Oplichting, dreigingsinformatie

Binnen een netwerk van meer dan 20.000 nepshops

door Stefan Dasic | 18 maart 2026
Gekloonde nepshops

We hebben een uitgebreid netwerk van nepwebwinkels in kaart gebracht, bestaande uit meer dan 20.000 domeinen, tientallen gedeelde IP-adressen en identieke webpagina’s waarop verschillende namen zijn geplakt. Ze hebben maar één doel: je betalingsgegevens en persoonlijke gegevens te stelen. Wat ze allemaal met elkaar verbindt, is een titel van een browsertabblad waar de meeste mensen geen aandacht aan zouden besteden:„Een ongeëvenaard aanbod, speciaal voor jou.“

Glanzende winkelpuien, lege magazijnen

Nepwinkels zijn frauduleuze websites die zijn ontworpen om eruit te zien en aan te voelen als legitieme online winkels. Ze bevatten productoverzichten, merklogo’s, klantbeoordelingen, winkelwagentjes en afrekenpagina’s die er professioneel uitzien. Ze leveren echter nooit wat ze beloven. In sommige gevallen ontvangen slachtoffers helemaal niets. In andere gevallen krijgen ze een goedkope namaakversie die slechts een fractie van de geadverteerde prijs waard is.

Hoe dan ook, het product dat wordt verkocht, zijn jouw gegevens: deze nepwinkels verzamelen je betaalgegevens, factuuradressen en persoonlijke gegevens en verkopen die vervolgens door op criminele marktplaatsen of gebruiken ze direct voor identiteitsfraude.

De omvang van het probleem is explosief toegenomen. Volgens recente gegevens over cyberdreigingen is het aantal oplichtingspraktijken via nepwebwinkels in het eerste kwartaal van 2025 met 790% gestegen ten opzichte van dezelfde periode vorig jaar, deels als gevolg van economische onzekerheid rond handelstarieven, waardoor consumenten op zoek zijn gegaan naar goedkopere alternatieven.

Alleen al tijdens de feestdagen van 2024 hebben onderzoekers meer dan 80.000 nepshops ontdekt, waarvan er vele binnen enkele dagen verdwenen of van naam veranderden. Uit sectorgegevens van eind 2025 bleek dat nepshops goed waren voor 65% van alle bedreigingen die op sociale media werden geblokkeerd, waarbij Facebook YouTube de belangrijkste startpunten YouTube .

Deze activiteiten worden steeds meer op industriële schaal uitgevoerd. Onderzoekers hebben onlangs FraudWear in kaart gebracht, een gecoördineerde campagne waarbij meer dan 30.000 frauduleuze webwinkels betrokken zijn die zich wereldwijd voordoen als meer dan 350 modemerken.

Uit een ander onderzoek kwam BogusBazaar aan het licht, een netwerk dat op een franchisemodel is gebaseerd, waarbij een kernteam zorgde voor het onderhoud van de servers, de betalingsverwerking en de infrastructuur voor sjablonen, terwijl gedecentraliseerde exploitanten daarop afzonderlijke webwinkels opzetten. Dat netwerk heeft sinds 2021 meer dan een miljoen bestellingen verwerkt via 75.000 domeinen.

Nepwinkels zijn succesvol omdat ze inspelen op bekend winkelgedrag: op advertenties klikken, zoekresultaten volgen en terechtkomen op professioneel ogende websites. Daar bovenop oefenen ze psychologische druk uit met tijdelijke aanbiedingen, afteltimers en waarschuwingen dat de voorraad bijna op is.

Dezelfde winkel, andere namen

Tijdens ons onderzoek naar verdachte e-commercedomeinen hebben we een cluster van meer dan 20.000 websites ontdekt die dezelfde infrastructuurpatronen vertonen.

De meesten maakten gebruik van het .shop-topniveaudomein (TLD), dat dankzij de lage registratiekosten en de geloofwaardig klinkende naam een favoriet is geworden onder oplichters. Volgens de gegevens over e-mailbeveiliging van Cloudflare behoort de . extensie tot de top van TLD’s die in verband worden gebracht met spam en kwaadaardige activiteiten.

Uit onderzoek van de broncode van de pagina bleek wat deze websites met elkaar verbindt. Ze draaien allemaal op WordPress en maken gebruik van Sellvia, een legitiem e-commerceplatform uit de VS waarmee gebruikers snel een dropshipping-winkel kunnen opzetten met kant-en-klare sjablonen, productcatalogi en betalingsverwerking.

De webwinkels maken gebruik van de thema’s van Sellvia en halen productafbeeldingen uit hun netwerk. De zes ‘verschillende’ sjablonen die we hebben gezien, zijn in feite slechts twee basisthema’s met cosmetische aanpassingen. Hier volgen enkele voorbeelden, die per paar worden getoond om te laten zien hoe hetzelfde sjabloon er onder totaal verschillende merknamen uitziet.

Afbeelding linksAfbeelding rechts
Afbeelding linksAfbeelding rechts
Afbeelding linksAfbeelding rechts
Afbeelding linksAfbeelding rechts
Afbeelding linksAfbeelding rechts
Afbeelding linksAfbeelding rechts

20.000 domeinen, 36 IP-adressen

Achter de visuele overeenkomsten gaan deze nepwebwinkels schuil achter een gemeenschappelijke infrastructuur. Alle meer dan 20.000 domeinnamen verwijzen naar slechts 36 IP-adressen.

Een dergelijke concentratie is niet gebruikelijk bij legitieme onlinewinkels. Het is een kenmerk van grootschalige fraudecampagnes waarbij één groep de servers en sjablonen beheert, terwijl individuele operators daarop domeinen opzetten.

Een groot deel van deze activiteit concentreert zich rond een klein aantal IP-reeksen, waaronder blokken in de 207.244.x.x- en 23.105.x.x-ruimte. Deze concentratie wijst op een voorkeur voor specifieke hostingproviders en een opzet die is gericht op snelheid: een domein opzetten, een sjabloon koppelen, live gaan.

Dit komt overeen met het franchisemodel dat we ook bij andere netwerken van nepwinkels zien. Een kerngroep beheert de servers, sjablonen en betalingssystemen, terwijl exploitanten domeinnamen registreren en daarop webwinkels opzetten. Als een site wordt gemarkeerd of offline gehaald, neemt een andere site de plaats in.

Maar diezelfde clustering is ook een zwak punt. Als je een klein aantal servers platlegt, kun je duizenden websites offline halen.

Hoe je je kunt beschermen tegen nepshops

Deze nepshops zijn geen zelfstandige bedrijven. Ze maken deel uit van grootschalige, standaardprocedures die zijn opgezet om overtuigend over te komen, snel te handelen en net zo snel weer te verdwijnen.

Als een website je onbekend voorkomt, gehaast overkomt of te mooi lijkt om waar te zijn, behandel hem dan ook zo. Een paar seconden extra om de site te controleren kan voorkomen dat je je geld en je gegevens aan cybercriminelen uit handen geeft.

  • Gebruik browserbeveiliging. Hulpmiddelen zoals Malwarebytes Browser Guard kunnen bekende oplichtingssites blokkeren voordat u bij de kassa komt.
  • Controleer het domein zorgvuldig. Wees op je hoede voor onbekende extensies zoals .shop, .top, .store en .xyz, vooral in combinatie met algemene namen die op een merknaam lijken. Als je nog nooit van de webwinkel hebt gehoord, is dat een eerste waarschuwing.
  • Wees op je hoede voor enorme kortingen. Als een artikel overal elders uitverkocht is, maar op een onbekende website sterk afgeprijsd wordt aangeboden, is dat een lokkertje.
  • Let op webshops die elkaar klakkeloos kopiëren. Als meerdere sites onder verschillende namen dezelfde lay-out, productafbeeldingen en banners hebben, gebruiken ze waarschijnlijk dezelfde sjabloon. Legitieme winkels werken niet op die manier.
  • Zoek naar onafhankelijke beoordelingen. Zoek op de naam van de winkel met termen als ‘beoordeling’ of ‘oplichting’. Als de enige resultaten de website zelf zijn, zegt dat al genoeg.
  • Luister naar je gevoel. Als er iets niet klopt, stop dan. Voer je betalingsgegevens niet in alleen maar om te ‘kijken wat er gebeurt’.
  • Gebruik veiligere betaalmethoden. Creditcards bieden betere bescherming dan betaalpassen. Virtuele kaarten of betaaldiensten kunnen een extra beveiligingslaag vormen tussen uw gegevens en de verkoper.

Tip van een expert: Malwarebytes blokkeert deze domeinen als frauduleus.

Indicatoren van compromissen (IOC's)

IP-adressen

  • 108.59.1.151
  • 108,59,12,118
  • 108,59,14,13
  • 108,59,8,97
  • 108.62.0.220
  • 108,62,116,82
  • 108,62,117,45
  • 162.210.195.105
  • 162.210.195.113
  • 162.210.198.37
  • 162.210.199.12
  • 162.210.199.183
  • 162.210.199.235
  • 192.96.200.81
  • 198.7.58.168
  • 198.7.58.87
  • 199.115.115.2
  • 207.244.102.13
  • 207.244.109.109
  • 207.244.126.106
  • 207.244.126.19
  • 207.244.126.21
  • 207.244.67.158
  • 207.244.69.201
  • 207.244.71.143
  • 207.244.89.198
  • 207.244.91.203
  • 23,105,160,43
  • 23.105.172.14
  • 23.105.8.15
  • 23-10-2017
  • 23-10-2019
  • 23.82.11.26
  • 23,82,13,161
  • 23,82,13,34
  • 5,79,69,45

We rapporteren niet alleen over zwendel, we helpen ook bij het opsporen ervan

Cyberbeveiligingsrisico's mogen nooit verder reiken dan een krantenkop. Als iets u verdacht lijkt, controleer dan of het om oplichting gaat met Malwarebytes Guard. Stuur een screenshot, plak verdachte inhoud of deel een link, tekst of telefoonnummer, en wij vertellen u of het om oplichting gaat of dat het legitiem is. Beschikbaar met Malwarebytes Premium voor al uw apparaten en in de Malwarebytes voor iOS Android.

Over de auteur

Stefan Dasic

Stefan Dasic

Gepassioneerd door antivirusoplossingen is Stefan al vanaf jonge leeftijd betrokken bij het testen van malware en QA van AV-producten. Als onderdeel van het Malwarebytes team is Stefan toegewijd aan het beschermen van klanten en het waarborgen van hun veiligheid.

LAATSTE ARTIKELEN

Insecten
Appel

Apple verhelpt een fout in WebKit waardoor websites toegang konden krijgen tot je gegevens

Maart 18, 2026

Apple heeft een beveiligingsupdate op de achtergrond uitgebracht die in stilte een kwetsbaarheid in WebKit (CVE-2026-20643) verhelpt.

Oplichting
Nepwebsite van Pudgy World

De nepwebsite 'Pudgy World' steelt je cryptowachtwoorden

Maart 17, 2026

De phishing-website staat los van Igloo Inc. en Pudgy Penguins, maar is bedoeld om fans te lokken en hun cryptowachtwoorden te stelen.

Mobiel
Een Trojaans paard op wielen breekt in op het scherm van een smartphone

Google treedt hard op tegen Android die misbruik maken van toegankelijkheidsfuncties

Maart 17, 2026

Malware maakt al jaren misbruik van de toegankelijkheidsfuncties Android. Google heeft dat nu een stuk moeilijker gemaakt.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting