Internet Organised Crime Threat Assessment (iOCTA) rapport 2020

Eersgisteren (5 oktober 2020) heeft Europol het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) rapport (.pdf) gepubliceerd. Het lezenswaardige rapport gaat over trends en ontwikkelingen op het gebied van cybercriminaliteit. Het rapport komt tot stand op basis van input en interviews bij opsporingsinstanties en de private beveiligingsindustrie. In deze blog benoem ik enkele opvallende zaken uit het rapport.

Ransomware

Ransomware wordt opnieuw genoemd als de grootste dreiging op het gebied van de ‘cyber dependent crimes’ (cybercriminaliteit in enge zin). De aanvallen worden steeds gerichter uitgevoerd. Ransomware criminelen vallen steeds vaker publieke en private organisaties aan, in plaats van de PC’s van individuen. Op die manier kunnen ze meer losgeld eisen en is de kans groter dat het (crypto)geld ook daadwerkelijk wordt overgemaakt. In de periode 2019-2020 zijn in de Europese Unie gemeenten, ministeries, ziekenhuizen, universiteiten, middelbare scholen, fabrieken, banken, energiebedrijven en bedrijven in de transportsector slachtoffer geweest van ransomware.

Europol beschrijft de volgende modus operandus bij ransomware. Bij aanvallen verschaft een cybercriminele groep eerst toegang tot computers in het netwerk van het slachtoffer (na verkenning ‘reconnaissance’). Vervolgens wordt de toegang verkocht aan een andere groep cybercriminelen die de IT-infrastructuur in kaart brengen, toegang verschaffen tot meer computers, gegevens exfiltreren, etc. Vervolgens worden de computers geïnfecteerd met ransomware en zo de ransomware uitgerold op gehele netwerk (incl. back-ups). Steeds vaker wordt niet alleen losgeld geëist, maar wordt ook gedreigd met het publiceren van gestolen gegevens van gevoelige aard van de slachtoffers. Als het losgeld niet wordt betaald, dan worden de gevoelige gegevens gepubliceerd of verkocht aan de hoogste bieder. Er bestaan zelfs ransomware-onderhandelaars bij cybersecuritybedrijven die een bekende zijn van ransomwarebendes en korting bedingen bij het te betalen losgeld. Ransomwarefamilies zoals ‘Sodinokobi’, ‘Maze’, ‘Doppelpaymer’, ‘Nemty’ en ‘Snatch’ staan er om bekend gegevens te publiceren over hun slachtoffers. Europol verwacht dat andere cybercriminelen deze modus operandi overnemen.

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Darknet markets en cryptogeld

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf verder onder druk te zetten. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Op dit moment is er geen ‘darknet market’ die alle andere markten domineert. Wel vermeld Europol dat ‘Dread Market’ al drie jaar actief is, wat tegenwoordig uitzonderlijk is. In het rapport wordt opgemerkt dat de reputatie van de e-maildienst met sterke versleuteling ‘Protonmail’ minder populair is dan voorheen bij darkweb gebruikers, omdat ze ervan worden verdacht samen te werken met opsporingsinstanties. Zij maken nu vaker gebruik van nieuwe versleutelde e-maildiensten als ‘Sonar’ en ‘Elude’ en communicatiediensten als ‘Discord’, ‘Wickr’ en ‘Telegram’.

Bij Bitcoin waren in 2016 naar schatting 20% van de transacties gerelateerd aan criminele activiteiten. In 2019 is dat nog naar schatting nog maar 1,1% (volgens ChainAlysis). Toch is de hoeveelheid geld dat kan worden gerelateerd aan criminele activiteiten gestegen, volgens Europol. Het gaat dan vooral om transacties vanuit darknet markets, diefstal en ransomware. Monero is inmiddels the most established privacy coin op darknet markets, gevolgd door Zcash en Dash. Met betrekking tot diefstal is het opvallend dat in 2019 tien publieke hacks plaatsvonden bij crypto-uitwisselingskantoren, waarbij in totaal 240 miljoen euro aan cryptogeld werd gestolen. Toch is dat minder dan in 2018, waarbij onder andere bij de Japanse exchange ‘Coincheck’ 500 miljoen euro aan cryptogeld werd gestolen. Europol beschrijft ook dat opsporingsonderzoeken naar witwassen met cryptocurrencies steeds uitdagender worden, vanwege ‘mixing services’, ‘privacy coins’ en uitwisselingskantoren die onvoldoende anti-witwasmaatregelen nemen.

Kinderpornografie

Ten slotte rapporteert Europol al vele jaren achter dat de hoeveelheid kinderpornografie stijgt (‘child sexual abuse materials’ genoemd). Kinderpornografie via ‘live streaming’ stijgt ook. Europol verwijst voor een verklaring ook naar de COVID-19 crisis, waardoor er minder capaciteit is bij de politie. Europol geeft aan dat kinderpornografiegebruikers steeds vaker maatregelen nemen om zo anoniem mogelijk te blijven en beveiligingsmaatregelen nemen om detectie door opsporingsinstanties te voorkomen. Steeds vaker kinderpornografisch materiaal verkocht, waarbij het materiaal wordt geüpload bij een hosting dienst en geld wordt verdiend aan ‘credits’ op basis van het aantal downloads. Vermoedelijk kunnen de credits worden ingewisseld voor ‘echt geld’.

Europol noemt ook een internationale politie operatie (de Nederlandse politie wordt prominent genoemd) waarbij de website ‘DarkScandals’ offline is gehaald. Daarop stonden seksvideo’s die zonder toestemming waren gemaakt en geplaatst en daarnaast gewelddadige seksvideo’s met verkrachting, marteling, mensenhandel en kinderpornografie. Het betreft een zogenoemde ‘pay to view’ website, waarbij de bezoeker de mogelijkheid geboden wordt om tegen betaling video’s of foto’s te verkrijgen van (jonge) vrouwen die seksuele handelingen verrichten of seksueel worden misbruikt. Betaling kon achterwege blijven als de gebruiker (user) zelf videomateriaal uploadt. Video’s moesten wel aan de voorwaarde voldoen dat ze echte verkrachting, afpersing, pesterijen van seksuele aard met naakte vrouwen, extreme betasting of seksuele slavinnen laten zien (zie ook persbericht OM).

De ‘administrator’ is een Nederlander die vermoedelijk 2 miljoen doller heeft verdient aan de verkoop van het materiaal op de website. De verdachte wordt onder andere vervolgd voor de verspreiding van kinderpornografie en witwassen.  

Death by ransomware

On 10 September 2020, ransomware infected 30 servers at University Hospital Düsseldorf, crashing systems and forcing the hospital to turn away emergency patients. As a result, German authorities stated that a woman in a life-threatening condition was sent to a hospital 20 miles away in Wuppertal and died from treatment delays. On 28 September, another alarming news article stated that ‘a major hospital chain’ was targeted with ransomware in ‘more than 400 locations’ (!) across the USA. Ransomware is malicious software (malware) that blocks access to someone’s computer system or files on the system and subsequently demands a ransom to be paid for unlocking the computer or files. For years, ransomware is the no. 1 popular malware among cybercriminals (see Europol).

In this blog post, I examine these incidents and reflect upon them from a Dutch legal perspective, because ransomware incidents in hospitals also take place in the Netherlands. I also consider whether IT systems in healthcare are a ‘vital infrastructure’, which may receive special protection from the Dutch National Cyber Security Centre.

Murder by ransomware?

Ransomware targeting hospitals is unfortunately not new. In 2016, news reports mentioned ransomware targeting a hospital in Los Angeles (USA). The Dutch government stated that between 2014 and 2017, four incidents occurred with ransomware in Dutch hospitals. The EU cyber security agency ENISA warned in 2018 that ransomware increasingly targeted medical devices and hospitals in order to demand a higher amount in ransom, as opposed to infecting computers of individuals. Individuals will only pay for decrypting one PC for example, whereas business and hospitals may pay hundreds of thousands of euros to decrypt many computers (such as servers storing valuable information).

Earlier this year (2020), a ransomware attack occurred at a hospital in Leeuwarden, the Netherlands. These attacks may seek to infect computers with ransomware to earn money, but may also lead to different types of extortion when perpetrators demand payment under threat of releasing medical records.

In Germany, the ransomware infections have led to an unfortunate chain of events, in which the unavailability of computers made it impossible to take care of certain patients in their hospital. News articles mention how authorities contacted the cybercriminals to shut down their ransomware, because they infected computers at a hospital and threatened the lives of patients. The cybercriminals, supposedly unaware their malware infected computers in a hospital complied, but it was unfortunately too late for one patient.

As such, the German public prosecution service is investigating whether the perpetrators can be charged with murder. The high sentence for this most serious crime makes it an attractive option for prosecution authorities, reflecting the seriousness of the consequences of this particular attack. In the Netherlands, many articles in our Penal Code can also be considered in a situation like this, such as article 161sexies(3), which states that infecting a computer with malware that endangers the life of person and results in their death can lead to imprisonment for a maximum of 15 years.

Difficulties in prosecuting for ransomware

Gathering the necessary evidence to prosecute the suspect can be extremely difficult, especially when the suspect resides outside the investigating State’s territory (in my PhD thesis ‘Investigating Cybercrime’ I researched these problems extensively). Usually, ransomware is deployed to earn money in cryptocurrency (such as Bitcoin). In our open access article ‘Laundering the profits of Ransomware’ published last summer, we (Custers, Oerlemans & Pool) examined the relationship between money laundering and ransomware. Possibly, this research may provide insights for law enforcement authorities to collect evidence based on the money trail in ransomware incidents. But maybe it works more like the cyber security guru ‘The Grugq’ said on Twitter:

Prediction: The ransomware kid — who’s hacking lead to a woman’s death in Germany — has done more for advancing cyber norms than any paper, book, article, talk, conference, round table, etc etc. have ever managed to accomplish.”

Cyber security and hospitals in the Netherlands

The incident in Germany made me wonder what the state of security is at hospitals in the Netherlands. It seems to me that when computer systems are adequately secured, network traffic is monitored and the IT infrastructure is separated, catastrophic security incidents like the above can be avoided in some cases, or the seriousness of the consequences can be reduced.

A quick look into parliamentary history reveals quite some attention for cyber security in hospitals, usually after an incident occurred. Over the years, parliamentary members questioned the minister of Justice and Security several times about the state of cyber security of hospitals (see, these answers to parliamentary questions in 2016, 2017, 2018, and recently these answers in 2020 regarding a cyber security incident at hospitals in Leeuwarden). The Dutch government emphasized repeatedly in their response that IT security at hospitals is their own responsibility and not a ‘vital process’ relating to national security that requires extra (national) protection.

In August 2020, this position changed somewhat with new legislation that grants the National Cyber Security Centre the task to aid in security incidents for organisations in the healthcare sector. Over the years, the National Cyber Security Centre set up an ‘Information Sharing and Analysis Centre’ (ISAC) for the healthcare sector to facilitate information sharing regarding threats. Also, a ‘Computer Emergency Response Team’ (CERT) was set up for the healthcare sector (“Z-CERT”).

Hopefully, these serious cyber security incidents inside and outside the Netherlands lead to some real changes in order to properly secure vital IT infrastructures, such as the infrastructure of hospitals. There appears to be a tension in finding the correct balance in relying upon the private protection of IT-systems and providing enough security with aid of the National Cyber Security Centre. It is interesting to see how this may change in the near-future.

This is cross post from Montaigne Blog.

— UPDATE —-

It turns out the German patient would have died due to her medical conditions, regardless of the ransomware attack. In this interesting in-depth Wired article, the doctor states it will be only a matter of time before a patient does die because of a ransomware attack at a hospital.

National security and the processing of personal data

On 10 October 2018, ‘Convention 108’ of the Council of Europe regarding the ‘automatic processing of personal data’ (1985) was updated. Convention 108+ now explicitly incorporates the processing of personal data in a national securitycontext. The Netherlands signed Convention 108+ on 10 October 2018 and is now in the ratification process.

Surprisingly, Convention 108+ did not gain much attention yet. For the Netherlands, the treaty may bring changes to current legislation, because it provides more stringent regulations for the processing of data in a national security context and possibly provides for broader powers for oversight authorities.

Processing data in a national security context within the EU
Convention 108+ contains basic principles and provisions for processing personal data, as well as standards regarding oversight mechanisms and the international transfer of data. Many provisions are similar to the General Data Protection Regulation (GDPR).

However, the GDPR does not apply to national security and intelligence agencies. The European Union (EU) has no competence to regulate national security law for EU Member States. As a result, regulations for processing data in a national security context differ across the EU.

Convention 108+ may bring more harmonisation of the regulations for processing personal data and oversight mechanisms. The treaty enters into force on 11 October 2023 if there are 38 Parties to the Protocol amending Convention 108. So far, 36 States have signed the new Convention but only six have ratified.

Stricter regulations for processing data
Convention 108+ encompasses many basic principles of data processing, such as the principle of processing data (a) for specified and legitimate purposes; (b) adequate, relevant and not excessive in relation to the purposes for which they are stored; (c) accurate and, where necessary, kept up to date; and (d) no longer stored than necessary (see article 5 of Convention 108+). In addition, categories of sensitive data are identified (and updated in the new protocol) and data subjects gain certain rights (such as the right to be informed and the right to request rectification when informed).

In a national security context (similar to a law enforcement context) some principles do not apply or apply differently, such as the right to be informed of data processing and limitations to the notification principle. It is understandable, that some limitations to the notification principle apply. For instance, when so-called ‘targets’ (in a national security context) or ‘suspects’ (in a law enforcement context) are informed about the processing of their data, they know they are of interest to these national authorities and may then change their behaviour to continue their harmful activities without being detected.

The updated Convention 108+ strengthens the data processing regulations in a national security context. For example, the new Convention does not differentiate levels of protection afforded to a State’s own citizens or foreigners with regard to transborder flows of personal data (adjusted in article 14 of Convention 108+). Some States do apply this differentiation in their national security legislation. In addition, compared to Dutch legislation for national security and intelligence services, the Convention entails a broader definition of ‘sensitive data’, for which stricter regulations apply to process this type of data.

Oversight powers
Convention 108+ may bolster supervision of data processing activities in a national security context. Some oversight bodies for national security and intelligence agencies have access to data located at these agencies and some can even halt unlawful data processing activities. Convention 108+ demands that oversight bodies for data processing activities are independent (similar to the judiciary or a judicial body) and effective. Based on article 15 and 16 of the Convention, to be effective an oversight body must have the power to intervene, such as the possibility to halt data processing activities or even order that unlawfully processed data be deleted.

The new Convention allows for limitations to these far reaching powers in the field of national security and defense, provided that it is done ‘by law and only to the extent that it constitutes a necessary and proportionate measure in a democratic society to fulfill such an aim’. Granting oversight bodies such far reaching powers is a big step, because the fear of States may be that their security and intelligence services will no longer have pieces of information that may be relevant in the future to secure national security (for example to prevent a terrorist attack). However, from the perspective of protecting human rights, it can be argued that this step is part of the requirement of effective review and supervision of intelligence and security services, as interpreted in the jurisprudence of the European Court of Human Rights (ECHR) and pursued by the new Convention 108+.

Now what?
What does this mean for processing personal data for the purpose of national security? For the Netherlands, it means the provisions of Convention 108+ must be implemented in national law. This requires some changes, for example with regard to the aforementioned category of ‘sensitive data’. In addition, the Dutch oversight body for intelligence and security services does not have the binding power to intervene in unlawful data processing activities. The Dutch government must address this issue and decide which changes to law are desirable.

We welcome Convention 108+ because it brings more harmonisation to the regulations for processing data in a national security context and may strengthen oversight bodies for national security and intelligence agencies for States that ratify Convention 108+. It protects the individuals involved in the processing of personal data and provides more legal certainty with regard to the applicable rights and regulations. We look forward to contributing and monitoring the implementation of the treaty throughout the world.

Jan-Jaap Oerlemans & Mireille Hagens

This is cross post from the Montaigne Centre Blog.

Cybercrime jurisprudentieoverzicht augustus 2020

Veroordeling voor oplichting, computervredebreuk, witwassen en het voorhanden van malware

Op 26 juli 2020 heeft de rechtbank Zeeland-West-Brabant een verdachte veroordeeld (ECLI:NL:RBZWB:2020:2699) voor computervredebreuk, het voorhanden hebben van malware, deelname aan een criminele organisatie en oplichting.

De verdachte stuurde spamberichten (phishingberichten) naar slachtoffers met het doel hen om te leiden naar een nepwebsite van een bank voor het aanvragen van een nieuwe pinpas. De slachtoffers voerden hun rekeningnummer, pasnummer, pincode, telefoonnummer en e-mailadres in op de nepwebsite. Deze gegevens werden door de website automatisch doorgezonden naar een mededader. Met deze informatie werd een nieuwe mobiele telefoon geregistreerd voor en bankierapp.

Als dat niet mogelijk bleek, deelde de verdachte de gegevens met een andere mededader, zodat zij de betreffende klant kon bellen om het slachtoffer te overtuigen de registratie te voltooien. Na het scannen van de codes had de criminele organisatie de volledige controle over de rekening van het slachtoffer, alsmede over de daaraan gekoppelde rekeningnummers. Vanaf dat moment kon en werd er, zonder dat daarvoor een code hoefde te worden gescand, een nieuwe betaalpas aangevraagd. Deze betaalpas was nodig om het geld van de rekening van het slachtoffer door te boeken naar een andere rekening.

Via de mobiel bankieren app werden rekeningen van slachtoffers leeggehaald en werden diverse bestellingen gedaan bij webshops. In de woning en auto van verdachte zijn goederen in beslag genomen die afkomstig zijn van een aantal van de genoemde winkels. Ook zijn in de financiële gegevens van verdachte aanwijzingen gevonden voor aankopen bij webwinkels van een totaal van €108.513,81.

In de uitspraak staan enorm veel technische details vermeld. Bijvoorbeeld over hoe de zaak aan het rollen kwam door informatie in de e-mailheader die leidde naar een ‘vps-server’. De leverancier van de vps-server verstrekte vervolgens betaalinformatie van de verdachte over de verhuur van de server. Ook wordt vermeld dat op een inbeslaggenomen Macbook de programma’s “Arkei Stealer” en “Baldr” stonden. Beide programma’s betreffen ‘info stealers’ (een type malware), die van geïnfecteerde computers gebruikersnamen, wachtwoorden, creditcardnummers en andere gevoelige informatie proberen te achterhalen.

Op de inbeslaggenomen Macbook waren 1809 unieke Machine ID’s te zien, afkomstig van “Arkei Stealer”. Van vrijwel ieder besmette apparaat was een schermafdruk gemaakt en waren gebruikersnamen, wachtwoorden en andere identificerende gegevens te zien. De beheerstool om deze gegevens te beheren was ook aanwezig op de laptop.

Uitzonderlijk is nog de volgende overweging van de rechtbank: ‘ook nu realiseert de rechtbank zich dat verdachte het achterste van zijn tong niet heeft laten zien. De BlackBerry, van waaruit de server met malware werd aangestuurd, is immers op slot gebleven. Het vermoeden is dan ook dat ook hier de werkelijke schade (vele malen) groter is dan dat naar voren is gekomen in het dossier.’

De verdachte kreeg een – voor cybercrimezaken relatief zware – gevangenisstraf opgelegd van 3 jaar opgelegd gekregen, waarvan 12 maanden voorwaardelijk met een proeftijd van drie jaar. 

Veroordeling voor witwassen met bitcoins en verkoop van Netflixaccounts

Op 9 juni 2020 veroordeelde (ECLI:NL:RBOVE:2020:1960) de rechtbank Overijssel een verdachte voor (onder andere) schuldwitwassen en het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte krijgt een gevangenisstraf opgelegd van 7 maanden.

In de zaak is sprake een ‘text book’-typologie voor witwassen met virtuele valuta. De verdachte adverteerde namelijk op localbitcoins.com (cash voor Bitcoin) en in de advertentie stond onder meer:

“Afspreken kan bij de Mc Donalds of het station in Zwolle (Overijssel), gedurende de openingstijden van het restaurant.”

– “Ik handel alleen op Localbitcoins.com, geen uitzonderingen.”

– “Ik stel geen vragen over de reden van de transactie.”

De rechtbank noemt verder dat verbalisanten zagen dat de gehanteerde wisselcommissie door verdachte in oktober 2017 circa 17% bedroeg, terwijl de reguliere bitcoin exchanges maximaal 2% hanteren.

De rechtbank overweegt dat, nu de verdachte een substantieel hogere wisselcommissie hanteerde dan het door de reguliere ‘bitcoin exchangers’ gehanteerde tarief en zijn klanten bereid waren dit veel hogere tarief te betalen, de enige logische verklaring daarvoor is dat zijn klanten anoniem wilden blijven. De verdachte heeft zich daarmee schuldig gemaakt aan het schuldwitwassen van contante geldbedragen (in totaal circa 38.000 euro) en een hoeveelheid bitcoins. De rechtbank overweegt ook dat ‘omdat verdachte heeft geweigerd inzage te geven in zijn computers, niet bekend is of de volledige omvang van de witwasactiviteiten van verdachte inzichtelijk is geworden’.

De verdachte wordt ook veroordeeld voor het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte had namelijk duizenden gehackte Netflixaccounts verworven via een ‘darknet market’ (in de uitspraak wordt verwezen naar ‘Hansa Market’) en het downloaden van loginnamen en wachtwoorden via dumtext.com.

Overigens is met de inwerkingtreding van de Wet computercriminaliteit III in 2019 nu ook ‘heling van gegevens’ strafbaar gesteld in artikel 139g Sr. In een zaak met feiten als deze had mogelijk artikel 139g lid 1 sub a Sr ten laste kunnen worden gelegd:

“1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:

a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;”

Cybersecuritybeeld Nederland 2020

Op 29 juni 2020 is het Cybersecuritybeeld Nederland 2020 gepubliceerd. In dit blogbericht ga ik alleen op enkele zaken uit het rapport die mij opvielen. De nogal uitgebreide begrippenuitleg en methodologische verantwoording laat ik begrijpelijkerwijs achterwege. Ook het scenariomodel door TNO is ontwikkeld is voor mijn doeleinden (samenvatten van de meest relevante incidenten of inzichten uit het CSBN niet relevant).

Dit keer herhaal ik ook niet alles wat er staat over de waarschuwing dat de ‘grootste dreiging voor cybersecurity uitgaat van statelijke actoren’ en zij zich vooral richten op de Nederlandse ‘topsectoren’. Er worden geen noemenswaardige voorbeelden gegeven van incidenten en de informatie hierover blijft nogal abstract. Het staat in contrast met bijvoorbeeld de meer gedetailleerde informatie over (jihadistisch) terrorisme en radicale islam in het jaarverslag 2019 van de AIVD.

Ransomware aanval op gemeente Lochem

Bij de aanval op de gemeente Lochem is begin juni 2019 misbruik gemaakt van een kwetsbaarheid in Remote Desktop Protocol (RDP). RDP wordt gebruikt om computers op afstand te beheren. Bij het  incident in Lochem is via brute force-aanvallen op de RDP-poort toegang tot een thuiswerkserver verkregen. Na het inloggen op de server installeerde de aanvaller(sgroep) verschillende applicaties. Hiermee verkreeg hij inzicht in het netwerk en de gebruikers. Bij de aanval werd ransomware ingezet, waardoor een aantal bestanden werd versleuteld. Na de aanval heeft de gemeente besloten om de computersystemen opnieuw in te richten. Zaken als het aanvragen van paspoorten, het registreren van een verhuizing en het aangeven van een geboorte waren hierdoor tijdelijk niet mogelijk. De aanval resulteerde in een schadepost van 200.000 euro. Zie ook deze leuke podcast van de ‘Onderzoeksraad der dingen’ over het incident.

Incidenten bij universiteiten en een hogeschool

Het rapport vermeld dat drie Nederlandse universiteiten en een HBO-instelling eind 2019 en begin 2020 doelwit van overheidshackers. De NOS vermeld dat het vermoedelijk Iraanse overheidshackers waren, maar gek genoeg wordt dit in het rapport niet concreet gezegd. Ze zouden academische kennis zoals boeken en lesmateriaal hebben willen stelen. In februari 2020 was een onderzoeksgroep van de Vrije Universiteit kortstondig slachtoffer van een cyberaanval waarbij de aanvaller uiteindelijk verregaande rechten kreeg op een van de servers waar onderzoeksresultaten op staan. Vandaag was overigens nog in het nieuws dat hackers toegang hadden gekregen tot allerlei gegevens van afgestudeerde studenten van de Technische Universiteit Delft en de Universiteit Utrecht (ai!).

Meer bekendheid kreeg natuurlijk de aanval op de Universiteit Maastricht. De Universiteit Maastricht werd op 23 december 2019 slachtoffer van een ransomware-aanval. De aanvaller verkreeg toegang tot het netwerk van de universiteit, nadat medewerkers twee maanden eerder de link in een phishing e-mail hadden geopend. Nadat toegang was verkregen, heeft de aanvaller meerdere servers gecompromitteerd en het netwerk verkend om zo de toegang tot het netwerk te vergroten. Het is de aanvaller gelukt om volledige administratierechten te krijgen over servers van de universiteit doordat twee servers een zeer belangrijke beveiligingsupdate van mei 2017 misten. Daarna heeft de aanvaller op een deel van de servers de Clop-ransomware uitgerold. Bestanden werden als gevolgd daarvan versleuteld op minimaal 267 servers. Daardoor waren onder andere e-mails, onderzoeken en computers ontoegankelijk en was een aantal websites niet meer bereikbaar. Omdat ook back-up servers geraakt waren, was het herstel complex. De universiteit besloot om €197.000,- losgeld te betalen aan de (vermoedelijk Russische) criminelen om weer toegang te krijgen tot de versleutelde bestanden. De Universiteit heeft aangifte gedaan bij de politie.

Modi operandi cybercriminelen en enkele recente zaken

Het NCSC concludeert dat de modi operandi en ingezette middelen grotendeels gelijk zijn gebleven. Wel vielen de inzet van ransomware door criminele afpersers en het actieve misbruik van kwetsbaarheden door statelijke en criminele actoren op. Verder bleek dat actoren nog steeds zoeken naar zwakke schakels in de leveranciersketen als opstap naar interessante doelwitten.

Over de dreiging van ideologisch gemotiveerde actorgroepen (hacktivisten en terroristen) en insiders, cybervandalen en scriptkiddies rapporteert het NCSC: “al jaren zijn vanuit deze actorgroepen geen substantiële aanvallen tegen Nederland of Nederlandse belangen waargenomen. Er is geen aanleiding te veronderstellen dat dit komende jaren anders is.”

Over cybercriminaliteit verhaald het NCSC verder dat met ondersteuning van Europol een aantal landen een einde maakte aan de activiteiten van het internationaal crimineel GozNym-netwerk, dat gebruik maakte van de GozNym-malware. Hiermee probeerden de criminelen naar schatting in totaal 100 miljoen euro te stelen van meer dan 41.000 slachtoffers. Ook noemt het NCSC de politieactie in januari 2020 waarbij een Nederlandse verdachte aangehouden op verdenking van het online aanbieden van omstreeks 12 miljard inlognamen en gestolen wachtwoorden.

DNS-hijacks

Ten slotte is de waarschuwing over ‘DNS-hijacks’ interessant. Het centrum voor cybersecurity signaleert een ‘interesse aan in het wijzigen van Domain Name System (DNS)-instellingen als aanvalstechniek’. Door DNS-instellingen van organisaties te wijzigen, bijvoorbeeld via het hacken van een ‘registrar’, kan inkomend netwerkverkeer tijdelijk omgeleid en onderschept worden. Dit kan onder andere worden gebruikt voor spionagedoeleinden en kunnen volgens het NCSC een ‘aanzienlijke impact’ hebben op de integriteit van het internet.  

Annotatie bij Macro-malware zaak

Hieronder volgt mijn annotatie (.pdf) bij de Macro-malware zaak.

Citeertitel: Rb. Rotterdam 19 maart 2020, ECLI:NL:RBROT:2020:2395, Computerrecht 2020/88, m.nt. J.J. Oerlemans

Inleiding

De verdachte is in deze zaak veroordeeld (ECLI:NL:RBROT:2020:2395) voor het vervaardigen, verkopen, verspreiden en voorhanden hebben van malware met het oogmerk computervredebreuk te plegen. De verdachte ontwikkelde het programma ‘Rubella Macro Builder’. Het is zogenoemde ‘macro-malware’, omdat het aan Officedocumenten zoals Word en Excel een stuk verborgen code toevoegt die iets uitvoert. De verdachte had het programma zo geprogrammeerd dat het heimelijk verbinding legde met een externe server waardoor cybercriminelen hun eigen malware konden plaatsen op de computers van de slachtoffers. De zaak is interessant, omdat het een van de weinige veroordelingen is voor de vervaardiging van malware door een Nederlander en het misbruik maken van de macro-functionaliteit in Office-documenten een veelgebruikte aanvalstechniek is van cybercriminelen.

Bron: McAfee.

Onderzoek vangt aan door particulier onderzoek

De zaak begon niet met een opsporingsonderzoek door de politie, maar met een onderzoek van cybersecuritybedrijf McAfee. De onderzoekers bij McAfee viel een advertentie op het oog van het programma op een hackersforum. Het screenshot van een geprepareerd Word-document had Nederlandse taalinstellingen. Dat is ongebruikelijk in de hackerswereld, waar de voertaal volgens McAfee doorgaans Engels is. Ook was een chataccount (van Jabber) van een ene ‘Rubella’ te vinden. De onderzoekers namen contact op via Jabber met de aanbieder en toonde interesse in de software.

Nader onderzoek van de malware – ‘Dryad’ genaamd – toonde verschillende functionaliteiten aan, zoals (1) de mogelijkheid een uitvoeringsbestand te downloaden van een aangegeven URL, (2) de mogelijkheid (o.a.) een .exe-bestand op een computer te starten, (3) de bestandsnaam van de download te wijzigen, (4) verschillende functionaliteiten om antivirusprogramma’s te omzeilen, en (5) de functionaliteit een Word- of Excel-document te generen.

Strafbare karakter van feiten

De verdachte wordt het vervaardigen van malware, te weten ‘Rubella’, ‘Dryad’ en ‘Cetan’, ten laste gelegd. Deze typen malware zijn hoofdzakelijk geschikt voor het voorbereiden van het plaatsen van afluister- en/of hackapparatuur (strafbaar gesteld in art. 139d lid 2 sub a Sr jo 138ab Sr). De verdachte heeft deze malware vervolgens verkocht, verspreid, anderszins ter beschikking gesteld en voorhanden gehad. Het fungeert als ‘tool’ voor cybercriminelen (zie r.o. 4.2.1). In 2017 berichtte Europol dat misbruik van de macro-functionaliteit in Office-documenten een veel gebruikte aanvalstechniek is van cybercriminelen.

Zie bijvoorbeeld Europol, ‘Internet organised threat assessment report 2017’, p. 57:

“A common approach is to attach a malicious attachment to an email, often a Microsoft Office document containing malicious macro code – a tactic that Dridex is notorious for resurrecting. Alternatively the message may include a link to a malicious URL which will then attempt to infect the target computer when they visit the site.”

De verdediging voert aan dat de verdachte geen oogmerk had dat met de software computervredebreuk wordt gepleegd. Het benodigde oogmerk voor de strafbaarstelling zou dus ontbreken, waardoor de verdachte moet worden vrijgesproken. De rechtbank gaat daar niet in mee. Er is veel bewijs voorhanden dat tot bewezenverklaring van het benodigde oogmerk leidt. De verdachte zegt in zijn verklaring bijvoorbeeld dat de software is ontwikkeld om antivirusprogramma’s te omzeilen en toegang te krijgen tot andermans computer. Ook verklaart hij ter zitting dat hij op een bepaald moment de Rubella software is gaan verkopen (r.o. 4.2.3). Dat is mijns inziens in feite een bekentenis.

De rechtbank overweegt dat verdachte de producten op hackersfora verkocht en daarop zijn producten aanprees. Zo is te lezen in een digitale advertentie van Rubella dat het mogelijk is om aan deze malware een ‘powershell payload’ toe te voegen. Met ‘payload’ wordt malware bedoeld die een kwaadwillende kan uitvoeren bij zijn slachtoffer. In de advertentietekst wordt verder benadrukt dat het mogelijk is om met deze malware anti-virusdetectie te omzeilen. Tevens wordt benadrukt in de advertentietekst dat de malware al vier weken FUD zou zijn. Wanneer een bestand FUD is, wordt bedoeld dat het niet door antivirussoftware wordt herkend als zijnde een virus, aldus de rechtbank in zijn uitleg van deze zaak met een hoog technisch karakter (r.o. 4.2.3).

De rechtbank leidt het oogmerk onder andere af uit het geanalyseerde berichtenverkeer op telefoon van de verdachte. Hieruit blijkt dat de verdachte zelf het verband al heeft gelegd tussen het maken en verkopen van deze software en de strafbaarstelling op grond van artikel 139d lid 2 sub a Sr (r.o. 4.2.3). De verdachte wordt ook veroordeeld voor het voorhanden hebben van creditcardgegevens van 42 personen, terwijl hij wist dat het mogelijk was om met deze gegevens creditcardfraude te plegen.

De rechtbank acht het ontoegankelijk maken van gegevens met de programma’s niet bewezen, omdat uit de beschikbare dossierinformatie onvoldoende is gebleken dat de door de verdachte vervaardigde en verkochte malware hoofdzakelijk geschikt of ontworpen was om gegevens te wissen of onbruikbaar te maken, dan wel vernieling van een geautomatiseerd werk te plegen (zoals bij ransomware, zie ook Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, m.nt. J.J. Oerlemans en mijn blogbericht over de strafbaarstelling van het vervaardigen en voorhanden hebben van ransomware).

Veroordeling

De verdachte wordt veroordeeld tot 12 dagen gevangenisstraf (de tijd dat hij in voorarrest heeft gezeten) en een taakstraf van 240 uur, met daarbij een voorwaardelijke gevangenisstraf van 180 dagen met een proeftijd van 3 jaren.

Opvallend is dat reclassering adviseerde de verdachte aan te melden bij het programma ‘Hack_Right’ om een positieve draai te geven aan de vaardigheden van de verdachte. Binnen het programma lopen jonge hackers bijvoorbeeld stage bij een cybersecuritybedrijf. De rechtbank vindt het niet nodig dat de verdachte het programma Hack_Right volgt, vanwege ‘de voorwaardelijke gevangenisstraf gedurende een proeftijd van drie jaren en vanwege het leereffect dat van deze strafzaak zal uitgaan voor de verdachte’. De destijds 6,76 Bitcoin (met een waarde van 22.711,97 euro) wordt verbeurd verklaard, omdat deze vermoedelijk met de strafbare feiten zijn verkregen.

De strafoplegging valt tegelijkertijd lager uit dan de officier van justitie heeft geëist. Dat is volgens de rechtbank te verklaren vanwege de overwegingen van de persoon van de verdachte en deels omdat minder wordt bewezen dan de officier van justitie ten laste had gelegd.

Conclusie

Juridisch gezien is er weinig op te merken aan de uitspraak. De rechtbank voert de juiste overwegingen in deze technische zaak en het oordeel van de rechtbank is begrijpelijk. De straf kan als laag worden gezien, omdat de software het mogelijk maakt voor cybercriminelen om op grote schaal computervredebreuk te plegen. De veroorzaakte schade door de software is mogelijk aanzienlijk. Echter, op het delict staat slechts maximaal twee jaar gevangenisstraf en de rechtbank legt een flinke voorwaardelijke gevangenisstraf met proeftijd op. Met deze straf kan de verdachte verder gaan met zijn studie en verder werken aan zijn toekomst.

Het was wel interessant geweest meer te lezen over de bewijsgaring  van de politie onder leiding van het Openbaar Ministerie. Vermoedelijk is een netwerkzoeking ex 125j Sv toegepast toen de politie in de collegezaal de verdachte arresteerde en de laptop van de verdachte doorzocht. In de media is te lezen dat de laptop nog aanstond en de politie bewijs direct heeft verzameld. Het zou goed zijn daar mee over te lezen, omdat er nauwelijks jurisprudentie is over de bevoegdheid van de netwerkzoeking. De advocaat heeft hier echter geen verweer op gevoerd, waardoor de rechtbank Rotterdam er ook geen overwegingen aan hoeft te wijden.

Met name de technische details van de zaak en het geringe aantal veroordelingen voor het vervaardigen van software die als ‘tool’ door cybercriminelen wordt gebruikt, maakt de zaak lezenswaardig.

COVID telecomdata ook voor de AIVD en de MIVD?

Vorige week werd ik door een NOS-verslaggever gebeld over de vraag of de dataset die door telecomproviders moet worden gemaakt om verplaatsingen van het COVID-19 virus na te gaan ook kan worden gebruikt door inlichtingen- en veiligheidsdiensten. Dit is het artikel van de NOS die uiteindelijk volgde. Mijn inbreng is helaas verloren gegaan, maar het leek mij toch goed mijn antwoord nog even mee te geven.

De vraag of de COVID-telecomgegevens ook gevorderd kunnen worden door overheidsdiensten triggerde een klein onderzoek van het wetsvoorstel om er antwoord op te kunnen geven. In het kort is het antwoord: ja, met de bestaande bevoegdheden tot het vorderen van gegevens bij telecomproviders kunnen telecomgegevens, inclusief locatiegegevens, gevorderd worden door  politie en justitie en de AIVD en de MIVD. Maar onduidelijk is welke gegevens straks precies beschikbaar zijn voor overheidsdiensten en deze gegevens iets extra’s beiden ten opzichte van de al bestaande gegevens. Naast mijn uitleg over de bevoegdheden was mijn boodschap met name dat in de toelichting van het wetsvoorstel meer aandacht voor deze vorderingsmogelijkheden op zijn plaats was geweest. Daar moet je wat mij betreft gewoon transparant over zijn en hier kan je anticiperen op zorgen uit de samenleving hierover. Mijn (korte) analyse is verder hieronder te lezen.

Zie ook overigens deze mooie blog post van Jaap-Henk Hoepman over het wetsvoorstel vanuit privacyperspectief, waarbij ook wordt afgevraagd of het wetsvoorstel wel voldoende nut heeft en soortgelijke wetgeving straks ook in andere situaties wordt gemaakt.

Nieuwe gegevensset

Het is wat puzzelen met het wetsvoorstel, maar het lijkt er op dat de telecomproviders een nieuwe gegevensset moeten creëren op basis van de locatiegegevens van simkaarten van gebruikers. Die gegevens moeten worden ‘gepseudonimiseerd’ (hetgeen kan worden teruggedraaid) en vervolgens door de aanbieder (de telecomprovider) worden gecombineerd en verwerkt om ook een inschatting te maken van welke gemeente iemand vandaan komt. De aantallen en ‘herkomstgegevens’ van de apparaten met SIM-kaart worden dan eens per 24 uur verstrekt aan het Centraal Bureau voor de Statistiek (CBS). Het CBS combineert de door de aanbieders los van elkaar verstrekte informatie. Bij het CBS vindt vervolgens een correctie plaats om van de verkregen informatie representatieve gegevens te maken over de Nederlandse bevolking. Het RIVM ontvangt vervolgens weer deze bewerkte informatie van het CBS.

Over de gegevensset staat in de memorie van toelichting op het wetsvoorstel:

“het gaat om tellingen per uur van totaalaantallen mobiele eindapparaten (mobiele telefoons) per gemeente, uitgesplitst naar de afgeleide herkomst van de houder van de telefoon. De afgeleide herkomst wordt door de aanbieder bepaald aan de hand van de gemeente waar het eindapparaat gemiddeld het grootste deel van de tijd verbinding heeft gemaakt met het netwerk van de betreffende aanbieder. Dit wordt geschat door middel van verwerkingen die de aanbieder uitvoert op basis van verkeersgegevens in combinatie met een antennekaart, bodemgebruikkaarten of publieke geografische informatie”. 

“Het beginsel van het verwerken van zo min mogelijk herleidbare data (ook wel: dataminimalisatie) vereist daarbij dat de locatie- en verkeersgegevens in een zo vroeg mogelijk stadium door de aanbieders wordt gepseudonimiseerd, waarbij zij ontdaan worden van alle direct herleidbare data zoals telefoonnummer en IMSI-nummer, en gelabeld worden onder een nieuw uniek identificatienummer.”

Het is mij onduidelijk gebleven hoe lang de gegevens bij de telecomproviders beschikbaar zijn. Als ze heel kort beschikbaar zijn en snel vernietigd worden, zijn ze minder interessant om te vorderen voor overheidsdiensten voor hun taakuitoefening (opsporingsonderzoeken bescherming van de nationale veiligheid). In het wetvoorstel staat over de vernietiging:

“De aanbieders vernietigen de persoonsgegevens die zij genereren ter verkrijging van de informatie die moet worden verstrekt, direct na verkrijging van die informatie.”

Persoonlijk begrijp ik deze bepaling niet goed. Moet nu de gegevensset na verstrekking worden vernietigd, dus hebben aanbieders de gegevens dan maximaal 24 uur de gegevens ter beschikking? Of gaat het om een andere bewaartermijn? De “details” voor de aanlevering van de gegevens worden blijkbaar in een aanwijzing nader bepaald. Hier gaan onder andere ook de zorgen over van de telecomproviders, blijkens dat nieuwsbericht. Opvallend vind ik dat, als ik het goed begrijp, de aanbieders zo ver als mogelijk terug moeten gaan om deze gegevens te genereren (tot 1 januari 2020).

Vorderen van gegevens

In principe kunnen de AIVD en de MIVD op grond van artikel 55 van de Wet op de inlichtingen en Veiligheidsdiensten (Wiv 2017) locatiegegevens van een gebruiker opvragen bij aanbieders van elektronische communicatiediensten, dus ook telecommunicatieproviders. De verstrekking daarvan is niet vrijwillig, dus het is een vorderingsbevoegdheid. Dat is natuurlijk alleen mogelijk in het kader van hun taakuitoefening en voor zover dat in het belang is van de nationale veiligheid (artikel 8 en 10 Wiv 2017). Daarbij moet met name worden gedacht aan de situatie dat een persoon de nationale veiligheid bedreigt. Het gaat dus niet om het opvragen van de hele set aan gegevens, maar de gegevens van een gebruiker van telecomprovider, bijvoorbeeld: wat zijn de locatiegegevens die horen bij het nummer X in de periode X. Overigens kan een iedere instantie op grond van de informantenbevoegdheid in artikel 39 Wiv 2017 wel op vrijwillige basis gegevens verstrekken op verzoek van de AIVD of de MIVD. Een goede bedrijfsjurist zou wat mij betreft bij een dergelijk verzoek tot verstrekking van een hele dataset zich wel moeten afvragen of dat proportioneel en subsidiair is. Toepassing van deze bevoegdheid lijkt mij minder voor de hand te liggen, omdat er een specifieke bestaande vorderingsbevoegdheid is in artt. 54-56 Wiv 2017.

De politie en het OM kunnen ook locatiegegevens vorderen bij telecomproviders op grond van artikel 126nd van het Wetboek van Strafvordering (Sv). Dat is mogelijk in het kader van een opsporingsonderzoek naar een misdrijf en op bevel van een officier van justitie.

Beschouwing

Voorheen moesten telecomproviders op grond van dataretentiewetgeving gebruikersgegevens en verkeersgegevens (waaronder locatiegegevens) bewaren ten behoeve van opsporingsdoeleinden. Deze regeling is onrechtmatig verklaard, maar telecomproviders bewaren nog steeds deze gegevens voor factureringsdoeleinden (bijvoorbeeld: hoeveel data is wanneer verbruikt door abonnee Pietje en vanaf welke antennes verliep de verbinding?). Deze gegevens kunnen met de bovengenoemde bevoegdheden worden gevorderd. Daarom is het de vraag of de ‘COVID telecomdata’ die straks mogelijk wordt opgeslagen, wel van nut is voor de genoemde overheidsdiensten.

Maar als de politie of een veiligheidsdienst deze COVID telecomgevens opvragen, dan zou dat een goed voorbeeld zijn van function creep: de gegevens moeten op basis van wetgeving worden opgeslagen en verwerkt voor een specifiek doel (het in kaart brengen van het aantal mobiele apparaten per gemeente, gedifferentieerd naar herkomst van die apparaten ten behoeve van de virusbestrijding), maar vervolgens worden dezelfde gegevens ook gebruikt voor de andere doelen van opsporing en de bescherming van de nationale veiligheid.

Wat mij betreft was het goed geweest als in de toelichting van het wetsvoorstel werd opgemerkt of de gegevens gevorderd kunnen worden door overheidsinstanties en zo ja, door wie en onder welke voorwaarden. Ook als overheidsinstanties zelf uitsluiten dat de gegevens worden gevorderd (omdat het bijvoorbeeld niets toevoegt t.o.v. bestaande telecomgegevens), dan kan dat van te voren al worden aangegeven.

== UPDATE ==

Inmiddels is de nota van verslag over de wijziging van de Tijdelijke wet informatieverstrekking RIVM over COVID-19 gepubliceerd. Hier gaat de minister wel in op de mogelijkheid van het vorderen of opvragen van de COVID telecomgegevens. De antwoorden bevestigen wat mij betreft de analyse hierboven (ja, de gegevens kunnen mogelijk worden verkregen, maar het biedt geen toegevoegde waarde). Aangegeven wordt dat de gegevens mogelijk kunnen worden opgevraagd op grond van artikel 39 Wiv 2017 en gevorderd kunnen worden op grond van artikel 55 Wiv 2017. Zie verder ook het antwoord op vraag 59:

Daarnaast kunnen de diensten op grond van artikel 55 – een bijzondere bevoegdheid die uitsluitend gericht door de diensten kan worden ingezet, namelijk gerelateerd aan een gebruiker van een communicatiedienst – gegevens opvragen. Deze kan dus niet zien op geaggregreerde niet tot personen herleidbare informatie.

Zoals in het antwoord op vraag 6a van de leden van de VVD-fractie is uitgelegd is daarnaast echter niet te zien op welke wijze deze geaggregeerde niet tot personen herleidbare informatie een bijdrage kan leveren aan de taakuitvoering van de diensten.

Noch de door de aanbieders extra te verwerken gegevens, noch de aan het CBS en RIVM te verstrekken geaggregeerde niet tot personen herleidbare informatie kan een bijdrage leveren aan de taakuitvoering van de diensten, zeker niet ten opzichte van de gegevens die de aanbieders in het kader van hun dienstverlening al verwerken. Daarmee ontbreekt de noodzaak voor de diensten om deze gegevens te verwerven. Als bij de diensten de noodzaak ontbreekt om gegevens te verwerven dan is verwerving op grond van de Wiv 2017 niet mogelijk.

De zorg over het opvragen van de gegevens zijn wat mij betreft met dit antwoord voldoende geadresseerd, hoewel het natuurlijk wat laat in het proces is en ik het liever in de memorie van toelichting had gelezen.

Cybercrime jurisprudentieoverzicht juni 2020

Drugshandel via het darkweb, witwassen van bitcoins en voorbereiden van een aanslag

Op 23 april 2020 zijn in een megazaak door de Rechtbank Overijssel 12 verdachten veroordeeld voor drugshandel via het darkweb, witwassen met bitcoins en het voorbereiden van aanslagen op de voormalige motorclub Satudarah. Het ging om de onderzoeken ‘Metaal’ en ‘Liechtenstein’ (zie ook OM persbericht en dit nieuwsbericht).

De strafbare feiten kwamen volgens het OM aan het licht toen de politie kon meelezen met de cryptofoons (PGP-telefoons) van de verdachten. Het OM kreeg met een Europees Opsporingsbevel (EOB) van de Britse autoriteiten een kopie van de inhoud van een server met PGP-berichten in handen, dat de Nederlandse politie vervolgens op inhoud heeft onderzocht. De Britten hebben op basis van eigen bevoegdheden en met medeweten van een ander bedrijf, de chatberichten onderschept, ontsleutelt en vervolgens die chatberichten doorgeleid naar de Nederlandse autoriteiten (zie Rb. Overijssel 23 april 2020, ECLI:NL:RBOVE:2020:1587, r.o. 4.2).

De rechtbank Overijssel overweegt met betrekking tot het onderzoek Metaal dat de verdachte zich samen met zijn medeverdachten gedurende langere tijd heeft bezig gehouden met omvangrijke drugshandel. Ook werden drugs geproduceerd en vond uitvoer van verdovende middelen naar het buitenland plaats. Zij maakten bij die handel en export onder meer gebruik van het “zogenoemde Darkweb” en verzonden de bestelde drugs in vermomde postpakketten, zoals bijvoorbeeld DVD-hoesjes. Het is jammer dat in deze uitspraak de namen van de desbetreffende darknet markets zijn geanonimiseerd.

De betaling voor de drugs vond plaats in Bitcoin. De politie heeft ook een pseudokoop van drugs op een darknet market uitgevoerd in de zaak ECLI:NL:RBOVE:2020:1587. Ook is het interessant te lezen hoe de politie op basis van de accountnaam van de verdachte als verkoper op drugsforum en de PGP-sleutel, de activiteiten op verschillende darknet markets heeft getraceerd. Ook wordt opgemerkt hoe bepaalde websites niet meer online waren, maar door de politie ‘konden worden bekeken, omdat het Team Darkweb van de Landelijke politie de databases ervan had veiliggesteld’ (r.o. 4.4.3.8). De link met de verdachte en de geldtransacties konden worden vastgelegd op basis van de inhoud van de chatgesprekken, de observaties door de politie van verdachten en de door de politie gemaakte analyse met het programma ‘Chainalysis’ van de geldwissels (r.o. 4.5.3.1)

De bitcoins werden op gezette tijden omgewisseld in contant geld. De verdachten vormden op basis van gelijkwaardigheid een samenwerkingsverband, volgens de rechhtbank. De taken waren en werden in overleg verdeeld. Zij communiceerden daarover met elkaar – en met onbekend gebleven derden – door middel een communicatieapp ‘Ironchat’. Op verschillende plaatsen in Nederland hadden zij werkhuizen en ‘stashplekken’ voor de te produceren en/of te verhandelen drugs. In die panden zijn door de politie niet alleen machines en toebehoren voor de productie van drugs aangetroffen, maar ook verpakkings- en verzendingsmaterialen voor bijvoorbeeld Duitsland, Australië en de Verenigde Staten. Vier mannen krijgen voor de drugshandel via het darkweb, witwassen en deelname aan een criminele organisatie 7 jaar gevangenisstraf opgelegd.

In het onderzoek Liechtenstein ging het ook om internationale drugshandel en witwassen via bitcoins. De verdachten zijn geïdentificeerd door de accounts te koppelen van de verdachten die via de PGP-telefoon of laptops via de applicatie Ironchat met elkaar chatten over het voorbereiden van een aanslag. Twee van de zes verdachten planden meerdere aanslagen op motorclub Satudarah in Enschede. Zij dachten namelijk dat de voormalige motorclub hen had verraden bij de politie, nadat de politie een inval had gedaan bij het Enschedese drugspand. Ook verhandelden de groep XTC-pillen, methamfetamine, cocaïne, heroïne en LSD via sites, zoals ‘Rolex’, ‘Flamingo’, ‘Snapdrugz’, ‘AliExpress’ en ‘Vendor’ op het Darkweb. Via die sites zijn drugsorders uit onder meer Polen, Zweden, Duitsland en Australië bij de groep geplaatst (ECLI:NL:RBOVE:2020:1559, r.o. 4.3.3.1).

Teruggave van bitcoins en waardebepaling

Op 5 oktober 2016 werd een verdachte veroordeeld voor het stelen van elektriciteit ten behoeve van bitcoinmining. Op een van de inbeslaggenomen computers worden 127,3 bitcoins aangetroffen. Na synchronisatie van de wallet met internet blijken er een half jaar 585,5 bitcoins te zijn bijgeschreven, maar de link met de bewezenverklaarde diefstal van elektriciteit ontbreekt. De tegenwaarde van de inmiddels vervreemde bitcoins dient te worden uitgekeerd aan de verdachte, zo beslist het Hof te Den Haag (Hof Den Haag 24 oktober 2018, Computerrecht 2019/54, ECLI:NL:GHDHA:2018:2821, m nt. N. van Gelder). Daarbij sloot het hof kort gezegd aan op de gemiddelde koerswaarde van Bitcoin ten tijde van de inbeslagname. Het middel klaagt over het feit dat niet de bitcoins teruggegeven worden en subsidiair dat de waardebepaling niet klopt. De Hoge Raad verwerpt het beroep (HR 12 mei 2020, ECLI:NL:HR:2020:845).  

De (juridisch complexe) conclusie bij het arrest (ECLI:NL:PHR:2020:249) AG Bleichrodt is met name interessant, omdat daar is te lezen dat ‘de waardebepaling niet aan de rechter is’. ‘Tegen die achtergrond heeft het hof met zijn overwegingen over de waardebepaling van de 585,48591218 bitcoins waarop de last tot teruggave betrekking heeft, blijk gegeven van een onjuiste rechtsopvatting.’ De teruggave van de bitcoins is in dit geval feitelijk niet meer mogelijk. De ‘bewaarder’ dient volgens de AG over te gaan tot uitbetaling van in beginsel de prijs die de bitcoins bij verkoop door hem hebben opgebracht (r.o. 23).

Hoge Raad arrest over bezit kinderporno

Op 12 mei 2020 heeft de Hoge Raad een belangrijk arrest (ECLI:NL:HR:2020:799) gewezen over de vraag of kinderpornoafbeeldingen in een cloudopslagruime (Microsoft’s Skydrive) kwalificeert als ‘bezit’ van kinderporno (zie met name r.o. 2.3.2-2.3.3).

De Hoge Raad beslist dat bezit een fysieke connotatie heeft en mede daarom kinderporno in opslagruimte niet kwalificeert als bezit van kinderporno. Destijds is ‘toegang verschaffen’ tot kinderpornografisch materiaal ook strafbaar gesteld met de overweging dat ‘de voorgestelde aanscherping van artikel 240b Sr biedt een ruimer bereik en vormt een nuttig en wenselijk vangnet voor gevallen die mogelijk niet onder de strafbaarstelling van «bezit» zouden kunnen worden gebracht’ (Kamerstukken II 2008/09, 31810, nr. 3, p. 3-4). Overigens adviseerde AG Knigge in de conclusie bij het arrest dat het beter was gewest afbeeldingen zelf ten laste te leggen in plaats van de gegevensdrager (ECLI:NL:PHR:2020:139, r.o. 4.6.3).

Zie ook deze annotatie van Michael Berndsen (de @cyberadvocaat) over dit arrest op Bijzonderstrafrecht.nl.

E-book over digitaal kinderpornografisch materiaal

Het Kenniscentrum Cybercrime van het Hof Den Haag heeft een informatief boek (.pdf) uitgebracht over de strafbaarstelling van kinderpornografie in artikel 240b Sr. Het boek is geheel geactualiseerd en zeer uitgebreid. Door het in open access beschikbaar te stellen kan ook buiten de rechtspraak van deze kennis gebruik worden gemaakt.

A. Kuijer, J.W. van den Hurk & S.J. de Vries, Artikel 240b Sr. Juridische en digitaal-technische aspecten van strafvervolging wegens gedragingen met digitaal kinderpornografisch materiaal, Kennis Centrum Cybercrime 2020, Rechtspraak.nl

Jaarverslag AIVD en evaluatiecommissie Wiv 2017

Gisteren heeft de AIVD zijn jaarverslag 2019 gepubliceerd. Het is zoals gewoonlijk interessant leeswerk, waar toch verrassend veel details in staan. Landen als Rusland, China en Iran worden bij de naam worden genoemd als landen die spionage bedrijven in Nederland. Ook de lijst met arrestaties van personen van de ‘jihadistische beweging’ op basis van ambtsberichten van de AIVD (op p. 11) is indrukwekkend.

Ook de MIVD heeft eind april zijn jaarverslag 2019 gepubliceerd. In het jaarverslag wordt o.a. benadrukt dat de Russische Federatie informatieoperaties uitvoert om maatschappelijke verdeeldheid te creëren. Ook waarschuwt de MIVD dat digitale spionage bij overheden en bedrijven door staten zoals China en Rusland één van de grootste dreigingen voor Nederland vormt. Bij de MIVD staat er geen lijst met arrestaties naar aanleiding van ambtsberichten in het jaarverslag, maar wordt bijvoorbeeld uitgelegd met welke onderdelen van Defensie werken.

De jaarverslagen maken concreet welk belangrijk werk de diensten verrichten en hoe productief zij zijn geweest. Ze zijn zeker lezenswaardig voor mensen die meer willen leren over het werk van de diensten.

Leden van de evaluatiecommissie Wiv 2017

Deze week werd ook duidelijk wie de leden van de evaluatiecommissie voor de Wiv 2017 zijn (zie Staatscourant nr. 21256).  

De meesten zijn mij wel bekend en betreft volgens mij een deskundig gezelschap. Ik zet ze hierbij op een rijtje (waarbij ik zelf hun achtergrond aan heb toegevoegd):

– drs. R.V.M. Jones-Bos (o.a. voormalig ambassadeur in Moskou)

– mr. Th.P.L. Bot (lid van ‘Raad van Rechtshandhaving’ en ervaring als o.a. plaatsvervangend hoofd van de AIVD in 2001 en 2002)

– prof. mr. E.J. Dommering (emeritus hoogleraar informaticarecht);

– prof. dr. L.J. van den Herik (hoogleraar internationaal publiekrecht);

– prof. dr. B.P.F. Jacobs (hoogleraar beveiliging en correctheid van software);

– vice-admiraal b.d. W. Nagtegaal;

– prof. mr. S.E. Zijlstra (hoogleraar staats- en bestuursrecht).

Onderzoeksonderwerpen

De Commissie Jones-Bos heeft als opdracht te onderzoeken:  

  • Of de wet datgene heeft gebracht wat de wetgever daarmee voor ogen had (realisatie van de doelstellingen van de wet);
  • Of de wet in de praktijk een werkbaar instrument is gebleken voor de taakuitvoering van de diensten;
  •  Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen.

Daarbij moet bijzondere aandacht worden geschonken aan:

  1. het integrale stelsel van toezicht, waarbij in ieder geval aandacht wordt geschonken aan:
  • de inrichting, functie en positie van de Toetsingscommissie Inzet Bevoegdheden (TIB), een en ander tegen de achtergrond van het vraagstuk van de ministeriële verantwoordelijkheid;
  • de positionering van de klachtbehandeling bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) en de effectiviteit daarvan mede vanuit het burgerperspectief;
  • de rechtseenheidsvoorziening TIB – CTIVD;
  • de benoemingsprocedure voor de leden van TIB en CTIVD.

2. de bevoegdheden van de diensten tot gegevensverwerking en de daarvoor geldende waarborgen, waarbij in ieder geval aandacht wordt geschonken aan:

  • de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijk geregelde bevoegdheden (techniekonafhankelijkheid);
  • de toepassing van het gerichtheidscriterium bij bijzondere bevoegdheden;
  • het datareductiestelsel en de bewaartermijnen;
  • de duidelijkheid van in de wet gehanteerde terminologie.

3. de bevoegdheden en waarborgen met betrekking tot internationale samenwerking van de diensten (zowel op vlak van gegevensverstrekking als ondersteuning).

Is de Wiv 2017 voldoende werkbaar?

Uit de opsomming blijkt dat er veel aandacht is voor (simpel gezegd) de vraag of de nieuwe wet wel ‘werkbaar’ is voor de AIVD en de MIVD. De opdracht: “Welke knel- en aandachtspunten in de toepassingspraktijk van de wet te onderkennen” is overigens heel raar geformuleerd, maar het lijkt om de identificatie van deze knelpunten te gaan.

De AIVD benadrukt in het jaarverslag in het voorwoord en op p. 22 “de zorg over het vermogen om binnen de huidige kaders verborgen dreigingen te kunnen (blijven) onderkennen” vanwege deze nieuwe wet, maar zij leggen niet uit waar die knelpunten dan uit bestaan. We gaan er uiteraard vanuit dat de commissieleden ook door andere partijen dan de AIVD hierover wordt gevoed.

Waar is het onderwerp van ‘data-analyse’ gebleven?

In de nota naar aanleiding van verslag over de Wijzigingswet Wiv 2017 (zie daarover deze blog) gaf de minister nog aan – naar aanleiding van vragen van kritische Kamerleden – dat het vraagstuk van ‘geautomatiseerde data-analyse’ mogelijk in de evaluatie wordt betrokken. En in de Kamerbrief over de evaluatiecommissie van 12 november 2019 werd het onderwerp van ‘geautomatiseerde data-analyse’ nog specifiek genoemd.

Nu lijkt het onderwerp van geautomatiseerde data-analyse naar de achtergrond te zijn geschoven, maar hopelijk wordt het ingelezen bij het aandachtspunt van de ‘de toepassing en inpasbaarheid van nieuwe technieken binnen de wettelijke geregelde bevoegdheden’. Het lijkt mij namelijk van belang ook de toepassingspraktijk sinds de inwerkingtreding van de nieuwe Wiv in verhouding tot de noodzakelijke waarborgen te onderzoeken.

Planning

Tot slot merk ik nog iets op over de planning. In de Kamerbrief van 12 november 2019 werd nog een doorlooptijd van zes maanden genoemd (met afronding rapport in november 2020). Dat leek mij sowieso wel krap om de onderzoekswerkzaamheden uit te voeren, gesprekken te voeren en het rapport op te stellen. Maar goed, vanwege het Coronavirus wordt de datum voor de oplevering van het rapport later vastgesteld en bekend gemaakt in de Staatscourant. We gaan het zien!

== Update =

Link naar jaarverslag MIVD toegevoegd.

Cybercrime jurisprudentieoverzicht april 2020

Veroordelingen voor criminele kinderporno-organisatie op het dark web

Enkele verdachten zijn in februari en maart 2020 veroordeeld voor het bezit en de verspreiding van kinderporno via chat websites op het dark web.

De rechtbank Rotterdam veroordeelde op 27 januari 2020 (ECLI:NL:RBROT:2020:501) een verdachte voor de deelname aan een criminele organisatie waarvoor hij beheerstaken heeft uitgevoerd en zodoende mede kinderporno heeft verspreid en aangeboden. Ook had de verdachte 11.354 afbeeldingen en 1.560 kinderpornovideo’s in zijn bezit. De overwegingen van de rechtbank over de deelname een criminele organisatie zijn interessant.

De rechtbank Rotterdam overweegt dat drie “chatsites” ‘als één organisatie kunnen en moeten worden beschouwd, omdat zij allen: “chatsites op het Darkweb’ waren, dezelfde modus operandi hadden, een gemeenschappelijk uitgangspunt hadden (onderling contact hebben met ‘liefhebbers van minderjarigen’) en dezelfde mogelijkheden boden (afbeeldingen aanbieden en beschikbaar stellen via een link), op hetzelfde script en dezelfde architectuur waren gebaseerd en de structuur en werkwijze op de sites overeen kwam. Daar komt nog bij dat de ‘beheersmatige handelingen op deze sites werden verricht door vrijwel dezelfde personen”.

De verdachte was tenminste twee jaar lang samen met andere personen actief als oprichter/beheerder, hoofdadministrator, moderator of administrator van de websites. Ook konden zij andere personen voordragen voor genoemde functies en konden leden worden gemonitord.

Uit de bewijsmiddelen blijkt dat er sprake was van een hiërarchie en structuur, omdat de moderators en administrators meer rechten en privileges hadden dan de geregistreerde gebruikers en de gasten en zij alleen toegang hadden tot bepaalde afgeschermde gedeeltes van de sites. Ook uit de hiervoor genoemde functies en rol- en taakverdeling blijkt van een georganiseerd verband. Daarom was er sprake van een criminele organisatie als bedoelt in art. 140 Sr, waar de verdachte deel van uit maakte. De verdachte wordt veroordeeld voor 3 jaar gevangenisstraf (waarvan één voorwaardelijk) en een proeftijd van drie jaar met bijzondere voorwaarden.

De rechtbank Overijssel veroordeelde op 3 maart 2020 (ECLI:NL:RBOVE:2020:913) een verdachte voor het gewoonte maken van het verspreiden van kinderporno via chatrooms, het bezit van kinderporno en de deelname aan criminele organisatie. De verdachte kwam volgens de uitspraak in beeld ‘nadat de Britse opsporingsautoriteiten berichtten dat voornoemd webadres werd gehost op het IP-adres van verdachte’. In de uitspraak van de rechtbank Overijssel zijn meer details over het onderzoek ’26Somerville’ te lezen. De verdachte in deze zaak was ‘hoofdadminstrator en hoster’ van twee chatrooms. Hij ‘promoveerde’ bezoekers bijvoorbeeld tot moderator als deze ‘langere tijd positief’ opvielen.

De ‘staff’ van de chatsites hadden verschillende rangen met eigen chatkanalen. Op die kanalen kon men makkelijker en vrijer praten, omdat buitenstaanders minder makkelijk konden meelezen. De leden hielden aantekeningen van vergaderingen; hetgeen achteraf bijdroeg aan het bewijs tegen de kinderpornogebruikers. De database van een chatroom met 185 gebruikersnamen met hun rang is tevens in beslag genomen. De chatroom werd door de verdachte gehost via een virtuele machine op zijn PC.

De rechtbank ging niet mee in het verweer dat het delen van tekst en links naar kinderporno geen verspreiding van kinderporno is. Ook de waarschuwing op de chatsites dat geen kinderporno mocht worden verspreid, overtuigde de rechters niet omdat uit ander bewijs was af te leiden dat het daadwerkelijk kinderporno is verspreid. Uit de uitspraak wordt niet duidelijk op welke wijze het bewijs verzameld, maar de politie kon blijkbaar vaststellen dat in één van de chatrooms bijvoorbeeld 2410 gedeelde afbeeldingen tussen 26 januari 2018 en 14 juni 2018 zijn gedeeld, waarvan er 298 afbeeldingen kinderpornografisch waren. Feitelijk was dus sprake van de verspreiding van kinderporno. Door slechts te volstaan met de enkele vermelding van het verbod op de pagina na het inlogscherm op [chatroom 3] en het handmatig – door moderators – laten controleren van afbeeldingen, heeft verdachte bewust de aanmerkelijke kans aanvaard dat toch kinderporno zou worden gedeeld op [chatroom 3], aldus de rechtbank.

De rechtbank acht daarom bewezen dat verdachte voorwaardelijk opzet had op het verspreiden, aanbieden, openlijk tentoonstellen, verwerven en in bezit hebben van kinderpornografische afbeeldingen, alsook op het toegang verschaffen tot kinderpornografische afbeeldingen. Ook op andere gegevensdragers werd bij de verdachte kinderporno gevonden. Interessant is bijvoorbeeld dat in een virtuele machine via de Browser ‘Internet Explorer’ of ‘Edge’ bestanden geopend waren met kinderpornografische namen. Door politie werden verder werden veertien bestandsnamen op kinderpornografische fora aangetroffen. De verdachte kreeg een gevangenisstraf opgelegd van drie jaar met bijzondere voorwaarden.  

Veroordeling voor webcamseks met Filipijns meisje

Op 24 maart 2020 heeft de Rechtbank Overijssel een verdachte veroordeeld (ECLI:NL:RBOVE:2020:1249) voor ontucht en het bezit van kinderporno. De verdachte is veroordeeld voor een voorwaardelijke gevangenisstraf van 18 maanden gevangenisstraf, een proeftijd van 3 jaar met voorwaarden en een taakstraf van 240 uur op.  

Deze zaak met ernstige feiten kwam aan het licht door een Belgische onderzoeksjournalist. De verdachte zou één van de mannen zijn die achter een webcam naar seksshow keek van aan minderjarige. De politie heeft daarop een doorzoeking gedaan en gegevensdragers in beslag genomen. Daarop is kinderporno aangetroffen, maar geen informatie waaruit bleek dat de verdachte zich bezighield met ‘live-streaming’ seksshows. Wel is een betaling via Western Union aan een slachtoffer gevonden. Later bleek dat de verdachte maandenlang chatgesprekken van seksuele aard heeft gevoerd met dit minderjarige slachtoffer.  

De rechtbank overweegt dat de verdachte met zijn gedragingen ervoor heeft gezorgd dat meisjes als het slachtoffer gedwongen blijven om deel uit te maken van een enorm winstgevend verdienmodel, waarbij jonge kinderen voor een webcam worden gezet om seksshows te doen voor volwassenen die daarvoor slechts een wifi verbinding en een laptop, en soms een paar euro, nodig hebben. De kinderen die deel uitmaken van dit soort internationale netwerken worden vanaf jonge leeftijd geseksualiseerd en krijgen niet waar elk kind ter wereld recht op heeft, namelijk een normale seksuele ontwikkeling. Dat verdachte zijn eigen dochter, van toen negen jaar jong, heeft betrokken in zijn seksueel getinte chatgesprekken met het slachtoffer, vindt de rechtbank zorgelijk.

In artikel 245 Sr is ontucht met een minderjarige strafbaar gesteld, waarbij sprake is van seksueel binnendringen in het lichaam. Van deze gedraging was volgens de rechtbank geen sprake, omdat het niet de verdachte maar twee meisjes in opdracht van de verdachte dat elders met zichzelf en/of elkaar deden. De motivatie waarom het artikel niet van toepassing is met een verwijzing naar het ‘Pollepel-arrest’ (ECLI:HR:2004:AQ0950) en literatuur is lastig te volgen en wellicht nog voor discussie vatbaar. Wel wordt aldus het plegen van ontuchtige handelingen via een ‘live-stream’ en bezit van kinderporno bewezen geacht.

Phishing van creditcardgegevens

De rechtbank Amsterdam heeft op 25 maart 2020 een bijzondere uitspraak (ECLI:NL:RBAMS:2020:1960 en ECLI:NL:RBAMS:2020:1961) gedaan over phishing met creditcardgegevens. Twee verdachten zijn veroordeeld tot een taakstraf vanwege oplichting. De uitspraak bevat interessante details over het opsporingsproces, maar bevat ook enkele slordigheden. Zou Amsterdam ook een ‘cyberkamer’ hebben ingeregeld voor cybercrimezaken? De kwaliteit van deze uitspraak laat te wensen over.

Het onderzoek ving aan met een melding van de onderzoeksafdeling fraudedetectie van International Card Services B.V. van mogelijke frauduleuze transacties. Kort daarop werden met de creditcard bestellingen via Mediamarkt gedaan. Na contact met het Openbaar Ministerie werd besloten om het pakket gecontroleerd te laten afleveren op het aangegeven adres. Geobserveerd wordt dat de verdachte het pakketje in ontvangst neemt en meeneemt naar haar woning. De politie treedt een half uur later binnen en treft verdachte en medeverdachte aan in haar slaapkamer samen met een geopende doos van de Mediamarkt. De doos met daarin een Macbook Pro is uit eerdergenoemde doos gehaald en op de pakbon staan de door Mediamarkt opgegeven bestelgegevens.

De verdediging voert aan dat niet voldoende bewezen is dat de verdachte het product heeft besteld en eist dat bijvoorbeeld DNA onderzoek op de laptop wordt gedaan. De rechtbank gaat daar in niet mee. De rechtbank stelt op basis van het bewijs vast dat de persoonlijke gegevens van de creditcardhouder via phishing zijn verkregen. Vervolgens is op de webportal van de creditcardmaatschappij ingelogd het telefoonnummer gewijzigd en zijn met de creditcard bestellingen geplaatst. Op de inbeslaggenomen laptops stonden e-mailaccounts open met diverse bestellingen op naam en rekening van creditcardhouders.

De rechtbank acht het voorhanden hebben van technische hulpmiddelen bewezen met het oogmerk om computervredebreuk bewezen, maar verwijst daarbij naar een verkeerd artikelnummer (138d Sr i.p.v. 139d lid 2 sub a Sr). Daarbij wordt uitgelegd:

“op beide laptops stonden diverse softwareprogramma’s, waaronder Sendblaster, waarmee bulk- email berichten kunnen worden verstuurd. Hierin trof men lijsten aan met duizenden e-mail adressen, verzonden phishing e-mail berichten naar onder meer banken en meerdere (templates) voor phishing berichten. Ook de op de laptops aanwezige programma’s Havij en Filezilla hebben bijgedragen aan de gepleegde computervredebreuk, te weten het binnendringen van Webportals. Ook zijn gegevens van cardhouders gewijzigd door frauduleus in te loggen op hun Webportals”.

 Het is technisch gezien natuurlijk lariekoek dat je kan binnendringen op een “Webportal”; dat doe je namelijk op de geautomatiseerde werken (de servers) van ICS. Het ligt voor de hand dat dan sprake is van binnendringen via een valse hoedanigheid (namelijk met het account van het slachtoffer), maar dat acht de rechtbank (met een minimale motivering) niet bewezen.

Grootschalige oplichting via Marktplaats

De rechtbank Midden-Nederland heeft op 6 maart 2020 een verdachte veroordeeld (ECLI:NL:RBMNE:2020:853) voor een flinke gevangenisstraf van 20 maanden, waarvan 8 voorwaardelijk en een proeftijd van drie jaar, voor phishing (oplichting), bedreiging en diefstal. In de uitspraak wordt uitvoerig de modus operandi van de criminelen besproken.

De rechtbank overweegt dat de verdachte samen met andere verdachten steeds dezelfde modus operandi (gebruikte werkwijze) aanhield. Een koper benaderde de aangever via Marktplaats of via het telefoonnummer van de aangever dat de koper via Marktplaats had verkregen. De koper liet de aangever, meestal via WhatsApp, weten dat hij het door de aangever aangeboden goed op Markplaats wilde kopen. De koper vroeg de aangever vervolgens om € 0,01 over te maken via een door hem toegestuurde betaallink en zei daarbij dat hij er op die manier zeker van kon zijn dat de aangever te vertrouwen was en hij niet opgelicht zou worden. Wanneer de aangevers de betaallink openden, zagen zij een website die qua uiterlijk overeenkwam met de website van hun eigen bank. De aangever vulde vervolgens enkele persoonlijke gegevens in om deze € 0,01 over te maken. Deze gegevens konden bestaan uit de gebruikersnaam en het wachtwoord van hun bankrekening, het bankpasnummer en de vervaldatum van de bankpas.

Deze website sloeg vervolgens de gegevens op, waarna de koper of een derde kon inloggen op de bankrekening van de aangever en transacties kon uitvoeren. In enkele gevallen werd een geldbedrag overgemaakt naar de bankrekening van een derde (een money mule) en in diverse andere gevallen verplaatste de koper een geldbedrag van de spaarrekening van de aangever naar diens betaalrekening. Hierbij werd gedaan alsof de koper een geldbedrag van zijn eigen rekening had overgemaakt naar de rekening van de aangever. In dit geval vertelde de koper de aangever dat hij per ongeluk een te groot geldbedrag had overgemaakt, waarna hij de aangever vroeg om het te veel overgemaakte geld terug te storten. Als de aangever voldeed aan dit verzoek, maakte de aangever in werkelijkheid zijn of haar eigen spaargeld over naar de koper.

Bij een deel van de aangevers is de voornoemde methode niet voltooid. Deze aangevers kregen op verschillende momenten in dit proces argwaan, werden door hun bank benaderd en gewaarschuwd voor verdachte transacties of wilden om andere redenen niet meer meewerken met de koper. Zodra de koper dit besefte, werd zijn communicatie vaak agressief jegens deze aangevers en probeerde hij ze onder bedreiging van geweld te dwingen mee te werken of een geldbedrag af te staan. De bedreigingen stonden in Whatsappjes op de inbeslaggenomen telefoons opgeslagen, zoals: [slachtoffer 4] :

“Ik steek je huis in de fik en ik steek jou kapot en ik kom van het kamp en ik steek jouw hond kapot en ik steek je vrouw neer, ik maak heel jouw familie kapot”

en daarbij het adres van die [slachtoffer 4] te noemen. Dit leverde natuurlijk het nodigde bewijs op voor het delict bedreiging.

De zaak kent ook een interessante overweging over de bewijsvoering. Het bewijs wordt zeer uitvoerig besproken, zoals verkeersgegevens van telefonie, betaalgegevens en WiFi-gegevens ter lokalisering van de verdachte. De verdachte voert aan dat de naam van een verdachte bekend moet zijn om historische verkeersgegevens van telefonie onder artikel 126nd Sv te vorderen. De rechtbank overweegt dat dit sinds het arrest van HR 22 maart 2005, ECLI:NL:HR:2005:AS4689 niet meer noodzakelijk is. Wel opmerkelijk is de overweging dat ‘phishing-websites’ als technische hulpmiddel worden gekwalificeerd met het oogmerk om computervredebreuk te plegen, terwijl later wordt gesproken over de ontwikkeling van phishing-software.

De verdachten zijn in dit traject op verschillende manieren betrokken geweest bij de phishing, terwijl deze elementen van oplichting door middel van computervredebreuk, na phishing-activiteiten met gebruik van specifiek ontwikkelde software in essentiële zin met elkaar samenhangen om tot oplichting via phishing-software te komen. Hieruit blijkt volgens de rechtbank dat beide verdachten voldoende hebben bijgedragen aan dit proces om als medeplegers te worden beschouwd.

De rechtbank Den Haag heeft op 6 maart 2020 eveneens een verdachte veroordeeld (ECLI:NL:RBDHA:2020:2595) tot 36 maanden waarvan 6 maanden voorwaardelijk met een proeftijd van twee jaren voor het op grote schaal medeplegen van identiteitsfraude, (marktplaats)oplichtingen, gewoontewitwassen en deelnemen aan een criminele organisatie. Ook zijn er meer dan 150 vorderingen van benadeelde partijen (gedeeltelijk) toegewezen. De uitgebreide uitspraak is van goede kwaliteit en interessant vanwege de besproken modus operandi van de criminelen en de bewijsvoering.

De rechtbank overweegt dat de oplichter (verkoper) via Whatsapp contact zocht met de koper in advertentie opgegeven mobiele nummer. In eerste instantie was ophalen en opsturen van het apparaat mogelijk. Echter als de koper koos voor ophalen werd het door de verkoper zo gedraaid dat het wel heel ver weg was en/of dat een afspraak niet mogelijk was. Vervolgens werd het vertrouwen van de koper gewonnen door het sturen van een (selfie met een) identiteitsbewijs en door het gebruik van een gelijkende profielfoto op WhatsApp. Na ontvangst van de betaling bleef de verkoper enige tijd bereikbaar voor de koper en kreeg de koper een valse track en trace code. Vervolgens was de verkoper niet meer bereikbaar. Geen van de kopers ontving het gekochte product. In bijna alle gevallen maakte de verkoper gebruik van de identiteit van kopers die bij een aankoop zelf waren opgelicht en hun identiteitsbewijs naar de verkoper hadden verstuurd. Dit alles leverde het delict identiteitsfraude  op.

Het geld werd overgemaakt naar rekeningen die kort daarvoor waren geopende door personen uit Oostbloklanden (waarvan 41 rekeningen bij de ING). Deze rekeningnummers werden korte tijd gebruikt en de daarop gestorte gelden werden gedurende de dagen dat de rekeningen actief waren, op een enkele uitzondering na, contant opgenomen bij geldautomaten en casino’s in Amsterdam. De verdachten wisselden vaak van Simkaart in hun mobiele telefoon. De geschreven aantekeningen  – om bij te houden met excuses waarom het pakket niet geleverd – leverde in de zaak een deel van het bewijs voor oplichting. De rechtbank overweegt dat de verdachte kiest om te zwijgen, maar het bovenstaande schreeuwt om een verklaring, zeker toen de verdachte bewijsmateriaal probeerde te vernietigen tijdens de inval van de politie.

Ten slotte is de bewijsvoering nog interessant over de netwerken waarmee verbinding is gemaakt (een WiFi-netwerk). Het netwerk had blijkbaar ‘twee unieke MAC-adressen’, waarbij “onderzoek in  openbare bronnen wees vervolgens uit dat deze MAC-adressen behoorden bij twee Blackberry telefoons. De historische locatiegegevens van deze MAC-adressen gaven GPS locatiecoördinaten [GPS locatie 1] , [GPS locatie 2] die, met een nauwkeurigheid van 150 meter, de [adres 1] – de straat waar de verdachte woont – aanwijzen als de plek waar deze netwerken zijn gebruikt”.

Hoewel de oplichtingen per persoon slechts bedragen van tussen 300-600 euro bedroegen, wordt bewezen geacht dat de verdachte – samen met anderen – in totaal voor een bedrag van 105.261,41 euro heeft opgelicht.