Onderzoeksrechter Philippe Van Linthout: ‘Het is schrikbarend hoe eenvoudig fraude is in de cyberwereld’
Cyberfraude wordt georganiseerd door complexe internationale netwerken, die opereren met lokale boefjes, weet de Mechelse onderzoeksrechter Philippe Van Linthout. “Het is schier onmogelijk al die spelers op te sporen.”
De Mechelse onderzoeksrechter Philippe Van Linthout (48) leidt het onderzoek Sky ECC, dat 1 miljard versleutelde berichten van het drugsmilieu ontcijfert. Een vergelijkbaar internationaal onderzoek in een ander dossier, EncroChat, leidde vorig jaar tot 800 arrestaties. “Je zou verwachten dat er tussen die berichten slechts nu en dan een verwijzing naar een misdrijf zat”, zegt Van Linthout. “Welnu, élk bericht in dat Zweeds-Nederlands-Amerikaanse onderzoek had te maken met een drugszending, een omkoping, een betaling, witwassen of een liquidatie.”
Het is geen toeval dat het monsterdossier van Sky ECC bij Van Linthout terecht kwam. Hij en federaal parketmagistraat Jan Kerkhofs zijn in ons land de autoriteiten in het onderzoek naar dat soort fraude. Beiden schreven mee aan het handboek Cybercrime 3.0, een leidraad over cybercriminaliteit voor magistraten, politieambtenaren en advocaten. Van Linthout werkt aan cyberdossiers sinds 2001, toen de eerste wet op de computercriminaliteit van kracht werd. “Er was bijzonder weinig animo bij de collega’s om zich in die nieuwe complexe fraude te specialiseren”, herinnert hij zich.
Het is een wonder als we al eens de spil van een digitaal circuit kunnen vatten
Jonge snaken
Tijdens de coronapandemie is het aantal fraudegevallen nog gevoelig gestegen. Het Centrum voor Cybersecurity België (CCB) telde maar liefst 67.000 incidenten in 2020. Cybercriminaliteit is hypercomplex, maar tegelijk ook heel simpel. Jonge criminelen downloaden voor een luttel bedrag software, waardoor ze via phishing banknummers en codes aan hun slachtoffers ontfutselen en hun rekeningen leeghalen. “Je zou versteld staan wat voor jonge snaken ik hier over de vloer krijg”, lacht Van Linthout. “Je zou ze geen vijf frank geven. Ze hebben nauwelijks kennis van IT, maar plegen cybercrime vanuit hun luie stoel met een pak chips en een cola erbij. Het is geen wonder dat het aantal woninginbraken daalt en er nauwelijks nog hold-ups zijn. Waarom zouden ze hun hachje riskeren door met een geweer en een nylon over hun kop een bank binnen te vallen, als ze veel simpeler honderdduizenden euro’s kunnen ontfutselen?”
De fraudeurs die die diensten creëren, gaan wel gesofisticeerd te werk. Zij opereren via stevig beschermde digitale netwerken. Ze brengen mensen bij elkaar die houders van bankrekeningen opsporen, phishingspecialisten die geheime informatie ontfutselen, hackers, fraudeurs die rekeningen leeghalen, lokale en internationale witwassers. Er is zelfs een helpdesk die vlot informatie verstrekt als er problemen zijn. “Vroeger zochten we naar één grote computerfraudeorganisatie”, zegt Van Linthout. “Voortschrijdend inzicht heeft ons geleerd dat aparte bendes zakelijk samenwerken. Het is schier onmogelijk al die spelers op te sporen.”
Een deel van de criminele opbrengsten wordt besteed in winkels, vaak om luxegoederen te kopen. Daarnaast wordt een beroep gedaan op ‘muilezels’. Gespecialiseerde bendes bezoeken cafés waar ze klanten vragen een uur lang hun bankkaart te mogen gebruiken tegen een kleine vergoeding. Het criminele geld wordt zo snel getransfereerd naar rekeningen in het buitenland. “Die witwaspraktijk floreert bijvoorbeeld in de Brussels Matongéwijk of in Antwerpen Noord”, weet Van Linthout. “Die gasten hebben er geen benul van dat ze meewerken aan zware misdrijven.” De criminelen kunnen de buit met een paar klikken internationaal versluizen.
Een onderzoeksrechter botst op rogatoire commissies, trage procedures en praktische moeilijkheden. De kennis van het Engels van de politie is vaak beperkt. “Dagen vertaalwerk kost ons dat”, getuigt Van Linthout. “Het is een wonder als we al eens de spil van een digitaal circuit kunnen vatten.”
In de val
Hoe raken de criminelen aan de paswoorden van bankrekeningen? Van Linthout: “Je moet onnozel zijn om in te gaan op een voorstel voor een deal in Nigeria, of te klikken op een kaduuk bpost-nummer, terwijl je daar niet eens een rekening hebt. Maar dat gebeurt nog altijd.” Toch kunnen ook alerte personen in de val trappen. Op een keer was Van Linthout zelf het slachtoffer, toen hij tijdens de feestdagen op een website kleding had gekocht. “De kwaliteit bleek ondermaats. Die internetbrol altijd, dacht ik, maar het was niet afgelopen. Ondertussen was die website met mijn kaartnummer, verloopdatum en CVC-code aan de haal gegaan.”
Op het internet circuleren gehackte lijsten van klanten van Belgische banken. Die krijgen een telefoontje van een zogenaamde bankmedewerker die meedeelt dat hun rekening gekraakt is en hen hulp aanbiedt om alles in orde te brengen. Ze krijgen een link naar de bank toegestuurd, maar die wordt beheerd door een crimineel. Het slachtoffer registreert zich opnieuw en voert een wachtwoord en een uitgavelimiet in. De crimineel kan die gegevens aanpassen en onmiddellijk alle rekeningen leeghalen.
In één geval zochten fraudeurs op LinkedIn naar de vroegere banen die de topman van het IT-departement van een bedrijf had bekleed. Fraudeurs die zich uitgaven als externe consultants claimden dat ze vroeger nog met hem hadden gewerkt en wekten door het gebruik van IT-codetaal het vertrouwen van zijn ondergeschikten om het paswoord vrij te geven. In een ander dossier kreeg een rekeninghouder een telefoontje van iemand die zich uitgaf als een bankmedewerker, met de mededeling dat zijn kaart gehackt was. Hij werd aangeraden de kaart in het midden door te knippen. Op zijn verzoek konden ze snel een veiligheidsconsultant sturen om de geknipte kaart te laten ophalen. Die ontfutselde het paswoord. De kaart werd geplakt en hergebruikt. De chip was niet beschadigd.
Visa-transacties op het internet zouden steevast gepaard moeten gaan met een controle via de bank
Ook witwassers gaan gesofisticeerd te werk. Zo zijn er valse sollicitatiewebsites, waar mensen na een erg realistische test voor een proefperiode worden aangeworven door een ngo. Ze krijgen geld op hun rekening gestort met het verzoek dat bedrag door te storten aan hun ‘werkgever’. “Als een onderzoek hun medewerking aan criminele netwerken aan het licht brengt, vallen ze compleet uit de lucht”, legt Van Linthout uit. “Ze zijn ervan overtuigd dat ze niets verkeerd hebben gedaan.”
Hackers laten malware los op ondernemingen en eisen losgeld voor een sleutel om die te blokkeren. De verleiding is groot om het losgeld in alle discretie te betalen. “Er zijn hackers die zich aan hun woord houden”, waarschuwt Van Linthout. “Sommigen vragen zelfs een verklaring van het bedrijf dat ze dat hebben gedaan als referentie voor hun volgende slachtoffers. Maar heel dikwijls starten ze malware op die blijft sluimeren en eisen ze opnieuw losgeld. Door losgeld te betalen, houd je de fraude ook in stand.”
Te soepele banken
Van Linthout ziet een tegenstelling tussen de hoge veiligheidseisen die de banken claimen en hun gebruiksvriendelijke apps. Via die app op hun smartphone kunnen hun klanten zich identificeren en wereldwijd grote bedragen overschrijven. Privé- en bedrijfsrekeningen zijn via dezelfde technologie toegankelijk, zodat alle rekeningen kunnen worden geplunderd als het paswoord bekend is.
“Eén sms met een toegangscode om de transactie te bevestigen kan de klant al snel waarschuwen van verdachte bewegingen, zodat hij de bank kan verwittigen”, zegt Van Linthout. “Ook zouden Visa-transacties op het internet steevast gepaard moeten gaan met een controle via de bank. Veel gebruikers zijn geprikkeld als ze voor een internettransactie hun bakje moeten bovenhalen, terwijl dat hen perfect beschermt. Sommige banken grijpen in met een algoritme dat ongewone betalingen signaleert. Andere doen nauwelijks iets. Het is ronduit schrikbarend hoe eenvoudig fraude is in de cyberwereld.”
Vanaf 2018 zijn de banken verplicht om vanaf 50 euro de volledige schade van phishingfraude te vergoeden, behalve als de bank kan aantonen dat de klant op grove wijze nalatig is geweest. “Vroeger vergoedden de banken IT-fraude vrij soepel om de reputatieschade te beperken”, zegt Van Linthout. “Door de omvang van de fraude plaatsen banken nu stevige disclaimers op hun websites, om de schadevergoeding te kunnen ontlopen.” De magistraat laakt het gebrek aan medewerking van de banken. Ze weigeren toegang tot bancaire informatie, tenzij het gerecht gedetailleerd kan aantonen dat er fraude is gepleegd via een rekening. “Onze beleefde vraag naar informatie wordt afgewimpeld, terwijl zij potverdorie worden leeggeroofd”, schokschoudert Van Linthout. “Banken laten ook veel te gemakkelijk nieuwe klanten toe. Zo kon een witwasser snel klant worden bij een Duitse onlinebank om enorme bedragen te transfereren naar een bitcoinbeheerder op de Seychellen of in Turkije, dat amper meewerkt met onze onderzoeken. Dan is het spoor zoek.”
Weinig expertise
Van Linthout rekent op gespecialiseerde politiemensen voor zijn onderzoek. “Computernerds zijn dun gezaaid”, weet hij. “En als je al een technisch onderlegde flik hebt, gebeurt het meer dan eens dat hij in de loop van het onderzoek overstapt naar de privésector. De gemotiveerde enkelingen die blijven, krijgen bijgevolg al het werk op hun bureau. Het aantal burn-outs is niet te tellen.”
Soms is er weinig animo om computermisdrijven te onderzoeken. Burgemeesters hechten meer prioriteit aan verkeers- en geweldmisdrijven dan aan het opsporen van computercriminelen die vanuit een ver land toeslaan in geïsoleerde dossiers. Ook is er enkel in grote politiezones voldoende capaciteit om cyberfraudeteams te ontplooien. Het gevolg is dat de meeste dossiers terechtkomen bij de federale politie. Van Linthout: “Daar is de computercrime-unit compleet onderbemand. Ook binnen het gerecht was er lang weinig draagvlak voor een doorgedreven aanpak van digitale fraude, omdat het geen geweldmisdrijven waren. Dat is veranderd sinds het fenomeen exponentieel is toegenomen.”
Bedrijven moeten ons toelaten om gesprekken af te luisteren of informatie te tappen na een gerechtelijk bevel
Er is ook behoefte aan een betere samenwerking met de telecom- en internetproviders, die beschikken over cruciale informatie over geldstromen en internetverkeer. Van Linthout is niet akkoord met onderzoeksinstanties die een achterpoortje willen in de veiligheidsinfrastructuur om data af te kunnen tappen. “Buitenlandse inlichtingendiensten en criminele netwerken zullen dat achterpoortje snel gebruiken”, redeneert hij. “Bedrijven moeten ons toelaten om gesprekken af te luisteren of informatie te tappen na een gerechtelijk bevel. Ik wil binnen langs de grote poort.”
67 duizend fraudegevallen telde het Centrum voor Cybersecurity België in 2020.
Fout opgemerkt of meer nieuws? Meld het hier