Auteur jjoerlemans

Publicatie ENISA rapport over cybercrime

jjoerlemans Een reactie plaatsen

Op 15 januari 2018 heeft het Europese cybersecurityagentschap ENISA een interessant rapport  gepubliceerd over cybersecuritydreigingen. In het rapport worden de bevindingen van een grote hoeveelheid andere rapporten van cybersecuritybedrijven geanalyseerd en de resultaten daarvan gepresenteerd. Het rapport biedt ook enige technische diepgang.

In het rapport wordt er op gewezen dat in 2017 cybercriminelen de grootste bedreiging op het gebied van cybersecurity vormen. Twee derde van de aanvallen zijn van deze actor afkomstig. Hierbij wordt opgemerkt dat in plaats dat zij zeer massale meer ongerichte malware-aanvallen uitvoeren, cybercriminelen nu vaker op zoek gaan naar (financieel) aantrekkelijke doelwitten en daar gerichte aanvallen op uitvoeren. Cybercriminelen verdienen daarnaast volgens ENISA veel geld met advertentiefraude (clicks genereren en daarmee geld verdienen) en het leveren van diensten voor andere cybercriminelen (cybercrime-as-a-service). Volgens ENISA is er een toenemende interactie tussen cybercriminelen en statelijke actoren bij het uitvoeren van aanvallen. De ‘insider-dreiging’ (medewerkers van bedrijven of instellingen) worden als tweede grootste bedreiging geïdentificeerd. ENISA zegt dat het motief bij deze interne actoren in de regel financieel van aard is.

Statelijke actoren worden als derde grootste bedreiging gesignaleerd. Staten maken van computers en internet gebruik voor bijvoorbeeld economische spionage en om aan (politieke) beïnvloeding te doen. ENISA wijst er op dat steeds meer staten investeren in de “cybercapaciteiten” van overheidsinstanties en dit leidt tot een grotere cybersecuritybedreiging leidt. Ook wordt ondersteuning gevonden voor de claim dat deze statelijke actoren vaker dan andere actoren gebruik maken van zero day-kwetsbaarheden bij hun aanvallen. Het lekken van deze zero days kan op zijn beurt grote gevolgen hebben, zoals de WannaCry-aanval laat zien.

De meest in het oog springende resultaten met betrekking tot cybercrime zou ik als volgt samenvatten:

  1. Toename in ernst en complexiteit van aanvallen

In het algemeen wordt er op gewezen dat cybercrime in enge zin – kort gezegd (1) computervredebreuk (hacken), (2) de verspreiding van malware en (3) ddos-aanvallen – in ernst en complexiteit stijgt. Interessant is bijvoorbeeld de stijging in ‘clickless’ malware, waarbij geen interactie (zoals een klik op een knop of bestand) is vereist ten behoeve van de installatie van malware en de verdere verspreiding ervan. In het rapport wordt ook gewezen op het gebruik van kwetsbaarheden in webbrowsers (incl. plugins) en kwaadaardige linkjes via phishingmails als populaire infectiemethode.

In het rapport uiteraard ook gewezen op de stevige stijging van malware-incidenten en zeer zware ddos-aanvallen die zijn uitgevoerd met behulp van het Mirai-botnet (dat misbruik maakt van kwetsbare IoT-apparaten). De dos-aanval op DNS-provider Dyn leidde tot grote en merkbare schade door het tijdelijk uitvallen van populaire diensten zoals Netflix.

ENISA komt tot de zorglijke conclusie het opsporen van de daders achter aanvallen (zoals criminelen en statelijke actoren) “welhaast onmogelijk” is en de acties en motieven van de aanvallen achteraf vaak onduidelijk blijven. Dat maakt het op zijn beurt volgens het agentschap bijzonder moeilijk de actoren achter cyberaanvallen en werkwijze te profileren.

De Nederlandse politie krijgt nog een “eervolle vermelding”  (afhankelijk hoe je het bekijkt) van een ‘sophisticated, yet risky way to prosecute cyber-criminal offences’ in het kader van het overnemen van de Hansa-marktplaats op het darkweb.

  1. Ransomware

Ransomware wordt een ‘prominent threat’ genoemd. In het rapport wordt mooi weergegeven wat de tijdlijn is geweest met betrekking tot de WannaCry-aanval die in Nederland tot uitval van (onder andere) de Tweede Maasvlakte heeft geleid.

Ten slotte werd een interessant nieuwe trend genoemd waarbij gespecialiseerde ransomware zich richt op medische apparaten. Als deze onbruikbaar worden kan dit natuurlijk ook (meestal indirect) de gezondheid van mensen in gevaar brengen. Dit past in de genoemde trend in het rapport waarbij meer gerichte ransomware aanvallen plaatsvinden om geld af te persen van bedrijven of overheidsinstellingen.

ENISA rapport over cybersecurity dreigingen

jjoerlemans Een reactie plaatsen

Posted on 04/02/2018 op Oerlemansblog

Op 15 januari 2018 heeft het Europese cybersecurityagentschap ENISA een interessant rapport gepubliceerd over cybersecuritydreigingen. In het rapport worden de bevindingen van een grote hoeveelheid andere rapporten van cybersecuritybedrijven geanalyseerd en de resultaten daarvan gepresenteerd. Het rapport biedt ook enige technische diepgang. In deze blog post deel ik de zaken die mij uit het rapport opvielen.

Algemeen

In het rapport wordt er op gewezen dat in 2017 cybercriminelen de grootste bedreiging op het gebied van cybersecurity vormen. Twee derde van de aanvallen zijn van deze actor afkomstig. Hierbij wordt opgemerkt dat in plaats dat zij zeer massale meer ongerichte malware-aanvallen uitvoeren, cybercriminelen nu vaker op zoek gaan naar (financieel) aantrekkelijke doelwitten en daar hier gerichte aanvallen op uitvoeren. Cybercriminelen verdienen daarnaast volgens ENISA veel geld met advertentiefraude (clicks genereren en daarmee geld verdienen) en het leveren van diensten voor andere cybercriminelen (cybercrime-as-a-service). Volgens ENISA is er een toenemende interactie tussen cybercriminelen en statelijke actoren bij het uitvoeren van aanvallen.

De ‘insider-dreiging’ (medewerkers van bedrijven of instellingen) worden als tweede grootste bedreiging geïdentificeerd. ENISA zegt dat het motief bij deze interne actoren in de regel financieel van aard is.

Statelijke actoren worden als derde grootste bedreiging gesignaleerd. Staten maken van computers en internet gebruik voor bijvoorbeeld economische spionage en om aan (politieke) beïnvloeding te doen. ENISA wijst er op dat steeds meer staten investeren in de “cybercapaciteiten” van overheidsinstanties en dit leidt tot een grotere cybersecurity leidt. Ook wordt ondersteuning gevonden voor de claim dat deze statelijke actoren vaker dan andere actoren gebruik maken van zero day-kwetsbaarheden bij hun aanvallen. Het lekken van deze zero days kan op zijn beurt grote gevolgen hebben, zoals de WannaCry-aanval laat zien.

Op p. 98 van het rapport is een mooi overzicht van de betrokken actoren en hun manier van werken te vinden.

Cybercrime-specifiek

De meest in het oog springende resultaten met betrekking tot cybercrime zou ik als volgt samenvatten:

  1. Toename in ernst en complexiteit van aanvallen

In het algemeen wordt er op gewezen dat cybercrime in enge zin – kort gezegd (1) computervredebreuk (hacken), (2) de verspreiding van malware en (3) ddos-aanvallen – in ernst en complexiteit stijgt. Interessant is bijvoorbeeld de stijging in ‘clickless’ malware, waarbij geen interactie (zoals een klik op een knop of bestand) is vereist ten behoeve van de installatie van malware en de verdere verspreiding ervan. In het rapport wordt ook gewezen op het gebruik van kwetsbaarheden in webbrowsers (incl. plugins) en kwaadaardige linkjes via phishingmails als populaire infectiemethode.

In het rapport uiteraard ook gewezen op de stevige stijging van malware-incidenten en zeer zware ddos-aanvallen die zijn uitgevoerd met behulp van het Mirai-botnet (dat misbruik maakt van kwetsbare IoT-apparaten). De dos-aanval op DNS-provider Dyn leidde tot grote en merkbare schade door het tijdelijk uitvallen van populaire diensten zoals Netflix.

ENISA komt tot de zorglijke conclusie het opsporen van de daders achter aanvallen (zoals criminelen en statelijke actoren) “welhaast onmogelijk” is en de acties en motieven van de aanvallen achteraf vaak onduidelijk blijven. Dat maakt het op zijn beurt volgens het agentschap bijzonder moeilijk de actoren achter cyberaanvallen en werkwijze te profileren.

De Nederlandse politie krijgt nog een “eervolle vermelding”  (afhankelijk hoe je het bekijkt) van een ‘sophisticated, yet risky way to prosecute cyber-criminal offences’ in het kader van het overnemen van de Hansa-marktplaats op het darkweb.

  1. Ransomware

Ransomware wordt een ‘prominent threat’ genoemd. In het rapport wordt mooi weergegeven wat de tijdlijn is geweest met betrekking tot de WannaCry-aanval die in Nederland tot uitval van (onder andere) de Tweede Maasvlakte heeft geleid. Het verwonderd mij overigens dat de regering in een Kamerbrief laat weten dat deze aanval niet ‘maatschappelijk ontwrichtend’ is geweest. Welke aanvallen zijn dat dan wel, vraag ik mij af. En wat voor een rol speelt het NCSC hierbij nu precies? Is deze enigszins effectief?

Ten slotte werd een interessant nieuwe trend genoemd waarbij gespecialiseerde ransomware zich richt op medische apparaten. Als deze onbruikbaar worden kan dit natuurlijk ook (meestal indirect) de gezondheid van mensen in gevaar brengen. Dit past in de genoemde trend in het rapport waarbij meer gerichte ransomware aanvallen plaatsvinden om geld af te persen van bedrijven of overheidsinstellingen.

Drugshandel, witwassen en darknet markets

jjoerlemans Een reactie plaatsen

In de afgelopen maanden zijn weer verschillende zaken geweest met veroordelingen voor drugshandel via het dark web en/of het witwassen van de verkregen gelden via Bitcoin.

Allereerst is de uitspraak (ECLI:NL:RBROT:2017:10225) van de rechtbank Rotterdam van 19 december 2017 interessant. In deze zaak handelde de verdachte via localbitcoins.net in bitcoins in ruil voor geld. Nadat het contact tussen verdachte en de bitcoin-eigenaren was gelegd via Twitter of Telegram, werden de bitcoins door de eigenaren overgeschreven, ofwel naar de wallet van verdachte ofwel naar de wallet van de Bitcoin verkoopmaatschappijen Bitonic of Coinvert. Bitonic en Coinvert betaalden de verkoopprijs uit per bank en maakte de bedragen telkens over naar de bankrekeningen van verdachte of van twee van zijn ex-vriendinnen. In totaal is er in de ten laste gelegde periode een bedrag van € 447.882,65 naar deze bankrekeningen overgemaakt.

De stortingen van de bitcoingelden op de bankrekeningen van verdachte en [naam medeverdachte] hebben ertoe geleid dat SNS Bank drie meldingen van verdachte transacties heeft gemaakt bij FIU‑Nederland. Naar aanleiding van deze melding is onderzoek gedaan naar de door verdachte omgewisselde Bitcoinadressen. Uit dat onderzoek, dat is uitgevoerd met behulp van het programma ‘Chainalysis’, blijkt dat meer dan de helft van de bitcoins binnen één of twee tussenstappen is terug te voeren naar darkweb markten. De rechtbank gaat uit van de juistheid van die resultaten en constateert dat een deel van de door verdachte verhandelde bitcoins gelieerd zijn aan darkweb markten.

De rechtbank gaat niet mee met de officier van justitie dat er sprake is van witwassen als gronddelict. De rechtbank deelt wel het standpunt van de officier van justitie dat darkweb markten in de regel worden gebruikt voor criminele doeleinden en dat daarbij bitcoins worden gebruikt als betaalmiddelen.Uit het dossier kan echter niet worden vastgesteld dat verdachte wist, of daar ernstig rekening mee moest houden, dat de bitcoins die hij verhandelde afkomstig waren van darkweb markten en dus dat het criminele bitcoins waren. Wel is er volgens de rechtbank sprake van een vermoeden was dat de bitcoins afkomstig waren uit enig misdrijf en er aldus een vermoeden van witwassen bestaat. De verdachte wordt veroordeeld voor twintig maanden gevangenisstraf.

Op 24 januari 2018 is door de rechtbank Midden-Nederland een 24-jarige man veroordeeld (ECLI:NL:RBMNE:2018:234) tot een gevangenisstraf van zes jaar voor internationale drugshandel met gebruik van Darknet-markets (Alphabay) en witwassen. Alphabay is lange tijd het meest populaire darknet market voor drugshandel geweest. 

Uit de bewijsvoering blijkt dat de verdachte door opsporingsambtenaren in de gaten is gehouden. Deze activiteiten van de verdachte wegen mee als bewijs. Zo wordt opgemerkt: Door het profiel ‘[gebruikersnaam]’ waren in totaal 31 advertenties geplaatst.De titels van deze advertenties bevatten onder meer de volgende teksten: “50g MDMA Very High Quality”, “50x 100 Dollar Bills Green Very High Quality”.

In de uitspraak wordt opgemerkt dat de verdachte een stichting had opgericht voor de uitbetalingen van cash geld in ruil voor bitcoins. In de uitspraak staat:

“Op 16 januari 2016 werden bij het bedrijf Bitonic alle transacties gevorderd die betrekking hadden op de negen betrokken bankrekeningen op naam van Stichting [stichting]. Uit de uitgeleverde informatie bleek dat over de periode van 26 maart 2015 tot en met 14 november 2016 voor € 501.165,38 aan bitcoins waren verzilverd. Alle negen rekeningen bleken, hoewel bij Bitonic voorzien van verschillende namen, volgens de verstrekking van de ING-bank op naam te staan van rekeninghouder Stichting [stichting]”.

Door de politie is ook onderzoek gedaan naar de bitcoinadressen die door verdachte werden gebruikt. Door middel van analyse met behulp van het programma Chainalysis blijkt dat er veel betalingen en ontvangsten van en/of naar deze adressen via zogenaamde mixers liepen. Een mixer wordt aangeboden door diverse partijen. Deze stellen een bitcoinadres ter beschikking waar men bitcoins op kan storten. De mixer betaalt vervolgens deze bitcoins terug aan de klant na aftrek van een kleine ‘fee’. De bitcoins worden op een groot aantal verschillende bitcoinadressen gestort. In totaal werden 430 bitcoinadressen ingevoerd in Chainalysis. Naast het gebruik van mixerdiensten bleek dat er een aantal transacties gelinkt was aan Darknet Markets. Daarmee is sprake van een aantal witwastypologieën. Niet alleen staan de transacties niet in verhouding tot de inkomsten van verdachte, maar er is ook geen legale economische verklaring voor de gewisselde valutasoorten, er zijn grote geldbedragen contant opgenomen en zonder noodzaak voorhanden gehouden en er is gebruik gemaakt van bitcoinmixers.

Ook een andere verdachte wordt in deze zaak veroordeeld, bijvoorbeeld een 26-jarige vrouw voor schuldwitwassen. Zij heeft ruim 130.000 euro crimineel geld in haar bezit gehad en uitgegeven. De rechtbank oordeelt dat zij had moeten weten dat dit geld een criminele herkomst had.

Enkele veroordelingen voor phishing

jjoerlemans Een reactie plaatsen

Het Hof Amsterdam en de rechtbank Den Haag hebben in november en december enkele verdachten veroordeeld voor grootschalige phishing. Door het Hof Amsterdam is een verdachte veroordeeld (ECLI:NL:GHAMS:2017:4753) voor het versturen van 132.260 phishing e-mails en het hacken van 9 websites. Daarbij werd gebuikt gemaakt van de programma’s  ‘Gre3nox’, welk programma gebruikt wordt om kwetsbaarheden in websites op te sporen en ‘Havij’, welk programma gebruikt wordt om databases van websites te hacken door middel van SQL-injecties.

De verdachte richtte zich in zijn mails op gebruikers van de creditcardmaatschappij ICS, waarbij de inlogpagina van de dienstverlener werd nagemaakt om inloggegevens af te vangen. Gezien de op de laptop en de SD-kaart aangetroffen bestanden met betrekking tot phishingwebsites en de in de internetcache aangetroffen gegevens, vond het Hof het aannemelijk dat deze phishing e-mailberichten van de verdachte afkomstig waren. Opvallend is overigens de vermelding dat de verdachte gebruik maakte van het internet van zijn buurvrouw, waardoor de politie op een dwaalspoor werd gezet.  De verdachte is veroordeeld voor 30 maanden gevangenisstraf, waarvan 15 maanden voorwaardelijk.

Op 22 december 2017 zijn door de Rechtbank Den Haag verschillende verdachte veroordeeld voor computervredebreuk, diefstal en grootschalige oplichting van consumenten door elektronica aan te bieden via namaakwebshops. Op basis van anonieme tips en andere informatie zijn de verdachten op 18 mei 2015 door de politie aangemerkt als mogelijke plegers van dergelijke vormen van internetoplichting.

De verdachten hebben met gephishte gegevens ingelogd op Admarkt- en reguliere Marktplaatsaccounts en daarop andere advertenties geplaatst, die verwezen naar namaakwebshops. Deze namaakwebshops waren afgeleid van webshops van bedrijven zoals BCC, Dixons, Simyo en Topprice. De namaakwebshops waren niet of nauwelijks van de echte webshops te onderscheiden. Soms waren adressen, telefoonnummers, BTW- en KvK-nummers van het reguliere bedrijf overgenomen en altijd bestond er een contactmogelijkheid via e-mail of door middel van een chatfunctionaliteit. De producten werden op professionele wijze gepresenteerd. Consumenten hadden nadat zij via een betrouwbaar ogende advertentie op Marktplaats werden doorgelinkt naar de namaakwebshop, dan ook niet door dat zij op een frauduleuze website waren beland.

De koopprijs van producten werd door consumenten betaald op een door verdachte opgegeven rekeningnummer, meestal via iDEAL of een andere betaaldienstverlener. De bestelde producten werden daarna niet geleverd en verdachte heeft ook nooit de intentie gehad die te leveren. Met twee anderen heeft verdachte zich schuldig gemaakt aan de hack van Scrypt.cc, met grote schade tot gevolg.

Het beroep van de raadsman van de verdachte op het ‘Smartphone-arrest’ van de Hoge Raad (ECLI:NL:HR:2017:588) slaagde in dit geval, omdat zich een ernstige privacy-inmenging heeft voorgedaan door het diepgravende onderzoek waarbij het hele privéleven van de verdachte bloot komt te liggen. Daarvoor is een machtiging van een rechter-commissaris noodzakelijk. De Rechtbank verbindt echter geen sanctie aan het vormverzuim.

Ook met betrekking tot gebezigde bewijsmiddelen is de zeer uitgebreide uitspraak van de Rechtbank Den Haag interessant, vanwege de vermelding van bjzondere opsporingsmiddelen, zoals een internettap, het vorderen van gebruikers- en verkeersgegevens bij Google, betalingen met het uitwisselingskantoor van cryptocurrencies ‘AnyCoin’ en informatie over de online betalingsdienst Skrill (die enige anonimiteit aan gebruikers biedt). De medeverdachten zijn veroordeeld voor het medeplegen van feiten, zoals het verkrijgen van inloggegevens door middel van phishing en het fungeren als katvanger door betaalrekeningen beschikbaar te stellen.

Leidraad sexting

jjoerlemans Een reactie plaatsen

Sinds 1 november 2017 is de leidraad sexting (.pdf) gepubliceerd. De leidraad is noemenswaardig, omdat de politie en het Openbaar Ministerie steeds vaker worden geconfronteerd met sextingzaken. Sexting is eenvoudig gesteld het vervaardigen en verspreiden van seksueel getint materiaal.

Als bij sexting een minderjarige betrokken is, is sprake van het vervaardigen, verspreiden of bezitten van kinderpornografie (art. 240b Sr). Er is echter een grote variatie in de ernst van deze sextingzaken, die onder andere gerelateerd is aan de mate van vrijwilligheid waarmee het beeldmateriaal tot stand is gekomen, de aard van het beeldmateriaal, de wijze en mate van verspreiding en de relatie tussen de betrokkenen. Daardoor valt de gedraging juridisch vaak tevens onder andere strafbaarstellingen. De leidraad maakt inzichtelijk op basis van welke criteria bepaald kan worden wat de mate en wijze van onderzoek en vervolgens de afdoening van deze zaken door politie en OM kan zijn.

In de leidraad staat onder andere dat een strafrechtelijke vervolging niet opportuun is in het geval alles op basis van vrijwilligheid tussen twee minderjarigen gebeurt. Strafrechtelijke vervolging ligt daarentegen meer voor de hand als er sprake is van bedreiging, afpersing, misleiding of intimidatie.  De gedraging kan dan eventueel worden gekwalificeerd als belediging (artikel 266 Sr) of smaad (artikel 261 Sr).

Bij een minderjarige verdachte dienen ook de gevolgen van een vervolging te worden meegewogen bij het nemen van een vervolgingsbeslissing, zoals  een aantekening als zedendelinquent op de justitiële documentatie. Als gevolg daarvan kan een Verklaring Omtrent Gedrag (VOG) in de toekomst worden geweigerd. In minder ernstige gevallen kan ook worden volstaan met de nieuwe HALT interventie ‘Sexting: Respect Online’.

Online drugshandel, witwassen en bitcoins

jjoerlemans Een reactie plaatsen

Posted on 15/12/2017 op Oerlemansblog

Binnen een korte tijd zijn interessante stukken verschenen over online drugshandel en het witwassen met bitcoins. Europol legt in een rapport uitgebreid uit hoe online drugsmarkten eruit zien, hoe deze werken en welke problemen zij tegenkomen bij de opsporing en bestrijding ervan. Daarnaast zijn in november in Nederland enkele interessante uitspraken verschenen. In deze blogpost geef ik een overzicht van deze stukken.

Europol rapport ‘Drugs and the darknet’

Het rapport ‘Drugs and the darknet’ biedt veel informatie en belangrijke inzichten over online drugshandel, dat zich voornamelijk afspeelt via internetmarktplaatsen die via Tor bereikbaar zijn. In het rapport wordt met veel openheid uitgelegd hoe online drugsmarkten werken en welke drugsmarkten actief zijn geweest. Daarbij wordt bijvoorbeeld uitgebreid ingegaan op de drugsmarkt AlphaBay, dat op enig moment naar schatting 28% van gehele omzet op online drugshandel voor zijn rekening nam. Grote operaties waarbij dark markets offline zijn gehaald, hebben volgens Europol disruptie veroorzaakt op de drugsmarkten. Tegelijkertijd is duidelijk dat de drugshandelaren en kopers daarop tegenmaatregelen nemen, zoals het tegengaan van monitoring van online marktplaatsen door het toepassen van versleuteling en het vereiste van verschillende sleutels in te voeren voor het autoriseren van bitcointransacties. Europol verwacht dat de online drugsmarkten voorlopig blijven groeien door de anonimiteit die het Tor netwerk biedt, de mogelijkheden om versleuteld te communiceren, de mogelijkheden om te betalen in cryptocurrencies zoals Bitcoin (en in toenemende mate Monero en ZCash). In het rapport wordt opgemerkt dat de politiedienst een goed beeld heeft van de Westerse drugsmarkten, maar vooralsnog (te) weinig zich heeft op online drugsmarkten met een niet-Engelse voertaal, zoals Russisch.

Duitsland, Nederland en het Verenigd Koninkrijk hebben het grootste aandeel met betrekking tot het aanbod van drugs binnen de Europese Unie via de darknet markets. Nederlandse verkopers staan bekend om hun aanbod van MDMA, dat vaak van goede kwaliteit is. Europol geeft aan dat de dataretentie-zaak van het Hof van Justitie van de Europese Unie grote problemen veroorzaakt in cybercrime-onderzoeken naar online drugshandel, omdat de gegevens bij internet access providers niet verplicht beschikbaar worden gemaakt voor opsporingsinstanties. Ook levert de toepassing van ‘carrier-grade NAT’ technologie bij mobiele internet dienstverleners grote problemen op, omdat sommige aanbieders hun eigen klanten en netwerkverkeer van die klanten op hun netwerk niet meer kunnen identificeren door de gebruikte poorten niet te loggen en aangezochte IP-adressen niet vast te leggen. Carrier-grade NAT is een technologie waarbij verschillende internetgebruikers gebruik kunnen maken van hetzelfde IP-adres. De techniek wordt door 95% van de mobiele telecomaanbieders gebruikt en bijna 50% van de internet service providers wereldwijd. De toename in het gebruik van encryptie (bijvoorbeeld door het gebruik van het PGP-sleutels) en het gebruik van anonimiseringsdiensten voor bitcoins (met zogenaamde ‘bitcoin-mixing diensten’ of ‘tumblers’) daagt ook de opsporing uit.

In het rapport wordt tevens (wederom) aangegeven dat de jurisdictieproblemen in opsporingsonderzoeken naar cybercrime groot zijn. De problemen doen zich voor vanwege verschillende strafbaarstellingen, verschillende voorwaarden voor de inzet van bevoegdheden, problemen met betrekking tot de lokalisering van computers op het darkweb en een gebrek aan eenduidigheid over het uitvoeren van digitaal forensisch onderzoek. Het ‘European Investigation Order’, dat een nieuw instrument biedt voor een meer directe vorm van rechtshulp binnen de EU, biedt volgens Europol onvoldoende mogelijkheden om effectief bewijs over de grenzen te verzamelen. Vanwege de vereiste specialistische kennis die is vereist en grensoverschrijdende aard van de criminaliteit heeft Europol een speciaal ‘darknet team’ opgericht. Zij raadt aan dat andere Lidstaten ook dergelijke teams oprichten. In het rapport wordt ten slotte opgemerkt dat de Europese Commissie in het begin 2018 een voorstel zal doen voor een ‘nieuw juridisch instrument’ om elektronisch bewijs te vergaren.

Veroordelingen voor online drugshandel en witwassen

De rechtbank Rotterdam heeft op 8 november 2017 (ECLI:NL:RBROT:2017:8988 en ECLI:NL:RBROT:2017:8989) verschillende verdachten veroordeeld voor het witwassen met bitcoins die afkomstig zijn uit drugshandel via het darkweb. In de uitspraken wordt uitgebreid besproken over de manier waarop de bitcoins zijn witgewassen. De verdachten waren in deze zaak bitcoinhandelaren die bitcoins inwisselen tegen contant geld, zodat de anonimiteit van klanten gewaarborgd bleef. Met deze omzetting is de criminele herkomst van de bitcoins verhuld. De verdachte heeft de beschikking gehad over diverse bitcoinwallets (een soort digitale portemonnees). In die wallets zijn bitcoins gestort vanuit onder meer ‘MiddleEarthMarketplace’, ‘AgoraMarket’ en ‘NucleusMarket’, allen (illegale) marktplaatsen op het dark web. In een andere uitspraak van de rechtbank Rotterdam op dezelfde dag (ECLI:NL:RBROT:2017:8989), wordt daarbij opgemerkt dat het een relevante factor voor het aanmerken van witwassen is dat de verdachte ervoor heeft gekozen om de bitcoins om te wisselen voor contanten bij een bitcoinhandelaar die zijn klanten anonimiteit garandeert en hiervoor een veel hogere commissie vraagt (5-7%) dan bij de reguliere wisselkantoren. Dit zou duiden op wetenschap van de criminele herkomst van de bitcoins bij de verdachte.

De rechtbank Midden-Nederland heeft op 17 november 2017 (ECLI:NL:RBMNE:2017:5217 en ECLI:NL:RBMNE:2017:5219) tevens twee verdachten flinke straffen (tot zes jaar gevangenisstraf) opgelegd voor de drugshandel via het dark web van tientallen kilo’s harddrugs (met name MDMA). Zij verstopten daarbij de drugs in pindakaaspotten en wenskaarten en verstuurden dit per post naar klanten over de hele wereld. Een van de verdachte is ook veroordeeld voor het witwassen van bitcoins. Interessant is hoe in de uitspraak wordt uitgelegd hoe de opsporing in zijn werking ging. Het benodigde is bewijs is onder andere vergaard op basis van de reviews en gevoerde alias (nickname) van de verdachte op een online drugsmarket dat alleen via het Tor-systeem toegankelijk is. Ook de ‘selfies’ op de iPhone van de verdachte met drugspakketjes en de unieke PGP-sleutel waarmee de verdachte versleuteld communiceerde heeft, hebben een belangrijke rol in de bewijsvoering gespeeld. Ten slotte bleek uit de ‘error reports’ op de laptop van de verdachte dat hij heeft ingelogd op de darkmarkts en succesvol drugs heeft verkocht en werden etiketten met het afleveradres op de laptop gevonden.

Een andere verdachte is tevens door de Rechtbank Midden-Nederland op 17 november 2017 veroordeeld (ECLI:NL:RBMNE:2017:5716) voor het witwassen van bitcoins. Deze verdachte kocht 20.000 bitcoins in met destijds een waarde van 5 miljoen euro, waarvan bleek dat een groot deel daarvan door derden op het darknet is verdiend. In de uitspraak wordt zeer gedetailleerd ingegaan op het gebruik van een zogenaamde ‘bitcoin mixer’, waarbij bitcoins bij elkaar worden gebracht en opnieuw aan de klanten van de diensten worden verstrekt waardoor de bitcoins anoniemer zijn. De verdachte maakte in deze casus gebruik van de Bitcoin mixingdienst ‘Bitcoin fog’. Uit de verklaringen blijkt dat de bitcoins daarna zijn omgezet in contanten via handelaren die adverteerde op de website localbitcoins.net en een ander via het wisselkantoor Bitconic. Deze handelingen worden de rechtbank gezien als een verhullingshandeling, zoals vereist is voor witwassen. De rechtbank is na een analyse door een deskundige overtuigd dat alle bitcoins die van darknet markets afkomstig zijn, een criminele herkomst hebben. Ten behoeve van de bewijsvoering wijst de rechtbank ook op een vermenging van een grote hoeveelheid uit darknet market afkomstige bitcoins met een bitcoins met een mogelijk wel legale herkomst. Het gehele verzilverde bedrag aan bitcoins wordt om deze reden als van misdrijf afkomstig aangemerkt. De verdachte moet dan wel wetenschap hebben of redelijkerwijs vermoeden dat de uit de bitcoinhandel afkomstige geldbedragen die op zijn rekening werden verzilverd van enig misdrijf afkomstig waren. De rechtbank is van mening dat dit het geval was voor een bedrag van € 1.651.044,96. In de uitspraak wordt tot slot opgemerkt dat ‘beslag is gelegd op de saldo van de bitcoinadressen’ in de drie bitcoinportemonnees op laptops van de verdachten. Daarbij werden bitcoins overgemaakt naar het bitcoinadres van het Openbaar Ministerie.

Veroordeling grootschalige kinderporno

jjoerlemans Een reactie plaatsen

Op 29 november 2017 heeft de rechtbank Overijssel een verdachte veroordeeld (ECLI:NL:RBOVE:2017:4443) voor ontucht en het maken en het wereldwijd verspreiden van kinderporno. De 34-jarige man krijgt een gevangenisstraf van 5 jaar en de maatregel van terbeschikkingstelling met dwangverpleging opgelegd. Hij heeft zich ‘vele malen’ schuldig gemaakt aan het aan ernstig seksueel misbruik van twee minderjarige meisjes.

Het onderzoek is gestart na ontvangst van informatie uit Nieuw-Zeeland dat de verdachte zich ophield op een kinderporno forum op het darkweb. In het daaropvolgende onderzoek is een kind geïdentificeerd op foto’s die door de verdachte aan de chats waren toegevoegd. Gedurende het strafrechtelijk onderzoek is de TOR-site van verdachte benaderd en is een grote hoeveelheid (113.483) kinderpornografische afbeeldingen (113.425 foto’s en 58 video’s) door de verdachte gedownload. Bij de strafoplegging weegt de rechtbank de zeer professionele wijze mee ‘waarop verdachte zich begaf op het internet en in de digitale wereld en de rol die hij, onder meer door op te treden als zgn. moderator, in de organisatiestructuur op het darknet heeft uitgeoefend’.

Uit het onderzoek van die gegevensdragers is gebleken dat in totaal ruim 1 miljoen afbeeldingen aanwezig waren, waarvan een percentage van circa 30% als kinderpornografisch materiaal is beoordeeld. Uit de gevoerde chatberichten kon tevens worden afgeleid dat verdachte zich schuldig zou hebben gemaakt aan feitelijk (hands-on) seksueel misbruik van tenminste twee jonge kinderen.

Opvallend is ten slotte de overweging omtrent de teruggave van de inbeslaggenomen computers door de rechtbank: ‘de rechtbank is van oordeel dat de op de beslaglijst vermelde voorwerpen alle vatbaar zijn voor onttrekking aan het verkeer’. De rechtbank overweegt in dit verband dat ‘ook ten aanzien van de gegevensdragers en computers waarop tot nu toe geen kinderpornografisch materiaal is aangetroffen, niet valt uit te sluiten dat dergelijk materiaal via (onder meer) versleuteling tot nu toe niet zichtbaar gemaakt kon worden door de politie, maar daarop/daarin (nog) wel degelijk aanwezig is’.

Daarbij neemt de rechtbank in aanmerking dat gedurende het onderzoek herhaaldelijk is gebleken dat verdachte beschikt over een ‘fenomenaal vermogen om digitale informatie aan het (toe)zicht van de autoriteiten onttrokken te houden’.

Veroordelingen voor online drugshandel en witwassen

jjoerlemans Een reactie plaatsen

De rechtbank Rotterdam heeft op 8 november 2017 (ECLI:NL:RBROT:2017:8988 en ECLI:NL:RBROT:2017:8989) verschillende verdachten veroordeeld voor het witwassen met bitcoins die afkomstig zijn uit drugshandel via het darkweb. In de uitspraken wordt uitgebreid besproken over de manier waarop de bitcoins zijn witgewassen.

De verdachten waren in deze zaak bitcoinhandelaren die bitcoins inwisselen tegen contant geld, zodat de anonimiteit van klanten gewaarborgd bleef. Met deze omzetting is de criminele herkomst van de bitcoins verhuld. De verdachte heeft de beschikking gehad over diverse bitcoinwallets (een soort digitale portemonnees). In die wallets zijn bitcoins gestort vanuit onder meer ‘MiddleEarthMarketplace’, ‘AgoraMarket’ en ‘NucleusMarket’, allen (illegale) marktplaatsen op het dark web.

In een andere uitspraak van de rechtbank Rotterdam op dezelfde dag (ECLI:NL:RBROT:2017:8989), wordt daarbij opgemerkt dat het een relevante factor voor het aanmerken van witwassen is dat de verdachte ervoor heeft gekozen om de bitcoins om te wisselen voor contanten bij een bitcoinhandelaar die zijn klanten anonimiteit garandeert en hiervoor een veel hogere commissie vraagt (5-7%) dan bij de reguliere wisselkantoren. Dit zou duiden op wetenschap van de criminele herkomst van de bitcoins bij de verdachte.

De rechtbank Midden-Nederland heeft op 17 november 2017 (ECLI:NL:RBMNE:2017:5717 en ECLI:NL:RBMNE:2017:5719) tevens twee verdachten flinke straffen (tot zes jaar gevangenisstraf) opgelegd voor de drugshandel via het dark web van tientallen kilo’s harddrugs (met name MDMA).  Zij verstopten daarbij de drugs in pindakaaspotten en wenskaarten en verstuurden dit per post naar klanten over de hele wereld. Een van de verdachte is ook veroordeeld voor het witwassen van bitcoins.

Interessant is hoe in de uitspraak wordt uitgelegd hoe de opsporing in zijn werking ging. Het benodigde is bewijs is onder andere vergaard op basis van de reviews en gevoerde alias (nickname) van de verdachte op een online drugsmarket dat alleen via het Tor-systeem toegankelijk is. Ook de ‘selfies’ op de iPhone van de verdachte met drugspakketjes en de unieke PGP-sleutel waarmee de verdachte versleuteld communiceerde heeft, hebben een belangrijke rol in de bewijsvoering gespeeld. Ten slotte bleek uit de ‘error reports’ op de laptop van de verdachte dat hij heeft ingelogd op de darkmarkts en succesvol drugs heeft verkocht en werden etiketten met het afleveradres op de laptop gevonden.

Een andere verdachte is tevens door de Rechtbank Midden-Nederland op 17 november 2017 veroordeeld (ECLI:NL:RBMNE:2017:5716) voor het witwassen van bitcoins. Deze verdachte kocht 20.000 bitcoins in met destijds een waarde van 5 miljoen euro, waarvan bleek dat een groot deel daarvan door derden op het darknet is verdiend. In de uitspraak wordt zeer gedetailleerd ingegaan op het gebruik van een zogenaamde ‘bitcoin mixer’, waarbij bitcoins bij elkaar worden gebracht en opnieuw aan de klanten van de diensten worden verstrekt waardoor de bitcoins anoniemer zijn.

De verdachte maakte in deze casus gebruik van de Bitcoin mixingdienst ‘Bitcoin fog’. Uit de verklaringen blijkt dat de bitcoins daarna zijn omgezet in contanten via handelaren die adverteerde op de website localbitcoins.net en een ander via het wisselkantoor Bitonic. Deze handelingen worden de rechtbank gezien als een verhullingshandeling, zoals vereist is voor witwassen. De rechtbank is na een analyse door een deskundige overtuigd dat alle bitcoins die van darknet markets afkomstig zijn, een criminele herkomst hebben. Ten behoeve van de bewijsvoering wijst de rechtbank ook op een vermenging van een grote hoeveelheid uit darknet market afkomstige bitcoins met een bitcoins met een mogelijk wel legale herkomst. Het gehele verzilverde bedrag aan bitcoins wordt om deze reden als van misdrijf afkomstig aangemerkt. De verdachte moet dan wel wetenschap hebben of redelijkerwijs vermoeden dat de uit de bitcoinhandel afkomstige geldbedragen die op zijn rekening werden verzilverd van enig misdrijf afkomstig waren.

Inzet wietdrones

jjoerlemans Een reactie plaatsen

Op 14 november 2017 heeft staatssecretaris een brief naar de Tweede Kamer gestuurd over de inzet van ‘wietdrones’. De staatssecretaris verwijst naar een handleiding over privacy en het gebruik van drones. Daar in staat dat drones mogen worden ingezet op een bepaald terrein dat eigendom van die burger of dat bedrijf is, waar regelmatig diefstal plaatsvindt of zaken worden vernield, voor zover dat dat noodzakelijk en subsidiair is.

Verder zal dit ook kenbaar moeten worden gemaakt, zoals met bordjes. De staatssecretaris merkt op dat de controle van maisvelden met behulp van drones op aanwezigheid van wietplantages moet in een andere context moet worden gezien.

De kans dat de inzet van drones in dat geval tot het verwerken van persoonsgegevens leidt, is vrijwel nihil. Van belang is wel dat de drones zo worden ingezet dat zij zo min mogelijk beelden van wegen en paden om en door deze velden maken, omdat anders de kans toeneemt dat ook beelden van mensen worden gemaakt.

Verder geeft de bewindsman mee dat ‘overwogen kan worden’ een camera te gebruiken die beelden van gezichten kan ‘blurren’. Een en ander betekent dat er aanmerkelijk meer ruimte voor de inzet van drones voor controle van maisvelden, aldus staatssecretaris Dekker.

Europol rapport ‘Drugs and the darknet’

jjoerlemans Een reactie plaatsen

Europol heeft in november 2017 het rapport ‘Drugs and the darknet’ uitgebracht. Het rapport biedt veel informatie en belangrijke inzichten in online drugshandel, dat zich voornamelijk afspeelt via internetmarktplaatsen die via Tor bereikbaar zijn.

Hierbij moet meteen worden opgemerkt dat het aandeel van online drugshandel in de totale omvang van drugshandel wereldwijd vooralsnog klein is. Wel stelt Europol dat het de verwachting is dat online drugshandel een verdere groei zal doormaken. Dat kan worden verklaard door de manier waarop het darkweb deze vorm van criminaliteit faciliteert, met name door de anonimiteit die het Tor netwerk biedt, de mogelijkheden om versleuteld te communiceren, de mogelijkheden om te betalen in cryptocurrencies zoals Bitcoin (en in toenemende mate Monero en ZCash).

In het rapport wordt met veel openheid uitgelegd hoe online drugsmarkten werken en welke drugsmarkten actief zijn geweest. Daarbij wordt bijvoorbeeld uitgebreid ingegaan op de drugsmarkt AlphaBay, dat op enig moment naar schatting 28% van gehele omzet op online drugshandel voor zijn rekening nam. Grote operaties waarbij darknet markets offline zijn gehaald, hebben volgens Europol de drugsmarkten verstoord. Tegelijkertijd is duidelijk dat de drugshandelaren en kopers tegenmaatregelen nemen, zoals het aanbrengen van versleuteling op de marktplaatsen en het vereiste verschillende sleutels in te voeren voor het autoriseren van bitcointransacties. In het rapport wordt opgemerkt dat de politiedienst een goed beeld heeft van de Westerse drugsmarkten, maar vooralsnog (te) weinig zich heeft op online drugsmarkten met een niet-Engelse voertaal, zoals Russisch.

Duitsland, Nederland en het Verenigd Koninkrijk hebben het grootste aandeel met betrekking tot het aanbod van drugs binnen de Europese Unie via darknet markets. Nederlandse verkopers zijn bekend om hun aanbod van MDMA, dat vaak van goede kwaliteit is.

Europol geeft aan dat het dataretentie-arrest van het Hof van Justitie van de Europese Unie grote problemen veroorzaakt in cybercrime onderzoeken naar online drugshandel, omdat de gegevens bij internet access providers niet verplicht beschikbaar worden gemaakt voor opsporingsinstanties. Ook levert de toepassing van ‘carrier-grade NAT’ technologie bij mobiele internet dienstverleners grote problemen op, omdat sommige aanbieders hun eigen klanten op hun netwerk niet meer kunnen identificeren door de gebruikte poorten niet te loggen en aangezochte IP-adressen niet vast te leggen. Carrier-grade NAT is een technologie waarbij verschillende internetgebruikers gebruik kunnen maken van hetzelfde IP-adres. De techniek wordt gebruikt door 95% van de mobiele telecomaanbieders en bijna 50% van de internet service providers wereldwijd.

De toename in het gebruik van encryptie (bijvoorbeeld door het gebruik van het PGP-sleutels) en het gebruik van anonimiseringsdiensten voor bitcoins (met zogenaamde ‘bitcoin-mixing diensten’ of ‘tumblers’) daagt ook de opsporing uit. In het rapport wordt tevens (wederom) aangegeven dat de jurisdictieproblemen in opsporingsonderzoeken naar cybercrime groot zijn. De problemen doen zich voor vanwege verschillende strafbaarstellingen, verschillende voorwaarden voor de inzet van bevoegdheden, problemen met betrekking tot de lokalisering van computers op het darkweb en een gebrek aan eenduidigheid over het uitvoeren van digitaal forensisch onderzoek.

Het ‘European Investigation Order’, dat een nieuw instrument biedt voor een meer directe vorm van rechtshulp binnen de EU, biedt volgens Europol onvoldoende mogelijkheden om effectief bewijs over de grenzen te verzamelen. Vanwege de vereiste specialistische kennis die is vereist en grensoverschrijdende aard van de criminaliteit heeft Europol een speciaal ‘darknet team’ opgericht. Zij raadt aan dat andere Lidstaten ook dergelijke teams oprichten.

In het rapport wordt ten slotte opgemerkt dat de Europese Commissie in het begin 2018 een voorstel zal doen voor een ‘nieuw juridisch instrument’ om elektronisch bewijs te vergaren