Cybercrime op de Hanze

Lidian Boelens 20 maart, 2019

Voor duizenden euro’s wist een student van de Hanzehogeschool internetbedrijven als Bol.com en Coolblue op te lichten. Dat deed hij door bestellingen te plaatsen met inloggegevens van medestudenten. Hoe kwam hij daaraan? Hoe ging hij te werk? Een reconstructie.

Het is mei 2017.
Rik kruipt achter zijn computer en opent zijn mail. Een ongelezen bericht van Bol.com verschijnt in beeld. Het is een factuur. Een factuur? Hij kan zich niet herinneren dat hij iets besteld heeft. Maar het staat er echt. Harde schijf, 110 euro, printerinkt, 30 euro. Hij moet 140 euro betalen.
Bol.com bellen, denkt hij. Aan de telefoon krijgt hij te horen dat hij de spullen echt heeft besteld. Sterker nog, ze zijn al geleverd. Paniek.

Ondertussen bij Bol.com. Het telefoontje heeft de baas bereikt. Het is niet de eerste keer dat een Groningse student opbelt met de mededeling dat hij rekeningen krijgt van spullen die nooit zijn besteld. Hier klopt iets niet, zoveel is zeker. Het bedrijf schakelt de politie in.
Bol.com laat Rik weten dat iemand spullen uit zijn naam besteld. Hij moet onmiddellijk zijn gebruikersnamen en wachtwoorden veranderen. En aangifte doen bij de politie. Rik neemt er een dag vrij voor op. Die nacht slaapt hij slecht, door zijn hoofd spookt de vraag: hoe kon iemand bestellingen plaatsen met zíjn inloggegevens?

Driekwart jaar eerder, augustus 2016. Lucas sluit de pc af, wanneer hij de computerruimte op de Hanze wil verlaten, ziet hij twee jongens aan de achterkant van een computer frutselen. Wat doen ze daar? Het ziet er verdacht uit. Wanneer de jongens zien dat hij kijkt, verlaten ze de ruimte. Nog verdachter. Lucas wil weten wat ze deden, loopt naar de computer en onderwerpt het apparaat aan een nauwkeurige inspectie. Hij treft iets aan wat op een usb-stick lijkt. Een paar draadjes lopen naar het toetsenbord.

Met trillende handen trekt Lucas zijn zorgvuldig geplaatste keylogger uit de achterkant van een willekeurige Hanzecomputer

Thuis onderzoekt Lucas het apparaatje. Hij hoeft niet vreselijk veel moeite te doen om te ontdekken dat het een hardware keylogger is. Hij vindt een website waar in jip-en-janneketaal wordt uitgelegd hoe het ding werkt. De keylogger onthoudt toetsaanslagen, onder vermelding van datum en tijd.
Het brengt Lucas op een idee. Hij heeft het financieel moeilijk. Omdat hij al tien jaar aan het studeren is, wordt zijn studiefinanciering binnenkort omgezet in een dikke lening. Dat vooruitzicht hangt hem als het zwaard van Damocles boven het hoofd.
Wat als hij….

Een paar weken later. Met trillende handen trekt Lucas zijn zorgvuldig geplaatste keylogger uit de achterkant van een willekeurige Hanzecomputer. Hij stopt het minuscule apparaatje in zijn broekzak en sluipt de computerzaal uit.
Thuis gaat hij er eens goed voor zitten. Hij maakt een ware studie van de data die het apparaatje heeft opgeleverd. De buit: tientallen gebruikersnamen en wachtwoorden, van medestudenten. Maar wat kan hij daar nou mee?
Hij pakt de gegevens van Rik eruit en kraakt daarmee diens e-mail. En nu? Hij weet iets beters. Met dezelfde gegevens logt hij in op Bol.com. Als hij nu een bestelling doet – zoveel weet hij wel – is zijn IP-adres gemakkelijk te achterhalen, en hijzelf dus ook. De volgende dag doet hij zijn eerste bestelling op een pc van de Hanze.

Hij werkt niet, hij studeert niet, hij analyseert alleen maar de keyloggerdata, ontfutselt de inloggegevens en plaatst bestellingen vanaf Hanzecomputers

Uw pakketje is bezorgd, leest Lucas een dag later op de mail. Vlug raapt hij zijn spullen bij elkaar: een grote rugtas, een slatang en een barbecueprikker, voor de zekerheid. Hij springt op de fiets, sjeest door de stad en duikt steeds een beetje dieper in zijn jas. Bij een portiekflat trapt hij op de rem. Zijn fiets parkeert hij tegen een muur. Hij loopt naar de overdekte ruimte waar de brievenbussen zitten. Zijn ogen glijden over de nummers. 264, 266, 268. Hij weet welke bus hij moet hebben, 270.
Schichtig werpt hij een blik op de straat. Als de kust veilig is, grist hij de slatang uit zijn rugtas. Met zijn linkerhand opent hij het klepje van de brievenbus. Met de slatang in zijn andere hand vist hij er een stevig ingepakte harde schijf uit. Dat gaat gemakkelijk. Hij slaak een zucht van verlichting. Dat klusje is geklaard.
Thuis zet hij de harde schijf op Marktplaats.

Lucas breidt z’n collectie snel uit. Hij raakt in de ban van de activiteiten. Hij werkt niet, hij studeert niet, hij analyseert alleen maar de keyloggerdata, ontfutselt de inloggegevens en plaatst bestellingen vanaf Hanzecomputers. Als een gewiekst crimineel fietst hij door de stad met z’n slatang.
Het geld dat hij met de verkochte spullen verdient, laat hij overmaken op een PayPal rekening: een eenvoudige online betaalmethode, die als voordeel heeft dat kopers en webshops je gegevens niet te zien krijgen. Het geld stroomt binnen. Als Lucas niet steeds wat van de rekening af had gehaald, zou er 10.000 euro op hebben gestaan.

Ondertussen op het politiebureau in Groningen. Het onderzoeksteam dat zich op de zaak heeft gestort, heeft al snel in de gaten dat de bestellingen steeds worden gedaan vanuit één en dezelfde plaats, een computerruimte op de Hanzehogeschool. Het wachten is op de eerstvolgende bestelling van dat IP-adres, zodat de speurders kunnen posten in de buurt van het adres waar het pakje wordt bezorgd…

Juli 2017. Nietsvermoedend fietst Lucas naar één van zijn zorgvuldig uitgezochte bezorgadressen. Hij is ontspannen, hij heeft het inmiddels zo vaak gedaan dat het bijna routine is geworden. Hij parkeert z’n fiets tegen de muur van de portiekflat, net als altijd. Hij trekt de slatang uit zijn tas, net als altijd. Hij hengelt het pakje uit de brievenbus, net als altijd.
Dan gebeurt wat hij lange tijd vreesde, maar waarmee hij geen rekening meer hield. Vanaf alle kanten stormen agenten op hem af. ‘POLITIE’, roepen ze. ‘U bent aangehouden!’

De uitspraak
Op 14 februari legde de rechter de Hanzestudent die zich schuldig maakte aan deze cybercrime een taakstraf op van 240 uur en een voorwaardelijke celstraf van een half jaar (met een proeftijd van drie jaar). Tegen de Groninger was een jaar cel geëist, waarvan de helft voorwaardelijk.
De rechter gaf hieraan geen gehoor omdat gevangenisstraf in dit geval averechts werkt. De man erkent dat hij hulp nodig heeft, heeft inmiddels een fulltime baan en mag, na een lange schorsing, z’n opleiding aan de Hanze afronden. Een paar maanden in de cel kunnen deze positieve ontwikkelingen in de weg zitten. De rechtbank eist verder dat de man zich meldt bij de reclassering en dat hij zich psychiatrisch laat behandelen. Het geld dat hij de verschillende bedrijven afhandig maakte moet hij terugbetalen.

(De in deze reconstructie gebruikte namen Rik en Lucas zijn om voor de hand liggende redenen gefingeerd. Het verhaal van Lucas is een reconstructie gebaseerd op verklaringen uit de rechtszaak die diende in januari 2019)  

Reactie Hanzehogeschool
De Hanzehogeschool Groningen heeft naar aanleiding van dit misdrijf een aantal maatregelen genomen. Allereerst is meteen nadat het vergrijp bij de Hanzehogeschool bekend was aangifte bij de politie gedaan. Gedurende het gehele onderzoek heeft de Hanzehogeschool nauw samengewerkt met de digitale recherche. Verder zijn alle toetsenborden van de computers op studieplekken en in de klaslokalen via een aansluiting aan de voorkant, in plaats van aan de achterkant, aangesloten. Dit maakt de ontdekking van een key-logger eenvoudiger. Daarnaast zijn in alle lokalen waar computers staan posters opgehangen met een oproep om te controleren of het toetsenbord daadwerkelijk via de voorkant van de computer is aangesloten. Op dit moment zijn we bezig om nieuwe, permanente posters voor alle computerruimtes te realiseren. Ook zijn alle medewerkers en studenten gewaarschuwd met een verwijzing naar het persbericht van de politie, en zijn de wachtwoorden verplicht voortijdig gewijzigd. Tenslotte wordt in awareness campagnes regelmatig het advies gegeven om verschillende wachtwoorden te gebruiken voor privé en studie/werk.

Foto: Robbert van der Steeg