Zomaar een gebouw op een bedrijventerrein aan de oever van de Monongahela-rivier in Pittsburgh. Een onopvallend pand tegenover een broodjeszaak vlak bij het parlementsgebouw in Londen. Hier valt niets te beleven, straalt het uit. Maar achter deze doodgewone deuren vindt een zenuwslopend kat-en-muisspel plaats waarbij rechercheurs de grootste criminelen op het internet proberen uit te roken. Dit is de frontlinie van een oorlog tegen criminelen die via schimmige websites handelen in gestolen creditcardgegevens en andere gevoelige informatie. Het is een miljardenbusiness.

In Groot-Brittannië is al 44 procent van de kleine en middelgrote ondernemingen slachtoffer geworden van cybercriminaliteit na een toename van 9 procent in 2007. De detailhandel leed in dat jaar voor zeker 270 miljoen pond (290 miljoen euro) schade door internetfraude. Experts vermoeden dat dit het topje van de ijsberg is. In Nederland zou de omvang van het probleem minder groot zijn, maar Nederlandse banken willlen hierover geen gegevens loslaten. Volgens de Organisatie voor Veiligheid en Samenwerking in Europa (OVSE) gaat er wereldwijd jaarlijks wel 66 miljard euro om in cybercriminaliteit.

In de afgelopen tien jaar zijn talloze virtuele criminele organisaties ontstaan, zoals The International Asso-ciation for the Administration of Criminal Activity, CarderPlanet, Theftservices.com en ShadowCrew. Een onevenredig aantal kent een Engels-Russische oorsprong. Politieacties hebben tot nu toe weinig effect gehad omdat een opgerolde organisatie in een mum van tijd weer elders onder een andere naam opdook. De handel in gestolen financiële gegevens blijft bloeien.

In 2006 voerden FBI-agenten van het Amerikaanse bureau voor cyberforensisch onderzoek en opleidingen (NCFTA) in Pittsburgh koortsachtig overleg met rechercheurs van het Britse bureau voor zware georganiseerde misdaad (SOCA) in Londen. Voormalige hackers die nu werken voor de FBI waren op een nieuw internationaal webforum gestuit. Het heette DarkMarket. Op het eerste gezicht leek de site op elk ander digitaal prikbord, met popupadvertenties en videoclips. Maar via een zijdeurtje konden criminelen inloggen en zo toegang krijgen tot een marktplaats waar gestolen creditcardgegevens werden aangeboden. Verder waren hier inloggegevens voor online bankieren, valse rijbewijzen en kredietgegevens en persoonlijke gegevens zoals factuuradressen en meisjesnamen van getrouwde vrouwen te koop. Er werd ook apparatuur verkocht voor het printen van hologrammen op valse creditcards en het kopiëren en wijzigen van magneetstrips op pinpassen. Hiermee konden criminelen de bankrekeningen van hun slachtoffers plunderen.

De prijzen liepen uiteen van een paar euro tot enkele duizenden, afhankelijk van het aantal en de kwaliteit van de gegevens. De site had een pagina met nieuwsberichten over de recentste persoonlijke gegevens die gebruikt konden worden voor het slachtoffer de diefstal ontdekte. Op forums konden de leden tips en trucs met elkaar delen.

Het was al met al een levendig gedoe, maar wel ‘members only’. Om lid te worden en voorbij de eerste pagina te komen moest je door twee seniorleden worden voorgedragen.

Onderdirecteur Shawn Henry van de FBI Cyberdivisie en Sharon Lemon, directeur e-crime van SOCA, beseften dat ze hier een belangrijke schakel te pakken hadden. Zij moesten deze operatie ontmantelen – maar een virtueel netwerk oprollen is uiterst gecompliceerd. Simpelweg de stekker eruittrekken werkt meestal niet omdat de server zich niet zelden bevindt in een land buiten het bereik van de Amerikaanse of Britse justitie. Of de server die men uitschakelt is slechts een hulpstation (proxy) van de ontraceerbare hoofdserver.

De enige mogelijkheid om de boel te sluiten was te achterhalen wie de gebruikers van de site waren. Een schier onmogelijke taak op een site met zoveel beveiliging en zoveel achterdocht. De rechercheurs moesten iets bedenken waardoor ze het vertrouwen van de dieven zouden winnen.

Rond die tijd meldde het in Groot-Brittannië gevestigde Spamhaus Project, een organisatie die ‘samenwerkt met de autoriteiten om spammers wereldwijd te identificeren en te vervolgen’ dat er een belangrijke nieuwe fraudeur actief was, Pavel Kaminski. Kaminski, beweerde Spamhaus, ‘leidt een los georganiseerde spam- en oplichtingsbende vanuit Oost-Europa.’ Mogelijk had hij ook te maken met BadCow, een van de grootste spambendes ter wereld, die in 2005 was opgerold.

Op Kaminski’s indrukwekkende cv stonden, aldus Spamhaus, ‘proxy scam, phishing, ‘pump and dump’, JavaScript exploits, carder forums en botnets’ (zie het kader links voor meer informatie). In het stuk stond ook zijn bijnaam, of ‘handle’, in de wereld van e-fraude – Master Splyntr.

Het rapport van Spamhaus bleef niet onopgemerkt bij de beheerders van DarkMarket. Een spammer die zichzelf Lord Cyric noemde nodigde Splyntr begin 2006 uit om lid te worden van het forum. Cyric en zijn crew hadden namelijk beveiligingsproblemen. Het schijnbaar onfeilbare ballotagesysteem van DarkMarket begon te wankelen en ongewenste cybercriminelen van concurrerende websites – zogenaamde ‘rippers’ – wisten tot de site door te dringen. Zij probeerden gestolen financiële gegevens binnen te halen zonder ervoor te betalen. Er dreigde een hackersoorlog.

Splyntr bood aan DarkMarket tegen de invasie te beschermen en begon de rippers op te sporen en uit te roken. Hij blokkeerde hun accounts zodat ze niet terug konden komen. Uit de logs van de site maakte hij op dat DarkMarket 2500 actieve leden had, hetgeen wees op een omzet van honderden miljoenen. Splyntr maakte de site weer veilig en de echte leden konden weer ongestoord met elkaar handelen.

DarkMarket trad op als intermediair: wie op de site gestolen gegevens kocht hoefde niet rechtstreeks aan de verkoper te betalen, maar bracht het geld onder bij een van de beheerders van het forum tot hij aangaf tevreden te zijn over de transactie, waarna de verkoper werd betaald. DarkMarket rekende een honorarium voor die diensten. Naarmate de omzet van DarkMarket toenam werkte Splyntr, die steeds meer vertrouwen genoot, zich op in de hiërarchie van de organisatie.

Daar leek verandering in te komen toen, eind 2006, de 35-jarige Max Ray Butler, ook bekend als Iceman, Aphex en Digits, de beheerders van DarkMarket liet weten dat Splyntr inlogde vanaf een computer van de FBI in Pittsburgh. Butler, een hacker die de rivaliserende CardersMarket leidde, hield de FBI aan het lijntje door te doen alsof hij hun informant was terwijl hij in werkelijkheid zijn positie gebruikte om draadloze communicatie te onderscheppen en computers van financiële instellingen te kraken. Zo was het hem ook gelukt om de server van DarkMarket te kraken en de inloggevens van gebruikers te bekijken. Master Splyntr viel hem direct op.