Deze mensen komen in actie als je wordt gehackt
Je hebt toch op dat linkje geklikt. En nu moet je losgeld betalen om je bestanden terug te krijgen. Dan krijg je te maken met de cybercrime-afdeling van de politie. Ik keek acht maanden hoe die in Alkmaar werkt en zag hoe die internetcriminaliteit te lijf gaat.
De eerste verdachte wordt al in mei 2016 gepakt na een tip van collega’s uit Midden-Nederland. Hij heeft met gestolen betaalpassen een bestelling gedaan, die hij in een winkel in Alkmaar wil ophalen.
Toevallig zitten er twee rechercheurs in de buurt te eten. Ze blazen het etentje af, snellen naar de winkel en beginnen meteen een observatie-operatie. Twee collega’s speelden in de winkel een spelletje, zijn in burger, houden zich op de vlakte en spelen een stelletje. Als de verdachte zijn pakketje heeft opgehaald, wordt hij meteen aangehouden door agenten-in-blauw. De rechercheurs willen niet herkend worden.
Dat klinkt als een normale rechercheklus, maar hier is het cybercrimeteam van de politie Noord-Holland aan het werk. Deze arrestatie is het begin van een phishing-zaak, waarbij de arrestatie in de winkel slechts het begin is van langdurig digitaal recherchewerk.
Klinkt saai, maar is spannend: gedurende de acht maanden dat ik dit cybercrimeteam volg, duiken er meer verdachten op. En wordt beetje bij beetje duidelijk hoeveel slachtoffers er zijn.
Dit cybercrimeteam in Alkmaar experimenteert met allerlei nieuwe methodes: samenwerken met media, een ingenomen iPhone 6 ontgrendelen, toeslaan op het moment dat de verdachte bezig is, wanneer zijn gegevens niet zijn versleuteld. Ik liep mee om te kijken of die methodes werken.
Waarom de politie haar cyberaanpak moet updaten
Laat duidelijk zijn: het is nogal tobben, de aanpak van cybercrime. Een overval is altijd op één plaats, phishing kan vanuit het hele land. En omdat cybercrime razendsnel verandert, is het veel ongrijpbaarder dan traditionele misdaad.
Teamchef Fred Ootes zegt het bij het eerste bezoek al: hij is ‘een rebel, iemand die grenzen opzoekt’
Ook problematisch: zoals op zoveel terreinen wordt de politie ook hier overvraagd. Er zijn te veel aangiftes, te weinig experts, te weinig budget en de computersystemen werken niet mee.
Dat merk je als je zelf slachtoffer wordt. Wie nu aangifte doet van een cybermisdrijf (bijvoorbeeld hacken of phishing), kan zomaar meemaken dat zijn aangifte geweigerd wordt. Of je krijgt te horen dat je beter op had moeten letten, of dat het een civiele zaak is. Als de aangifte al lukt, dan is er waarschijnlijk geen capaciteit om erachteraan te gaan.
Het team in Alkmaar zoekt dus zijn eigen weg, in het combineren van klassiek politiewerk met nieuwe methodes. Teamchef Fred Ootes zegt het bij het eerste bezoek al: hij is ‘een rebel, iemand die grenzen opzoekt.’
Maar even: wat is cybercrime?
‘De werkwijze bij inbraken en bankovervallen is al eeuwen hetzelfde: je zet iemand een pistool op zijn hoofd, of je forceert een deur of raam,’ zegt Ootes, die hiervoor zelf een overvalteam leidde. ‘Bij cyber evolueert het constant.’
Dat trekt een nieuw soort criminelen aan: ‘Het begint vaak met jonge jongetjes, die hebben niet eens door dat wat zij doen strafbaar is.’
Cybercrime manifesteert zich bovendien in allerlei vormen, merk ik als ik meeloop:
- Een op internet actieve BN’er is gehackt.
- Bij een bekende onderneming is een poging gedaan om de financiënafdeling te spoofen.
- Een hacker heeft geprobeerd om zichzelf tussen bedrijven en hun externe salarisadministratie te schuiven.
- Een softwarebedrijf heeft via een achterdeurtje in de software een wanbetalende klant gehackt.
Een uitgebreider voorbeeld. Via een Playstation 4 deed een hacker zich voor als een meisje. Hij nam met een Remote Acces Trojan de camera’s over van computers van slachtoffers en filmde hen terwijl ze seksuele handelingen verrichtten. Slachtoffers kregen vervolgens een mededeling op hun scherm, dat ze 400 euro moesten betalen: anders ging het filmpje op Facebook of naar hun ouders. Anderen kregen tijdens een game een DDOS-aanval te verwerken. De club in Alkmaar ziet het allemaal langskomen.
Nog een voorbeeld. Iemand heeft aangifte gedaan van diefstal van Bitcoins door de FBI. Dat is natuurlijk een kansloze zaak, maar het heeft de cyberrechercheurs wel op een idee gebracht. Veel criminelen gebruiken Bitcoins omdat ze anoniem en lastig traceerbaar zijn. Wat zou er gebeuren als de politie de server van bijvoorbeeld een motorbende in beslag neemt?
Waarom het team samenwerkt met Tros Opgelicht
De Alkmaarse eenheid is een mix van ict-experts, tactisch rechercheurs en agenten die tijdelijk meedraaien om ervaring op te doen. Over de samenstelling van deze 25 mensen is goed nagedacht.
Naar schatting zo’n 70 procent van de zaken bestaat uit phishing, dus mensen die op een link of bijlage hebben geklikt en daarmee malware op hun computer of smartphone hebben geïnstalleerd. Tegen zoveel slachtoffers valt niet op te rechercheren.
Daarom zijn preventie en voorlichting zo belangrijk en werkt het team graag samen met journalisten van Radar en De Telegraaf. ‘Wij willen aan de voorkant van het fenomeen zitten. Niet alleen bij de zaak zelf, maar ook de misdaad kunnen voorkomen,’ zegt een rechercheur.
Dat klinkt misschien als een open deur, maar is tamelijk revolutionair. De Nederlandse politie staat bekend als gesloten. Het besef dat de politie niet zonder andere partijen kan en de deuren opengooit, is verfrissend. En het werkt als het team met Tros Opgelicht samenwerkt.
Wij willen aan de voorkant van het fenomeen zitten. Niet alleen bij de zaak zelf, maar ook de misdaad kunnen voorkomen
Maar eerst iets meer over hoe phishing werkt. Het blijft verbazingwekkend hoe ingenieus oplichters zijn en hoe goedgelovig slachtoffers. Een bekende truc is dat mensen een mail krijgen dat ze hun pas moeten opsturen naar de bank. Met een andere smoes wordt hun dan ook hun pincode ontfutseld.
De kunst is de brievenbus waar de slachtoffers hun passen naartoe sturen, te observeren. Dat is nog niet zo makkelijk: observatieteams en -apparatuur zijn schaars. Niet voor Tros Opgelicht, dat wel de middelen heeft. ‘Die kunnen wel nog dezelfde dag een cameraatje ophangen,’ zegt een rechercheur.
De redenen voor criminelen om in de cybercrime te gaan
Voor criminelen is cybercrime aantrekkelijk. Er staan lage straffen op en de pakkans is laag. Het gaat bij de politie vaak al fout bij het eerste contact, omdat de medewerkers van de aangiftedesks niet goed weten wat ze met cybercrime aan moeten. Het hacken van de computer van een ex komt zodoende als een ‘echtelijke twist’ in het systeem.
Cybercrime levert bovendien nauwelijks straf op, als er niet óók oplichting, afpersing of een zedendelict ten laste gelegd kan worden. ‘140 uur prikken met een vorkje, drie maanden cel. Als het een of twee jaar is, zijn wij al heel blij,’ zegt een medewerker.
De chefs vinden overigens niet dat streng straffen dé oplossing is. Dus ook daar experimenteren ze met samenwerking: met banken, met softwareleveranciers en met media om voorlichting te geven.
‘Het gaat ze alleen maar om de poen, daar moet je ze pakken.’ Simpele dingen, zoals rekeningen van criminelen blokkeren – ‘zand in de machine gooien’ – kunnen heel effectief zijn, leer ik.
Welke zaken het team in Alkmaar dus oppakt
Met zoveel zaken en slachtoffers moet het team harde keuzes maken. Als ik een briefing van het team bijwoon, krijg ik een aardig inzicht in welke zaken er langskomen en wat de overwegingen zijn.
Alle lopende onderzoeken komen langs, met codenamen. Het valt op dat de rechercheurs bij iedere nieuwe ontwikkeling vooral kijken of die ook bruikbaar is als bewijs. Een nieuwe aanwijzing of een bewijsstuk levert ‘weer een plusje op.’ Of: ‘Zo wordt de kans op een sepot weer kleiner.’
Een nieuwe aanwijzing of een bewijsstuk levert ‘weer een plusje op’
Ook opvallend bij de briefing: met alles kan gefraudeerd worden. Op Marktplaats krijgen mensen soms de vraag of ze een foto van hun rijbewijs willen appen – als bewijs dat ze het echt zijn. Oplichters kunnen die afbeeldingen gebruiken om vertrouwen te wekken bij andere slachtoffers. Die appen dan weer een plaatje van hun rijbewijs – enzovoort.
Bij veel zaken die langskomen rijst de vraag of het team er wel achteraan moet. ‘Ik zie hier een onderzoek aan de horizon,’ zegt een rechercheur over een Marktplaatsfraude. ‘Ik zie hier te weinig mensen aan de horizon,’ reageert chef Ootes vanachter uit het zaaltje.
Los van de capaciteit, is het vaak de vraag of iets wel echt cybercrime is. Oplichting op Marktplaats verloopt via internet, maar mensen geld aftroggelen is niet specifiek cybercrime. Maar als de zaak groot genoeg is, is Ootes pragmatisch: ‘Hallo, als we een gozer achterover kunnen trekken die vijftig ruggen per maand pakt – dan maar wat minder cyber.’
De politiemensen krijgen tot slot op het hart gedrukt om bij iedere zaak aan ontneming te denken: kunnen ze ook geld, huizen, boten of auto’s afpakken? Maar dan moet je de verdachten wel eerst pakken - en dat kan in cyberzaken knap ingewikkeld zijn.
Goed, de huiszoeking wordt voorbereid
We gaan terug naar de grote phishingzaak waar ik dit verhaal mee begon. Vijf maanden nadat de eerste verdachte werd gepakt toen hij z’n pakketje ophaalde in een winkel in Alkmaar, loop ik op dinsdag 27 september ’s ochtends om een uur of vijf door een vrijwel donker en leeg politiebureau in Almere. Ik ben op zoek naar de kamer waar de briefing plaatsvindt over de huiszoeking die het cyberteam straks gaat doen.
Ik trek een deur open: een stuk of tien jonge, tamelijk gespierde politiemensen met kogelwerende vesten kijken me verstoord aan. Op het scherm een plattegrond van een woning. Het zijn leden van de ondersteuningsgroep. Zij zullen straks de voordeur openbreken, de verdachte arresteren en afvoeren. Daarna zullen de rechercheurs het pand betreden.
Mijn binnenkomst onderbreekt de briefing en hun blikken maken duidelijk dat buitenstaanders niet welkom zijn. Hun tactieken zijn vertrouwelijk, zelfs rechercheurs moeten tijdens de ‘instap’ op een afstandje wachten. Ik mompel een excuus en sluit de deur.
Even later begint de briefing voor de rechercheurs - waar ik wel bij mag zijn. De eerder opgepakte verdachte werkte in opdracht van S., zo blijkt, die vandaag opgepakt gaat worden in Almere. Een andere verdachte wordt gelijktijdig in Amsterdam van zijn bed gelicht.
Maar eerst nog even: een huiszoeking is – zeker in een cyberzaak – een verbazingwekkend ingewikkelde operatie. Iedere fout kan in de rechtszaal afgestraft worden. Een rechercheur die in zijn enthousiasme alles wat hij in een kamer vindt, verzamelt en uitstalt op het bed is een buitenkansvoor een advocaat: bewijst u maar eens dat u al die spullen echt in de slaapkamer hebt gevonden.
Het verzamelen van bewijs lijkt zodoende op een archeologische opgraving. Iedere kamer heeft een letter en alles wat de recherche in beslag neemt wordt zorgvuldig genoteerd: welke kamer, welke kast, welke la. De coördinator moet alles nauwgezet noteren.
En alles moet gefotografeerd worden met één toestel, omdat anders iedere rechercheur met zijn eigen smartphone gaat fotograferen. Iemand vraagt wie er gewapend is. Als straks de ondersteuningsgroep met de verdachte vertrokken is, zou er onverhoeds een andere verdachte op kunnen duiken.
Waar een geslaagde huiszoeking toe leidt
Na de briefing rijden we met een aantal burgerauto’s naar het huis waar de verdachte net is gearresteerd. Het is typisch vinex in Almere. Er staan symmetrische vazen in het raam en er liggen sierpompoenen. Het verschil met doorsnee huizen is dat de voordeur hier is ingebeukt. Er liggen houtsplinters op de grond en het gevlochten rieten hartje dat op de deur hing, ligt vertrapt op de grond. Om veiligheidsredenen mag ik niet mee naar binnen.
Als ik een week later in Alkmaar op bezoek kom, blijkt dat ze een heel goede vangst hebben gedaan. ‘Dit is zo’n goeie doorzoeking, we vinden elke dag nieuwe slachtoffers,’ zegt er een. Er komt een enthousiaste rechercheur binnen. Ze bellen slachtoffers na en bij een van blijkt inderdaad geld afgeschreven. Het slachtoffer gaat alsnog aangifte doen. ‘Vet!’, roept een rechercheur. ‘We zijn lekker beeezig!’
Het slachtoffer gaat alsnog aangifte doen. ‘Vet!’, roept R. ‘We zijn lekker beeezig!’
Bij de huiszoeking werd een laptop gevonden met daarop acht mappen. De ene map die het team bekeken heeft telde alleen al zeventigduizend e-mailadressen. Het uitlezen van in beslag genomen ‘gegevensdragers’ is niet eenvoudig. De politie zoekt nooit in originele bestanden, omdat je daarmee het bewijsmateriaal zou verstoren. Er wordt altijd eerst een kopie gemaakt. Veel gegevens vinden is natuurlijk mooi, maar ze leveren ook veel extra werk op.
Om het voorarrest te verlengen, moeten ze meteen al de vrijdag na de arrestatie nieuw bewijsmateriaal laten zien bij de rechter-commissaris. Dat betekent dat de recherche na een arrestatie heel snel, heel veel informatie moet doorploegen.
Op telefoons staan soms wel drieduizend foto’s, vertelt een rechercheur. ‘Die moet je allemaal bekijken. Als ze bijvoorbeeld met vriendjes en wapens op de foto staan is dat heel belangrijke informatie, dat kan je niet even op één dag doen.’ Op deze laptop zouden in totaal misschien wel een miljoen mailadressen kunnen staan. ‘Als dat zo is, dan halen we de voorpagina van DeTelegraaf,’ zegt de tactisch coördinator.
Hoe open je vervolgens een versleutelde iPhone?
Maar dan moeten ze wel de mazzel hebben dat ze een laptop of iPhone open kunnen krijgen. Als die goed versleuteld zijn, zijn ze heel moeilijk te kraken. Er zijn niet veel plaatsen op de wereld waar ze een vergrendelde en versleutelde iPhone 6 kunnen kraken. Bij de FBI kunnen ze het.
En in Alkmaar is het ook twee keer gelukt. Niet met supercomputers of hightechsoftware. De eerste keer omdat een rechercheur in het weekend plotseling een ingeving kreeg over welk wachtwoord de verdachte gebruikt kon hebben.
De tweede keer was nog eenvoudiger, vertelt Ootes. Een arrestant wilde zijn iPhone 6 niet openen. Die kreeg de vraag: ‘Ben je links- of rechtshandig? Handboeien om, duim erop, in één keer open.’
Dit gebeurde met toestemming van de officier van justitie - eenmalig, want politie en justitie willen eerst weten wat de rechter ervan vindt. Iedereen beseft dat het een omstreden aanpak is. Verdachten zijn niet verplicht om mee te werken aan hun eigen veroordeling – je kunt niet verplicht worden om bijvoorbeeld je wachtwoord of toegangscode af te geven.
De vraag is natuurlijk of je duim op een telefoon zetten als ‘meewerken aan je eigen veroordeling’ geldt. Een goede advocaat zal de methode aanvechten – en dus ook het bewijsmateriaal dat uit de telefoon komt. Deze zaak gaat waarschijnlijk wel tot aan de Hoge Raad, beaamt Ootes: ‘Ik vind het leuk om jurisprudentie te maken.’
Heel bewust is de informatie uit de telefoon gescheiden van de andere bewijzen in het dossier. Dus als de rechter de truc verbiedt, heeft het team toch nog een zaak. Hoe dan ook is het een duidelijke waarschuwing voor iedereen die denkt dat vingerafdrukken een goede beveiliging zijn voor je telefoon: niet dus.
En dan: hopen dat het OM er een zaak van maakt
Uiteindelijk is de cruciale vraag of een zaak naar de rechter kan. Daarvoor zijn Ootes en zijn twee plaatsvervangers verantwoordelijk. Ze zitten in een kamer waarvan de luxaflex permanent dicht is. Her en der liggen kogelwerende vesten. Op ieder van de drie bureaus staan twee schermen, erachter nog een extra groot scherm. Op een tafel staat een spelcomputer: die hebben ze speciaal gekocht voor een zaak waarbij gamende minderjarigen werden gechanteerd met webcambeelden waarop ze naakt te zien waren.
Als de officier niet met een zaak naar de rechter kan, is al het werk voor niets geweest
Deze kamer is het hart van de afdeling. Rechercheurs lopen binnen om voortgang in een zaak te melden, advies te vragen of om hun proces-verbalen te laten lezen. De chefs willen hun mensen de ruimte geven, niet alles wat ze doen controleren - ook weer zo’n voorbeeld van de experimentele aanpak.
Wél willen ze alle BOB-aanvragen (Bijzondere Opsporings Bevoegdheden, zoals een tap) en de proces-verbalen lezen: ‘Staat er echt wat je wilt zeggen? We hebben maar één product en dat is het proces-verbaal. Ik heb maar twee vragen: kan de officier ermee naar zitting en is het vervolgbaar?’
Een goede samenwerking met het OM is namelijk cruciaal. Als de officier niet met een zaak naar de rechter kan, is al het werk voor niets geweest. Het team bestaat nog te kort om veroordelingen te hebben, maar heeft wel een aantal zaken bij het OM liggen die dit jaar ter zitting gaan.
Wanneer sla je toe?
Het team leert van iedere zaak. Kleine zaken zijn goed om beginners het vak te leren, grote zaken om als team verder te groeien: hoe werkt phishing, hoe zit zo’n organisatie in elkaar, hoe kunnen we hoger in de hiërarchie komen?
Een klassiek probleem bij de recherche is dat veel dossiers zich blijven vertakken. Sommige zaken die ik zag, werden daarom opgesplitst en van nieuwe codenamen voorzien. Op de muur achter een van de ict-specialisten hing maandenlang een ingewikkeld schema van twee bij twee meter, waarin de structuur van zo’n internetfraude in kaart was gebracht. Afgezien van de maker begreep niemand het echt. Aan de chefs dan de taak om ervoor te zorgen dat de maker de kennis die achter dat schema zit vertaalt in een proces-verbaal waar het OM mee aan slag kan.
Wanneer politie en justitie vervolgens moeten toeslaan, is vaak een lastige afweging. Het beste is het om een verdachte ‘achterover te trekken’ terwijl zijn computer geopend is. Encryptie is zo sterk dat de politie die niet kan kraken – net als de FBI en AIVD overigens.
De rechercheurs moeten het vaak hebben van kleine foutjes die zelfs slimme cybercriminelen maken. Ik heb er een aantal gezien, maar het is beter die niet openbaar te maken, omdat criminelen er hun voordeel mee kunnen doen.
In het algemeen geldt dat veel cybercriminelen niet als professionals beginnen en dat je met terugrechercheren nog sporen van iemand kan vinden. ‘Iedereen maakt fouten. De perfecte crimineel kun je niet vangen.’
Dit was deel een van een drieluik. Het volgende verhaal beschrijft de problemen waar de politie tegenaan loopt bij het bestrijden van cybercrime. Ik sluit af met een nabeschouwing.