Datalekken, informatie over bedreigingen

Een kijkje in het dark web: gestolen identiteiten voor 95¢, malware en oplichting in opdracht

door Malwarebytes Labs | 23 juni 2026
Dark web
Toevoegen als voorkeursbron op Google

De meeste mensen hebben wel eens van het dark web gehoord, maar slechts weinigen begrijpen hoe het er eigenlijk uitziet of wat er zich daar afspeelt. Om feit van fictie te scheiden, heeft ons onderzoeksteam 48 uur lang het dark web uit eerste hand verkend en onze bevindingen vastgelegd.

Het dark web is niet per definitie slecht. Het dient ook legitieme doelen en biedt privacy aan journalisten, klokkenluiders, activisten en anderen die anoniem moeten communiceren. Om er toegang toe te krijgen, is doorgaans de Tor-browser nodig, en een aantal gerenommeerde organisaties beheert officiële dark web-sites. Zo is de nieuwswebsite van de BBC bijvoorbeeld bereikbaar via het volgende Tor-adres: http://bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6aucdccrad.onion

Maar naast deze legitieme toepassingen bestaat er ook een bloeiend crimineel ecosysteem.

Wat we ontdekten, was een georganiseerde, actieve ondergrondse economie die op manieren functioneert die de meeste mensen zich niet kunnen voorstellen. Cybercriminelen werken niet alleen. Ze komen samen op ondergrondse cybercriminaliteitsforums waar ze nieuwe aanvalsmethoden bespreken, technieken uitwisselen en samenwerken om mensen over de hele wereld aan te vallen.

Zie het niet zozeer als een donker steegje, maar meer als een professioneel netwerk voor cybercriminelen.

WWH is een Russischtalige community die zichzelf profileert als een ontmoetingsplaats voor professionals
WWH is een Russischtalige community die zichzelf profileert als een ontmoetingsplaats voor professionals
Meer dan 115.000 leden op het ondergrondse forum Dark Forums, een knooppunt voor gestolen gegevens en hacktools
Meer dan 115.000 leden op het ondergrondse forum Dark Forums, een knooppunt voor gestolen gegevens en hacktools

Naast deze forums kwamen we ook gespecialiseerde marktplaatsen voor cybercriminaliteit tegen. Deze werken als online winkels waar hackers fraudeurs allerlei gestolen digitale goederen kunnen kopen en verkopen, van gestolen inloggegevens tot hacktools, waarbij alle transacties anoniem plaatsvinden met behulp van cryptovaluta.

Leuk weetje: veel van deze marktplaatsen zijn vernoemd naar bekende publieke figuren, waaronder de Amerikaanse president Donald Trump.

Een advertentie van de „Donald Trump Store“ voor gestolen creditcardgegevens
Een advertentie van de „Donald Trump Store“ voor gestolen creditcardgegevens

Het kompas voor het dark web

Cybercriminelen komen uit alle hoeken van de wereld, en net als elke andere wereldwijde gemeenschap hebben ze een manier nodig om elkaar te vinden. Daar komen linkboards om de hoek kijken.

Linkboards zijn overzichten waarin honderden undergroundforums en marktplaatsen zijn verzameld. Ze zijn ingedeeld per taal en fungeren als een kompas voor het dark web.

Een cybercrimineel kan actief zijn binnen een gemeenschap waar zijn moedertaal wordt gesproken, of zich aansluiten bij grotere Engelstalige forums die een internationaal publiek aantrekken.

Niet alle forums hebben echter evenveel invloed. In 2026 concentreert de gemeenschap zich grotendeels rond toonaangevende platforms zoals BreachForums en DarkForums. Meer exclusieve Russischtalige forums, zoals Exploit en XSS, trekken doorgaans enkele van de meer geavanceerde cybercriminelen uit de onderwereld aan.

De Link-Base-directory
De Link-Base-directory

Gecompromitteerde gegevens: uw gegevens zijn mogelijk al in omloop

De meeste mensen hebben geen idee hoeveel van hun persoonlijke gegevens er al op het dark web in omloop zijn. In veel gevallen is de eerste uitdaging simpelweg om erachter te komen of je gegevens überhaupt al zijn gelekt. Je kunt hier controleren of dat bij jou het geval is.

Om de omvang van het probleem te begrijpen, is het nuttig om wat er algemeen bekend is te vergelijken met wat we onder de oppervlakte hebben ontdekt.

Openbaar gemelde datalekken vormen slechts een deel van het verhaal. Sinds begin 2026 hebben Malwarebytes meer dan 7.500 gecompromitteerde datasets geïdentificeerd, die samen meer dan 8,4 miljard records bevatten. Het gaat hierbij om gegevens die zijn gestolen bij datalekken, verzameld via phishingcampagnes, afgeschraapt van online diensten en blootgesteld door verkeerd geconfigureerde systemen.

Tot de getroffen organisaties behoren bekende namen als SoundCloud, ADT, Hallmark, Amtrak, Vimeo en Instagram.

Maar hoe veelzeggend die cijfers ook zijn, ze geven slechts een deel van het beeld weer.

Een gedeelte van DarkForums gewijd aan gelekte databases
Een gedeelte van DarkForums gewijd aan gelekte databases

Toen we de rubriek ‘databases’ op DarkForums, een van de meest actieve platforms in de onderwereld, onder de loep namen, vonden we 63 pagina’s met vermeldingen die sinds begin 2026 waren geplaatst. Met 20 vermeldingen per pagina komt dat neer op meer dan 1.200 kleine en middelgrote datalekken, waarvan de meeste nooit in het nieuws zijn gekomen.

Op BreachForums was het beeld vergelijkbaar. Sinds het begin van het jaar zijn er op het platform 37 pagina’s met databaselijsten bijgekomen, die elk 20 vermeldingen bevatten, waardoor er meer dan 700 extra gehackte databases zijn toegevoegd aan de toch al enorme verzameling gestolen gegevens.

Als je alles bij elkaar optelt, blijken de openbaar gemelde datalekken slechts het topje van de ijsberg te zijn. Een groot deel van de gestolen persoonsgegevens die online worden verhandeld, wisselt stilletjes en buiten het zicht van het publiek van eigenaar.

Typische forumpagina met een overzicht van gelekte gegevens
Typische forumpagina met een overzicht van gelekte gegevens

Amerikaanse identiteitsgegevens te koop

Een van de meest gewilde handelswaar in de onderwereld van de cybercriminaliteit is wat hackers ‘fullz’ hackers : een compleet pakket met identiteitsgegevens van een echt persoon. In 2026 blijven Amerikaanse identiteiten bijzonder waardevol vanwege de financiële infrastructuur van het land, de hoge kredietlimieten en het brede scala aan diensten die voor fraude kunnen worden misbruikt.

Een typisch ‘fullz’-pakket bevat een volledige naam, een sofinummer (SSN), een geboortedatum, een adres en andere persoonlijke gegevens. In verkeerde handen vormt deze informatie een kant-en-klare toolkit voor identiteitsfraude. Hiermee kunnen cybercriminelen frauduleuze kredietrekeningen openen, valse belastingaangiften indienen, toegang krijgen tot financiële rekeningen of zelfs medische diensten afnemen onder andermans naam.

Wat ‘fullz’ bijzonder gevaarlijk maakt, is dat slachtoffers vaak pas lang nadat de schade is aangericht doorhebben dat hun identiteit is misbruikt. Soms is dat pas maanden of zelfs jaren later, wanneer incassobureaus contact opnemen of een kredietaanvraag onverwacht wordt afgewezen.

Het is geen verrassing dat de VS nog steeds een van de landen is die het meest het doelwit zijn van identiteitsdieven. Alleen al in de eerste drie kwartalen van 2025 werden meer dan 1,15 miljoen gevallen van identiteitsdiefstal gemeld bij de Federal Trade Commission (FTC), waarmee het totale aantal meldingen uit heel 2024 nu al is overschreden.

Tijdens ons onderzoek kwamen we 9-Digits Market tegen, een van de vele marktplaatsen op het dark web die gespecialiseerd zijn in de verkoop van gestolen identiteitsgegevens. Wat ons opviel, was de prijs. Een compleet identiteitsprofiel uit de VS werd aangeboden voor slechts $0,95.

Voor minder dan de prijs van een kopje koffie kan een cybercrimineel genoeg informatie kopen om iemands financiële situatie volledig te ruïneren.

Marktplaats met 9 cijfers waarop gestolen Amerikaanse identiteiten worden verkocht
Marktplaats met 9 cijfers waarop gestolen Amerikaanse identiteiten worden verkocht

Hoe cybercriminelen malware gebruiken om uw computer aan te vallen

Datalekken zijn niet de enige manier waarop je persoonlijke gegevens op het dark web terechtkomen. Soms ligt de bron veel dichter bij huis: je eigen computer. Tijdens ons bezoek aan het dark web kwamen we de ontwikkelaars tegen achter een bijzonder gevaarlijke categorie malware die bekendstaat als ‘infostealers’, of kortweg ‘stealers’. Het concept is eenvoudig, en dat is mede de reden waarom het zo effectief is.

Zodra een infostealer is geïnstalleerd, doorzoekt deze in het geheim een apparaat op zoek naar alles wat van waarde is. Denk daarbij aan opgeslagen gebruikersnamen en wachtwoorden, gegevens voor automatisch invullen, opgeslagen betalingsgegevens, cryptocurrency-wallets en andere gevoelige informatie. Die gestolen gegevens worden vervolgens teruggestuurd naar de aanvaller.

Hieronder volgt een voorproefje van het STORM-stealer-paneel, waarmee een computer in de VS werd gehackt en 87 combinaties van gebruikersnamen en wachtwoorden van het apparaat werden gestolen.

STORM-infostealer ontdekt op een Russischtalig cybercriminaliteitsforum
STORM-infostealer ontdekt op eenRussischtalig cybercriminaliteitsforum 
Beheerpaneel van STORM infostealer
Beheerpaneel van STORM infostealer
Mogelijkheden van de STORM-infostealer
Mogelijkheden van de STORM-infostealer

Het meest verontrustende is misschien wel hoe toegankelijk dit soort malware is geworden. In 2026 kan elke beginnende cybercrimineel op abonnementsbasis een infostealer huren, zonder dat daarvoor veel technische kennis of een grote financiële investering nodig is. Cybercrime-as-a-service heeft de drempel om hiermee te beginnen drastisch verlaagd.

De STORM-infostealer kan door cybercriminelen worden gehuurd
De STORM-infostealer kan door cybercriminelen worden gehuurd 

De gestolen gegevens worden vervolgens verkocht of gelekt op ondergrondse forums en marktplaatsen. We waren geschokt door de enorme omvang ervan.

Elke dag worden er miljoenen gestolen inloggegevens via deze platforms uitgewisseld. Achter elk van die rijen schuilt een echt persoon, die zich er totaal niet van bewust is dat zijn of haar digitale leven wordt ontleed en verhandeld als een handelswaar.

Databestanden met gelekte gebruikersnamen en wachtwoorden die op het dark web worden gedeeld
Databestanden met gelekte gebruikersnamen en wachtwoorden die op het dark web worden gedeeld 
Correlaties tussen gelekte gebruikersnamen en wachtwoorden die op het dark web worden gedeeld
Correlaties tussen gelekte gebruikersnamen en wachtwoorden die op het dark web worden gedeeld 

Nepbeleggingen en oplichting met cryptovaluta

Niet alle cybercriminaliteit draait om gestolen wachtwoorden of gelekte databases. Sommige criminelen jagen op veel lucratiever winsten via zorgvuldig geplande social-engineering-zwendelpraktijken. Een van de meest geavanceerde en schadelijke voorbeelden die we zijn tegengekomen, waren crypto-investeringszwendels, ook wel bekend als pig butchering’.

De tactiek die hierachter schuilgaat, is uiterst effectief. Criminelen steken veel tijd en moeite in het opbouwen van wat lijkt op een oprechte relatie met hun slachtoffer via datingapps, sociale media of berichtenplatforms.

Ze zijn geduldig, vriendelijk en overtuigend, en weten zo in de loop van dagen of zelfs weken langzaam het vertrouwen van het slachtoffer te winnen. Pas nadat ze dat vertrouwen hebben opgebouwd, leggen ze een ogenschijnlijk aantrekkelijke investeringsmogelijkheid voor. Tegen de tijd dat het slachtoffer doorheeft dat er iets niet klopt, is zijn of haar geld al verdwenen en is de persoon die hij of zij vertrouwde spoorloos verdwenen.

Actieve crypto-oplichtingsoperatie op een dark web-forum
Actieve crypto-oplichtingsoperatie op een dark web-forum 

Tijdens ons onderzoek hebben we een grootschalige cryptofraudeoperatie waargenomen die al volledig operationeel was en zich richtte op nieuwe slachtoffers met gelikte, hoogwaardige nep-investeringsplatforms die specifiek waren ontworpen om slachtoffers voor lange tijd aan zich te binden.

De operatie bood het volgende:

  • Volledige documentatie, scripts en attributen die de geloofwaardigheid versterken. Alles wat nodig is om vanaf dag één een betrouwbare indruk te maken.
  • Zorgvuldig opgestelde communicatiegidsen en handleidingen voor social engineering, bedoeld om slachtoffers psychologisch onder druk te zetten zodat ze hun creditcards tot het maximum gebruiken, leningen aangaan en herhaaldelijk meer geld investeren.
  • Interne ontwikkelingsteams die nep-handelsplatforms bouwen die legitieme beleggingsdiensten nauwkeurig nabootsen.
Lopend oplichtingsproject op een dark web-forum
Lopend oplichtingsproject op een dark web-forum 

Onze onderzoekers zijn er ook in geslaagd toegang te krijgen tot een van deze frauduleuze platforms, en we waren verontrust door de mate van verfijning.

Dit zijn geen amateuristische operaties. Het zijn goed gefinancierde, professioneel geleide criminele organisaties die bedrog als een zakelijke activiteit beschouwen.

Een kijkje achter de schermen bij een echt investeringsfraudeproject
Een kijkje achter de schermen bij een echt investeringsfraudeproject 

In slechts 48 uur tijd hebben we gestolen identiteiten, malware die te huur is, gelekte wachtwoorden en fraudecampagnes op industriële schaal ontdekt. De meeste mensen zullen het dark web nooit bezoeken, maar de gevolgen ervan kunnen hen toch raken via datalekken, malware-infecties en oplichting.

Malwarebytes zich tegen al deze bedreigingen te beschermen. Onze dienst voor het monitoren van datalekken waarschuwt u als uw persoonlijke gegevens in een bekend datalek opduiken. Identity Theft houdt gevoelige informatie in de gaten, waaronder uw burgerservicenummer, terwijl Scam Guard gebruikmaakt van AI-gestuurde detectie om verdachte sms-berichten, e-mails, links en telefoonnummers te identificeren voordat ze schade kunnen aanrichten.

Het dark web gedijt op gestolen informatie. Weten wanneer je gegevens openbaar worden gemaakt, is de eerste stap om hierop te anticiperen.

Over de auteur

Malwarebytes Labs

Malwarebytes Labs

LAATSTE ARTIKELEN

Nieuws
Meta-logo

Meta zet omstreden programma voor het volgen van werknemers tijdelijk stop na een veiligheidsbeoordeling

Juni 23, 2026

Meta heeft zijn controversiële programma voor het volgen van werknemers opgeschort. Helaas was de privacy van de werknemers niet de reden waarom het programma werd stopgezet.

Insecten
D-Link-netwerk

Duizenden D-Link-routers zijn in handen van het AryStinger-botnet

Juni 22, 2026

Duizenden verouderde D-Link-routers zijn opgenomen in het AryStinger-botnet, en er zijn geen toekomstige beveiligingsupdates meer beschikbaar om ze te beschermen.

Oplichting
Waarschuwing voicemail

Oplichting met documentbezorging: wat houdt dit in en wat is het doel ervan?

Juni 22, 2026

Een ogenschijnlijk officieel voicemailbericht bleek een oplichterij te zijn. Lees hier hoe oplichting via de bezorging van documenten in zijn werk gaat en wat u moet doen als u hiermee te maken krijgt.

Toevoegen als voorkeursbron op Google

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting