Hoe een smurfenleger in één nacht 35 miljoen kon stelen

Ergerlijk. Moest haar weer overkomen. De dame voor haar aan de geldautomaat had zonet het maximale bedrag van 600 euro gepind. Aan het eind van de naar haar gevoel tergend traag verlopende handeling had ze een tweede kaart uit haar handtas opgediept. Ze zocht nu op een papiertje naar de code en ging, jawel, nog eens 600 euro cashen. Waarna kaart nummer drie tevoorschijn kwam voor nóg eens 600 euro. En daarna nummer vier. Het duurde en het bleef maar duren.

Het was 20 februari 2013, het was iets na drieën in de vroege ochtend. En vooral: het was pokkekoud. Het vroor tien graden. De vrouw in de wachtrij aan de automaat in de Westfalenstrasse in Rath, een buitenwijk van Düsseldorf, stond zo stilaan op ontploffen.

De dame voor haar was een vijftigster met lange blonde haren. Ze bleef als een bezetene nieuwe kaarten opdiepen en pinnen. Naast haar stond een jongere man die haar instructies toefluisterde in het Nederlands. Haar zoon, zo zou later blijken. Telkens als ze had gepind, stopte ze hem een vuist cash toe. Hij propte de bankbiljetten in zijn rugzak, als waren het vers geplukte appeltjes. Hij en zijn moeder droegen een muts en een dikke sjaal die hun gezichten moesten bedekken.

Eén tik op de schouder volstond om moeder en zoon te doen opschrikken, snel de laatste transactie te beëindigen en paniekerig weg te rennen naar een Volkswagenbusje met Nederlandse nummerplaat. Hun aanvoelen was juist. De boze dame achter hen in de rij had de politie gebeld en die zou het busje in geen tijd weten klem te rijden. Toen de politie verzocht de rugzak te openen, kwam voor 1,8 miljoen euro cash te voorschijn. En een heleboel witte magneetkaarten en papiertjes met codes.

De dame heet Wilma Z. en is 56 jaar oud. Ze woont net als haar 34-jarige zoon Eddy, een timmerman, in Den Haag. Ze waren enkele dagen eerder vertrokken. Tegen kennissen was gezegd dat ze naar Duitsland moest voor een medische behandeling. De politie stelde vast dat de geldautomaat in de Westfalenstrasse de tachtigste was die ze die nacht hadden bezocht.

Moeder en zoon zitten nu al vijf maanden in voorarrest. Ze hebben tot nu toe geen enkele vraag van de politie willen beantwoorden. "Zij beroepen zich op hun recht te zwijgen", heet het.

Geen record

De grootste bankroof uit de geschiedenis vond plaats op 6 augustus 2005 bij de Banco Centralin het Braziliaanse Fortaleza. Een 25-koppige bende stal toen 56 miljoen euro. Daar kwam wel één en ander bij kijken. De bende huurde drie maanden op voorhand een huis verderop in de straat en groef een 78 meter lange tunnel. Dag en nacht waren ze daarmee bezig, tonnen zand werden onder het mom van renovatiewerken in containers geschept. Het leegmaken van de kluizen was het makkelijkere deel, al stelde het transport van 3,5 ton aan gestolen bankbiljetten ook de nodige logistieke problemen.

De bankroof was op zich een succes zonder voorgaande, het correct verdelen van de buit iets minder. Twee maanden na de roof werd het lijk van kopstuk Luis Fernando Ribeiro (26) teruggevonden in de buurt van Rio de Janeiro met zeven kogelgaten. Hij was de eerste van in totaal zes daders die zouden worden gekidnapt door ex-kompanen of rivaliserende bendes.

'Fortaleza' zal met z'n recordbedrag nog wel even op nummer 1 blijven staan, maar de cyberbankroof waarbij Wilma Z. en haar zoon figureerden als kleine schakeltjes in een immense ketting, komt met 34 miljoen euro toch al aardig in de buurt. De operatie vond plaats in twee fasen. Bij een eerste generale repetitie werd in de nacht van vrijdag 21 op zaterdag 22 december 2012 de Nationale Bank in de Verenigde Arabische Emiraten al beroofd voor een kleine 5 miljoen euro.

Bij fase twee, in de nacht van 19 op 20 februari van dit jaar, kwam de Bank of Muscat in Oman aan de beurt. Bij deze bankroof werd geen schot gelost, er hoefde geen halve gram zand te worden verschept. Het wapenarsenaal bestond uit een laptop en een kaartprinter. En een eindeloze stroom mailtjes met instructies. De bankroof kreeg vorm door 34.000 geldafhalingen in minder dan 24 uur.

De hackers, die opereerden vanuit New York, waren er in 2012 in geslaagd in te breken bij een Indisch bedrijf dat instaat voor de digitale beveiliging bij een van de banken en later een Amerikaans. Dit liet hen toe opnamelimieten van rekeningen onbeperkt te verhogen en de codes vast te krijgen om zelf white plastics aan te maken. De bende gebruikte volgens Duitse media zowel in hotels ontvreemde magneetkaarten als prepaid MasterCard-kredietkaarten.

Sjaals en valse baarden

De cashers gingen collectief op pad in de nacht van 19 op 20 februari. Niet enkel in Duitsland, maar ook in België, Canada, Colombia, de Dominicaanse Republiek, Egypte, Estland, Indonesië, Italië, Japan, Letland, Maleisië, Mexico, Nederland, Oekraïne, Pakistan, Roemenië, Rusland, Spanje, Sri Lanka, Thailand, het Verenigd Koninkrijk, de Verenigde Arabische Emiraten en de Verenigde Staten. "De hackers zijn binnengedrongen in systemen om prepaidkaarten te verwerken", zegt Terrence Maher van de Network Branded Prepaid Card Association. "De kaarten werden gekloond en smurfen werden uitgestuurd voor repetitieve geldopnames op een vrijdagavond, kort nadat de geldautomaten zijn geladen met geld voor het weekend."

Bij het federale parket men niet zeggen hoeveel automaten er in ons land zijn geplunderd. Bij beheerder Atos Worldline evenmin, maar global pr-manager Jose de Vries maakt zich sterk dat er snel genoeg is gereageerd: "Bij detectie van de frauduleuze transacties via onze detectiesystemen werd de betrokken uitgevende bank in het buitenland direct op de hoogte gebracht van de fraude. Daarna was het aan de uitgevende bank om verdere stappen te ondernemen. Dergelijke fraude is een uitzonderlijk geval en gebeurt heel zelden."

Behalve mevrouw Z. en haar zoon wekte slechts één smurf de aandacht op van de mensen achter hem, en dus ook de politie. Het ging om een Griek die naar Nederland vluchtte en daar kon worden gearresteerd.

De Duitse politie verspreidde deze week een serie beelden van mannen met petten, sjaals en valse baarden, ijverig pinnend bij min tien graden. De meesten volgden de instructies om hun gezichten onherkenbaar te maken, anderen leken zich totaal niet bewust van het cameraatje in de automaat. Twee gezichten konden deze week al worden herkend. Het ging telkens om Nederlanders. "Alle in Duitsland gearresteerde verdachten zijn Nederlanders, met altijd een lijntje naar Den Haag", zegt politiewoordvoerder Wim Hoonhout in Den Haag. "De Griek stond in relatie met de twee mannen die nu zijn gearresteerd."

"In plaats van geweren en bivakmutsen gebruikte deze organisatie laptops en internet", aldus Loretta Lynch, de openbaar aanklaagster in New York, eind mei tijdens een persconferentie. New York was in de nacht van 19 op 20 februari een van de steden met het hoogst aantal pinners. In minder dan 10 uur werden daar 3.000 automaten geplunderd.

De cyberroversbende gaat misschien efficiënter te werk dan z'n conventionelere voorgangers, waar het erop aankomt de buit te verdelen, zijn de verschillen minder groot. De politie in New York zegt zeven kopstukken van de hackersbende te hebben gearresteerd. Een achtste verdachte, de 25-jarige Alberto Yusi Lajud-Peña, ook bekend als 'Albertico' of 'Prime', werd op 27 april geëxecuteerd toen hij in zijn villa op de Dominicaanse Republiek domino zat te spelen met twee vrienden. Twee mannen met bivakmutsen stormden binnen en schoten hem dood met een 9mm Smith & Wesson. De vrienden kregen kogels in de knieën. De overvallers verdwenen met 100.000 dollar cash. Volgens de lokale krant La Nación Dominicana ligt een dispuut over het verdelen van de buit aan de basis van de executie.

'Mijn moeder, mijn held'

Een buurman van smurf Eddy omschreef hem in De Telegraaf als "een vriendelijke man met twee rechterhanden". Op zijn Facebookprofiel vermeldt hij zijn moeder als zijn "held". Het beeld komt naar voren van een paar gezellige Nederlanders, gelokt door mailtjes met uitroeptekens over hoe je zonder veel moeite snel veel geld kunt rapen.

Uit bij de Amerikaanse kopstukken onderschept mailverkeer valt op te maken dat met elke smurf een afspraak gold over hoe een vooraf vastgelegd bedrag moest worden opgestuurd naar de bendeleiders in New York. Eens voorbij het streefdoel mochten de smurfen pinnen voor eigen profijt, wat de jachtigheid lijkt te verklaren op de gezichten in de Duitse bewakingsbeelden. Het is pinnen tegen de klok.

Volgens de politie in New York wordt in de hackerswereld al jaren gepraat over een aanval met unlimited operations en was dit de eerste mondiale ooit. Een woordvoerder van de FBI sprak op CBS van een roof die "anders is dan alles wat we ooit hebben gezien". Enkele bloggers wezen hem al terecht. In 2009 werd ook de Amerikaanse bank RBS WorldPay het slachtoffer van Oost-Europese hackers die kredietkaarten wisten te klonen. Ze brachten een smurfenleger op de been dat in minder dan 12 uur in 280 steden wereldwijd 2.100 geldautomaten leeghaalde. Buit: 9 miljoen dollar.

De bankrover van nu doet het niet alleen zonder wapens, hij heeft ook niet zo gauw last van een geweten. In de voorafgaande mailtjes was de cashers verteld dat ze niemand persoonlijk zouden bestelen, alleen de banken van een paar stinkend rijke oliesjeiks. Dat was niet eens gelogen, want inmiddels hebben beide banken laten weten dat ze zelf de geleden schade zullen dragen.