Op het hoofdkantoor van het Team Cybercrime van de politie-eenheid Oost-Brabant zit teamleider Anouk Bonekamp. Over het lopende onderzoek naar de hackaanval op de TU/e kan ze kwijt dat er nog geen verdachte in het vizier is. Wel krijgt het team nog steeds veel data binnen die geanalyseerd worden om het spoor naar de daders zo ver mogelijk te volgen. Ook informatie van de TU/e wordt verder geanalyseerd. “Dat is heel veel data om te komen tot sporen van daders.”

Hack

In de nacht van 12 januari werden de hackers gesignaleerd in het netwerk van de universiteit, waarop de TU/e direct de politie heeft ingeschakeld. Bonekamp: “Diezelfde nacht is er een crisis response team vanuit de TU/e opgezet en zijn we met een politieauto naar de campus gekomen, want op het moment dat er nog een actieve verbinding is, zijn er mogelijkheden voor politie.”

Bonekamp is blij dat de TU/e direct 112 heeft gebeld. Haar team zet al langer in op het verbeteren van de relaties met bedrijven en instellingen in de regio, want de politie wordt lang niet altijd ingeschakeld. “We zitten natuurlijk meteen in iemands keuken mee te kijken, in het netwerk van een slachtoffer. Dat kan spannend zijn voor slachtoffers. Daarom is onderling vertrouwen opbouwen zo belangrijk. Het is fijn dat de TU/e ons hier meteen heeft laten meekijken.”

Op heterdaad

De hackers waren op heterdaad betrapt. “Dat kon door een alarmering van het systeem die door de beveiligers van de TU/e heel goed werd opgepakt”, verduidelijkt Bonekamp. Na een kat-en-muisspel om de hackers de toegang tot het hele netwerk te blokkeren, gaf cybersecuritybedrijf FoxIT het advies om het netwerk plat te leggen, wat TU/e’s Centrale Crisisteam diezelfde zondag nog deed. Daardoor lag het onderwijs een week plat. “Een moedige, maar verstandige beslissing”, noemt Bonekamp het.  

De politie onderzoekt ook de DDOS-aanval op het Surf-netwerk die rond dezelfde tijd plaatsvond. Daardoor raakte niet alleen het TU/e-netwerk overbelast, maar ook die van sommige andere onderwijsinstellingen en ziekenhuizen in het land. Bonekamp meldt dat er geen link gevonden is tussen de hack en de DDOS-aanval. Het team beschouwt het als een afzonderlijk incident.

Nieuw onderzoek

Het onderzoek van de politie wordt voorgezet. Het team heeft meer serverdata opgevraagd voor verdere analyse op digitale vingerafdrukken. Bonekamp: “Wij zitten niet zelf aan de knoppen, maar zijn afhankelijk van de data die we krijgen, van de slachtoffers of in dit geval over een aantal servers. Op dit moment wachten we op de terugkoppeling.”

Toch is het onzeker of deze nieuwe berg aan data tot een verdachte zal leiden, benadrukt Bonekamp. “Cybercrime is anders dan traditionele criminaliteit, zoals een inbraak. Er zijn geen camerabeelden, er is geen vluchtauto en de verbinding is vaak geblokt door een VPN waardoor de dader zich als het ware vermomt.” Dat en de vele andere mogelijkheden om digitaal onzichtbaar te zijn, betekent dat de politie lang niet altijd tot bij een verdachte uitkomt of een verdachte kan identificeren.

Al laten criminelen weleens steken vallen. “Die foutjes zijn voor ons zo interessant, want die leiden soms tot persoonlijke data, waarmee we de identiteit kunnen achterhalen.” Alhoewel Bonekamp weleens heeft meegemaakt dat een verdachte zijn privé hotmail of gmail heeft gebruikt om cybercrimetools aan te schaffen is dat eerder uitzondering dan regel. “Eigenlijk moet je er constant vanuit gaan dat de informatie die je vindt, niet klopt. En moet je je afvragen of dit wel de juiste persoon is. Vaak heb je te maken met een slachtoffer, van wie de gegevens misbruikt zijn, niet de dader.”

Cybercrime as a service

Vlak na de hack werd bekend dat de hackers via het Windows-domein waren binnengekomen door gestolen inloggegevens te gebruiken van een werknemer en een student. Bonekamp was niet verbaasd toen ze dat te horen kreeg. “Het is vanzelfsprekend dat zoiets kan gebeuren. Die credentials zijn overal te vinden, bijvoorbeeld via het darkweb of in Telegramgroepen. Ze worden verkocht in zogenoemde combolijsten, met emailadressen en wachtwoorden. Daar zit een hele handel in.”

Dergelijke combolijsten zijn dus makkelijk online te vinden en daar hoef je niet eens het darkweb voor op. Het politieteam doekte onlangs de website Heartsender op, een webshop voor kant-en-klare cybercrimepakketten. Het team kwam de website op het spoor toen ze phisingsoftware vonden op de laptop van een Nederlandse verdachte.

“Criminelen loggen eerst in met een account en dan zoeken ze op producten, bijvoorbeeld een ransomwaretool. Het is cybercrime as a service. Iedereen kan het doen als je een beetje handig bent om je onzichtbaar te maken.”

Proberen

Het Team Cybercrime behandelt zo’n twintig zaken per jaar, waarvan twee à drie grote onderzoeken. Binnen het team bestaan er verschillende functies. Zo zijn er rechercheurs, digitaal en financieel specialisten en coördinatoren die van begin tot eind bij de zaak betrokken zijn. Het team ziet van alles voorbijkomen. Van gestolen bedrijfsgegevens tot aan stalkingszaken en onlinefraude.

Bonekamp ziet lang niet alleen zware criminelen op het bureau. Ze haalt haar telefoon erbij en laat een artikel zien over een onderzoek. Bijna de helft van de mbo ICT-studenten doet iets met cybercrime. Het zijn jongeren, die vanwege de anonimiteit en laagdrempeligheid of door influencers online worden verleid tot cybercriminaliteit. Bijvoorbeeld door een phishingtool te kopen. “Gewoon om het te proberen”, zegt de teamleider.

Heb jij weleens iets met cybercrime gedaan, gewoon om het te proberen of voor andere doeleinden? Heb je weleens zo’n onlinetool aangeschaft, een wachtwoord gehackt of geprobeerd een netwerk binnen te dringen? Zou je daar (anoniem) over willen vertellen? Stuur dan een mail naar w.klop@tue.nl of een bericht via Whatsapp: 0638852539