Gegevens uit datalekken worden zelden in isolatie misbruikt: ze worden gecombineerd, verrijkt en doorverkocht totdat een profiel direct inzetbaar is voor fraude, afpersing of gerichte misleiding. In Nederland werd dat patroon de afgelopen maanden zichtbaar in incidenten rond Basic-Fit en Hallmark, waar gestolen klantdata in korte tijd onderdeel werden van bredere criminele ketens.
Van lek naar verdienmodel
De eerste fase is aggregatie: namen, e-mailadressen, telefoonnummers en soms betaal- of accountgegevens worden samengebracht uit meerdere bronnen. Daarna volgt segmentatie. Criminele netwerken splitsen datasets in doelgroepen, bijvoorbeeld consumenten met abonnementen, zorggerelateerde accounts of zakelijke mailboxen. Dat maakt de opbrengst per record hoger dan bij ruwe bulkdata.
Deze werkwijze sluit aan op recente meldingen op Huurhacker, zoals het bericht over 200.000 getroffen Basic-Fit-klanten en de analyse van het Hallmark-lek met 1,7 miljoen records. In beide gevallen draait de economische waarde niet alleen om het originele incident, maar vooral om de herbruikbaarheid van de data in vervolgfraude.
Hoe de data operationeel wordt ingezet
1. Accountovername en reset-aanvallen
Met gelekte e-mailcombinaties testen aanvallers geautomatiseerd wachtwoordhergebruik. Als een login mislukt, verschuift de aanval vaak naar password-reset, waarbij eerder gelekte persoonsgegevens worden gebruikt om controles te omzeilen.
2. Gerichte social engineering
Wanneer datasetvelden context bevatten, zoals lidmaatschap of leverancier, worden phishingberichten geloofwaardiger. De ontvanger ziet bekende merknamen, juiste aanspreekvormen en actuele referenties. Dat patroon past bij bredere campagnes waarover ook werd geschreven in de update over phishing rond Odido.
3. Doorverkoop en ketenmisbruik
Niet elke actor voert zelf aanvallen uit. Veel groepen specialiseren zich in wederverkoop: opgeschoonde lijsten met hogere nauwkeurigheid worden verkocht aan andere netwerken die zich richten op BEC, identiteitsmisbruik of advertentiefraude.
Een datalek is in de praktijk vaak geen eindpunt maar een grondstofmarkt: dezelfde persoonsgegevens circuleren door meerdere aanvalstypen, telkens met een andere opbrengstlogica.
Waarom dit patroon toeneemt
De schaal groeit doordat automatisering goedkoper wordt en datakoppeling eenvoudiger is. Open source tooling, geautomatiseerde validatie van adressen en snelle distributiekanalen verlagen de drempel voor misbruik. Tegelijk neemt de vraag toe naar datasets die direct bruikbaar zijn in georkestreerde campagnes.
Voor context op het bredere dreigingslandschap verwijzen veel teams naar de periodieke overzichten van ENISA Threat Landscape, waarin data-gedreven aanvalsvormen structureel terugkomen. In combinatie met recente Nederlandse incidenten laat dat vooral een verschuiving zien naar continu hergebruik van eerder gelekte identiteitsdata binnen meerdere criminele workflows.
