Mobiel Forensisch Onderzoek 2025: Wat is er mogelijk?

CyberLord Forensics Team

Mobiel Forensisch Onderzoek 2025: Wat is er mogelijk?

Of het nu gaat om een ontslagzaak, een echtscheiding, fraude of industriële spionage: de waarheid staat vaak op een smartphone.

Onze telefoon is een zwarte doos van het dagelijks leven. Hij registreert waar we zijn, met wie we spreken, wat we kopen en wanneer we actief zijn. Maar zodra data is verwijderd, het toestel is vergrendeld of er spyware wordt vermoed, houdt gewone gebruikershulp op.

Daar begint mobile forensics. Geen tv-magie, maar een gecontroleerd proces met technische, juridische en bewijsrechtelijke eisen.

Het verschil tussen data recovery en forensisch onderzoek

Veel mensen halen deze twee door elkaar.

  • Data recovery: het doel is bestanden terughalen, ongeacht de bewijswaarde.
  • Forensisch onderzoek: het doel is bewijs verzamelen dat controleerbaar, herhaalbaar en verdedigbaar blijft.

Bij forensisch werk gelden daarom extra spelregels:

  • het originele toestel mag niet onnodig worden gewijzigd
  • de chain of custody moet kloppen
  • handelingen moeten reproduceerbaar zijn
  • bevindingen moeten passen binnen het juridische doel van het onderzoek

Wat kunnen we terughalen?

1. Communicatie

  • WhatsApp, Signal, Telegram: met voldoende toegang kunnen lokale databases, cachebestanden en soms verwijderde records worden geanalyseerd.
  • SMS en belhistorie: deze sporen zijn vaak goed te reconstrueren.

2. Locatiehistorie

  • Wi-Fi netwerken die het toestel eerder heeft gezien
  • EXIF-data in foto's
  • veelbezochte locaties in iOS of Android

3. Internet- en appgedrag

  • zoekgeschiedenis
  • gebruik van apps in de tijd
  • sessies, notificaties en systeemartefacten

De niveaus van extractie

Niet elke telefoon is gelijk. Een oude Samsung is meestal makkelijker te onderzoeken dan een recente iPhone.

Niveau 1: Logische extractie

We vragen het toestel via reguliere back-upmechanismen om data af te staan.

  • Resultaat: zichtbare gegevens plus een beperkte set extra appdata.
  • Beperking: verwijderde data en diepere systeemsporen ontbreken vaak.

Niveau 2: File system extractie

We gebruiken gecontroleerde methoden om tijdelijk dieper toegangsniveau te krijgen.

  • Resultaat: appdatabases, systeembestanden, logbestanden en soms verwijderde records.
  • Gebruik: spyware-analyse, intern onderzoek, complexe communicatiedossiers.

Niveau 3: Fysieke extractie

We maken een bit-voor-bit kopie van de geheugenchip.

  • Resultaat: maximale dekking, inclusief ongealloceerde ruimte als dat technisch nog haalbaar is.
  • Beperking: moderne encryptie maakt dit op recente toestellen vaak uiterst moeilijk zonder toegangscode.

De juridische realiteit in Nederland

Technisch kan er veel. Maar juridisch mag lang niet alles.

Werkgever versus werknemer

Een zakelijke telefoon onderzoeken bij vermoedens van fraude of datadiefstal kan soms toegestaan zijn, maar niet automatisch.

  • Ook op een werktoestel kan een werknemer privacy verwachten.
  • Privécommunicatie vraagt extra terughoudendheid.
  • Zonder duidelijk beleid of protocol staat een werkgever juridisch zwakker.

Partner versus partner

Een partnertelefoon stiekem laten onderzoeken is in beginsel geen legale route. Dat kan botsen met privacywetgeving en strafrechtelijke grenzen. Zonder aantoonbaar eigendom of rechtmatige titel nemen wij zulke opdrachten niet aan.

Hoe gaat een onderzoek in zijn werk?

Bij Cyberlord volgen we een strikt protocol:

  1. Intake: wat is precies de onderzoeksvraag?
  2. Veiligstellen: het toestel gaat waar nodig in een Faraday Bag om remote wipe en nieuwe netwerksporen te voorkomen.
  3. Acquisitie: we maken een forensische kopie. Het origineel gaat terug in beveiligde opslag.
  4. Analyse: de kopie wordt onderzocht met tooling zoals Cellebrite UFED of Magnet AXIOM.
  5. Rapportage: u ontvangt een rapport met tijdlijn, bevindingen, screenshots en uitleg voor jurist, HR of management.

Wat bepaalt of data nog terug te halen is?

Niet elk toestel biedt dezelfde kansen. In de praktijk bepalen vooral deze factoren het succes:

  • Tijd sinds het incident: hoe langer het toestel actief blijft, hoe groter de kans dat verwijderde data wordt overschreven.
  • Versleuteling: moderne iPhones en recente Android-toestellen beschermen data sterk zodra het toestel is herstart of gewist.
  • Toegangscode bekend of onbekend: met de code kunnen we vaak veel dieper analyseren dan zonder de code.
  • Cloud-synchronisatie: soms zit de waardevolste bron niet meer op het toestel, maar in iCloud, Google Drive of een MDM-back-up.

Daarom is snel en zorgvuldig veiligstellen vaak belangrijker dan direct zelf experimenteren.

Wat moet u in de eerste 60 minuten doen?

Veel bewijsmateriaal gaat verloren door goedbedoelde paniekacties. Dit is de veilige volgorde:

  1. Zet het toestel in vliegtuigmodus als dat kan zonder extra risico.
  2. Leg het toestel aan de lader; een lege batterij kan de analysekansen verkleinen.
  3. Maak geen updates, fabrieksreset of willekeurige back-up.
  4. Noteer wie het toestel in handen had, wanneer en waarom.
  5. Verzamel relevante context: telefoonnummer, Apple ID of Google-account, vermoedelijk tijdstip van het incident en betrokken apps.

Een forensisch traject is niet alleen techniek. Context bepaalt welke sporen we zoeken en welke conclusies juridisch standhouden.

Welke documentatie maakt het rapport sterker?

Als het onderzoek bedoeld is voor HR, advocaat, verzekeraar of rechter, helpt extra documentatie enorm:

  • eigendomsbewijs van het toestel
  • bedrijfsbeleid of toestemming voor onderzoek
  • incidenttimeline met datums en betrokken personen
  • export van MDM, EDR of e-mailwaarschuwingen
  • lijst van relevante accounts, apps en vermoedelijke contactmomenten

Hoe beter de context, hoe sneller bevindingen kunnen worden gekoppeld aan een concrete gebeurtenis.

Conclusie

Een telefoon liegt niet, maar hij geeft zijn geheimen niet zomaar prijs. In juridische conflicten kan een professioneel forensisch rapport het verschil zijn tussen winst en verlies. Ga niet zelf prutsen, want zodra je de telefoon onnodig gebruikt, veranderen er duizenden bestanden en kan bewijs verloren gaan.

Neem contact op voor een vertrouwelijk intakegesprek

Veelgestelde vragen

Kunnen verwijderde WhatsApp-berichten altijd worden teruggehaald?

Nee. Het hangt af van toesteltype, versleuteling, tijdsverloop en of de relevante databaseblokken al zijn overschreven.

Is een fabrieksreset het einde van het onderzoek?

Voor moderne versleutelde toestellen vaak bijna wel, maar niet altijd voor het totale dossier. Cloud-back-ups en gekoppelde accounts kunnen nog steeds waardevolle sporen bevatten.

Wanneer moet een bedrijf direct extern opschalen?

Zodra er sprake is van mogelijk datalek, spyware, diefstal van bedrijfsgeheimen of een arbeidsconflict waarbij de bewijsketen later betwist kan worden.