‘EEN SIMPEL ADVIES: NEEM JE TELEFOON NOOIT MEE DE BADKAMER IN’

Wat gebeurt er met je gestolen smartphone? De Nederlandse filmmaker Anthony van der Meer installeerde spyware op zijn toestel, volgde een telefoondief en stond versteld van wat hij te weten kwam: ‘We hebben allemaal een toestel in onze broekzak zitten waarmee onze handel en wandel perfect kan worden gevolgd.’

Toen zijn smartphone werd gestolen en de politie hem niet verder kon helpen, wist Anthony van der Meer (23) wat zijn afstudeerproject aan de kunstacademie zou worden: een film over het tweede leven van een gestolen telefoon. Hij liet zijn nieuwe toestel bewust stelen en hield de dief via een spionageapp dagenlang in de gaten. Hij filmde de man, maakte foto’s van hem, luisterde zijn gesprekken af en volgde zijn ontmoetingen. Inmiddels is Van der Meers film Find My Phone al door meer dan 6 miljoen mensen over de hele wereld bekeken.

‘Ik was verbaasd dat bijna niemand besefte dat we zo makkelijk te bespioneren zijn via onze telefoon’, zegt de pas afgestudeerde filmmaker. ‘We hebben allemaal een toestel in onze broekzak zitten waarmee onze handel en wandel perfect gevolgd kan worden. Door je partner, je baas, collega, of door de overheid. En het gaat heel makkelijk. Je hoeft geen hacker te zijn om iemands telefoon te kunnen infiltreren.’

Zijn eerste smartphone werd hem op een sluwe manier afhandig gemaakt. Het ging om een professionele diefstal. Het wekte Van der Meers nieuwsgierigheid op. Waar zou het toestel terechtkomen? De politie vertelde dat het vaak om de onderdelen ging. Die worden apart verkocht, dikwijls in het buitenland. Met het gevolg dat je je telefoon niet meer kunt opsporen. ‘Ik zat aan een tafel in Amsterdam toen er een jong meisje naar me toe kwam. Ze keek paniekerig en liet een papiertje zien met wat gekrabbel. Terwijl ik probeerde te lezen wat erop stond en dus afgeleid was, nam ze mijn iPhone. Ik was net aantekeningen aan het maken, het toestel stond open, je had geen code nodig. Op dat moment besefte ik hoe ontzettend veel info er allemaal op stond: mijn e-mails, WhatsApp-gesprekken, foto’s, berichtjes… Eigenlijk verloopt zowat alle communicatie via je telefoon. Ik realiseerde me ineens hoeveel de dievegge over mij te weten kon komen. Ze zou bijna een compleet beeld van me kunnen krijgen. Later begreep ik dat het meisje deel uitmaakte van een professionele pickpocketbende.’

Van der Meer dook in de hackerswereld om uit te zoeken waar zijn telefoon naartoe was. ‘Via het deep web ontdekte ik allerlei virussen, bedoeld om telefoons te infiltreren. Daarmee kun je onder andere de camera besturen zodat je foto’s en video’s kunt maken, je kunt sms’jes ophalen en ook bellen via de telefoon. Eigenlijk kun je het toestel volledig van een afstand besturen. Ik besloot zo’n virus te kopen, een voor een Androidsmartphone. Het werkt heel simpel. Je neemt een normale app en sleept die naar een bepaald programmaatje. Dan klik je op bind, en wordt de code van het virus geïnjecteerd in de app. Criminele hackers bieden dat trouwens aan: ze downloaden betaalde apps en bieden die geïnjecteerd en wel weer te koop aan. Met de apps van Pokémon Go is dat vaak gebeurd. De Amerikaanse versie was veel eerder uit dan de Europese, met als gevolg dat veel mensen probeerden om het spel te downloaden via officieuze appstores. Nadat mijn film was uitgebracht, kreeg ik veel vragen van mensen die last hadden van een virus. Dikwijls bleek het met Pokémon Go te maken te hebben. Zo’n virus kan op dezelfde manier gebruikt worden als wat ik in mijn film deed. Het virus van Pokémon Go kan trouwens livestreamen, met beeld en geluid.’

Van der Meer kende een groepje vrienden die allemaal last hadden van het Pokémon Go-virus. ‘Allemaal hadden ze last van pestgedrag. Berichten die via je telefoon naar je vriendenkring worden gestuurd, zulke dingen. Waardoor je met iedereen ruzie krijgt. Of je WhatsApp-account die plots afgesloten blijkt, en door een ander wordt gebruikt. Allemaal heel intimiderend, want je neemt je telefoon tenslotte overal mee naartoe.’ In andere gevallen gaat het veel verder. ‘Meestal is het doel internetbankierfraude. Er wordt gewacht tot je bij je bank inlogt, zodat ze al je gegevens hebben. Het gebeurt ook dat er op jouw kosten wordt gebeld, onder meer naar peperdure betaallijnen. Een andere reden is sextortion: je wordt afgeperst omdat ze naaktfoto’s of aangebrande berichtjes in handen hebben. Dat wordt een groeiend probleem in Europa. Hoe vaak het voorkomt, is moeilijk in te schatten omdat veel mensen uit schaamte geen aangifte doen.’

Van der Meer ondervond aan den lijve hoever je kunt gaan met zo’n spyvirus. ‘De spyware die ik had gekocht, werkte perfect. Ik kon er alles mee doen. Maar het is wel illegaal. Daarom besloot ik Cerberus aan te schaffen, een officiële antidiefstalapplicatie voor een Androidtelefoon. Bij diefstal mag je je eigen telefoon namelijk bespioneren om bewijs te verzamelen. Het wordt strafbaar als je de app gebruikt voor een ander toestel. Ik ging ervan uit dat dieven die app ook wel zouden kennen en ‘m snel kunnen detecteren, dus ik nam contact op met de programmeur. Ik vroeg om een aantal dingen aan te passen zodat de app moeilijk te vinden was en vooral niet te verwijderen. Daarna liet ik mijn telefoon stelen. De eerste paar dagen bleef het toestel offline, ik kon niets doen met mijn app. Tot ik ’s avonds een sms kreeg, ik lag al in bed. Ik had de app zo ingesteld dat ik een berichtje zou ontvangen zodra mijn gestolen telefoon een nieuwe simkaart kreeg. In de sms stonden het nummer en de locatie van het toestel. De taalinstellingen waren veranderd naar Arabisch. Ik logde in, en zag dat de dief geen enkele app van mij had verwijderd. Wat erop leek te wijzen dat het om een gewone dief ging, geen heler. Van een afstand kon ik een foto maken, ik keek de dief recht in zijn gezicht. Een heel rare gewaarwording.’

Miss Russia

Van dan af volgde Van der Meer de telefoondief. Ook als de man niet online was, kon hij het toestel via sms’en besturen. ‘Als ik zijn locatie wilde weten, stuurde ik een sms met een codewoord en het commando om de locatie op te geven. Op het moment dat de sms bij de dief binnenkwam, werd die meteen verwijderd. Intussen kreeg ik een sms terug met de locatie. Was de dief wel online, dan logde ik gewoon in. Vanaf dat moment had ik de controle, zonder dat de ander er ook maar iets van merkte. Ik zocht een patroon in zijn leven, en kwam erachter dat de dief een Egyptenaar was die vaak op verschillende plekken sliep. Waardoor ik vermoedde dat hij dakloos was. Ik ontdekte dat hij veel naar coffeeshops ging en in de minder goeie buurten van Amsterdam rondhing. Hij maakte een afspraak met een vrouw die zich Miss Russia noemde, ik heb de gesprekken met haar afgeluisterd. Zijn bestaan leek heel onzeker, ik begon hem na een tijdje echt zielig te vinden, kreeg medelijden. Hoe meer ik over hem te weten kwam, hoe meer er een band tussen ons ontstond – alleen van mijn kant, weliswaar. Al bij al zag ik hem soms meer dan mijn eigen vrienden. Achteraf bleek het beeld dat ik van hem had helemaal niet te kloppen. Ik interpretéérde het op mijn manier, dat is iets anders. Daar kwam ik achter toen ik onverwacht oog in oog met hem stond. De telefoon was al een tijdje niet meer in gebruik, ik kon geen verbinding meer maken. Maar voor de film wilde ik opnames maken in de buurt waar hij vaak zat. Ik was juist mijn camera aan het opstellen tegenover een leegstaand huis. Dacht ik. Een paar seconden later kwamen twee mannen naar buiten. Een van hen was de telefoondief, ik herkende hem meteen. Ze gedroegen zich behoorlijk agressief. Ik vertelde dan maar dat ik bezig was aan een project voor de kunstacademie en dat ik de wijk wilde fotograferen. Ik schrok behoorlijk toen ik tegenover hem stond. Hij zag er veel jonger en sterker uit dan het beeld dat ik van hem had gekregen. Veel minder zielig ook. Plots besefte ik dat ook hij míj kon herkennen van de foto’s op mijn telefoon. Ik maakte dat ik wegkwam.’

Ondanks de bewijslast zei de politie dat ze niets kon doen: het was niet zeker dat de telefoon zich in het huis bevond waar de dief uit was gekomen. Van der Meer liet het voor wat het was. Een paar maanden later logde hij nog eens in, en zag dat de telefoon weer actief was. ‘Intussen wordt de iPhone al weer een tijd gebruikt, door verschillende mensen. Een keer per maand verzamel ik een beetje informatie. Ik luister geen gesprekken af, ik lokaliseer voornamelijk waar het toestel zich bevindt. Het is drie keer van eigenaar gewisseld, nu zit het in Roemenië.’

De zoektocht maakte voor Van der Meer vooral duidelijk hoe snel en makkelijk je een enorme hoeveelheid informatie over iemand kunt verzamelen. ‘Het is voor iedereen mogelijk om zo’n spionageapp te installeren – het duurt maar even – en wie dan ook te volgen. Let dus op wat voor apps je installeert. Ik raad aan om het altijd via de officiële appstores te doen. En als je iets downloadt, kijk dan om welke toegang de app vraagt. Ik zag laatst een app voor de installatie van een zaklamp. De app vroeg bizar genoeg toegang tot mijn contacten. Zoiets zou ik dus nooit installeren. Ten slotte nog een simpele tip: neem je telefoon niet mee de badkamer in. Of naar een gevoelige vergadering.’

Kat-en-muisspel

‘Er bestaan oneindig veel tools waarmee je toegang krijgt tot een smartphone en je alles kunt volgen wat je wilt zonder dat de ander er iets van merkt’, zegt Walter Coenraets van de Federal Computer Crime Unit (FCCU). ‘Je kunt zo’n tool ook van een afstand installeren, bijvoorbeeld via een e-mailtje of een ander document met malware. Je hoeft de telefoon niet per se letterlijk in handen te hebben. Europol heeft nog niet zo lang geleden een campagne gelanceerd over mobile malware. Het klinkt allemaal zo logisch: ‘Pas op met wat je downloadt.’ Maar in de praktijk gebeurt het steeds vaker. We zitten tenslotte de hele dag aan onze telefoon gekluisterd voor van alles en nog wat.’

Voor de goede orde: wie probeert om onrechtmatig toegang te krijgen tot een informaticasysteem, riskeert een gevangenisstraf van drie maanden tot een jaar of een geldboete. ‘En doe je dat met een crimineel doeleinde, dan kun je zes maanden tot twee jaar cel of een geldboete verwachten’, zegt Coenraets. ‘Maar het blijft een kat-en-muisspel. Hoe geavanceerder onze technieken om criminelen en terroristen af te luisteren en op te sporen, hoe geslepener hun methodes om eronderuit te komen. Het verschil is dat de politie rekening moet houden met iemands privacy, terwijl de criminelen net die toepassingen voor de privacy misbruiken om anoniem te kunnen blijven.’

Door JOANIE DE RIJKE

‘Van een afstand kon ik een foto maken. Ik keek de dief recht in zijn gezicht.’

Reageren op dit artikel kan u door een e-mail te sturen naar lezersbrieven@knack.be. Uw reactie wordt dan mogelijk meegenomen in het volgende nummer.

Partner Content