Terugblik 2023: ‘Een inbraak waarvan je nooit weet of die voorbij is.’

‘Na een verzoek van de FBI gingen wij als Rotterdams cybercrimeteam medio 2020 aan de slag met een zaak die de Amerikanen “Operation Cookiemonster” noemden', vertelt Van Well. 'De server van Genesis Market stond mogelijk in Nederland. Op deze site werd de gestolen online-identiteit van ruim twee miljoen nietsvermoedende mensen te koop aangeboden, met klantenservice en al. Naast miljoenen inloggegevens en wachtwoorden verkocht Genesis Market ook de bijpassende online vingerafdrukken waarmee criminelen zich tot in detail konden voordoen als hun slachtoffers. Zo konden ze bijvoorbeeld inloggen op bankrekeningen en webwinkels.'

Eigen onderzoek
'Voor ons begon Operatie Cookiemonster met technische ondersteuning. Genesis Market had wereldwijd zo’n 30.000 gebruikers en daarover kregen wij data van de Amerikanen. Dat ging om 80 miljoen regels met gegevens van zowel slachtoffers als daders. Daarin zagen wij ook allerlei Nederlandse gebruikers opduiken. Om die te identificeren en aan te houden zijn we een eigen onderzoek gestart. Uiteindelijk kwamen we tot een selectie van 170 mogelijk Nederlands verdachten. Daaruit hebben we de grootste gebruikers gefilterd. Naar een aantal van hen is een strafrechtelijk onderzoek opgestart.’
Op 4 april 2023 kwam Operatie Cookiemonster in zeventien landen tegelijk tot een climax, aldus Van Well. ‘Wereldwijd werden die dag 120 aanhoudingen verricht. Wij hebben in Nederland zeventien verdachten aangehouden. De oudste was rond de veertig, maar er zaten ook een paar minderjarigen tussen. Qua kennisniveau waren het lang niet altijd stereotype hackers. We zagen ook wel jongens van de straat, die daarvoor scooters stalen of overvallen pleegden. Zo troffen we bij meerdere verdachten drugs aan, maar ook een AK-47 met munitie.'

Opgelicht
'De eerste Nederlandse dader is inmiddels veroordeeld. In een van de strafzaken sprak de officier van justitie van “een inbraak waarvan je nooit weet of die voorbij is.” Dat maakte het extreem zwaar voor de slachtoffers. Wereldwijd waren twee miljoen slachtoffers in beeld, onder wie 50.000 Nederlanders. Een van hen werd zes maanden lang op allerlei manieren opgelicht. Er verdween bijna 70.000 euro van zijn beleggingsrekening. Ook werden er geregeld spullen op zijn naam besteld in webwinkels. Die man was radeloos en had geen idee hoe hij er iets aan kon doen. Zelf vertelde hij tegen ons dat het voelde alsof hij in een zwembad lag waarvan hij de kant en de bodem niet zag, terwijl hij geen idee had hoe hij eruit moest komen. Da’s toch vreselijk?’

Digitale vingerafdruk
'Met zo’n digitale vingerafdruk “klonen” criminelen iemands online identiteit’, legt Ruben uit. ‘Voorheen gaven we in dit soort zaken altijd het advies: “Als je gegevens zijn gelekt, wijzig dan je wachtwoord.” In dit geval werkte dat niet; het wachtwoord veranderde bij de criminelen dan gewoon mee. Omdat het publiek zich hier niet van bewust was, hebben wij vanuit Nederland een wereldwijde communicatiecampagne gehouden. Via politie.nl lanceerden we de website “Checkjehack”. Hier konden mensen zelf kijken of hun computer besmet was.
Met verschillende video’s en een podcast werden slachtoffers en daders gewaarschuwd. We bereikten er zeventien miljoen mensen mee en meer dan vijf miljoen mensen deden de check of hun inloggegevens in handen van criminelen waren gevallen. Zo vonden we 13.000 potentiële slachtoffers, die we meteen per mail konden helpen om hun online identiteit terug te krijgen. Later konden we door de samenwerking met anti-viruspartijen nog eens honderdduizenden mensen die besmet waren ook echt helpen om hier vanaf te komen. Da’s toch supergaaf? De campagne viel ook nog in de prijzen. “We wonnen de prestigieuze Galjaardprijs. Zowel het publiek als een vakjury vond “Check je hack” de beste publiekscampagne met de meeste impact. Dat was echt wel de kers op de taart.’

Dit verhaal maakt deel uit van een vierdelige interviewserie waarin politiemedewerkers terugblikken op het afgelopen jaar.