Op het eerste gezicht leek het niets bijzonders: een sms om een klein bedrag voor een pakketje te betalen. Natuurlijk is het advies: niet klikken en de sms verwijderen. Maar ze klikten toch. Bewust, want de mannen wilden namelijk hun vaardigheid inzetten om meer over de smishing-software te weten te komen en zo een verschil te maken in de maatschappij. Anderhalf jaar hebben ze onderzoek gedaan op basis van deze sms. Ze ontdekten steeds meer. Hoe de techniek werkte, hoe de daders geld buitmaakten, en wat zij vervolgens deden met al het geld. Het werd een kijkje in de levensstijl van de criminelen. Maar nog belangrijker, en schokkender: ze ontdekten een wereld die veel groter was dan ze in eerste instantie hadden verwacht.

Het bleek niet te gaan om een eenmalige smishinglink. Harrison en Erlend ontdekten dat de software een onderdeel was van een veel grotere criminele operatie. Het werd met een abonnementsmodel doorverkocht aan andere oplichters: “phishing-as-a-service”. Gebruikers betalen per maand en kunnen de software vervolgens zelf aanpassen aan lokale merken om mensen op te lichten. Zo werden in Nederland merken als PostNL, Easypark en Digitaal loket CJIB misbruikt om anderen geld afhandig te maken.

Wie of wat is Darcula? Het softwareprogramma, genaamd “Magic Cat”, was dus speciaal ontworpen voor oplichting. Het wordt wereldwijd door honderden oplichters gebruikt, die een fee betalen aan de ontwerper van Magic Cat. Er zijn al veel pogingen gedaan om hem te vinden. Een Israëlische beveiligingsexpert probeerde het in 2023, maar ontdekte slechts een vreemde naam: Darcula. Vanaf dat moment kwamen er met enige regelmaat meldingen van activiteiten van Darcula en het gebruik van Magic Cat. Berichten van het programma werden door diverse nieuwsoutlets omschreven als een "wijdverbreid probleem". Darcula's ware identiteit bleef echter een mysterie.

Financiële fraude indammen: stap voor stap dichterbij de dader Harrison en Erlend hadden een duidelijk doel: hun vaardigheid inzetten om financiële fraude in te dammen. Door langdurig onderzoek zijn ze erin geslaagd om een heel crimineel netwerk bloot te leggen en de identiteit van Darcula te achterhalen. De zoektocht op basis van de sms ging niet over één nacht ijs. Een aantal cruciale stappen in dit proces:

**1. Toegang tot de admin room van Darcula: **via reverse engineering verkregen de heren toegang tot de centrale adminomgeving van Darcula. Deze admin room toonde realtime data van slachtoffers, zoals creditcardgegevens, namen en adressen. Deze informatie gaf veel inzicht in de schaal van de fraude en de inzet van de software. 2. Inzicht in de volledige toolkit van Magic Cat: mnemonic identificeerde de phishing-software Magic Cat als belangrijkste product van Darcula. Een gebruiksvriendelijke toolkit, met honderden kant-en-klare templates om betrouwbare merken te imiteren. Magic Cat streamt stapsgewijs ingevoerde bankkaartgegevens, kan realtime ingevoerde pincodes inzien en integreert makkelijk met SMS-gateways. Het is kant-en-klare software, die voor de gemiddelde cybercrimineel makkelijk te implementeren is. **3. Omvang van het netwerk in kaart: **mnemonic constateerde dat ongeveer 600 oplichtersgroepen gebruik maakten van Darcula’s tool. Via frauduleuze links die tot zeker 13 miljoen keer zijn aangeklikt, werden de gegevens van zeker 884.000 creditcards buitgemaakt in de periode van 2023-2024.

Het einde van Darcula en Magic Cat? Na de eerste stappen die Harrison en Erlend hebben gezet in het onderzoek aan de hand van de smishing-link, zijn de autoriteiten ingelicht. Ook de Noorse omroep NRK was een belangrijke partner in het onderzoek. Zo vond NRK meer dan 40.000 chatberichten van oplichters die zich met de verkregen inkomsten publiekelijk afficheerden: het gestolen geld ging naar luxe sieraden, exclusieve schoenen, sportwagens en dure diners.

Het onderzoek leidde tot inzichten in de werking en het gebruik van het softwareprogramma én legde de identiteit van de man achter de software bloot. Door technische expertise en ethisch onderzoek is er niet alleen inzicht verkregen in de werkwijze van Darcula, maar werden er ook talloze details in kaart gebracht – van aantallen slachtoffers tot de verantwoordelijke ontwikkelaar. De vraag is: is het blootleggen van dit internationale phishing-netwerk genoeg geweest om het te stoppen? Na de onthulling dit voorjaar wie er achter Magic Cat zat, verdween Darcula en werd het platform gesloten. Maar een ander fraudeplatform, Magic Mouse, won recentelijk juist aan populariteit in de fraudeurswereld. De fraude is net als Magic Cat ook gericht op Europa, blijkt uit technisch onderzoek van NRK en mnemonic.

Harrison en Erlend @ One Conference Op 30 september geven Harrison Sand en Erlend Leiknes een presentatie op ONE Conference, Europa’s belangrijkste cybersecurity event. Harrison onthult hoe hij samen met Erlend deze wereldwijde phishingoperatie heeft ontmaskerd. Door forensische analyse en opensource-intelligentie (OSINT) ontdekten zij de werking van Magic Cat en Darcula, van de imitatie van 236 merken tot de meer dan 30.000 actieve phishingdomeinen en meer dan 884.000 gestolen creditcardgegevens.