Bestmixer.io – De FIOD in de digitale frontlinie van financiële opsporing

Publicatiedatum 30-09-2025, 7:57

Ooit draaide de financiële opsporing om papieren facturen, kasboeken en fysieke bedrijfsbezoeken. Tegenwoordig speelt het werk zich vaker af in digitale omgevingen. Criminelen opereren via versleutelde netwerken, cryptovaluta en internationale (digitale) infrastructuren. Sprekend voorbeeld van deze digitale transitie is het onderzoek naar Bestmixer.io, een cryptomixing-dienst die in 2019 door de FIOD werd ontmanteld.

Het onderzoek naar Bestmixer.io was niet alleen technisch complex, maar ook grensverleggend. Het liet zien dat financiële opsporing in het digitale domein mogelijk is, mits er wordt samengewerkt, geïnnoveerd en geïnvesteerd in kennis. In dit artikel blikken we terug op deze zaak met Miquel. Hij was destijds projectleider van het team FACT (Financial Advanced Cyber Team).

Wat was Bestmixer.io?

Bestmixer.io was een van de grootste cryptomixing-diensten ter wereld. Via de website konden gebruikers hun cryptovaluta “mixen” — een proces waarbij munten van verschillende gebruikers worden samengevoegd en opnieuw uitgekeerd, zodat de herkomst van het geld moeilijk te traceren is. Hoewel mixers in sommige gevallen worden gebruikt voor legitieme privacy redenen, bleek uit onderzoek dat Bestmixer.io vooral werd ingezet voor het witwassen van crimineel geld.

“Bestmixer.io profileerde zich als een tool voor privacybescherming,” vertelt Miquel. “Maar in werkelijkheid was het een witwasmachine op volle toeren. De dienst werd gebruikt door ransomwaregroepen, fraudeurs en handelaren op het dark web.”

Signalen uit het veld

In 2019 kwam Bestmixer.io in beeld via het netwerk van FACT. Daar werd al vroeg gewaarschuwd voor de opkomst van een nieuwe mixer. Het bleek te gaan om Bestmixer.io die vanuit Nederland zou gaan opereren. Bestmixer.io profileerde zich als een tool voor privacybescherming, het vermoeden was dat het ging om grootschalige witwaspraktijken. “Dan gaan je de taps aansluiten op zo’n netwerk en kijken wat voor verkeer er overheen gaat. Via netwerkmonitoring en geavanceerde data-analyse wisten we cruciale informatie te destilleren uit enorme hoeveelheden dataverkeer. De ontwikkelaars van Bestmixer maakten foutjes, waardoor we de interne communicatie konden volgen. Dit gaf ons een uniek inkijk in de nieuwste verschijningsvorm van het fenomeen criminele organisatie. We kregen een lesje hoe bouw je een cryptomixer voor criminele doeleinden”, zegt Miquel lachend.

Juridisch en technisch kantelpunt

Een cruciaal element in het onderzoek was de inzet van hackbevoegdheid door de politie. Deze bevoegdheid is sinds 1 maart 2019 wettelijk geregeld via de Wet Computercriminaliteit III. Deze wet maakt het mogelijk voor opsporingsdiensten om, onder strikte voorwaarden, wederrechtelijk toegang te verkrijgen tot computersystemen. Dit kan bijvoorbeeld door in te breken in servers, data te onderscheppen, of zelfs informatie te wijzigen.

In het geval van Bestmixer.io werd deze bevoegdheid voor het eerst in de praktijk toegepast in een grootschalig financieel onderzoek. Het Digital Intrusionteam (Digit) van politie, gespecialiseerd in digitale opsporing, voerde de hack uit. Het doel was om toegang te krijgen tot de wallet van Bestmixer vóórdat de servers uit de lucht gehaald werden.

“Dankzij onze informatie en de hackbevoegdheid konden we cruciale data veiligstellen en voorkomen dat het geld zou verdwijnen. Een aanzienlijk deel van het geld kon door Digit in beslag worden genomen’.

Servers, data en samenwerking

In mei 2019 volgde de actie. Servers in Nederland en Luxemburg werden in beslag genomen, en de website van Bestmixer.io werd offline gehaald. De operatie was technisch en juridisch complex, maar verliep volgens plan.

Iedereen wist wat er op het spel stond. Het was een kwestie van timing, vertrouwen en voorbereiding.”

Onderdeel van de actie was de plaatsing van een splashpage op de website van Bestmixer.io. Deze tijdelijke pagina, ontworpen door de FIOD en het Openbaar Ministerie, verving de originele site en informeerde bezoekers dat de dienst was ontmanteld. De splashpage bevatte een verklaring over het onderzoek, een waarschuwing over het gebruik van mixers voor criminele doeleinden, en contactinformatie voor vragen. Het was een digitale manier om de impact van de actie direct zichtbaar te maken voor een wereldwijd publiek.

Puzzelen met miljoenen stukjes

De verkregen data was omvangrijk en complex. Het team van de FIOD zette geavanceerde analysetools in om patronen te herkennen en gebruikers te identificeren. “We hebben echt het maximale uit de data gehaald,” zegt Miquel. “Het was een puzzel van miljoenen stukjes, maar met de juiste tools en mensen kregen we het beeld compleet. We konden zien wie er mixte, wanneer, en met welke herkomst. Dat gaf ons een uniek inzicht in de criminele infrastructuur achter de dienst.”

De data over gebruikers werd gedeeld met Europol en leidde tot vervolgonderzoeken, zowel in Nederland als in andere landen. In sommige gevallen kon worden aangetoond dat gemixte cryptovaluta direct afkomstig was van ransomware-betalingen of darknet-transacties.

Een signaal aan de cryptowereld

“We hebben laten zien dat ook in de wereld van crypto en mixers, opsporing mogelijk is,” stelt Miquel. “Dat heeft indruk gemaakt. We hebben onze bevindingen gepresenteerd bij het ministerie van Justitie en Veiligheid, op veel verschillende cyberevenementen en bij partnerorganisaties, nationaal én internationaal. Daarnaast was het een serieuze wake-up call voor gebruikers van dit soort diensten.”

De zaak kreeg wereldwijde media-aandacht en leidde tot discussies over de rol van mixing-diensten in het cryptolandschap. Ook andere opsporingsdiensten namen het voorbeeld van de FIOD mee in hun aanpak.

De actie tegen Bestmixer.io had grote impact. Niet alleen werd een belangrijke witwasinfrastructuur offline gehaald, maar ook werd een krachtig signaal afgegeven: anonimiteit in de cryptowereld is geen garantie.