringen verschijnen. Dit apparaat is vaak goedkoper dan het betalen van tol per keer, en voorkomt dat je onterecht wordt aangesproken voor onbetaalde kosten.
In de afgelopen acht jaar is het gebruik van tweestapsverificatie in Nederlandse bedrijven verdubbeld. In 2017 maakte slechts 26 procent van de bedrijven gebruik van deze beveiligingsmaatregel, terwijl dat in 2023 opliep tot 61 procent. Tweestapsverificatie voegt een extra beveiligingslaag toe door naast een wachtwoord nog een andere handeling te vereisen om toegang te krijgen tot systemen. Volgens Rogier Fischer, ethisch hacker en cyberveiligheidsexpert, is deze ontwikkeling positief, hoewel hij suggereert dat er nog veel ruimte voor verbetering is. Vooral kleinere bedrijven lopen achter in hun cyberbeveiliging en lopen risico op aanvallen zoals ransomware of datalekken. Bedrijven met meer dan 250 medewerkers nemen vaker strengere beveiligingsmaatregelen, maar het is belangrijk dat ook kleinere bedrijven deze aanpak omarmen. Het aantal bedrijven dat slachtoffer is van een cyberaanval is in de laatste jaren gedaald.
Systeemfouten bij het koppelen van persoonsgegevens kunnen leiden tot ernstige privacyproblemen en verlies van vertrouwen in overheids- en financiële systemen. Onjuiste koppelingen van gegevens, zoals rekeningnummers aan burgerservicenummers (BSN), kunnen misbruikt worden door oplichters. Dit gebeurt bijvoorbeeld wanneer een kwaadwillende het BSN van een slachtoffer gebruikt om een ander rekeningnummer te koppelen, waardoor toeslagen of betalingen onterecht worden overgemaakt. Dergelijke fouten kunnen financieel en juridisch schadelijke gevolgen hebben voor burgers, terwijl de afwezigheid van effectieve controles het probleem verergert. Dit ondermijnt het vertrouwen van burgers in de systemen die hun gegevens zouden moeten beschermen. Om deze risico's te verkleinen, zijn verbeteringen in de gegevensvalidatie, betere meldsystemen en strengere controles noodzakelijk. Dit vereist zowel technische als administratieve maatregelen om de privacy van individuen beter te waarborgen en de kans op misbruik te verkleinen.
3 jun 2025
Reading in another language
5 mei 2025
Reading in another language
3 apr 2025
Reading in another language
3 mrt 2025
Reading in another language
3 feb 2025
Reading in another language
Wil je altijd op de hoogte blijven van het laatste cybernieuws? Abonneer je dan op De Cybercrime Podcast. Je ontvangt dagelijks een korte update met betrouwbare informatie over actuele dreigingen, trends en praktische adviezen. De inhoud is zorgvuldig samengesteld door Cybercrimeinfo en eenvoudig te volgen via AI-gegenereerde Nederlandse stemmen. Luister waar en wanneer je wilt via YouTube of Spotify en versterk je digitale weerbaarheid. Abonneren is gratis en zo geregeld.
Steun ons werk met een donatie. Klik hier om te doneren.