FIOD haalt 800 servers offline achter phishing en desinformatie

De Nederlandse FIOD heeft eind vorige week ruim 800 servers in beslag genomen van een hostingbedrijf dat volgens onderzoekers jarenlang phishing-aanvallen, malware en pro-Russische desinformatie tegen de Europese Unie faciliteerde. Twee Nederlanders — 57 jaar uit Amsterdam, 39 jaar uit Den Haag — zijn aangehouden op verdenking van het overtreden van de sanctiewetgeving. Voor wie zich afvraagt waar de stortvloed aan phishingmails vandaan komt, geeft deze actie een zeldzaam concreet antwoord.

In het kort

– De FIOD nam tussen 22 en 25 mei 800 servers in beslag bij vijf locaties in Enschede, Almere, Dronten en Schiphol-Rijk.
– De infrastructuur was een Nederlandse doorstart van het EU-gesanctioneerde Stark Industries Solutions, een hostingclub die phishing-, malware- en desinformatiecampagnes ondersteunde.
– Twee Nederlandse bestuurders worden vervolgd wegens het ter beschikking stellen van middelen aan een gesanctioneerde entiteit.
– Voor ondernemers betekent dit op korte termijn minder ruis in de inbox — maar criminelen verhuizen snel, dus een degelijk extern spamfilter blijft de eerste verdedigingslijn.

Wat is er precies gebeurd

De Fiscale Inlichtingen- en Opsporingsdienst (FIOD) heeft in drie bedrijfspanden in Enschede en Almere en in datacenters in Dronten en Schiphol-Rijk huiszoekingen verricht. Daarbij werden behalve de 800 servers ook laptops, telefoons en administratieve dossiers meegenomen. Het hostingbedrijf in kwestie werd opgericht op 10 februari 2022, precies twee weken voordat Rusland Oekraïne binnenviel — een timing die volgens onderzoekers geen toeval was.

De moederorganisatie, Stark Industries Solutions, kwam op 20 mei 2025 op de EU-sanctielijst terecht. Vrijwel direct daarna werd een groot deel van de technische infrastructuur overgedragen aan een nieuw opgerichte Nederlandse vennootschap. Volgens de FIOD diende die constructie als dekmantel: de 57-jarige verdachte was bestuurder en enig aandeelhouder, terwijl de 39-jarige bestuurder van een tweede Nederlands bedrijf zorgde voor de internetverbinding tussen de servers.

Waarom dit voor uw inbox uitmaakt

Bulletproof hosting is de spreekwoordelijke groothandel voor cybercrime. Dezelfde servers die nu offline zijn gehaald, leverden volgens veiligheidsonderzoekers infrastructuur voor DDoS-aanvallen, command-and-control van banktrojans én grootschalige phishingcampagnes tegen Europese banken en overheden. Een groot deel van de berichten die door Maq2’s spamfilter dagelijks worden tegengehouden, komt uit precies dit soort netwerken. Dat is geen toeval: criminelen kopen hier hosting omdat klachten niet worden opgevolgd en take-down-verzoeken in de prullenbak verdwijnen.

Een operatie van deze omvang zorgt op korte termijn voor een meetbare daling in spam- en phishingvolume. Tegelijk is het effect helaas tijdelijk. Onderzoekers van onder meer Recorded Future zien al jaren dat dit soort netwerken binnen enkele weken hun infrastructuur reanimeren op andere hosters — vaak weer met Nederlandse of Duitse adressen, omdat de internetbackbone in Noordwest-Europa zo dik is. Cybercrime in Nederland blijft daardoor toenemen, ondanks dergelijke successen.

Wat doet u zelf na zo’n actie?

1. Verwacht een kortdurende dip in phishingvolume, maar verlaag uw waakzaamheid niet — vervangende infrastructuur is meestal binnen twee tot vier weken operationeel.
2. Controleer of uw mailserver gebruikmaakt van een actueel filter dat hostingreputatie meeneemt; ouderwetse blocklists missen nieuwe bulletproof-IP’s vaak weken lang.
3. Train medewerkers opnieuw op de actuele phishingvarianten — Russische campagnes mikken in 2026 vooral op factuur- en HR-aanvragen.
4. Meld verdachte mails aan de Fraudehelpdesk; hun signalen voeden onderzoeken zoals deze.

Veelgestelde vragen

Worden mijn klantgegevens geraakt door deze actie?
Nee. De FIOD heeft uitsluitend criminele hostinginfrastructuur in beslag genomen. Reguliere Nederlandse hostingklanten van bonafide datacenters worden niet getroffen.

Komt er minder phishing in mijn inbox terecht?
Op korte termijn (een tot drie weken) wel. Verschillende botnets en phishingkits draaiden op deze servers en moeten eerst verhuisd worden voordat ze weer in volume mailen.

Hoe weet ik of mijn bedrijf is benaderd vanaf deze servers?
Vraag uw IT-leverancier om logbestanden van afgewezen mails te controleren op IP-ranges die met Stark Industries Solutions of WorkTitans worden geassocieerd. Het Nationaal Cyber Security Centrum publiceert IOC-lijsten zodra deze beschikbaar zijn.

Lees ook

Achtergrond bij dit soort campagnes vindt u in onze toelichting op wat phishing precies is, en in tien tips om spam te voorkomen. Ondernemers die hun werkwijze willen aanscherpen, lezen zes tips voor veiligheid online. Officieel commentaar over deze inbeslagname leest u in het persbericht van de FIOD.