RaidForums was een van de grootste internationale hackerfora en fungeerde tegelijk als marktplaats voor gestolen gegevens. Het platform werd gebruikt voor het kopen, verkopen en verspreiden van gehackte databases met onder meer persoonsgegevens, inloggegevens, creditcardinformatie, bankgegevens en andere gevoelige data. Europol omschreef RaidForums als een van de grootste hackingfora ter wereld, met meer dan een half miljoen gebruikers. [europol.europa.eu]

Het forum was volgens Europol sinds 2015 actief en had een reputatie opgebouwd als marktplaats voor grote datalekken van bedrijven. De aangeboden datasets bevatten volgens Europol onder meer gegevens van miljoenen creditcards, bankrekeningnummers, routinginformatie en gebruikersnamen met bijbehorende wachtwoorden voor online accounts.

Opsporing en aanpak

Op 12 april 2022 maakte Europol bekend dat RaidForums offline was gehaald in Operation TOURNIQUET. De operatie werd internationaal gecoördineerd door Europol en ondersteunde onderzoeken van onder meer de Verenigde Staten, het Verenigd Koninkrijk, Zweden, Portugal en Roemenië. De infrastructuur van het forum werd in beslag genomen en de administrator en twee medeverdachten werden aangehouden. [europol.europa.eu]

Volgens het Amerikaanse Department of Justice leidde de Verenigde Staten de inbeslagname van de RaidForums-website. De Amerikaanse autoriteiten kregen rechterlijke toestemming om drie domeinen in beslag te nemen: raidforums.com, Rf.ws en Raid.lol. [justice.gov]

Europol ondersteunde de operatie via het European Cybercrime Centre (EC3) en de Joint Cybercrime Action Taskforce (J-CAT) in Den Haag. Volgens Europol was Operation Tourniquet het resultaat van ongeveer een jaar voorbereiding en intensieve informatie-uitwisseling tussen de betrokken opsporingsdiensten.

Bij die informatie-uitwisseling werden volgens Europol verschillende rollen binnen het forum in kaart gebracht: de administrator, witwassers, gebruikers die data stalen of uploadden, en kopers van gestolen data. Dat maakt Operation Tourniquet relevant als voorbeeld van een aanpak die niet alleen de technische infrastructuur raakt, maar ook de criminele rollen en marktstructuur rond een datamarktplaats zichtbaar probeert te maken. [europol.europa.eu]

Nederland wordt in het Europol-bericht over Operation Tourniquet niet genoemd als deelnemend land aan de internationale takedown zelf. De door Europol genoemde deelnemende autoriteiten kwamen uit Zweden, Roemenië, Portugal, Duitsland, de Verenigde Staten en het Verenigd Koninkrijk, naast Europol/EC3 en J-CAT. [europol.europa.eu]

Nederlandse opvolgactie en aanpak van afnemers

De Nederlandse relevantie ligt vooral in een vervolgactie tegen Nederlandse of in Nederland geïdentificeerde afnemers van gestolen data. Op 12 april 2023 maakte de Nederlandse politie bekend dat de politie Oost-Nederland duizenden e-mails, honderden brieven en een tiental stopgesprekken had ingezet tegen mogelijke afnemers van gestolen data die in meer of mindere mate actief waren geweest op raidforums.com. [politie.nl]

De politie beschreef RaidForums als een inmiddels offline gehaalde website waar werd gehandeld in persoonsgegevens waarmee online slachtoffers konden worden gemaakt. Het doel van de Nederlandse interventie was om mogelijke afnemers “uit de anonimiteit te halen” en hen duidelijk te maken dat online gedrag op dergelijke fora zichtbaar kan zijn voor opsporingsdiensten.

“Je wordt gezien”

Door (mogelijke) afnemers uit de anonimiteit te halen hoopt de politie een duidelijk signaal af te geven dat het zichtbaar is wat er gebeurt online, in dit onderzoek specifiek op fora waar lijsten met persoonsgegevens verhandeld worden. Afhankelijk van de activiteit op een dergelijk forum krijgen de gebruikers een mail of een brief met daarin de mededeling dat ze gebruikers zijn van een onlangs offline gehaald forum, de nadrukkelijke oproep te stoppen met de activiteiten en een waarschuwing met daarin welke gevolgen het kan hebben als je je schuldig maakt aan online criminaliteit. Minderjarigen krijgen een stopgesprek met de politie.

[politie.nl]

De Nederlandse actie stond in verband met een omvangrijk onderzoek naar computervredebreuk en datadiefstal dat in maart 2021 in Amsterdam startte. Begin 2023 waren in dat onderzoek drie hoofdverdachten aangehouden, waarna de politie Oost-Nederland verder onderzoek deed naar personen die toegang hadden gehad tot de buitgemaakte data. [politie.nl]

Arrestaties en jurisprudentie

In de internationale Operation Tourniquet werden volgens Europol de administrator van RaidForums en twee medeverdachten aangehouden. [europol.europa.eu]

Het DOJ identificeerde de vermoedelijke oprichter en hoofdbeheerder als Diogo S. C. , een Portugese verdachte. In de Amerikaanse indictment staat dat C. vanaf ten minste 1 januari 2015 tot en met 31 januari 2022 RaidForums controleerde en als chief administrator optrad. Hij werd op 31 januari 2022 in het Verenigd Koninkrijk aangehouden op verzoek van de Verenigde Staten en bleef daar in detentie in afwachting van de uitleveringsprocedure. [justice.gov],

In Nederland werden in januari 2023 drie mannen aangehouden in een afzonderlijk, omvangrijk onderzoek naar computervredebreuk, datadiefstal, afpersing, afdreiging en witwassen. Het ging volgens de politie om een 21-jarige man uit Zandvoort, een 21-jarige man uit Rotterdam en een 18-jarige man zonder vaste woon- of verblijfplaats. [politie.nl]

In Cybercrime jurisprudentieoverzicht juli 2023 | jjoerlemans.com en Cybercrime jurisprudentieoverzicht dec. 2023 | jjoerlemans.com wordt uitgebreid ingegaan op jurisprudentie waarin RaidForums een rol speelde.