De sluwe systeembeheerder

Een systeembeheerder die goochelde met ‘scripts’, ‘achterdeurtjes’ en identiteiten. Die met buitgemaakte gegevens en wachtwoorden de socialmedia-accounts van nietsvermoedende slachtoffers binnendrong en overnam. Die tegelijkertijd oplichtte én verduisterde. Kon officier Gerben Wilbrink en zijn rechercheteam de man die zijn laptop letterlijk direct dichtklapte als hij onraad rook, inrekenen op heterdaad?

“Als officier ben ik wel wat alerter, omdat ik ongeveer weet wat er kan bij cybercrime. Maar als ik zie hoe Jean P. in deze zaak te werk ging, had ook ik slachtoffer van hem kunnen worden.”

Met enige bewondering verhaalt Gerben Wilbrink, officier van justitie van parket Noord-Nederland, over verdachte P. Hoe P. kans zag om de digitale identiteit van anderen over te nemen. Hoe hij met de gegevens van anderen online goederen wist te bestellen. Hoe P. kans zag om de mailboxen van andere mensen binnen te dringen. Met de foto’s van paspoorten en andere legitimatiebewijzen in die mailboxen, kon P. accounts op andermans naam openen. Ook nam hij het Facebook-account van anderen over.

“Daarbij beschikte hij over de sociale intelligentie om dat uit te buiten. Eerst bestudeerde hij de Facebook- en mailactiviteiten van mensen. Hun familie- en vriendenkring. Zag hij bijvoorbeeld dat iemand voor zijn werk een week naar Parijs ging? Dan stuurde hij in die week vanuit het account van die Parijs-ganger een berichtje naar vrienden: ‘Zeg Gerben, ik zit in Parijs en nu zit ik zonder geld omdat mijn bankpasjes zijn gestolen. Zou je wat geld kunnen overmaken, anders kom ik hier niet weg?’ Als P. dat bij mij had gedaan, was ik er misschien ook ingetrapt. Hij wist precies wat mensen deden, en of ze van paarden, boeken of muziek hielden. Omdat hij in zijn berichten tal van persoonlijke details opnam, kwam hij geloofwaardig over.”

Goksites

P. was een intelligente, rustige man, zag Wilbrink later op zittingen in 2016, 2017 en 2018. Netjes in pak en stropdas. Deels van Vietnamese afkomst, maar wel in Nederland opgegroeid. Sprak en schreef vloeiend Nederlands. Wel met een gokverslaving, en die moest gefinancierd worden.

“Hij was enorm op goksites actief. Maar als je daarop te actief bent of te veel inzet, grijpt zo’n site in. Dus gebruikte hij de identiteiten van andere mensen om te gokken. Volstrekt onschuldige mensen, een meisje uit Veendam bijvoorbeeld – hadden ineens een account in Las Vegas voor online gokken, zonder ervan af te weten. Ook een beroepsmilitair kreeg problemen op zijn werk, nadat P. zijn identiteit had gebruikt voor oplichting. Dergelijke slachtoffers moeten zich de blaren op de tong praten om aan te tonen dat zij niets met die oplichting te maken hadden. Wij hebben hen daar met brieven ook in kunnen helpen.”

Het onderzoek naar P. begint al in op 24 november 2014, als hij wordt aangehouden op verdenking van verduistering van een huurauto. Politie en justitie treden binnen in zijn woning in Leeuwarden en nemen verdachtes Apple Macbook in beslag. Daarop staan gegeven die leiden tot verdenkingen van nog wat kleine oplichtingen. Zoals inloggegevens, gebruikt voor bestellingen bij webshops.

Gerben Wilbrink: “Die eerste actie van het basisteam bleek later veel waard, omdat daarop veel informatie is aangetroffen die we later konden linken aan aangiftes waar we pas later zicht op kregen.”

Na de eerste verdenking blijkt dat P. op grotere schaal bezig is. De zaak wordt opgeschaald van basisteam Sneek – waar de verdachte ook verbleef – naar de recherche. Dan komen, maand na maand en uit het hele land, meer vergelijkbare aangiftes van verduistering binnen. P. moet dus opnieuw worden opgepakt.

Da’s makkelijker gezegd dan gedaan. Want niet alleen is P. moeilijk te volgen omdat hij zich steeds blijkt te verplaatsen, vooral van hotel naar hotel. Ook moet hij per se op heterdaad worden aangehouden: rommelend achter zijn computer.

Als er zicht op P. komt, wordt hij een tijd door een observatieteam gevolgd. Het OT ziet hoe alert P. is. Als hem in een horecagelegenheid een kop koffie wordt gebracht door een serveerster, klapt hij steeds direct zijn laptop dicht. Wilbrink: “Dat mocht ons bij een aanhouding niet overkomen: dan zou de laptop direct vergrendeld worden. Gezien zijn expertise, was het maar de vraag of we dan die laptop dan nog in zouden kunnen.”

Uiteindelijk doet zich een goede kans voor, als P. bij hotel Wientjes in Zwolle achter zijn laptop zit. Het arrestatieteam kruipt letterlijk onder bloembakken door tot ze achter zijn rug zijn. Eén AT’er stort zich op P, een ander duikt op de laptop, samen met digitale rechercheurs. Gerben Wilbrink: “Nee, bij de actie zelf was ik niet aanwezig – ik zou alleen maar in de weg lopen. Maar op afstand volgde ik het op de voet.”

De open laptop blijkt goud waard. Digitale rechercheurs zien dat P. beschikt over twintigduizend gebruikersnamen. En dat P. twaalfhonderd gesprekken open heeft staan. P. zit gewoon de hele dag door geld binnen te harken!”

Cloud

Het onderzoeksteam vreest dat P. een deel van de gegevens in ‘the cloud’ heeft verborgen. Daar kan het team dan niet bij, terwijl P. zelf daar later wel weer gebruik van kan maken. Ze besluiten veel sites en clouds van hem dicht te gooien, gebruik makend van informatie op de laptop en van wachtwoorden daarvoor die P zelf gaf. Wilbrink: “We hebben niet te lang gepiekerd of we daar toestemming van de RC voor nodig hadden. Of dat we eerst een rechtshulpverzoek naar Amerika en Microsoft zouden gaan sturen. Ik vond het belang van het dichtgooien van die clouds groter dan het individuele belang van meneer P. De verdediging van P. heeft daar later geen verweer tegen gevoerd.”

Direct na de aanhouding volgen doorzoekingen in de woning van zijn vrouw, zijn ex. Daar is officier Wilbrink wel bij, samen met een rechter-commissaris.

Maar dan? Lukt het de politie om de modus operandi van P. te begrijpen. En zou hun verhaal daarna ‘landen’ bij officier Gerben Wilbrink (geen cyberofficier, maar een ondermijningsofficier, gespecialiseerd in fraude)?

Wilbrink: “Een aantal nieuwe digitale rechercheurs uit het team heb ik gevraagd het mij eenvoudig uit te leggen. Want als ik het niet snapte, was de kans groot dat de juristen van rechtbank het cyberverhaal ook niet zouden doorgronden.”

Achterdeurtje

Wilbrink begréép wat P. flikte, blijkt uit de uitleg van de officier. “P. was een systeembeheerder, zowel in loondienst als als zzp’er. Hij heeft voor bedrijven websites gebouwd en beheerd. Sites zoals bol.com gebruiken een softwaremodule waarmee hun klanten via een gebruikersnaam en wachtwoord goederen kunnen bestellen. In principe kan een bedrijf als bol.com helemaal niet zien wat jij voor wachtwoord hebt. Dat ‘zit dicht’. Maar P. bouwde bij de sites van een aantal bedrijven een ‘achterdeurtje’ in, waardoor die wachtwoorden voor hem wel zichtbaar werden. Zo kreeg hij veel gebruikersnamen en wachtwoorden, waar hij een hele Excell-lijst van had.

Met die gegevens maakte hij een ‘script’. Dat is een bestand dat met één muisklik blootlegt of op andere sites ook kan worden ingelogd en besteld met de buitgemaakte combinaties van gebruikersnamen en wachtwoorden. En P. zag daarmee waar hij al op hoopte: hele volksstammen gebruiken voor meerdere sites dezelfde combinatie van gebruikersnaam en wachtwoord. Sommige mensen variëren een klein beetje met die wachtwoorden. Dat probeerde P. ook, en dat leverde weer meer combinaties op waarmee hij op kosten van anderen kon bestellen.

Met dezelfde combinaties van gebruikersnamen en wachtwoord kwam P. óók in mailbox van slachtoffers. Ook daar klopte de gok van P. vaak: iemand die wachtwoorden en gebruikersnamen gebruikt bij Hotmail, gebruikt exact dezelfde ook bij Ziggo of bij KPN. Via deze methode kwam P ook binnen bij Facebook-accounts van anderen. Het was een heel gepuzzel, maar intensief onderzoek aan de laptop van P. heeft dat boven water gehaald.”

Met de gegevens bestelt P. tal van goederen, zoals dure geluidsapparatuur. Die laat hij door katvangers ophalen of bij hen bezorgen. In principe werkt P wel alleen: hij is het meesterbrein, dat alles van bovenaf uitvoert. P

P. gebruikt ook 3V-cards, naamloze creditcards, waarop hij zijn Facebook-slachtoffers grote bedragen laat overmaken. Die kun je op zich niet achterhalen, weet Wilbrink. “Maar we hebben wel camerabeelden kunnen veiligstellen, waarop we zagen dat hij geld pint en geld opneemt.”

Cybercrimeofficieren

Het levert P. veel geld op. Hoeveel, dat weet Wilbrink niet. De officier gaat uit van de ongeveer veertig zaken die hij uiteindelijk op de tenlastelegging heeft gezet, plus tientallen andere zaken die hij ‘ad informandum’ in zijn dossier toevoegde.

“Dan komen we uit op een schadebedrag van ruim anderhalve ton. Als je weet hoe lang hij er dagelijks mee bezig is geweest, is het werkelijke schadebedrag is vermoedelijk veel groter. Maar we hebben niet alles kunnen doen; het was al een krachttoer om dit allemaal voor elkaar te krijgen.”

Want een strafrechtelijke onderzoek managen is een kunst apart. “Kijk, als wel direct hadden geweten hoe groot deze zaak was, waren we met een groter team gestart. Maar zo als het vaker loopt bij fraudeonderzoeken: het begon klein en lokaal, en al doende zagen we het grotere verband. We konden steeds meer aangiftes aan P. koppelen. En het team kreeg steeds meer telefoontjes uit andere regio’s: kon Noord-Nederland hun verhuisdozen over P. ook niet mee nemen in het onderzoek? Ik heb op een gegeven moment alle cybercrimeofficieren gemaild over de status van de zaak. Met daarbij het verzoek: als jullie zaken hebben die erop lijken, stuur ze dan naar ons toe. Graag uiterlijk die datum naar ons en liefst zo panklaar mogelijk aangeleverd bij ons. Zo hebben we nog een heel aantal zaken kunnen meenemen. Uiteindelijk heeft een politieteam een half jaar fulltime aan het onderzoek gewerkt. Daarnaast was er inzet van observatieteams en een AT. Via de laptop moest alles worden uitgelezen en beschreven wat de modus operandi was. Omdat we steeds nieuwe dingen ontdekken waarmee P moest worden geconfronteerd, is hij tientallen keren verhoord. Hij bekende maar mondjesmaat, en vooral omdat er steeds meer lag waar hij niet onderuit kon.

Zonnige kijk

Tegelijkertijd moesten we het overzicht zien te houden en de boel beheersbaar houden. Samen met de rechercheofficier, stuurcommissie en politieleider hebben we daarover vaak gesproken. Je moet ook een keer afronden: er liggen meer zaken te wachten.”Op de zittingen geeft P. ondertussen weinig inzicht in zijn daden. Hij vertelt niet veel meer dan dat hij een verslaving had die betaald moest worden. Wilbrink: “Hij had een nogal zonnige kijk op het leven. Die anderhalve ton die hij straks misschien moest terugbetalen? Man, die zou hij als ict’er met zijn kwaliteiten toch zo hebben terugverdiend! ‘Is dat niet een klein beetje te optimistisch?’, vroeg ik hem op zitting. Hij vond van niet. Dat was voor de reclassering ook lastig: om met iemand te kunnen werken, moet diegene wel probleembesef hebben. Daarom heb ik een onvoorwaardelijke vrijheidsstraf geëist.”

“Vier jaar eiste ik. Vanwege de omvang van de zaak. Het aantal slachtoffers dat was gemaakt. Het grote schadebedrag. De grote inbreuk op de privacy. Dat hij bij mensen de inbox van hun mail is binnengedrongen. Daarin staat alles wat je vroeger in dikke multimaps had staan: belastingaangiftes, inkomensverklaringen, hypothecaire leningen, een aanvraag van een uitkering, sollicitaties. Het hele persoonlijke leven van mensen staat vaak in die inbox. Dus de inbreuk op de privacy is immens. En daarmee heeft hij het vertrouwen van mensen geschonden door zich voor te doen als familielid of vriend. In het strafmaatoverleg op het parket vonden wij dat allemaal strafverhogend.

Op 18 juni 2018 kwam het vonnis van de meervoudige Noordelijke Fraudekamer van Rechtbank Noord-Nederland. De rechtbank ging bijna geheel mee met de OM-eis.

Wilbrink: “Maar waar ik vond dat P eerst maar in detentie moest en we later bij de voorwaardelijke invrijheidsstelling wel zouden zien of reclasseringstoezicht nuttig was, hield de rechtbank het initiatief liever bij zich zelf door bij vonnis al op te leggen dat de reclassering met hem aan de slag moest. Ik kon me goed vinden in het vonnis en ben niet in appèl gegaan. De verdachte heeft wel hoger beroep aangetekend.”


Bron: Opportuun

Print Friendly Version of this pagePrint Get a PDF version of this webpagePDF