E-mailcommunicatie
E-mail is nog steeds het meest gebruikte zakelijke communicatiemiddel. E-mail communicatie is daarom vaak de eerste en meestal belangrijkste bron van bewijs bij financiële fraude. Of het nu gaat om afspraken tussen betrokkenen, instructies voor het overmaken van gelden, of pogingen om frauduleuze handelingen te verdoezelen.
E-mail berichten bevatten altijd zogenoemde metadata zoals verzendtijd, IP-adres en apparaat-en gebruikersinformatie. Dit maakt het mogelijk om te achterhalen wie wanneer wat heeft gestuurd, aan wie, en soms zelfs vanaf welke locatie.
Zelfs als een e-mail verwijderd is, kan deze vaak nog worden hersteld via bijvoorbeeld back-ups, de e-mailserver of vanuit de zogenoemde free space van de computer. Wanneer een fraudeur een e-mail van zijn of haar computer heeft verwijderd, is deze inderdaad niet meer direct zichtbaar. Echter, de verwijderde e-mail blijft voorlopig gewoon bestaan in de free space op de harde schijf van de computer in kwestie. De e-mail blijft net zo lang bestaan totdat deze uiteindelijk wordt overschreven met andere data.
Voorbeeld uit de praktijk:
In een fraudezaak werd een keten van e-mail berichten geïdentificeerd waarin een werknemer zichzelf onterecht extra bonussen toekende. Hoewel de werknemer de berichten had verwijderd, konden de e-mails worden hersteld via de e-mailserver en de harde schijf van de bedrijfscomputer van de werknemer. Hiermee kon niet alleen de fraude worden aangetoond maar ook de kwaadwillende opzet in het proberen te verbergen van de fraude.
Bestandsgeschiedenis en metadata van documenten
Financiële fraude gaat vaak gepaard met gemanipuleerde documenten zoals facturen, contracten of rapporten. Wat fraudeurs zich niet altijd realiseren, is dat digitale documenten een schat aan verborgen informatie bevatten, de metadata.
Metadata vertelt exact wanneer een document is aangemaakt, door wie, op welke computer, en hoe vaak en wanneer het is aangepast of geopend. Sommige metadata is zichtbaar voor de gebruiker, maar er is eveneens een veelvoud aan niet direct zichtbare metadata beschikbaar. Soms kunnen op basis van metadata zelfs eerdere versies van een document worden gereconstrueerd of teruggehaald. Bij een forensisch e-mail onderzoek kan zo bijvoorbeeld blijken dat een factuur is aangepast ná goedkeuring, of dat een document heimelijk is gewijzigd.
Belangrijke vragen bij documentonderzoek:
- Komt de aanmaakdatum overeen met het officiële verhaal?
- Zijn er verborgen wijzigingen die de fraude blootleggen?
- Welke gebruiker heeft het bestand voor het laatst aangepast?
Mobiele telefoongegevens
Mobiele telefoons zijn een belangrijke bron van sporen. Niet alleen vanwege de gesprekken en SMS tekstberichten, maar vooral door chatberichten en andere chatclient gerelateerde communicatie. In financiële fraudezaken worden in deze chatapps vaak berichten gevonden waarin geldstromen worden besproken, geheime afspraken worden gemaakt of instructies worden gegeven.
Daarnaast slaan smartphones veel meer informatie op dan veel fraudeurs zich realiseren:
- Locatiegegevens (GPS)
- Tijdstempels van berichten
- Contactlijsten
- Verwijderde berichten die nog hersteld kunnen worden
Praktijkvoorbeeld:
In een onderzoek naar verduistering werden via (verwijderde) WhatsApp berichten afspraken gevonden tussen een werknemer en een externe partij, waarin ze hun percentages bij frauduleuze transacties verdeelden. Ook werd er een buitenlandse bankrekening op naam van de partner van de werknemer geïdentificeerd, inclusief bevestigingen van ontvangst van betalingen en screenshots van bij- en afschrijvingen.
Banktransactiegegevens en logbestanden
Banktransacties vormen de kern van vrijwel elk financieel onderzoek. Maar naast de zichtbare overboekingen zelf, zijn de digitale logbestanden van banken en financiële systemen minstens zo belangrijk.
Digitale logs kunnen onthullen:
- Wie een transactie heeft ingevoerd
- Vanaf welk apparaat of IP-adres
- Op welk tijdstip exact
- Of er afwijkende patronen zijn, zoals overschrijvingen op ongebruikelijke tijden of naar onbekende rekeningen
In complexe zaken kunnen ook online bankportalen worden onderzocht, waarbij wordt gekeken naar inlogpogingen, IP-logs en sessie-informatie. Waarom zijn deze logbestanden belangrijk? Een verdachte kan bijvoorbeeld beweren dat zijn of haar account is “gehackt”. Met loggegevens kan dan worden aangetoond of er überhaupt afwijkende inlogpatronen waren, of juist niet.
Het verkrijgen van inzage in banktransacties bij civiele zaken, is in verband met de privacy wetgeving niet vanzelfsprekend maar zeker niet onmogelijk. Hiervoor dient de rechter meestal wel eerst een bewijsbeslag op digitale bescheiden toe te kennen. Hiermee kan verstrekking van de benodigde informatie door de bank, juridisch worden afgedwongen. Het aantal civiele zaken waarbij de rechter bewijsbeslag op digitale bescheiden heeft toegekend, is de afgelopen jaren sterk toegenomen. Ook banken moeten tegenwoordig steeds vaker meewerken aan externe fraudeonderzoeken met een zuiver civiel juridisch karakter.
Cloudopslag en online samenwerkingstools
Steeds meer bedrijven gebruiken tools als Google Drive, Dropbox of SharePoint om samen te werken en documenten te delen of op te slaan. Fraudeurs maken daar soms handig gebruik van door belastende documenten in de cloud te bewaren of te bewerken zonder dat dit direct zichtbaar is op lokale computers. Ze denken hierbij dat door documenten in de cloud op te slaan, dit geen digitale sporen achterlaat.
Echter, ook cloudsystemen houden uitgebreide logbestanden en metadata bij. Zowel op de apparaten waarmee de documenten zijn gecreëerd of veranderd, alsook de cloudsystemen waar de documenten zijn opgeslagen. Bijvoorbeeld:
- Wie welk document heeft geopend, bewerkt of gedownload
- Wanneer deze handelingen plaatsvonden
- Vanaf welke apparaten of IP-adressen
Digitaal forensisch onderzoek in cloudsystemen maakt het mogelijk om verwijderde documenten terug te halen en eerdere versies te herstellen, zelfs als die bewust zijn aangepast of verwijderd. Dit geldt ook wanneer de bestanden uitsluitend in de cloudomgeving zijn gecreëerd, bewerkt of opgeslagen en niet lokaal beschikbaar waren.
Praktijkvoorbeeld:
In een fraudeonderzoek binnen een zorginstelling werden manipulaties ontdekt in gedeelde Google Drive spreadsheets, waarin inkomsten kunstmatig werden verlaagd om bepaalde subsidies binnen te halen.
Net zoals bij bewijsbeslag op digitale bescheiden voor banklogs, kan het verkrijgen van informatie van clouddienstproviders soms complex zijn. Veel providers zijn gevestigd buiten de Europese Unie (EU) en vallen daardoor niet direct onder de EU wetgeving. Hierdoor dient soms een internationaal verzoek tot rechtshulp te worden ingediend bij de autoriteiten in het land waar de clouddienstprovider juridisch gevestigd is. Indien de gedupeerde organisatie zelf de diensten afneemt bij de clouddienstprovider in kwestie, bestaat dit probleem vaak niet. De informatie die nodig is als digitaal bewijs kan dan meestal makkelijker worden veiliggesteld.
Conclusie
Digitale sporen zijn essentieel bij het onderzoeken en oplossen van financiële fraudezaken. Of het nu gaat om e-mail berichten, digitale documenten, telefoons, banklogs of clouddata. Financiële fraude laat vrijwel altijd sporen achter. De toegevoegde waarde van digitaal forensisch onderzoek is om deze sporen op de juiste manier te identificeren, veilig te stellen en te analyseren. Op deze manier zijn ze bruikbaar in een rechtszaak of andere juridische context.
Dit betekent ook dat het belangrijk is om digitale beveiliging en logging serieus te nemen en bij vermoedens van fraude zo snel mogelijk een specialist in te schakelen. Elke vertraging kan ervoor zorgen dat potentieel digitaal bewijsmateriaal verloren gaat omdat het opzettelijk wordt vernietigd of onbedoeld overschreven.
Digitale sporen zijn vaak onzichtbaar voor het blote oog, maar ze vertellen altijd het échte verhaal.
Heeft u vragen of vermoedt u financiële fraude binnen uw organisatie? Neem vrijblijvend contact op voor een discreet adviesgesprek over digitaal forensisch onderzoek.