Modus operandi alert: de crypto geldezel

Door: Lisa Tevel (LiteBit) en Erik Reissenweber (AMLC)

In dit artikel wordt een casus beschreven waarin een oplichter onder meer een geldezel inzet om de herkomst van uit oplichting verkregen vermogen te verhullen en buiten beeld te blijven van de autoriteiten. Wij lichten in dit artikel toe hoe een crypto geldezel kan worden ingezet en welke weg de criminele gelden binnen het financiële systeem afleggen. Aangezien geldezels vaak en nog steeds een belangrijke rol spelen voor oplichters, reiken wij in dit artikel handvatten aan om soortgelijke situaties te herkennen, zodat deze praktijken in een eerder stadium een halt kunnen worden toegeroepen.

Geblokkeerde crypto transacties brengen fraude aan het licht
In het voorjaar van 2021 werden enkele ongebruikelijke transacties door LiteBit geblokkeerd. De transacties pasten niet bij het klantprofiel dat eerder door LiteBit was opgesteld. Gevolg was dat een medewerker van de afdeling klantenservice een opmerkelijk telefoontje kreeg. Een onbekende vroeg waarom zijn bitcoin transactie werd tegengehouden, terwijl hij een medewerker van LiteBit was. Wat was hier aan de hand?

De crypto geldezel ontving online training
Een oplichter plaatste advertenties op social media: “Verdien je geld snel en vanuit huis!”. Dat klinkt natuurlijk zeer aantrekkelijk. Een potentiele geldezel (22) reageerde via Instagram en werd doorgeleid naar een betrouwbaar ogende website van een bedrijf alwaar hij een sollicitatieformulier invulde met zijn gegevens. Hij kreeg al snel via een virtuele meeting uitleg van zijn Engelssprekende manager over wat van hem werd verwacht en na het tekenen van de professioneel uitziende arbeidsovereenkomst kon de geldezel van start.

De geldezel kreeg de opdracht om betaalsystemen te testen, zogenaamd in dienst van onder andere LiteBit, terwijl LiteBit hiervan niet op de hoogte was. Hij zou daarvoor bankbetalingen van zogenaamde collega’s op zijn bankrekening gestort krijgen. De ontvangen bedragen moest hij omzetten in crypto op zelf aangemaakte accounts bij diverse cryptobedrijven. Zodra die bitcoins in zijn bitcoin wallets stonden werd hem opgedragen die bitcoins over te maken naar een aan hem opgegeven extern bitcoin adres. Hij mocht van de over te maken bedragen een overeengekomen fee op zijn bankrekening achterhouden en zo verdiende hij dus snel zelf geld.

Bij bitcoin transacties bestaat geen naam-nummer controle zoals banken dat kennen, voor de geldezel was dus niet te zien wie de eigenaar was van het externe bitcoin adres waarnaar hij bitcoins stuurde. Tijdens de training leerde de geldezel ook hoe hij kon reageren op eventuele lastige vragen van zijn bank. Zo lagen bijvoorbeeld neppe marktplaatsadvertenties klaar om de herkomst van het vermogen te verklaren. Dit kan worden aangemerkt als legitimering, één van de fasen van witwassen.

Inkomende betalingen afkomstig uit oplichting
De oplichter plaatste tegelijkertijd tegen aantrekkelijke prijzen dure tv’s op een webshop. Geïnteresseerde kopers plaatsten bestellingen en betaalden vooruit, door middel van een normale en niet storneerbare bankoverschrijving naar een rekeningnummer in de mail met bestelbevestiging. Maar van daadwerkelijke levering van tv’s was natuurlijk geen sprake. In plaats daarvan kwam het geld dus binnen op de rekening van de geldezel die het volgens eerder vermelde instructies omzette in bitcoin.

Verhulling van crimineel verkregen geld - modus operandi
De geldezel heeft hiermee vermoedelijk meegewerkt aan witwassen van crimineel verkregen geld. Een serieus misdrijf waarop gevangenisstraffen staan. Zeker als de geldezel wist dat het crimineel verkregen geld betrof, onder andere de instructies over hoe om te gaan met lastige vragen van de bank kunnen daarop wijzen.Via betaalde crypto analysetools, zoals Elliptic of Chainalysis, is inzichtelijk waar de crypto vandaan komt en wat de uiteindelijke bestemming van de crypto is, bijvoorbeeld een darknet market walletadres. Zeker niet alle Wwft-plichtige bedrijven maken gebruik van dit soort analysetools. Ook via www.blockchain.com (Kies voor ‘Explorer’ op deze website en vul hash of walletadres in) en op basis van een crypto handelsgeschiedenis van de klant kan men inzicht krijgen in de verrichte BTC-transacties. De openbaarheid maakt het ook voor bijvoorbeeld bankmedewerkers mogelijk om de verklaring van de klant te toetsen.

Een website die ook als hulpmiddel kan dienen is: https://scam-alert.io/. De website geeft inzicht in welke wallet adressen gebruikt worden voor frauduleuze of illegale activiteiten. Let er wel op dat een wallet adres snel en makkelijk kan worden aangemaakt en dat als een wallet adres niet vermeld staat het niet betekent dat deze niet frauduleus is.

De oplichter kan er ook voor kiezen om de crypto’s te sturen naar een (buitenlandse) exchange, de munt om te zetten in een andere type crypto (ook wel chainhopping genoemd) en dan weer door te sturen. Eveneens met als doel om de volger op een dwaalspoor te zetten en de criminele herkomst van de gelden te verhullen. Voor de fraudeur kleeft er een risico aan het chainhoppen van crypto. Bij elke exchange, ook als deze het niet zo nauw neemt met de KYC-vereisten, worden er digitale sporen achtergelaten, zoals inloggegevens.

Modus operandi van deze crypto geldezels casus
Zoals in zoveel van dit soort gevallen zijn er vele instellingen betrokken bij de oplichtingspraktijk en heeft geen enkele betrokken partij de volledige geldstroom inzichtelijk. Het volgende gedrag kan uit deze casus worden gehaald en helpen witwassen te detecteren:

• Voor banken: afwijkingen van verwachte transactiepatronen
  • Onverwacht grote bedragen komen binnen vanaf verschillende rekeningen op een rekening waarop normaal gesproken alleen studiefinanciering of maandelijkse betalingen voor bijbaantjes binnenkomen;
  • Ongeveer vergelijkbare bedragen worden doorgestort naar onbekende rekeningen en in dit geval cryptoplatformen, met inhouding van, naar verhouding, gelijke bedragen dan is dat een extra aanwijzing dat de rekeninghouder kan zijn gerekruteerd als geldezel.
• Voor cryptoplatformen: afwijkingen van verwachte transactiepatronen
  • In deze casus zag LiteBit een plotselinge en ongebruikelijke toename van volumes en aantallen in transacties;
  • Bitcoins die direct na aankoop worden overgeboekt naar externe adressen kunnen aanleiding zijn voor nader onderzoek;
  • Overboekingen naar bitcoin adressen die in verband kunnen worden gebracht met mixer diensten, darknet of criminele activiteiten verdienen ook aandacht.
• Voor betaalinstellingen: afwijkingen bij online webshops
  • Popt er ineens een webshop op met aanbiedingen die bijna te mooi zijn, dan kunnen die aanbiedingen dat zomaar zijn. Soms kan de betaalinstelling de uitbetaling aan het nieuwe bedrijfje tijdelijk uitstellen, zodat eventuele klachten over levering kunnen worden opgelost zonder dat de eigenaar al met de buit is vertrokken.

Modus operandi delen in de strijd tegen witwassen
Bij onverklaarbare ongebruikelijke transacties is het uiteraard van belang de betrokken klant vragen te stellen over doel en aard van de crypto transacties en eventueel wie de eigenaar is van de externe wallets waarnaar crypto wordt overgemaakt. Het lijkt aannemelijk dat een bank die op het spoor komt van dergelijke transacties snel kan constateren dat er sprake is van geldezel activiteiten, zeker als bij de klant navraag wordt gedaan,  ondanks de vernuftige training die de geldezel ontving.

Dit artikel kwam tot stand door publiek private samenwerking. Lisa Tevel, werkzaam bij LiteBit, benaderde het AMLC en was bereid deze casuïstiek te delen, in de hoop en verwachting dat andere marktpartijen er hun voordeel mee zullen doen bij de bestrijding van financieel economische criminaliteit. Onze oproep is dan ook om de modus operandi niet alleen te delen en verspreiden op AML/CDD-afdelingen van banken, maar ook bij bijvoorbeeld klantenservices van Wwft-plichtige partijen. Wij zijn van mening dat het mogelijk is om signalen en red flags in een vroeg stadium op te pikken. Wij hopen dat we hieraan hebben kunnen bijdragen middels de publicatie van deze casus.