Zo werden de twee grootste darkweb-markten opgerold
De twee grootste zwarte markten op het darkweb, waar onder meer drugs werd verhandeld, zijn offline gehaald. Hoe deden de opsporingsdiensten dit?
Lees ook: Drugsverdachten darkweb-markt Hansa zijn pubers
Ping. In 2014 krijgen leden van de net opgerichte zwarte markt Alphabay een welkomstmailtje binnen. Om hen te bedanken dat ze lid zijn geworden van een website waar naast drugs ook wapens en neppaspoorten worden verhandeld. Normaal gesproken beantwoordt niemand zo'n mail. Maar wie het wel deed, zag dat je niet naar het algemene Alphabay-adres mailde, maar naar een Hotmail-account. Wie zat er achter dat adres?
Pas in december 2016 ontdekte de FBI het mailadres in één van die welkomstmails. Ze startten een onderzoek en zagen dat het e-mailadres bij PayPal was geregistreerd. Vanaf dat PayPal-account werden overboekingen gedaan naar onder andere Roosh V, een omstreden activist die de Mens Rights-beweging aanhangt, een groep anti-feministische mannen. Roosh laat zich regelmatig zeer negatief en denigrerend uit over vrouwen en schreef bijvoorbeeld een blogpost waarin hij zegt dat verkrachting moet worden gelegaliseerd.
Het geld op die PayPal-rekening kwam van een Canadese rekening die hoorde bij Alexandre Cazes, die eind vorig jaar 25 jaar oud was. De FBI dacht: bingo. 'Alex' klopte, en de '91' in het mailadres zou kunnen slaan op zijn geboortejaar. Ook werd er een andere aanwijzing gevonden: Cazes plaatste in 2008 met hetzelfde mailadres een post op een online forum. Hij heette daar Alpha02, dezelfde alias die de beheerder van Alphabay gebruikte.
Zelfmoord in Thaise cel
Toen ging het balletje rollen. De FBI ontdekte dat de Canadese Cazes al een tijdje in Bangkok woonde, en wisselde tussen huizen in het eveneens Thaise Phuket en Cyprus. Samen met de Thaise politie vielen ze op 5 juli bij hem binnen, toen hij met zijn laptop was ingelogd als beheerder van Alphabay. Het gaf de FBI een schat aan informatie over kopers en verkopers.
Uit documenten (pdf) van de FBI blijkt dat Cazes onder andere een Lamborghini Aventador, Porsche Panamera S, Mini Cooper en een BMW-motor had gekocht. Ook had hij 5 miljoen dollar aan Bitcoin, 1,8 miljoen aan Ethereum en nog 760.000 dollar in Zcash. Alles is in beslag genomen.
Cazes werd later dood gevonden in een Thaise cel, meldde de Bangkok Post. Volgens de politie heeft hij zichzelf opgehangen met zijn handdoek.
Valstrik Nederlandse politie
Toen de Nederlandse politie hoorde dat de FBI werkte aan het oprollen van Alphabay kreeg het een idee: hoe slim zou het zijn als al die kopers en verkopers zouden verhuizen naar een platform dat werd beheerd door de politie? Dat was mogelijk omdat Hansa, een andere grote zwarte markt op het darkweb, net door de politie was overgenomen.
De overname van Hansa is het gevolg van een tip van het Roemeense securitybedrijf Bitdefender. Zij zagen dat de servers van Hansa in Nederland stonden en stuurden de locatie van de servers naar Team High Tech Crime (THTC), de digitale specialisten van de Nederlandse politie. Hoe Bitdefender precies achter deze normaal gesproken anonieme locatie kwam, wil het niet zeggen.
Door de tip zag THTC de locatie van de andere servers van Hansa. De beheerders van de illegale marktplaats wisselden regelmatig van server om de opsporingsautoriteiten te slim af te zijn, maar uiteindelijk werden de belangrijkste servers - de databases - in beslag genomen bij een hostingpartij in Litouwen. Ook werden de vermeende beheerders, twee Duitse mannen van 30 en 31 jaar, aangehouden.
Broncode aangepast
In plaats van de website direct offline te halen, lokte de politie alle 'Alphabay-vluchtelingen' sinds begin juli naar de door hen beheerde Hansa-website. Daar kon de politie namelijk de communicatie tussen kopers en verkopers inzien. Ze pasten de broncode aan waardoor zelfs chatberichten versleuteld met PGP, dat wordt gezien als één van de veiligste encryptiemethoden, konden worden gelezen.
In die chats kwam de politie voornamelijk namen en afleveradressen tegen van kopers. De verkopers zeiden in die chats natuurlijk niet wie ze waren of waar ze woonden. Daarom ging de politie via de chat vragen stellen aan deze grote drugscriminelen. Misschien vertrouwden ze de beheerders van Hansa wel?
Om vertrouwen te winnen zorgde de politie ervoor dat de website afgelopen maand werd verbeterd. Er werden nieuwe onderdelen toegevoegd en er werd actief deelgenomen aan discussies op het forum (moet nieuwe drugs X een eigen categorie krijgen?). Ook vragen van gebruikers werden beantwoord. Door vertrouwen te winnen stuurden verkopers privégegevens naar de politie, waarmee ze 'veel mensen' kunnen identificeren.
Data over duizenden kopers en verkopers
De Nederlandse politie heeft zo de beschikking gekregen over een berg data van duizenden kopers en verkopers. In de komende tijd worden er allerlei onderzoeken naar Hansa-leden gestart, het maakt daarbij niet uit of je kilo's cocaïne of maar een paar pilletjes hebt gekocht, waarschuwt het Openbaar Ministerie.
Gemiddeld werden er dagelijks duizend bestellingen gedaan, waarvan een merendeel 'voor persoonlijk gebruik'. De grote bestellingen werden in samenwerking met de postdiensten onderschept. Tot nu toe zijn er vier Nederlandse drugsverkopers gearresteerd. Eén van de grootste verkopers, die dealt onder de nickname FrankMatthews, is nog niet opgepakt.
"Je denkt dat je anoniem bent op het darkweb, maar dat ben je niet", zei Martijn Egberts, officier van justitie, gisteren na de onthulling van de actie. "Wie kun je op het darkweb nog vertrouwen en wie niet? We willen duidelijk maken: ook op het zogenaamde anonieme internet kan de politie je nog pakken."
De Hansa-marktplaats is nu ingewisseld voor een pagina van de politie met uitleg over de actie. Bij het oprollen van de website zijn ook 1000 bitcoins in beslag genomen met een waarde van zo'n 2 miljoen euro. Deze bitcoins worden spoedig verkocht en het bedrag gaat naar het Openbaar Ministerie.
Einde nog niet in zicht
Maar ook de politie weet dat het oprollen van twee grote zwarte markten geen einde maakt aan de drugsverkoop op het darkweb. "Helaas zie je veel van dit soort websites opnieuw verschijnen", aldus Wilbert Paulissen, hoofd van de Landelijke Recherche.
Wel is er veel onrust te bespeuren, met name op forum Reddit. Kopers en verkopers verzamelen zich daar en uiten hun zorgen: brengt de politie hen binnenkort een bezoekje? "Ik kan je één advies geven: vertrouw geen enkele site meer", aldus een bezorgde koper.
Een groep darkweb-gebruikers denkt dat peer2peer-verkeer, wat ook wordt gebruikt voor torrents, de toekomst voor illegale marktplaatsen is. Het opensourceproject OpenBazaar is daar een voorbeeld van, vertelt onderzoeker Rick Holland van Digital Shadows, een beveiligingsbedrijf dat het darkweb monitort. "Je krijgt met een softwareprogramma toegang tot OpenBazaar, dat gratis van hun website kan worden gedownload", zegt Holland.
Elke Openbazaar-gebruiker beheert als het ware een kopie van de website. Dit soort platformen zijn veel lastiger offline te krijgen en ook moeilijker over te nemen dan gecentraliseerde zwarte markten als Alphabay en Hansa. "Kopers en verkopers raken misschien hun vertrouwen kwijt in deze grote illegale marktplaatsen, het peer2peer-model geeft hen meer controle en waarborgen."
Meer over het darkweb
Drugsverdachten darkweb-markt Hansa zijn pubers