Rekeningen plunderen met malware

Officier Ridderbeks over internationaal onderzoek Server

Jarenlang, vanaf 2012, tapte de Oostenrijkse politie een jabber chat account om gesprekken over banking malware te onderscheppen. Wie achter dat chat account schuilging bleef onbekend. De persoon noemde zichzelf Verywell. Verywell communiceerde met mensen in het Verenigd Koninkrijk, Noorwegen, België, Finland en, naar later bleek, ook in Nederland. “Helaas is die Verywell nooit geïdentificeerd, maar we weten uit de tapgegevens dat het om een Rus gaat”, vertelt zaaksofficier Manon Ridderbeks. Officier van justitie Ridderbeks van het Landelijk Parket (onherkenbaar in beeld) was net terug van vier jaar OM op Sint Maarten en had nog nooit een cybercrimezaak gedraaid. “Ik bofte enorm met het politieteam. Daar zaten mensen bij die heel goed begrepen dat als ze mij niet konden uitleggen hoe die cybercriminelen te werk gingen, ik het de rechtbank ook niet kon uitleggen.”

Nederlandse bank betrokken

De Rus Verywell leverde kwaadaardige software waarmee andere cybercriminelen fraude pleegden met internetbankieren. Per bank werd de malware aangepast en ge-finetuned. De software was een soort basisproduct waarmee hetzelfde type delict werd gepleegd. De getroffen landen trokken samen op tegen de cybercriminelen rondom Verywell in een Joint investigation team (JIT). Daar werd steeds besproken wat via de Oostenrijkse tap aan informatie loskwam en wat de eigen onderzoeken in de verschillende landen  opleverden. In de zomer van 2013 bleek dat ook klanten van een grote Nederlandse bank doelwit waren. Onderlinge communicatie tussen de vermeende Russische Verywell en ene Zvornik ging over een grote Nederlandse bank. Het JIT verzocht de Nederlandse desk van Europol en Eurojust om het politieteam High Tech Crime en het Landelijk Parket bij het internationale onderzoek te betrekken. “En niet veel later is Nederland toegetreden tot het JIT”.

In dezelfde periode deed de getroffen bank aangifte van grootschalige internetfraude.Uit informatie uit Oostenrijk én door de politie geanalyseerde informatie bleek intussen dat   Verywell met Zvornik chatte over de productie en distributie van malware waarmee aanvallen in Nederland uitgevoerd konden worden. Computers werden door Zvornik besmet met kwaadaardige software waardoor slachtoffers een gemanipuleerde weergave zagen van de website van hun bank. Op de valse site moesten gegevens worden ingevuld die linea recta werden doorgestuurd naar de fraudeur. Per sms-bericht kregen bankklanten een link doorgestuurd om zogenaamd gecertificeerde beveiligingssoftware te downloaden. Daarmee hadden de criminelen toegang en controle over de mobiele telefoon van het slachtoffer en konden ze bijvoorbeeld TAN-codes onderscheppen. Een half jaar later deed de bank een vervolg-aangifte. In totaal ging het op dat moment om 288 frauduleuze transacties, waarbij de schade was opgelopen tot drie ton.

Identificatie van verdachten

De eerste doelstelling van het Nederlandse onderzoeksteam was Verywell en Zvornik te identificeren. “Als je weet met wie je te maken hebt, kunt je gerichter in actie komen”, legt Manon Ridderbeks uit. “Op enig moment kregen we vanuit Oostenrijk het bericht dat Zvornik op jabber opschepte over het feit dat hij een rekening van het Voedselloket in Almere had geplunderd. Het duurde daarna niet lang voordat we Zvornik geïdentificeerd hadden. Vanaf dat moment wisten we zijn IP-adres, zijn woonadres, zijn mobiele nummers en konden we zelf ook tappen. Alles wat hij via zijn computer en telefoon deed konden we volgen. Het bleek te gaan om een 20-jarige Nederlandse verdachte.”

Bronbescherming

Vanaf het moment dat de Nederlandse tap liep, kreeg het team zicht op de omvang van de criminele activiteiten van Zvornik. “In februari 2014 wilden we de verdachte graag ‘achterover trekken’. We wisten dat hij met de aanvallen door zou gaan. Maar als je in JIT-verband onderzoek doet, kun je niet zelfstandig besluiten tot actie over te gaan.” Zaaksofficier Ridderbeks: “Want als we onze verdachte zouden oppakken voor grootschalige internetfraude kwam het feit dat in Oostenrijk een tap op een jabber account draaide op straat te liggen. Die bron konden we niet prijsgeven als andere landen nog midden in hun onderzoek zaten.”

“We besloten daarom een afzonderlijk onderzoek te starten naar de Voedselloket-affaire en de Nederlandse verdachte alleen voor fraude van het Voedselloket aan te houden. Om het onderzoek van de andere landen niet in gevaar te brengen en de Oostenrijkse bron te beschermen verwezen we in de stukken naar een ‘lopend onderzoek, waaruit was gebleken ...’. De feiten die het JIT onderzocht werden niet benoemd.”

Goudmijn

De rechter-commissaris gaf toestemming voor een doorzoeking in de Voedselloket-zaak. Op een parkeerplaats in de buurt van de woning wachtten de rechter-commissaris, de officier en rechercheurs tot de 20-jarige verdachte Zvornik online ging. Toen ze binnenvielen zijn direct de computergegevens veilig gesteld en is gezocht naar telefoons en andere devices, losse simkaarten, aankoopbonnen en ander bewijsmateriaal. De verdachte woonde nog thuis. Zijn ouders waren begin jaren ’90, op de vlucht voor oorlog, naar Nederland gekomen. Ze wilden hun drie kinderen een goede toekomst geven. Alle kinderen studeerden. Hun zoon, de verdachte, volgde een HBO-opleiding. De eerste reactie van de ouders was ongeloof.

“De computer die we aantroffen was een goudmijn. Die bevatte zoveel informatie dat we niet alleen zicht kregen op de feiten die in het JIT werden onderzocht, maar ook op medeverdachten.” De 20-jarige zoon werd als hoofdverdachte aangehouden en voorgeleid voor het plunderen van de rekening van het Voedselloket. Manon Ridderbeks: “Ik heb de rechter-commissaris laten weten dat ik me niet zou verzetten tegen een mogelijk schorsingsverzoek. Ik was bang dat de advocaat ging vissen naar de startinformatie, waardoor ik het JIT-onderzoek in gevaar zou brengen. Maar de verdediging heeft daar nooit naar gevraagd.” Meerdere verdachten werden in bewaring gesteld, maar direct geschorst onder voorwaarde dat ze geen strafbare feiten meer zouden plegen.

De computergegevens van de hoofdverdachte leverden informatie op die het hele traject van het ontwikkelen en door-ontwikkelen van de banking malware, het besmetten van computers en telefoons en het vervolgens leegtrekken van rekeningen in kaart bracht. Vaak vlak voor en na middernacht werden maximaal toelaatbare bedragen overgeschreven naar rekeningen die niet op naam, maar wel onder controle stonden van verdachten. De overgeschreven bedragen werden vervolgens direct van die rekeningen gepind. Ook fabriceerden of kochten verdachten valse legitimatiebewijzen om bankrekeningen te openen of digitaal aankopen te doen. Deze lieten ze bezorgen bij adressen die ze onder controle hadden. “Het waren allemaal jonge gasten van rond de twintig. Als wij geen informatie uit Oostenrijk hadden gekregen, hadden ze nog heel lang door kunnen gaan. Gedupeerden deden lokaal wel aangifte, maar zonder zicht op het grotere geheel krijgt zo’n individuele aangifte met een benadelingsbedrag van enkele honderden euro’s weinig tot geen prioriteit,” aldus de zaaksofficier.

Tweede aanhouding

De klapdag van het JIT vond een half jaar later plaats op 30 september 2014. Op dezelfde dag zaten ook vertegenwoordigers van de verschillende landen bij Eurojust bij elkaar om snel te kunnen schakelen als dat nodig mocht zijn. België hield een paar uur eerder dan afgesproken een verdachte aan. De politie was een woning binnengevallen van iemand die in contact stond met een Nederlandse verdachte. “Dat had helemaal verkeerd af kunnen lopen, maar gelukkig zijn andere verdachten niet gewaarschuwd.” Nederland arresteerde vier verdachten, waaronder weer de verdachte die zich Zvornik noemde.

Ridderbeks: “Na de eerste aanhouding verleende hij alle medewerking aan het onderzoek, maar bij de tweede aanhouding leek hij een totaal andere persoon. Hij was veranderd in een kille, emotieloze jongen, die tijdens de verhoren iedere vorm van medewerking weigerde. Ik had tijdens de zoeking erg te doen met zijn moeder. Zij ging ervan uit dat haar zoon na de schorsing zijn leven had gebeterd en wilde weten of hij na de eerste aanhouding weer de fout in was gedaan. Toen wij dat bevestigden, zag je haar stuk gaan. Terwijl wij haar woning én haar leven overhoop haalden, probeerde zij te laten zien dat haar zoon uit een normaal gezin kwam. Die vrouw raakte me enorm. Voorafgaand aan de zittingen heb ik haar telkens de hand geschud en gevraagd hoe het met haar ging. ”

Tien procent van de fraudeleuze transacties werd door het onderzoeksteam uitgerechercheerd. Dat resulteerde in ruim dertig transacties die helemaal werden uitgeplozen. Uit computers en mobiele gegevensdragers van verdachten vormden rekeningnummers, TAN-codes en onderlinge chatgesprekken harde bewijzen. Ook tekstbestanden werden aangetroffen. Daarin stond precies hoe bankklanten ertoe werden gebracht om hun gegevens af te staan. Op een gemanipuleerde, niet van de echte te onderscheiden website stond bijvoorbeeld: …’Om uw geldzaken zorgeloos te regelen via internet, is het belangrijk dat u goed beveiligd bent. Een bank-certificaat beschermt u tegen aanvallen van kwaadaardige software… Bescherm uzelf en voer onderstaande gegevens in. Op uw mobiele telefoon ontvangt u een sms-bericht met een link naar het Certificaat. Druk op de knop om te downloaden en volg de handeling om te installeren’…

Uitzonderlijk lang voorarrest

De vier verdachten zaten een jaar lang, tot aan de zitting, in voorarrest. Ook volgens de zaaksofficier is dat voor dit soort feiten uitzonderlijk. “Cybercrime wordt relatief laag gestraft. Vermogensdelicten worden anders gewaardeerd dan geweldsdelicten. Daar valt in veel gevallen wat voor te zeggen, maar als je het over zoveel feiten hebt én zoveel slachtoffers, dan komt de maximale straf op enig moment in beeld. Elke zitting maakte ik dus weer duidelijk dat deze jongens 24/7 bezig waren met het jatten van andermans zuurverdiende geld en dat hun voorarrest verlengd diende te worden.”

Ridderbeks: “Eén van de medeverdachten vertelde dat hij na elke proformazitting aan zijn medegedetineerden in het huis van bewaring moest uitleggen dat hij echt niemand had vermoord of verkracht, omdat geen mens begreep waarom hij maar bleef zitten. Ik dacht toen: ik begrijp wel dat ze het niet begrijpen. Het was ook heel bijzonder dat de verdachten in voorarrest bleven. Ik vond het overigens terecht op basis van de hoeveelheid feiten, maar zoals hij het verwoordde dacht ik wel: je hebt een punt.”

Waslijst als onderscheid

In de tenlastelegging gaf de opgenomen waslijst aan feiten het onderscheid aan tussen de hoofdverdachte Zvornik en de andere personen. “Ik heb bewust heel veel feiten op de dagvaarding gezet. Niet alleen om onderscheid te maken tussen de verdachten, maar ook om duidelijk te maken hoe divers de feiten waren: om aan te geven hoe vindingrijk ze waren als het aankwam op het maken van geld.”

De rol van de hoofdverdachte was het grootst en het aantal door hem gepleegde feiten ook. In het requisitoir is te lezen: ‘Hij was onmiskenbaar de spin in het web. De man met connecties met de techneuten in Rusland en met de uitvoerders, de medeverdachten in Nederland. 24/7 was hij bezig met het vergaren van geld op criminele wijze.’ Een onvoorwaardelijke gevangenisstraf voor de duur van zes jaar en zes maanden eiste Ridderbeks tegen deze verdachte.

Tegen de handlanger van de hoofdverdachte werd, gezien de hoeveelheid feiten, een gevangenisstraf voor de duur van vijf jaar geëist. Tegen de andere twee, eerder meelopers, eiste zij 30 tot 36 maanden cel. “Ik had verwacht dat ik zeker kon rekenen op vijf jaar voor de hoofdverdachte. Het feit dat de rechtbank al deze jongens (zonder strafblad) één jaar in voorarrest had gehouden stemde optimistisch.” Op 2 oktober 2015 verklaarde de rechtbank alle ten laste gelegde feiten bewezen, maar volgde de strafeis van het OM niet. De twee meelopers hebben allebei nog een paar maanden vastgezeten. Zij werden veroordeeld tot 24 respectievelijk 30 maanden, waarvan een klein deel voorwaardelijk. De eisen van de hoofdverdachte en diens handlanger werden echter bijna gehalveerd. “Door zo te vonnissen leek het alsof de verdachten ongeveer hetzelfde hadden gedaan, maar dat was nadrukkelijk niet zo.” Daarom heeft de zaaksofficier voor de hoofdverdachte en zijn handlanger appèl ingesteld. “Ik wilde duidelijk maken dat met deze vonnissen de verhouding tussen aantal feiten en opgelegde straffen zoek was.” Met de opgelegde straf van de andere twee verdachten kon ze prima leven, maar dat de waslijst van ernstige feiten van de hoofdrolspeler niet zwaarder werd gewogen dan de feiten van zijn handlanger was onterecht. Het gevolg van de strafmaat was dat de verhoudingen tussen de medeverdachten zoek was. Het hof oordeelde in lijn met het OM. De hoofdverdachte kreeg vijf en een half jaar, zijn handlanger een goed jaar minder.

Nawoord

De onderzoekteams uit de andere JIT-landen hebben met verbazing kennis genomen van de hoge vonnissen die zijn behaald. De Rus Verywell is onbekend gebleven. Het is niet gelukt hem te identificeren. Alle informatie is wel aan het Russische High Tech Crime-team overgedragen en zij zijn er serieus mee aan de slag gegaan.