Nieuws Tech

Belangrijke rechtszaak over digitale fraude: het klinkt allemaal heel technisch, maar komt tegelijkertijd erg dichtbij

Webshopbouwer P. tapte via ‘een scriptje’ inloggegevens van ruim 20 duizend mensen af. ‘Heel simpel.’ Zo dupeerde hij honderden mensen voor vele euro’s.

Foto ANP

Twintig iPads, tien smartphones, acht laptops, vijf Lego-treinen, drie laserprinters, twee homecinemasets, twee zwembadframes, twee rollen cadeaupapier, een elektrische tandenborstel en een 3D blu-ray van Finding Nemo. Meneer P. bestelde het allemaal bij Bol.com. Maar hij was niet degene die betaalde.

Drie dagen heeft de Noordelijke Fraudekamer in Leeuwarden uitgetrokken om de digitale zwendel van de inmiddels 37-jarige P. te ontrafelen. Volgens het Openbaar Ministerie bediende hij zich van ‘listige kunstgrepen’. Justitie verdenkt hem van computervredebreuk, oplichting en identiteitsfraude.

Tot een strafeis gaat het, anders dan beoogd, deze week nog niet komen. Pas op het laatste moment werden vier ordners met 240 vorderingen van gedupeerden aangedragen. Ze liggen boven op drie plastic bakken daar in de hoek van de rechtszaal, wijst de voorzitter van de rechtbank: een dossier van duizenden pagina’s. ‘Een grote verscheidenheid aan fraude door heel Nederland. Veel meer dan we nu uitgebreid kunnen bespreken.’

Misdaad verplaatst zich al jaren naar het internet. Maar het cybercrimeteam van de politie stuitte in Noord-Nederland niet eerder op zo’n omvangrijke zaak. Ruim vierhonderd aangiften kwamen er binnen tegen P., die slachtoffers maakte van Vlissingen tot Winschoten. Enkelen zitten achter in de zaal. Mulder heten ze, De Vries, Kuiper – hier had eenieder kunnen zitten.

De werkwijze van P.

Als ict’er bouwt P. in 2013 een webshop voor een compagnon met een handel in cosmetica. Als hij de inkomsten ziet verdrievoudigen maar zelf niet meeprofiteert, bedenkt hij een list. Eigenhandig schrijft hij programmeercode waarmee hij alle inlognamen en wachtwoorden van de webshopklanten keurig in een bestandje opvangt.

‘Heel simpel lijkt het’, merkt een rechter op. ‘Het is ook heel simpel’, zegt meneer P.

Met de geroofde inloggegevens probeert hij in te loggen op mailadressen van de klanten, die daarvoor vaak hetzelfde wachtwoord gebruikten. Vervolgens bestelt hij bij Bol.com allerlei elektronica onder de naam en op kosten van onwetende gedupeerden. Hij laat de spullen bezorgen op een door hem gekozen afhaaladres. Vervolgens verpatst hij alles via Marktplaats. Want ja, zijn speedverslaving is kostbaar. ‘Ik zat in een flow.’

Foto ANP

Ondertussen bedenkt hij een tweede truc. Met de afgetapte wachtwoorden dringt hij ook binnen in Facebookaccounts van zijn slachtoffers. Uit hun naam en onder valse voorwendselen vraagt hij Facebook-contacten van zijn slachtoffers om geld. Hij gaat daarbij geraffineerd te werk: hij leest chat-geschiedenissen en verdiept zich in persoonlijke omstandigheden. Typt iemand niet erg netjes Nederlands, dan past hij zijn schrijfstijl aan. Aanspreekvormen, afkortingen, leestekengebruik: P. kruipt in de digitale huid van zijn prooi om vertrouwenwekkend over te komen. Aan een kwartier heeft hij genoeg. ‘Het ging me heel gemakkelijk af.’ 

De vader die zijn zoon vroeg een bedrag over te maken omdat zijn bankpas zogenaamd geblokkeerd was – in werkelijkheid was het P.

Hij heeft er een dagtaak aan. Twee jaar lang. Tientallen gedupeerden trappen erin. Ze maken bedragen over naar anonieme creditcardaccounts of rekeningen van bekenden van hem, variërend van honderden tot duizenden euro’s. Gedupeerden worden zelf ten onrechte als verdachte van identiteitsfraude aangemerkt.

Persoonlijke gegevens

‘Het klinkt allemaal technisch’, zegt een rechter. ‘Maar het is net alsof je ’s nachts bij iemand inbreekt en de meest persoonlijke spullen meeneemt.’ Ondertussen laat P. in India mensen knutselen met kopieën van identiteitsbewijzen die hij uit mailboxen vist. ‘Misschien zwerven er op internet nog wel dingen rond’, oppert een rechter. ‘Bij de Russische maffia of zo.’ De berouwvolle P. vindt het vreselijk.

Op 11 juli 2016 wordt hij aangehouden in een hotel in Zwolle en grist de politie een laptop uit zijn handen. Daarop aangetroffen: 66 bestanden met 22.803 inloggegevens. De pincode van zijn telefoon wil hij niet geven. ‘Daar staan privégegevens op’, verweert hij zich. ‘Toen ik dat las’, zegt een rechter, ‘moest ik wel een beetje grinniken.’

Zo geraffineerd als de verdachte eerder zijn bedrog probeerde te verhullen, zo openhartig is hij ter zitting. Al die zaken, vraagt de rechter, is hij daar verantwoordelijk voor? Beleefd en bedeesd: ‘Ja.’ En later: ‘Je leeft in een waan, in een schijnwereld.’

Bewondering is een slecht woord, vindt de rechtbank, ‘maar u had een geoliede machine.’ Trots is P. er inmiddels niet meer op. ‘Ik zit hier omdat ik mezelf verantwoordelijk voel. Ik schaam me rot.’ Het OM schat de financiële schade die P. aanrichtte op ruim 100 duizend euro. ‘Als inlognamen en wachtwoorden overal dezelfde waren, was u spekkoper’, aldus een van de rechters. ‘Dat is een les die we hier leren.’

Onder cybercrime worden criminele activiteiten verstaan waarbij gebruik wordt gemaakt van informatie- en communicatietechnologie. Hoewel de criminaliteit in Nederland daalt, geldt dat niet voor digitale misdaad. In 2017 was 11 procent van de Nederlanders hiervan slachtoffer, blijkt uit cijfers van het CBS. Het gaat daarbij om hacken, koop- of verkoopfraude, onlinepesten en identiteitsfraude. Veel slachtoffers doen geen aangifte: slechts 8 procent. Het kabinet wil cybercriminaliteit intensiever bestrijden en trekt daarvoor 26 miljoen euro uit. Daarmee moet de politie nieuw specialistisch personeel werven,want daaraan ontbreekt het vaak. Ook moeten politie en justitie meer bevoegdheden krijgen om cybercrime aan te pakken, bijvoorbeeld voor het op afstand doorzoeken van computers. 

Meer over

Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.