Tekst Jeichien E. de Graaff
Foto Loes van der Meer

Sommige slachtoffers durven hun computer niet meer aan te zetten

Volgens specialisten van de politie zijn er maar weinig cybercriminelen die kunnen wat de slechts 20-jarige cybercrimineel Haiku kon: prachtige phishingsites/panels bouwen, niet te onderscheiden van de inlogsites van echte banken. Zowel van Nederlandse, als van andere Europese banken. Op aanvraag was vrijwel alles mogelijk. Totdat hij in oktober 2020, na een intensief onderzoek van het cyberteam van de politie eenheid Den Haag, werd aangehouden. Op zijn jongenskamer in zijn ouderlijk huis.

Een enkele nepsite exploiteerde hij zelf, maar het leeuwendeel van de panels verkocht hij op bestelling aan andere criminelen, waarbij hij als het nodig was ook nog klaar stond om vragen te beantwoorden of de tools aan de praat te krijgen. Cybercrime as a service, aangeboden via vage adressen op Telegram, betaling in crypto’s.

“Hij wist dat hij goed was in wat hij deed”, zo zegt de officier van justitie gespecialiseerd in cybercrime in Den Haag Koen Hermans. “In het dossier staat een uitspraak van hem, dat hij de norm heeft gezet in Nederland. Dankzij hem is er, zo zegt hij zelf, een bepaalde kwaliteit gekomen die er nog niet was. Dat hij trots was op wat hij deed blijkt ook uit een afgeluisterd gesprek met een vriendin waarin hij zegt dat hij zelfs op Opgelicht?! is geweest.”

Disciplines bij elkaar

Hermans is er trots op dat hij met het cyberteam van de politie eenheid Den Haag Haiku heeft gevonden. “Het was een interessant onderzoek, met verschillende lijnen.” De kracht zat, en zit, er wat Hermans betreft in dat er verschillende disciplines bij elkaar gebracht worden. “We hadden technisch en tactisch rechercheurs, financieel rechercheurs, zogenoemde OSINTspecialisten: open source intelligence. De een ging op digitale platforms op zoek naar informatie en het gebruik van de programmeertaal die Haiku gebruikte, de ander volgde een spoor van cryptowallets, weer een ander volgde de diverse schuilnamen waaronder hij opereerde op bijvoorbeeld Telegram en combineerde die met elkaar en met andere bekende gegevens, IP-adressen werden opgevraagd, en uiteindelijk kwamen we hem zo op het spoor.”

Arjen van Giersbergen (links) en Koen Hermans vlak voor de perspresentatie over de zaak. Die moest overigens in verband met de coronamaatregelen digitaal plaatsvinden.

En dat kwam door die ‘kruisbestuiving’, zo zeggen Hermans en de teamleider van het cybercrimeteam van de politie eenheid Den Haag Arjen van Giersbergen. “Je moet uiteindelijk wel iedereen bij elkaar zetten, anders blijft iedere expertise in zijn eigen tunnel.” Hermans is er vast van overtuigd dat de zaken zo ook interessanter en leuker worden voor de betrokken politiemensen. “Dat is niet alleen bij deze grote zaken. Ik denk dat dit op districtelijk niveau de cyberzaken, waar nu toch een beetje een zweem van ‘ingewikkeld’ omheen hangt, behapbaar maakt.” En op districtelijk niveau komen de zaken binnen. “Slachtoffers wiens hele bankrekening is leeggetrokken, die zeggen dat ze zich nu heel onveilig voelen, dat ze hun computer niet meer durven te gebruiken, zelfs niet aan zetten. Dan is er misschien geen bloed gevloeid, je kan maar zo 200 aangiftes in één zaak hebben, aldus Van Giersbergen.

De aanhouding

Haiku, een destijds 19-jarige jongen, woonde nog bij zijn moeder in Almelo. Medio oktober 2020 werd hij aangehouden, ook nog wel een spannend moment. “We wisten dat hij camera’s buiten de woning had en we wilden hem aanhouden terwijl hij bezig was met zijn criminele activiteiten. Want als de gegevensdragers niet open zouden staan, zouden we er waarschijnlijk niet meer in kunnen komen. En het bewijs zat natuurlijk vooral in die computers.” Dat lukte, met name door een goede voorbereiding. “Maar je moet natuurlijk ook een beetje geluk hebben”, aldus Hermans. Van Gierbergen: “Er bleek wat vertraging op de beelden te zitten.”

Bij de actie blijkt dat de verdachte een geladen vuurwapen binnen handbereik heeft. Hermans: “Daar heeft hij niet veel over willen zeggen. Ook niet over het waarom van dat wapen en die camera’s. Werd hij bedreigd? Er zit in het dossier een verklaring over ‘inbrekers op het dak’, maar waarom zouden die het op hem gemunt hebben?”

Criminele organisaties Dat Haiku niet zomaar leverde aan wat hobbyisten die een beetje bij probeerden te verdienen, staat wat Hermans betreft als een paal boven water. “Hij is niet ‘slechts’ de man achter het phishingpanel,” zo betoogde Hermans in het requisitoir. Deze verdachte ontwikkelde en verkocht panels op maat aan in ieder geval zo’n 49 verschillende afnemers. Aan die afnemers zitten waarschijnlijk evenzovele criminele organisaties vast, die met deze panels grote geldbedragen hebben kunnen wegsluizen. Die organisaties kopen de technische know how die ze zelf niet hebben. En overigens is in andere onderzoeken gebleken dat alle andere schakels in de criminele keten ook ‘te regelen’ zijn, tot de cashers en geldezels aan toe. Hermans en zijn team schatten de schade die de organisaties met behulp van de panels van Haiku hebben veroorzaakt op tussen de 5 à 10 miljoen euro. Dat de bedragen aanzienlijk zijn, blijkt alleen al uit één, ook Haagse zaak waarin de toen nog minderjarige hoofdverdachte ruim 125.000 euro aan schade moet terugbetalen.

De panelbouwer Haiku liet zich uitbetalen in bitcoins. Hoeveel hij verdiend heeft met zijn activiteiten is niet duidelijk. Zelf zegt hij in een afgeluisterd gesprek ongeveer een ton te hebben verdiend. Maar over zijn verdiensten en wallets wil hij verder niks zeggen. Wel duidelijk is dat hij bitcoins ter waarde van bedragen van enige tienduizenden euro’s heeft omgezet en op zijn bankrekening heeft gezet.

Haiku’s 49 afnemers. Elke kleine hoodie staat voor een organisatie. Gamay en Grote Modderkruiper zijn Haagse onderzoeken naar organisaties die de panels van Haiku afnamen.

Veroordeling en appèl

Hermans eiste 4 jaar cel en een boete van 50.000 euro, nog bovenop de aangekondigde ontnemingsvordering. Het werd 3 jaar, waarvan een jaar voorwaardelijk met een proeftijd van 3 jaar. Daarbij legde de rechtbank als bijzondere voorwaarde onder meer het volgen van Hack_Right op. Volgens de rechtbank had de verdachte zeker ‘talent’ en digitale kennis.

Hack_Right is een initiatief van politie en OM, waarbij first offenders van niet heel ingrijpende strafbare (cybercriminele) feiten onder begeleiding van de reclassering beter leren begrijpen wat ze aangericht hebben, en in contact worden gebracht met bedrijven en ethische hackers om hun kennis ten goede te leren gebruiken.

Al tijdens de zitting werd bekend dat de reclasseringsinstantie het advies had ingetrokken omdat de Almeloër niet voor Hack_Right in aanmerking kwam, aangezien de zaak daarvoor te zwaar was en verdachte in het bezit was van een vuurwapen.

Mede daarom, en omdat de rechtbank niet zonder meer een strafbaar oogmerk zag in de lijsten met miljoenen emailadressen en bijbehorende wachtwoorden die Haiku ook had, besloot Hermans in appèl te gaan. “Waarom zou je die lijsten anders hebben?” aldus Koen Hermans. Haiku wilde er bij de politie ook nog eens niets over zeggen. Bovendien vond Hermans een geheel onvoorwaardelijke straf meer op zijn plaats.

Keyplayers eruit halen

“Je ziet ook aan deze zaak weer dat we zeker de kennis hebben om dergelijke zaken op te lossen. Dat zie je ook bij andere fenomenen,” zo zegt Koen Hermans. Zelfs als blijkt dat de verdachten in het buitenland zitten, kan je vaak een heel eind komen. “Misschien moet je dan niet zelf het hele traject willen doen, en de resultaten overdragen aan een ander. Dat hebben wij ook gedaan met de afnemers van Haiku.” Door de politie zijn pakketjes met relevante onderzoeksgegevens overgedragen aan andere eenheden. Al is dat zeker niet bij alle afnemers gelukt.

“Daar loop je dan weer tegen de grenzen van onze mogelijkheden aan. Veel zaken, te weinig mensen. Maar wat we wel moeten doen is de keyplayers eruit halen.”

En dan gaat het niet alleen om de ‘techneuten’, aldus Hermans. “Je ziet op Telegram dat ze elkaar ook ratings geven. Wat is de beste witwasser, wie kan je het beste helpen met je crypto’s. Zo moeten we het doen. Die moeten we hebben.” Van Giersbergen: “Haiku was een mooi begin. Maar we moeten als politie en OM wel doorzetten en blijvend investeren op de aanpak van phishing, de expertise behouden om zo op de juiste momenten en zaken in te grijpen.”

Cybercrime

Cybercrime is hard op weg de meest voorkomende criminaliteit te worden. Het is al lang niet meer het domein van de ‘eenzame nerd die op een zolderkamertje voor zijn lol’ computers hackt. Het is een cybercriminele internationale miljardenbusiness waarin organisaties opereren die volgens een businessmodel zijn opgetuigd, waarbij gebruik wordt gemaakt van verschillende werknemers, inhuurkrachten, helpdesks en facilitators voor zowel techniek als het benaderen van slachtoffers, het cashen, witwassen of herinvesteren van de verdiensten. Ook zijn al bemiddelaars voor criminele start-ups gezien. Cybercrime als bijvoorbeeld CEO-fraude en ransomware kosten de samenleving als geheel miljarden. Bovendien tast cybercrime de maatschappelijke veiligheid aan, want het vertrouwen in een integer financieel en maatschappelijk verkeer neemt af.

Er zijn grofweg twee soorten cybercrime: met gebruik van een computer als middel en met computers als doelwit. Politie en OM kunnen een grote rol spelen in de bestrijding van cybercrime. Er is veel kennis, maar een tekort aan middelen en mensen, zowel bij de onderzoeken in lopende zaken als op het gebied van de voorkoming van cybercriminaliteit. Daartoe moet onder andere meer de samenwerking met andere overheden en het bedrijfsleven gezocht worden. De bestrijding van cybercrime is een onderdeel van de cyberweerbaarheid van de gehele samenleving. De Cybersecurityraad (CSR) heeft becijferd dat daarvoor in Nederland een bedrag van ruim 800 miljoen euro nodig is.