Digitala detektiver letar dolda spår

En person hittas blödande på marken, skjuten till döds och polisen startar jakten på gärningsmannen och en utredning med full resurs. Vittnen har sett en vit Audi på platsen. En gripen misstänkt har en likadan men förnekar att han varit där och kan inte knytas till platsen via sin mobil. Vittnen säger också att de har sett fler personer i bilen. Nu behöver polisen veta var den misstänktas bil fanns vid tidpunkten, hur många som åkte i den – och vilken väg den körde från platsen.

Teknisk data från en bil kan ge viktig information i en utredning. En modern bil lagrar mängder av information som polisen kan få fram och använda vid utredning av grova brott.

Två som arbetar med det är Alexander Madrell och Stefan Bergström. De är it-forensiker specialiserade på fordon hos regionalt it-brottscentrum, R3C i Stockholm. När bilen är beslagtagen och kriminaltekniker har letat dna och säkrat andra spår kopplas de in. Bilarna de undersöker kan ha använts vid olika typer av grova brott, för att frakta kriminella eller narkotika.

– Beroende på vilken bil det är kan vi få fram olika uppgifter. Det skiljer sig mellan bilmärken och modeller, säger Alexander Madrell.

It-forensikerna kan till exempel få fram gps-koordinater på var bilen varit, vilka rutter man slagit in i gps-systemet och vilken hastighet bilen körts med vid en viss tidpunkt.

I ett första steg åker it-forensikerna ut till den beslagtagna bilen och hämtar in – extraherar – datan. I nästa steg analyserar de datan. Det kan ta från några timmar till veckor.

– Vi arbetar manuellt, vilket kan ta tid, säger Stefan Bergström.

För att kunna arbeta effektivt behöver it-forensikerna veta vad utredarna vill få fram och vilken tidsperiod det gäller. 

– Utredarna får gärna höra av sig till oss genom samordnaren på RC3 innan de skickar en formell beställning. Vi kan ge råd om vad som går att ta fram från en viss bil. Det är ofta mer än många tror, säger Stefan Bergström.

Viktiga fynd i flera uppmärksammade utredningar

Deras fynd har varit viktiga i flera uppmärksammade utredningar. Efter dubbelmordet på ett äldre par i Vallentuna 2020 kunde de visa var målsägares och misstänktas bilar befunnit sig och bidra till att skapa ett händelseförlopp.

Efter att den 12-åriga flickan i Botkyrka sköts ihjäl samma år var de också med och lokaliserade en bil. I ett annat ärende nyligen följde de hur en bil som fraktat kokain hade färdats genom Norge och Sverige.

Andra gånger har de kunnat styrka vittnens uppgifter, till exempel att en taxichaufför som skjutsat några misstänkta hade befunnit sig på platsen han uppgav.

– Informationen är ett bra komplement till telefontömningar och annan bevisning, säger Alexander Madrell.

Polisen i region Stockholm började arbeta med fordonsforensik för två år sedan. Då gick Alexander Madrell och Stefan Bergström en veckas utbildning på området i USA. Nu har de hjälp av ytterligare en kollega och ägnar ungefär halva sin arbetstid åt att undersöka bilar, vid sidan av arbetet med datorer, mobiltelefoner och annan elektronisk utrustning. I snitt hanterar de fyra bilar per månad och efterfrågan ökar.

– Fler upptäcker nyttan och vi lär oss och blir säkrare efterhand. Det är ett spännande nytt fält att upptäcka och arbetet är väldigt roligt. Det kan spela stor roll i en utredning, säger Alexander Madrell.

Stefan Bergström håller med:

– Det är roligt att vara ute och arbeta på plats. Sedan går tekniken framåt oerhört snabbt, vi it-forensiker jobbar annorlunda än för bara ett år sedan. Så uppdraget är svårt men utvecklande.

Desken stöttar utredare inom it-relaterad brottslighet

På samma våningsplan hos regionalt it-brottscentrum sitter medarbetarna på desken. Ringer du dit och väljer knappval två, ”Övriga it-brottsrelaterade frågor”, hamnar du hos handläggare Johan Gustafsson. Hans uppgift är att stötta utredare i den digitala djungeln.

Desken är en regional stödfunktion för utredningsverksamheten när det gäller it-relaterad brottslighet. Som handläggare är Johan Gustafsson första linjens support och svarar på frågor om hur man kan gå vidare med digital bevisning i förundersökningar.

– Utredare och förundersökningsledare ringer hit för stöd vid både renodlade brott på nätet och digital bevisning vid andra typer av brott – allt från mängdbrott till mord. It-bevisning finns vid nästan alla brott i dag, det räcker att ha med sig en mobil, säger han.

Frågorna som kommer in rör hela it-brottscentrums verksamhet: it-forensik, internetinhämtning, komplexa cyberbrott och internetrelaterade sexuella övergrepp mot barn. Begäran om it-forensisk undersökning tar hans kollegor hand om.

En vanlig fråga är hur man identifierar en person bakom ett alias på en social plattform. Det kan gälla bedrägerier eller hot på nätet. Johan Gustafsson ger då råd om vilken typ av begäran utredarna behöver skicka till olika företag, till exempel Facebook, och hur de tolkar svaren. När de får en lista på ip-adresser måste den spåras vidare med en begäran till teleleverantören för att hitta en person.

– Digital bevisning tar dig halvvägs. Du kan inte bevisa att det var just den personen som satt bakom tangentbordet, men du kommer en bit på väg och kan stärka med annan bevisning, säger han.

Många frågor gäller också vem som ligger bakom en domän eller hemsida, och vad som gäller för att få ut information från utländska företag.

Johan Gustafssons viktigaste råd till utredare är att tänka på initiala utredningsåtgärder – att säkra materialet innan det är försent.

Det kan vara att ladda ner en film eller podd, eller ta ett skärmklipp på texter eller kommentarer, till exempel vid hot. Annars finns en risk att personen själv tar bort det från nätet.

Det går också att kontakta plattformar och företag för att frysa materialet så att innehåll i konton finns kvar när det är dags att utreda. På en del ställen sparas informationen en begränsad tid.

– Gör de enkla åtgärderna direkt, innan ärendet läggs i inkorgen i väntan på utredning. Jag har tyvärr fått många samtal där det varit försent, säger Johan Gustafsson.

Lyckas utredarna av olika skäl inte säkra materialet själva uppmanar han dem att höra av sig så snabbt som möjligt, så kan desken göra det åt dem.

Det är också bra att dokumentera statistik som antal visningar och hur länge ett klipp eller en text legat ute. Åklagare vill ofta senare kunna visa på omfattningen av ett brott.

Desken på it-brottscentrum i Stockholm tar emot i snitt 500 samtal per månad. Ändå menar Johan Gustafsson att för få känner till att de kan få stöd. Många lokalpolisområden och sektioner förlitar sig på någon särskilt kunnig kollega. Men it-brott är ett stort område.

– Här finns kompetensen samlad. Vi omvärldsbevakar och har koll på ny teknik och trender för att kunna ge bra stöttning. Vi åker också ut och föreläser för utredningsgrupper så mycket vi kan. Tveka inte att höra av er med funderingar.

Inernetinhämtarna spanar efter bevis på nätet

I samma korridor som desken sitter internetinhämtarna – medarbetarna som spanar efter bevis på internet. Två av dem är Hanna och Camilla. De stöttar utredare i ärenden där förundersökning är inledd, framför allt i grövre brott som gängskjutningar.

Deras uppdrag är att hitta och säkra digitala bevis i öppna källor på internet, som sociala medier och hemsidor. Utredarna hör av sig med specifika uppgifter de ska leta fram, såväl kring den misstänkta som personer i dennes närhet.

– De flesta människor lämnar digitala spår efter sig, ofta utan att tänka på det, säger Hanna.

Till exempel kan en viss tröja ha använts vid ett mordförsök och internetinhämtarna får i uppdrag att hitta bilder där den misstänkta har den på sig.

De kan också söka efter en person bakom ett alias. Ett namn, ett telefonnummer eller en mejladress kan ha använts i mer öppna sammanhang tidigare. De kan hitta flera år gammal information som leder dem vidare.

– Ofta finns små ledtrådar som leder vidare till nästa ledtråd och nästa. Man får vara kreativ och nyfiken, säger Hanna.

Internetinhämtarna har särskilda programvaror som ”spindlar” nätet och får fram mer än vad en vanlig utredare kan. Informationen hämtas in anonymt så att det inte syns att polisen varit inne på sidan och sökt.

För att underlätta arbetet behöver utredarna ha ett tydligt syfte med sin begäran till internetinhämtarna.

– På samma sätt som man inte ber en spanare att ”gå och leta på stan” lite planlöst behöver vi veta vad de vill kunna visa. Det ska koka ner till något görbart, säger Camilla.

Att säkra materialet i ett tidigt skede är också viktigt, så att det inte raderas.

– Men det tidskrävande är inte att spara ner informationen, utan att klura ut hur vi ska hitta den, säger Hanna.

Att sitta med och vara en resurs i teamet för att kontinuerligt få information och hitta egna uppslag tycker de är en framgångsfaktor i större ärenden. Mer samarbete med it-forensiker skulle också öka möjligheterna att få fram och undersöka data på ett mer effektivt sätt än idag. Det svåra i arbetet är att hänga med i den tekniska utvecklingen och att räcka till för alla förfrågningar.

Ett ärende där deras fynd spelat en avgörande roll var ett förtalsärende med porrbilder. Internetinhämtarna såg att den misstänkta plockade bort bilder när han fick reda på att han var föremål för utredning. Det bidrog till att styrka mannens uppsåt, vilket inte hade gått annars.

I en annan utredning kunde internetinhämtarna lokalisera en misstänkt pedofils lägenhet. En bild inifrån lägenheten hade skickats på en chatt och visade delar av en buss, en trottoarkant och skuggan från en gatulampa – som vid efterforskningar avslöjade vilken gata och nummer det gällde.

– Vi bidrar med delar som utredningen inte har haft tillgång till på samma sätt tidigare, säger Hanna.