Met valse advertenties en neppe websites sluizen internetfraudeurs geld weg. Alles verloopt snel en anoniem waardoor het lastig is de criminelen te achterhalen. Wel kunnen we op Crimenetwork gesprekken van de oplichters lezen.
Misschien kunnen we nog iets vinden op eBay. Zo vlak voor Kerst is dit platform de laatste grote hoop voor veel mensen die nog een cadeautje zoeken. Sommigen willen niet meer veel geld uitgeven, anderen hebben het gewoon niet. En bij eBay of in off-the-beaten-track onlineshops is het vaak ietsje goedkoper.
Maar deze koopjesjacht kent risico’s. Want terwijl de argeloze koopjeszoekers de aanbiedingen langslopen hebben internetfraudeurs allang hun val gezet. En dat gaat zoals hier tussen twee gebruikers met als pseudoniem lockdownlothar en 3komma3:
lockdownlothar guess you’re sway, right? 3komma3 hoi ja lockdownlothar wat kan ik voor je doen? 3komma3 wil graag op proef tien advertenties kopen voor klaz. (‘Klaz’ staat voor eBay, de advertenties horen bij de oplichterstruc.) lockdownlothar kunnen we doen lockdownlothar prijssegment en andere item verzoeken? 3komma3 beste niche 3komma3 prijs vanaf 500.
Crimenetwork, een marktplaats voor criminelen, waar vrijwel alles te krijgen valt waar de legale markt niet in voorziet
Bovenstaande boodschap komt uit een echte chat tussen twee vermoedelijke cybercriminelen. Een van hen is 3komma3 – of ook wel sway. Beide pseudoniemen gebruikt hij op Jabber, een instant messaging-service vergelijkbaar met het vroegere msn. Het forum waar ze elkaar hebben ontmoet is Crimenetwork, een marktplaats voor criminelen, waar vrijwel alles te krijgen valt waar de legale markt niet in voorziet: nep-onlineshops met fakeproducten, gejatte identiteiten, gekaapte bankrekeningen. Wie zoekt, die vindt.
Advertenties met koopjes
Op internetfora vinden deze vermoedelijke fraudeurs alles wat ze voor hun oplichterij nodig hebben. De nietsvermoedende shopper ziet alleen advertenties met koopjes en kan de verleiding niet weerstaan. Hij klikt, betaalt – en staat met lege handen. De bestelling komt nooit aan, het geld verdwijnt naar een door de oplichters gekaapte rekening en is weg. De daders hebben daarvoor alleen een computer nodig en een flinke portie criminele energie. Elk jaar maken ze zo miljoenen euro buit.
In 2020 wilde de recherche het criminele forum een harde slag toebrengen. Veertienhonderd agenten doorzochten een flink aantal gebouwen. Lamgelegd hebben ze het netwerk duidelijk niet. Want enkele chatberichten schreven lockdownlothar en 3komma3 pas begin dit jaar.
De mensen achter zulke pseudoniemen opereren niet in een bende, het zijn lone wolves
Uit de gesprekken blijkt dat mensen achter zulke pseudoniemen niet in een bende opereren, het zijn lone wolves. Ze frauderen allemaal op eigen houtje. Maar ze onderhouden wel contact met elkaar, ze bieden elkaar diensten aan, sommigen worden ook echte maatjes. De Süddeutsche Zeitung kon ruim 20.000 chats inzien en de echtheid ervan steekproefsgewijs controleren via enige eruit voortvloeiende bitcoin-transacties. Zo kom je heel dicht bij de vermoedelijke fraudeurs – tot bij hun onderlinge chatverkeer. sway schreef tussen eind januari en begin april 7300 berichten, meer dan enig andere persoon in het chat-bestand. Wat drijft iemand die thuis waarschijnlijk honderdduizenden euro’s verdient met oplichting vanaf zijn computer?
Werktijden
Zijn normale ‘werktijd’ ligt klaarblijkelijk tussen elf uur ’s ochtends en 10 uur ’s avonds, de meeste berichten heeft hij binnen dit tijdsbestek geschreven. Waarom er juist van sway zoveel chats in het bestand zitten, is vooralsnog niet duidelijk. Mogelijk is hij zeer actief is in de scene en beschikt hij over een groot netwerk. Maar het is ook mogelijk dat iemand hem een loer heeft willen draaien.
Zijn job in de scene is die van shop filler, schrijft sway aan een van zijn chatpartners. Dat kan weinig anders betekenen dan dat hij nepwinkels opzet en zijn bankrekeningen spekt met geld van mensen die daar intrappen. Uit de chats blijkt verder dat hij mensen ook oplicht met nepadvertenties op eBay.
Elke dag chat sway met dienstverleners die hem veel werk uit handen nemen – en daarbij fors meeverdienen. In de chats informeert sway naar hun diensten, pingelt af van hun prijs, bekritiseert slechte waar. Hij koopt diensten in, vermoedelijk om zelf te kunnen frauderen. Dit systeem staat bekend als crime as a service. Met 30 pseudoniemen had sway in de genoemde drie maanden contact. Voor sommigen lijkt hij een vaste klant, anderen zijn waarschijnlijk vooral vriendjes.
Dit soort nepadvertenties verschijnt ook bij Amazon of andere online marktplaatsen
Dagelijks besteedt sway een deel van de dag aan het lokken van potentiële slachtoffers met fakeadvertenties op eBay. Daarvoor kopiëren oplichters meestal bestande bonafide advertenties en proberen zij die op het platform te plaatsen. Dit soort nepadvertenties verschijnt ook bij Amazon of andere online marktplaatsen. sway laat zulke advertenties – in de chats noemt hij ze ‘insis’ – door anderen in elkaar zetten. Zoals door raes:
3komma3 hoi 3komma3 wil graag paar insis kopen 3komma3 10x op proef raes nicheproducten? 3komma3 joe raes er zijn 80, in de aanbieding
Aan het eind van het gesprek koopt sway voor 150 euro advertenties. Daarmee creëert hij voor zichzelf de mogelijkheid om in het tijdsbestek van een maand zo’n 35 miljoen gebruikers op eBay te bestelen.
Technische voorzorgsmaatregelen
En eBay? Het bedrijf is op de hoogte van het probleem en treft naar eigen zeggen technische voorzorgsmaatregelen, neemt goed nota van klachten van gebruikers en waarschuwt voor opvallende zaken. Een woordvoerder zegt dat klanten beter niet vooruit kunnen betalen en dat het platform er alles doet om de veiligheid te garanderen.
sway heeft op dat moment twintig nieuwe advertenties. Het geld dat daarmee gemoeid is stuurt hij naar raes, natuurlijk niet via een bankoverschrijving, maar via bitcoin wallet. Dat is de digitale portemonnee waarmee je cryptovaluta zoals bitcoins kunt verzenden en ontvangen. Elke transactie die ooit met bitcoin is gedaan, wordt vastgelegd in de blockchain en kan met behulp van eenvoudige online tools door iedereen publiekelijk worden ingezien. En inderdaad, enkele uren na sways bericht legt de blockchain een transactie vast van omgerekend ongeveer 150 euro.
serkan36: broer, ik moet gewoon junky stuff hebben voor te adverteren
Vooral nicheproducten zijn gewild. Experts zeggen dat mensen met name in de val lopen als een product moeilijk verkrijgbaar is en kopers bereid zijn vooraf te betalen. Dan kan het net zo goed om de nieuwe Playstation als om een zak openhaardhout gaan. De vermoedelijke dienstverlener in de misdaad heeft als insider tip roeimachines aanbevolen, die gaan momenteel ‘als broodjes over de toonbank’. Geen wonder, in tijden van pandemie willen mensen immers thuis kunnen sporten. Het vraagstuk van producten die bijzonder ‘goed lopen’ houdt sway sowieso regelmatig bezig. Vaak gaat dat in een heel eigen vaktaaltje:
serkan36 broer serkan36 ik moet gewoon junky stuff hebben voor te adverteren 3komma3 wat is junky stuff serkan36 so dj shit un gitaren serkan36 dan gaan de mensen los 3komma3 oke bro 3komma3 vet veel adverteren 3komma3 aanval ok serkan36 ja maar ik moet ook gewoon advertenties hebben die knallen serkan36 un geen inbouwkeukens un grasmaaimachines serkan36 doe mij platenspelers un so djay shitzooi.
In de chats gaat het verder over halters, paardenzadels, kettingzagen of elektrische scooters. De vermeende gangsters scannen voortdurend de markt – en zetten daarop hun val. Zeker de maand december betekent voor internetfraudeurs hoogconjunctuur: ‘Hoe vaker mensen online shoppen, hoe vaker ze in de val van de nepshop trappen,’ waarschuwt Iwona Husemann van de consumentenbond Noordrijn-Westfalen. Door de 2g-regel in de detailhandel zullen dit jaar waarschijnlijk heel veel mensen kiezen voor onlineshopping, denkt ze. Daarbij komen nog de leveringsproblemen bij speelgoed en elektronica – reden temeer om elders op zoek te gaan naar aanbiedingen.
Nepshopproject
Behalve met nepadvertenties op eBay probeert sway consumenten klaarblijkelijk ook om de tuin te leiden met nepshops. In plaats van hier en daar een losse nepadvertentie zet sway daartoe meteen een complete website op. Die moet alles weghebben van een bonafide onlineshop met een groot aanbod. Alles op zo’n site is fake. Voor zijn meest recente nepshopproject geeft sway opdracht aan weer een andere chatpartner, die zichzelf op Crimenetwork simonerus noemt. Zijn taak: de inhoud kopiëren van de sites van solide online-postorderbedrijven en deze nabouwen voor de nepwinkels. De twee werken al een paar dagen samen. Ondertussen raken ze aan de praat, over bitcoins en het geld dat ze met onlinefraude binnenhalen:
sway te veel geld uitgegeven laatste tijd simonerus haha. wat heb je nog zo opgescharreld sway poeh paar auto’s simonerus hoe maak je zo veel geld zonder wat te doen sway nou ik leef van het maanden geleden verdiende nog haha simonerus wat was dat dan 20 30k sway nene. was wel goed simonerus ik heb 700 gemaakt ongeveer. vorig jaar sway dan heb je echt grote uitgaven simonerus dit jaar wil ik 1mio halen. hoe dan ook simonerus dan eventjes rustig aan
Even later schrijft sway dat hij in het afgelopen jaar tussen de 100.000 en 200.000 euro heeft verdiend. Of dat klopt kan de Süddeutsche Zeitung niet controleren. Maar de bedragen die hij blijkens de bitcoin-transacties overmaakt doen vermoeden dat er in zijn zaakjes wel degelijk veel geld omgaat.
Volgens de recherche zijn maar weinig onlinefraudeurs professioneel programmeur laat staan hacker
Volgens de recherche zijn maar weinig onlinefraudeurs professioneel programmeur laat staan hacker. Waarom ook al die moeite? Gedetailleerde instructies voor onlinefraude staan op fora als Crimenetwork. Daar worden zakelijke en persoonlijke dingen besproken. Iemand schrijft dat hij als kind Pokemon-kaarten heeft gestolen, een ander werkt niet als zijn vriendin over de vloer is. En soms krijgen ze wroeging, iemand schrijft: ‘Jezelf op de borst slaan kun je niet, om eerlijk te zijn. Zeker ook omdat je altijd bang moet zijn dat je ’s ochtends hardhandig wordt gewekt.’ Hij bedoelt: door de politie.
Sway alias 3komma3 wacht kennelijk een volgende stap. Als een slachtoffer toehapt op een van zijn eBay-advertenties of nepshops, heeft hij immers een factuur nodig zodat de handel er zo echt mogelijk uitziet. Voor dienstverlener bigfootcnw een fluitje van een cent:
3komma3 hoi 3komma3 kun je me snel un rekening voor un koffiemachine knutselen bigfootcnw hi bigfootcnw ben jij sway ? 3komma3 yep 3komma3 die machine is et 3komma3 lukt et vllt in 5 min bigfootcnw Ik ben al bijna klaar
Identiteitskaarten en pakketzegels
Zo vervalsen mogelijke cybercriminelen als sway waarschijnlijk ook foto’s van identiteitskaarten en pakketzegels. Sway koopt zo’n zegel bijvoorbeeld bij Whit3cnw. Hij schrijft: ‘Heb un 100% tid-graad nodig gaat dat snel.’ tid, weer zo’n afkorting. Zij staat voor Transaction id, het trackingnummer waarmee de verzendstatus van pakketten gevolgd kan worden. Het is gekocht met een valse identiteit. Waarschijnlijk zal sway zijn denkbeeldige pakket nooit verzenden, maar met een echt trackingnummer kan hij zijn slachtoffers langer aan het lijntje houden.
Om met zijn slachtoffers af te kunnen rekenen mist sway nu nog een bankrekening. Zijn eigen rekeningnummer kan hij immers niet gebruiken. Op Crimenetwork koopt hij daarom waarschijnlijk een zogeheten bankdrop, een eerder door een oplichter gekaapte rekening. In de chats komen heel vaak gekaapte rekeningen van online banken zoals n26, Fidor of de Postbank terug. Veel minder vaak, maar daarom des te gewilder en duurder, lijkt er sprake te zijn rekeningen van de Sparkasse en de Consorsbank.
Een gejatte bankrekening is een belangrijk onderdeel van deze zwendel
Een gejatte bankrekening is een belangrijk onderdeel van deze zwendel. Ze bestaan dankzij de naïviteit van het publiek. Mensen surfen op internet en zien daar een goed gecamoufleerde advertentie van oplichters: ‘Testpersonen gezocht voor opening van een bankrekening.’ Nietsvermoedend klikken zij erop en openen zo een rekening bij een bank. In ruil daarvoor krijgen ze van de oplichters wat geld – een kleine tegemoetkoming voor de moeite. Vervolgens vragen de oplichters de mensen om hun toegangsgegevens. Zij zullen het rekeningnummer dan weer afsluiten. Maar dat is, net als het hele testgebeuren, een leugen. Zodra de mensen hun gegevens hebben doorgegeven kunnen de oplichters het legaal geopende bankrekeningnummer gebruiken alsof het van hen is. Als de koper bij eBay vervolgens geld overmaakt, belandt dit op de gekaapte rekening en vloeit het van daaruit weer weg. Zonder ook maar een spoor achter te laten naar de dader. In plaats daarvan komt de argeloze testpersoon in beeld.
Als de politie met de slachtoffers contact opneemt, is het vaak al te laat en zijn de daders gevlogen. Desgevraagd zeiden alle banken dat ze zich bewust waren van het probleem en dat dit als gevolg van de pandemie ook groter was geworden. Ze gingen er actief mee aan de slag, met technische oplossingen en via voorlichting. Maar zolang mensen nietsvermoedend in de trucjes van oplichters trappen valt het frauduleus openen van bankrekeningen niet volledig te voorkomen. Daarover is iedereen het eens.
Omdat alles anoniem en snel verloopt, is het voor de recherche lastig de oplichters te achterhalen
Als de politie bij de slachtoffers voor de deur staat is het meestal te laat. Omdat alles anoniem en snel verloopt, is het voor de recherche lastig de oplichters te achterhalen. Voor consumenten is dat geen goed nieuws. Ze zijn min of meer machteloos en kunnen op een dag een waarschijnlijke oplichter zoals sway tegen het lijf lopen. In een van de chats duikt zijn telefoonnummer op. Als Süddeutsche Zeitung hem belt, neemt hij niet op. Hij antwoordt via Telegram Messenger. Op onze aantijgingen wil hij in eerste instantie niet reageren, hij schrijft dat het ‘waarschijnlijk om een misverstand’ gaat. Als we doorvragen stuurt hij links naar het socialemediaprofiel van de drie betrokken SZ-redacteuren, zegt dat hij daar wel iets mee kan en dat ze maar eens goed moeten nadenken of ze hun verhaal wel willen publiceren. Vooralsnog is het zijn laatste bericht.
