Tekst Pieter Vermaas
Foto Loes van der Meer
Adrieke Kersten presenteerde haar zaak in Jip & Janneketaal
Een liquidatiezaak zet de Amsterdamse cyberofficier Adrieke Kersten op het spoor van een hackende en phishende student. Zij en haar team zetten alles op alles om inzicht te krijgen in ingewikkelde cybercriminaliteit. En moeten dat de rechters duidelijk zien te maken.
“Virgil N. oogde als een gewone jongen, toen hij in 2016 voor de rechtbank stond. De 21-jarige informatica-student, die bij zijn moeder in een appartement in Amsterdam-Zuidoost woonde, had je buurjongen kunnen zijn. Had bij het OM kunnen werken zonder dat je denkt: wat voert die in zijn schild?”
Maar op dat moment weet Adrieke Kersten, cybercrimeofficier in arrondissement Amsterdam, wel beter. Dit was een cybercrimineel. Niet een kwajongen die een keer een tooltje van het internet plukt en daarmee eens kijkt wat er gebeurt als je met de muis een script start. “Voor dat soort gasten, die dat uit een ontdekkingstocht doen, kan je nog een alternatieve straf, zoals HackRight (zie pag 26) bedenken, zodat ze hun kennis ten goede aanwenden. Maar onze verdachte had massaal creditcardgegevens opgevist met het doel om mensen op te lichten.”
“Op zitting zweeg hij, wat me eerlijk gezegd niet verstandig leek. Want nu gaf hij de rechter geen enkele verzachtende omstandigheid. Geen enkele verklaring voor zijn gedrag. Geen teken van berouw. Toonde hij niet de wil om zijn leven te beteren. Nou ja, dat was natuurlijk zijn goed recht.”
“Hij liet zich ook niet onderzoeken door de reclassering, terwijl die reclassering wel grote zorgen om hem had: het risico van recidive lijkt groot. Deze jongen heeft de kennis, de apparatuur. Hij kan zijn gedrag vrij gemakkelijk herhalen, waarbij hij nog slimmer zal opereren. En wat ik zelf tricky vind, is het bestellen van kogelwerende vesten. Waarom werd hij door anderen daarvoor benaderd? Waarom pikten ze hem eruit?”
Kogelwerende vesten
Voordat Adrieke Kersten en cybercrimeteam van de Amsterdamse politie zich op de zaak stortten, was Virgil N. eerst op de korrel van Landelijke Eenheid van de politie. In een liquidatieonderzoek kwam aan het licht dat op het darkweb kogelwerende vesten waren aangeschaft via een emailadres dat van Virgil N. bleek te zijn.
Toen het politieteam (van de Landelijke eenheid) in februari 2016 binnentrad in het appartement in Amsterdam-Zuidoost, was de verdachte niet aanwezig. Wel zagen ze tijdens de zoeking in de slaapkamer van Virgil computers aanstaan. Op openstaande schermen draaide allerlei apparatuur, als ‘Sendblaster Pro’, ‘GR3NoX Exploit Scanner’ en ‘Havij’. Ook stond een inlogscherm van International Card Services open. Het leek de rechercheurs van de Landelijke Eenheid niet in de haak. Ze maakten foto’s van de schermen, en namen computers, telefoons, usb-sticks, geheugenkaarten in beslag.
De digitale recherche zocht het uit en meldde dat dergelijke programmatuur gebruikt wordt om te hacken, om veel gegevens binnen te halen en mensen phishingmails te sturen.
Omdat dit voor het liquidatieonderzoek minder interessant leek, vroeg de Landelijke Eenheid het Amsterdamse cybercrimeteam of dat interesse had in de spin-off van hun onderzoek. Het team en officier Kersten hadden dat wel.
‘Amsterdam’ pakte de zaak op en dook in de gekregen gegevens. Kersten en haar team wilden de verdachte aanhouden en daarbij weer een doorzoeking doen. Het spande erom toen de aanklager naar de rechter-commissaris ging, hopend dat ze toestemming voor doorzoeking kreeg. “Ik moest de RC overtuigen dat – na de doorzoeking in februari 2016 – we nog een keer een doorzoeking voor computercriminaliteit wilden, nog een keer gegevensdragers in beslag wilden nemen. De RC stond niet direct te springen. ‘Hoezo, nog een keer? Dat hébben jullie al een keer gedaan.’ Ik heb moeten praten als Brugman, en gezegd dat dit type verdachte heel gemakkelijk die feiten opnieuw kan plegen. Uiteindelijk gaf de RC toestemming.”
Cloud
“Bij de voorgeleiding voor de RC, heb ik uitgelegd dat deze jongen in voorlopige hechtenis moest blijven. Niet alleen omdat ik zijn handelen ernstig vond, maar omdat we wisten dat hij gegevens ook in de Cloud opsloeg. Als hij meteen op vrije voeten kwam, waren al die gegevens weg. Het is gelukt: uiteindelijk heeft de verdachte een maand in voorlopige hechtenis gezeten. Dat was voor het team al een vorm van waardering.”
Dus doorzocht een nieuw opsporingsteam in augustus 2016 opnieuw het appartement in Zuidoost. Het vermoeden bleek te kloppen. Niet alleen had de verdachte inmiddels allerlei nieuwe apparatuur aangeschaft, ook bleek uit onderzoek dat hij is doorgegaan met zijn activiteiten. Opnieuw volgden inbeslagnames.
Uit het onderzoek daarvan bleek dat zijn hele computer volstond met hackprogramma’s, gestolen emailadressen, creditcardgegevens. De jongen leek bezig met grootschalige creditcardfraude.
Hotelgasten
Uit het onderzoek bleek dat Virgil N. vanaf 3 april 2016 (dus tussen de doorzoekingen door) in een hotel was gaan werken. Als nachtportier checkte hij gasten in en uit en verwerkte hij betalingen. Aan hem leverden gasten hun creditcard in, als zekerheidstelling. En hij noteerde die gegevens. Via het reserveringssysteem van het hotel en de gasten had hij bovendien toegang tot creditcardgegevens, namen, paspoortnummers, adressen en geboortedata van de hotelgasten. Ook die gegevens werden bij verdachte thuis aangetroffen.
Terwijl het bewijs zich opstapelde, wilde de officier in elk geval twee vragen goed kunnen beantwoorden. “Hoe leg ik ingewikkelde feiten eenvoudig uit, zodat de rechtbank het begreep en er juridisch wat mee kan? Ik sprak erover met een rechercheur die technisch alles snapte. We hebben afgesproken dat hij in eerste instantie alles gewoon op zou schrijven zoals het was. Daarna ging ik het lezen. Alles wat ik niet snapte, markeerde ik: ‘Hier wordt het me te technisch en kan ik het juridisch niet meer duiden.’ Dan ging hij meer in gewoon Nederlands, zonder technische termen opschrijven wat de verdachte fout had gedaan. Daar hebben we best lang over gedaan, maar zo kreeg ik steeds helderder wat hij had gedaan en onder welk wetsartikel dat viel.”
“Maar wat heeft verdachte – weergegeven in Jip en Janneke taal - nu eigenlijk gedaan?”
Die vraag stelde Adrieke Kersten tijdens het requisitoir, nadat ze de rechtbank eerst uitgebreid een dossier voor technische bewijsmiddelen had voorgehouden. Puntsgewijs somde ze op hoe de verdachte digitaal creditcardgegevens wist te bemachtigen.
- “De verdachte maakte gebruik van diverse softwareprogramma’s om zwakke websites op te sporen en hierop in te breken;
- De verdachte kopieerde e-mailadressen uit de databases van de gehackte websites;
- De verdachte maakte gebruik van een softwareprogramma, Sendblaster, om phishingmail in bulk naar de bemachtigde e-mailadressen te sturen;
- De phishingmails bevatte links naar phishingwebsites die zodanig ingericht waren door de verdachte om creditcardgegevens van slachtoffers afhandig te maken;
- Op de phishingwebsites werden de afhandig gemaakte creditcardgegevens opgeslagen en/of automatisch per e-mail verstuurd. De verdachte kreeg op deze wijze de gephishte creditcardgegevens onder zich.
De wijze waarop de verdachte fysiek creditcardgegevens bemachtigde bleek als volgt:
- De verdachte solliciteerde bij hotels om daar als receptionist aan het werk te gaan;
- De verdachte noteerde de creditcardgegevens van klanten buiten het computersysteem van het betreffende hotel om;
- De verdachte nam deze gegevens mee naar zijn woonadres.”
Wat heeft het de verdachte financieel opgeleverd?
Wat de verdachte met zijn phishing financieel binnenhaalde, weet Adrieke Kersten niet. “We hebben dat niet inzichtelijk gekregen, ook omdat eventuele inkomsten niet over zijn eigen bankrekeningen liepen. De financiële recherche had geen capaciteit om dat verder uit te zoeken. Dat is jammer, maar ook een vraag die altijd speelt: hoe groot (financieel/internationaal) maak je je onderzoek, naast de andere onderzoeken die je hebt? Er zijn in deze zaak geen slachtoffers; althans, niemand heeft zich gesteld als benadeelde partij.”
“Duidelijk is dat hij over veel gegevens beschikte. Maar het lijkt erop dat hij er nog niet veel mee had gedaan. Ik hoop dat we er op tijd bij waren en dat hij pas later met alle gegevens naar heel veel mensen phishing mails zou gaan versturen, om zo nog meer gegevens te verkrijgen. En dat hij die gegevens uiteindelijk zou gaan verhandelen. Op het darkweb – want gestolen creditcardgegevens verhandel je niet op marktplaats of google."
Ook vatte ze technisch monnikenwerk samen. “Alle digitale gegevensdragers die hiervoor uitgebreid zijn besproken, zijn met elkaar connected geweest. Op de diverse tablets, SD kaart, USB stick, telefoon zijn identieke bestanden en programmatuur aangetroffen. Op de laptop, notebook, SD kaart, USB stick, Blackberry en I-phone van verdachte zijn zeer belastende gegevens aangetroffen, namelijk grote hoeveelheden e-mailadressen, phishing e-mails, scripts, creditcardgegevens en gegevens van klanten van ICS. Op de telefoons kwamen bovendien e-mails binnen van het in phishingscripts genoemde e-mailaccount.”
En hoe viel dat juridisch te kwalificeren? “Juridisch is er sprake van hacking van 32 websites (waarbij hij 200.200 emailadressen verkreeg), het voorhanden hebben van hackingtools, phishing/oplichting, en verduistering in dienstbetrekking.”
Afrondend kwam de officier tot een strafeis: een onvoorwaardelijke celstraf van drie jaar wegen cybercrime. “Verdachte heeft niet alleen het vertrouwen in het internet aangetast,” betoogde Kersten, “maar ook het vertrouwen in de medemens. Voor benadeelden en anderen was het schokkend dat ze bijna met open ogen genept kunnen worden. De verdachte heeft enkel financieel gewin voor ogen gehad.”
Bitter
Twee weken later viel het rechtbankvonnis Kersten rauw op haar dak. Hoewel de rechtbank liet merken dat hij het zaaksdossier met de procesverbalen begreep en veel van het ten laste gelegde bewezen achtte, was de strafmaat een tegenvaller: twaalf maanden celstraf, waarvan zes voorwaardelijk.
Kersten kan zich er nog over opwinden. “Ik had er echt de pest over in. Ik wist dat ik – gemotiveerd – wel wat aan de bovenkant eiste. Maar zó’n simpel strafje? Doet écht geen recht aan de feiten. Maakt núl indruk op de veroordeelde. Voor het politieteam was dat ook bitter. Maar goed, dan kun je boos blijven, óf je gaat vanwege die strafmaat in hoger beroep. Dat laatste deden we.”
Elf maanden later, in november 2017, kwam het gerechtshof met zijn arrest. Waar het hof dezelfde feiten bewezen achtte, sloeg het met zoveel woorden meer acht op de persoon van de verdachte en het recidivegevaar. En dit keer viel de straf een stuk hoger uit: 30 maanden celstraf, waarvan 15 voorwaardelijk, met een extra lange proeftijd van drie jaar.
Eind goed, al goed. Of kan een officier ook balen dat haar in de eerste lijn niet lukte wat AG Maarten Hemelaar in hoger beroep wel voor elkaar kreeg? Maar Adrieke Kersten laat een lach zien. “Welnee, joh! Helemaal niet. Van het arrest van het hof werd ik en iedereen bij OM en politie heel blij.”