Menu

Fraudeonderzoek na het kopiëren van vertrouwelijke bedrijfsgegevens

Fraudeonderzoek

Wat kan een digitaal forensisch fraudeonderzoek bijdragen nadat is vastgesteld dat vertrouwelijke bedrijfsgegevens zijn gekopieerd? Kan men via het onderzoek van, bijvoorbeeld, een desktop-PC of een laptop ontdekken wie het gedaan heeft, wanneer en hoe de gegevens die gestolen zijn het bedrijf hebben verlaten?

Ten eerste moet worden benadrukt dat het van vitaal belang is dat de toestellen die de verdachte gebruikte, zo snel mogelijk geïsoleerd worden.

De verleiding voor managers om “eens een kijkje te nemen” om na te gaan wat er gebeurd is, moet ook worden weerstaan. Dergelijke acties kunnen de data en de tijden in verband met het gebruik van een bestand veranderen en kunnen zelfs bewijsmateriaal vernietigen.

Dezelfde stelregel geldt nog meer voor IT-medewerkers want vaak voeren zij, dankzij hun IT-kennis, meer en diepgaandere(1) acties uit, waarbij de schade aangericht aan het bewijsmateriaal soms niet te overzien is.

alert-block

Een digitaal fraudeonderzoek dient uitgevoerd te worden door opgeleide en ervaren forensische analisten, zij zijn experts in grondige analyse en de productie van ontvankelijk bewijs.

Een diefstal van vertrouwelijke bedrijfsgegevens laat zonder meer elektronisch bewijsmateriaal achter. Zelfs als een klantenlijst gewoon wordt uitgeprint is het waarschijnlijk dat er bewijs achterblijft van wie de lijst heeft afgedrukt en op welke datum/tijd het bestand werd geopend.

Een veel voorkomende scenario is dat van een gebruiker die via zijn/haar privé webmail (zoals Yahoo, Gmail), vanop het werk een bedrijfsdocument aan zichzelf verstuurt. We merken ook regelmatig het illegale gebruik van USB-sticks om bedrijfsgegevens te kopiëren.

Door het gebruik van encryptie (https) is het in vele gevallen niet mogelijk om de inhoud van de webmail te achterhalen.

Maar dan nog kan de analyse van andere artefacten uit de computer in kwestie gebruikt worden om een tijdslijn van de gebeurtenissen op te bouwen, vast te stellen wie het bestand in kwestie heeft geopend en wanneer de webmail account is benaderd. Als deze gebeurtenissen optreden binnen enkele minuten na elkaar, kan dit de basis zijn van een bewijslast. Waarschijnlijk zou elk van deze elementen op zich niet voldoende bewijs vormen, maar de combinatie van bewijselementen uit de onderzochte apparatuur maakt dat de forensisch analist een nauwkeurig verslag van de acties van de gebruiker kan reconstrueren

Digitaal fraudeonderzoek kan aan het licht brengen wanneer een gebruiker voor het eerst een bepaalde USB stick in zijn computer heeft ingebracht, en wanneer deze USB stick het laatst gebruikt is. De naam en het serienummer van de USB-stick is vaak te achterhalen en het is mogelijk dat de analyse onthult welke bestanden en mappen werden benaderd op die stick. In combinatie met een tijdslijn analyse, kunnen deze artefacten een overtuigend bewijs vormen van gegevensdiefstal.

Aanvullend bewijs kan worden ingewonnen via analyse van de webgeschiedenis (welke sites zijn bezocht? welke zoekargumenten werden gebruikt?), chat geschiedenis (wie werd gecontacteerd via Skype? wat werd er gezegd?), en de analyse van het e-mail verkeer.

Dit zijn een paar algemene voorbeelden hoe een digitaal fraudeonderzoek bewijzen kan leveren van bedrijfsfraude. Elke case is echter anders en de hoeveelheid gegevens die herstelbaar zijn varieert.


1 Bijvoorbeeld een manager van een bedrijf die, geconfronteerd met bedrijfsfraude, zelf op zoek gaat naar bewijsmateriaal. Vanop de PC van de verdachte download hij vanaf het internet een data-recovery programma, om het daarna daadwerkelijk uit te voeren. De actie werd nog dodelijker voor het bewijsmateriaal als daarna ook nog eens een defragmentatie van de harde schijf is uitgevoerd.

This is a unique website which will require a more modern browser to work! Please upgrade today!