Tekst Saskia Bogaart
Foto Bart van Vliet
Ransomware. DdoS-aanvallen. Phishing. Microsoft oplichting. Criminaliteit verschuift steeds meer van offline naar online. Het kabinet trekt daarom 95 miljoen euro uit voor digitale veiligheid. Een deel daarvan gaat naar de politie, die daar onder meer cybercrimeteams mee opricht. Het nieuwe cybercrimeteam Midden-Nederland sleepte direct al de Wim van Doorn Award in de wacht. Een onderscheiding op het gebied van (inter)nationale fraudebestrijding.
Een van de redenen waarom de jury zo lovend is over het cybercrimeteam, is de intensieve samenwerking met externe partijen. “We hebben een uitstekende band met banken en online verkoopplaatsen, zoals Marktplaats. Daardoor kunnen we verdachten sneller aanhouden”, vertelt teamleider Martin Steffens. “Neem camerabeelden van een pintransactie. Vroeger waren die beelden soms al vernietigd voordat wij de vordering rond hadden. Nu vragen we de bank de beelden veilig te stellen, terwijl wij het papierwerk in gang zetten.”
Ook Marktplaats houdt informatie beschikbaar tot Steffens en zijn team deze komen halen met een vordering. Van IP-adressen tot telefoonnummers. “Daardoor kunnen wij iemand makkelijker identificeren.” Dat werkt. Het cybercrimeteam heeft in haar tweejarig bestaan tientallen verdachten kunnen aanhouden.
Cybercrimeteams
Een cybercrimeteam bestaat uit tien tactische rechercheurs, die ‘ouderwets’ politiewerk verrichten, zoals onderzoek doen, getuigen horen en verdachten aanhouden. Hun kennis en kunde wordt aangevuld met extra expertise in de vorm van een financieel rechercheur, een analist en digitaal specialisten. De politie richt door heel Nederland op dit moment tien cybercrimeteams op.
Vergrendelde smartphones
Als een verdachte eenmaal is aangehouden, lopen de rechercheurs er vaak tegenaan dat smartphones en andere devices vergrendeld zijn. Met wachtwoord, vingerafdruk of pincode. “Alles zit op slot. Als een verdachte niet wil meewerken, dan kent ons team trucjes om een device toch te ontgrendelen. En onze digitale rechercheur weet met de juiste software informatie uit computers van verdachten te halen.” Dat is hard nodig, want cybercriminelen worden steeds slimmer.
Veel cybercriminaliteit start met een phishingmailtje waarin om wachtwoorden of persoonlijke gegevens wordt gevraagd. Phishers sluiten steeds vaker aan op persoonlijke gegevens die mensen delen op sociale media. “Of ze maken misbruik van informatie die bedrijven online zetten. Dan ontvangt bijvoorbeeld een administratief medewerker een e-mail van de ‘directeur’, die vraagt of er met spoed een bedrag op een onbekende rekening gestort kan worden.”
Wat je zelf kunt doen
Om een groot publiek op te roepen maatregelen te nemen tegen ransomware, start het ministerie van Justitie en Veiligheid in maart 2018 een cybercrime-campagne. Nadruk ligt op het handelingsperspectief: bescherm je persoonlijke bestanden tegen internetcriminelen en installeer software- en app-updates direct, want die bevatten vaak belangrijke beveiligingsupdates. In drie campagnefilmpjes die via de sociale media verspreid worden, staat steeds een ander apparaat centraal. Via verschillende media deelt het ministerie ook achtergrondverhalen van slachtoffers.
Forse straffen
Het OM neemt cybercriminaliteit zeer serieus en komt met hoge strafeisen - die de rechtbank vaak overneemt. Een duidelijk signaal. “Dat schrikt hopelijk af. Je komt echt niet meer weg met een werkstraf of drie maanden gevangenisstraf. Zo hielden we onlangs twee mannen aan voor computervredebreuk en oplichting. De rechter veroordeelde hen tot respectievelijk dertig en 24 maanden gevangenisstraf: forse straffen.”
Tussen de oren
Hoe hoog de straffen ook zijn, Steffens gelooft het meest in preventie. Aandacht in de media is daarbij een krachtig hulpmiddel. “We deden mee in een uitzending van TROS opgelicht?!. In één keer bereik je dan 1,9 miljoen kijkers. Het idee? Consequent dezelfde boodschap uitdragen. Geef je wachtwoord of pincode nooit af, klik nooit zomaar een bijlage bij een e-mail open, stuur nooit een bankpas op naar een vreemd adres. Als iemand beweert dat hij contact met je opneemt namens een organisatie als Microsoft of de ING, dan verifieer je dat. Dat móet bij iedereen tussen de oren komen. Mensen onderschatten nu nog de gevaren.”