De digitale klopjacht op de grootste cryptocriminelen

Het meest voorkomende misverstand over bitcoin en andere cryptomunten is dat transacties daarmee volledig anoniem zijn en crypto’s daarom populair bij criminelen. Het eerste klopt niet, het tweede wel, blijkt in Tracers in the Dark, van de Amerikaanse techjournalist Andy Greenberg. Een boek over de jacht op „the crime lords of cryptocurrency”.

Cryptogeld heeft grote aantrekkingskracht op criminelen. Het heeft de snelheid en gewichtloosheid van giraal geld, zonder het nadeel van banktransacties, namelijk dat je je moet identificeren. Al snel na het begin van bitcoin in 2009 werd een eerste marktplaats op het ‘darkweb’ gebouwd, The Silk Road. Die was niet met een gewone zoekmachine te vinden, maar wel met de Tor-browser, waarmee je anoniem kunt surfen. Daar werden met crypto’s onder meer drugs verhandeld.

The Silk Road groeide razendsnel en de beheerders waanden zich veilig. Aanvankelijk dachten rechercheurs ook dat ze er weinig tegen konden beginnen. Aan beide kanten moest nog doordringen hoe cryptovaluta werken, namelijk op basis van een openbare database met alle transacties, de zogeheten blockchain. Die is een goudmijn voor een bepaald type rechercheur, die begrijpt waar je naar moet kijken als je erachter wilt komen wie schuilgaan achter de ontvangstadressen (een lange reeks letters en getallen) van de criminele opbrengsten.

Greenberg beschrijft hoe de speurders dat vanaf 2013 met vallen en opstaan hebben geleerd. Zijn hoofdpersonen houden van puzzelen. De een is een gedreven academicus gespecialiseerd in cryptografie, de ander een aanvankelijk verveelde accountant bij de financiële recherche. Aangevuld met het type dat het liefst deuren intrapt, maar door toeval een cybermisdrijf op het spoor is gekomen. En daarna gegrepen werd door de mogelijkheden, bijvoorbeeld om een wereldwijd kinderpornonetwerk op te rollen.

Greenberg maakt de computernerds cool. Hij laat zien hoe ze samenwerken en gebruikmaken van elkaars vondsten. Over het gepuzzel met een brij transacties van nog anonieme personen een spannend boek schrijven, is bijna net zo bewonderenswaardig als het minutieuze speurwerk zelf.

‘Don’t shit where you eat’

Een van zijn hoofdpersonen, de op kwantummechanica gepromoveerde Deen Michael Gronager, probeert in het begin van het boek de identiteit te achterhalen van de dief van 650.000 bitcoins van Mt. Gox, tot 2014 de belangrijkste cryptobeurs. De software die Gronager daarvoor ontwikkelt, legt de basis voor zijn bedrijf Chainalysis. De waarde daarvan wordt in de laatste hoofdstukken boven de 8 miljard dollar geschat. Het bedient momenteel wereldwijd cryptobeurzen, toezichthouders en aanklagers.

Het lukt de dief te identificeren. Vervolgens duurt het nog jaren voor die kan worden opgepakt. Dat komt door iets anders wat dit boek goed laat zien: de rol van Rusland in de wereld van cybercriminaliteit. Illegale online marktplaatsen eisen van hun gebruikers opvallend vaak dat er geen Russische slachtoffers worden gemaakt. Dit onder het motto ‘don’t shit where you eat’. Zolang ze geen problemen in Rusland veroorzaken, worden cybercriminelen daar met rust gelaten. Voor de inval in Oekraïne leek daar onder Amerikaanse druk even verbetering in te komen, nu is het tegendeel weer waar. Dat maakt een deel van het speurwerk onbevredigend. De ene illegale marktplaats is zo ingeruild voor de volgende, als al dat digitale speurwerk niet leidt tot vervolgingen en beslagleggingen.

In de meeste onderzoeken zit niettemin een cruciaal en hoopvol moment, waarop de vage online identiteit van de crimineel (‘Dread Pirate Roberts’ of ‘Alpha02’) een gezicht krijgt. De criminelen blijken ook van een bepaald type. Soms met ideologie (libertair) en een soort principes (‘geen kinderporno via mijn darkweb’). Vrijwel allemaal zijn het vaardige programmeurs, die lijken te genieten van het kat-en-muisspel.

Een klein foutje

Niet de rouwdouwers waar de afgelopen decennia tv-series over werden gemaakt. Dit is hedendaagse geschiedenis, met strijd achter computerschermen. Ze runnen hun marktplaatsen professioneel, inclusief medewerkers, welkomstmails, gebruikersvoorwaarden en software-updates. Als ze tegen de lamp lopen, komt dat meestal door een klein foutje. Ze zijn eens vergeten hun e-mailadres te versleutelen. Of hebben hun echte naam opgegeven bij de registratie van een server of het omzetten van crypto’s naar traditioneel geld.

In het geval van de grote online zwarte markt AlphaBay kregen nieuwe gebruikers een welkomstmailtje waarbij door een foutje in de opzet van de server het e-mailadres van de afzender zichtbaar was in de metadata: [email protected]. De server bleek in Nederland te staan (en later verhuisd).

Lees ook: Willem werd opgelicht met cryptomunten. Had de cryptobeurs dit moeten voorkomen?

De Nederlandse politie heeft een eervolle bijrol in het boek. De High Tech Crime Unit in Driebergen jaagt vanaf 2016 op de marktplaats Hansa. Daarbij zien ze kans de leiding over Hansa tijdelijk over te nemen. Door de drugshandel een maand door te laten lopen, kunnen ze van honderden gebruikers gegevens achterhalen. Met de Amerikanen bedenken ze een gewaagd opzetje: die wachten met het offline halen van AlphaBay tot Hansa in politiehanden is. Zo lopen criminelen die hun handel naar Hansa verplaatsen in een fuik.

Op iedere technische truc van de politie volgt een antwoord van de criminelen. Die worden steeds beter in het uitwissen van hun online sporen. Er worden ‘cryptomixers’ opgezet, om transacties op de blockchain te verhakselen. En een cryptomunt (de Monero) speciaal om de privacy van gebruikers te garanderen. Dat maakt ook dat de rechercheurs naarmate de verhalen dichter bij nu komen, steeds minder inzicht geven in hun werk. Greenberg worstelt om details van na 2020 los te krijgen. De opsporingsdiensten kunnen zich geen al te actueel kijkje achter de schermen veroorloven.