Tekst Jochem Davidse
Foto Loes Spruijt-van der Meer en politie

Politiehackathon 2023

Het is inmiddels een open deur van jewelste: cybercrime is een groeiend probleem. Zowel in omvang als in complexiteit. Maar in het bestrijden ervan staan politie en justitie er niet meer alleen voor. Tijdens de Politiehackathon 2023 werden tientallen vastgelopen onderzoeken voorgelegd aan een select gezelschap cyberspecialisten uit de publiek-private sector. “Ik heb mij nooit gerealiseerd dat hier zóveel tijd en moeite in gaat zitten.”

"Frank Boeijen.”
“Frank wie?”
“Frank Boeijen.”
“Nooit van gehoord.”

In kamer 2029, een grotendeels glazen kantoorruimte in het state of the art hoofdkantoor van Microsoft Nederland, schieten de wenkbrauwen collectief de hoogte in. Vrijwel alle leden van het zojuist opgerichte Team CIA (Citizen Investigation Alliance) zijn veel te jong om ooit van de Nijmeegse zanger gehoord te hebben. Half jaren tachtig, in de tijd dat hij hits scoorde met nummers als Kronenburg Park, Zwart Wit en Zeg Me Dat Het Niet Zo Is, waren zij nog niet of nauwelijks geboren. Dat de man anno 2023 nog altijd ruim 27.000 volgers op Facebook blijkt te hebben, stuwt hun wenkbrauwen zo mogelijk nog verder hemelwaarts.

‘Zaak 1: Frank Boeien’, schrijft een jonge vrouw op het whiteboard. Zonder j. In het dagelijks leven is Anneke werkzaam als AI- en dataspecialist bij de financiële en zakelijke dienstverlener Deloitte, maar voor de hackathon van vandaag is zij door haar werkgever belangeloos ‘uitgeleend’ aan politie en justitie om te kijken in hoeverre haar kennis en expertise kunnen bijdragen aan een aantal vastgelopen strafrechtelijke onderzoeken.

“Eigenlijk zijn wij gratis personeel voor ze,” zegt Anneke, die het overigens alleen maar leuk en spannend vindt om een dagje in de huid van een cyberrechercheur te kruipen. Hetzelfde geldt voor haar teamgenoten. Allemaal zijn ze jong, rond de dertig, en werkzaam in de cybersecurity. De 49-jarige Ronald vormt een uitzondering. Niet alleen vanwege zijn leeftijd en functie (‘iets commercieels bij Microsoft’), hij is ook de enige in het gezelschap die Frank Boeijen wel kent. “Maar ik ben geen fan of zo,” lacht hij verontschuldigend.

Innovatieve burgeropsporing

“Cybercrime is een snel groeiend probleem. Zowel in omvang als in complexiteit. In de bestrijding ervan is de expertise van publiek-private bedrijven en instanties dan ook essentieel. Samen met jullie kunnen we de criminelen een stap voor blijven.”

Met die woorden verzorgde Theo van der Plas, portefeuillehouder Digitalisering en programmadirecteur Cybercrime van de politie, eerder op de dag de aftrap van de Politiehackathon 2023, een innovatieve vorm van burgerparticipatie in de opsporing. Het evenement, georganiseerd door de politie, OM en Microsoft, beleeft dit jaar de derde editie. Zo’n vijftig cyberspecialisten uit de publiek-private sector hebben zich er voor ingeschreven. In het dagelijks leven werken ze voor grote bedrijven als Deloitte, KPN, Vodafone Ziggo, Fox-IT, Deutsche Bank, Onyx Cybersecurity, Group-IB en DataExpert, of bij instanties als de Kamer van Koophandel, de Belastingdienst en TNO. Vandaag zijn ze verdeeld over acht teams die elk vier zaken krijgen voorgeschoteld om, van tien uur ’s morgens tot vijf uur ’s middags, hun tanden in te zetten.

Alle zaken zijn vooraf met zorg geselecteerd door politie en OM. Het zijn lopende onderzoeken waarmee de politie op eigen kracht niet meer verder komt vanwege een gebrek aan opsporingsindicaties, of in gewoon Nederlands: aanknopingspunten. Andere kenmerken van de geselecteerde zaken zijn dat ze dusdanig ernstig zijn, of een dusdanige maatschappelijke impact hebben, dat verdachten in voorlopige hechtenis kunnen worden genomen. In de meeste zaken gaat het om vormen van gedigitaliseerde criminaliteit, zoals bankhelpdeskfraude, Marktplaatsfraude, identiteitsfraude en phishing, maar ook een vermissing wordt vandaag aan een van de teams voorgelegd, in de hoop op een doorbraak.

De dossiers zijn nauwkeurig geanonimiseerd, wat inhoudt dat alle mogelijke slachtoffergegevens onleesbaar zijn gemaakt. Deelnemers tekenen vooraf een geheimhoudingsplicht en dienen zich te houden aan een aantal duidelijke regels. Zo mag niets van de gegeven informatie worden opgeslagen of gedeeld, en mag er tijdens de hackathon niet daadwerkelijk worden gehackt. Dat wil zeggen: er mogen geen strafbare feiten worden gepleegd. Alle mogelijke bevindingen van de teams moeten het resultaat zijn van OSINT (Open Source Intelligence), ofwel het doorzoeken van openbare bronnen. Om te zorgen dat de gevonden informatie juridisch bruikbaar is, moeten de bevindingen voor de politie bovendien reproduceerbaar zijn.

In nog geen week tijd maakt de vrouw vier keer 50.000 euro over naar haar idool...

Cold cases

Zwijgzaam scrollen de leden van Team CIA door de hen toebedeelde cold cases. Dan blijkt al snel dat ‘de zaak Frank Boeijen’ niet om de werkelijke Frank Boeijen draait. Het slachtoffer in de zaak blijkt te zijn opgelicht door iemand die zich aan de telefoon en op social media voordeed als de bekende (of minder  bekende) zanger. De dader moet daarbij hebben geweten dat het slachtoffer al ruim dertig jaar groot Frank Boeijen-fan was, en daarnaast ook, vanwege een erfenis, behoorlijk vermogend. In korte tijd bouwt hij een vertrouwensband met haar op. Dan slaat hij toe. Door omstandigheden heeft hij tijdelijk geen toegang tot zijn bankrekening, maakt hij het slachtoffer wijs. Zou zij misschien…?

In nog geen week tijd maakt de vrouw vier keer 50.000 euro over naar haar idool. Althans, naar het opgegeven bankrekeningnummer, een pas geopende rekening bij een bank in Turkije.

Op dat punt in het dossier aangekomen hangen de meeste onderkaken van Team CIA al zo’n beetje op het toetsenbord van hun laptops. Hoe kan dit?

“Dit geloof je toch niet…” verzucht een van de teamleden.

“Maar waarom trekt een bank niet aan de bel wanneer iemand vanuit het niets 50K overmaakt naar een Turkse bankrekening?” werpt een ander tegen. “Tot vier keer toe!?!”

Kort daarna maakt de menselijke verontwaardiging plaats voor de professionele blik van de gelegenheidscyberrechercheur. Op het whiteboard wordt het complete dossier teruggebracht tot een lijst van emailadressen, social media-accounts, IP-adressen, telefoon- en bankrekeningnummers. Stuk voor stuk concrete aanknopingspunten waarmee het team aan de slag kan. Hetzelfde gebeurt met de overige drie zaken. In zaak 2 draait het om een malafide aanbieder van crypto-currency die een slachtoffer verleidde tot een ‘investering’ van in totaal 260.000 euro. Hij zag er nooit meer een cent van terug. Zaak 3 is een geval van Marktplaatsfraude: iemand die op Marktplaats wat tweedehands huisraad te koop aanbood, werd op slinkse wijze ruim 2000 euro afhandig gemaakt. In zaak 4 gaat het om identiteitsfraude: met een online-uitzendbureau als dekmantel werden de persoonsgegevens van meerdere slachtoffers buitgemaakt en misbruikt voor het openen van bankrekeningen en andere frauduleuze handelingen.

Team CIA buigt zich over de zaken, zoals later ook te zien is in Nieuwsuur, dat een item over de hackathon maakt.

Besloten wordt om tot de lunchpauze in tweetallen aan een van de vier zaken te werken. Daarna zal bekeken worden welke het meest kansrijk zijn en hoe de middag het best kan worden benut. In zaak 1 – ‘de zaak Frank Boeijen’ – slaagt Naomi (cybersecurity researcher bij TNO) er al vrij snel in om een Instagramaccount te koppelen aan degene op wiens naam het Turkse bankrekeningnummer staat waarnaar het slachtoffer het geld overmaakte. Op het scherm verschijnt een foto van een kale, stevig besnorde man. Met zijn overhemd half open en met zijn arm om een blonde dame geslagen, lacht hij zorgeloos in de camera. Wat het waard is, weet Naomi niet. Ze haalt de besnorde man door diverse zoekmachines, maar concrete aanknopingspunten levert het helaas niet op.

Ook het onderzoek in de zaken 2 en 3 stemt weinig hoopvol. De crypto-oplichting lijkt het werk van een grote, internationale en uiterst professioneel te werk gaande bende te zijn, die zijn online sporen vakkundig lijkt te vertroebelen en die zich door middel van alleen open source intelligence dus niet eenvoudig laat ontmaskeren. In zaak 3, die van de Marktplaatsfraude, zit aanvankelijk meer beweging. Tirza (XS4ALL) stuit op een IP-adres en een domeinnaam die beide niet in het politiedossier voorkomen. Helaas is de opwinding van korte duur. Het gevonden spoor leidt naar een zogenaamde bullet proof hoster in Oekraïne. Bullet proof hosters zijn bedrijven die op hun servers willens en wetens criminele content faciliteren en de anonimiteit van hun klanten daarbij garanderen. Zonder verdere opsporingsbevoegdheden lijkt Team CIA daarmee ook in deze zaak kansloos, maar wellicht betekent het voor de politie wel degelijk een doorbraak.

Vooral de website van de Kamer van Koophandel blijkt een verbazingwekkend goede bron van informatie

Zaak 4

Hoewel het programma van de hackathon duidelijk een lunchpáuze vermeldt, is er bij Team CIA van enige vorm van werkonderbreking nauwelijks sprake. Ook met een broodje in de hand blijven de vier politiedossiers de leden bezighouden. Door de bevlogenheid waarmee ze besproken worden, dringt de onvermijdelijke vraag zich op: zouden ze niet liever als cyberrechercheur bij de politie werken? Anneke heeft haar mond nog vol maar knikt al gretig.

“Dat lijkt me echt super gaaf,” zegt ze. “Het is fantastisch en spannend werk.”

“Maar?”

"Maar de politie is qua salaris meestal niet in staat om te bieden wat het bedrijfsleven biedt."

Haar teamleden knikken. Het is een bekend verhaal.

“Bovendien zijn veel vacatures bij de politie op HBO-niveau,” vervolgt Anneke. “Dat sluit niet aan bij de opleiding die de meesten van ons hebben gehad. Maar wie weet, ooit?”

Na een korte lunch richt Team CIA de pijlen vrijwel volledig op zaak 4. Instagram- en Facebookaccounts worden geduldig uitgekamd, Funda en Google Streetview worden veelvuldig geraadpleegd en oude klassenfoto’s op schoolbank.nl worden aandachtig bestudeerd. Vooral de website van de Kamer van Koophandel blijkt een waardevolle bron. Zo waardevol dat zelfs de cybersecurityexperts zich zo nu en dan verbazen over de hoeveelheid en het soort informatie dat op de website vrij toegankelijk is.

Waar de sporen in de andere drie zaken al snel dood leken te lopen, lijkt in deze zaak vrijwel elk spoor naar een volgend aanknopingspunt te leiden. Nadere bestudering van het dossier leert bovendien dat de politie in deze zaak ook verbanden lijkt te leggen met andere strafrechtelijke onderzoeken. Om meer over die verbanden en onderzoeken te weten te komen schakelt Team CIA de hulp in van cyberrechercheur Freek Klapwijk van de politie eenheid Den Haag. Met een aantal collega’s loopt hij vandaag bij de hackathon rond om de teams desgevraagd waar nodig, en waar mogelijk, van extra informatie te voorzien.

Op het digitale scherm verschijnt even later een duizelingwekkend boomdiagram met een wirwar aan bladeren en vertakkingen. Helemaal bovenin, op de plek waar alle takken samenkomen, prijkt een bankrekeningnummer. Een bankrekening dat, zo ontdekt het team al snel, door de bewuste bank uitsluitend gebruikt lijkt te worden om geld terug te storten wanneer bepaalde transacties om welke reden dan ook niet kunnen worden uitgevoerd. Als dat rekeningnummer het enige is dat al deze zaken met elkaar verbindt, is er dan überhaupt wel sprake van een crimineel verband? vraagt Team CIA zich af.

Opnieuw wordt rechercheur Klapwijk erbij geroepen. Was dit al bij de politie bekend? Weifelend schudt de politieman het hoofd. “Ik denk het niet,” geeft hij met enige verbazing toe. “Interessant…”

Behalve voor rechtvaardigheid wordt tijdens de hackathon ook om de prijzen gestreden.

'Geen wonder dat ze bij de politie wel wat hulp kunnen gebruiken'

Eyeopener

Het zijn IP-adressen, telefoon- en bankrekeningnummers en de namen en adressen van personen en allerhande ogenschijnlijk schimmige BV-tjes. Een van de meest in het oog springende resultaten is het adres van een prijzig appartement (huurprijs op Funda: 2250 euro per maand, borg 4500 euro) dat gehuurd werd op naam van een van de slachtoffers, kort nadat diens gegevens onder valse voorwendselen waren buitgemaakt. Ook dat adres komt voor in de systemen van de Kamer van Koophandel. Wat was dat voor bedrijfje dat daar gevestigd werd? Wie haalde daar destijds de post op? Zijn daar nog camerabeelden van?

“Laten we nog een keer door de MO (modus operandi, red.) heenlopen,” zegt Anneke, die inmiddels klinkt als een doorgewinterd rechercheur.

“Sorry jongens,” zegt Ronald. “Ik ben echt hélemaal gaar.”

Met een diepe zucht klapt hij zijn laptop dicht.

“Ik heb mij nooit gerealiseerd dat hier zóveel tijd en moeite in gaat zitten,” vervolgt hij. “Dat is wat mij betreft wel echt een eyeopener. Kijk naar ons, wij zitten hier met zeven man zeven uur lang vrijwel onafgebroken het internet af te speuren. Tel die uren eens bij elkaar op… En het is nou niet zo dat we straks een kant en klaar pakketje naar de rechter kunnen sturen of zo. Verre van zelfs. Geen wonder dat ze bij de politie wel wat hulp kunnen gebruiken.”

De hackathon wordt afgesloten in een volle zaal, waar de teams hun bevindingen aan elkaar en aan de overige aanwezigen presenteren. Wat die informatie concreet waard is, weet op dat moment niemand van hen. Dat zal later moeten blijken wanneer de politie met de resultaten aan de slag gaat. Desondanks is er wel een prijsuitreiking. Op basis van de zojuist gegeven presentaties, mag er in de zaal worden gestemd op het favoriete team. Die stemming is – vanzelfsprekend in dit gezelschap – digitaal. Als het systeem tenminste werkt, wat aanvankelijk niet het geval lijkt. De sfeer in de zaal wordt enigszins jolig.

Politieman: “Natuurlijk werkt het niet. Microsoft hè.”

Microsoftman: “Prima, dan lossen jullie je zaken toch voortaan weer lekker zelf op.”

Georges van den Eshof, coördinerend officier van justitie cybercrime van AP Den Haag (links) en Freek Klapwijk, teamleider bij de districtsrecherche Den Haag-West.

'Ik was echt onder de indruk van de enorme drive en betrokkenheid van de deelnemers'

De meerwaarde van een frisse blik

De politiehackathon is een innovatieve vorm van burgerparticipatie. Door cyberexperts uit het bedrijfsleven bij de opsporing te betrekken, hopen politie en justitie meer zaken te kunnen oplossen. Maar ook het creëren van jurisprudentie is een nadrukkelijk doel. Want hoe hoopvol de resultaten ook mogen stemmen, uiteindelijk is het de rechter die beslist over de rechtmatigheid ervan.

Ruim een maand na de hackathon blikken Freek Klapwijk, teamleider bij de districtsrecherche Den Haag-West, en Georges van den Eshof, coördinerend officier van justitie cybercrime van AP Den Haag, terug op een geslaagd evenement. Beide heren waren de hele dag bij de hackathon aanwezig. Klapwijk rende met zijn laptop onvermoeibaar heen en weer om vragen van de verschillende teams te beantwoorden. Officier Van den Eshof was vooral druk met het te woord staan van de aanwezige pers. Waarbij de meest voor de hand liggende vraag natuurlijk was: kunnen politie en justitie hun eigen boontjes niet doppen?

Van den Eshof: “Het idee voor de hackathon is drie jaar geleden ontstaan vanuit de politie eenheid Den Haag. Niet zozeer om een capaciteitsprobleem op te lossen, maar meer om te kijken hoe men van elkaar kan leren. Wat levert het op wanneer iemand met een andere achtergrond en met een frisse blik met dezelfde informatie aan de slag gaat? En natuurlijk speelt capaciteit ook een rol. Digitale criminaliteit rijst de pan uit. De politie heeft niet de middelen en de mensen om in elk cyberonderzoek helemaal tot aan het gaatje te gaan. In elke zaak alle opsporingsmogelijkheden benutten is onmogelijk. Wanneer er nieuwe zaken binnenkomen, die meer urgentie en een grotere slagingskans lijken te hebben, dan blijven oudere zaken onvermijdelijk liggen.”

Was het moeilijk om de juiste mensen te enthousiasmeren voor de hackathon?

Klapwijk: “De animo was enorm. Veel deelnemers die vorig jaar meededen, wilden dit jaar weer meedoen, maar ook veel nieuwe mensen hebben zich aangemeld. Daar zijn we enorm blij mee. Het zijn allemaal professionals, mensen met een drukke baan en een druk bestaan, die toch die ene dag willen vrijmaken om te kijken of ze ons, maar vooral de maatschappij kunnen helpen. Dat is best bijzonder.”

Van den Eshof: “Ik was echt onder de indruk van de enorme drive en betrokkenheid van de deelnemers. Veel van hen waren na afloop het liefst nog uren doorgegaan.”

In hoeverre is het spannend om IP-adressen, telefoon- en bankrekeningnummers, en andere specifieke informatie uit lopende onderzoeken met burgers te delen?

Van den Eshof: “Als je dat weloverwogen doet, en daar goede afspraken over maakt - en dat doen we - dan is dat niet zo heel spannend. Bij Opsporing Verzocht worden al jarenlang beelden van, en informatie over verdachten gedeeld met het publiek. Natuurlijk is er een verschil, maar is dit zo wezenlijk anders? Ik denk het niet. De vraag is hoe de rechter daarover denkt. Houdt het bewijs dat je op deze manier hebt verkregen ook stand in de rechtszaal? Dat weten we niet. Daarvoor zullen we eerst met zo’n zaak op zitting moeten staan. Dat is na de eerste twee edities van de hackathon helaas nog niet gelukt.”

Nu wel?

Klapwijk: “Er zijn zeker nieuwe aanknopingspunten gevonden. Meer dan in voorgaande edities. In een van de zaken is door een team zelfs de naam van een concrete verdachte achterhaald, compleet met woonplaats en emailadres. We zijn momenteel druk bezig om dat verder uit te rechercheren. Tot nu toe lijkt dat waardevolle informatie te zijn. In een andere zaak is een spoor gevonden naar een mogelijke verdachte. Die zaak is wat complexer omdat we daarin een aantal internationale vorderingen moeten doen, maar ook dat ziet er goed uit. De manier waarop men die informatie heeft gevonden bewijst gelijk de meerwaarde van deze samenwerking. Een rechercheur verzamelt zoveel mogelijk informatie en gaat dan kijken wat hij daar verder mee kan. Een hacker gaat anders te werk. Die begint bij het strafbare feit en denkt: hoe zou ik het zelf doen? Dat kan heel andere resultaten opleveren. En sommige dingen zijn ook gewoon nieuw voor me. Een van de teams had bijvoorbeeld een geverifieerd account gevonden op een bepaald reviewplatvorm. Die verificatie kan alleen worden gedaan met een bankrekeningnummer en een ID-bewijs. Dat wist ik niet. Die informatie gaan we zeker opvragen bij het betreffende platform.”

Wat zijn de gevolgen als de rechter hier in meegaat?

Van den Eshof: “Ik kan mij voorstellen dat je het dan niet meer beperkt tot één evenement per jaar. En dat je het breder uitrolt. De zaken die voor deze hackathon zijn geselecteerd zijn allemaal Haagse zaken. Als straks blijkt dat deze aanpak loont en juridisch standhoudt, dan lijkt het mij niet onlogisch dat het landelijk navolging krijgt. Maar daar hebben we tot dusver nog niet te veel over nagedacht. Eerst maar eens een zaak rondkrijgen waarmee we naar de rechter kunnen.”