Security.nl sprak onlangs met forensisch expert Rémon Verkerk, business development manager computer forensics van Kroll Ontrack. We vroegen Verkerk om een aantal scenario's waarbij forensisch onderzoek op de werkvloer werd toegepast. Eén van de zaken waar het forensische onderzoeksbedrijf bij werd ingeschakeld, betrof een medewerkster van een bedrijf dat enkele collega´s op haar werk van ongewenste intimiteiten beschuldigde. De medewerkster kreeg anonieme e-mail en sms-berichten die seksueel waren getint, daarnaast werd de medewerkster op verschillende websites en fora lastiggevallen. Aangezien haar werkgever eventuele valse beschuldigingen wilde voorkomen, werd besloten een onderzoek naar de bron van deze berichten te doen.
Volgens Verkerk worden over het algemeen bij dergelijke onderzoeken sporen op diverse plaatsen aangetroffen. Daarnaast zijn daders zich vaak niet bewust van het feit dat er sporen op computers en telefoons achterblijven. Daarom werd er op verwijderde sms-berichten, internetbestanden, IP-adressen, SWAP-files, logbestanden, volume shadow copies en het Windows Register gezocht.
IP-adres
Uiteindelijk werd vastgesteld vanaf welk IP-adres de anonieme e-mailberichten waren verstuurd en werd er rekening mee gehouden dat dit gedaan was door een collega binnen de organisatie. Verkerk merkt op dat de kans bestond dat de dader vanuit huis zakelijke e-mails verstuurde, waarbij het IP-adres van zijn persoonlijke internetaansluiting werd meegestuurd.
Door de zakelijke e-maildatabase te doorzoeken op de aanwezigheid van een privé IP-adres, dat werd gebruikt voor het versturen van de anonieme e-mailberichten, werd een match gevonden in meerdere e-mailberichten van een werknemer. Nader onderzoek naar deze werknemer wees uit dat er veelvuldig correspondentie tussen verschillende collega’s was geweest. Deze correspondentie kon duidelijk als ongewenst worden aangemerkt.
Instant Messenger
Daarnaast ontdekte men obscene uitspraken in Instant Messenger en op basis van het Window Register werd vastgesteld dat onder het gebruikersaccount van de verdachte verschillende datingsites waren bezocht, waarbij gebruik was gemaakt van een gebruikersnaam gelijk aan de voornaam van het slachtoffer. Na vordering wist Kroll Ontrack de logbestanden van enkele datingsites te verkrijgen, waaruit opnieuw het IP-adres matchte met de privé internetaansluiting van de verdachte.
Het bedrijf waar het voorval speelde ontsloeg enkele van de betrokken collega’s. Anderen zijn ernstig berispt op basis van betrokkenheid. Op dit moment wordt nog gezocht naar compensatie.
Ongewenst gedrag
Een andere zaak waarbij om forensisch onderzoek werd gevraagd, betrof een medewerkster van een bedrijf dat een collega ervan beschuldigde dat hij of zij anonieme brieven naar zakenpartners rondstuurde, met een foto van haar voorzien van een smadelijke tekst. Haar werkgever wilde hier meer duidelijkheid over en liet een forensisch onderzoek uitvoeren.
Eerst werd er op de server van het bedrijf gekeken, om te zien of er nog een digitale versie van de verstuurde brieven aanwezig was. Deze was niet te vinden, maar men vond wel dezelfde foto die was gevonden in de anonieme brief. Uit navraag naar de herkomst van de foto, bleek dat deze afkomstig was van de website van de onderneming, die publiekelijk toegankelijk is.
Match
Na onderzoek op de logbestanden van de webserver, bleek dat de betreffende contactpagina inclusief foto, in de periode voorafgaand aan het versturen van de anonieme brieven, vanaf meerdere IP-adressen was gedownload. Tevens was er vanaf één van de IP-adressen veelvuldig gezocht naar de naam van het slachtoffer, inclusief de zogenaamde Google referrers.
Het betreffende IP-adres matchte met het IP-nummer van een medewerker. Daarnaast dook dit IP-adres ook op in de logbestanden van webservers van de zakenrelaties die de brief ontvangen hadden. Samen met ander ondersteunend bewijsmateriaal kon worden gesteld dat de verdachte verantwoordelijk was voor het versturen van de anonieme brieven. De verdachte werd naar aanleiding van het onderzoek op staande voet ontslagen.
Deze posting is gelocked. Reageren is niet meer mogelijk.