Team High Tech Crime jaagt op hackers
Politie vist op het net
Auteur: Hugo Logtenberg
|
13-05-2009
| Reacties: 1
|
 Mail dit artikel
Van Friese hackers tot Oekraïense criminelen: de prooi van het Team High Tech Crime van de Nationale Recherche weerspiegelt de verscheidenheid van de exploderende computermisdaad. 'Nu kunnen we laten zien wat we in huis hebben.'
Het is maart 2007 als een van 's lands grootste banken belt naar het Team High Tech Crime (THTC) van de Nationale Recherche, ondergebracht bij het Korps Landelijke Politie Diensten in Driebergen. De bank is slachtoffer geworden van fraude met een van haar populairste diensten: internetbankieren. Fox IT, een door de bank ingehuurd beveiligingsbedrijf, heeft de computers van een aantal gedupeerden onderzocht, maar is er niet in geslaagd de daders te achterhalen. Na goedkeuring door het Openbaar Ministerie neemt het THTC de zaak in behandeling. Op het kantoor in Driebergen ontstaat opwinding. Ruim een maand na de oprichting van het team - van de dertig begrote arbeidsplaatsen zijn er pas twintig ingevuld - moet het vol aan de bak. Teamleider Pim Takkenberg: 'Toch heerste er een sfeer van: nu kunnen we laten zien wat we in huis hebben.'
Na onderzoek door technisch rechercheurs van het THTC blijken klanten van de bank slachtoffer te zijn van een man-in-the-middle-attack. Daarbij wordt met een mail naar duizenden willekeurige mailadressen - die vaak via het internet worden aangeschaft - contact gelegd met even zoveel computers, voornamelijk in West-Europa. In dit geval ging het om een in slecht Nederlands opgestelde mail met de waarschuwing dat de door de ontvanger gebruikte software voor internetbankieren achterhaald is. Met één klik op een in de mail bijgevoegde link, is het euvel te verhelpen. Een dag later volgde er opnieuw een mail. Ditmaal in vloeiend Nederlands. De mail leek bovendien afkomstig te zijn van de bekende Nederlandse bank: 'Om geen slachtoffer te worden van een gisteren aan u verstuurde mail, raden wij u aan onderstaande software-update te installeren op uw computer'. Takkenberg: 'Doordat tientallen klanten van de bank gebruikmaakten van de aangeboden "service van hun bank", nestelden de criminelen zich tussen de bank en de klant.' Het gevolg: de klant maakt contact met de (ogenschijnlijke) website van de bank om een transactie te verrichten, maar maakt slechts contact met het criminele netwerk, dat op zijn beurt weer contact legt met de bank. Alleen wordt er nog wel een extra bedrag afgeschreven zonder dat de klant dit ziet. Dit bedrag komt via zogenoemde 'katvangers' bij de criminelen terecht.
Klik voor vergroting
Katvanger
De server waarop de site van de criminelen wordt gehost, zo leert nader onderzoek door het THTC, staat in het buitenland, zoals vaker bij internetfraude. In dit geval in Hong Kong, waar het THTC een kopie van de server moet zien te bemachtigen. Een gang naar China en een tijdrovende analyse van de immense hoeveelheid verkregen data, zijn het gevolg. Het levert niets op. De criminelen hebben hun identiteit vakkundig weten te verhullen. Takkenberg: 'Een webhoster is geen autoleasebedrijf, waar je een kopie van je rijbewijs moet achterlaten. Daardoor weet je bij goed georganiseerde criminelen vaak niet wie er uiteindelijk achter de knoppen heeft gezeten.'
Van teleurstelling bij het team is aan het einde van de zomer van 2007 echter geen sprake; de oplossing dient zich namelijk vanzelf aan. In zijn KLPD-mail treft een van de teamleden bij toeval een aanbod aan om snel geld te verdienen. Er hoeft slechts een rekeningnummer ter beschikking te worden gesteld. Takkenberg: 'We wisten toen nog niet zeker dat het om dezelfde organisatie ging, maar we hadden wel een sterk vermoeden.'
Van de anonimiteit van het internet wordt nu dankbaar gebruik gemaakt. Een digitaal rechercheur van het THTC meldt zich aan als katvanger, ondertekent een digitaal contract en stelt 'zijn' rekeningnummer ter beschikking. Door een in opdracht van de officier van justitie geplaatste 'tap', worden de sporen van de mailwisseling met de criminelen veilig gesteld. Nog vóór deze door de digitale rechercheurs zijn nagetrokken, staat er geld op de rekening. Het verzoek van de criminelen om het bedrag op te nemen en over te maken, laat ook niet lang op zich wachten. Om vertrouwen te wekken, wordt de suggestie gewekt dat dit trouw wordt gedaan. Als daarin opzettelijk de klad komt, volgen de THTC-leden met enige verbazing de onderlinge communicatie die daarover op gang komt tussen de criminelen. Takkenberg: 'Ze maakten zich zorgen over ons. Misschien was ons wel iets overkomen. Daar hebben we natuurlijk smakelijk om gelachen.'
Boeven vangen
Het team heeft de identiteit van de verdachten inmiddels achterhaald. Ze blijken woonachtig in de Oekraïne en Rusland. Opnieuw bemoeilijkt het internationale karakter van de criminele organisatie de opsporing, want alleen nationale politie kan tot aanhouding overgaan. De daarvoor noodzakelijke contacten heeft het THTC echter niet. Takkenberg: 'Die hebben we vanaf nul moeten opbouwen. We zijn er verscheidene keren naartoe geweest en hebben eindeloos met ze gepraat.' Uiteindelijk wordt het hele dossier in het Russisch vertaald en aan de autoriteiten overdragen. Na drie maanden onderzoek worden in oktober 2008 drie verdachten gearresteerd. Als de Russen en Oekraïeners die resultaten trots komen presenteren in Driebergen, is de stemming op het THTC-kantoor euforisch. Takkenberg: 'Dat is waarom uiteindelijk veel mensen bij de politie willen werken: ze willen boeven vangen.' In Nederland zijn dan al veertien katvangers aangehouden op verdenking van witwassen. Takkenberg: 'Die aanhoudingen konden we rustig doen, want het wegvallen van een paar van de honderden katvangers valt de criminelen niet op.' De schade voor de bank bleef beperkt tot 130 duizend euro. Takkenberg: 'Maar bedenk wel: deze criminelen waren in de laatste maand dertig banken aan het aanvallen in West-Europa. Als je daar niet tijdig bij bent, gaat het om miljoenen.'
Klik voor vergroting
Hightech crime
Achter hoge hekwerken met prikkeldraad en talloze beveiligingscamera's staat, nabij het station in Driebergen, een opvallend kantoorgebouw met verduisterde ramen. Sinds de start in 2007 - het THTC is een door het ministerie van Binnenlandse Zaken bekostigde proef voor drie jaar - houdt het team zich er exclusief bezig met de opsporing van hightech crime. Het aanvallen van websites en het infecteren van computers om via fraude of afpersing geld te verdienen, zijn veel voorkomende vormen van computermisdrijf. Het THTC komt zulke criminaliteit op het spoor via eigen onderzoek, tipgevers en meldingen door bedrijven en particulieren.
Aan een lange gang op de derde etage, afgeschermd door zeven vergrendelde deuren, zit in een kamertje informatierechercheur Pieter Samman (29) achter vier computerschermen. Hier beoordeelt hij dagelijks de binnenkomende informatie. Samman: 'De adrenalinekick zoals ik die bij schietincidenten voelde toen ik nog agent was in een probleemwijk in Utrecht, maak je in deze baan niet mee.' Maar dat was ook niet wat hij zocht toen hij vier jaar geleden solliciteerde bij de Nationale Recherche. Hij wilde meer intellectuele diepgang na vier jaar als diender. Dat kon.
Na interne opleidingen bijt Samman zich nu vast in vragen waarop collega's zijn vastgelopen. Zo achterhaalde hij onlangs met een internetrechercheur, op verzoek van de Amerikaanse inlichtingendienst FBI, de identiteit van een Nederlandse hacker. De man wilde een netwerk van veertigduizend geïnfecteerde computers (een 'botnet') verkopen aan een Braziliaan. Vraagprijs: 25 duizend euro. Samman: 'Het enige dat we hadden was de bijnaam waarmee de dader actief was op het internet. Binnen een paar dagen kwamen we via een internetforum achter een tweede bijnaam, die ons, na lang zoeken, leidde naar een oude foto van een brommer met daarop een nauwelijks leesbaar nummerplaatje. Zo hebben we uiteindelijk achterhaald dat het om een twintigjarige man uit Sneek ging.' De Fries staat binnenkort terecht.
Druk
De zaak is illustratief voor het werk van het THTC, zegt Takkenberg. 'Bij aanvang in 2007 was het grootste probleem de onwetendheid over de gevaren en de weigering van bedrijven om aangifte te doen uit angst voor imagoschade.' Mede als gevolg van de spam die mensen dagelijks ontvangen, is onwetendheid niet langer de grootste zorg van het THTC. 'Dat is de razendsnelle groei en professionalisering van de criminaliteit', zegt Takkenberg.
'Bij hightech crime is de verscheidenheid zo groot is als je eigen fantasie', zegt Lodewijk van Zwieten, die als officier van justitie bij menig THTC-onderzoek betrokken is. De explosieve groei en de ongrijpbaarheid van de virtuele wereld bemoeilijken bovendien het zicht op de omvang van het probleem en dus op het succes van het THTC. Want zo lang de omvang van het probleem niet bekend is, blijft onduidelijk of het THTC een substantieel deel van deze criminaliteit aanpakt of maar een klein deel.
Over het belang van de aanpak bestaat echter geen twijfel bij politie, justitie en politiek, zegt Takkenberg. 'Het gaat vaak om vitale sectoren als de bank- en energiesector die worden aangevallen. Dan loopt het schadebedrag snel op.' De toekomst van het team lijkt dan ook gegarandeerd. Officieel wordt daar deze zomer door het kabinet over besloten. Een woordvoerder van het ministerie van Binnenlandse Zaken laat weten 'goede ervaringen' te hebben met het team. 'De kans dat we ermee stoppen, lijkt me dan ook klein.' Takkenberg: 'Ik denk dat we na de zomer nog wel wat extra mensen kunnen gebruiken.'
fotografie Mark van der Zouw
Elk voordeel...
Door onze welvaart, de hoge internetpenetratie en hoogwaardige infrastructuur (zoals de Amsterdam Internet Exchange - één van 's werelds grootste internetknooppunten) is Nederland een gewild doelwit voor internetcriminelen. Diezelfde voorwaarden trekken tegelijkertijd ook (aan internet gelieerde) bedrijven, onderzoeksinstellingen en gespecialiseerde opleidingen aan. Zelfs de in Nederland gepleegde hightech crime brengt een voordeel met zich mee: 'Met de opgedane kennis drijven we handel en met het THTC loopt Nederland voorop als het gaat om de opsporing van deze georganiseerde vorm van criminaliteit, zegt officier van justitie Lodewijk Van Zwieten. THTC'er Pim Takkenberg. 'Onze kennis en expertise biedt ons overal ter wereld ingangen bij collega's, zelfs bij de Amerikaanse inlichtingendienst FBI.'
Creatief binnen de wet
Een probleem bij de bestrijding van hightech crime is de wetgeving. Het in 2006 in Europees verband overeengekomen Cybercrime Verdrag biedt onvoldoende juridische mogelijkheden. Officier van justitie Lodewijk Van Zwieten: 'Het wetgevingsproces gaat altijd langzamer dan de ontwikkeling van de criminaliteit. Dat maakt dat we creatief moeten zijn binnen de mogelijkheden die de wet biedt.' Met een glimlach: 'Zoals internetcriminaliteit nog in de pioniersfase zit, geldt dat ook voor de opsporingsmogelijkheden.'
Wellicht ook interessant:
Meer artikelen in de rubriek
'ICT'
Reageer, print of deel dit artikel
Reacties op dit artikel:
Kor van Hulten | 24 oktober 2010 (15:08)
Duidelijk verhaal.
Zag de heer Pim Takkenberg op TV afgelopen zaterdag 23-10-2010.
Vandaar dat ik naar deze website zocht.
Ook toen had hij had een helder verhaal.
Dit in tegenstelling tot de kletspraat die ING mij meestal terugmailt, als ik weer eens een - tot nu toe - slordig poging tot internet-bankieren-inbraak-poging aan ze doormail.
PS
Mijn complimenten voor de afhandelingsvoorwaarden van mijn reactie. Netjes, hoor!
|
