Internationale datadiefstal, afpersing en witwassen. Daarvoor hield het cybercrimeteam van de politie Amsterdam drie mannen aan in een omvangrijk onderzoek. De arrestaties vonden eind vorige maand al plaats, maar de politie maakt het nu pas bekend.
De verdachten zijn een 21-jarige man uit Zandvoort (hoofdverdachte), een 21-jarige man uit Rotterdam en een 18-jarige man zonder vaste woon en verblijfplaats. Twee verdachten zitten in alle beperkingen. Dat betekent dat zij alleen contact mochten hebben met hun advocaat.
Het onderzoek begon in maart 2021 naar aanleiding van een aangifte van datadiefstal en dreiging bij een groot Nederlands bedrijf. Welk bedrijf dat is maakt de politie niet bekend. Gaandeweg het onderzoek werd duidelijk dat vermoedelijk duizenden kleine en grote bedrijven én instellingen, zowel nationaal als internationaal, de afgelopen jaren slachtoffer werden van computervredebreuk (hacken) en vervolgens diefstal en heling van data. Tientallen miljoenen privacygevoelige persoonsgegevens kwamen hierdoor in handen van criminelen.
Geraffineerde werkwijze
Het onderzoek van de recherche geeft zicht op een zeer geraffineerde werkwijze. Nadat de criminelen illegaal toegang hadden tot de data op de systemen van de getroffen bedrijven, krijgen deze bedrijven een dreigend bericht per email met de mededeling dat ze moeten betalen in bitcoins. Betaalt een bedrijf niet, dan volgde de dreiging om de digitale infrastructuur van het bedrijf te vernielen of de gegevens openbaar te maken.
Veel bedrijven volden zich gedwongen om te betalen in de hoop hun data te beschermen. De totaalschade voor bedrijven loopt in de vele miljoenen. Voor tot dusver bekend, is het geëiste losgeld per bedrijf daarbij opgelopen tot meer dan 100.000 euro een uitschieter naar meer dan 700.000 euro.
Ondanks dat gebeurde het alsnog dat de gestolen data alsnog online verkocht. Dat leverde de hoofdverdachte vermoedelijk in de afgelopen jaren een crimineel inkomen op van 2,5 miljoen euro.
Privacygevoelige gegevens
Op deze manier vielen tientallen miljoenen privacygevoelige gegevens van mensen in handen van de criminelen. Het gaat daarbij niet alleen om namen, adressen en telefoonnummers. Denk daarbij ook aan geboortedata, bankrekeningnummers, creditcards, wachtwoorden, kentekens, BSN-nummers of paspoortgegevens. Allemaal zeer privacygevoelige informatie.
De impact voor de getroffen bedrijven is enorm. Het gaat daarbij niet alleen om financiële schade, maar ook om imagoschade en alle extra inspanningen om systemen weer te herstellen. Ook bedrijven die hun beveiliging goed op orde hebben, kunnen door dit soort feiten worden getroffen. Daarbovenop komen nog de gevolgen voor de mensen bij deze bedrijven op persoonlijk vlak. Zij voelen zich verantwoordelijk voor iets wat vaak buiten hun schuld om is gebeurd. Zo heeft een medewerker van een getroffen bedrijf aan de politie uitgelegd hoe hij voortdurend angst heeft dat de buitgemaakte data alsnog wordt verhandeld en bang is voor persoonlijke bedreiging als gevolg van praten met de politie.
Samenwerking
Het cybercrimeteam kreeg in het onderzoek hulp van andere politie-eenheden en diverse internationale opsporingsdiensten. Het gaat dan ook niet alleen om bedrijven in Nederland die het slachtoffer werden van datadiefstal- en handel. Ook internationale bedrijven zijn gedupeerd. De slachtoffers zijn heel divers en komen voor in nagenoeg alle denkbare branches; van horeca, opleidingsinstituten, webshops tot aan softwarebedrijven, sociale media en instellingen die behoren tot de vitale infrastructuur.
Het onderzoek is in volle gang, maar de politie wil er nog weinig over kwijt.
Lees ook:
- AP: Datalekken door cyberaanvallen bijna verdubbeld
- 76% van alle organisaties geeft toe ransomwarecriminelen te betalen. Een derde daarvan kan nog steeds geen gegevens herstellen
