Afpersing Campina meest vergaande misdaad met internet

Anoniem surfen over internet via een anonymizer en een proxyserver? Vergeet het maar. De Utrechtse politie rekende met behulp van de FBI en de Autotelegraaf een 45-jarige man in Panningen in, die onder meer Campina afperste door pakken yoghurt en toetjes te vergiftigen. Een sterk staaltje van de digitale recherche van de politie in Driebergen en Utrecht bij deze meest vergaande Nederlandse misdaad met internet ooit geopenbaard.

Medio oktober 2003 dient voor de rechtbank van Utrecht de meest omvangrijke internetopsporingszaak die Nederland tot nu toe kende. Bij de zaak waren ruim 150 politieagenten betrokken. De Utrechtse politie spoorde samen met de FBI een geraffineerde Nederlandse internetcrimineel op, die waarschijnlijk nooit gepakt zou zijn als de zogenaamde 'anonymizer' Surfola haar belofte niet zou hebben gebroken, namelijk klanten een volledig anonieme en niet te traceren identiteit voor internet bieden.

Nog niet gehoord van de recente vergiftiging van pakken yoghurt en chocoladetoetjes van Campina? Dat klopt, het bedrijf hield dit samen met de politie onder de pet, met een discutabele rol van de melkproducent. De afperser uitte immers eerst een dreigement en voerde dat vervolgens ook uit. In één geval is inmiddels vastgesteld dat een consument na het verorberen van een Campinaproduct onder doktersbehandeling moest worden gesteld. Volgens het onderzoeksverslag van de politie Utrecht, dat vanavond vanwege de op handen zijnde publicatie in Netkwesties ijlings is uitgebracht, was de persoon vergiftigd door een landbouwgif. Volgens het verslag van het advocatenkantoor was dat in een Stracciatella-verwentoetje gestopt.

Volgens de voorlopige tenlastelegging wordt de man, behalve van afpersing van Campina, ook verdacht van het bedreigen van Sara-Lee, Ahold en de Nederlandse Spoorwegen. Het onderzoek loopt echter nog; wellicht zijn er verbanden met meer afpersingen. Campina deed in februari 2003 opnieuw aangifte van afpersing. Dat gebeurde na een lange tijd van stilte, omdat de verdachte nog niet was opgespoord na een eerdere poging in de zomer van 2002.

In een reactie zegt de politie: "De volksgezondheid en de veiligheid van de consument hebben gedurende het onderzoek de hoogste prioriteit gehad. Het politieonderzoek en dus het pakken van de verdachte kwam op de tweede plaats. Ook werd rekening gehouden met mogelijke imagoschade en economisch risico voor Campina en Ahold."

"Nadat een consument ziek was geworden door het consumeren van een met een landbouwgif gecontamineerd product en gebleken was dat de dader wilde dat Campina hem via internet gegevens ter beschikking zou stellen, is de onderzoeksstrategie bijgesteld. Het risico voor de volksgezondheid was namelijk toegenomen en de opsporingskansen gestegen. Hierop werd besloten in te gaan op de eisen van de dader om het risico voor de volksgezondheid te minimaliseren en de opsporingskansen te optimaliseren."

De politie heeft gebruik gemaakt van de expertise van gedragsdeskundigen, toxicologen, het Nederlands Forensisch Instituut en TNO.

Veilig anoniem surfen

Een anonymizer is een website waarvandaan je gratis of tegen betaling anoniem kan surfen - een onmisbaar hulpmiddel voor bijvoorbeeld journalisten en andere scribenten die hun werk willen doen in landen met totalitaire regimes. Maar ook handig voor criminelen. Wie surft of mailtjes verstuurt via een dergelijke website, krijgt een ander, en zogenaamd ontraceerbaar IP-adres.

Normaal gesproken is een IP-adres uniek, en vrij eenvoudig te herleiden tot een internetprovider, of soms tot een pc van een internetter. Een bevel van de rechter-commissaris is dan genoeg om de adresgegevens van de 'eigenaar' van dit nummer op te eisen bij de provider. De politie kan dan een internettap plaatsen, of de persoon inrekenen als ze verdacht worden van een misdrijf.

Afpersing

Al sinds een jaar had onder andere Campina te maken met een anonieme afperser, die via brieven liet weten geld te willen ontvangen. Zou Campina geen geld overmaken, dan werden de zuivelproducten van dit bedrijf vergiftigd. De partijen communiceerden via de kleine advertenties in de categorie 'oproepen en opsporingen' in de Telegraaf.

Niet alleen Campina was slachtoffer; Sara Lee, producent van Douwe Egberts-koffie, werd eveneens onder druk gezet. Verder moest Ahold geld overmaken en ook de Nederlandse Spoorwegen moesten het ontgelden. De afperser ging zelfs zo ver dat hij dreigde om babycrème te voorzien van een dodelijke substantie. Maar hij had het blijkbaar zo druk, dat de berichtjes van Douwe Egberts, die in de Telegraaf geplaatst werden, onbeantwoord bleven.

Hieronder staan een paar van dergelijke cryptische berichtjes:

"Voor een blije baby, neem voor 11 juli contact op met Anna. Op het bekende antwoordnummer".

"Voorstel op deze wijze niet uitvoerbaar. Graag rechtstreeks contact met ... opnemen"

Campina deed voor het eerst op 1 juli 2002 aangifte van afpersing: de verdachte schreef brieven waarin hij rond de 20.000 euro eiste van het bedrijf. Maar na enige briefwisselingen en dreigementen, die hij inderdaad uitvoerde, viel een stilte, die zo lang duurde dat de politie het onderzoek tijdelijk stillegde. Pas in februari 2003 deed Campina opnieuw aangifte. De man was opnieuw actief geworden, het onderzoek werd heropend.

Rode Volkswagen Golf

De afperser, die in het dagelijks leven als chipontwerper bij een Duits bedrijf werkte, ging louter virtueel contact aan, via internet. Fysiek contact, en daarmee een grotere pakkans, ging hij uit de weg. De verdachte had een volgens hem waterdicht en briljant plan bedacht, waarbij opnieuw de Telegraaf een belangrijke rol zou spelen, dit maal de website Autotelegraaf.

Campina werd gedwongen om een bankrekening te openen, een wereldpas aan te vragen en daarop 200.000 euro te storten. In samenwerking met de politie besloot Campina om aan deze eis te voldoen.

Het pinpasje moest digitaal en anoniem bij de man terechtkomen, iets waarvoor hij begin juli 2003, na maanden broeden, een oplossing leek te hebben bedacht:

De 'toetjesterrorist' stuurde een brief met een floppy. In de brief stonden instructies en de floppy bevatte een computerprogramma dat documentjes onzichtbaar kan verbergen in afbeeldingen. Deze techniek wordt steganografie genoemd: het verstoppen van digitale informatie in bijvoorbeeld audiovisuele bestanden. Je kunt de informatie ongezien 'inpakken', versturen en weer uit het bestand halen als je de code kent. Deze methode is al sinds jaar en dag populair bij hackers en websites waarop MP3's worden uitgewisseld.

De zuivelgigant kreeg waarschijnlijk de instructie om de magneetstrip van het pasje uit te lezen en deze gegevens, samen met de pincode te verbergen in de afbeelding. Dat lijkt althans de enige logische manier waarop de gegevens van de bankkaart digitaal bij de verdachte aankwamen.

Zelfs de instructies van wat er op het plaatje moest komen te staan waren nauwlettend en tot in de kleinste details bepaald: de afbeelding moest een rode tweedehands Volkswagen Golf zijn. En het plaatje moest geplaatst worden tussen de tienduizenden andere autoadvertenties op de website van Autotelegraaf.nl. Op 1 juli 2003 moest de foto van de Golf op de website staan, aldus zijn eisen. Anders zouden er weer een aantal pakken yoghurt, monatoetjes of verwenvla 'gecontamineerd' worden.

De dader surfde in de mooie zomerdagen van begin juli 2003 naar 'zijn' Rode Volkswagen Golf via de anonymizer. In de veronderstelling volledig onkwetsbaar te zijn, haalde hij dit plaatje van de Golf naar zijn computer. De verse bankgegevens haalde hij met hetzelfde steganografisch programma uit dit plaatje van de Golf.

Volgens Ausma De Jong Advocaten in Nieuwegein is de politie onduidelijk op dit punt, maar de bankgegevens werden zeer waarschijnlijk via een vrijelijk verkrijgbaar pasjeskopieerapparaat op een kaart aangebracht. Meer dan tien jaar geleden schreef hackersmagazine Hacktik al dat het mogelijk was om een bankpasje te kopiëren; inmiddels zijn dergelijke pasjeskopieerapparaten gemeengoed geworden.

Hiermee was de toegang tot 200.000 euro - voor Campina geen onoverkomelijk bedrag - gewaarborgd. Nu kon de verdachte echter zijn misdaad niet voortzetten door online het geld over te schrijven. De verdachte moest de overstap maken van internet naar de 'echte wereld': nu alleen nog het geld opnemen, en de 'perfecte internetmisdaad' was voltooid...

Hello, FBI? This is Utrecht!

Zou de chip-nerd fan zijn geweest van The X-files? Zijn ingewikkelde science fiction-plan zou in deze inmiddels beëindigde serie over twee FBI-agenten niet hebben misstaan. Maar het belangrijkste advies van de televisieagenten moet hem ontgaan zijn: 'Trust no one", luidde het prangende advies van Agent Mulder.

De verdachte had haast. Volgens het politieverslag zocht hij al op de dag dat de foto online gezet werd op deze bewuste auto, via de zoekmachine. De afperser moest de foto met de verborgen informatie uit de enorme autodatabase tevoorschijn halen, en waande zich ongrijpbaar omdat hij gebruik maakte van een anonymizer.

Volgens het advocatenkantoor van de verdachte had de politie ruimschoots beschikking over alle verkeersgegevens die bij het Telegraafconcern voorhanden waren. De politieverklaring is op dit punt vaag. De politie geeft onder het kopje 'tappen' aan: 'De Telegraaf heeft de gegevens vrijgesteld over de totale periode dat hij werd verdacht'. Deze periode loopt van grofweg september 2002 tot begin juli 2003.

De advocaat van de verdachte: "Gedurende dit onderzoek is gebruik gemaakt van diverse bijzondere opsporingsbevoegdheden, op bevel van de Officier van Justitie te Utrecht en als het nodig was met machtigingen van de Rechter Commissaris. Denk dan aan stelselmatige observaties, telefoontaps en internettaps."

Het ging niet om een gerichte zoekactie op een IP-adres, want dit adres probeerde de politie nu juist te achterhalen. De politie wilde zo veel mogelijk gegevens, zodat ze zelf een analyse op deze logfiles uit kon voeren.

De advocaat vertelt dat de politie alle logs had opgevraagd van de Autotelegraaf tussen de eerste aangifte van Campina, van juli 2002 en tot begin juli 2003. De politie noemt dit 'tappen', terwijl het feitelijk om een opsporingsbevel gaat. De Autotelegraaf biedt geen telecomdiensten en is niet verplicht om zo lang deze gegevens te bewaren, zoals telecomproviders dat wel zijn.

Door deze miljoenen bytes aan gegevens te filteren op een enkele zoekopdracht op een rode Golf, kwamen ze achter een aantal IP-adressen die leidden naar de anonymizer-website in Amerika. Op 1 juli 2003 om 15:38 bleek de foto te zijn gevonden door de afperser. De politie had nu beschikking over een paar IP-adressen, maar daar liep het spoor aanvankelijk even dood. Deze IP-adressen leidden namelijk naar een anonymizer, die was gevestigd in de Verenigde Staten. Zonder hulp zou de politie er niet achterkomen wie er gebruik had gemaakt van deze dienst.

Daar was hulp van buitenaf voor nodig. Op 2 juli 2003 vroeg de politie assistentie aan de FBI. De FBI ging vervolgens op onderzoek uit en kwam terug met de adresgegevens van de dader in Nederland. Volgens de advocaat gaf de eigenaar van de website Surfola zonder voorbehoud de informatie aan de FBI, geheel vrijwillig, zonder een officieel opsporingsbevel. Dit terwijl de privacy policy van de site zo duidelijk lijkt te zijn. Bovenaan deze 'keiharde garanties' voor privacybescherming staat:

1. SURFOLA.com will not give out your name, residence address, or e-mail address to any third parties without your permission, for any reason, at any time, ever.

Internetbetaaldienst helpt ook

Binnen 24 uur na de aanvraag kreeg het Utrechtse onderzoeksteam van de politie, de gegevens waar het op had gehoopt: de FBI gaf een e-mailadres dat eindigde op @wxs.nl en enkele financiële gegevens over betalingen die de toetjesterrorist via Paypal.com had gedaan.

Vervolgens gaf de Officier van Justitie een bevel aan Planet/KPN om de volledige naam en adresgegevens die bij dit adres behoorde, te overhandigen. Tevens werd er een tap geplaatst op zijn telefoon- en internetlijn, en werd de man geschaduwd door de politie. Alle internetproviders in Nederland moeten sinds een aantal jaar voldoen aan deze eis, op basis van artikel 13.4 van de Telecommunicatiewet, een artikel over het vorderen van gegevens bij telecomorganisaties.

Een razendsnelle internationale samenwerking leidde ertoe dat de verdachte binnen 72 uur gearresteerd kon worden. Op 3 juli 2003 werd de man aangehouden, bijna op heterdaad, bijkans met het pasje in zijn hand om te pinnen. De rechtbank behandelt de zaak tegen de verdachte naar verwachting medio oktober 2003.

De boef heeft zelfs al bekend, maar volgens advocatenkantoor Ausma en de Jong is het nog allerminst duidelijk of deze opsporing wel volgens de regels is verlopen. Aan de politie heeft de advocaat duidelijkheid gevraagd over de manier waarop de politie de gegevens van de Autotelegraaf verkreeg, en wat precies de rol van de beheerders van de website was. De verdachte zou een juridische procedure in Amerika kunnen aanspannen tegen de anonymizer, omdat Surfola zijn privacyreglement had geschonden en de verdachte misleid.

Volgens advocatenkantoor Ausma en de Jong gaat het om een unieke zaak in Nederland. Nog niet eerder kwamen er zoveel gegevens naar buiten over de internationale samenwerking van de politie met de FBI. Daarnaast is het volgens hem nog onduidelijk of het bewijs, dat de politie via de anonymizer heeft verkregen, wel rechtmatig is. "Het ging wel erg makkelijk om surfgegevens via de FBI te bemachtigen", aldus de onderzoeker.

Omdat het ging om een IP-adres, dat gekoppeld was aan een pc in een gezin, werden in de eerste instantie ook zijn vrouw en kind gearresteerd. Maar waarschijnlijk handelde de man alleen. Het openbaar ministerie legt hem bedreiging met geweld en waarschijnlijk zelfs poging tot moord ten laste.

Volgens zijn advocaat was het nimmer de bedoeling geweest om iemand daadwerkelijk fysieke schade te berokkenen. Zo had hij een aantal soorten gif op zijn eigen geiten getest om te zien hoe schadelijk het was. Een strafblad had de IT-er niet, schijnbaar was het een brave huisvader die 's avonds wat uurtjes achter zijn pc zat. Dat hij consumenten vergiftigde en een zware misdaad achter diezelfde pc beraamde, schijnt voor zowel vrouw als kinderen een schok te zijn geweest waar ze nog lang niet van bijgekomen zijn. In zijn verklaring sluit de verdachte af met: "Was ik maar nooit op internet gegaan".

Gepubliceerd

21 aug 2003
Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0