Operatie Cookiemonster: strak gecoördineerde actie in 17 landen
Ministeries
Ruim 200 invallen en 121 aanhoudingen in 17 landen, waaronder 23 invallen en 17 aanhoudingen in Nederland. De Nederlandse verdachten in het onderzoek ‘Cookiemonster’ zouden zich schuldig hebben gemaakt aan het plunderen van bankrekeningen, het stelen van cryptomunten, het kapen van social-media profielen en het afpersen en oplichten van mensen en bedrijven. Ruben van Well, teamleider van het Cybercrimeteam van de Eenheid Rotterdam, vertelt over dit grootschalige internationale cyberonderzoek.
Het begon allemaal in 2019. De FBI kwam toen de illegale online handelsplaats Genesis Market op het spoor, waar pakketjes met gegevens van slachtoffers werden verkocht. Soms alleen inloggegevens voor een bepaalde site, maar soms ook hun 'online vingerafdruk': de set gegevens die een gebruiker echt uniek maakt. Daarmee kunnen hackers iemands digitale leven overnemen en bijvoorbeeld spullen bestellen en betalen in webwinkels of zelfs volledige bankrekeningen plunderen. In totaal stonden de gegevens van meer dan 2 miljoen mensen, onder wie 50.000 Nederlanders, te koop. Gegevens die de criminelen op slinkse wijze met malware onopgemerkt hadden binnengehaald. Bijvoorbeeld door gratis softwarepakketten aan te bieden die na installatie enorm veel informatie van de computer van het slachtoffer overnamen. Zo namen zij bezit van het digitale leven van de slachtoffers, die daarvan niets in de gaten hadden.
Samenwerking
Omdat de – inmiddels offline gehaalde - handelsplaats wereldwijd en op grote schaal actief was, zocht de FBI de samenwerking met andere landen. Na een internationaal rechtshulpverzoek via Europol kwam de dienst (onder andere) ook bij Nederland uit. Ruben: “Het Landelijk Operationeel Cybercrime Overleg (LOCO), waar de cyberteams van de 11 eenheden samenwerken om hun slagkracht te vergroten, nam dit verzoek in behandeling. Daar werd besloten dat het Cyberteam van de Eenheid Rotterdam in dit onderzoek het voortouw zou nemen en de andere eenheden daarbij zouden aansluiten. Een mooi voorbeeld van samenwerking tussen alle eenheden binnen de nationale politie én het Politiedienstencentrum: expertise optimaal inzetten, informatie delen en taken verdelen.”
Datagedreven
Waar het onderzoek van de FBI zich richtte op de beheerders van Genesis Market, hielden de aangesloten landen zich juist bezig met het onderzoek naar de gebruikers van deze site in hun eigen land. Ruben: “In cyberzaken werkt zo’n onderzoek anders dan in ‘reguliere’ zaken, waar vaak een aangifte het startpunt is. Bij cyberzaken werken we juist datagedreven: in dit geval begonnen we bij de gegevens die we van Genisis Market haalden, zoomden in op de gebruikers en keken vervolgens welke aangiften we er aan konden koppelen. Net andersom dus. Overigens: we roepen mensen op altijd aangifte te doen van mogelijke cybercriminaliteit. Alleen aan de hand van aangiften kunnen we trends en fenomenen signaleren die we kunnen gebruiken in onze onderzoeken.”
Trots
“Dit datagedreven onderzoek heeft ons gebracht bij de 23 doorzoekingen en 17 aanhoudingen die op 4 april, tegelijkertijd, in het hele land, plaatsvonden”, vervolgt Ruben. “Op het hetzelfde moment gebeurde dat in de andere aangesloten landen ook. Je kunt je voorstellen dat het een hele operatie was: met zoveel landen tegelijkertijd zo‘n ‘klapdag’ te organiseren. Alleen de tijdsverschillen maakten het al heel ingewikkeld. Dat geldt overigens voor het hele onderzoek: de internationale online meetings waren lastig in te plannen. Ook de verschillen in wetgeving maakten dit onderzoek complex, al hadden we veel baat bij de coördinerende en bemiddelende rol van Europol. Dat we met alle betrokken partijen dit resultaat hebben behaald, maakt mij meer dan trots.”
Preventie
Ruben: “Parallel aan ons onderzoek hebben we vanuit Nederland het voortouw genomen in een ander aspect in deze zaak: mogelijke slachtoffers informeren, tips geven over hoe te handelen in het geval zij vermoeden dat zij zijn gehackt én onveilige situaties in de toekomst voorkomen. Dat hebben we gedaan op dezelfde dag dat we met de resultaten van ons onderzoek naar buiten kwamen. Zo hebben we op politie.nl ‘Check je hack’ gelanceerd waar je je emailadres kunt invoeren en eenvoudig kunt controleren of je gegevens op Genesis Market zijn aangeboden. Inmiddels – 18 april 2023, red.- hebben wereldwijd zo’n 4,2 miljoen mensen dat gedaan.”
Publiek-private samenwerking
“Als blijkt dat je gegevens inderdaad op Genesis Market zijn aangeboden, wil je natuurlijk voorkomen dat er misbruik van wordt gemaakt”, vertelt Ruben. “Het zou gemakkelijk zijn als je dat kunt doen door simpelweg je wachtwoord te veranderen. Maar zo werkt het helaas niet. Door de op een computer geïnstalleerde malware krijgt de crimineel die iemands gegevens heeft aangekocht automatisch een update met het nieuwe wachtwoord. Om potentiele slachtoffers te helpen hun computer weer ‘schoon te maken’ hebben we de samenwerking gezocht met publieke en private partijen. Zo hebben we er met cybersecurity bedrijven (Trellix en Computest) voor gezorgd dat de malware door iedere virusscanner kan worden herkend. Ook werken we samen met Microsoft die een software-update heeft gemaakt die de kwaadaardige software van de computer kan verwijderen. We raden met klem aan die update te gebruiken: zolang een besmette computer niet wordt opgeschoond blijft het risico van misbruik bestaan.”
Bewustzijn
“In een wereld die voor zo’n groot deel met het internet is verbonden kun je niet voorzichtig genoeg zijn. We hopen dan ook dat we met de publiciteit rondom dit onderzoek meer bewustzijn hebben gecreëerd als het gaat om veilig internetgebruik. We kunnen het niet vaak genoeg zeggen: wees altijd alert en gebruik nooit het hetzelfde wachtwoord voor verschillende sites. Veel veiliger is de multifactor authenticatie waarmee je de kans verkleint dat hackers toegang krijgen tot je accounts of gegevens.”
Meer aanhoudingen
Genesis Market is nu dan wel offline gehaald, dat neemt niet weg dat het goed mogelijk is dat gegevens al verhandeld zijn, maar nog niet gebruikt. Ruben: “Met andere woorden; er kunnen nog steeds mensen slachtoffer worden. Bovendien: we hebben met de aanhoudingen van eind vorige maand weliswaar een flinke slag geslagen, dat betekent nog niet dat we daarmee alle fraudeurs te pakken hebben. Ons onderzoek is dan ook zeker niet afgelopen. Sterker nog, we zijn nog volop bezig en sluiten niet uit dat we de komende periode nog meer aanhoudingen kunnen doen.”
Mini documentaire
Bekijk de mini documentaire voor een goed beeld van de omvang van operatie Cookiemonster.