Klopjacht op digitale schimmen opgevoerd

Teamleider Pim Takkenberg van het KLPD en officier van justitie bij het landelijk parket Lodewijk van Zwieten richten hun pijlen vooral op 'botnetherders'.

Het gaat om cybercriminelen die miljoenen computers met virussen besmetten om ze zonder medeweten van de eigenaar voor frauduleuze doeleinden te gebruiken. Zij verhuren gegijzelde computers aan criminele organisaties die via dit 'botnet' spam versturen, bank- en persoonsgegevens van computergebruikers ontfutselen en porno verspreiden.

Domeinnaam

'Ze zijn lastig op te sporen', zegt Takkenberg. 'Digitale criminelen werken in een virtuele wereld, waar niemand hun ware identiteit kent. Hun digitale roepnaam is hun identiteit geworden.' Maar dat is niet per se een nadeel, legt Van Zwieten uit, 'want hun geloofwaardigheid is verbonden aan die domeinnaam. Zodra iemand anders ermee aan de haal gaat, stort hun wereld in. Daarom reageren ze ook zo heftig als we hun domeinnaam afnemen of afsluiten.'

Iemands identiteit afnemen mag niet in de echte wereld, erkent Van Zwieten. In cyberspace kan dat wel met virtuele namen. 'Opsporing en vervolging van cybercriminelen is een continue zoektocht naar nieuwe mogelijkheden.'

'Bredolab'

Eerder deze maand boekte het Team High Tech Crime een grote overwinning met de ontmanteling van het 'Bredolab, een botnet van miljoenen gegijzelde computers. Het webhostingbedrijf Leaseweb in Haarlem vermoedde dat iemand ergens in de wereld misbruik maakte van zijn infrastructuur. Na tien weken onderzoek kwamen Takkenberg en Van Zwieten erachter dat een man in Armenië de operatie aanstuurde. Hij besmette maandelijks 3 miljoen computers wereldwijd en verhuurde of verkocht de gegijzelde apparaten aan criminele organisaties.

Het Team High Tech Crime haalde de infrastructuur van de Armeniër uit te lucht, stuurde eigenaren een bericht dat hun apparaat geïnfecteerd was en verstrekte de software om de besmetting ongedaan te maken. Volgens sommigen is het team buiten zijn boekje gegaan. Het zou op zijn beurt een ongeoorloofde inbraak hebben gedaan bij de computereigenaren.

Ontmanteling

Takkenberg en Van Zwieten erkennen het probleem, maar zien zich gesteund door de wet. 'Onze jurisdictie houdt feitelijk op bij de landsgrens', aldus Van Zwieten. 'Maar omdat het gevaar zo groot was, hebben we deze stap gezet om de schade te beperken.'

Hoeveel schade de Armeense botnetherder heeft aangericht, moet nog blijken. Nu zijn netwerk is ontmanteld, leggen Takkenberg en Van Zwieten zich toe op het achterhalen van zijn klanten, bendes die een botnet gebruiken om bijvoorbeeld creditcardgegevens te stelen om frauduleuze onlinebetalingen te doen.

Digitale spoor

Veel cybercriminaliteit loopt via Nederland, want met de Amsterdam Internet Exchange is Nederland een knooppunt van Europees internetverkeer. 'Als je het digitale spoor volgt, kom je hier vaak niet verder dan de katvanger', zegt Takkenberg, doelend op een loopjongen die criminelen gebruiken om geld te innen. 'De baas zit elders in zijn luie stoel achter de computer.'

Takkenberg reist stad en land af om cybercriminelen te ontmaskeren. Het spoor leidt vaak naar Oost-Europa en Rusland. 'Daar zitten goed opgeleide jongeren die na hun studie weinig mogelijkheden hebben om legaal een goed inkomen te verdienen.'

Internationale opsporing

De Internationale samenwerking gaat steeds beter, zegt Van Zwieten, 'omdat landen niet te boek willen staan als digitale schurkenstaten'. De Armeense hoofdverdachte van Bredolab wordt niet aan Nederland uitgeleverd, maar komt wel in Armenië voor de rechter. De internationale opsporing is heel goed verlopen', zegt Van Zwieten. 'Ik verwacht dat hij een stevige straf krijgt.'

Is deze ontmanteling geen druppel op de gloeiende plaat? 'Dit is echt het topsegment van de cybercriminaliteit', zegt Takkenberg. Het onthullen van de grote botnetherder in Armenië is meer waard dan het opsporen van een groepje skimmers in Nederland. Het brengt een schokgolf teweeg onder de criminelen en de breinen die misbruik maken van de Nederlandse infrastructuur.