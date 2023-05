Beeld Getty Images/Cavan Images RF

Het is inmiddels een van de meest alledaagse vormen van criminaliteit waarmee Nederlanders geconfronteerd worden: cybercrime. E-mails met linkjes die proberen de ontvanger een wachtwoord te ontfutselen. Sms'jes of appjes die van een familielid lijken, maar in feite van criminelen zijn, op zoek naar geld. Telefoontjes met babbeltrucs van mensen die zeggen van de bank te zijn en die je gelooft omdat ze zo veel van je weten.

Die criminaliteit loopt via mensen als Erkan S., een 25-jarige, pasgetrouwde, keurig pratende en op het eerste gezicht vriendelijke computernerd uit Almere. Een gewaardeerde fulltimewerknemer van een bedrijf in Amsterdam dat ‘data-oplossingen heeft voor vastgoedbeheer’. Erkan (kort geschoren zwart haar, zwarte baard, spijkerbroek en t-shirt) zegt al sinds zijn vroegste jeugd geïnteresseerd te zijn in computers. “Ik ben handig met data en heb van mijn hobby mijn werk gemaakt.”

Ongekend grote schade

Hij ziet zichzelf ook als een onlineverzamelaar van databases. “Ik verzamelde ze zoals je Pokémonkaarten verzamelt: hoe zeldzamer, hoe waardevoller.”

Maar waar het bij Pokémon om onschuldige speelkaarten gaat, ging het bij Erkan om enorme bestanden met privacygevoelige gegevens van miljoenen mensen van over de hele wereld. Databases die hackers zich hadden toegeëigend en vervolgens te koop werden aangeboden. “Op een gegeven moment zag ik dat mensen zulke databases probeerden te verkopen, toen ben ik dat ook gaan doen. Dat was een fout.”

Het Openbaar Ministerie (OM) ziet daar het begin van criminaliteit ‘met een ongekend grote schade’, stelde de officier van justitie vrijdag in de rechtbank Amsterdam. Want de kopers van de datasets, criminelen, gebruiken ze om slachtoffers te zoeken. “Je kunt gegevens combineren. Bijvoorbeeld zoeken op vrouwen geboren in de jaren veertig, die nu dus in de zeventig en tachtig zijn. En die dan benaderen voor babbeltrucs.”

Oostenrijkers, Colombianen en Nederlanders

Vrijdag stond S. in Amsterdam terecht voor het verhandelen van onder meer een database met adres- en bankgegevens van ‘bijna alle negen miljoen inwoners van Oostenrijk’. Die data stond op de computers van een bedrijf dat in Oostenrijk het kijk- en luistergeld moet innen. Erkan bood ze, onder een schuilnaam, te koop aan op RaidForum, een populaire website voor hackers.

In totaal bood hij zestien databases te koop aan, waaronder een met de medische gegevens van 4,4 miljoen Colombianen, een met gegevens van de leden van de Koninklijke Nederlandse Klim- en Bergsportvereniging en een met alle data van Lazada, een soort Aziatische Bol.com. Hij kreeg er twee verkocht, voor een paar duizend euro.

Op de laptop van S. vond de politie een zogenoemde phishingmail en honderden herstelcodes voor online-portemonnees waarin cryptomunten worden bewaard. Volgens het OM zou S. daarmeer voor minimaal 300.000 euro aan cryptomunten hebben gestolen. Precies de manier waarop de databases misbruikt kunnen worden.

Afpersing

S. is ook verdachte in een veel grotere zaak, die nog voor de rechter moet komen. Samen met drie andere Nederlanders (twee twintigers en een tiener) zou hij hebben ingebroken in de computersystemen van bedrijven, data hebben gestolen en de bedrijven daarna hebben afgeperst, waaronder het Nederlandse bedrijf Ticketcounter. Eén bedrijf betaalde zeven ton (in bitcoins) om de gegevens terug te krijgen.

De politie stelde eerder dit jaar dat ze in Nederland nog nooit op handel in data – variërend van telefoonnummers en rekeningnummers tot en met kentekens en paspoortgegevens – van deze omvang was gestuit. Mogelijk zijn gegevens van alle Nederlanders op enig moment door de pc's van het viertal gegaan.

Erkan liep tegen de lamp toen de Oostenrijkse politie probeerde te achterhalen wie de data van bijna alle inwoners van het land te koop aanbood. Agenten deden zich voor als kopers en kwamen uiteindelijk in Almere uit. S. ontkent niet dat hij de dataset wilde verkopen en ook andere sets te koop aanbood.

De Almeerder, die inmiddels zes maanden vastzit, stelt de datasets van iemand te hebben gekregen, maar wil niet zeggen van wie. In de rechtbank zei hij ook dat hij de cryptomunten niet gestolen heeft, maar alleen online-portemonnees voor iemand anders bewaarde. “Voor een vriend die ik alleen online ken.”

Nieuwsgierigheid

Het OM gelooft daar niets van en eiste vrijdagmiddag vier jaar cel. “Heling van dit soort gegevens kan een grote impact hebben en veel slachtoffers maken. Het schaadt het vertrouwen in e-mail en online bankieren, terwijl we daar afhankelijk van zijn geworden. Verdachte heeft een normale baan, maar wilde daarnaast makkelijk geld verdienen.”

Zijn advocaat stelde dat S. ‘vooral nieuwe dingen wilde leren’ en zich daarom op hackersfora bevond. Hij vindt de diefstal van de cryptomunten niet bewezen en vraagt om een straf die ongeveer overeenkomt met zijn voorarrest zodat zijn cliënt na een veroordeling snel vrij kan komen. De rechtbank doet op 19 juni uitspraak.