Operation Cookiemonster

“Goed shirt,” complimenteert Ruben van Well, teamleider van het cybercrimeteam van de politie Rotterdam, officier van justitie Jacqueline Bonnes met haar kledingkeuze.

Bonnes lacht. KEEP CALM AND CYBER ON staat er in koeienletters op het T-shirt dat ze speciaal voor de gelegenheid heeft aangetrokken. Het is een geruststellende boodschap, al zullen veel mensen er een week nadat ‘het grootste cybercrime-onderzoek ooit’ het nieuws domineerde nog niet gelijk zorgeloos door gaan slapen.

Het internationale onderzoek met de ronkende naam Operation Cookiemonster spitste zich toe op de website Genesis Market. Door middel van heimelijk geïnstalleerde malware werd door de mensen achter die website de online fingerprint, zeg maar de online-identiteit, van ruim twee miljoen nietsvermoedende mensen buitgemaakt en op de website te koop aangeboden. Met die fingerprints konden kopers zich online onopgemerkt de identiteit aanmeten van hun slachtoffers, waardoor zij zich in sommige omstandigheden toegang konden verschaffen tot hun bankrekening, hun crypto-accounts, hun creditcard, hun pensioenfonds, hun webshop-accounts, hun mailbox, hun social media en al het andere.

Onder de te koop aangeboden fingerprints op Genesis Market bevonden zich ook die van 50.000 Nederlanders, van wie er zeker een voor ruim 70.000 euro werd bestolen. Net als veel andere slachtoffers had hij geen idee wat hem overkwam. Om de nachtmerrie compleet te maken had hij de grootst mogelijke moeite om aan te tonen dat hij niet de opdrachtgever was van alle overschrijvingen, bestellingen en andere online-handelingen die in zijn naam waren gedaan.

Acuut gevaar

Naar aanleiding van het onderzoek, dat geleid werd door de FBI, vonden er begin april wereldwijd meer dan 200 politie-invallen plaats. Daarbij werden 119 mensen gearresteerd, van wie 17 in Nederland. Wie sindsdien de website van Genesis Market bezoekt krijgt een scherm te zien met de FBI-boodschap THIS WEBSITE HAS BEEN SEIZED, met daarbij de logo’s van een twintigtal andere politieorganisaties wereldwijd. Maar daarmee was het gevaar nog niet geweken, zo waarschuwden politie en justitie in de media. Mensen wier fingerprints reeds verkocht waren, onder wie tienduizenden Nederlanders, liepen nog altijd acuut gevaar.

Bij veel berichtgeving over het onderzoek stond een link naar Check Je Hack, een pagina op de website van de Nederlandse politie, waar je na het invoeren van je emailadres binnen een paar minuten te weten komt of je tot de slachtoffers behoort. Helemaal gerust was ik er niet op toen ik mijn emailadres invoerde. Daarna begon het wachten. Was ook mijn online fingerprint op de site verhandeld dan zou ik binnen enkele minuten bericht ontvangen van de politie. Geen nieuws was goed nieuws, dan kwamen mijn gegevens in het onderzoek niet voor.

Drie minuten later trilde mijn mobiel in mijn broekzak. Sneller dan ooit haalde ik het toestel tevoorschijn. Op het scherm prijkte een wit M-etje. Nieuwe e-mail. Het zou toch niet… Met het hart in mijn keel opende ik mijn mailbox. Laatste kans: alleen vandaag nog 20% korting op geselecteerde voorjaarsitems bij Wehkamp!

“Heel goed dat je dat meteen hebt gedaan,” zegt officier Bonnes die namens AP Rotterdam leiding geeft aan het Nederlandse deel van het onderzoek, genaamd Noya. “Dat was precies de opzet.” “Met de Check Je Hack-functionaliteit op de site van de politie hebben we maximaal ingezet op het bereiken van slachtoffers,” vult politieman Ruben van Well aan. “Internationaal wordt bij dit soort datadiefstallen standaard doorverwezen naar de website Have I Been Pwnd (spreek uit: poownt, red). Dat is een private Australische website waar de FBI ook in dit onderzoek hun onderzoeksdata aan heeft verstrekt. Wij hebben ervoor gekozen om zelf de regie te houden.”

Bonnes: “Check Je Hack is door de Nederlandse politie speciaal voor dit onderzoek ontwikkeld en is dus volledig in overheidshanden. Dat vonden we belangrijk omdat wij ervoor wilden instaan dat de privacygevoelige gegevens van 50.000 landgenoten met de grootst mogelijke zorgvuldigheid zouden worden beschermd. Bovendien wil je mensen die zich zorgen maken over hun onlineveiligheid, mensen bij wie mogelijk alle alarmbellen rinkelen, niet doorverwijzen naar een onbekende Engelstalige website en hen vragen om daar hun gegevens in te voeren. Zoiets wil je alleen doen op een website die je vertrouwt. Bovendien mogen wij dit soort gegevens niet zomaar delen met een private website. En dat willen we vooral ook niet.”

Van Well: “Inmiddels worden we ook bevestigd in die keuze. Op Check Je Hack hebben 4,5 miljoen mensen gecheckt of zij mogelijk zijn gehackt, waarvan er 10.500 slecht nieuws kregen. Per mail ontvingen zij van de politie een uitgebreid stappenplan waarmee zij het gevaar konden afwenden. Ik durf wel te zeggen dat we daarmee veel ellende hebben voorkomen.”

Waarom krijgen mensen van wie jullie de gestolen online fingerprint in handen hebben daar niet persoonlijk bericht van? Als de politie je gestolen auto terugvindt, krijg je dat toch ook?

Bonnes: “Zo simpel werkt het bij dit soort criminaliteit helaas niet. Zo’n fingerprint of ‘bot’ bestaat uit een enorme hoeveelheid op het eerste gezicht onbegrijpelijke data. Een concreet emailadres, laat staan iemands werkelijke identiteit, haal je daar meestal niet uit. Soms wel, en in die gevallen hebben we ook overwogen een mail te versturen, maar het punt is juist dat die mensen gehackt zijn. Met andere woorden: de crimineel die hun online fingerprint in handen heeft, heeft ook toegang tot hun mailbox. Zij zouden een dergelijk mailtje direct kunnen onderscheppen en verwijderen. Daarnaast zou zo’n mail waarschijnlijk alleen maar argwaan wekken. Hoe zou je zelf reageren als je vanuit het niets een mail van de politie ontving waarin je geadviseerd wordt onmiddellijk al je inloggegevens te wijzingen en al je devices volledig te resetten? Zou je dan niet juist denken dat je erin wordt geluisd?”

Van Well: “We hebben in dit onderzoek ook pseudo-aankopen gedaan, dus zelf gewinkeld op de website van Genesis Market door ons voor te doen als criminelen. Met de bots die we vervolgens geleverd kregen konden we onderzoeken hoe men precies te werk ging. Wat gebeurde er op de computer van de slachtoffers en wat op de computers van de verdachten? Hoe konden we daarmee het misbruik in beeld brengen en de identiteit van de slachtoffers achterhalen? Dat viel niet mee. Per dataset kostte het onze specialisten met behulp van open source intelligence, dus het doorzoeken van online bronnen als FaceBook en LinkedIn, zo’n twee uur om de identiteit van het slachtoffer vast te stellen en die bij de slachtoffers ook bevestigd te krijgen. Dat is voor 50.000 slachtoffers simpelweg niet te doen.”  

Het initiatief bij de slachtoffers leggen houdt ook een risico in. Inmiddels hebben ruim tienduizend gedupeerden bericht ontvangen dat ze gehackt zijn. Betekent dat dat de gebruikers van bijna 40.000 mailadressen nog altijd van niets weten en dus nog steeds gevaar lopen?

Van Well: “Daarom hebben we gekozen voor een tweeledige aanpak. Naast Check Je Hack hebben we ook flink geïnvesteerd in de publiek-private samenwerking met online-securitybedrijven. Om precies te achterhalen hoe de malware die heimelijk op de computers van slachtoffers werd geïnstalleerd precies in elkaar zat. Dus wij hebben een aantal van die datasets aangekocht, we hebben die onderzocht en geanalyseerd, en die bevindingen hebben we vervolgens gedeeld met Virus Total, een partij die wereldwijd antivirusprogramma’s van updates voorziet. Zo’n zelfde samenwerking zijn we ook met Microsoft aangegaan. Zij zijn met onze gegevens direct aan de slag gegaan om hun anti-virusprogramma te updaten zodat deze malware kan worden gedetecteerd en verwijderd. Die updates waren klaar en beschikbaar op het moment dat het onderzoek klapte. Iedereen kon op dat moment gelijk zijn anti-virussoftware updaten en zijn computer scannen op de malware van Genesis Market.”

Bonnes: “Om het gevaar goed te kunnen doorgronden en de dreiging zoveel mogelijk weg te nemen ontkwamen we er uiteindelijk niet aan om bepaalde onderzoeksgegevens te delen met private partijen. Ik heb daar wel buikpijn van gehad. Dat is gewoon super spannend. Ik denk dat Ruben mij op een gegeven moment zo ongeveer dagelijks belde met de vraag welke informatie we wel en niet konden delen, en dat ik zo ongeveer dagelijks zei: ‘Goh, goeie vraag…'. Om welk soort gegevens gaat het? Zijn daar ook persoonsgegevens bij? Kan het ook zonder? En wat is het afbreukrisico? Stel dat een van die partijen heel trots is om bij zo’n internationaal onderzoek te worden betrokken en het nieuws gelijk op social media slingert...”

Uiteindelijk duurde het drie jaar voordat politie en justitie ingrepen. Al die tijd ging de handel op Genesis Market gewoon door…

Bonnes: “Maar als je ingrijpt, dan wil je  dat zo goed mogelijk doen. Dan wil je het met wortel en tak uitroeien. Dan wil je de juiste verdachten aanhouden, dan wil je de slachtoffers iets goeds te bieden hebben. En daarvoor waren we, en met ‘we’ bedoel ik alle internationale partijen die bij dit onderzoek betrokken waren, gewoon nog niet klaar. Bovendien was het niet aan ons om dat moment te bepalen. Die beslissing lag bij de FBI, al hebben we er wel voortdurend de druk op gehouden.”

Was het niet veel logischer geweest om zo’n groot internationaal onderzoek bij het Landelijk Parket te stallen, in plaats van bij een arrondissementsparket en een regionaal politiekorps?

Bonnes: “Die vraag ik heb rondom dit onderzoek vaak en van veel verschillende kanten gehoord, maar dit is nu precies waar digitale transformatie, waar binnen het OM al jaren op wordt gehamerd, om gaat. Vijf jaar geleden was dit onderzoek ongetwijfeld door Team High Tech Crime gedaan, maar tijden veranderen, en de criminaliteit verandert. Daar moet je als lokaal parket in mee. Cybercrime neemt enorm toe en het is eerder regel dan uitzondering dat het internationaal en grensoverschrijdend van aard is. Dat is juist een kenmerk van cybercrime. Maar daar kunnen we ons anno 2023 als lokaal parket niet meer achter verschuilen. Ook daar moeten we mee dealen, en dat kunnen we ook. Al gebiedt de eerlijkheid te zeggen dat dit qua capaciteit wel op het randje was.”

Is het gevaar van Genesis Market nu ook daadwerkelijk met wortel en tak uitgeroeid?

Bonnes: “Door de FBI zijn naar aanleiding van het onderzoek een hoop domeinen in beslag genomen, waaronder ook domeinen die wij met hen hebben gedeeld. Alle wegen die daar naartoe leidden zijn inmiddels afgesloten. Of beter: onzichtbaar gemaakt. Daarmee is veel gevaar geweken. Het is wel zo dat Genesis Market nog steeds te vinden is op het darkweb. Dat is een deel van het internet dat je niet kunt doorzoeken met een zoekmachine. Daar moet je dus echt de weg weten, of via criminele vriendjes een link in handen krijgen. De server waar die site op draait staat helaas in een land waar wij er als politie en justitie niet bij kunnen. De theoretische mogelijkheid dat er nog altijd wordt gehandeld in dit soort online fingerprints bestaat dus voorlopig nog.”

Van Well: “Dat klopt, die mogelijkheid is er nog. Wel kunnen we zien dat die markt op dit moment minder goed werkt dan voorheen. De site houdt allemaal staatjes bij waar klanten kunnen zien wat er zoal aan nieuwe koopwaar, dus aan nieuwe potentiële slachtoffers, beschikbaar is. Dat aantal bedroeg de afgelopen week nul. Er worden geen nieuwe bots meer te koop aangeboden. Bij de gegevens die vlak voor de klapdag werden aangeboden staan foutmeldingen. Die bevatten niet meer de gegevens die nodig zijn om iemands online-identiteit te stelen. Daaruit kunnen we concluderen dat de interventie effectief is geweest. Ook op het darkweb.”

Neem ons eens mee naar Genesis Market. In welk soort omgeving kwamen bezoekers van de website terecht?

Van Well: “Wat ons opviel, was niet alleen de omvang van de te koop aangeboden datasets, maar vooral ook de ongekende klantvriendelijkheid. Het was cybercrime as a service, waar ook mensen die nauwelijks technisch onderlegd zijn zo mee aan de slag konden. Inclusief klantenservice. Dat maakte deze site zo gevaarlijk. Je kon zelfs een klacht indienen als je gekochte bots niet goed bleken te zijn. Dan kreeg je het aankoopbedrag terug, of een deel ervan. Prijzen varieerden van 70 dollarcent tot een paar honderd dollar per dataset. Een vlaggetje gaf de nationaliteit van het te koop aangeboden slachtoffer aan. Nederlandse bots waren gewild en relatief duur. We zijn een vermogend land en we doen veel online, daar valt dus veel te halen.”

Bonnes: “Het ging héél ver. Toen we bezig waren met die pseudo-aankopen werden we er stap voor stap doorheen geloodst. Soms bijna aangemoedigd. Zo van: nog één stapje, je bent er bijna! Ik heb mij daar echt over verbaasd. Alsof je in een volstrekt legitieme webshop aan het winkelen was. We zien ook dat bij de zeventien verdachten die we tot nu toe in Nederland hebben aangehouden, er een aantal tussen zitten die echt geen computerspecialisten zijn.”

De gemiddelde Nederlander is ook geen computerspecialist. Toch vertrouwt hij zijn hele hebben en houden zo langzamerhand aan het internet toe. Een leven zonder is praktisch onmogelijk geworden. Hoe zorgelijk is dat?

Bonnes: “Dat hoeft helemaal niet zorgelijk te zijn. Dat is nou precies mijn drive. Dat is precies de reden waarom we hier met zijn allen zo hard voor werken, en daar ook de energie voor kunnen opbrengen. Je wíl ook niet meer leven zonder internet. Niemand wil dat. Daarvoor is het een veel te fantastisch middel. Hoe vaak ik van slachtoffers hoor dat ze hun laptop nauwelijks nog durven opstarten, dat ze hun telefoon nauwelijks nog durven aanraken… Daarmee wordt hen zoveel ontnomen. Die mensen verliezen op den duur het contact met de maatschappij. Die vereenzamen. Dat mogen we niet accepteren. Want we kunnen het écht veilig houden. Door zoveel mogelijk gebruik te maken van tweetraps-authenticatie, door altijd direct je virusscanner te updaten, door sterke wachtwoorden te gebruiken, noem maar op. Maar we moeten het wel echt dóén.”

Keep calm and cyber on?

“Precies!”

Checken of op Genesis Market ook jouw online fingerprint te koop werd aangeboden? Doe het nu op www.politie.nl/ checkjehack

Bekijk hier de mini-documentaire die de politie maakte over Operation Cookiemonster.