DORDRECHT – De politie heeft op 10 februari een 21-jarige man uit Dordrecht aangehouden in een cybercrimeonderzoek van Team Cybercrime Oost-Brabant. De man wordt ervan verdacht een systeem te hebben verspreid waarmee eenmalige wachtwoorden konden worden onderschept. Hij is de derde verdachte die binnen dit onderzoek is aangehouden.

Eerder, in april en augustus 2025, werden al de ontwikkelaar en medeontwikkelaar van het systeem opgepakt. Het systeem, bekend onder de naam JokerOTP, betreft een zogenoemde one-time password-bot. De Dordtenaar zou de bot via een Telegramaccount hebben verkocht aan andere cybercriminelen. Ook had hij zelf licentiesleutels van de bot in bezit.

Zo werkte de JokerOTP-bot

Een one-time password (OTP) is een tijdelijk wachtwoord dat slechts één keer gebruikt kan worden voor authenticatie. Deze extra beveiligingslaag wordt vaak ingezet bij online transacties of inlogprocessen. De code wordt meestal via sms of e-mail verzonden en vervalt na gebruik of na korte tijd.

Met de JokerOTP-bot konden slachtoffers geautomatiseerd worden gebeld. Tijdens zo’n telefoongesprek werd hun verteld dat criminelen probeerden in te loggen op hun account. Vervolgens vroeg de bot het slachtoffer om het eenmalige wachtwoord in te toetsen. In werkelijkheid kregen de cybercriminelen zo toegang tot het account van het slachtoffer.

Anouk Bonekamp, teamleider van Team Cybercrime, licht toe:
‘Slachtoffers werden door de bot geautomatiseerd gebeld met de mededeling dat criminelen probeerden toegang te krijgen tot hun account. De bot vroeg vervolgens om het eenmalige wachtwoord in te toetsen. Slachtoffers denken dat ze zichzelf beschermen door mee te werken aan het verstrekken van informatie. Daarmee wordt ingespeeld op gevoelens van onzekerheid en angst. Terwijl zo’n eenmalig wachtwoord juist bedoeld is om te voorkomen dat kwaadwillenden inloggen op jouw account. Met behulp van de bot kan de tweestapsverificatie worden omzeild en kan de cybercrimineel toegang krijgen tot accounts van slachtoffers, met als doel fraude te plegen.’

Onderzoek nog in volle gang

Het onderzoek van Team Cybercrime Oost-Brabant is nog niet afgerond. In het onderzoek zijn tientallen Nederlandse kopers van de JokerOTP-bot in beeld gekomen. ‘Het doel is om hen uiteindelijk ook op te sporen, zodat het Openbaar Ministerie hen kan vervolgen,’ aldus Bonekamp. ‘Zij kopen doelbewust een tool waarmee ze slachtoffers kunnen oplichten. Zo krijgen ze bijvoorbeeld toegang tot een app voor online beleggen of een webshopaccount om vervolgens dure spullen te bestellen, waarvan de rekening bij het slachtoffer terechtkomt. Ze veroorzaken niet alleen financiële schade, maar ook emotionele schade, zoals stress en schaamte.’

Politie: schaamte is niet nodig

Volgens de politie schamen veel slachtoffers zich dat zij slachtoffer zijn geworden van deze vorm van oplichting. ‘Dat is niet nodig,’ benadrukt Bonekamp. ‘Cybercriminelen gaan geraffineerd te werk. Het kan iedereen overkomen.’ De politie waarschuwt om alert te zijn op situaties waarin grote urgentie wordt gecreëerd. Criminelen proberen slachtoffers onder druk te zetten om direct te handelen, bijvoorbeeld door te dreigen dat geld verloren gaat. Wanneer iemand onverwacht vraagt om een wachtwoord, pincode of een eenmalige code door te geven, moeten alarmbellen gaan rinkelen. Daarnaast adviseert de politie om te controleren of persoonlijke gegevens mogelijk zijn gelekt via websites als haveibeenpwned.com en politie.nl/checkjehack.

Het Openbaar Ministerie beslist op een later moment over de verdere vervolging van de verdachte.