Op de eerste foto’s die ik van hem zie, kijkt hij recht in de camera. Uitdagend. Uitnodigend. Het zijn selfies, waarschijnlijk genomen met de computer waar hij een groot deel van de dag achter zit. Op één van de beelden draagt hij een wit hemd. Het moet warm zijn geweest die dag. De zon knalt door de gesloten gordijnen. Hij houdt zijn kin in zijn rechterhand, waardoor het glimmende gouden horloge goed zichtbaar wordt. De man op de foto heeft vele namen.

Een ervan is de mijne.

Heeft Google een telefoonnummer? Een hulpdienst?

Op woensdagochtend 16 juli word ik gebeld door een goede vriendin. Ze vraagt me of ik in Birmingham zit en geld nodig heb. Zo niet, dan is mijn e-mailaccount waarschijnlijk gehackt. Als ik ophang en mijn mail open, wordt mijn Gmail-wachtwoord niet herkend. Wat heb ik allemaal in mijn mail zitten? Wachtwoorden? Bankgegevens? En wie kan ik bereiken voor hulp? Heeft Google een telefoonnummer? Een hulpdienst? Ik zoek, maar vind niks. Ik voel hoe mijn hartslag en ademhaling versnellen.

Precies tien minuten eerder, om 9.56 uur, had de man op de foto met mijn naam ingelogd bij Gmail en mijn wachtwoord gewijzigd. Hoe hij aan mijn gegevens is gekomen, is onduidelijk. Zijn computer staat op 5.109 kilometer afstand van de mijne. Hij woont in Lagos, Nigeria. Hij is degene die mijn account heeft gestolen. Hij is zes jaar jonger dan ik.

Neem contact op met mij

Het bericht dat vanuit Lagos naar al mijn contacten is gegaan - mijn familie, mijn vrienden en zelfs de notaris, die me gelijk opbelde om te vragen of hij zich zorgen moest maken - luidde:

‘Mijn excuus om u op deze manier te moeten vragen. Ik heb een reis naar, Verenigd Koninkrijk gemaakt en mijn tas is toen gestolen, in mijn tas zaten allemaal belangrijke spullen zoals, telefoons, geld en mijn paspoort. De ambassade wil mij helpen door mij te laten vliegen zonder passport. Het enigste wat ik moet doen is een vliegticket kopen en mijn hotel rekeningen betalen. Helaas heb ik geen toegang tot mijn rekeningen zonder mijn credit card. Ik heb contact gezocht met mijn bank, maar ze hebben tijd nodig voor ze mij een nieuwe credit card kunnen geven, Dus wou ik u vragen om mij snel wat geld te lenen dat ik zo snel mogelijk aan u terug geef zodra ik terug ben. Western union is de snelst mogelijke manier om te doen. Ik kan u mijn gegevens sturen over hoe u geld kunt over maken aan mij. U kunt contact opnemen met mij door e-mail of door he bellen van de receptie van het hotel Norwood Hotel +447031804705 of +447.031.802.806. ‪

Ik hoop snel van u te horen. ‪

Met vriendelijke groet,

‪Jair Stein’

Het eerste wat opvalt is het betrekkelijk goede Nederlands. De vriendin die me als eerste belde, twijfelde ook even of het bericht niet tóch van mij kwam: ‘Zo’n zin als ‘In mijn tas zaten allemaal belangrijke spullen,’ dat had jij ook kunnen zeggen.’ Het niveau blijkt inderdaad beter dan wat een gemiddeld vertaalprogramma biedt. Haal de tekst door Google Translate en je krijgt onbegrijpelijke zinnen als:

‘My excuse for you to be asking in this way. I have a trip to United Kingdom. made and my bag was stolen when…’

Hoe kan het dat de man op de foto grammaticaal betrekkelijk goed Nederlands schrijft? En hoe is hij aan mijn persoonlijke gegevens gekomen? Heeft mijn Nigeriaanse alter ego Nederlandse vrienden die hem helpen bij computerinbraken en het betere vertaalwerk?

Ik ben het echt

Met dit soort vragen ben ik nog niet bezig op woensdagochtend. Het eerste uur probeer ik vooral aan Google te bewijzen dat ik de enige echte Jair Stein ben. Ik geef antwoord op een serie beveiligingsvragen die ik ooit zelf heb ingevuld. Ik verstrek mijn andere e-mailadres en mijn telefoonnummer en biecht de naam op van de lerares op wie ik ooit hopeloos verliefd was. Maar ik kom niet overtuigend over. Het telefoonnummer, waarvan de laatste twee cijfers al stonden ingevuld, wordt niet herkend.

Als de Gmail-beveiliging zelfs de naam van mijn lerares niet accepteert, word ik pas echt kwaad.

Dit is zo ontregelend dat ik het nummer in mijn agenda opzoek om te controleren of ik het misschien vergeten ben. Dan blijkt ook mijn tweede e-mailadres incorrect. Als de Gmail-beveiliging zelfs de naam van mijn lerares niet accepteert, word ik pas echt kwaad.

De meeste fraudeurs die via dit soort mails aan geld proberen te komen, stellen hun berichten De bekendste variant zijn de keurig geschreven brieven waarin melding wordt gemaakt van een astronomisch bedrag dat zou toebehoren aan de auteur, maar dat door problemen met de bank niet direct toegankelijk is. Wie bereid is om de auteur te helpen het fortuin te bemachtigen, wordt een significant percentage in het vooruitzicht gesteld.

Hoe overtuigend deze berichten er ook uit kunnen zien en hoeveel mensen er ook intrappen, het lijkt een bewerkelijke manier om aan geld te komen. Er moeten immers vele e-mails overheen, om duidelijk te maken dat de geadresseerde eerst een bedrag moet investeren voordat de beloofde miljoenen geïncasseerd kunnen worden.

Mijn hacker is slimmer

Mijn hacker heeft het slimmer aangepakt. Een roep om hulp, zogenaamd vanuit Birmingham, kan mensen veel sneller in actie brengen. Ik weet dat, omdat met mij vele anderen slachtoffer zijn van dezelfde soort inbraak. Via hen zijn er bedelbrieven uitgestuurd naar duizenden mensen, allemaal met een vergelijkbaar verhaal: Ik zit vast in Birmingham of Leeds, wie kan me helpen?

Daar hoeven maar een paar goedgelovige en behulpzame types tussen te zitten om een hoop geld binnen te halen. Om 10.30 uur belt de vader van mijn vriendin op uit Zweden. Hij vraagt wat hij kan doen om me te helpen weg te komen uit Engeland. Later ontdek ik dat er ook mensen zijn die niet eerst de telefoon pakken en gelijk de portemonnee trekken. Een van de gehackten schrijft op het Helpforum dat een kennis al 1.200 euro heeft overgemaakt. Dit bedrag staat nu op de rekening van onze Nigeriaanse alter ego.

Het voelt alsof er is ingebroken in mijn huis. Alles is weg. De vliegtickets die ik nog niet had uitgeprint. Brieven van vrienden. Alles.

Om 11.00 uur slaag ik er na vele mislukte pogingen in om Gmail te overtuigen van mijn identiteit. Ik stel mijn vrienden per sms gerust, bel mijn moeder dat alles weer in orde is en open mijn mailbox. En dan: Arabisch. De voertaal is veranderd in Arabisch.

Terug naar de zoekmachine dan maar. Eindelijk kom ik terecht bij iets wat lijkt op een helpdesk: Gmail Helpforum. Veel van mijn lotgenoten zijn er al beland en wisselen drama’s uit. Een van hen leidt me als een geblinddoekte door mijn onleesbaar geworden account om de taal te herstellen (‘Klik op het tandwieltje. Klik op het vierde item van onderen…’).

Als het gelukt is, kan ik voor het eerst weer rondkijken in mijn mailbox. Het voelt alsof er is ingebroken in mijn huis. Alles is weg. De vliegtickets die ik nog niet had uitgeprint. Brieven van vrienden. Alles.

Een sadistisch plezier

Met behulp van mijn nieuwe forumvrienden slaag ik erin de verdwenen mails terug te halen, die verstopt blijken te zijn in de prullenmand. Later zie ik dat de hacker op mijn naam een Yahoo-account heeft geopend waar al mijn binnenkomende berichten naar worden doorgesluisd.

Ik weet nog altijd niet hoe hij aan mijn wachtwoord is gekomen, maar ik kan wel zien wat hij precies heeft gedaan. Hij heeft niet alleen mijn wachtwoord, maar de antwoorden op de beveiligingsvragen gewijzigd, door telkens heel treiterig slechts één teken te vervangen.

Dan word ik ineens heel vrolijk. Want ik kan ook zien wie de veranderingen heeft aangebracht. De eerste clue is een ip-adres dat verwijst naar een computer in Nigeria

En dan word ik ineens heel vrolijk. Want ik kan ook zien wie de veranderingen heeft aangebracht. De eerste clue is een ip-adres dat verwijst naar een computer in Nigeria. Nu kan ik op zoek naar gegevens van de hacker.

Het sadistische plezier dat opborrelt bij de gedachte dat je de rollen ook kunt omdraaien, is iets wat meer mensen hebben. Een bevriende collega blijkt om dezelfde reden nog een tijdje te hebben gemaild met mijn hacker, in een poging het hem steeds moeilijker te maken om met goede antwoorden te komen:

‘Ik heb jou/hem nu gevraagd of je/hij wel een goed hotel hebt/heeft. ‘Ik weet nog hoe agressief je kon worden van haren in het doucheputje.’ Haha.’

Zouden de oplichters ook zoveel plezier beleven aan hun werk? Of gaat de lol eraf als je het lang genoeg doet?

In Nigeria is deze vorm van oplichting al sinds de jaren tachtig (toen nog via de post) zo populair dat gesproken wordt van ‘419’-zaken, een getal dat verwijst naar het Nigeriaanse wetsartikel over fraude. In dertig jaar tijd is een bonte verzameling aan lucratieve ideeën ontstaan.

Sommige fraudeurs beweren rashonden- en katten te verkopen, waarna ze steeds meer geld vragen voor vliegtickets, inentingen en douanekosten. Anderen hebben een romantischer inslag en proberen penvrienden te worden met een dame of heer uit het buitenland. Als duidelijk wordt dat de relatie menens is, komt de wens om elkaar eindelijk in levenden lijve te zien. Het enige wat in de weg zit is geld voor een vliegticket of visum.

Levend lokaas

Ook mijn hacker blijkt een romanticus te zijn. Bij zijn ip-adres staat de naam Fred Young vermeld, maar dat blijkt slechts een van zijn vele namen. In een van zijn andere kleurrijke gedaanten deed hij zich voor als Sir General David Richards, een officier wiens identiteit en foto hij voor de gelegenheid had geleend. Op internet zijn lange chatgesprekken te vinden die hij als Richards onderhield met ene Helen. Het was een van de eerste links die ik tegenkwam toen ik zocht op “Fred Young”

‘(…)
0:25:28] Sir General David Richards: i cant wait to meet you
[0:25:30] Helen: I’m thinking of you every minute
[0:25:42] Helen: and can’t wait too
[0:25:49] Helen: when will you come?
[0:26:13] Sir General David Richards: in few weeks time my love
(…)’

Het is een surrealistische conversatie, vooral als je je realiseert dat ook Helen niet is wie ze zegt dat ze is. Helen is het alias van iemand met een opmerkelijke hobby: oplichters oplichten.

Mensen zoals ‘Helen’ noemen zich scam-baiters en sommigen zijn bijna even actief als de fraudeurs zelf. Ze maken er een dagtaak van de oplichters van het werk te houden door zich als levend lokaas op het internet te begeven en de oplichters soms letterlijk op een dwaalspoor te zetten, in vaktermen een ‘scam-bait safari.’

In een berucht geval uit 2008 beloofden drie scam-baiters een Nigeriaanse oplichter 200.000 dollar om een kerk te starten in Nigeria. Hij moest er alleen even voor afreizen naar Tsjaad, waar geld, eten en onderdak voor hem geregeld zouden zijn. De scammers lieten de oplichter naar een dorp komen in een gevaarlijk gebied vol mijnen, rebellen en bandieten. Daar wachtte hij zonder geld of slaapplek af tot het beloofde bedrag door zijn beoogde slachtoffers overgemaakt zou worden. De strafexpeditie

‘Helen’ was minder ambitieus. Zij probeerde haar ‘generaal’ vooral af te leiden en persoonlijke informatie van hem te bemachtigen in een eindeloze liefdeschat, zo wordt duidelijk op de site waar het gesprek geplaatst is.

Dankzij de inspanningen van mensen als ‘Helen’ kan ik meer informatie vinden over mijn hacker. staat zelfs een compleet profiel over zijn rijke scam-verleden. Hij opereert in een groep van gelijkgestemden vanuit zijn huis en internetcafés. Soms zegt hij CEO te zijn van een bedrijf, dan weer is hij eigenaar van een boetiek of een tankstation.

Op deze site kom ik de foto’s tegen waarop hij recht in de camera kijkt, de eerste beelden die ik van hem zie. En er is zelfs een paspoortfoto gepost. De naam die daarop vermeld is: Austin Uwawuike Akonye. Geboren: 22 september 1980 in Mbaise, Nigeria.

Tientallen aliassen

Maar Austin blijkt niet de enige die vanuit Nigeria inbrak in mijn mailbox. Later ontdek ik dat er een tweede computer bij de kraak betrokken was. Aan dit ip-adres zijn twee namen verbonden: Eno-Mfon Ekpe en Deji Somefun. Eno-Mfon is snel gevonden, al gaat ook hij ook onder andere namen door

Tientallen pagina’s zijn te vinden met al zijn aliassen. Een ervan is Vicky, een sexy jonge vrouw uit Spanje op zoek naar een partner. Een ander is Caroline Anderson, een weduwe met terminale kanker die hoopt dat iemand haar miljoenen wil beheren.

Ook van Eno-Mfon vind ik een foto: hij lijkt begin twintig, draagt een blouse met blauwe bloemen en houdt zijn zilveren ketting zo in beeld dat je hem goed kan zien. Net als Austin kijkt hij recht in de lens. Zijn echte naam volgens de scam-baiters: Fasosin Kenneth Dharmmielhorlhar.

Over Deji Somefun, de derde hacker, is relatief weinig te vinden. Wel is duidelijk dat ook hij in talloze gedaanten op zoek is naar de ware liefde. Hij duikt op als de ‘native American’ Andrew Parker, even later als de Zuid-Afrikaanse Victory en dan weer als de Vlaamse Cherry Cole. Dit laatste datingprofiel heeft hij voorzien van (gestolen) foto’s van pornomodel Jodie Gasson. Hij schrijft:

‘I’d like to find someone who’s open, honest and easy going. A sense of humour is a big plus. Ideally we’d have some shared interests and goals, as well as some similarities in opinion about what’s important in life. If you love to laugh, travel and appreciate the warmth of a furry coat and a wet nose, let’s talk things that i would love to do with my man...’

Hoe opereert de scammer?

Volgens het artikel ‘Understanding Cybercrime Perpetrators and the Strategies uitgevoerd door een Nigeriaanse Universiteit, is Lagos wereldwijd het cybercentrum van de internet-scams. De onderzoekers spraken met veertig oplichters. Ze schrijven dat de jongens meestal tussen de 22 en 29 jaar oud zijn en dat ze zich anders gedragen dan hun leeftijdsgenoten.

Ze noemen zichzelf ‘Yahoo-boys,’ dragen opvallende kleren en opzichtige juwelen, rijden in snelle auto’s en scheppen graag op. Sommigen werken alleen, anderen maken deel uit van grotere organisaties en werken in shifts, zodat ze rekening kunnen houden met de tijdsverschillen in andere landen.

Via een kennis die lang fraudezaken deed voor een bank, hoor ik meer details. Er blijken loodsen te bestaan waar honderden scammers werken. Ze hebben verschillende gelabelde telefoons voor zich op tafel liggen, een voor elk slachtoffer dat contact met ze opneemt. Hele clans leven van de opbrengsten.

Mijn kennis vertelt ook over een briljante truc die ze uithalen. Soms krijgen slachtoffers die al geld hebben gegeven, een mail voorzien van indrukwekkende stempels waarin staat dat de overheid of de politie het bedrag heeft onderschept en de fraudeurs heeft gearresteerd. Er hoeft alleen nog een fee betaald te worden, maar dat is een schijntje van het geld dat de slachtoffer terug zou krijgen. Als dat bedrag wordt overgemaakt volgen nieuwe bedragen en weer nieuwe bedragen, totdat duidelijk wordt dat het nooit meer ophoudt.

Ons, de mensen van wier geld ze leven, noemen ze maga, Yoruba voor ‘idioot.’ De oplichting zelf zien ze als een spelletje. En dat is ook wel te begrijpen als je de absurde verhalen leest die ze verzinnen, opgesteld in bloemrijke e-mails vol spelfouten. In 2005 wonnen de 419-scammers zelfs een van de ‘IgNobelprijzen’ (een soort parodie op de echte Nobelprijzen) voor hun charmante bijdrage aan de literatuur.

Ons, de mensen van wier geld ze leven, noemen ze maga, Yoruba voor ‘idioot.’ De oplichting zelf zien ze als een spelletje

Maar hoe grappig het ook lijkt, er wordt wel serieus verdiend met de oplichterij. Het zijn dan ook niet een paar jongetjes die zich ermee bezighouden. Het is een industrie, waar vele duizenden Nigerianen bij betrokken zijn.

Miljarden euro’s worden jaarlijks overgeheveld naar Nigeria, door mensen die zich voor de gek hebben laten houden. En de gevolgen zijn ook ernstig. Sommigen verloren grote sommen geld. Sommigen pleegden zelfmoord. Leslie Fountain, een technicus uit Engeland, kreeg in 2003 bericht dat hij 1,2 miljoen dollar had gewonnen in een internetloterij. Nu zou hij eindelijk zijn schulden kunnen afbetalen. Maar er kwam geen cent. De scammers hadden zijn bankgegevens gebruikt om hun eigen geld wit te wassen. Toen Leslie Fountain erachter kwam dat hij was opgelicht, stak hij zichzelf in brand.

Sommige oplichters doen ook meer dan alleen bedelmails sturen. In zeldzame gevallen lokken ze slachtoffers over de grens, om ze te ontvoeren en meer geld van ze te kunnen aftroggelen. Het overkwam de 29-jarige George Makronalli uit Griekenland. Zijn familie was niet in staat om het losgeld te betalen. Eind 2006 werd zijn toegetakelde lichaam in Zuid-Afrika teruggevonden.

Waar is de plaats delict?

Gezien de omvang en de gevolgen van de 419-misdrijven, zijn er opvallend weinig arrestaties. Dat zou kunnen komen door de slachtoffers zelf, die zich vaak te veel schamen om aangifte te doen als ze in de val zijn gelopen. Maar ook wie wél naar de politie stapt, zal zien dat er weinig actie wordt ondernomen. De ervaring ontbreekt om met internetfraude om te gaan en er is officieel geen ‘plaats delict,’ wat het moeilijk maakt om vast te stellen onder wiens jurisdictie de zaak valt.

Gezien de omvang en de gevolgen van de 419-misdrijven, zijn er weinig arrestaties. Dat zou kunnen komen door de slachtoffers zelf, die zich vaak te veel schamen om aangifte te doen

En uiteindelijk is ook nog de hulp nodig van de Nigeriaanse overheid. In 2003 is in Nigeria een speciale commissie opgericht in om deze zaken aan te pakken, de Economic and Financial Crimes Commission (EFCC), maar veel heeft dat nog niet opgeleverd. De inertie van de Nigeriaanse overheid roept bij sommigen de vraag op of corrupte ambtenaren misschien zelf bij de scams betrokken zijn.

De informatie die ik vind, maakt me moedeloos. Als het geen zin heeft om aangifte te doen, wat kan ik dan met de ip-adressen, namen en foto’s die ik heb verzameld?

Via de foto’s staar ik in de ogen van mijn eigen hackers. Ze zien er vrij onschuldig uit. Hoe langer ik naar ze kijk, hoe meer vragen ze oproepen. Hoe heeft het trio ooit bedacht om zaken te doen in Nederland? Zouden we allemaal slachtoffer zijn geworden van dezelfde scammers? Of zijn de drie onderdeel van een

Opeens begin ik te twijfelen aan alles wat ik heb gevonden. Hoe weet ik dat de scam-baiters, die deze gegevens bij elkaar hebben gesprokkeld, niet ook voor de gek zijn gehouden? Misschien hebben deze jongens helemaal niets met de hack te maken. Misschien zijn de foto’s gewoon ergens van het internet geplukt en horen de namen bij mensen die, net als wij, het slachtoffer zijn van identiteitsfraude. Ik besef dat ik geen enkel bewijs heb dat dit inderdaad de daders zijn. Ik besluit de zoektocht op te geven.

Uit de Gmail-praatgroep wordt in elk geval duidelijk dat ik nog geluk heb gehad. Ik heb mijn identiteit terugveroverd en al mijn mails teruggevonden. Veel gedupeerden zijn nooit meer in hun mailaccount gekomen. Een vrouw schrijft dat al haar zakelijke berichten in één klap zijn verdwenen. Een man was zo kwaad dat hij bij de politie aangifte deed.

Intussen wachten de dieven rustig af tot er iemand hapt op de ontelbare mails die ze verspreiden. Iemand die een relatie zoekt of een huisdier, iemand die hulp wil bieden of snel geld wil verdienen. Ze mailen en ze wachten totdat het geld vanzelf binnendruppelt, op 5.000 kilometer afstand, in de snelst groeiende stad ter wereld, waar de meeste mensen leven van minder dan 1 dollar per dag.

Waarom dat mailtje van die Nigeriaanse prins bittere ernst is De oplichtingsmailtjes van Nigeriaanse prinsen over te verdelen erfenissen, gevonden geldkoffers en gewonnen loterijen zijn kolderiek in hun doorzichtigheid. Toch is deze vorm van fraude ingrijpend. Een explainer. Lees hier de explainer Dit geef je allemaal prijs als je inlogt op een openbaar wifi-netwerk Sinds kort logt correspondent Maurits Martijn nooit meer onbeschermd in op een openbaar wifi-netwerk. Met een hacker onderzocht hij de openbare wifi van een paar koffiezaken en het bleek kinderlijk eenvoudig om van willekeurige mensen berichten, wachtwoorden, geslacht, seksuele voorkeur, afkomst, hobby's, koopgedrag en zelfs bankgegevens te achterhalen. Lees hier het artikel over openbare wifi-netwerken van Maurits terug Zo kies je een veilig wachtwoord Het liefst gebruiken wij voor onze e-mailaccounts en digitale profielen gemakkelijk te onthouden wachtwoorden als '123456' of de naam van onze poes. Niet doen. Want dat brengt nogal wat risico's met zich mee. Mayke Blok zocht uit hoe je wél een veilig wachtwoord kunt kiezen. Lees hier de handleiding voor een veilig wachtwoord terug