Wie op dit moment online drugs wil bestellen, doet dat hoogstwaarschijnlijk op Dream Market. Het is de belangrijkste plek op internet om creditcardgegevens, computervirussen en drugs te bestellen nadat zwarte marktplaatsen Hansa en Alphabay vorige maand door de politie offline werden gehaald.
Het lijkt?business as usual?voor wie rondneust op de site. Verkoper ?Onenation? prijst er bijvoorbeeld zijn ketamine aan. ?DiscounterNL? verkoopt xtc-pillen met de naam?Laugh Now, Cry Later.
Maar schijn bedriegt. Het opdoeken van Hansa en Alphabay heeft tot paniek geleid. Een deel van de drugsverkopers verhuisde naar Dream Market ? met een andere gebruikersnaam. Daarmee gooien de handelaren een maanden- of soms jarenlang opgebouwde reputatie weg, cruciaal voor de handel op dergelijke sites.
Van alle verkopers die Alphabay en Hansa verruilden voor Dream Market veranderde minstens 20 procent de verkoopnaam,?blijkt uit onderzoek van TNO dat deze maandag verschijnt. Daarnaast probeerde 14 procent onder de radar te blijven door alleen de PGP-sleutel te veranderen, de unieke code om versleutelde communicatie te kunnen lezen. ?Verkopers veranderen hun PGP-sleutel of verkoopnaam niet als ze niet denken dat het echt moet?, schrijven de TNO-onderzoekers. Bijna honderd verkopers blijken onder hun eigen verkoopnaam te zijn verhuisd van Alphabay naar Dream Market, maar slechts twaalf verkopers durfden onder hun oude verkoopnaam en met dezelfde PGP-sleutel over te stappen vanaf Hansa.
De politie zit al langer achter deze boeven aan, maar dat is lastig. Wanneer agenten een marktplaats sluiten, dan gaan de gebruikers meestal naar een andere website met hun waar. ?Dit noemen we het waterbedeffect?, zegt Rolf van Wegberg. Bij TNO en de TU Delft onderzoekt hij het darkweb. ?Als je bij een waterbed aan de ene kant drukt, dan gaat het aan de andere kant omhoog. Daar komt de naam vandaan.?
Vier verkopers aangehouden
De politie zegt tienduizend adressen van drugskopers te hebben overgedragen aan Europol; er werden vijfhonderd bezorgadressen in Nederland onderschept. Tot nu toe zijn er in Nederland slechts vier vermeende drugsverkopers aangehouden. Het OM zegt druk te zijn met lopende onderzoeken. Wilbert Paulissen, hoofd van de Landelijke Recherche, zegt tegen?NRC?dat een deel van de drugsafnemers in ieder geval nog bezoek krijgt van de politie.
Na de sluiting van Hansa en Alphabay trad er weer het zogeheten waterbedeffect op, schrijven de TNO-onderzoekers. De aanwas bij Dream Market steeg van gemiddeld twintig nieuwe gebruikers per dag naar zestig met uitschieters tot honderdtachtig. Dit effect is bekend. ?In het verleden betekende het neerhalen van een zwarte markt niet meer of minder dan een tijdelijk knikje in het verkoopvolume van zwarte markten?, zegt Rolf van Wegberg, een van de betrokken TNO-onderzoekers. ?De verkopers verplaatsten zich gewoon en hadden slechts even tijd nodig om onder dezelfde naam opnieuw advertenties te plaatsen.? De socioloog Isak Ladegaard stelde zelfs vast dat door media-aandacht voor het ontmantelen van een zwarte markt verkoopvolumes op zwarte markten juist toenamen.
?Het waterbedeffect was natuurlijk ook bij ons bekend?, zegt Martijn Egberts, landelijk officier van justitie belast met computercriminaliteit. Volgens hem was het een van de belangrijkste motieven om het op deze manier aan te pakken. ?We wilden vooral duidelijk maken dat je wel degelijk een risico neemt door te kopen of verkopen op een zwarte markt.?
Reputatie
Toen de FBI begin juli de populaire ondergrondse marktplaats Alphabay sloot trad opnieuw het waterbedeffect op. Het aantal gebruikers van de concurrent Hansa Market steeg flink. ?Maar de criminelen wisten niet, dat de Nederlandse politie die site in handen had. Ze konden wekenlang alles zien wat daar gebeurde en ook adressen van criminelen achterhalen?, zegt Van Wegberg. De politie verzamelde op deze manier, tijdens operatie Bayonet, maar liefst tienduizend adressen.
Van Wegberg signaleerde dat een derde marktplaats, genaamd Dream Market, na de sluiting van Alphabay en Hansa flink populairder werd. De site bestaat sinds 2013 en had tot juli 2017 een gemiddelde van 20 nieuwe gebruikers per dag. Dat aantal steeg na het sluiten van Alphabay en Hansa naar meer dan 60 (met uitschieters van 180), blijkt uit zijn onderzoek.
Tot zover lijkt het op een normaal waterbedeffect. Maar er is nog meer aan de hand. Van Wegberg achterhaalde van veel nieuwe aanmelders van Dream Market waar ze vandaan kwamen. Hij ontdekte dat minimaal vijftien procent van die gebruikers van naam veranderde bij hun aanmelding bij Dream Market.
?Dat is zeer ingrijpend?, zegt hij. ?Want hun reputatie is gekoppeld aan hun username. Net als bijvoorbeeld bij Ebay of Aliexpress, kunnen consumenten cijfers geven voor de geleverde producten of diensten op ondergrondse marktplaatsen. Zo weet je of iemand op tijd levert en de drugs bijvoorbeeld van goede kwaliteit zijn. Een goede reputatie is veel waard, want dan bestellen meer mensen bij je.? In de schimmige, anonieme wereld van het darkweb zorgt een reputatie voor houvast.
Gedragsverandering
Dat zoveel overstappers hun zorgvuldig opgebouwde reputatie weggooien, is ongekend volgens Van Wegberg. ?Ze zijn bang geworden door de succesvolle politie-actie Bayonet. Het heeft een groot effect gehad en geleid tot een gedragsverandering. Je kunt het vergelijken met een restaurant met Michelinsterren, die van de een op de andere dag de naam aanpast, een nieuw telefoonnummer neemt en zich dan ook nog in een andere stad vestigt.? En dan is er ook nog een groep van meer dan een kwart dat de zogeheten PGP-sleutel veranderde, waarmee je berichten kunt versleutelen.
Van Wegberg wil graag weten of criminelen op het darkweb nu minder omzet draaien. ?Dat zijn we nu aan het uitzoeken. We gaan ook meer marktplaatsen onderzoeken. Bovendien vonden we dat er veertig procent nieuwe aanmeldingen kwamen bij Dream Market. Wij proberen uit te vinden, onder meer via tekstvergelijkingen, wie dit precies zijn. Het is goed mogelijk dat ze al eerder op andere marktplaatsen actief waren onder een andere username. Dat zou betekenen dat de groep van zo?n vijftien procent die hun gebruikersnaam veranderde bij de overstap naar Dream Market nog veel groter is.?
De Hansa-operatie past in een trend van de politie om online criminaliteit te saboteren. ?De identificatie van computercriminelen is heel ingewikkeld en tijdrovend omdat ze zich online makkelijker kunnen verschuilen?, zegt Egberts. In plaats daarvan worden kinderpornofora offline gehaald. Ook worden in samenwerking met banken rekeningnummers van criminelen geblokkeerd.
?Hetzelfde geldt ook voor?cyber enabled crime?, zegt Paulissen van de Landelijke Recherche. Het lukte de politie bijvoorbeeld om de servers te kopi?ren van het bedrijf Ennetcom, waarop 3,6 miljoen berichten stonden, grotendeels verstuurd door criminelen. Zij dachten in het geheim te hebben gecommuniceerd op zogeheten PGP-telefoons. ?We zijn die gesprekken aan het analyseren, en wat blijkt is dat mensen er honderd procent zeker dachten te zijn van hun anonimiteit,? zegt Paulissen. ?Je moet daarbij denken aan het uitgebreid voorbereiden van liquidaties in deze gesprekken. Men was overtuigd: hier zal de politie nooit kunnen meelezen.?
Dit is een succesvolle actie geweest van de FBI en de Nederlandse politie, benadrukt Van Wegberg. ?Voor ons als wetenschappers levert dit veel nieuwe informatie op, omdat gebruikers van marktplaatsen nog niet eerder op deze manier zijn aangepakt. Het leidt tot een gedragsverandering die we op deze schaal nog niet eerder hebben gezien.?
Bronnen: NRC,?NEMO Kennislink, Alphabay-exit, Hansa-down: Dream on? Examining the effects of operation Bayonet on Dream Market.
