Direct naar artikelinhoud

Zo nam de Nederlandse politie een online drugsmarkt over

Via onlinemarktplaats Hansa werden op grote schaal drugs, juwelen en nep-artikelen verhandeld. De site draaide diep verborgen in de krochten van het internet. De Nederlandse politie spoorde haar op.

Gebruikers van Hansa Market kregen op 20 juli deze mededeling op hun scherm.

Dertig seconden kan een eeuwigheid zijn. Tien onderzoekers van het Team High Tech Crime, onderdeel van de Nationale Politie, kijken beurtelings naar elkaar en dan weer naar hun computer. Gespannen koppies.

Het is twee uur 's nachts op het hoofdkantoor in Driebergen. Deze nacht, 23 juni, zal het team een van de meest opzienbarende acties uit zijn bestaan uitvoeren: een illegale onlinemarktplaats overnemen en zelf beheren. De politie die drugshandel mogelijk maakt, het is geen onomstreden actie.

De marktplaats, Hansa genaamd, is een van de grotere op het zogeheten dark web en draait dan nog op servers in Litouwen. Het politieteam heeft een kopie gemaakt en zal die nu online brengen. Hoe langer dat duurt, hoe groter de kans dat de personen die er drugs verhandelen iets doorhebben.

Seconden tikken weg, het duurt uiteindelijk net iets langer dan een halve minuut. Dan is Hansa weer bereikbaar en gaat de handel verder. Handelaren loggen in. Marijn Schuurbiers, plaatsvervangend teamchef, is die nacht ook in Driebergen. 'Toen het lukte, was er een euforische stemming. High fives, kippenvel.' Even is er paniek. Sommige onderdelen van de site haperen. Schuurbiers: 'We moesten wat kleine en grotere fouten eruit halen.' Maar kopers en verkopers hebben niets door. Ze hebben geen idee dat ze hun drugs verhandelen terwijl de politie toekijkt.

De infiltratieactie is het slotstuk van een omvangrijk onderzoek. Het OM zal diverse verdachten gaan vervolgen. Betrokkenen mogen daardoor niet al te veel details prijsgeven. Toch wil Schuurbiers, ook namens het nauw betrokken Darkweb Team, enige openheid geven.

Toen het lukte, was er een euforische stemming. High fives, kippenvel
Marijn Schuurbiers, plaatsvervangend chef Team High Tech Crime

Een minuscule fout

Het begint met een tip in september 2016. Het politieteam krijgt het IP-adres van een server in Nederland. Dat zit zo: Bitdefender, een digitaal beveiligingsbedrijf, maakt kopieën van het totale internetverkeer. Daarin heeft het bedrijf een correlatie ontdekt met een onderdeel van een online marktplaats. Onlinedrugsmarktplaatsen zoals Hansa zijn alleen toegankelijk via de anonieme internetbrowser Tor.

Voor de politie is zo niet te zien waar handelaren vandaan komen, zoals ook niet bekend is waar de servers van de marktplaats staan. Als het goed is opgezet, en de marktplaats op geen enkele manier een verbinding maakt met het 'gewone' internet, kan de politie de marktplaats nooit vinden. Vergelijk het met het huren van een box in een opslagloods: aan de buitenkant is niet te zien van wie de boxen zijn of wat er ligt opgeslagen. Alleen de eigenaar weet dat. Door verdacht gedrag of door fouten te maken kan de eigenaar de locatie van de box blootgeven.

500 Nederlanders verhandelden nietsvermoedend drugs via de marktplaats Hansa terwijl de politie toekeek

27 dagen lang beheerde de Nederlandse politie de onlinemarktplaats

En vaak gaat er iets fout. Ook nu. Bronnen zeggen dat een 'configuratiefout' de locatie van de server verraadt. Die blijkt in Nederland te staan. Politieonderzoekers gaan naar het datacentrum waar de server staat en maken een kopie. De eigenaren van Hansa hebben niets door: de server blijft gewoon draaien.

Dan komt fout twee van de beheerders van Hansa: de computer waarop de site draait, is niet goed versleuteld. De kopie die de politie maakt, laat leesbaar een wirwar aan codes, logbestanden en chatgesprekken zien. Allemaal verscholen in duizenden pagina's cijfers en getallen. Rechercheurs van het Team High Tech Crime en het Darkweb Team hebben maanden nodig om nuttige verbanden te zien. Ze zien communicatie naar IP-adressen in Nederland en ontdekken dat daar delen van een onlinemarktplaats draaien: de zogeheten webinterface en het deel dat de Bitcoinbetalingen afhandelt.

Vanwege de veiligheid maken beheerders van marktplaatsen gebruik van verschillende servers. Ook wisselen ze geregeld van server. De politie ziet dat de marktplaats zich in korte tijd verplaatst van Nederland naar Duitsland en daarna naar Litouwen. Dat is fout drie: de server communiceert via het 'gewone' internet met andere servers en geeft zo zicht op de hele organisatie.

Rechercheurs hebben maanden nodig om nuttige verbanden te zien
Het offline halen is niet het belangrijkste doel, de ervaring leert dat ze elders weer online komt
Marijn Schuurbiers

Toevalstreffer

Beetje bij beetje krijgt het team een idee van de omvang en de organisatie en de vermoedelijke Duitse beheerders. Hun wachtwoorden staan in de gekopieerde gegevens. De teamleider belt in het voorjaar met Duitse collega's. Toevallig houden die de verdachten al in de gaten vanwege het illegaal aanbieden van luisterboeken en dvd's op een Duitse website.

Schuurbiers: 'Het offline halen van een marktplaats is niet het belangrijkste doel, omdat de ervaring leert dat ze elders weer online komt. Liever pakken we de verantwoordelijken die de marktplaats beheren en de mensen die daadwerkelijk handelen.'

FBI

Die kans krijgt de politie dankzij het Duitse onderzoek. En er is nog een gelukje: de FBI is op hetzelfde moment de beheerder van de allergrootste onlinemarktplaats Alphabay op het spoor en staat op het punt de site offline te halen. Alphabay heeft 40 duizend handelaren en 200 duizend klanten. De Nederlandse politie verzoekt de FBI de actie tegen Alphabay stil te houden.

Het team vindt de server in Litouwen. Hansa draait in hetzelfde datacentrum en bijna op dezelfde plek als waar eerder de onlinemarktplaats Silk Road 2 draaide en van waaruit criminelen gijzelingssoftware Locky de wereld in stuurden.

Als de onderzoekers in Litouwen zijn, houdt de Duitse politie op 20 juni de twee eigenaren aan. De afspraak is dat ze een maand in beperking zullen gaan: geen enkel contact met de buitenwereld zodat de Nederlandse politie heimelijk de controle kan overnemen. De eigenaren staan hun wachtwoorden af.

Litouwen geeft toestemming voor het in de lucht houden van de server. 'Maar het is juridisch en praktisch behoorlijk ingewikkeld om als politie een onlinemarktplaats buiten Nederland te beheren. We wilden dat hier doen', zegt Schuurbiers.

De politie maakt ter plekke een kopie van de site. Met de wachtwoorden die het team al vond in Nederland - en die overeenkomen met de wachtwoorden die de verdachten gaven - loggen ze in als beheerder van Hansa. De technische experts leren in Driebergen meer over het ontwerp van de site.

Na de succesvolle overname heeft de politie nog steeds geen zicht op alles. Handelaren gebruiken aliassen als ze drugs verkopen en hun internetadres blijft door gebruik van Tor afgeschermd. De onderzoekers zetten daarom een aantal trucs in, zoals het uitzetten van de versleuteling van privéberichten. Schuurbiers: 'Toen konden we meelezen met alles wat er via de site werd verstuurd. Opmerkelijk vaak ging drugs gewoon naar een thuisadres.'

Opmerkelijk vaak ging drugs gewoon naar een thuisadres
Marijn Schuurbiers

Arrestatie

Op onlineforum Reddit wordt nog een politietruc uit de doeken gedaan: handelaren op Hansa kunnen een zogeheten locktime-bestand downloaden die het aantal verkopen en de inkomsten bijhoudt. Makkelijk. Maar de politie voegt stiekem software aan het bestand toe zodat deze het IP-adres achterhaalt en weer doorstuurt.

Op 5 juli arresteert de Thaise politie een 26-jarige Canadees die de beheerder van Alphabay zou zijn. De grootste onlinemarktplaats gaat offline en de FBI houdt de reden geheim. Gebruikers gaan massaal naar Hansa toe, onwetend dat de Nederlandse politie die marktplaats beheert. De toename is zo groot dat de politie de aanmeldprocedure even stillegt.

Na 27 dagen houdt het team ermee op. De politie heeft tienduizend Europese adressen waar drugs is bezorgd overgedragen aan Europese politieorganisatie Europol. Schuurbiers: 'Het komende jaar zullen vele onderzoeken volgen op basis van deze data, zowel binnen als buiten Nederland.' Volgens hem is de infiltratieactie een succes en is de politie binnen de grenzen van de wet gebleven. Rechters zullen dat in de komende maanden gaan toetsen.

Het komende jaar zullen vele onderzoeken volgen op basis van deze data
Marijn Schuurbiers, plaatsvervangend chef Team High Tech Crime

Dark web: anonieme markt op internet of digitaal rovershol?

Ross Ulbricht creëerde een vrijplaats voor wie buiten het zicht van de overheid iets wil verhandelen. Maar de FBI infiltreerde, en nu zit hij voorgoed in de cel. Kan dat ook in Nederland? Hoever reikt de macht van de politie online? Lees het verhaal van de val van de oprichter van Silk Road.