Nu we in deze coronatijd zoveel online zijn, neemt ook de cybercriminaliteit een vlucht. Criminelen proberen een graantje mee te pikken in deze onrustige tijden. Maar niet als het aan wetenschapper Rolf van Wegberg en master student Jochem van de Laarschot ligt. Zij werken samen met de FIOD aan de bestrijding van cybercriminaliteit.

Structurele samenwerking

Van Wegberg werkte al langer samen met de FIOD, en tot tevredenheid van beide partijen want onlangs is zelfs een meerjarig onderzoeksprogramma opgestart waarin TU Delft studenten en wetenschappers onafhankelijk onderzoek doen. Ze krijgen daarmee een vaste plek bij de FIOD. Van Wegberg: “Dit brengt de wetenschap dichter bij de opsporing, maar tegelijkertijd ook technische studenten bij de FIOD”. Hun werk brengt de wetenschap verder, maar vergroot tegelijkertijd de operationele slagkracht van de FIOD door concreet toepasbare methoden en technieken.

Reconstructie van dark markets

Van Wegberg: “We kunnen elkaar echt versterken. De FIOD heeft zelf niet altijd de capaciteit om onderzoek te doen met data op bijvoorbeeld inbeslaggenomen servers, terwijl daar wel een schat aan informatie in zit. Onze afstudeerders kunnen hier een aantal maanden fulltime mee bezig zijn”. En dat leverde al heel mooie concrete resultaten. Eén daarvan is bijvoorbeeld een omzetberekening van dark market verkopers. Deze berekening helpt de FIOD om een realistische schatting te maken van het vermogen dat met illegale praktijken, zoals de handel in drugs of gestolen creditcards, is opgebouwd en kan dit dan terugvorderen.

Met de inbeslaggenomen servers is het mogelijk de administratie van de markt te reconstrueren. Van Wegberg: ‘Je krijgt dan inzicht in het verschil tussen wat men aan de buitenkant van de markt kan observeren en de daadwerkelijke handelspatronen op de markt. Voor ons onderzoek hadden wij de beschikking over de administratie van een prominente dark market. Daarmee konden we voor het eerst empirisch onderzoek doen naar de huidige wetenschappelijke methoden om de omzet van verkopers op dark markets meten. Dit deden we tot op heden door te ‘scrapen’, een computertechniek waarbij met software informatie uit webpagina’s wordt gehaald - de buitenkant van de markt dus. Nu zetten we daar de interne administratie van de markt tegenover.’

Beveiligingsmaatregelen van cybercriminelen

Van Wegberg studeerde criminologie in Leiden, maar wilde zich meer richten op cybercriminaliteit. Na deze studie kwam hij als promovendus terecht bij de onderzoeksgroep cybersecurity op de faculteit TBM waar hij nu als postdoc werkt. Van de Laarschot maakte tijdens een minor kennis met cybersecurity. “Ik ben vooral geïnteresseerd in de menselijke kant van de techniek. Het gedrag van cybercriminelen fascineert mij. Het hoe en waarom achter de keuzes die zij maken.” Dit komt ook duidelijk terug in zijn afstudeerproject waarin hij zich richt op de cybersecurity maatregelen die cybercriminelen al dan niet nemen. Hij onderzoekt hoe zij zich beveiligen, welke afwegingen ze hierin maken en natuurlijk op welke manier zij kwetsbaar zijn, zodat de FIOD hen effectief kan opsporen. “Wat mij wel verraste is dat er op zo’n grote schaal criminele markten bestaan, dat had ik vooraf niet beseft. Ik vind het ook heel interessant om een kijkje in de keuken te krijgen van het werk van de FIOD. Uiteraard tot op zekere hoogte want veel informatie is ook vertrouwelijk en wordt geanonimiseerd, maar je krijgt wel inzicht in de bevoegdheden van een digitaal rechercheur bijvoorbeeld. En ja, soms hoor je dan ook wel spannende verhalen tijdens een teamoverleg. Dat geeft het werk wel een extra dimensie”.

Vertrouwensbasis

Het team van de FIOD waarin Van Wegberg en Van de Laarschot zijn ingebed, bestaat uit een mix van rechercheurs, digitaal specialisten en onderzoekers. Zo wordt cybercriminaliteit vanuit verschillende invalshoeken bekeken. De meerwaarde van studenten Technische Bestuurskunde zit vooral in de vertaalslag die zij kunnen maken met data. Zij begrijpen de context waarin de data geplaatst moeten worden. Bij de FIOD is dat de bestrijding van criminaliteit met een financieel component. De studenten hebben leren systeemdenken, kunnen de data ook goed inzichtelijk maken en natuurlijk hebben ze tijd om in de data te duiken, maar er komt ook een mate van creativiteit bij kijken. Essentieel in de samenwerking is een vertrouwensbasis en het maken van heldere en strikte afspraken om de integriteit van het opsporingsproces te waarborgen en toch onafhankelijk academisch onderzoek uit te voeren. Zo worden bijvoorbeeld usernames van criminelen geanonimiseerd voordat de onderzoekers ermee aan de slag gaan. Het draagt allemaal bij aan het gedeelde doel: het effectief en efficiënt opsporen van financiële cybercrime.

Uniek onderzoek

De samenwerking met FIOD vergroot de capaciteit van datagedreven onderzoek immens. Van de Laarschot: “Ik vind het heel bijzonder dat ik onderzoek mag doen met deze unieke data, waar je normaalgesproken nooit bij kunt komen.” Dergelijke structurele samenwerkingen bestaan internationaal niet voor zover bekend bij Van Wegberg. Een tijd terug sprak hij nog een Amerikaanse collega-onderzoeker die toch wel een tikkeltje jaloers was op dit Nederlandse concept. “Hij zou heel graag met de data van bijvoorbeeld de FBI willen werken, maar dat soort instanties zijn echt strikt gesloten bolwerken waar je niet zomaar binnenkomt. Ik ben dan ook best trots op deze samenwerking” glundert Van Wegberg.