On 11 June 2025, Europol published its new Internet Organised Crime Threat Assessment report, titled ‘Steal, deal, and repeat’ (.pdf).
A central theme of the report is the pervasive threat of data theft. For example, ‘access credentials’ (login details) to personal accounts are highly valuable because they provide direct access to mailboxes, social media accounts, online shops, financial services, and even information systems used by public administrations. The data can be used to compromise the wider network (called ‘lateral movement’ in computer systems), malware distribution, identity theft, impersonation of victims, and the dissemination of malicious content appearing to originate from trusted sources.
Data as a means to commit cybercrime
Criminals involved in online fraud schemes leverage personal information to profile targets, increasing their chances of success or gaining unauthorized access to accounts. This includes details such as age, interests, location, email addresses, dates of birth, phone numbers, and credit card data. This information allows criminals to craft more convincing and manipulative fraud narratives.
Similarly, child sex exploitation perpetrators collect personal information to tailor their communication with the victims and use it as leverage for sexual and financial extortion. This can encompass victims’ interests, personal connections, home and school addresses, and details about family and friends. The collection of such data also facilitates “doxxing”—the public exposure and shaming of victims by publishing private information online—which can lead to further victimization, cyberbullying, and the re-victimization of children.
Criminals also use stolen personal data to create fake identities for purposes such as applying for subsidies, loans, or credit cards, and committing other financial frauds. Business Email Compromise (BEC) attacks, where criminals impersonate company executives or employees, are also prevalent, tricking others into transferring funds or revealing sensitive information.
Data as a commodity
Information is stolen and converted into a commodity to be further exploited by other criminal actors in their operations. It is then marketed on various criminal platforms, including specialised marketplaces, underground forums, and dedicated channels within end-to-end encrypted (E2EE) communication apps.
Europol identifies several common commodities:
Unanalysed infostealer logs and breached data dumps (leaked or stolen data), which may contain personal data, user credentials for various services, browser artefacts and other sensitive information;
Unanalysed or verified credit card dumps (usually gathered by digital skimming), as well as the bulk sale of verified card details;
Initial access offers, ranging from credentials for remote services and accounts (e.g. RDP, VPN, firewalls, network devices and cloud environments) to established backdoor access to corporate systems and networks;
Account login credentials for various web services, including email and social media accounts, online shopping environments and adult content sites;
Criminal services, including subscriptions to phishing-kits, infostealers, exploit kits, droppers, spoofing services and malicious Large Language Models (LLMs);
Anti-detection solutions, such as VPNs, bulletproof hosting (BPH), residential proxies, money laundering services, operational security (OpSec) manuals, etc
Manuals, guidelines, and tutorials—including individual coaching sessions focused on OpSec and online fraud schemes—are widely available at low cost, often bundled with other products or services.
Infostealers are used to steal login credentials and collect application tokens and session cookies, enabling access to websites and applications as an authenticated user. They also gather information about the user’s device, operating system, settings, and browser data, allowing criminals to mimic a legitimate user’s digital fingerprint. This enables them to bypass some security features during account takeovers by configuring virtual machines to resemble genuine users.
Example: Take down of ‘Lumma’
As part of “Operation Endgame,” Europol partnered with Microsoft in 2025 to dismantle the infrastructure behind ‘Lumma’. Lumma enabled cybercriminals to collect sensitive data from compromised devices on a massive scale, harvesting stolen credentials, financial data, and personal information for sale through a dedicated marketplace. Its widespread use made it a central tool for identity theft and fraud globally.
On 16 March 2025, Microsoft identified over 394.000 Windows computers globally infected by the Lumma malware. More than 1300 domains seized by or transferred to Microsoft, including 300 domains actioned by law enforcement with the support of Europol, will be redirected to Microsoft sinkholes.
It had the following functionalities according the (more) technical report:
Browser credentials and cookies: Lumma Stealer extracts saved passwords, session cookies, and autofill data from Chromium (including Edge), Mozilla, and Gecko-based browsers.
Cryptocurrency wallets and extensions: Lumma Stealer actively searches for wallet files, browser extensions, and local keys associated with wallets like MetaMask, Electrum, and Exodus.
Various applications: Lumma Stealer targets data from various virtual private networks (VPNs) (.ovpn), email clients, FTP clients, and Telegram applications.
User documents: Lumma Stealer harvests files found on the user profiles and other common directories, especially those with .pdf, .docx, or .rtf extensions.
System metadata: Lumma Stealer collects host telemetry such as CPU information, OS version, system locale, and installed applications for tailoring future exploits or profiling victims.
Lumma Stealer used a robust C2 infrastructure, using a combination of hardcoded tier 1 C2s that are regularly updated and reordered, and fallback C2s hosted as Steam profiles and Telegram channels that also point to the tier 1 C2s. The Telegram C2, if available, is always checked first, while the Steam C2 is checked only when all the hardcoded C2s are not active. To further hide the real C2 servers, all the C2 servers are hidden behind the Cloudflare proxy
Techniques to acquire personal data
The “ClickFix” technique is gaining popularity among cybercriminals. Users encounter fake error or CAPTCHA messages while browsing, tricking them into copying and running malicious content on their devices. These pop-ups prompt users to click buttons labelled ‘Fix It’ or ‘I am not a robot,’ which then either copies a malicious PowerShell script or provides instructions for manual malware execution.
Vishing—the use of fraudulent phone calls—is facilitated by spoofing services, allowing criminals to impersonate trusted entities and increase the effectiveness of social engineering attacks. This technique is frequently used for fraud and gaining initial system access. Increasingly, vishers persuade victims to download malicious payloads, enter credentials on phishing websites, or install Remote Access Tools (RATs) or Remote Monitoring and Management (RMM) tools. Fraudsters impersonating IT solution providers are using this approach to gain access to bank accounts. Initial Access Brokers (IABs) and ransomware operators are also adopting vishing tactics to obtain VPN and user account credentials.
Use of LLM’s and generative AI
LLM’s and genAI can improve phishing techniques. enhance phishing techniques by enabling the creation of highly targeted messages incorporating local language and cultural nuances, significantly increasing click-through rates. CSE perpetrators use LLMs to personalize communications, making them more convincing and facilitating impersonation for information gathering. This makes it harder for victims to recognize manipulation. The automation provided by LLMs allows offenders to scale their grooming operations, targeting multiple victims in various languages simultaneously.
Criminals are also using voice deepfakes to enhance the credibility of spear-phishing campaigns used in BEC and CEO fraud. Generative AI can be exploited to create fake social media profiles for social engineering purposes.
As discussed above, genAI can also be exploited to generate fake social media profiles using a range of social engineering applications. For further information, refer to this Europol podcast featuring a shocking example of AI use in an online child sexual abuse case involving “Kidflix”, which contained approximately 72.000 videos and nearly two million users.
Who are they?
employ the methods previously mentioned, alongside more sophisticated techniques that enable them to compromise valuable targets. These include digital service providers (through supply-chain attacks), international corporations, and government entities; this can involve identifying and creating zero-day exploits, as well as conducting complex, targeted social engineering operations. Such actors typically do not publicise their capabilities but instead monetise their exploits by collaborating directly with cybercrime groups (for example, ransomware groups) or other hybrid threat actors. This means that valuable assets – such as zero-day exploits and access to high-value targets like large international corporations, IT supply chains, and critical infrastructure – are traded privately, often in exchange for a percentage of the buyer’s earnings.
The criminal actors who target financial data and payment system access are the primary customers of services offering phishing kits and digital skimmers. The URLs of these fraudulent webpages are disseminated through phishing campaigns and web-skimmers inserted into misconfigured or unpatched websites – techniques similar to those used by data and access brokers. Stolen account information or payment card details are frequently sold via dedicated online platforms specialising in these commodities.
The final category of actors includes child sexual exploitation and certain fraud perpetrators (such as those involved in romance scams), who do not seek to commodify the personal data they gather from their victims but instead exploit it as an integral part of their criminal processes. Rather than trading data, they use it directly to access accounts or coerce their victims. However, not all CSE offenders operate alone; doxxing channels on end-to-end encrypted (E2EE) applications have been identified, demonstrating a collaborative effort to amplify their coercive power. Within these environments, criminal actors cooperate by sharing personal data gathered on targets, intensifying the pressure imposed on victims subjected to multiple, simultaneous extortion attempts.
Market places and information brokers
Marketplaces and information brokers operate as platforms for selling stolen identities, access credentials, web shells, and financial information. Access credentials, for example, may be sold in bulk without verification of their validity or value. As an example, check out this report by TrendMicro about Russian Market.
alidated credentials and listings from IABs – advertising the systems they have compromised – are typically accompanied by details of the affected entities and sometimes auctioned to the highest bidder. Prices vary considerably depending on factors such as the compromised entity’s sector, size, revenue, geographical location, access type, level, persistence, and exclusivity. High-revenue companies in Europe and North America are particularly sought after.
Forums dedicated to breached data – such as BreachForums (article by Bleepingcomputer) – serve as advertising spaces, while negotiations and transactions increasingly take place on dedicated channels within commercial end-to-end encrypted (E2EE) communication platforms. These listings not only advertise available commodities but also help build the seller’s reputation within the ecosystem; compromising more prominent and valuable targets enhances standing in the community. Consequently, many data brokers tend to exaggerate the classification or value of their assets, which may in reality be fake or based on outdated leaks, used to attract attention.
Example: ‘Cracked’ and ‘Nulled’
On January 2025, the cybercrime forums ‘Cracked.io’ and ‘Nulled.to’ were taken down. German authorities led the operation, plus law enforcement from eight other countries, and they were supported by Europol.
The two platforms, Cracked and Nulled, had more than 10 million users in total. They were key marketplaces for stolen data, including personal data, and cybercrime tools and infrastructure, which were offered as-a-service to individuals with more limited technical skills to carry out cyber-attacks. The two forums also offered AI-based tools and scripts that could automatically scan for security vulnerabilities and optimise attacks.
Cracked.io had over four million users and listed more than 28 million posts advertising cybercrime tools and stolen information, generating approximately USD 4 million in revenue. One product advertised on Cracked offered users access to ‘billions of leaked websites’, allowing them to search for stolen login credentials.
Other associated services were also taken down; including a financial processor named Sellix which was used by Cracked, and a hosting service called StarkRDP, which was promoted on both of the platforms and run by the same suspects.
Bron: Afbeelding is AI gegenereerd door WordPress met de (automatische) prompt: “Create a highly detailed and sharp-focused image for a blog post on the role of Dutch authorities in the SkyECC operation, emphasizing the themes of cybercrime and judicial proceedings. The image should feature a digital courtroom setting with a silhouette of a judge, legal documents scattered on a modern desk, and high-tech surveillance elements in the background. Illuminate the scene with soft, dramatic lighting to enhance the seriousness of the subject, reflecting a blend of technology and law. Ensure the image is in high resolution to capture intricate details, making it suitable for a featured blog post.”
Deze blog is ook te beluisteren als podcast (gegenereerd met Notebook LM van Google, voor het eerst in het Nederlands, best wel goed!):
Rol Nederlandse autoriteiten in de SkyECC-operatie
De rechtbank Noord-Holland heeft op 4 april 2025 een uitspraak (ECLI:NL:RBNHO:2025:4038) gepubliceerd naar aanleiding van een regiezitting over het horen van getuigen en de verstrekking van stukken in het kader van SkyECC. In dit bericht worden kort de overwegingen ten aanzien van nieuwe informatie over de rol van Nederlandse opsporingsautoriteiten met betrekking tot de SkyECC-operatie genoemd, in verband met het interstatelijk vertrouwensbeginsel.
Onjuist voorgelicht over de SkyECC-hack?
De raadsman heeft in essentie aangevoerd dat het openbaar ministerie de rechtbanken, hoven en Hoge Raad de afgelopen jaren onjuist heeft voorgelicht over de aanloop naar de SkyECC-hack. Het openbaar ministerie zou de rol van Amerika en Canada bij het voorbereidende onderzoek bewust niet hebben vermeld. Voorts heeft de raadsman aangevoerd dat Nederland de interceptietool, de ontsleutelmethode en het uitleesprogramma (ChatX) heeft ontwikkeld, de plaatsing daarvan heeft geïnitieerd en Nederlandse opsporingsambtenaren de inbeslagname van de twee servers hebben verricht en gefaciliteerd. Ook zou Nederland een leidende rol hebben gehad bij de hack, waardoor niet langer kan worden volgehouden dat er slechts sprake was van technische bijstand aan Frankrijk. Er lijkt ook sprake te zijn van onregelmatigheden nu bijvoorbeeld een EOB niet is ondertekend. Dit alles brengt mee dat het vertrouwensbeginsel doorbroken moet worden en dat de rechtmatigheid van het onderzoek naar en de hack van SkyECC in volle omvang getoetst kan worden door de verdediging, aldus de raadsman.
Oordeel rechtbank
De rechtbank overweegt het volgende. Uit het arrest van de Hoge Raad van 13 juni 2023 (ECLI:NL:HR:2023:913) volgt dat het niet tot de taak van de Nederlandse strafrechter behoort om te toetsen of de wijze waarop het onderzoek onder verantwoordelijkheid van buitenlandse autoriteiten is uitgevoerd, strookt met de rechtsregels die gelden in het betreffende land voor het uitvoeren van dat onderzoek. De beslissingen van de buitenlandse autoriteiten die aan het verrichte onderzoek ten grondslag liggen, worden gerespecteerd en er wordt uitgegaan van rechtmatige uitvoering. Dit is uitsluitend anders als in het betreffende land onherroepelijk vaststaat dat het onderzoek niet in overeenstemming met de daarvoor geldende rechtsregels is verricht.
De situatie kan zich voordoen dat buiten Nederland onderzoekshandelingen worden verricht onder verantwoordelijkheid van Nederlandse autoriteiten. Op grond van artikel 539a lid 1 Sv kunnen Nederlandse opsporingsambtenaren de hun bij de Nederlandse wet toegekende opsporingsbevoegdheden ook in het buitenland uitoefenen. In die situatie is artikel 359a Sv van toepassing op vormverzuimen die zich eventueel voordoen met betrekking tot de toepassing van de bevoegdheden die hen op grond van het Nederlandse recht toekomen. De verantwoordelijkheid voor de uitvoering ligt bij de Nederlandse autoriteiten (i) als onder gezag van de (Nederlandse) officier van justitie in het buitenland, overeenkomstig artikel 539a Sv, door Nederlandse opsporingsambtenaren toepassing wordt gegeven aan de hun bij de Nederlandse wet toegekende opsporingsbevoegdheden, of (ii) als er een zo nauwe samenwerking bestaat tussen Nederlandse en buitenlandse autoriteiten bij de opsporing, dat het gezag daarover feitelijk volledig of in overwegende mate toekomt aan de (Nederlandse) officier van justitie.
Het merendeel van het betoog van de raadsman komt erop neer dat de Nederlandse politie een zo grote rol heeft gespeeld bij de hack van SkyECC en de daaruit volgende gegevensverzameling, dat sprake is van een situatie waarin de verantwoordelijkheid voor de uitvoering van het onderzoek in Frankrijk (mede) bij de Nederlandse autoriteiten is komen te liggen. Om die reden zou getoetst moeten kunnen worden of zich bij dat onderzoek vormverzuimen hebben voorgedaan. De raadsman heeft ter onderbouwing aangevoerd dat de Nederlandse politie dan wel (andere) Nederlandse IT-specialisten de interceptietool, de ontsleutelmethode en het uitleesprogramma (ChatX) hebben ontwikkeld en betrokken zijn geweest bij de inbeslagname van de servers. Dit betreft echter geen situaties zoals genoemd onder (i) en (ii). De rechtbank ziet hierin dan ook geen grond om de onderzoekswensen, die betrekking hebben op de aanloop naar en de uitvoering van het onderzoek in Frankrijk naar SkyECC, toe te wijzen. Hetgeen is aangevoerd over mogelijke (undercover)operaties door de Verenigde Staten en Canada naar bij het bedrijf SkyECC betrokken personen, maakt dit niet anders, nu het verband tussen dergelijke operaties en de verwerving van de data van SkyECC uit Frankrijk niet duidelijk is geworden.
Bewijsmiddelen en Exclu-berichten
Deze uitspraak (ECLI:NL:RBOBR:2025:1621) van de rechtbank Oost-Brabant is interessant in verband met de gedetailleerde bewijsoverwegingen ten aanzien van Exclu-berichten en andere bewijsbronnen.
Een Exclu-account was gekoppeld aan een zogenaamd CSN-nummer bestaande uit vijf cijfers. Aan dit CSN-nummer was bovendien een bijnaam gekoppeld. Binnen onderzoek 26Lytham konden, met toestemming van de rechter-commissaris, chatgesprekken tussen gebruikers van Exclu worden meegelezen wanneer deze woorden bevatten die voorkwamen op vooraf vastgestelde woordenlijsten. Vervolgens werd geprobeerd de gebruiker van het CSN-nummer te identificeren.
Op grond van de ontsleutelde Exclu-berichten en de inzet van een aantal bijzondere opsporingsbevoegdheden in onderzoek 26Lytham, zijn personen als mogelijke verdachten geïdentificeerd. Na analyse van de beschikbare Exclu-berichten werd bevestiging gevonden voor het vermoeden dat anderen zich bezig hielden met onder meer de handel in verdovende middelen.
Voor de bewijsvoering komt het in belangrijke mate aan op de inhoud van de ter beschikking gekomen cryptoberichten (Exclu). Volgens de verdediging wordt de lat van het wettelijk vereiste bewijsminimum niet gehaald door enkel gebruik te maken van deze berichten, omdat er geen andere bewijsmiddelen beschikbaar zijn, zoals chats, tapgesprekken of NFI-rapporten, waarmee daadwerkelijk kan worden vastgesteld dat sprake is geweest van (de handel of het bezit van) een onder lijst I van de Opiumwet ressorterende substantie, in dit geval cocaïne.
Eén bewijsbron of meerdere?
De rechtbank overweegt dat de in het procesdossier opgenomen Exclu-berichten te beschouwen zijn als andere geschriften in de zin van artikel 344, eerste lid, sub 5, van het Wetboek van Strafvordering (Sv). Op grond van dit wetsartikel kunnen dergelijke geschriften alleen gelden in verband met de inhoud van andere bewijsmiddelen. Eén (ander) bewijsmiddel kan volstaan en dat bewijsmiddel mag ook weer een ander geschrift zijn. Aan het verband met de inhoud van andere bewijsmiddelen worden geen zware eisen gesteld, in die zin dat het verband niet uitdrukkelijk door de rechter hoeft te worden aangegeven. Dit betekent dat (in dit geval) een Exclu-bericht steun kan vinden in een ander Exclu-bericht (volgens het arrest van de Hoge Raad van 28 maart 2023, ECLI:NL:HR:2023:474 en de conclusie van de AG van 7 februari 2023, ECLI:NL:PHR:2023:163).
Op basis van de in de chatberichten gebruikte termen, de soms bijgevoegde foto’s waarop de drugs pontificaal in beeld staan, het besproken (in- en verkoop)proces, de afgeschermde werkwijze (met versleutelde berichten, verborgen identiteiten door het gebruik van chat-ID’s) en de (door de verdachte en de medeverdachten besproken) hoogte van de met de aan- en verkoop van de middelen gemoeide geldbedragen, is het naar het oordeel van de rechtbank evident dat de berichten daadwerkelijk over verdovende middelen zijn gegaan en dat deze verdovende middelen daadwerkelijk zijn ontvangen dan wel (af)geleverd. Ook zijn diverse telefoons in beslag genomen waarop gegevens zijn aangetroffen, waaruit is gebleken dat de gebruiker van dit toestel bezig is geweest met de handel in hoeveelheden cocaïne. Het ging daarbij om berichten uit de Signal-app, notities op een telefoon, berichten en foto’s uit een Exclu-applicatie en berichten met de app ‘Threema’.
De verdachte wordt schuldig bevonden aan witwassen, het bezit van vuurwapens en opnieuw witwassen en wordt veroordeeld tot zeven jaar gevangenisstraf, met aftrek van de tijd die verdachte in voorlopige hechtenis heeft doorgebracht. Hoewel de rechtbank begrijpt dat een langdurige gevangenisstraf niet alleen voor de verdachte ernstige gevolgen heeft, maar ook (en misschien wel vooral) voor zijn gezin, ziet de rechtbank in de persoonlijke omstandigheden die de verdachte en zijn raadsman in dat verband naar voren hebben gebracht onvoldoende aanleiding om hier in strafmatigende zin rekening mee te houden.
EncroChat en verweer zendmastgegevens i.v.m. Prokuratuur
De rechtbank Amsterdam heeft op 27 januari 2025 een verdachte veroordeeld (ECLI:NL:RBAMS:2025:538) voor vijf jaar gevangenisstraf vanwege drugshandel en deelname aan een criminele organisatie. De uitspraak is relevant door de rol van digitale bewijsmiddelen, met name de discussie over zendmastgegevens.
Het bewijs in deze zaak bestaat voornamelijk uit chatberichten die zijn verstuurd en ontvangen via Encrochat en SkyECC. Om te bepalen of de verdachte de gebruiker was van de hem toegeschreven accounts, onderzocht de rechtbank ook andere bewijsmiddelen. Opvallend was daarbij een camera in de kluis van een garagebox, waarin twee bigshoppers met 29 blokken cocaïne en 34 losse blokken cocaïne werden aangetroffen. De camera bevatte een simkaart die op 5 april 2020 om 01:30 uur werd geactiveerd via een Lebara-account met een gekoppeld e-mailadres. Betalingen voor dit account geschiedden via PayPal, waarbij twee verschillende IP-adressen werden gebruikt. Deze IP-adressen waren ook gebruikt bij het bestellen van maaltijden via Thuisbezorgd.nl naar adressen in Eindhoven, waar ook de verdachte verbleef. Bovendien was de applicatie middels het Apple ID van de verdachte geïnstalleerd op de iPhone 12 die bij zijn aanhouding bij hem werd aangetroffen. De rechtbank linkt voor elke verdachte bewijs uit verschillende bronnen – chatberichten, camerabeelden en ‘reisbewegingen’ (o.a. van locatiegegevens uit zendmasten) – om de accounts aan de persoon te koppelen.
De raadvrouw voert het verweer dat de zendmastgegevens op grond van artikel 359a Sv moeten worden uitgesloten van het bewijs, omdat deze zijn verkregen zonder dat een rechter daarvoor vooraf toestemming heeft gegeven. Zij verwijst daarbij naar het arrest van het Hof van Justitie van de Europese Unie van 2 maart 2021 (ECLI:EU:C:2021:152, hierna: het Prokuratuur-arrest). De rechtbank merkt op dat de raadsvrouw niet concreet heeft benoemd op welke zendmastgegevens haar verweer betrekking heeft. Voor zover het verweer ziet op de zendmastgegevens van de telefoontoestellen die zijn gekoppeld aan het Encrochat-account en het Sky-ID, stelt de rechtbank vast dat deze afkomstig zijn uit de metadata die zijn verkregen in de EncroChat en SkyECC-operatie en dat deze informatie door de officieren van justitie overeenkomstig artikel 126dd Sv is overgedragen aan het onderzoek Velp. Daarom is ten aanzien van deze zendmastgegevens geen sprake van een vormverzuim in het voorbereidend onderzoek in de zaak van verdachte.
Voor zover het verweer ziet op de zendmastgegevens van de telefoon van de verdachte, stelt de rechtbank vast dat de officier van justitie op 25 januari 2021 op grond van artikel 126n Sv de historische verkeersgegevens van dit telefoonnummer heeft gevorderd. Gelet op het Prokuratuur-arrest had voorafgaand aan de toepassing van deze bevoegdheid een rechterlijke toetsing moeten plaatsvinden. Dat is in deze zaak niet gebeurd. Dit levert een vormverzuim op dat moet worden beoordeeld op grond van het bepaalde in artikel 359a Sv. Bij die beoordeling stelt de rechtbank voorop dat uit het dossier niet blijkt deze gegevens zijn gebruikt om de betrokkenheid van verdachte bij de ten laste gelegde feiten te onderbouwen. Het is dus niet gebleken dat de verdachte door het verzuim in zijn verdediging is geschaad en daarmee dat sprake is van een schending van artikel 6 EVRM. Gelet op bovenstaande is evenmin gebleken dat een inbreuk is gemaakt op de persoonlijke levenssfeer van verdachte, zoals beschermd in artikel 8 EVRM, en dat dit verzuim daadwerkelijk nadeel voor verdachte heeft veroorzaakt. Daarom is de rechtbank – in overeenstemming met de jurisprudentie op dit punt – van oordeel dat kan worden volstaan met een constatering van het vormverzuim zonder daaraan een rechtsgevolg te verbinden.
Ten aanzien van het opzet van de verdachten op het deelnemen aan een organisatie met het oogmerk op het plegen van harddrugsmisdrijven, weegt de rechtbank mee dat de deelnemers van de organisatie met elkaar communiceerden via versleutelde berichten waarin werd gesproken over ophalen/wegbrengen van (tassen vol) geld, prijzen rond de €27.000, blokken, stuks, spul, poeder, mixen, en waarin foto’s werden gedeeld van rechthoekige witte blokken. Ook wijst de rechtbank op het heimelijke karakter van de gedragingen binnen de organisatie. Zo werden bij de overdracht van geld en/of blokken de rijroutes door middel van voorverkenningen gecontroleerd op de aanwezigheid van (grens)politie, werden de goederen vervoerd in voertuigen met verborgen ruimtes, vond verificatie van de koper/verkoper plaats door middel van tokens en er werden uniformen van postbezorgers gedragen als dekmantel.
Aangezien alle verdachten aan gesprekken over de handel deelnamen en/of bij de overdrachten betrokken waren, achtte de rechtbank bewezen dat zij in zijn algemeenheid wisten dat de organisatie het invoeren, vervoeren, verkopen, verstrekken en aanwezig hebben van cocaïne als oogmerk had.
Hoge Raad wijst wederom arrest n.a.v. van een politiemol-zaak
Op 1 april 2025 heeft de Hoge Raad opnieuw een arrest gewezen (ECLI:NL:HR:2025:501) in een politiemol-zaak. De Hoge Raad achtte het oordeel van het hof Den Haag van 4 april 2023 (ECLI:NL:GHDHA:2023:2968) niet onbegrijpelijk dat de verdachte is binnengedrongen in de servers van de politie voor privédoeleinden en daarmee meermalen computervredebreuk pleegde. De Hoge Raad herhaalde daarbij relevante overwegingen uit eerdere arresten (HR:2013:BY9718 en HR:2011:BN9287) over het begrip ‘geautomatiseerd werk’ in relatie tot artikel 80sexies Sr (oud).
Door de verdachte werden de bevragingen uitgevoerd voor privédoeleinden die geen enkele link hadden met zijn functie als politieman. Door informatie te raadplegen waarvoor hij uitsluitend toegang had in verband met zijn werk, overschreed de verdachte de grenzen van de verleende autorisatie om politiesystemen te gebruiken. Hij wist dat de bevragingen niet plaatsvonden in het kader van een politieonderzoek. Bovendien verschijnt bij het starten of inloggen op het systeem een melding die aangeeft dat het alleen mag worden gebruikt met een gegronde reden en/of noodzaak. Het desondanks uitvoeren van de bevragingen betekent dat hij wederrechtelijk binnengedrongen is in een geautomatiseerd werk, gebruikmakend van zijn systeemautorisatie – te beschouwen als een valse sleutel.
De verdediging betoogde dat er geen sprake was van een ‘server’ zoals tenlastegelegd. Naar het oordeel van het hof kan een server deel uitmaken van een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.
De Hoge Raad oordeelt als volgt. Blijkens de bewijsvoering heeft het hof vastgesteld dat de verdachte, door in te loggen met het aan hem als politieambtenaar verstrekte account, zich de toegang heeft verschaft tot de politiesystemen en de politiewerkomgeving. In die digitale werkomgeving heeft de verdachte vervolgens personen, voertuigen (kentekens) en/of adressen bevraagd, waarna hij de verkregen gegevens heeft geëxporteerd en geprint. Het op die vaststellingen gebaseerde oordeel van het hof dat de verdachte “in één of meer geautomatiseerde werken, namelijk in één of meer servers van de politie” is binnengedrongen getuigt – in het licht van wat hiervoor is vooropgesteld – niet van een onjuiste rechtsopvatting. Dat oordeel is ook niet onbegrijpelijk.
Anders dan in de toelichting op het cassatiemiddel is betoogd, doet daaraan niet af dat het hof geen nadere vaststellingen heeft gedaan over de precieze manier waarop een concreet aangeduide server door de verdachte is binnengedrongen. Naar het hof kennelijk in aanmerking heeft genomen brengt het inloggen in, en raadplegen van, een digitale werkomgeving of digitaal systeem als hier aan de orde, met zich dat toegang wordt verworven tot één of meer servers die deze werkomgeving of dat systeem in stand houden en daarmee – al dan niet in verbinding met andere apparaten – bestemd zijn om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.
Veroordeling voor opruiing in een Telegramgroep
De rechtbank Rotterdam heeft op 17 maart 2025 een verdachte veroordeeld (ECLI:NL:RBROT:2025:3483) voor opruiing tot een terroristisch misdrijf.
Openbare Telegramgroep?
Voor het delict opruiing is vereist dat iemand opzettelijk aanzet tot strafbare feiten en/of gewelddadig optreden tegen het openbaar gezag, waarbij deze uitlating in het openbaar wordt gedaan. De rechtbank overweegt dat ‘het internet kan worden aangemerkt als een openbare plaats, mits het publiek toegang heeft tot de internetpagina waarop de teksten zijn weergegeven’. Bij de beoordeling of opruiing op een online forum in het openbaar is geschied kan bijvoorbeeld acht worden geslagen op de hoeveelheid personen die de uitlatingen ontvangen, hoe wordt bepaald wie tot een online groep wordt toegelaten en of er toetredingsvoorwaarden zijn, of de leden van de online groep elkaar kennen en welke verwachtingen bestaan met betrekking tot de vertrouwelijkheid van uitlatingen op het forum (met verwijzing naar hof Den Haag 13 november 2023, ECLI:NL:GHDHA:2023:2207)
De rechtbank stelt vast dat een medeverdachte op 4 januari 2024 de Telegramgroep heeft opgericht. De verdachte werd vanaf 11 juni 2024 lid van deze groep en deed vervolgens diverse uitlatingen. Een link naar de Telegramgroep werd openbaar gedeeld, waardoor nieuwe leden zich konden aanmelden.
De rechtbank overweegt dat de Telegramgroep een openbare status had, gelet op (1) het relatief eenvoudige toetredingsproces, (2) de willekeurige en openbare werving van leden, (3) het kennelijk ontbreken van afspraken omtrent vertrouwelijkheid van de gedeelde berichten en (4) de omvang van de groep ten tijde van de berichten van de verdachte. Daarmee waren ook de berichten die in de groep zijn gedeeld openbaar. Het feit dat de Telegramgroep op 3 juli 2024 kennelijk op besloten is gezet, doet daar niet aan af.
Opruiing tot een terroristisch misdrijf
De rechtbank stelt vast dat de Telegramgroep een trainingsgroep was voor witte mensen die zich voorbereiden op een rassenoorlog tegen ‘niet-witte’ mensen. De berichten en afbeeldingen die door de verdachten en andere deelnemers in de Telegramgroep zijn gedeeld, bevatten vele racistische en rechts-extremistische elementen, waaronder verheerlijking van Nazi-Duitsland, Hitler, hakenkruizen en de term ‘1488’. Het nummer 14 verwijst naar de 14 woorden van David Lane (‘we must secure the existence of our people and a future for white children’) en 88 staat voor ‘Heil Hitler’.
Hieruit leidt de rechtbank af dat het doel van de Telegramgroep was om tot een rassenoorlog te komen en op die wijze ‘het witte ras’ te redden. Daarbij wordt opgeroepen tot geweld tegen ‘niet-witte’ mensen, wat neerkomt op oproeping tot strafbare feiten als mishandeling en openlijke geweldpleging. Deze oproeping heeft ook een terroristisch oogmerk, omdat daarmee een deel van de bevolking, namelijk iedereen met een niet-Europese etnische afkomst, vrees wordt aangejaagd (vergelijk artikel 83a van het Wetboek van Strafrecht).
De andere in de tenlastelegging genoemde berichten en afbeeldingen die in de Telegramgroep zijn geplaatst, zijn op zichzelf niet allemaal als opruiend te beschouwen. Bezien in onderlinge samenhang kunnen alle uitlatingen echter worden aangemerkt als opruiend tot het plegen van een terroristisch misdrijf.
Gelet op vorenstaande gedragingen van de verdachte, is de rechtbank van oordeel dat wettig en overtuigend is bewezen dat de verdachte zich schuldig heeft gemaakt aan opruiing tot een terroristisch misdrijf. De rechtbank plaatst deze berichten in het kader van het accelerationisme, een rechtsextremistische ideologie die via sociale mediaplatformen wordt verspreid om terroristisch geweld te verheerlijken en een rassenoorlog te ontketenen, met als doel chaos te creëren en een witte (nationaalsocialistische) etnostaat te vestigen.
Gezien de ernst van de feiten legt de rechtbank de verdachte een gevangenisstraf op voor 191 dagen (met 30 dagen voorwaardelijk). De verdachte wordt in verminderde mate toerekeningsvatbaar geacht en krijgt een proeftijd van drie jaar met bijzondere voorwaarden, waaronder een contactverbod, meldplicht, ambulante behandelverplichting, opname in een instelling voor begeleid wonen, een social media verbod en reclasseringstoezicht.
Sociale mediaverbod
Onder het sociale mediaverbod valt het volgende (onder 6):
“het wordt de veroordeelde verboden gebruik te (laten) maken van social media zoals X (voorheen Twitter), Instagram, Facebook, Telegram. Het wordt hem tevens verboden om video’s dan wel vlogs, dan wel op een andere manier informatie te plaatsen op mediaplatforms zoals YouTube, zolang de reclassering dit noodzakelijk acht”
De veroordeelde moet meewerken aan controles van gegevensdragers en versterkt daarbij de gebruikersnamen en wachtwoorden die nodig zijn voor deze controle. De controle strekt er niet toe de inhoud van die communicatie in te zien zonder zijn toestemming. De controle vindt plaats zo frequent als door de reclassering nodig wordt geacht met een maximum van drie keer per jaar.
On 12 March 2025, Europol published its latest EU Serious and Organised Crime Threat Assessment (EU SOCTA) report (.pdf). The report immediately caught my attention, as it highlights how the DNA of serious and organised crime is evolving due to several key factors:
Increasing entanglement between organised crime and state actors, leading to ‘hybrid threats’ that destabilise society.
The growing role of the internet and digital communication tools in facilitating more traditional criminal activities.
The acceleration of crime through emerging technologies such as artificial intelligence, which grant criminal networks new capabilities.
Europol concludes that these developments are transforming the tools, tactics, and structures employed by criminal organisations. This is reflected in the title of the report: ‘The changing DNA of serious and organised crime’.
This blog provides a summary of the report’s findings, particularly focusing on the intersection between organised crime and technology. Additionally, I have created a podcast on this topic with Notebook LM, and a Dutch version is available in .pdf format. The first episode of the official podcast by Europol is also about this report.
The EU SOCTA report identifies key threats to serious and organised crime in Europe. These threats include cyber-attacks, online fraud schemes, (online) child sexual exploitation, migrant smuggling, drug trafficking, firearms trafficking, and waste crime. The key threats encompass both crimes predominantly occurring in the digital and online realm, as well as more traditional crime areas involving physical trafficking and illicit cross-border activity. This summary focusses on crimes with a clear connection to the digital and online realm, following the same structure as the report.
1. Hybridisation of Organised Crime: Destabilising Society?
According to Europol, serious and organised crime has a dual destabilising effect on the EU and its Member States. It undermines and reduces trust in the EU’s economy, the rule of law, and society as a whole by generating illicit proceeds, spreading violence, and normalising corruption.
Hybrid threats
Criminal networks may be influenced by state actors and may target democratic processes, social cohesion, public security, or the rule of law. In some cases, it may also impact financial stability and economic prosperity. These are called ‘hybrid threats’ in the report.
Some states even provide safe havens for criminals in exchange for the services of criminals, allowing them to operate with impunity. This enables states to outsource crimes such as cyber-attacks, disinformation campaigns, and money laundering, making attribution more difficult.
Ransomware
Criminal networks contribute to hybrid threats through ransomware attacks on critical infrastructure, businesses, and government agencies. These attacks generate financial profits—often through cryptocurrency payments—while also disrupting services and undermining public trust.
Europol notes that ransomware attacks are becoming more targeted, focusing on private industries, critical infrastructure, and small-to-medium-sized businesses. Additionally, there has been a growing number of supply chain attacks. The ransomware landscape is also evolving due to law enforcement interventions, leading to fragmentation and rebranding of criminal groups.
Cyberespionage and desinformation
Criminal networks can also steal data on behalf of hybrid threat actors. By infiltrating secure systems, they might steal data of strategic importance for governance or business and provide hybrid threat actors with invaluable information that can be used for espionage, economic advantage, or even coercion.
Additionally, these networks are instrumental for propaganda campaigns aimed at spreading disinformation and influencing political systems. These networks can play a key role in disinformation campaigns, using fake social media accounts, coordinated troll operations, and manipulated news content to weaken democratic institutions from within.
Corruption
Criminal networks exploit corruption to secure protection from prosecution by trying to bribe law enforcement and the judiciary. This enables them to avoid arrests, obstruct investigations, and manipulate legal proceedings in their favour. Additionally, corrupt officials may provide criminals with classified information regarding operations, allowing them to evade detection and continue their activities with impunity. Beyond law enforcement and judiciary, public institutions are highly susceptible to infiltration by criminal networks.
Europol explains that corruption has adapted to the broader trends toward digitalisation and a crime-as-a-service model. Several issues become increasingly visible: the targeting of individuals with access to digital systems in public and private entities, the use of digital recruitment tactics, and the elevated role of corruption brokers. The recruitment of, and communication with corruptees takes place online. Bribes are transferred by criminally exploiting cryptocurrencies or fintech. In addition, individuals with access to digital systems become key targets for corruption as they can provide access to information relevant to the criminal enterprise.
2. Digitalisation of organised crime
Europol states that:
“Today, nearly all forms of serious and organised crime have a digital footprint.”
Criminal networks exploit digital infrastructure for recruitment, trade, and financial transactions. They use encrypted messaging apps to communicate, recruit members (including minors), and advertise illicit goods and services. These networks employ technical specialists to enhance their operations and evade law enforcement detection.
Europol identifies two primary forms of encrypted communication:
1. Dedicated criminal platforms – Platforms such as EncroChat, Sky ECC, Ghost and others provided a communication environment for serious and organised crime. Such systems are designed to provide an end-to-end encryption that prevents external interception
2. Mainstream communication tools – Criminals abuse end-to-end encrypted communication services, which are legally designed to protect users’ privacy. These over-the-top communication applications provide legitimate encryption, large user bases that allow criminals to blend in with ordinary users. Unlike the first category, these platforms or tools are not built for criminals, making it necessary for law enforcement to engage with private companies, navigate legal frameworks to investigate and disrupt criminal networks operating within them.
Recruitment and violence
Organised crime-related violence has intensified in certain regions, particularly in urban drug markets and port cities. Criminals use online platforms to recruit hitmen and coordinate violent attacks. Violence is now increasingly offered as a service and made possible by the availability of trafficked weapons.
Within criminal networks, low-ranking members commonly act as perpetrators, but violence is also outsourced to young perpetrators, assorted criminals, and professional hitmen or hit squads offering violence-as-a-service. They are contacted directly through a network of personal contacts, in prisons, or via intermediary contacts. Encrypted communications and online platforms are instrumental in finding and recruiting these executors.
Young perpetrators
Europol finds the involvement of young perpetrators in violent crimes of particular concern. The recruitment of young perpetrators, including young adolescents and children, into serious and organised crime and terrorism is not a new phenomenon. However, it has increasingly become a means used by criminal networks to remain out of reach of law enforcement and the judiciary.
Young perpetrators are frequently exploited in several criminal markets and in several roles. In cyber-attacks, script kiddies are influenced to conduct specific cyberactivities for a fee. In drug trafficking, young people are recruited in roles like dealers or couriers but also warehouse operators, and drug extractors from shipping containers. Young people are used as money mules, receiving and transferring illicit funds through their bank accounts, often in exchange for a small share of the money.
These young perpetrators are recruited through social media platforms and messaging applications, exploiting the anonymity and encryption they offer. Criminals use tactics to lure young people, including tailored language, coded communication, and gamification strategies. By glorifying a luxurious and violent lifestyle, they convince vulnerable young people to join their ranks.
3. The Role of Technology in Other Crimes
Europol’s report reveals surprising connections between technology and traditional crimes like human trafficking and firearms smuggling. For example, criminal networks use the internet to recruit victims, advertise illicit services, and exchange funds electronically. They also circulate forged identity documents online to facilitate trafficking.
AI and 3D printing technologies are increasing access to illicit firearms and enhancing weapon modification techniques. Encrypted communication platforms are expected to play a growing role in the trafficking of firearms and explosives.
Digital content piracy
Europol explains that the current cost-of-living crisis as well as the fragmentation of content across multiple legal streaming platforms prompt consumers to seek more cost-effective and unified packages regardless of their illegality.
Criminal networks often lease servers from legitimate hosting provider companies to ensure the anonymity and scalability of their operations. Others establish their own servers which may be outsourced to other criminal networks as a service. The increased use of anonymisation tools such as VPNs to avoid server blocks ordered by judicial or law enforcement authorities will continue to be a default modus operandi. Criminal actors also rely on a variety of professional expertise, mainly associated to information technology (IT) services such as technicians who build, operate and optimise the software and digital infrastructure for illegal streaming.
Digital pirates may also steal or purchase login credentials from legitimate subscribers — often sourced via phishing scams or data breaches — and then repackage multiple over-thetop libraries into a single, unauthorized service. They often use specialised software or devices to intercept and record live or on-demand streams, relaying the pirated content through internet protocol television (IPTV) servers or file-sharing platforms.
Online pharmaceuticals
Online platforms facilitate the sale of counterfeit falsified, substandard or fraudulently obtained legitimate medicines. These are often paid with cryptocurrencies, and the pharmaceuticals are delivered by postal and parcel services.
AI and technological advancements, including 3D printing, will continue to be leveraged by criminal networks to manufacture tablets.
4. Emerging Technologies and Organised Crime
Criminal organisations are quick to adopt emerging technologies, including artificial intelligence, to enhance their operations.
An “AI fraud epidemic”?
Europol described the current online fraud landscape as follows:
The scale of online fraud, driven by advancements in automation and AI, has reached an unprecedented magnitude and is projected to continue growing. Narratives are extremely realistic, crafted with the help of AI, and incorporating trending societal topics.
The scale of online fraud, driven by advancements in automation and AI, has reached an unprecedented magnitude and is projected to continue growing. Narratives are extremely realistic, crafted with the help of AI, and incorporating trending societal topics.
Investment fraud
Investment fraud is one of the most common and growing types of online fraud, nurtured through the use of digital tools and accelerated by new technologies. The main types are Ponzi schemes, pyramid schemes, and advance fee frauds. Cryptocurrencies remain the most significant investment fraud product in the EU. While fraudsters mostly target individuals, companies are also occasionally targeted. Criminal networks have been adapting the modus operandi to the availability of digital and AI tools and to exploit new and developing markets.
Internet-enabled investment fraud is becoming more prominent than unsolicited contacts, like cold calling. Online advertisements, including social media platforms, news sites and sponsored search engine results are the main advertisement channels used by criminal networks to attract victims.
Business email compromise
In business email compromise (BEC) cases, fraudsters gain unauthorised access to the mailbox of an employee to intercept and analyse information contained in official correspondence. Once email accounts are taken over, spoofed or new versions are created. Fraudsters request payment, misleading victim by closely resembling corporate communication style and accompanying their request with well-crafted, identical falsified documents such as invoices containing modified bank accounts.
Identity theft and identity fraud are an intrinsic part of the sophisticated and targeted scheme crafted around the victim. AI, including large language models (LLMs) and deepfakes, is creating new opportunities and capabilities for criminals active in BEC. As the rapid pace of technological development continues, BEC fraud is also expected to increase. Convincing fraud emails can be easily generated with the support of LLMs, while deepfake technologies, an emerging type of impersonation replicating people’s voices, images, and videos, are now being used in CEO fraud, in which fraudsters seek to trick an organisation’s employees by impersonating their CEO.
Romance fraud
Criminal actors from around the globe are actively involved in romance fraud. Victims seeking companionship are approached on social media or dating sites by fraudsters, who impersonate individuals using fake accounts and profiles
Romance scams are expected to increase in the future, accelerated by AI tools. Voice cloning technology, deepfakes, LLM-generated scripts, and AI-driven translation will all continue to enhance fraudulent schemes, creating new fake scenarios and social engineering techniques.
A ‘transformation in child sexual exploitation material’
Child sexual exploitation and the production and distribution of child sexual abuse material (CSAM) is transforming. By creating highly realistic synthetic media, criminals are able to deceive victims, impersonate individuals and discredit or blackmail targets. The addition of AI-powered voice cloning and live video deepfakes amplifies the threat, enabling new forms of fraud, extortion, and identity theft. These tools are easily accessible and do not require specific technical skills. The accessibility of AI tools has multiplied the volume of CSAM available online, creating challenges in the analysis of imagery and identification of offenders.
Generative AI has emerged as a new means to produce CSAM, leading to growing concerns. It can support the editing of existing CSAM and the creation of new content. Explicit pictures of adults can be manipulated to make the individual look younger or applications can ‘nudify’ non-explicit images. Text-to-video models have emerged, following the rapid development of text-to-image models. Given their pace of advancement, text-to-video technology is likely to evolve just as quickly. In one of the first cases of its kind, a suspect was recently arrested for running an online platform with AI generated CSAM which he produced and shared around the world (see also this press release about ‘Operation Cumberland’)
The majority of offenders take part in online communities on the dark web and clear web, including forums, groups, and chatrooms. They discuss abuse, fantasies, how to acquire original CSAM, techniques to groom children and tips related to operational security. Offenders also use online means other than chatrooms for one-on-one interactions, with different levels of encryption and data transfer methods.
Money laundering
In the financial realm, the emergence of blockchain technology and cryptocurrencies has been leveraged to facilitate payments and launder proceeds, supported by decentralised systems and unregulated exchanges.
Cash still features prominently in money laundering schemes today. Criminals often use cash-intensive businesses—such as restaurants, hotels, car washes—to mix illicit funds with the businesses’ legitimate income. When illicit proceeds are moved physically across borders, cash is often transported via cash couriers. Increasingly, young and vulnerable people are recruited, often via social media and gaming platforms, to act as money mules.
However, the criminal exploitation of cryptocurrency as a payment method now has moved beyond the scope of cybercrime, and is encountered increasingly in more traditional crime areas such as drug trafficking or migrant smuggling.
Europol also points out a mix of digital crime and traditional crime through the report. According to Europol, professional money launderers, increasingly with specialised knowledge in digital asset trading, have developed parallel, underground financial systems that operate outside the regulatory frameworks governing legal financial institutions.
Reflection: Methodology and a Word of caution
The EU SOCTA report is based on intelligence generated by Europol analysts from data from national law enforcement agencies. While many of its findings seem to align with criminological research and Dutch court cases relating to cryptophone operations, it is important to remember that the report is not a scientific study.
At the end of the report, there is a section: “Reflection of the academic advisory group”. This group mostly praises the report, but do have one important suggestion:
“While the current approach provides significant added value to policymakers and law enforcement agencies, the inclusion of even more peer-reviewed research, established theoretical frameworks, and interdisciplinary expertise would further enhance EU-SOCTA’s analytical depth and academic rigor”.
They welcome Europol’s decision to involve the academic community in refining the methodology for the next edition.
Involving the academic community is indeed a good step and presumably a big task. Academics will look at these contents from their own perspective and knowledge base.
For example, while the academic advisory group “particularly appreciated” the chapter on hybrid threats, I found this chapter particularly weak. The underlying message of “destabilising society” is very alarming, but I don’t think it is argued well, as it lacks clear definitions, evidence thresholds, and references. Statements about “undermining democracy” or “destabilising economies” are not well substantiated, raising questions about the frequency and impact of these threats. But then again, my view is also influenced by my own perspective, experiences, and research interests 😊!
Despite this criticism and questions, the report may provide valuable and new insights to policy makers and professionals seeking to understand the digital transformation of organised crime.
Bron: afbeelding gegenereerd met Dall-E (prompt: A realistic digital illustration depicting bank helpdesk fraud and crypto scams via social media influencers)
Fraude door middel van crypto-investeringen
De cybercrimekamer van de rechtbank Zeeland-West-Brabant heeft op 30 januari 2025 vijf mannen veroordeeld voor onder andere verschillende vormen van online oplichting, computervredebreuk en witwassen. De rechtbank legde celstraffen op variërend van 8 tot 36 maanden. Daarnaast moeten de mannen gezamenlijk meer dan 600.000 euro aan schadevergoedingen betalen. Bovendien is hen een betalingsverplichting van ruim driehonderdduizend euro aan de Staat opgelegd, als ontneming van wederrechtelijk verkregen voordeel. Zie ook het persbericht, Celstraffen en schadevergoedingen voor cybercriminaliteit.
In een uitspraak van 30 januari 2025 (ECLI:NL:RBZWB:2025:499) veroordeelde de rechtbank Zeeland-West-Brabant bijvoorbeeld één van de verdachten voor oplichting door middel van crypto-investeringen. De werkwijze van de verdachten was als volgt.
De slachtoffers werden gebeld door iemand die zich voordeed als een bankmedewerker en hen wees op een verdachte transactie of een ander probleem met hun rekening. In meerdere gevallen werden de slachtoffers overtuigd om geldbedragen van hun spaarrekening over te boeken naar hun lopende rekening, waarna deze bedragen werden doorgestort naar een zogenaamde “kluisrekening” of “depositorekening”. In werkelijkheid betrof dit een rekening op naam van een katvanger (‘money mule’).
Deze money mules kwamen via een promotiefilmpje van een ‘influencer’ op Snapchat in contact met verschillende Snapchataccounts. In deze zaak was de verdachte verantwoordelijk voor deze accounts. In het promotiefilmpje werd geïnteresseerden gevraagd hun bankrekening beschikbaar te stellen. Wie hierop inging, kwam in gesprek met de gebruiker van de betreffende Snapchataccounts. De potentiële money mule kreeg vervolgens een ‘pitch’ te zien waarin werd beloofd dat hij of zij 25 tot 40% zou ontvangen van het bedrag dat naar zijn of haar rekening werd overgemaakt. In werkelijkheid kregen velen helemaal niets en verloren zij zelfs hun eigen spaargeld. Vervolgens kreeg een loopjongen of ‘pinner’ de beschikking over de pinpas en inloggegevens van de money mule. In korte tijd werden grote geldbedragen gepind en goederen aangeschaft.
De verdachte is veroordeeld voor het witwassen van ruim € 500.000. De rechtbank past daarbij het volwassenstrafrecht toe op de verdachte. Zowel de Raad voor de Kinderbescherming als de jeugdreclassering adviseerden toepassing van het sanctierecht voor volwassenen. De rechtbank acht bewezen dat de verdachte gedurende langere tijd een groot aantal strafbare feiten heeft gepleegd. Daarnaast heeft hij, direct na een eerdere veroordeling door de rechtbank Den Haag, opnieuw soortgelijke delicten begaan. Volgens de rechtbank wijst dit op een “pro-criminele levenshouding”. De verdachte lijkt bovendien niet open te staan voor pedagogische beïnvloeding en is al eerder veroordeeld voor soortgelijke feiten. De verdachte wordt daarop veroordeeld tot een gevangenisstraf van drie jaar en moet verschillende schadevergoedingen betalen.
Principiële overwegingen n.a.v. het arrest Landeck
Op 22 januari 2025 veroordeelde het Hof Den Haag (ECLI:NL:GHDHA:2025:66) een verdachte voor het aanschaffen van ongeveer 1.885 zogeheten ‘bots’ op Genesis Market, voor diefstal en voor het voorhanden hebben van gegevens die bestemd waren voor het plegen van strafbare feiten. Zie dit blogbericht over de veroordelingen naar aanleiding van operatie ‘CookieMonster’ en de ontmanteling van Genesis Market.
De principiële overwegingen van het gerechtshof over het onderzoek van een smartphone zonder toestemming van de rechter-commissaris zijn met name interessant, mede in het licht van het Landeck-arrest van het Hof van Justitie van de Europese Unie (HvJ EU) (ECLI:EU:C:2024:830). De verdediging voerde aan dat de smartphone (een iPhone XS) van de verdachte in beslag was genomen en volledig (geautomatiseerd) werd uitgelezen.
Het hof stelt met de verdediging vast dat inderdaad sprake was van een uitvoerig en intensief onderzoek van de telefoon. Dit onderzoek omvatte onder meer:
Het bekijken van foto’s, waaruit onder andere informatie over het gezinsleven van de verdachte naar voren kwam.
Het lezen van notities van de verdachte, waaronder informatie over zijn ernstig zieke moeder.
Het in kaart brengen van e-mailadressen en het koppelen van telefoonnummers aan andere informatie.
Het bekijken van chatgesprekken.
Het vinden van een boardingpass met reisgegevens.
Het analyseren van de internetgeschiedenis.
Het bekijken en integraal opnemen in het dossier van een notitie met de titel ‘my life’, waarin privacygevoelige informatie stond over het gezinsleven en medische gegevens van de verdachte.
Hierdoor konden zeer nauwkeurige conclusies over het privéleven van de verdachte worden getrokken, wat volgens het hof neerkomt op een zeer ernstige inmenging in zijn fundamentele rechten. Het hof stelt tevens met de verdediging vast dat voor dit onderzoek geen machtiging is aangevraagd bij de rechter-commissaris; in het dossier wordt slechts vermeld dat het onderzoek plaatsvond ‘met toestemming van de officier van justitie’.
Het hof stelt voorop dat uit de zogeheten Smartphone-arresten (HR 4 april 2017, ECLI:NL:HR:2017:584, ECLI:NL:HR:2017:588 en ECLI:NL:HR:2017:592) volgt dat voor het verrichten van onderzoek aan gegevens van een in beslag genomen geautomatiseerd werk of digitale gegevensdrager een getrapte bevoegdheidstoedeling geldt. Dit betekent dat:
Een opsporingsambtenaar onderzoek mag verrichten indien op voorhand te voorzien is dat de inbreuk op de persoonlijke levenssfeer beperkt zal zijn.
De officier van justitie (door of namens deze) onderzoek mag verrichten indien op voorhand te voorzien is dat sprake zal zijn van een meer dan beperkte inbreuk.
De rechter-commissaris (door of namens deze) toestemming moet geven indien op voorhand te voorzien is dat de inbreuk zeer ingrijpend zal zijn.
Waar het hof eerder (in het arrest van 20 november 2023, ECLI:NL:GHDHA:2023:2538) nog overwoog dat dit beoordelingskader in voldoende mate tegemoetkwam aan de door het HvJ EU verlangde waarborgen bij onderzoek aan gegevens, moet, mede in het licht van hetgeen door de verdediging is aangevoerd, de vraag worden beantwoord of dat na het arrest van het HvJ EU in de zaak CG/Bezirkshauptmannschaft Landeck (HvJ EU 4 oktober 2024, C-548/21, ECLI:EU:C:2024:830) nog steeds het geval is.
Kort gezegd, luidt het antwoord dat in dit geval toestemming van de rechter-commissaris noodzakelijk was voor het onderzoek aan de telefoon. Omdat die toestemming ontbrak, is sprake van een vormverzuim in het voorbereidend onderzoek in de zin van artikel 359a Sv.
Bij de beoordeling of aan deze schending een rechtsgevolg moet worden verbonden, moet het hof overwegen of: (a) de verdachte daadwerkelijk nadeel van de schending had ondervonden, (b) dit nadeel was veroorzaakt door het verzuim, (c) het nadeel geschikt was voor compensatie door middel van strafvermindering, en (d) strafvermindering, in het licht van het belang van het geschonden voorschrift en de ernst van het verzuim, gerechtvaardigd was.
Het hof concludeerde dat als de rechter-commissaris om toestemming was gevraagd, hij deze zonder nadere beperkingen had kunnen verlenen. De verdachte was door het vormverzuim dus niet in een nadeliger positie geraakt. Daarom oordeelde het hof dat bewijsuitsluiting, noch strafvermindering, een gerechtvaardigd rechtsgevolg is. Daarom volstaat het hof met de constatering van het vormverzuim.
Rol van Nederlandse opsporingsinstanties in het Exclu-onderzoek
In een tussentijdse beslissing in hoger beroep (ECLI:NL:GHDHA:2025:274) van 21 januari 2025 verduidelijkt het gerechtshof Den Haag de rol van de Nederlandse opsporingsinstanties in het Exclu-onderzoek. Daarnaast bevat de uitspraak interessante overwegingen over het interstatelijk vertrouwensbeginsel.
Het hof overweegt ten aanzien van het interstatelijk vertrouwensbeginsel het volgende. Beslissingen van rechters van de aangezochte autoriteit (Duitsland) hebben betrekking op de rechtmatigheid van de Duitse tenuitvoerlegging van het door Nederland uitgevaardigde Europees Onderzoeksbevel (hierna: EOB). De Nederlandse strafrechter komt daarover in beginsel geen oordeel toe (HR 13 juni 2023, ECLI:NL:HR:2023:913, r.o. 6.16.3). Van belang is ook dat volgens de Hoge Raad de enkele omstandigheid dat Nederlandse opsporingsambtenaren aanwezig mochten zijn bij de uitvoering van een onderzoekshandeling door een buitenlandse autoriteit, of dat zij technische assistentie verleenden, niet betekent dat de betreffende onderzoekshandelingen onder de verantwoordelijkheid van de Nederlandse opsporingsautoriteiten hebben plaatsgevonden (HR 13 juni 2023, ECLI:NL:HR:2023:913, r.o. 6.18). Evenmin kan uit het feit dat vanuit Nederland onderzoekshandelingen met grensoverschrijdende invloed zijn verricht (zoals het binnendringen in een zich in het buitenland bevindend geautomatiseerd werk), worden afgeleid dat deze handelingen onder Nederlandse verantwoordelijkheid vielen (HR 13 februari 2024, ECLI:NL:HR:2024:192).
De verdediging heeft betoogd dat Nederland verantwoordelijk is voor de in de onderzoeken 26Samber en 26Lytham verrichte onderzoekshandelingen. Volgens de raadsman heeft Nederland niet slechts EOB’s uitgevaardigd, maar ook zelfstandig onderzoekshandelingen in Duitsland uitgevoerd.
Het hof overweegt hierover dat uit de bewoordingen van het EOB, inzake de machtiging ex artikel 126uba Sv van de rechter-commissaris van 26 augustus 2022, volgt dat aan de Duitse autoriteiten is verzocht om Nederlandse opsporingsambtenaren toestemming te verlenen om vanaf Nederlands grondgebied binnen te dringen in een zich in Duitsland bevindende Exclu-berichtenserver. Tevens is verzocht om technische bijstand te mogen verlenen bij de plaatsing en monitoring van het interceptiemiddel. Daarnaast staat in het EOB vermeld dat de ontsleuteling van de Exclu-berichten in Nederland zal plaatsvinden. Het hof constateert op basis van het dossier dat de Nederlandse politie (team DIGIT) de in het Exclu-communicatieprotocol toegepaste versleuteling heeft geanalyseerd en ongedaan heeft gemaakt. Zoals door de advocaat-generaal ter terechtzitting is bevestigd, had Nederland een ‘leidende rol’ over dit onderdeel van de Exclu-operatie. Daaruit blijkt van een vergaande vorm van technische bijstand door Nederland met betrekking tot de voor de ontsleuteling van de Exclu-berichten benodigde onderzoekshandelingen.
De advocaat-generaal heeft uitdrukkelijk erkend dat Nederlandse opsporingsambtenaren in het Exclu-onderzoek zelfstandig opsporingshandelingen hebben verricht. Hij heeft hun rol zelfs als ‘leidend’ bestempeld. Het dossier bevat een grote hoeveelheid stukken, waaronder vorderingen tot machtiging ex artikel 126uba Sv, beslissingen van de rechter-commissaris, bevelen van de officier van justitie, EOB’s en processen-verbaal van politie, waarin gedetailleerd wordt omschreven welke onderzoekshandelingen zijn verricht. Het gerechtshof overweegt daarop dat de onderzoekshandelingen onder de verantwoordelijkheid van de Duitse autoriteiten hebben plaatsgevonden. Het hof acht het vertrouwensbeginsel ook in deze omstandigheden onverkort van toepassing.
De verdediging heeft verzocht om specificering van het onderzoek dat de Nederlandse autoriteiten op Duits grondgebied hebben uitgevoerd. Het hof is van oordeel dat uit het algemeen proces-verbaal 26Lytham voldoende duidelijk blijkt welke onderzoekshandelingen zijn verricht. Tegen deze achtergrond acht het hof het verzoek van de verdediging onvoldoende specifiek en wijst het af. Wel wordt het verzoek tot verstrekking van alle EOB’s in het kader van dit onderzoek toegewezen. Bijna alle andere verzoeken worden verder afgewezen, met uitzondering van een proces-verbaal van het Team High Tech Crime en een observatieverslag. Na de verstrekking van deze stukken zal de strafzaak verder gaan.
Medeplegen van cybercriminaliteit door hosting provider
Op 21 februari 2025 heeft de rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2025:2488) voor medeplichtigheid en medeplegen van computervredebreuk via een hostingprovider. Volgens de rechtbank heeft de verdachte met zijn dienstverlening een Mirai-botnetinfrastructuur gefaciliteerd, waarmee cybercriminelen onder meer DDoS-aanvallen konden uitvoeren. Daarnaast zijn via de servers van de verdachte ten minste drie geautomatiseerde werken wederrechtelijk binnengedrongen, al zijn er aanwijzingen dat dit in werkelijkheid op grotere schaal heeft plaatsgevonden.
Ten tijde van de ten laste gelegde feiten was de verdachte, samen met zijn medeverdachte, aandeelhouder en bestuurder van een hostingbedrijf. De servers van [medeverdachte rechtspersoon] bevonden zich in een datacentrum in Amsterdam en werden verhuurd aan klanten. Op 1 en 18 april 2019 ontving de politie van het Nationaal Cyber Security Centrum (NCSC) meldingen dat de hostingprovider mogelijk via het aan hen toebehorende IP-block een Mirai-afgeleide DDoS-botnetinfrastructuur faciliteerde, en dat er vanaf dit IP-block meer dan 30.000 DDoS-aanvallen waren uitgevoerd. Het Mirai-computervirus infecteert computers en maakt deze onderdeel van een botnet.
De rechtbank stelt vast dat de hostingprovider sinds 31 januari 2018 verantwoordelijk was voor dit IP-block (bestaande uit 256 IP-adressen). Uit onderzoek blijkt dat tussen 5 juni 2018 en 25 juli 2019 bij URLHaus (een organisatie die abusemeldingen verzamelt en openbaar maakt) 3.772 meldingen over dit IP-block zijn ingediend. Van de 2.740 malware-samples die konden worden veiliggesteld, zijn 2.372 geclassificeerd als Mirai. Verder blijkt dat 61 van de 256 IP-adressen in het IP-block in de periode van 10 februari 2018 tot 11 september 2019 Mirai-gerelateerd waren. The Spamhaus Project (een organisatie vergelijkbaar met URLHaus) classificeerde het IP-block als malafide. Bovendien zijn vanaf verschillende IP-adressen binnen het IP-block Mirai-aanvallen en een ransomware-aanval uitgevoerd, waarbij wederrechtelijk is binnengedrongen in geautomatiseerde werken. Gelet hierop stelt de rechtbank vast dat via de door [medeverdachte rechtspersoon] ter beschikking gestelde servers en IP-adressen een Mirai-botnet is gehost (feit 2) en computervredebreuk is gepleegd (feit 1).
Vervolgens beoordeelt de rechtbank of de verdachte en zijn medeverdachten medeplichtig waren aan deze strafbare feiten. Voor medeplichtigheid moet niet alleen worden bewezen dat de verdachten opzet hadden op het ter beschikking stellen van de desbetreffende servers en IP-adressen, maar ook dat hun opzet (al dan niet in voorwaardelijke zin) gericht was op de door de daders gepleegde gronddelicten: het hacken en het hosten/verspreiden van het Mirai-botnet.
Op basis van de bewijsmiddelen stelt de rechtbank vast dat de verdachten op de hoogte waren van de geldende gedragscode, maar zich hier niet aan hebben gehouden. Uit verklaringen blijkt dat zij wisten dat misbruik werd gemaakt van hun servers. Zo ontving een NAS-server tussen 18 maart en 1 oktober 2019 in totaal 8.012 e-mails, waarvan 138 betrekking hadden op ‘Mirai’ en gerelateerd waren aan het IP-block. Dagelijks kwamen meldingen over Mirai binnen. De rechtbank oordeelt dat de verdachten onvoldoende actie hebben ondernomen om dit misbruik te bestrijden.
Daarnaast blijkt uit onderzoek naar de klanten van [medeverdachte rechtspersoon] dat zij diensten konden afnemen zonder authentieke contactgegevens te verstrekken. Klanten gebruikten bijvoorbeeld e-mailadressen die te relateren zijn aan cybercriminaliteit, betaalden anoniem via bitcoins en gaven niet-bestaande adressen op, zoals ‘420 Hacktown’. Ook blijkt uit de communicatie tussen de verdachten en hun klanten dat malafide klanten bewust werden toegelaten. Zo geven reacties op klanttickets aan dat [medeverdachte rechtspersoon] ‘DDoS’ en ‘spoofing’ toestaat zolang dit geen problemen oplevert, en dat ‘botnets’ en ‘bins’ toegestaan zijn mits ze verborgen blijven. In sommige gevallen werd klanten zelfs uitgelegd hoe ‘malware binaries’ het beste konden worden verborgen. Toen een pseudokoper van de politie op 12 september 2019 vroeg of er gecontroleerd werd op abuse-rapporten, luidde het antwoord dat dit niet gebeurde.
Gelet op deze omstandigheden concludeert de rechtbank dat de verdachten bewust de aanmerkelijke kans hebben aanvaard dat hun servers en IP-adressen gebruikt zouden worden voor het verspreiden van een Mirai-botnet en voor computervredebreuk. De rechtbank acht de verdachte in deze zaak schuldig aan medeplegen en medeplichtigheid aan computervredebreuk door het beschikbaar stellen van de daarvoor benodigde middelen.
De verdachte in de onderhavige had een kleinere rol dan zijn medeverdachte. Hoewel een gevangenisstraf passend wordt geacht, houdt de rechtbank rekening met persoonlijke omstandigheden en het tijdsverloop. Daarom wordt een voorwaardelijke gevangenisstraf van vier maanden opgelegd, een taakstraf van 180 uur, met een proeftijd van twee jaar. De medeverdachte, die binnen het bedrijf verantwoordelijk was voor sales en klantencontacten en volgens de rechtbank een grotere rol speelde, krijgt een taakstraf van 240 uur en een voorwaardelijke gevangenisstraf van zes maanden opgelegd (zie ECLI:NL:RBROT:2025:2492).
Na vijf jaar is op 1 februari 2025 de leerstoel Inlichtingen en Recht aan de Universiteit Utrecht geëindigd. Daarmee is ook een einde gekomen aan mijn bijzonder hoogleraarschap. Ik blijf echter werkzaam als universitair docent Strafrecht aan de Universiteit Leiden. In 2024 heb ik uit enthousiasme ervoor gekozen mij volledig te richten op onderzoek en onderwijs en voor de universiteit te werken.
Korte terugblik Van 2020 tot 2025 heb ik met veel plezier de leerstoel Inlichtingen en Recht bekleed. Veel dank ook aan de CTIVD voor het mogelijk maken van de leerstoel. Mijn focus lag op onderzoek, de begeleiding van mijn promovenda Sophie Harleman bij haar proefschrift, en het geven van lezingen en gastcolleges om het vakgebied te bevorderen en te promoten. Een grote klus was het schrijven van Tekst & Commentaar op de Wet op de inlichtingen- en veiligheidsdiensten, dat ik met veel plezier samen met Mireille Hagens heb opgepakt. Sinds vorig jaar begeleid ik ook Naomi Stal als buitenpromovenda in haar proefschriftonderzoek op het snijvlak van inlichtingen en opsporing.
Werkzaamheden De afgelopen jaren heb ik gepubliceerd over onderwerpen zoals bulkinterceptie, de bewaarplicht van communicatiegegevens en de verwerking van gegevens ter bescherming van de nationale veiligheid (zie ook mijn publicaties). Ook heb ik de regulering van inlichtingenwerk in andere domeinen, zoals in het strafrecht en bestuursrecht, verkend. Door middel van interviews, lezingen, blogs en gastcolleges, waaronder drie keer voor Studium Generale van de Universiteit Utrecht, heb ik geprobeerd de soms complexe wetgeving en vraagstukken toegankelijk te maken voor een breder publiek.
Bron: dit is met AI een door WordPress gegenereerde afbeelding met als thema “digitale opsporing”
(JJO: en LOL om het mondkapje)
Geen sprake van een vormverzuim bij toegang tot Whatsappgroep
Op donderdag 7 november 2024 werd in de Johan Cruijff ArenA in Amsterdam een voetbalwedstrijd gespeeld tussen Ajax en Maccabi Tel Aviv FC uit Israël. Zowel voorafgaand aan als na afloop van die wedstrijd zijn er rond de ArenA en in de binnenstad van Amsterdam ongeregeldheden ontstaan. Die ongeregeldheden hebben in binnen- en buitenland veel ophef veroorzaakt, zoals is te lezen in deze reconstructie in NRC.
Ook ontstond de vraag of de politie al dan niet mag meekijken met gesprekken in Whatsappgroepen waar je alleen via een link toegang toe krijgt, voordat sprake is van een verdenking en de mededeling dat het ministerie van Justitie en Veiligheid dit beter wil regelen (zie bijvoorbeeld dit artikel in de Volkskrant). Hier heb ik zelf ook in een artikel van NRC commentaar op gegeven en gewezen op onduidelijkheden over verantwoordelijkheden en of hier nu sprake is van inlichtingenonderzoek of een opsporingsonderzoek.
Strafzaak
Ondertussen acht de rechtbank Amsterdam deze werkwijze van de politie rechtmatig (ECLI:NL:RBAMS:2024:8177) en stelt dat er geen vormverzuim heeft plaatsgevonden bij het veiligstellen van berichten uit een Whatsappgroep dat alleen via een link toegankelijk is. Ook staan er interessante overwegingen in over de gepleegde strafbare feiten. Daarom besteed in de rubriek uitgebreid aandacht aan deze uitspraak.
Vormverzuim?
De verdediging stelt dat zich een onherstelbaar vormverzuim heeft voorgedaan. Voor de deelname van de politie in de WhatsAppgroep ‘Buurthuis 2’ zou artikel 3 van de Politiewet 2012 onvoldoende grondslag bieden. (Deze Whatsappgroep wordt overigens in de samenvatting bij naam genoemd en door onverklaarbare redenen later in de uitspraak geanonimiseerd.) Volgens de verdediging moet de door de infiltratie verkregen data worden uitgesloten van het bewijs. Verdachte moet daarom integraal worden vrijgesproken.
De officier van justitie heeft zich op het standpunt gesteld dat van een vormverzuim geen sprake is, omdat de verbalisanten op grond van artikel 3 Politiewet bevoegd waren om deel te nemen aan de WhatsAppgroep. Op het moment dat er bij de politie signalen binnenkwamen over de wedstrijd tussen Ajax en Maccabi Tel Aviv, waren er nog geen verdenkingen van strafbare feiten. De verbalisanten hebben aan de groep deelgenomen met het doel om de openbare orde te bewaken. Van infiltratie was geen sprake. De verbalisanten hebben passief meegelezen en zij hebben slechts een beperkt aantal uren toegang gehad tot de WhatsAppgroep. Bovendien was de appgroep een openbare groep met bijna duizend mensen, die gebruik maakten van een nickname. Er werd dan ook geen volledig beeld van bepaalde aspecten van iemands leven verkregen. Het voorwaardelijke verzoek van de verdediging om de verbalisanten als getuigen te horen moet worden afgewezen.
Oordeel rechtbank
De rechtbank is van oordeel dat geen sprake is van een vormverzuim en overweegt daartoe als volgt. In dit dossier zijn virtueel agenten ingezet. Dit zijn politiemedewerkers die op het internet informatie verzamelen, terwijl ze niet kenbaar zijn als politieagent. De politiemedewerkers werkten op basis van de algemene taakstelling van artikel 3 Politiewet en hebben daarvoor toestemming gekregen van de informatie-officier van justitie. De officier van justitie heeft tijdens de zitting toegelicht dat deze medewerkers in het kader van de handhaving van de openbare orde hebben gehandeld. De dag ervoor was onrust ontstaan in de stad en de voetbalwedstrijd werd gezien als risicovol in het kader van het handhaven van de openbare orde. Op basis van artikel 3 Politiewet mag, gelet op artikel 8 EVRM, in principe slechts een niet meer dan beperkte inbreuk op de privacy van burgers worden gemaakt.
In de uitleg van de Hoge Raad: er mag niet een min of meer compleet beeld van bepaalde aspecten van het persoonlijk leven van de betrokkene worden verkregen (de rechtbank verwijst daarbij naar: HR 19 januari 2021, ECLI:NL:HR:2021:80)
Anders dan de verdediging heeft betoogd maar niet verder heeft onderbouwd, heeft de deelname van de verbalisanten in de WhatsAppgroep er niet toe geleid dat een min of meer compleet beeld van bepaalde aspecten van leven van verdachte is verkregen. De rechtbank overweegt daartoe dat een WhatsAppgroep was met meer dan 900 deelnemers; een brede en betrekkelijk willekeurige kring van deelnemers. De verbalisanten hebben gedurende een korte tijdsperiode deelgenomen aan de groep, namelijk tussen 09:52 uur (7 november 2024) en 11:23 uur (8 november 2024). Van infiltratie als bedoeld in artikel 126h Sv was dan ook geen sprake. Er is daarom slechts sprake van een beperkte inbreuk op de persoonlijke levenssfeer van verdachte, zodat artikel 3 van de Politiewet een toereikende wettelijke grondslag bood voor het handelen van de verbalisanten. De rechtbank vindt dat hiermee niet in strijd met artikel 8 en 11 van het EVRM is gehandeld.
De rechtbank benadrukt dat voor de handelwijze van de virtueel agenten een verdenking van een strafbaar feit niet nodig was. De rechtbank komt tot de conclusie dat geen sprake is van een vormverzuim en het verweer wordt verworpen.
Strafbare feiten
In de uitspraak staan nog een aantal andere interessante overwegingen. De verbalisant heeft de berichten in de groep kunnen ‘monitoren’ en lezen door op een link te klikken en daarmee toegang te krijgen tot een Whatsappsgroep op 7 november 2024. De verbalisant heeft de gesprekken in de groep veiliggesteld. Op het moment van veiligstellen waren 966 deelnemers aan de groep toegevoegd.
De inhoud van de berichten speelde een rol in het bewijs en de verdachten in de strafzaak heeft op zitting verklaard zijn telefoonnummer en gebruikersnaam gekoppeld kunnen worden aan een deel van de berichten. Het gaat dan om berichten zoals de volgende:
In ‘[appgroep 1]’ zijn bijvoorbeeld de volgende berichten verstuurd:
Op 7 november 2024:
Tijdstip
Afzender
Bericht
11:26 uur
‘.’
Ik zie 3 stuks lopen hier met die sjaal ah Spuistraat
11:27 uur
‘ [afzender 1] ’
Spuug op ze
11:26 uur
‘ [afzender 2] ’
Steen op ze hood
11: 26 uur
[gebruikersnaam]
Knal ze neer
(..)
(..)
03:03 uur
[gebruikersnaam]
Klappen gegeven en ze tellie afgepakt
03:03 uur
[afzender 6]
Bouchansss
03:03 uur
‘.’
soldaat
(..)
De verdachte in de onderhavige zaak wordt veroordeeld voor art. 141a Sr: “Hij die opzettelijk gelegenheid, middelen of inlichtingen verschaft tot het plegen van geweld tegen personen of goederen wordt gestraft met gevangenisstraf van ten hoogste drie jaren of een geldboete van de vierde categorie.”
Artikel 141a Sr is ingevoerd om te kunnen optreden tegen groepen (voetbal)vandalen die elkaar opzoeken voor een gewelddadig treffen, zonder dat daartegen effectief kan worden opgetreden, aangezien dergelijk treffen vaak kort van tevoren wordt afgesproken. Daarmee zou een doeltreffende aanpak van in het bijzonder voetbalvandalisme worden belemmerd. De rechtbank overweegt dat onder de bestanddelen ‘gelegenheid, middelen of inlichtingen verschaffen’, in ieder geval verstaan het via digitale communicatie bij elkaar oproepen tot een ontmoeting op een bepaalde plaats en tijd en het opzettelijk voorhanden hebben van voorwerpen. Aannemelijk is dat met de bestanddelen gelegenheid, middelen of inlichtingen aansluiting wordt gezocht bij artikel 48 Sr (medeplichtigheid), zij het dat het verschaffen van gelegenheid, middelen of inlichtingen er niet primair toe strekt om te bewegen tot het plegen van geweld. Het gaat erom dat met het verschaffen van gelegenheid, middelen of inlichtingen iemand op het kwade pad kan worden gebracht. Op grond van de inhoud van de berichten en de context waarin deze berichten zijn verstuurd, zoals hierboven weergegeven, stelt de rechtbank vast dat verdachte in de appgroep opzettelijk inlichtingen heeft verschaft tot het plegen van geweld tegen personen van Joodse komaf en/of aanhangers van Maccabi Tel Aviv. Verdachte heeft door op de hiervoor beschreven wijze deel te nemen aan de WhatsAppgroep nauw en bewust samengewerkt met andere deelnemers in die groep. Daarmee acht de rechtbank het tenlastegelegde medeplegen bewezen.
Groepsbelediging
Ook wordt het groepsbelediging (art. 137c lid 1 Sr) door de rechtbank bewezen geacht. De rechtbank stelt op grond van de in paragraaf 5.3.1 genoemde bewijsmiddelen vast dat verdachte in de WhatsAppgroep ‘ [appgroep 1] ’ de berichten “Insha allah zijn er doden gevallen bij de Jode”, “Laffe kk joden” en “Deze kans krijg ik miss nooit meer. Om kk joden te slaan jerusalem” heeft verstuurd. Naar het oordeel van de rechtbank zijn deze uitlatingen, mede gezien de context waarin deze zijn gedaan, beledigend voor een groep mensen, te weten Joden, wegens hun ras en/of godsdienst.
Uitlating in het openbaar?
Voor bewezenverklaring van groepsbelediging als bedoeld in artikel 137c Sr moet verder vast komen te staan dat de beledigende uitlatingen in het openbaar zijn gedaan. Uit de rechtspraak van de Hoge Raad (ECLI:NL:HR:2014:952) volgt dat de volgende omstandigheden van belang zijn bij de vraag of sprake is van openbaarheid:
de omvang van de kring van personen tegenover wie de uitlating is gedaan;
de functie of hoedanigheid van degene tegenover wie de uitlating is gedaan;
het ontbreken van voorafgaande betrokkenheid van degene tegenover wie de uitlating is gedaan bij degene die de uitlating doet;
de mate waarin aan de uitlating door inhoud of vormgeving kenbaar een min of meer vertrouwelijk karakter moet worden ontzegd;
de mate waarin de uitlating geëigend is om aan de inhoud daarvan bekendheid te geven buiten de kring van personen tot wie de uitlating rechtstreeks is gericht;
de mate waarin de uitlating door de wijze waarop zij is gedaan – mondeling, bij brief, per e-mail, door plaatsing op een voor anderen toegankelijke site of anderszins – vatbaar is voor kennisneming door anderen dan de rechtstreeks geadresseerde, en
de kans dat de inhoud van de uitlating ter kennis komt van anderen dan degenen tot wie de uitlating rechtstreeks is gericht.
De rechtbank overweegt dat verdachte de uitlatingen heeft gedaan in de WhatsAppgroep ‘Buurthuis 2’. Dit betrof een WhatsAppgroep waar men makkelijk aan kon deelnemen: door simpelweg op een link te klikken werd toegang tot de groep verleend en deze link werd kennelijk rondgestuurd in andere WhatsAppgroepen. De Whatsappgroep bestond op het moment van veiligstellen uit 966 deelnemers. Verdachte heeft zich in deze groep tegenover willekeurige personen geuit die hij niet kende. Deze uitlatingen zijn choquerend en van vertrouwelijkheid was geen sprake.
Gezien het aantal deelnemers in de Whatsappgroep was de kans dat de uitlatingen ter kennis kwamen van anderen dan de personen in de groep, aanzienlijk. De rechtbank is daarom van oordeel dat de uitlatingen van verdachte in het openbaar zijn gedaan.
De verdachte wordt veroordeeld tot een gevangenisstraf van tien weken (en zijn iPhone wordt verbeurd verklaard).
Ontmanteling Matrix cryptocommunicatiedienst en strafzaken
Op 3 december 2024 hebben de Nederlandse en Franse autoriteiten de cryptocommunicatiedienst ‘MATRIX’ tijdens ‘Operation Passion Flower’ ontmanteld (zie ook deze blog). Deze dienst wordt door de politie gezien als de als de opvolger van voorgangers als ANOM, Sky ECC en EncroChat. In het persbericht staat dat ruim 2,3 miljoen berichten zijn onderschept. Deze berichten worden gebruikt in strafzaken.
Moord op Peter R. de Vries
Eerder kwam de politie de cryptocommunicatiedienst ook al tegen in opsporingsonderzoeken. Zo speelde cryptocommunicatiedienst speelde bijvoorbeeld een rol in de moord op Peter R. De Vries. In haar uitspraak (ECLI:NL:RBAMS:2024:3272) van 12 juni 2024 overweegt de rechtbank Amsterdam bijvoorbeeld dat in de auto van de verdachte een Google Pixel telefoon werd aangetroffen, met de ‘Matrix chatapplicatie’ en het NFI die telefoon heeft ontsleuteld.
De telefoons werden aan de verdachten gekoppeld en speelden een belangrijke rol in de lokalisering van de verdachten dat zeer uitvoering in de uitspraak wordt beschreven. Daarbij zijn ook verkeersgegevens en zendmastgegevens van de telefoons van verdachten opgevraagd. De inhoud van de berichten en foto’s die zijn verstuurd, in combinatie met verkeersgegevens en ander bewijs, droegen ook bij aan het bewijs tegen de verdachten. Zo beschrijft de rechtbank de inhoud van een bericht over ‘het wapen naar huis brengen en de auto achterlaten’ en dat de verdachte om 18:58 uur het bericht stuurt hij dat een medeverdachte ‘niet met het wapen mag spelen’.
Later zal in het vonnis stelt de rechtbank vast dat [medeverdachte K.W.] op 5 juli 2021, samen met [medeverdachte K.E.] , omstreeks 18:49 uur wapens heeft opgehaald in Alphen aan den Rijn. En dat met één van die wapens, een omgebouwd gas- en alarmpistool van het merk Zoraki, Peter R. de Vries is neergeschoten. Later in dit vonnis zal de rechtbank vaststellen dat ook op dit wapen DNA van [medeverdachte K.W.] is aangetroffen.
De rechtbank Overijssel overweegt in een andere uitspraak van 16 juli 2024 (ECLI:NL:RBOVE:2024:3798) over een moord in de Dominicaanse Republiek dat de verdachte van (het medeplegen van poging van de) de moord in verbinding met de opdrachtgevers via Google Pixel telefoons, met daarop klaarblijkelijk MATRIX-applicaties. Ook de overige leden van de criminele organisatie kregen deze telefoons door de organisatie verstrekt. De verdachte zorgde ervoor dat zijn “soldaten” ook zo’n telefoon kregen. Ze communiceerden met elkaar door te chatten via MATRIX-accounts.
De verdachte werd onder andere geïdentificeerd door informatie verkregen uit een doorzoeking van zijn woning. Hierbij werd een Google Pixel-telefoon in beslag genomen, waarmee werd gecommuniceerd via MATRIX-apps. Uit deze telefoon bleek dat de verdachte betrokken was bij diverse strafbare feiten, zoals het voorbereiden en (mede)plegen van een aanslag, evenals het bezit en de overdracht van wapens.
Foto’s gemaakt met de telefoon van de verdachte en een medeverdachte toonden bijvoorbeeld verschillende wapens, waarvan een aantal later daadwerkelijk werd aangetroffen op locaties die aan de verdachte en zijn medeverdachten verbonden waren. Uit de communicatie blijkt dat hij medeverdachten instrueerde en logistieke ondersteuning bood, zoals het regelen van tickets naar de Dominicaanse Republiek en het verstrekken van middelen zoals wapens.
De rechtbank overweegt dat als een opdracht is uitgevoerd dat moet worden bewezen door het tonen van foto’s, video’s of berichtgeving waarin het strafbare feit door de media wordt beschreven. Dit werd via de ‘makelaar’ aan de opdrachtgever gestuurd. Het lijkt erop dat alles voor de opdrachtgever werd vastgelegd ter controle van de makelaar en de soldaten. De verdachte heeft dit laatste ter zitting bevestigd.
Veroordeling n.a.v. de iSpoof operatie
Op 8 oktober 2024 veroordeelde de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2024:5743) een verdachte voor bankhelpdeskfraude met behulp van de iSpoof applicatie. iSpoof is een spoofingdienst waarmee gebruikers eenvoudig hun eigen telefoonnummers verbergen en zogenaamd bellen namens een ander (zie ook deze blog over de operatie).
Om gebruik te kunnen maken van spoofing moet betaald worden aan iSpoof en worden de gesprekken via een bepaalde server gevoerd. De politie heeft de gesprekken die via deze applicatie werden gevoerd afgetapt. Deze gesprekken zijn vervolgens beluisterd en deze worden gebruikt in strafzaken, waaronder in de onderhavige zaak.
De rechtbank overweegt dat in dit geval het weergegeven telefoonnummer dat de persoon die gebeld wordt ziet, het zogenaamde Caller-ID, is geconfigureerd met behulp van een applicatie. Het is dus niet het werkelijke nummer van de beller, maar een gespooft nummer. De gespoofte nummers die de slachtoffers in deze zaak zagen lijken sterk op nummers die door banken worden gebruikt en werden daarom ook vertrouwd door de aangevers.
Modus-operandi bankhelpdeskfraude
De modus-operandi van de verdachte en anderen in de periode half februari 2023 tot half maart 2023 worden door de rechtbank in de volgende zes stappen omschreven:
De daders weten de hand weten te leggen op persoonsgegevens van slachtoffers, zogenaamde leads. Zo beschikken de daders over namen, telefoonnummers en bankrekeningnummers (van één bank; in de onderhavige zaak de Triodos bank) van een groot aantal potentiële slachtoffers;
Vervolgens belt één van de (veelal vrouwelijke) daders, de zogenaamde social engineer, het potentiële slachtoffer. Zij stelt zich voor onder een valse naam en zegt werkzaam te zijn op de fraudeafdeling van de, in deze zaak, Triodos Bank. In de onderhavige zaak werd meerdere malen de naam [A] gebruikt;
De social engineer creëert al snel een penibele situatie door het slachtoffer voor te houden dat een groot bedrag van de bankrekening was geprobeerd te halen, dat de bank dit had weten te voorkomen en de bankpassen omgeruild moeten worden omdat die besmet zijn. Haast is geboden;
De social engineer biedt een helpende hand en geeft aan dat het programma Anydesk (een externe desktopapplicatie) dient te worden gedownload om de rekening en de systemen van het slachtoffer op virussen te kunnen controleren. Hoewel de social engineer aangeeft dat dit een anti-virusscanner is, is dit in werkelijkheid een remote control applicatie waarmee de social engineer op afstand kan meekijken met wat het slachtoffer op zijn/haar scherm ziet en doet;
De social engineer bemachtigd de pincodes en eventuele andere inloggegevens van de betaalpas(sen) en/of creditcard(s) van het slachtoffer door hem/haar de pincodes hetzij in te laten spreken, hetzij in te laten voeren op het scherm;
De komst aan huis van een collega van de bank wordt aangekondigd. Deze meldt zich ook daadwerkelijk kort daarna aan de deur en identificeert met een alias en een controlenummer. Dit nummer heeft de social engineer aan het slachtoffer doorgegeven. Deze zogenaamde collega van de social engineer wordt (veelal) door de slachtoffers binnen gelaten. Aldaar worden de bankpassen doorgeknipt, waarbij de chip in stand gelaten wordt, waarna deze collega – met de passen – weer vertrekt. In enkele gevallen is ook een telefoon en/of tablet meegegeven voor controle op virussen. Doorgaans wordt in de uren na dit bezoek geld afgeschreven van de bankrekeningen van de slachtoffers. Naar later blijkt door pintransacties en aankopen.
De rechtbank concludeert dat de verdachte heeft zich samen met anderen meermalen schuldig gemaakt aan bankhelpdeskfraude. Door middel van het handelen van de verdachte en de medeverdachten zijn op slinkse wijze de bankpas(sen) en/of creditcard(s), pincode(s), telefoons en tablets van de slachtoffers bemachtigd om daarmee geld van de bankrekeningen op te nemen.
Straf
De verdachte wordt door de rechtbank schuldig bevonden aan het medeplegen van oplichting en witwassen, diefstal, valsheid in geschrifte en medeplegen van computervredebreuk. Zij krijgt 240 dagen jeugddetentie opgelegd, waarvan 235 dagen voorwaardelijk met een proeftijd van twee jaar met oplegging van bijzondere voorwaarden (o.a. contactverbod met medeverdachte en behandeling bij De Waag) en een onvoorwaardelijke taakstraf van 200 uur in de vorm van een werkstraf. Ook moet de verdachte diverse schadevergoedingen aan benadeelde partijen betalen. De rechtbank heeft in de strafoplegging rekening gehouden met de positieve wending die de verdachte in haar leven heeft gemaakt en daar zelf een grote rol in heeft gespeeld.
Veroordeling voor het witwassen van meer van 10 miljoen euro n.a.v. de Exclu operatie
De rechtbank Zeeland-West-Brabant heeft op 28 november 2024 een uitspraak (ECLI:NL:RBZWB:2024:8122) gedaan op basis van bewijs dat is verzameld tijdens de Exclu-operatie in 2022. Deze uitspraak is interessant vanwege de overwegingen omtrent de rechtmatigheid van het opsporingsonderzoek, het delict witwassen en het gebruik van cryptovaluta.
Het onderzoek ‘Grand Canyon’ was een deelonderzoek van onderzoek 26Lytham, dat tot doel had de identiteit te achterhalen van NN-gebruikers van het Exclu-platform. Berichtenverkeer tussen gebruikers van Exclu is onderschept en ontsleuteld. Omdat de server van Exclu zich op dat moment in Duitsland bevond, heeft voor de interceptie van de berichtenstroom en het verkrijgen van de sleutels een hack plaatsgevonden op de server. De Duitse politiële autoriteiten zijn daartoe overgaan, nadat Nederland hiertoe een verzoek heeft gedaan.
Rechtmatigheid onderzoek
De rechtbank oordeelde dat het onderzoek rechtmatig was. De Nederlandse rechter-commissaris gaf machtigingen voor het aftappen en hacken, waarbij werd voldaan aan de beginselen van proportionaliteit en subsidiariteit. Zo werden vooraf vastgestelde zoeksleutels gebruikt die wezen op zware georganiseerde criminaliteit. De rechter-commissaris heeft de geselecteerde informatie eerst gecontroleerd (op inhoud, omvang en relatie tot strafbare feiten) voordat verdere verspreiding onder het onderzoeksteam heeft kunnen plaatsvinden en de verlengingen van de machtigingen werden periodiek getoetst. Volgens de rechtbank kon de informatie niet op een andere, minder ingrijpende, wijze kon worden verkregen en gebruikt dan de gehanteerde manier.
Equality of arms
Bij de beoordeling van het beginsel ‘equality of arms’ stelde de rechtbank vast dat het procesdossier alle relevante stukken bevatte. De verdediging had toegang tot de dataset van het aan verdachte gekoppelde Exclu-account en beschikte de verdediging over de dataset van de aan het verdachte gekoppelde Exclu-account en kon zij het dossier controleren. Ook is de raadsman de toegang verschaft tot de gehele dataset van Exclu op het politiebureau. De rechtbank is van oordeel dat onderzoeksresultaten tijdig met de verdediging zijn gedeeld en zij daardoor voldoende mogelijkheden heeft gehad om het bewijs te bestuderen en te verifiëren.
Bewijsoverwegingen
De rechtbank neemt in de onderhavige zaak meerdere bewijstukken in overweging. De rechtbank gebruikt voor het bewijs meerdere chatberichten die de verdachten op verschillende tijdstippen aan verschillende accounts hebben gestuurd en de reacties hierop. Naast de chatgesprekken zelf zijn er ook foto’s gestuurd. Het betreft bovendien niet alleen gesprekken via het Exclu-platform, maar ook via andere berichtenapps, zoals Whatsapp en Signal. Daarnaast bevinden zich in het dossier stukken over het forensisch onderzoek en overige bevindingen door verbalisanten. Daarmee is naar het oordeel van de rechtbank sprake van meerdere bewijsmiddelen uit meerdere bronnen en wordt in zoverre aan het bewijsminimum voldaan.
Op basis van de in de chatberichten gebruikte termen, de bijgevoegde foto’s waarop de drugs en (pre-)precursoren pontificaal zijn afgebeeld, het besproken (productie)proces en de (door de verdachte) vermelde bedragen, is het naar het oordeel van de rechtbank evident dat de berichten daadwerkelijk over verdovende middelen en de daarvoor benodigde grondstoffen zijn gegaan.
Witwassen met cryptocurrencies
De verdachte wordt ook schuldig bevonden aan witwassen. Aan de verdachte worden twee cryptovaluta-accounts toegeschreven. De politie heeft alle transacties bestudeerd in de periode van 12 maart 2020 tot en met 3 februari 2023. Uit de berekening blijkt dat op het Binance-account en gezamenlijk in totaal in cryptovaluta is ontvangen: – 10.073.734,94388 USDT;
– 15,95958 BTC;
– 2.335,43416 XMR;
– 9,58803 ETH.
Deze cryptovaluta hebben een geschatte tegenwaarde vertegenwoordigd van € 9.961.937,- op het moment dat de cryptovaluta zijn ontvangen.
In deze zaak is geen direct verband te leggen tussen een concreet misdrijf en het geld en de cryptovaluta waarop de tenlastelegging ziet. Dat betekent dat er geen gronddelict bekend is. Daarom wordt gebruikt gemaakt van het in de jurisprudentie ontwikkelde stappenplan. De rechtbank stelt dat dat de verdachte ook betrokken is geweest bij de handel in grondstoffen (de aankoop, import en overdracht) en de verkoop van het eindproduct. Het is een feit van algemene bekendheid dat bij dergelijke feiten in dit criminele milieu grote hoeveelheden cash geld omgaan. Dit doet zich ook in onderhavig geval voor. Het bezit van grote contante geldbedragen door privépersonen is hoogst ongebruikelijk vanwege het risico van onder meer brand en diefstal, waarbij het geldbedrag in dergelijke gevallen niet is verzekerd. De bankbiljetten zijn ook niet veilig en geordend opgeborgen, maar gebundeld met elastiek in pakketten bewaard op plekken die aan het zicht onttrokken zijn. Bovendien zijn coupures met een hoge waarde (€ 200,- en € 500,-), waarvan in dit geval sprake is, in veel gevallen uitgesloten van het regulier betalingsverkeer in Europa. Verdachte heeft daarnaast nog eens tussen 12 maart 2020 en 3 februari 2023 grote bedragen cryptovaluta ontvangen en betaald, terwijl grotendeels niet duidelijk is geworden naar/van wie en waarom de betalingen zijn verricht.
Er is onderzoek gedaan naar de financiële situatie van de familieleden van verdachte, alsmede naar de inkomens- en vermogenspositie van verdachte zelf. Verdachte en zijn familie hebben geen (bekend) toereikend legaal inkomen dat het voorhanden hebben van voormeld contant geldbedrag en de ontvangsten en betalingen via cryptocurrency zouden kunnen rechtvaardigen.
De rechtbank is op basis van het vorenstaande van oordeel dat de aangedragen feiten en omstandigheden zodanig van aard zijn dat er zonder meer sprake is van een vermoeden van witwassen. De financiële situatie van verdachte (en zijn familie) kunnen niet verklaren dat er de beschikking is over een contant vermogen van € 617.170,- en een bedrag aan cryptovaluta van € 9.961.937,-. Onder deze omstandigheden mag van verdachte een verklaring worden verlangd over de herkomst van deze geldbedragen.
De rechtbank legt voor het medeplegen van voorbereidingshandelingen ex. artikel 10a van de Opiumwet en gewoontewitwassen een gevangenisstraf op van vijf jaar en een geldboete van € 50.000,-.
Vrijspraak voor gewoontewitwassen door reseller EncroChat-telefoons
Op 12 november 2024 heeft de Rechtbank een verdachte vrijgesproken (ECLI:NL:RBROT:2024:11353) van gewoontewitwassen van geld dat is verdiend met de handel in Encrochat-telefoons.
De officier van justitie verweet de verdachte dat hij een gewoonte heeft gemaakt van het witwassen van bijna twee miljoen euro, door dat geld te verwerven, voorhanden te hebben, over te dragen, om te zetten en/of daarvan gebruik te maken. Volgens de officier van justitie heeft de verdachte samen met zijn broer en een medeverdachte het in de tenlastelegging genoemde geld verdiend met handel in Encrochat-telefoons. Encrochat wordt hier beschreven als een communicatiedienst met als belangrijkste doel om de geheimhouding van de communicatie en de gebruikers te garanderen. De Encrochat-telefoons worden wereldwijd aangeboden en geleverd door zogenoemde ‘resellers’. De officier van justitie acht bewezen dat de verdachte zo’n reseller is geweest. Bewezen zou kunnen worden ‘dat het geld waarmee de telefoons zijn gekocht misdaadgeld is en dat de verdachte dit heeft witgewassen door dat geld als betaling voor de telefoons te accepteren, dit te herinvesteren en voor privé-uitgaven te gebruiken’.
Dat bewijs is volgens de officier van justitie enerzijds gebaseerd op het feit van algemene bekendheid dat de klanten van de verdachte criminelen zijn die hun geld met misdaad verdienen. Voor zover er telefoons zijn gekocht met geld dat niet uit misdaad afkomstig is, gaat dit om zulke kleine hoeveelheden dat dit door vermenging met misdaadgeld ook wordt witgewassen. Anderzijds of misschien in het verlengde daarvan kan witwassen volgens de officier van justitie worden bewezen omdat het niet anders kan zijn dan dat het geld uit misdrijf afkomstig is. Daarvan is volgens vaste jurisprudentie van de Hoge Raad sprake als de feiten en omstandigheden waaronder de telefoons werden verkocht een vermoeden rechtvaardigen dat het niet anders kan zijn dan dat het geld uit enig misdrijf afkomstig is, terwijl de verdachte geen concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring heeft gegeven dat het geld niet van misdrijf afkomstig is. Die feiten en omstandigheden zijn hier aanwezig. De verdachte heeft ook geen concrete, verifieerbare en min of meer aannemelijke verklaring over een legale herkomst gegeven, waardoor de politie daar ook geen onderzoek naar heeft kunnen doen. De rechtbanken Den Haag en Rotterdam hebben eerder in min of meer vergelijkbare zaken op grond van overeenkomstige redeneringen witwassen bewezen verklaard, waarbij de officier van justitie in het bijzonder heeft gewezen op de Ennetcomzaak (rechtbank Rotterdam, 21 september 2021, ECLI:NL:RBROT:2021:9085), die ging over Ennetcom, een vergelijkbare aanbieder als Encrochat.
De rechtbank oordeelt echter anders. De rechtbank merkt op dat het tenlastegelegde bedrag is verdiend met de verkoop van de cryptotelefoons. Het gaat dus uitdrukkelijk niet om geld dat de verdachte zelf met een eigen handel in Encrochat-telefoons zou hebben witgewassen.
Anders dan de officier van justitie heeft gesteld, is niet wettig en overtuigend bewezen dat de kopers van de telefoons hebben betaald met geld dat van misdaad afkomstig is. Wel heeft de rechtbank bewezen geacht dat de medeverdachte een groot deel van het in de tenlastelegging genoemde geld heeft witgewassen en daarvan een gewoonte gemaakt door structureel geen aangifte te doen van en belasting af te dragen over omzet en verdiensten met de Encrochat-telefoons. Er is alleen geen bewijs dat de verdachte de belastingmisdrijven die als verwervingsdelict ten grondslag liggen aan het gewoontewitwassen heeft medegepleegd. Er is ook geen bewijs dat de verdachte het geld dat de medeverdachte zelf heeft verworven door geen belasting af te dragen tezamen en in vereniging met de medeverdachte voorhanden heeft gehad, heeft overgedragen, heeft omgezet of daarvan gebruik heeft gemaakt.
De rechtbank spreekt de verdachte vrij van het ten laste gelegde feit.
Veroordeling voor simswapping en “andere cyberfeiten”
Op 25 november 2024 veroordeelde (ECLI:NL:RBNNE:2024:4600) de rechtbank Noord-Nederland een verdachte voor onder andere simswapping en “andere cyberfeiten”. De politie beschrijft simswapping als het overnemen van de simkaart van mobiele telefoon. Slachtoffers hebben dan geen toegang meer tot het netwerk en iemand kan zich daarmee voordoen als iemand anders. Het slachtoffers is ook vaak de toegang kwijt tot de accounts waarvoor met sms een tweestapsverificatie is ingesteld. De uitspraak zelf vind ik niet zo helder. Dit nieuwsbericht is bijvoorbeeld duidelijker. De samenvatting van de zaak op basis van deze twee bronnen is als volgt.
De verdachte heeft in deze zaak onrechtmatig ingelogd op het netwerk van een dealer van T-Mobile. Op deze manier konden via het klantensysteem van T-Mobile zogenaamde simswaps worden uitgevoerd met als doel om telefoonnummers van klanten van T-Mobile over te nemen om daarmee te frauderen.
Daarnaast heeft de verdachte in de ‘My T-Mobile-accounts’ van particulieren ingebroken. Ook hierna konden simswaps worden uitgevoerd met als doel om telefoonnummers van klanten van T-Mobile over te nemen en vervolgens met deze telefoonnummers te frauderen. Dat heeft verdachte ook gedaan en onder andere – grote hoeveelheden cryptovaluta (zoals Bitcoin en Ethereum) heeft weggenomen.
Tot slot heeft verdachte zich beziggehouden met het versturen van phishing smsjes en een “sms-bom” naar 25.000 nummers uit naam van de Belastingdienst en de Rabobank, waarna soms ook telefonisch contact plaatsvond. In die gevallen heeft verdachte zich samen met een ander voorgedaan als medewerker van de Belastingdienst, waarna slachtoffers grote bedragen afhandig werden gemaakt. De verdachte verstuurde bijvoorbeeld in een phishing-sms dat zij een belastingschuld hadden en dat er beslag gelegd zou worden als zij niet op een betaallink klikten. Hierbij deed de verdachte zich voor als de medewerker van een bedrijf.
De rechtbank vindt het extra kwalijk dat de verdachte reeds eerder voor soortgelijke cyberfeiten is veroordeeld en in een proeftijd liep. Dit heeft hem er niet van weerhouden om direct na zijn vrijlating uit de gevangenis in maart 2023 door te gaan met computervredebreuk, phishing, diefstal en oplichting. Net als de officier van justitie en de reclassering ziet de rechtbank een groot recidivegevaar. De rechtbank houdt hiermee in de straf rekening mee en veroordeeld de verdachte tot 42 maanden gevangenisstraf en een geldboete van ongeveer 8000 euro.
Veroordeling voor phishing creditcardgegevens
Op 9 september 2024 veroordeelde (ECLI:NL:RBNHO:2024:11020) de rechtbank Noord-Holland een verdachte voor oplichting en computervredebreuk. In de zaak komt de modus-operandi van de dader en het proces van digitale opsporing helder naar voren.
In de zaak komt de modus-operandi van de dader en het proces van digitale opsporing helder naar voren. De uitspraak is pas later gepubliceerd.
In deze zaak gaat het over phishing van creditcardgegevens. In de woorden van de rechtbank is phishing een vorm van oplichting via het internet waarbij het slachtoffer wordt verleid om bepaalde, veelal financiële, gegevens te delen. De link in de phishing e-mail leidde in dit geval naar een zogenaamd ‘phishing panel’. Dat is een website die is vormgegeven alsof het de website van de creditcard uitgever is. Op die website wordt de bezoeker gevraagd om gegevens in te voeren zoals rekeningnummer, pasnummer, geboortedatum, creditcardnummer en cvc-code.
De beheerder van het phishing panel kan met de ingevoerde gegevens, nadat de creditcard uitgever de zogenaamde 2FA-code (een twee factor authenticatiecode) heeft verstrekt, vervolgens de controle krijgen over de creditcards en daarmee betalingen te doen. Het doel hiervan is zoveel mogelijk (creditcard) gegevens van mensen te achterhalen om vervolgens deze gegevens te kunnen misbruiken voor eigen financieel gewin.
In de onderhavige zaak werden de aangevers verleidt zich via een hyperlink te identificeren om hun creditcard te kunnen deblokkeren. Nadat aangevers hun (persoons)gegevens hadden ingevoerd op de phishing website, werden deze gegevens direct, door middel van een bot, doorgestuurd naar onder meer de Telegramkanalen. Op het moment dat de gephishte gegevens werden ontvangen, werden via de betreffende Telegram-app pushmeldingen gestuurd naar de telefoon van de phisher, zodat die direct aan de slag kon met deze gegevens. De phisher kon vervolgens de rekeningen van aangevers koppelen aan de ICS-app op zijn eigen apparaat, waarna hij online aankopen kon betalen met de creditcards van de aangevers. Op die manier zijn er meerdere bedragen afgeschreven van de rekeningen van aangevers.
In het onderzoek zijn door de politie (persoons)gegevens van meerdere cardhouders van ICS aangetroffen. Deze cardhouders bleken vergelijkbare phishing e-mails te hebben ontvangen. Naar aanleiding hiervan heeft ICS, namens haar klanten, eveneens aangifte gedaan.
Uit het onderzoek naar de phishing websites blijkt dat gebruik is gemaakt van twee verschillende phishing websites. Deze phishing websites worden gehost door een Nederlandse hosting partij, genaamd Serverion B.V. Uit informatie van Serverion volgt dat de betalingen voor het hosten van de phishing websites zijn gedaan met bitcoins. De bitcoin wallet waarmee de betalingen zijn gedaan is in rechtstreeks verband te brengen met een wallet bij Binance, die op naam van de verdachte staat en waaraan het telefoonnummer van de verdachte is gekoppeld. Bovendien heeft de verdachte verklaard dat hij de gebruiker is van het e-mailadres.
Verder bleek uit nader onderzoek dat de back-end van de phishing websites stelselmatig werd bezocht door het IP-adres. Dit IP-adres blijkt te zijn gekoppeld aan het woonadres van de verdachte. Ook het telefoonnummer van de verdachte straalt zendmasten aan in de buurt van dat woonadres van de verdachte op de momenten dat de phishing websites vanaf dat dat IP-adres worden benaderd. Uit onderzoek blijkt verder dat dit IP-adres de phishing websites niet meer heeft benaderd na de aanhouding van de verdachte op 30 januari 2024. Bij de verdachte zijn meerdere telefoons in beslag genomen. De verdachte heeft verklaard hiervan de gebruiker te zijn. Uit onderzoek naar deze toestellen is gebleken dat hierop de aanmaak van onder meer de Telegram bots zijn terug te vinden. De verdachte heeft verklaard dat hij toegang had tot deze groepen en dat hij ook een aantal maal de gephiste gegevens heeft gebruikt om aankopen mee te doen.
De rechtbank overweegt dat de verdachte e-mails heeft verstuurd aan vele e-mailadressen, waarin stond dat de ontvangers zich online moesten identificeren om hun creditcard te kunnen deblokkeren. Met de gephishte gegevens heeft de verdachte zichzelf via de ICS-app toegang verschaft tot de creditcards van de slachtoffers, en daarmee vervolgens online aankopen gedaan. De verdachte heeft technische hulpmiddelen voorhanden gehad om daarmee computerfraudedelicten te plegen. De verdachte is bovendien het systeem van ICS wederrechtelijk binnengedrongen nadat hij de (persoons)gegevens van de slachtoffers middels phishing had ontvangen. Daarnaast heeft de verdachte een vuurwapen, te weten een gasvuurwapen in de vorm van een revolver, voorhanden gehad.
Gelet op de ernst van de feiten heeft de rechtbank bij de strafoplegging ook oog voor het afschrikwekkende effect dat daarvan uit moet gaan. Naar het oordeel van de rechtbank kan dan ook niet worden volstaan met een andere straf dan met een gevangenisstraf voor de duur van 30 maanden, met aftrek van de tijd die de verdachte in verzekering en voorlopige hechtenis heeft doorgebracht, waarvan 6 maanden voorwaardelijk met een proeftijd van drie jaren. Ten slotte moet hij een schadevergoeding van € 36.722,70 aan International Card Services B.V. betalen.
Op 24 november 2022 publiceerde de Nationale Politie een persbericht over het ontmantelen van iSpoof. Het Cybercrimeteam Midden-Nederland heeft in nauwe samenwerking met de London Metropolitan Police Service een onderzoek gedaan – ‘Operation Elaborate’ – naar de internationale spoofingdienst iSpoof.
Wat is iSpoof?
iSpoof is een spoofingdienst waarmee gebruikers eenvoudig hun eigen telefoonnummers verbergen en zogenaamd bellen namens een ander. In dit geval gaat het om het vervalsen van telefoonnummers. Dat betekent dat het weergegeven telefoonnummer dat de persoon die gebeld wordt ziet, het zogenaamde Caller-ID, is geconfigureerd met behulp van een applicatie. Het is dus niet het werkelijke nummer van de beller, maar een gespooft nummer.
In de praktijk wordt deze dienst veel gebruikt door oplichters die slachtoffers bellen en zich daarbij voordoen als bijvoorbeeld een bank of overheidsorganisatie. Slachtoffers worden vervolgens met slinkse praatjes misleid om bank- of privégegevens prijs te geven of geld over te boeken. Dit heet bankhelpdeskfraude.
Verloop van de operatie
Op de website ‘ActionFraud’ vermeld de Britse politie:
The Met’s Cyber Crime Unit began investigating iSpoof in June 2021 under the name of Operation Elaborate. It was created in December 2020 and had 59,000 user accounts.
Investigators infiltrated the site and began gathering information alongside international partners.
The website server contained a treasure trove of information in 70 million rows of data. Bitcoin records were also traced.
De uitbater van iSpoof is op zondag 6 november 2022 door de London’s Metropolitan Police Service gearresteerd. Diezelfde week is de dienst iSpoof offline gehaald. Op 8 november 2022 werden de website en de server in beslag genomen en offline gehaald door de Amerikaanse en Oekraïense autoriteiten. De FBI heeft daarbij beslag gelegd op de domeinnaam ispoof.cc.
De politie vermeld dat door middel van een tap op de servers in Almere de Nederlandse politie inzicht kreeg in hoe gebruikers van iSpoof.cc te werk gaan. Daaruit werd duidelijk dat gebruikers wereldwijd per maand circa een miljoen gesprekken, of pogingen daartoe, voerden. In Nederland gaat het om vermoedelijk duizenden telefoontjes per maand.
Uit een uitspraak van rechtbank Noord-Nederland van 12 januari 2024 (ECLI:NL:RBNNE:2024:51) blijkt dat op de server van iSpoof een tap actief stond in de periode van 4 juni 2022 tot en met 5 september 2022. Uit die tap werd volgens de politie duidelijk dat gebruikers wereldwijd per maand circa een miljoen gesprekken, of pogingen daartoe, voeren.
Resulaten
De Nederlandse politie deelde haar informatie over criminele gebruikers met Europol en andere landen. Volgens Europol waren er naar aanleiding van de operatie in november 2022 al 142 arrestaties verricht. De Britse Metropolitan Police stelt dat in 12 maanden (tot augustus 2022) ongeveer 10 miljoen telefoongesprekken zijn gevoerd.
Naar schatting van Europol hebben criminelen met iSpoof.cc in 16 maanden tijd meer dan 3,7 miljoen euro verdiend. De criminelen betaalden de dienst veelal in bitcoin. Volgens het artikel ‘Grootste fraudezaak in Britse geschiedenis’ in de Volkskrant zijn 200 duizend mensen op deze wijze opgelicht. Gemiddeld verloren slachtoffers die aangifte deden 10.000 pond. De geschatte schade is volgens de Britse autoriteiten meer dan 100 miljoen GBP (circa 115 miljoen EUR).
De politieorganisaties hebben ook de “promotievideo” van iSpoof ‘gespooft’ om te benadrukken welke sporen klanten achterlaten en wat dit voor hen kan betekenen.
Vervolgingen in Nederland n.a.v. de Operation Elaborate
De rechtbank Noord-Nederland veroordeelde (ECLI:NL:RBNNE:2024:51) bijvoorbeeld op 12 januari 2024 een verdachte voor grootschalige bankhelpdeskfraude, waarbij tientallen personen zijn gedupeerd met een totaal schadebedrag van circa € 800.000,-.
Voor de bewijsvoering worden bijvoorbeeld metadata en inhoudelijke gesprekken uit de tap gebruikt, en daarnaast transactie- en gebruikersdata uit de servers. Mogelijk volgen er nog andere uitspraken naar aanleiding van deze bijzondere politieoperatie.
Deze website gebruikt alleen cookies die strikt noodzakelijk zijn voor de werking en om berichten te plaatsen. Dit betekent dat er geen extra cookies ingezet worden voor marketing, tracking of analyse.
De noodzakelijke cookies worden automatisch geplaatst door WordPress.com en zorgen ervoor dat de website veilig, functioneel en toegankelijk blijft.
Op de website van het moederbedrijf Automatticc.com/cookies is meer te lezen over de cookies die automatisch worden geplaatst door websites die worden gehost door WordPress.com.
7,5 jaar geleden, in maart 2017, verscheen het eerste persbericht op OM.nl over het veiligstellen van berichten die zijn verstuurd met ‘cryptotelefoons’ (ook wel ‘PGP-telefoons’ genoemd) van Ennetcom met de titel ‘Versleutelde berichten: schat aan criminele informatie‘. Sindsdien zijn er negen cryptcommunicatiediensten ontmanteld en gegevens van deze telefoons (met name de berichten gekoppeld aan de verzenders en ontvangers) zijn veiliggesteld. De gegevens wordt geanalyseerd en gebruikt als bewijs in opsporingsonderzoeken.
Deze ‘cryptophone-operaties’ heb ik in de onderstaande tijdlijn gevat:
Hieronder volgt verder een overzicht van de cryptophone-operaties op basis van blogberichten.
De cryptophone-operaties zijn bijzonder belangrijk voor de strafrechtpraktijk en toch is er net na de operaties relatief weinig bekend over het verloop daarvan. In de media worden de cryptophone-berichten ook wel een ‘goudmijn aan bewijs’ genoemd en de gegevens vormen een game changer voor de politie. Strafrechtadvocaten trekken vaak de rechtmatigheid van de operaties in twijfel, maar vooralsnog lijkt de verdediging bot te vangen. Op 13 april 2023 maakte de Landelijke Eenheid ook bekend dat de politie inmiddels 1 miljard “criminele chats” in handen heeft. Duidelijk is wel dat dit om “bulkdata” gaat en dit de brandstof levert voor de nieuwe strategie van “datagedreven opsporing” van de politie en het Openbaar Ministerie.
Voor een presentatie heb ik in oktober 2024 de gepubliceerde uitspraken van rechtbanken (in eerste aanleg dus) op rechtspraak.nl waar in strafzaken een cryptotelefoon wordt genoemd op een rijtje gezet en in onderstaande tabel en diagram geplaatst.
Let op: dit is een indicatie van het aantal veroordelingen en verdeling tussen de cryptotelefoons. Uiteraard zijn er minder uitspraken van meer recente operaties en het komt vaak voor dat meerdere telefoons in één zaak genoemd worden. Neem de cijfers dus met een korreltje zout.
De grote hoeveelheid jurisprudentie en onduidelijkheid over de ‘wat’, ‘wanneer’ en ‘hoe’-vragen vormde voor mij aanleiding dit overzicht te maken (ook voor mijzelf voor toekomstige publicaties). Daarbij heb ik mij gebaseerd op persberichten van het OM, de politie en rechtspraak. Voor iedere operatie liggen de feiten en grondslagen waarop de gegevens zijn verzameld weer anders. In een enkele operatie zijn er serieuze overwegingen over de betrouwbaarheid van de gegevens meegeven. Het is daarom belangrijk steeds af te vragen en na te gaan met welke cryptophone-operatie we in casu te maken hebben.
Hieronder volgt een kort antwoord op deze vragen met links naar de desbetreffende blogs over de operaties.
Ennetcom was een Nederlandse dienstverlener voor versleutelde “PGP” communicatie. De app werd geïnstalleerd op een Blackberry telefoons. De oprichters van het bedrijf zijn uiteindelijk veroordeeld voor deelname aan een criminele organisatie, gewoontewitwassen en medeplegen van valsheid in geschrifte. Tijdens de operatie zijn 3,7 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 9 maart 2017.
PGP Safe was de merknaam voor een cryptotelefoon. De software werd geïnstalleerd op Blackberry toestellen. Tijdens de operatie zijn 700.000 berichten veiliggesteld, waarvan er destijds ruim 337.000 ontsleuteld en leesbaar werden gemaakt. Het OM richtte zich aanvankelijk op de leveranciers (‘resellers’) van PGP-cryptotelefoons (met wisselend succes). De operatie werd bekend gemaakt op 9 mei 2017.
IronChat was een app dat geïnstalleerd op Wileyfox-telefoons of Samsung-telefoons (Android). De telefoons technisch zo zijn ingericht dat er geen gebruik gemaakt kan worden van de camera, microfoon of wifi. Bij deze telefoons werd gebruik gemaakt van van end-to-end encryptie door middel van het zogenaamde OTR (Off-The-Record) protocol. Ook was het mogelijk chats of de gehele inhoud van de telefoon op commando te wissen. Het onderzoek richtte zich zowel op de leveranciers als gebruikers van de telefoons. Tijdens de operatie zijn 258.000 berichten veiliggesteld. De operatie werd bekend op 6 november 2018.
EncroChat was een communicatieaanbieder van telefoons, waarmee middels de Encrochat applicatie versleutelde chats, bestaande uit tekstberichten en afbeeldingen, konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden. Gebruikers kochten een telefoontoestel, zoals een Android telefoon, waarop de EncroChat applicaties vooraf geïnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. Geschat wordt dat er wereldwijd destijds tussen de 55.000-60.000 EncroChat telefoons werden gebruikt, waarvan circa 12.000 Nederlandse gebruikers waren en circa 3000 Franse gebruikers. Tijdens de operatie zijn circa 115 miljoen berichten veiliggesteld. De operatie werd bekend gemaakt op 2 juli 2020.
Sky ECC is de naam van het bedrijf dat een versleutelde berichtendienst aanbood. De telefoons werden aangeboden door het bedrijf ‘Sky Global’. Een Sky ECC-toestel is een mobiele telefoon die voorgeprogrammeerd is op iPhones, Google Pixels, Blackberry’s en Nokia’s en met een abonnement ter beschikking werd gesteld. Met de telefoon was het mogelijk versleuteld met elkaar te communiceren. In 2021 had het bedrijf wereldwijd 170.000 gebruikers. Tijdens de operatie zijn naar verluid 1 miljard berichten veiliggesteld, waarvan 500 miljoen ontsleuteld konden worden. De operatie werd bekend gemaakt op 9 maart 2021.
ANOM was een zogenoemde ‘store front’, oftewel een zelf opgezette communicatiedienst door opsporingsautoriteiten. De operatie stond onder leiding van de FBI en de Australische Federal Police met het doel om verdachten van criminele organisaties te identificeren. Tijdens de operatie zijn 27 miljoen berichten onderschept. De operatie werd bekend gemaakt op 8 juni 2021.
Exclu is een type cryptotelefoon, die het mogelijk maakt berichten, foto’s, notities, gesproken memo’s, chatconversaties en video’s met andere Exclu-gebruikers uit te wisselen. Exclu had volgens naar schatting 3000 gebruikers, waarvan 750 Nederlandstaligen. De politie en het Openbaar Ministerie konden vijf maanden de berichten van Exclu-gebruikers meelezen. De operatie werd op vrijdag 3 februari 2023 bekend gemaakt.
De app Ghost bood de een keuze in drie versleutelstandaarden voor versleutelde communicatie en de optie om berichten op de telefoon te vernietigen als een code werd verstuurd. Slechts enkele duizenden personen maakten gebruik van de software, dat draaide op zijn eigen infrastructuur in verschillende landen. De operatie werd op 18 september 2024 bekend gemaakt.
MATRIX werd door de politie gezien als de als de opvolger van voorgangers als ANOM, Sky ECC en EncroChat. De cryptocommunicatiedienst bood een heel ecosysteem aan applicaties aan, waaronder de mogelijkheid om te (video)bellen, transacties bij te houden en geanonimiseerd te internetten. De dienst in een app aangeboden op met name Google Pixel telefoons. MATRIX had minstens 8000 gebruikers wereldwijd. Gedurende en aantal maanden zijn 2,3 miljoen berichten onderschept. Op 4 december 2024 is de operatie bekend gemaakt.
Hoe?
1. Ennetcom (2016) In totaal is 6 Terabyte aan gegevens veiliggesteld bij het Nijmeegse telecombedrijf Ennetcom op een server in Nederland en van een server in Toronto (Canada). Door de Canadese politie zijn de gegevens gekopieerd. Na analyse van de data bleken de kopieën 3,7 miljoen berichten en 193.000 notities te bevatten. Daarnaast bevatte de server de private sleutels van de gebruikers van de klanten van de verdachte. Een Canadese rechter stelde de dataset na een rechtshulpverzoek ter beschikking aan Nederland.
2. PGP Safe (2017) Na een rechtshulpverzoek is een doorzoeking uitgevoerd bij een datacentrum in Costa Rica. Tussen 9 mei 2017 te 18.00 uur en 11 mei 2017 te 09.00 uur zijn bestanden gekopieerd. De BlackBerry Enterprise Server (BES)-infrastructuur bevond zich in twee serverkasten waarvan er één sinds 2012 en één sinds 2016 aan PGP-safe was verhuurd. Het onderzoek is beperkt tot de serverkast die was verhuurd sinds 2012. In overleg met de Costa Ricaanse autoriteiten is bij het veiligstellen prioriteit gegeven aan de zich op die server bevindende virtuele machines met cryptografisch sleutelmateriaal en aan de virtuele machines met emailberichten. De datadragers, waarnaar de data zijn gekopieerd, zijn door de Costa Ricaanse autoriteiten verpakt en overgedragen aan de Nederlandse autoriteiten.
3. Ironchat (2017) Het betrokken Nederlandse bedrijf maakte gebruik van een telecomserver in het Verenigd Koninkrijk. Middels een Europees Onderzoeksbevel (EOB) kreeg het onderzoeksteam de beschikking over een kopie (een ‘image’) van de server van het Nederlandse bedrijf. In het Verenigd Koninkrijk werd zelfstandig onderzoek gedaan naar de versleutelde berichten die via deze server waren verzonden. Van 3 oktober 2018 tot 2 november 2018 werd overgegaan tot het ‘live intercepteren en decrypten van de server’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik van de dataset in opsporingsonderzoeken in Nederland en de gegevens overgedragen.
4. EncroChat (2020) Via JIT en EOB’s in een complex verhaal. Franse autoriteiten verzamelden gegevens met inzet hacking tool en door interceptie op de servers van 1 april 2020 tot 20 juni 2020. Ook zijn images van de servers beschikbaar gesteld door Frankrijk aan Nederland. Nederland zou betrokkenheid hebben gehad in de ontwikkeling van de tool en/of decryptie van de gegevens.
5. Sky ECC (2020) Via JIT en EOB’s in een complex verhaal. Nederlandse technici hebben binnen het JIT een techniek ontwikkeld om een kopie te maken van het werkgeheugen van één van de SkyECC-servers zonder dat die offline zou gaan. De interceptie en kopieën van gegevens hebben gefaseerd plaatsgevonden. Naar verwachting heeft het grootste deel van de interceptie plaatsgevonden vanaf de toestemming door een Franse rechter vanaf 18 december 2020 tot 9 maart 2021, de dag dat de operatie publiek werd.
Door een ‘spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’ door de Verenigde Staten van Amerika aan Nederland. De operatie betrof een samenwerking tussen de Verenigde Staten en Australië. Ook stemde een derde land – Litouwen – in met het aanvragen van een rechterlijke machtiging zoals daar vereist was om een iBot server voor de Anom-berichten aldaar te kopiëren en de FBI van de kopie te voorzien conform een rechtshulpverzoek. In oktober 2019 verkreeg het derde land een rechterlijke machtiging.
Vanaf 21 oktober 2019 begon de FBI de serverinhoud van het derde land te verkrijgen. Sinds dat moment heeft de FBI de inhoud van de iBotserver in het derde land op basis van het rechtshulpverzoek bekeken. Ze hebben de berichten indien nodig vertaald en meer dan 20 miljoen berichten van 11.800 toestellen van 90 landen wereldwijd gecatalogiseerd. De top vijf van landen waar de toestellen gebruikt worden betreft Duitsland, Nederland, Spanje, Australië en Servië.
De Nederlandse opsporingsdiensten zouden niet betrokken zijn geweest bij de verkrijging van de gegevens. Wel heeft de Nederlandse software ontwikkeld waarmee de berichten konden worden geanalyseerd en geduid. Deze software is ook beschikbaar gesteld aan Europol, zodat deze dienst de gegevens kon analyseren en beschikbaar stellen aan andere landen.
In Duitsland stond een server bij Cyberbunker en die server is veilig gesteld. Tijdens de operatie is ook de hackbevoegdheid ingezet ten behoeve van een opsporingsonderzoek naar de betrokkenheid naar misdrijven die worden gepleegd in georganiseerd verband. Daardoor kon de politie gedurende vijf maanden de berichten van Exclu-gebruikers meelezen. Bij beschikking van 25 augustus 2022, daarna vijf keer verlengd, heeft de rechter-commissaris machtiging verleend voor het hacken van de server van Exclu in Duitsland. Deze beschikkingen en de verlengingen daarvan werden steeds gevolgd door Europese onderzoeksbevelen (EOB’s) gericht aan de bevoegde Duitse autoriteiten.
Het platform is in Australië sinds 2022 in het vizier gekomen van de Australian Federal Police (AFP). Nadat internationale partners zich ook richten op Ghost gingen ze samenwerken in een Operational Taks Force (OTF) bij Europol. De Australische autoriteiten hebben de Ghost telefoons via een update hebben geïnfecteerd met software (dus gehackt) en daarmee toegang kregen tot gegevens op de telefoons. Verder is nog veel onduidelijk.
De politie meldt dat zij ruim 2,3 miljoen berichten wisten te onderscheppen en een aantal maanden lang konden meelezen. De infrastructuur bestond naar verluid uit meer dan 40 servers, verspreid over meerdere landen, met de belangrijkste servers in Frankrijk en Duitsland. De dienst werd vanuit Spanje aangestuurd door de hoofdverdachte met een Litouwse nationaliteit. De operationele details blijven vooralsnog onbekend.
Op 3 december 2024 hebben de Nederlandse en Franse autoriteiten de cryptocommunicatiedienst ‘MATRIX’ ontmanteld. Deze dienst wordt door de politie gezien als de als de opvolger van voorgangers als ANOM, Sky ECC en EncroChat.
Geheel in de stijl van ‘The Matrix’ werden gebruikers van de dienst via de website ‘https://www.operation-passionflower.com’ geïnformeerd over de take down.
Werking Matrix
De cryptocommunicatiedienst bood een heel ecosysteem aan applicaties aan, waaronder de mogelijkheid om te (video)bellen, transacties bij te houden en geanonimiseerd te internetten. De dienst werd onder diverse namen aangeboden, waaronder ‘Mactrix’, ‘Totalsec’, ‘X-quantum’ en ‘Q-safe’.
De dienst in een app aangeboden op met name Google Pixel telefoons. Een toestel met abonnement van zes maanden kostte tussen de 1300 en 1600 euro. Nieuwe gebruikers konden alleen een toestel krijgen als ze werden uitgenodigd.
Bron: Afbeelding uit het persbericht op Politie.nl, ‘Opnieuw versleutelde communicatiedienst criminelen ontmanteld’, 3 december 2024.
Het tijdschrift Panorama bericht dat Matrix in Nederland vooral berucht werd door de rol die de cryptocommunicatiedienst had bij de aanslag op Peter R. de Vries. Kort na de aanslagen werden de twee uitvoerders opgepakt, in bezit van een speciale telefoon waarmee zij via Matrix communiceerden. Dit is een uitspraak waar naar de moord op Peter R. de Vries waarbij ook naar een Matrix-telefoon gerefereerd wordt: Rb. Amsterdam 12 juni 2024, ECLI:NL:RBAMS:2024:3272. Ook kwam de app volgend de website voor in de vermeende plannen van Ridouan Taghi om uit de Extra Beveiligde Inrichting (EBI) te ontsnappen. Dankzij tijdig ingrijpen wisten autoriteiten deze gewelddadige plannen te verijdelen.
Operation Passion Flower
De politie meldt dat zij ruim 2,3 miljoen berichten wisten te onderscheppen en (volgens Panorama drie maanden lang) mee te lezen. Deze gegevens kunnen vervolgens worden gebruikt in opsporingsonderzoeken in andere landen. Europol en Eurojust ondersteunden de internationale operatie. De politie werkte drie jaar lang samen met andere politieorganisaties.
In juni 2024 werd bij Europol een operationele taskforce (OTF) opgericht tussen Nederland, Frankrijk, Litouwen, Italië en Spanje. De OTF zal volgens Europol ook assistentie verlenen bij onafhankelijke vervolgonderzoeken op basis van inlichtingen die tijdens de live-fase van de operatie zijn verzameld. De Duitse autoriteiten ondersteunden de operatie met hun technische expertise. Ook de Spaanse autoriteiten zouden vanaf het begin van het onderzoek hebben samengewerkt met de Franse en Nederlandse autoriteiten.
De operationele details blijven vooralsnog onbekend. De quote in de Telegraaf dat “Met behulp van specialistische kennis en expertise op het gebied van digitale technologie is het ons toch gelukt om de geavanceerde, zwaarbeveiligde berichtendienst te onderscheppen” zegt natuurlijk niets.
Bron: infographic ‘Take down of Matrix’ by Europol, 3 December 2024, europol.europa.eu
MATRIX had minstens 8000 gebruikers wereldwijd, maar de gebruikers bevonden zich grotendeels in Zuid-Europa. De infrastructuur bestond naar verluid uit meer dan 40 servers, verspreid over meerdere landen, met de belangrijkste servers in Frankrijk en Duitsland. De dienst werd vanuit Spanje aangestuurd door de hoofdverdachte met een Litouwse nationaliteit. Deze verdachte is aangehouden op verzoek van de Nederlandse autoriteiten in het Spaanse Marbella.
Matrix had mogelijk ook gebruikers die zich kunnen beroepen op het wettelijk verschoningsrecht, zoals advocaten, notarissen, artsen of geestelijken. Zij kunnen dit melden door hun gebruikersgegevens te delen met de politie via geheimhouders@om.nl De politie zal dit controleren en indien gegrond, de gegevens verwijderen.
JJO: Dit bericht wordt geüpdated aan de hand van beschikbare nieuwsberichten en jurisprudentie over de operatie (meest recent op 19 december 2024).
jjoerlemans.com 