vak & mens
advocaat en algoritme
Cyberdieven doen zich voor als advocaat
Cybercriminelen hengelen naar sleutels en geheimen. Soms doen ze zich voor als advocaat.
Tom Meevis van advocatenkantoor Law & More uit Eindhoven staat bijna dagelijks slachtoffers van internetfraude bij. Hij kijkt niet meer op van doortrapte nepbankmails, geniepige track-and-tracelinks voor niet-bestaande pakketjes of fakeprofielen van oplichters op Marktplaats of datingsites. Maar dat naam en logo van zijn eigen kantoor de afgelopen jaren door maar liefst drie criminele bendes misbruikt zijn, vindt hij bizar.
Eerst kreeg hij een tijdlang meldingen van grote Nederlandse bedrijven. Hun CEO had een mail gekregen van een mailadres dat leek op dat van zijn kantoor, met het verzoek een bedrag te betalen. Die mails waren nooit door zijn kantoor verzonden. Daarnaast maakt een Russischtalige site al jaren straffeloos gebruik van zijn naam en foto, om daarmee het vertrouwen van klanten te winnen voor diensten waar Meevis niets mee te maken heeft. En een Nederlandse oplichter kaapte naam en logo van het kantoor in combinatie met een ander bezoekadres. ‘Je komt er pas achter als boze gedupeerden zich melden,’ zegt Meevis. ‘Die hebben voor niets betaald. Soms blijven ze een tijdlang denken dat wij de oplichters zijn.’ Alle keren heeft hij aangifte gedaan, maar alleen de Nederlandse zaak wordt door de politie onderzocht. Ook in de fraudezaken van zijn cliënten blijven de meeste aangiftes zonder gevolg. ‘Uitermate teleurstellend, want het is ongelooflijk hoeveel fraude er plaatsvindt. Probleem is echter dat de daders niet of moeilijk te vinden zijn omdat ze een valse identiteit gebruiken en vaak opereren vanuit het buitenland.’
Komt het wel tot een onderzoek, dan blijven de echte daders vaak buiten beeld, vertelt strafrechtadvocaat Bob Kaarls uit Den Haag. ‘Het zijn vaak alleen de geldezels en mensen die bankpasjes proberen af te pakken, die tegen de lamp lopen. Maar er gaan enorm ingenieuze organisatiesvormen achter schuil.’ Dat was al zo in de tijd van de Nigeriaanse advance-fee fraude. Ging je op zo’n mail in, dan werd er een overtuigend toneelstuk geënsceneerd van zakenmannen in pak op poenerige locaties. ‘Ik herinner me een hoogleraar getrouwd met een hoge ambtenaar die zich zo anderhalf miljoen hadden laten aftroggelen. Vaak vermoedt het slachtoffer op een gegeven moment dat het niet klopt. Toch blijft hij hopen dat hij zijn geld terugkrijgt, als hij nog een beetje bijbetaalt.’
In andere strafzaken werden door slachtoffers online aangevraagde bankpasjes en toeslagenformulieren verduisterd door malafide postbodes die via een speciaal uitzendbureau werden ingezet. De nauwelijks van echt te onderscheiden nepbanksites worden gemaakt door Nederlandse onderaannemers, die bijvoorbeeld een deel van de buit afstaan aan de makers van de phishing software in het buitenland.
Zo nu en dan slaat de politie een grote slag, zoals vorig jaar met de internationale Cookiemonster-zaak. Buitgemaakte wachtwoorden en andere gevoelige data van miljoenen mensen werden verhandeld op het darkweb. In de megazaak werden in zeventien landen invallen gedaan. Dit jaar werden in Nederland de eerste verdachten in de zaak veroordeeld. De straffen voor cybercrime zijn stevig. Kopstukken kunnen volgens de richtlijnen zo een paar jaar cel opgelegd krijgen, legt Kaarls uit. Maar de pakkans is klein en als een zaak grensoverschrijdend is, brengt dat veel werk met zich mee. Daar heeft de politie geen capaciteit voor.
Met AI wordt het voor de consument nog moeilijker om echt van nep te ondescheiden, zo voorspelt hij. Iedereen kan nu teksten, opmaak, stemmen en beelden namaken, die steeds moeilijker van echt te onderscheiden zijn.