Ontmaskerd via EncroChat: een reconstructie van een van de grootste afluisteroperaties ooit

Instructies hoe iemand een kogel in zijn knie moet krijgen of waar de container met coke staat: criminelen deelden álles met elkaar via geheime chats. Maar de politie las mee. Reconstructie van een van de grootste afluisteroperaties ooit.

Het is zondag 5 april 2020, iets voor half zes in de avond als Mohamed terugkomt van een middag Scheveningen. Hij rijdt met zijn grijze Audi A3 richting zijn woning aan de Zonneoord in Den Haag. Uit een steeg ziet hij een sportieve motor komen, met daarop twee mannen. Als hij de bijrijder aankijkt, ziet hij dat die schrikt, waarop de motor hard wegrijdt. Als Mohamed iets verderop zijn auto parkeert, duikt opeens diezelfde bijrijder op. In zijn rechterhand draagt de man een vuurwapen en Mohamed ziet dat hij het wapen klaarmaakt om te schieten. ‘Doe normaal joh, gek’, roept Mohamed. Dan klinken er knallen en wordt Mohamed in zijn been geraakt. De schutter rent terug naar de motor, springt weer achterop en het duo rijdt hard weg.

Even later worden er chatberichten verstuurd. ‘Hij lag op de grond. Moest snel weg. Waren mensen daar’, schrijft de vermoedelijke schutter. ‘Heb je hem gepopt hoeveel in zen been’, vraagt de vermoedelijke opdrachtgever. ‘Ja op zn lichaam’, wordt er gereageerd. Dan wordt er gevraagd waar het heeft plaatsgevonden. ‘Waar hij parkeert. Zonneoord’, is de reactie. De opdrachtgever is blij met de actie en het resultaat. ‘Lekker voor z’n kankermoeder’.

Wat de verzenders van de berichten dan nog niet weten, is dat de politie al hun communicatie onderschept. Het is het gevolg van een hack van de chatdienst EncroChat, die door duizenden criminelen wordt gebruikt. Via speciale telefoons kunnen gebruikers elkaar versleutelde berichten sturen en uit het zicht blijven van de overheid. Op 2 juli 2020 vertellen Franse en Nederlandse opsporingsinstanties op een persconferentie echter dat zij drie maanden lang alle chatgesprekken konden meelezen.

Mokerslag

De vaderlandse onderwereld, met 12.000 telefoons grootgebruiker van EncroChat, beseft dat al hun vertrouwelijke communicatie in één klap op straat ligt. Het onderscheppen van 20 tot 25 miljoen berichten betekent een mokerslag voor de criminaliteit. Het leidde al tot het opsporen van een heuse martelkamer, maar ook tot de vondst van 12,5 miljoen euro in contanten en recordvangsten van partijen cocaïne.

Dat criminelen in het geheim zaken willen bespreken is van alle tijden. Willem Holleeder liep met zijn contacten eindeloos veel rondjes door het Vondelpark, zodat hij niet kon worden afgeluisterd. Met de opkomst van cryptotelefoons dachten criminelen dé manier gevonden te hebben om buiten beeld te blijven. Het is dan ook niet gek dat de personen áchter deze telefoons banden hebben met de onderwereld. Zo vormen miljoenen gekraakte berichten van een andere aanbieder belangrijk bewijs tegen de bende van Ridouan Taghi en wordt de Nijmeegse oprichter ervan vervolgd.

Populair

De EncroChat-telefoons zijn niettemin vanaf de start in 2016 populair. Alleen al uit het opstarten blijkt dat het toestel anders werkt dan een doorsnee iPhone of Samsung. De aan- en uitknop moet twee kort en één keer lang ingedrukt worden. Na het invoeren van een wachtwoord verschijnen icoontjes van de apps: EncroChat (berichten sturen), EncroTalk (bellen) of EncroNotes (notities maken). Er zit nog een camera op om foto’s te maken, maar dat is het. Andere apps installeren is niet mogelijk. Het is ook niet nodig, het draait allemaal om de chatservice. Die is vergelijkbaar met WhatsApp, inclusief de blauwe vinkjes die verschijnen als je bericht is gelezen. Bijzonder is nog wel de ‘panic wipe-functie’, waarmee je alles op het toestel kan wissen, bijvoorbeeld als je bijna wordt opgepakt.

Die gegarandeerde privacy is niet goedkoop. De toestellen kosten rond de 1000 euro. En dan zit er slechts een abonnement bij dat drie maanden toegang biedt tot de chatdienst. Voor een abonnement voor zes maanden komt er nog eens 500 euro bovenop. Het is lucratief met een hoofdletter L. Reken maar uit: grofweg 40.000 gebruikers wereldwijd die gemiddeld minimaal 1.000 euro aftikken, dan heb je het over een omzet van 40 miljoen.

Voor een Encro-telefoon kun je niet terecht in de plaatselijke Vodafone-shop, maar moet je zijn in de schimmige telefoonreparatiewinkeltjes. En alleen met de juiste connecties komen ze daar onder de toonbank vandaan. Wie zoekt op internet, vindt nog wat oude adresjes: een tabakszaak in Rotterdam, een spyshop in Amsterdam en een telecomwinkel in Utrecht. Niemand wil praten. ‘Ben je gek of zo?, zegt de eigenaar van de laatste winkel over de telefoon. Ook een dealer die de toestellen online aanbood, wil nergens aan meewerken. Of misschien toch wel. ‘Honderd euro per vraag’, typt hij brutaal op WhatsApp. ‘Anders nummer wissen.’ Hij lijkt meteen spijt te hebben en verwijdert snel al zijn berichten.

Het zegt iets over de duistere wereld waar EncroChat zich in bevindt. ‘EncroChat deed zich voor als een groot en gerenommeerd internationaal telecombedrijf, maar in werkelijkheid was het niets meer dan een samenwerking tussen criminelen en een paar IT’ers’, zegt een bron. Wie er schuil ging achter het bedrijf is niet precies duidelijk. Er lopen lijntjes naar onder andere een advocatenkantoor in Panama. Maar in het criminele circuit wordt vooral gewezen naar een crimineel kopstuk uit Brabant. Die zou veel geld hebben geïnvesteerd in de ontwikkeling van EncroChat.

Duizenden servers

In de zoektocht naar EncroChat komt de politie in 2019 terecht in het Noord-Franse Roubaix. Aan de rand van de in verval geraakte textielstad domineren de muren van verweerde rode baksteen. Boven een daarvan zijn door het prikkeldraad enorme ventilatoren te zien. Iets verderop steken hypermoderne buizen uit vergane fabriekspanden. In dit troosteloze decor bevindt zich achter een dubbele slagboom het hightechbedrijf OVH. Hier start de operatie tegen EncroChat. In de stad van duizend schoorstenen zoeken Franse rechercheurs tussen duizenden servers van OVH naar de server die EncroChat huurt voor haar telefoondata. Het doel: inbreken in deze computer.

Hoe de Franse opsporingsdiensten dat precies hebben geflikt, blijft geheim. Ludovic Dantec van de Gendarmerie Nationale wil alleen prijsgeven dat er zowel ter plaatse als digitaal is ‘ingebroken’. Het technische hoogstandje dat is gebruik om de EncroChat-berichten te onderscheppen, hebben de Fransen gebombardeerd tot militair staatsgeheim, blijkt uit dossierstukken die deze krant heeft ingezien.

De misschien wel grootste afluisteroperatie ooit start op woensdag 1 april 2020, om precies 17.15 uur. Vanuit Nederland wordt gespannen meegekeken. De Fransen beloven alle onderschepte berichten via een beveiligde verbinding door te sturen. Maar op het moment suprême blijven alle schermen bij de Landelijke Eenheid zwart, geen EncroChat-bericht te zien. ICT-specialisten zoeken koortsachtig naar een oplossing. Het is diep in de nacht als eindelijk het eerste bericht binnenkomt. Daarna is er geen houden meer aan. De politie wordt overspoeld met duizenden en duizenden berichten.

Vanaf dat moment kan de politie drie maanden ongemerkt meelezen terwijl criminelen álles met elkaar bespreken. De politie voelt zich als een kind in een snoepwinkel. ‘Het is elke dag een feestje’, zegt Andy Kraag, hoofd van de landelijke recherche, die weet dat een groot aantal onderzoeken nu een boost krijgt. ‘Bij deze onderzoeken krijgen we nu ondersteunend en sluitend bewijs dankzij EncroChat. Dat is ongekend. Normaal moeten we in een zaak op zoek naar bewijs. Nu zoekt het bewijs naar een zaak. We worden ook bedolven onder de verzoeken van andere landen en zitten ineens serieus aan tafel bij de DEA (Amerikaanse drugsbestrijding, red.).’ Nederland is daardoor opeens een belangrijke speler geworden in de internationale strijd tegen georganiseerde misdaad.

De lijst met spraakmakende vondsten is eindeloos. Zo stuitte de politie in een appartement in Eindhoven op 12,5 miljoen euro verdeeld over vijftien boodschappentassen. Ook kon een voortvluchtig kopstuk van een Osse woonwagenfamilie eindelijk worden opgepakt. Hij typte op EncroChat op welk vakantiepark hij zich schuilhield. In de Rotterdamse haven onderschepte de politie ondertussen het ene na het andere drugstransport. En met 4500 kilo coke, verstopt tussen de bananen, werd in Vlissingen de grootste Zeeuwse drugsvondst ooit gedaan.

De vondst van speciaal ingerichte martelkamers in het dorpje de Wouwse Plantage ging de hele wereld over. In een zeecontainer trof de politie ingerichte gevangenissen aan. Een andere ruimte deed dienst als heuse martelkamer, compleet met vingerklemmen, scalpels, een takkenschaar, een snoeischaar en een tandartsstoel. In de chats, die live werden meegelezen, ging het volgens de politie onverbloemd over het gebruik van de martelkamer. ‘3x geïsoleerd. Al sta je er naast hoor je niks. (...) En met demper is altijd handig. Als ze niet meewerken, gelijk in de knie.’

In de chatgesprekken gaat het vaker achteloos over leven en dood. Het is de categorie berichten die bij de politie de allerhoogste prioriteit krijgt: threat-to-life-signalen. Een speciaal team moet deze aangekondigde liquidaties en ontvoeringen voorkomen. Zo worden twee van de beoogde slachtoffers in de regio Eindhoven meteen gewaarschuwd.

‘Eén van de twee schrok niet eens toen we vertelden dat er opdracht was gegeven om hem te liquideren’, zegt Toine van Loenhout, recherchechef van de politie in Oost-Brabant. ‘Hij wist er al van en had maatregelen getroffen.’ In totaal worden er drieduizend threat-to-life-signalen uitgeplozen en waarschuwt de politie 22 beoogde slachtoffers.

De rechercheurs, observatieteams en de arrestatieteams hebben geen idee waar de tips vandaan komen waarmee ze op pad worden gestuurd. Het doorzoeken van EncroChat is tussen april en juni zelfs binnen de politie slechts beperkt bekend. ‘Je doet er alles aan om het zo lang mogelijk geheim te houden, we vroegen ons af wanneer de criminelen wakker zouden worden’, zegt Van Loenhout. ‘Al waren er natuurlijk veel ‘toevallige vondsten’ door de politie en zag je daarmee ook dat het gebruik van EncroChat afnemen.’

Om in de brij aan chatgesprekken zo snel mogelijk bij de juiste berichten uit te komen, zoekt de politie met steekwoorden naar bijvoorbeeld wapens (bv ‘AK’, ‘Glock’), geld (‘pap’, ‘papier’), drugshandel (‘container’) of liquidaties (‘slapen’). Het resultaat is een ranglijst met berichten waar de kans het grootst is dat het over zware criminaliteit gaat. Analisten moeten dat laatste beoordelen en kunnen vervolgens ook alle gesprekken rond zo’n bericht bekijken.

Er is alleen één probleem: de criminelen chatten stuk voor stuk onder een bijnaam. De politie heeft weliswaar miljoenen berichten, maar weet niet wie wat heeft gestuurd. De grootste uitdaging in het EncroChat-onderzoek is het achterhalen van de daadwerkelijke personen achter de telefoons. Een kijkje in het strafproces rond de Haagse schietpartij waarbij Mohamed doelwit was, laat precies zien hoe de politie te werk gaat.

^{(De tekst gaat verder onder de video van de schietpartij)}

Een van de verdachten in deze zaak is Samir*, die volgens de politie onder een bepaalde gebruikersnaam gechat zou hebben. Door het hacken van EncroChat-infrastructuur is de politie in het bezit van alle technische gegevens van de gebruikers, waardoor ook het unieke serienummer van het toestel, contactenlijsten en ingestelde wachtwoorden voor de recherche beschikbaar zijn. Zo gebruikt deze specifieke gebruiker bijvoorbeeld het wachtwoord coronavirus123.

Sportschool

Al deze gegevens geven de analisten weer meer informatie om binnen die enorme hoeveelheid aan berichten verder te zoeken. Zo leest een analist een gesprek van een gebruiker, van wie de politie denkt dat het Samir zou kunnen zijn, over de trainingen die hij volgt om wedstrijden te kunnen kickboksen. Al googelend komt de analist terecht op de Facebookpagina van een sportschool, waar een wedstrijd wordt aangekondigd tussen twee vechtsporters. De analist herkent één van de twee mannen op de poster als Samir.

Maar is deze gebruiker dan wel écht deze Samir? Daar is volgens de politie geen twijfel over. Begin mei is de politie namelijk aan zijn deur geweest, omdat er signalen waren dat hij mogelijk slachtoffer zou worden van een misdrijf. De gebruiker schrijft er een paar dagen later zelf over: ‘Die wout kwam aan me deur. Zei tie ja er is net iemand ontvoerd in de buurt en we kwamen checken of het in orde is met je.’ En als het even later in de chat gaat over de geboorte van zijn nichtje, kan de politie eenvoudig controleren dat zijn zus inderdaad een dochter heeft ingeschreven bij de burgerlijke stand.

De grote persconferentie over het kraken van EncroChat was nauwelijks voorbij of de advocaten buitelden over elkaar heen met kritiek. Is de telefoondienst wel legaal gekraakt? En waarom worden de berichten van duizenden EncroChat-gebruikers, die (nog) nergens van worden verdacht, doorzocht? Met de eerste rechtszaken in aantocht wordt het steeds stiller. ‘Heel eerlijk? Justitie heeft het aardig goed dichtgetimmerd’, verwoordt een van de advocaten het inmiddels. Anis Boumanjal twijfelt echter of justitie daadwerkelijk aan de slag kan met de berichten. ‘Bij een aantal EncroChat-zaken die ik onder mij heb twijfel ik aan de juridische grondslag van het gebruik van deze, hoe je het ook wendt of keert, verregaande bevoegdheid. Dat zal ter zijner tijd een punt van discussie worden, vermoed ik.

Sven Brinkhoff, hoogleraar strafrecht aan de Open Universiteit, denkt dat het OM een sterke zaak heeft. ‘Op basis van de stukken die ik heb gezien, lijkt de verzameling van EncroChat-berichten door de Franse autoriteiten, het delen hiervan met de Nederlandse politie en het gebruik van de berichten in Nederlandse strafzaken op een juiste manier te zijn gegaan. Wel zullen de messen nog geslepen worden over de betrouwbaarheid van de berichten en de koppeling daarvan aan concrete verdachten. En ik verwacht dat er in dit licht nog de nodige verzoeken zullen komen over het inzien van de gehele EncroChat-berichtenberg.’

Verschillende advocaten hadden overigens zelf in hun bureaula zo’n geprepareerde gsm liggen. Rotterdammer Haroon Raza, die verdachten in zes ‘EncroChat-zaken’ bijstaat, geeft het als een van de weinigen toe. ‘‘Debestestrafpleiter’ was mijn bijnaam op EncroChat. Schrijf het maar op, ik wil dat de recherche het leest. Ik ben daar altijd heel open in geweest, ook naar politie en OM. Toen bekend werd dat EncroChat was gekraakt, heb ik ze meteen een brief gestuurd om ze dat vertellen. Als advocaat ben ik geheimhouder, de politie moet mijn communicatie verwijderen.’

Verstoppertje

De meeste advocaten spelen verstoppertje als het aankomt op het gebruik van versleutelde telefoons. Als de recherche weet dat een bepaalde gebruikersnaam bij een advocaat hoort, dan zijn ze ook één stap dichterbij bij het achterhalen welke gebruikersnamen diens cliënten gebruiken. ‘Advocaten komen in een spagaat’, ziet ook Jeroen Soeteman, voorzitter van de vereniging voor Nederlandse strafrechtadvocaten. ‘Want wie zich niet meldt, loopt het risico dat zijn vertrouwelijke gesprekken met een cliënt toch worden gelezen door de politie. En misschien wel in de dossiers terechtkomen.’

Ondertussen vraagt iedereen zich af wat er precies bekend is dankzij EncroChat. Het resultaat: veel bezorgde telefoontjes van cliënten. Dat merkt ook advocaat Michel van Stratum: ‘Die weten wat ze via EncroChat hebben verstuurd. Ze slaan niet op de vlucht, omdat ze een gezin hebben. De telefoon hebben ze weggegooid, ze zorgen dat er geen wapen in huis is en de koffer met streepjes-pyjama staat bij wijze van spreken al klaar bij de voordeur. Het enige dat ze nog kunnen doen is afwachten.’

Verantwoording: Dit artikel is tot stand gekomen door inzage in verschillende strafzaken waar gekraakte EncroChat-berichten een rol spelen. Ook zijn er tientallen (achtergrond)gesprekken gevoerd met betrokkenen, zoals politie- en justitiebronnen, advocaten en criminelen. De naam van verdachte Samir is gefingeerd.

(AD)