Auteur jjoerlemans

Cybercrime jurisprudentieoverzicht september 2024

jjoerlemans

Bron: dit is een met AI gegenereerde afbeelding via WordPress)

Hoge Raad arrest over bitcoins en witwassen

De Hoge Raad heeft op 25 juni 2024 een arrest (ECLI:NL:HR:2024:887) gewezen in de zaak IJsberg. Deze zaak gaat over het witwassen van bitcoins, voorbereidingshandelingen voor handel in harddrugs en bedreiging. Zie ook Hof Den Haag 1 februari 2022, ECLI:NL:GHDHA:2022:104Computerrecht 2022/95, m.nt. J.J. Oerlemans & K.M.T. Helwegen (zaak IJsberg).

Het Hof Den Haag had geoordeeld dat het enkele omzetten van bitcoins naar contant geld niet kan worden beschouwd als verbergen of verhullen van herkomst of vindplaats van bitcoins. Daarbij heeft hof betrokken dat er onvoldoende overtuigend bewijs is dat verdachte de herkomst of vindplaats van bitcoins heeft ‘willen’ verhullen of verbergen. Hierin ligt als volgens de Hoge Raad in het oordeel van het hof besloten dat het oogmerk van de verdachte bepalend is voor beantwoording van vraag of verdachte herkomst van bitcoins heeft verborgen of verhuld. In het licht van de onder r.o. 3.5 weergegeven wetsgeschiedenis – waarin de “(subjectieve) geestesgesteldheid van de dader” op dit punt als van “ondergeschikt belang” is aangeduid omdat het gaat om de objectieve strekking en het effect van de gedragingen – getuigt dat oordeel van een te beperkte uitleg van het bestanddeel ‘verbergt of verhult’. Door de verdachte vrij te spreken van het onder 1, onderdeel b, tenlastegelegde heeft het hof hem dus vrijgesproken van iets anders dan was tenlastegelegd. Het hof heeft daarmee de grondslag van de tenlastelegging verlaten. Daarom slaagt het cassatiemiddel van het OM, vernietigt het deels de uitspraak van het hof, en wijst de zaak terug naar het Gerechtshof Den Haag.

Ten slotte staat in een ander arrest (HR 25 juni 2024, ECLI:NL:HR:2024:890) over de zaak IJsberg de vraag centraal of bitcoins kunnen worden aangemerkt als ‘voorwerpen’ in de zin van art. 420bis Sr en 420quater Sr. De Hoge Raad overweegt in r.o. 3.4 dat het Hof Den Haag terecht heeft overwogen dat bitcoins kunnen worden aangemerkt als ‘voorwerpen’. Lezenswaardig is ook de conclusie van AG Aben (ECLI:NL:PHR:2024:217) over o.a. het kwalificeren van bitcoins als voorwerp.  Hij bespreekt daarbij of onstoffelijke entiteiten onder het wettelijke begrip ‘voorwerp’  kunnen worden gebracht. Hij noemt dat in fysisch opzicht virtuele valuta géén stoffelijke entiteiten zijn; zij dragen in dat opzicht de kenmerken van ‘(computer)gegevens’ als bedoeld in artikel 80 quinquies Sr omdat zij in de kern slechts uit ‘bits en bytes’ bestaan. In essentie gaat het bij gegevens als bedoeld in deze betekenisbepaling om informatie die besloten ligt in code en die (ook) door computers kan worden verwerkt, dus om software. Virtuele valuta onderscheiden zich echter van het meer generieke begrip ‘(computer)gegevens’ doordat virtuele valuta zich in de menselijke belevingswereld – anders dan computercodes en pincodes – wel degelijk voordoen als stoffelijke entiteiten, namelijk als geld in een gedaante die zich nauwelijks onderscheidt van giraal geld, dat evenmin stoffelijk is. Omtrent giraal geld overwoog de Hoge Raad dat een redelijke uitleg van het begrip ‘goed’ – vanwege “de functie van giraal geld in het maatschappelijk verkeer” – meebrengt dat het vatbaar is voor ‘toe-eigening’ als bedoeld in artikel 321 Sr. Dit betreft – gelijk het elektriciteitsarrest uit 1921 – een evident geval van een functionele wetsuitleg.

De AG noemt dat ook in meer recente strafzaken de Hoge Raad zich conformeerde aan een functionele uitleg van het wettelijke begrip ‘goed’ (wat betreft entiteiten die zich daarvoor leenden (belminuten, telefoontikken). Hij concludeert dat computergegevens in beginsel geen ‘voorwerp’ zijn, maar zo wel kunnen worden aangemerkt als (i) de onderwerpelijke entiteit uniek en individualiseerbaar is en in het economische verkeer een reële waarde vertegenwoordigt, (ii) die entiteit voor menselijke beheersing vatbaar is en de eigenaar ervan daarover de feitelijke en exclusieve heerschappij toekomt, en (iii) die entiteit overdraagbaar is, (dus) van eigenaar kan wisselen en van de eigenaar kan worden afgenomen, als gevolg waarvan de (oorspronkelijke) eigenaar de beschikkingsmacht erover verliest.  Kortom, ook bitcoins kunnen als voorwerp worden gekwalificeerd.

Veroordeling voor drugshandel en witwassen via DreamMarket

Het Hof Den Haag heeft op 31 juli 2024 een interessant arrest (ECLI:NL:GHDHA:2023:2925) gewezen over witwassen van bitcoins die waren verkregen via (o.a.) de darknet market DreamMarket.

In de bewijsoverwegingen staat o.a. dat bijna 200.000 euro is overgeboekt naar bitcoinadressen en gebruik werd gemaakt van twee Visa prepaid debetkaarten. Beide kaarten zijn geladen doordat de bitcoins zijn omgezet in respectievelijk dollars en euro’s. Op de tweede kaart hebben bijvoorbeeld in de maanden oktober 2016 tot en met november 2017 stortingen plaatsgevonden tot een totaal geldbedrag van € 313.344,77. Dit, terwijl de laatst bekende loongegevens van de verdachte dateren uit 2011 (een UWV-uitkering van € 3.802). Het hof stelt vast dat er geen direct brondelict valt aan te wijzen voor de herkomst van de eerdergenoemde bitcoins.

Het hof is op grond van het voorgaande van oordeel dat sprake is van een gerechtvaardigd vermoeden van witwassen. De verdachte beschikte vanaf 2012 niet over een legale inkomensbron, terwijl hij wel kon beschikken over een groot aantal bitcoins. Van de verdachte mag worden verlangd dat hij een concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft dat die bitcoins niet van misdrijf afkomstig zijn. Deze heeft de verdachte niet verschaft. Het hof acht daarom het delict witwassen bewezen. Gelet op de omvang van de geldbedragen en de frequentie van het omzetten van bitcoins in euro’s en dollars in de periode van oktober 2016 tot en met november 2017 acht het hof ook bewezen dat sprake is van gewoontewitwassen van bitcoins met een geldwaarde van € 613.260,92.

Ten aanzien van de drugshandel is het interessant om te lezen dat tijdens een doorzoeking op een tablet verschillende applicaties aangetroffen, waaronder Protonmail (een beveiligde e-mailservice), Sealnote (voor het maken van notities die middels een encryptieversleuteling zijn beveiligd), Orbot en Orfox (TOR-apps voor het browsen via het TOR-netwerk), CryptMax (een encryptie-app waarmee tekst kan worden versleuteld), een aplicatie waarmee bitcoins kunnen worden ontvangen en verzonden, ChatOnion (waarmee versleutelde berichten kunnen worden verstuurd via het TOR-netwerk) en iPrint&Label (waarmee adreslabels kunnen worden afgedrukt). Op de apparaten is de volgende veelzeggende inhoud van een advertentietekst in een docx-bestand teruggevonden:

“1G MDMA 84% pure the best quality direct from Holland full escrow MDMA crystals AAA+++

**INTRO OFFER 25% FREE EXTRA After ordening youre shipment wil be processed and shipped within 24 hours As you can see we are new on the dark Web, but we have many years off experience in the drugs trading business. We make everything ourself for 20 years now. That’s why we can provide the best products and quality for a fear price. Every time we make a new stock, we check the quality in the lab. We dont mix anything!!! We only sell pure quality.

EVERY ORDER IS VACUUMSEALT 3 TIL 6 TIMES, AND IS MAKE DOGFREE!!!

We ship from Germany

Sold by red-diamond – 424 sold since May 1, 2016 Vendor Level 5 Trust Level 4”

Tevens werden inloggegevens gevonden voor darkweb markten, zoals Valhalla, Hansa Market en Dream Market en notitieblaadjes met drugsgerelateerde aantekeningen. Het bewijs voor drugshandel was verder ook afkomstig van uit taps, verkeersgegevens, observaties, en aangetroffen pillen verpakkingsmateriaal na een doorzoeking. Na een observatie in Duitsland bleek, na de leging van brievenbussen, bovendien dat 36 enveloppen waren gepost met XTC-tabletten, MDMA, amfetamine en LSD-tabletten. Gezien het bovenstaande zal het niet tot een verassing komen dat het hof tot het oordeel komt dat wettig en overtuigend is bewezen dat de verdachte zich in de periode van 1 juli 2016 tot en met 13 oktober 2017 ook schuldig heeft gemaakt aan drugshandel.

In de strafmotivering weegt het hof in strafmatigende zin mee dat de verdachte in de periode waarin hij in voorlopige hechtenis zat zijn zus en moeder heeft verloren en dat hij niet de gelegenheid heeft gehad afscheid van hen te nemen. Daarnaast heeft het hof rekening gehouden met de ouderdom van de bewezenverklaarde feiten. Ook is de redelijke termijn in hoger beroep is overschreden. Dit in ogenschouw nemende wordt een gevangenisstraf opgelegd van 54 maanden.

Veroordeling voor ‘grootschalige cybercriminaliteit’

Op 23 juli 2024 veroordeelde (ECLI:NL:RBOVE:2024:3924) de rechtbank Overijssel een verdachte voor een gevangenisstraf van drie jaar (waarvan één jaar voorwaardelijk) en het betalen van een schadevergoeding aan benadeelden, vanwege het medeplegen van computervredebreuk, het voorhanden hebben van een technisch hulpmiddel om (o.a.) computervredebreuk te plegen, diefstal van cryptovaluta en het bezit van een vuurwapen en munitie.

De applicatie die de verdachte beheerde is door rechtbank in het vonnis omschreven als een ‘Zwitsers zakmes voor cybercriminaliteit’. Zie ook dit NOS-artikel over de zaak. Het bevat verschillende functionaliteiten waarmee strafbare feiten kunnen worden gepleegd. Deze functionaliteiten omvatten het gehele proces van het versturen van phishingmails tot het uitbuiten van de hiermee verkregen gegevens:

  1. Phishing. De eerste functionaliteit is het versturen van phishingmails. De phishingmail kan worden opgesteld door het opgeven van een onderwerp en afzendergegevens binnen een vooraf ontwikkelde e-mailtemplate. Die template lijkt op een echte e-mail van een partij, zoals Yourhosting , Coinmerce of Bitvavo. Als ontvangers van het bericht kan een lijst met e-mailadressen worden ingevoerd. Met een druk op de knop kan de e-mail met daarin een link naar een valse, maar niet van echt te onderscheiden website naar een groot aantal ontvangers worden gestuurd. Buitgemaakte gegevens kunnen vanuit deze valse website naar [applicatie] worden teruggestuurd;
  2. Hacking. De tweede functionaliteit is het testen en verrijken van de verkregen persoonsgegevens. Omdat veel mensen hetzelfde wachtwoord voor meerdere sites en applicaties gebruiken, kan geautomatiseerd worden getest of met het verkregen wachtwoord ook kan worden ingelogd op de mailbox van een verkregen e-mailadres;
  3. Accountovername. [applicatie] bevat ook een functionaliteit om werkende e-mail-wachtwoord-combinaties geautomatiseerd met persoonsgegevens te verrijken. Gepoogd kan worden bij bijvoorbeeld een webshop in te loggen en eventueel verkregen persoonsgegevens uit dit webshopaccount in [applicatie] op te slaan. Daarnaast kan worden gekeken of het e-mailadres aan een account bij Riverty (voorheen AfterPay ) is gekoppeld, om na te gaan of een account geschikt is voor het plaatsen van bestellingen met betaling achteraf. Met toegang tot een mailbox kan ook worden geprobeerd toegang te verkrijgen tot cryptoaccounts om vanuit hier crypto weg te nemen;
  4. Misbruik persoonsgegevens. Als een door phishing verkregen wachtwoord werkt en gebruik kan worden gemaakt van Riverty, kan op naam van door phishing verkregen persoonsgegevens een bestelling bij een webshop worden geplaatst. Door in de mailbox van het betreffende e-mailaccount regels in te stellen, merkt de accounthouder daar niets van. Inkomende e-mailberichten met bestel- en track and trace-gegevens, die trefwoorden bevatten zoals PostNL, Riverty en Zalando, kunnen direct naar een tijdelijke mailbox van de dader(s) worden doorgestuurd en buiten het zicht van de accounthouder worden gehouden, omdat e-mailberichten direct worden verplaatst naar de map verwijderde items. [applicatie] bevat een functionaliteit om periodiek op basis van het trackingnummer en de postcode van het afleveradres de status van een pakket bij een bezorgdienst op te vragen. Op deze manier kan in een overzicht gemakkelijk de status van een besteld pakket worden gevolgd;
  5. Identiteitsfraude. De afgevangen e-mails van bezorgdiensten bevatten naast een trackingcode ook een link om het afleveradres te wijzigen. Als hier gebruik van wordt gemaakt, kan de dader een pakket bijvoorbeeld bij een pakketpunt/-automaat laten bezorgen en het pakket daar afhalen. Voor het afhalen van een pakket is soms identificatie vereist. [applicatie] bevat een functionaliteit waarmee een afbeelding van identiteitsbewijs kan worden gemodificeerd. Hier kunnen illegaal verkregen afbeeldingen van identiteitsbewijzen voor worden misbruikt. Op basis van deze identiteitsbewijzen kan een nieuwe afbeelding worden gegenereerd, met een zelfgekozen naam en een willekeurig documentnummer. Deze nieuwe afbeelding kan vervolgens bij het ophalen van een pakket op de mobiele telefoon worden getoond.

De verdachte bekend op de zitting dat hij de applicatie met alle functionaliteiten zelf heeft gebouwd en op verschillende servers heeft gehost. Dit maakt dat verdachte het technisch hulpmiddel heeft overgedragen, verspreid, ter beschikking gesteld en voorhanden heeft gehad. De huur van de applicatie-servers van de verdachte is met cryptovaluta uit wallets van anderen betaald. Hiertoe zijn cryptoaccounts gehackt. Ook heeft verdachte met zijn applicatie-server afbeeldingen van identiteitsbewijzen van anderen ter beschikking gesteld en voorhanden gehad, met het doel om daarmee valse digitale ID-bewijzen te maken.

De verdachte heeft het gebruikt om phishingmails naar 105.000 klanten van een platform te verzenden. In de e-mails zat een link om de klanten te verleiden op die link te klikken en persoonsgegevens als gebruikersnaam en wachtwoord op een ogenschijnlijk betrouwbare online omgeving van een platform achter te laten. De rechtbank stelt vast dat de verdachte gebruik heeft gemaakt van de bij phishingaanvallen buitgemaakte gegevens door hiermee op e-mailaccounts van andere personen geautomatiseerd in te loggen, regels in te stellen en op hun naam bestellingen bij webshops te doen. Bovendien heeft verdachte ook zelf bestellingen opgehaald.

In de strafmotivering overweegt de rechtbank nog dat de verdachte jong is en een bepaalde spanning en het krijgen van (online) waardering lijken gepaard te zijn gegaan met het plegen van de verschillende vormen van cybercriminaliteit. De rechtbank hoopt dat een deels voorwaardelijke straf – als stok achter de deur – verdachte ervan weerhoudt in de toekomst wederom strafbare feiten te plegen en zijn talenten op een andere wijze in te zetten.

Gebruik Exclu data in ‘Suske en Wiske’-zaak

De rechtbank Gelderland biedt in een uitspraak van 4 juli 2024 (ECLI:NL:RBGEL:2024:4183) in de zogenoemde ‘Suske en Wiske’-zaak (vernoemd naar de nicknames van de (drugsbende)leiders op Exclu en EncroChat), meer details over de Exclu-operatie en interessante overwegingen met betrekking tot de betrouwbaarheid van het bewijs dat in Duitsland is vergaard.

In de uitspraak is te lezen dat op 22 juli 2022 een rechter-commissaris een machtiging verleent voor het voor het tappen van Exclu-verkeer van de Duitse server. Deze machtiging is daarna zes keer verlengd. Aangezien de server van Exclu zich in Duitsland bevond, is voor het onderscheppen van het berichtenverkeer en het verkrijgen van de sleutels de server op verzoek van Nederland gehackt door de Duitse bevoegde autoriteiten.

Voorwaarden machtiging rc

Bij beschikking van 25 augustus 2022 heeft de rechter-commissaris een machtiging verleend voor het hacken van de server van Exclu in Duitsland (in de zin van art. 126o Sv). Deze is daarna vijf keer verlengd. De beschikkingen van de rechter-commissaris en de verlengingen daarvan werden steeds gevolgd door Europese onderzoeksbevelen (EOB’s) gericht aan de bevoegde Duitse autoriteiten. In de beschikking van 25 augustus 2022 werden aan de verleende machtiging de voorwaarden verbonden dat de vergaarde informatie slechts mag worden doorzocht op vast te leggen zoeksleutels terwijl de met die zoeksleutels geselecteerde informatie eerst aan de rechter-commissaris moet worden voorgelegd om de inhoud, omvang en relatie tot de vermoedelijk gepleegde of te plegen strafbare feiten te controleren en pas daarna aan het openbaar ministerie of de politie ten behoeve van (opsporings-)onderzoeken beschikbaar mag komen. Bovendien is aan de machtiging de absolute randvoorwaarde verbonden dat de vergaarde informatiecommunicatie slechts ter beschikking mag worden gesteld voor onderzoeken naar strafbare feiten als bedoeld in artikel 67 Sv eerste lid in georganiseerd verband gepleegd of beraamd en die gezien hun aard of de samenhang met andere misdrijven die in dat georganiseerde verband worden beraamd of gepleegd een ernstige inbreuk op de rechtsorde maken, dan wel misdrijven met een terroristisch oogmerk.

In de onderhavige zaak voert de verdediging aan dat het bewijs onrechtmatig zou zijn verkregen en onbetrouwbaar bewijs zou opleveren. Gelet op het arrest van de Hoge Raad van 13 juni 2023 (ECLI:NL:HR:2023:913) gaat de rechtbank na of de rechter-commissaris in redelijkheid tot zijn beslissingen tot tappen respectievelijk hacken van de Exclu-server heeft kunnen komen. Daarbij heeft de rechtbank te waarborgen dat gebruik van de aldus verkregen Exclu-data zich verhoudt met het recht op een eerlijk proces, in die zin dat de rechtbank de “overall fairness” van de strafzaak tegen verdachte moet waarborgen. De rechtbank is van oordeel dat de rechter-commissaris onder de gegeven feiten en omstandigheden in redelijkheid tot de aldus afgegeven machtigingen met bijbehorende verlengingen heeft kunnen komen.

Betrouwbaarheid bewijs

Met betrekking tot de betrouwbaarheid van het bewijs overweegt de rechtbank het volgende. Gelet op het arrest van de Hoge Raad van 13 juni 2023 mag de rechtbank voor de Exclu-data in de strafzaak tegen verdachte, die door tappen van berichten en hacken van de server onder verantwoordelijkheid van de Duitse autoriteiten is verkregen, behoudens concrete aanwijzingen voor het tegendeel, van de betrouwbaarheid van het onder verantwoordelijkheid van de Duitse autoriteiten verrichte onderzoek, uitgaan.

Zowel over de Encrochat-data als de Exclu-data is een NFI rapportage opgemaakt waarin de deskundige verklaart dat er geen redenen gevonden zijn om te twijfelen aan de correctheid van de berichten uit het technisch hulpmiddel, behalve de fout met de omgedraaide bellende en gebelde tegenpartij. De datasets zijn weliswaar niet volledig in die zin dat zij niet alle ooit met de accounts verzonden of ontvangen berichten bevatten, maar dat kan verklaard worden door de automatische wisfunctie en/of het handmatig wissen van berichten. De gegevens van Exclu zijn voor 99,6 % volledig, waarbij het verschil met 100% komt door het ontbreken van interceptie-gegevens op 3 januari 2023 tussen 13:16 en 14:51 uur. Een aantal berichten is dubbel veiliggesteld, maar deze discrepantie heeft geen invloed op het gebruik van de gegevens verkregen uit de interceptie van de Exclu-berichten dienst. De verdediging draagt onvoldoende concrete aanwijzingen aan over de onbetrouwbaarheid van de Exclu-data. Het enkele noemen van een verkeerde toeschrijving van een bericht aan een bepaald account in een ander onderzoek volstaat daartoe volgens de rechtbank niet.

Bewijsoverwegingen omtrent ANOM in grote drugszaak

In een uitgebreide en lezenswaardige uitspraak (ECLI:NL:RBOBR:2024:3404) gaat de rechtbank Oost-Brabant in op bewijsverweren inzake de toegang en het gebruik van bewijs uit cryptophone-operaties. In dit geval meer specifiek de ANOM-operatie.

Op 24 november 2020 werd naar aanleiding van informatie die werd verkregen van het Team Criminele Inlichtingen een opsporingsonderzoek gestart onder de naam Baraga. Onderzoek Baraga richtte zich op de productie van en/of handel in (grondstoffen voor) synthetische drugs en deelneming aan een criminele organisatie. Gedurende het onderzoek kreeg het onderzoeksteam de beschikking over onderzoeksgegevens uit andere, al dan niet lopende, opsporingsonderzoeken en over data van meerdere cryptocommunicatiediensten (EncroChat, SkyECC en ANØM). Daarnaast werd gebruik gemaakt van diverse opsporingsmethoden zoals telefoontaps, observaties en het opnemen van vertrouwelijke communicatie (OVC) op meerdere locaties dan wel in voertuigen. Tijdens het onderzoek is hierdoor een groot aantal andere personen in beeld gekomen, die of samen met (een van) de hoofdverdachten, danwel in (diens) opdracht of in wisselende samenstelling(en) met een ander of anderen strafbare feiten hebben gepleegd. De diverse verdachten konden worden gekoppeld aan acht drugslaboratoria in Nederland en België waar synthetische drugs konden worden geproduceerd (al dan niet in opbouw, actief of voormalig) en aan opslaglocaties die hier verband mee hielden.

Het onderzoek heeft tot de verdenking geleid dat verschillende misdrijven zijn gepleegd. Kort weergegeven zijn de volgende feiten ten laste gelegd (het verschilt per verdachte welke feiten precies ten laste zijn gelegd):

  • het (mede)plegen van voorbereidingshandelingen voor de productie van (met)amfetamine en/of MDMA als bedoeld in artikel 10a van de Opiumwet;
  • het (mede)plegen van de productie van (met)amfetamine en MDMA op verschillende locaties;
  • deelname aan een organisatie die als oogmerk heeft het plegen van misdrijven bedoeld in artikel 10 lid 3 en/of lid 4 en/of lid 5 van de Opiumwet, al dan niet als leider;
  • het voorhanden hebben van (een of meerdere) vuurwapen(s).

Door de verdediging is verweer gevoerd tegen de bruikbaarheid van alle in het dossier beschikbare cryptodata, te weten de data van de diensten EncroChat, SkyECC en ANØM. De verdediging wijst daarbij op het arrest van het Hof van Justitie van de Europese Unie (hierna: HvJ EU) van 30 april 2024 (ECLI:EU:C:2024:372) en benadrukt dat uit dit arrest blijkt dat het Unierecht in Nederland onjuist is toegepast. Ook zou de Hoge Raad in de beslissing van 13 juni 2023 (ECLI:NL:HR:2023:913) onjuist hebben overwogen dat de EOB-richtlijn beperkt is tot de inzet van bevoegdheden als genoemd in de artikelen 126m en 126t Sv. Ook is onjuist overwogen dat hetgeen is bepaald in artikel 31 van de EOB-richtlijn niet is geschreven ter bescherming van specifieke belangen van de af te tappen of afgetapte persoon, maar verband houdt met de soevereiniteit van de betrokken landen.

Kortgezegd overweegt de rechtbank dat Nederland in de ANOM operatie niet het desbetreffende ‘derde land’ is geweest die de interceptie heeft gefaciliteerd voor de Amerikanen van communicatie uit de cryptotelefoons. Het derde land is een land in de Europese Unie en heeft conform haar eigen juridische processen een gerechtelijke machtiging heeft verkregen voor het kopiëren van ANØM-berichten op de in dat land staande server. Volgens de rechtbank is hier slechts sprake geweest van technische bijstand door het derde EU-land. De rechtbank wijst hierbij ook naar hetgeen de Hoge Raad in het arrest van 13 juni 2023 onder 6.10 heeft overwogen. Daar is sprake van een vergelijkbare duiding van bijstand. Omdat het ook hier enkel ging om technische bijstand is van een situatie als bedoeld in artikel 31 van de EOB-richtlijn geen sprake geweest. Het derde land was niet de intercepterende staat. De rechtbank overweegt ook dat niet is gebleken van een rol van de Nederlandse opsporingsautoriteiten bij de uitvoering van de interceptie. Dat de Nederlandse opsporingsautoriteiten op enig moment betrokken raakten is ten gevolge van het feit dat Nederland in de top vijf gebruikende landen bleek te staan niet verbazingwekkend. Dat maakt echter niet dat sprake is van een opsporingsonderzoek onder verantwoordelijkheid van de Nederlandse autoriteiten. Alle onderzoekswensen van de verdediging worden daarom afgewezen.

Uit het voorgaande volgt dat ook waar het de bestreden rechtmatigheid van de verkrijging van bewijsmateriaal van ANØM-toestellen betreft, het niet aan de Nederlandse strafrechter is om het onderzoek in het buitenland te toetsen. De rechtbank verwerpt de verweren voor zover zij zien op de (on)rechtmatigheid van de verkrijging van bewijsmateriaal afkomstig van ANØM-toestellen. Voor de volledigheid merkt de rechtbank op dat door de verdediging in de diverse zaken de betrouwbaarheid van het verkregen bewijsmateriaal niet is bestreden. De rechtbank neemt tot uitgangspunt dat het onderzoek in de Verenigde Staten zo is uitgevoerd dat de resultaten betrouwbaar zijn en ziet, ook ambtshalve, geen aanwijzingen voor het tegendeel die aanleiding geven tot nader onderzoek van de betrouwbaarheid.

Voor de verwerking van bewijsmateriaal afkomstig van ANØM-toestellen is geen machtiging van de rechter-commissaris gevorderd. De rechtbank is in het licht van het door de Hoge Raad in zijn prejudiciële beslissing uiteengezette kader van oordeel dat daartoe ook in het geval van ANØM-gegevens geen noodzaak bestond. Het Openbaar Ministerie heeft zelf wel kaders gesteld voor en voorwaarden verbonden aan de (verdere) verwerking van dit bewijsmateriaal. Ook hier is door de verdediging niet aangevoerd dat in strijd met de door het Openbaar Ministerie gestelde voorwaarden is gehandeld en de rechtbank ziet ook geen aanwijzingen voor dat oordeel.

Ten slotte overweegt de rechtbank dat de Richtlijnen 2002/58/EG en 2016/680, noch de jurisprudentie van het EHRM die ziet op bulkinterceptie van data en mogelijke strijd daarvan met artikel 8 EVRM op de verwerking van het onderhavige bewijsmateriaal van toepassing, omdat dit voortvloeit uit de prejudiciële beslissing van de Hoge Raad. Evenmin is het kader dat voortvloeit uit het Prokuratuur-arrest van toepassing, nu ook die rechtspraak immers niet ziet op de interceptie van gegevens in het kader van een strafrechtelijk onderzoek naar de aanbieders van diensten waarmee berichten versleuteld kunnen worden verzonden, en naar de gebruikers van die diensten, in verband met de in relatie tot het aanbieden en het gebruik gerezen verdenkingen. Het voorgaande brengt de rechtbank tot het oordeel dat het bewijsmateriaal afkomstig van de toestellen rechtmatig is verwerkt.

Op de fascinerende combinatie van bewijsmiddelen wordt verder in dit bericht niet ingegaan. De verdachte in de onderhavige zaak wordt veroordeeld tot negen jaar gevangenisstraf, met aftrek van voorarrest.

Meer duidelijkheid over de Exclu-operatie

jjoerlemans Een reactie plaatsen

Bron: dit is een met AI gegenereerde afbeelding door WordPress

Dit bericht is geüpdatet op 7 maart 2025

Exclu is een type cryptotelefoon, die het mogelijk maakt berichten, foto’s, notities, gesproken memo’s, chatconversaties en video’s met andere Exclu-gebruikers uit te wisselen. Exclu had volgens een persbericht van Openbaar Ministerie naar schatting 3000 gebruikers, waarvan 750 Nederlandstaligen. In het persbericht van Eurojust is te lezen dat een server in Duitsland stond.

De politie en het Openbaar Ministerie konden vijf maanden de berichten van Exclu-gebruikers meelezen. Hierbij waren onder meer zeven politie-eenheden, de FIOD en Rijksrecherche betrokken. Op vrijdag 3 februari 2023 is de berichtendienst ontmanteld. Daarbij vonden 79 doorzoekingen plaats, werden 200 telefoon in beslag genomen en vonden 42 aanhoudingen plaats in onder meer Nederland, Duitsland en België. Onder de aangehouden personen zijn zowel gebruikers, als ook eigenaren en beheerders van de dienst Exclu.

Cyberbunker

In mediaberichten (zoals in het Parool) is verder te lezen dat Exclu rond 2015 is ontwikkeld door Herman Johan X.. De Nederlandse ict’er runt in Duitsland een computercentrum in een voormalige Navo-bunker (‘Cyberbunker’ genoemd). In het artikel van het Parool is te lezen dat toen de datakabel van de server in september 2022 werd verwisseld, de politie vijf maanden de berichten kon meelezen.

Dit achtergrondartikel over cyberbunker van Tweakers.net is ook lezenwaardig. Daar is in te lezen dat X. door de Duitse rechtbank is veroordeeld tot vijf jaar en negen maanden gevangenisstraf wegens het vormen van en deelnemen aan een criminele organisatie waar hij aan het hoofd stond. De rechtbank oordeelde dat X en medeverdachten zich niet schuldig hadden gemaakt aan medeplichtigheid aan de strafbare feiten die zijn gepleegd op de illegale marktplaatsen die op de servers in de bunker werden gehost. Inmiddels is volgens Der Spiegel een nieuw strafbaar feit aan het Duitse wetboek van strafrecht toegevoegd, die gaat over ‘strafrechtelijke aansprakelijkheid voor het exploiteren van criminele handelsplatforms op internet’. Het is een strafbaar feit om ‘een handelsplatform op internet te exploiteren dat tot doel heeft het plegen van illegale handelingen mogelijk te maken of te bevorderen’.

Onderzoek ’26Samber’ en ’26Lytham’

De cryptophone-onderzoeken met betrekking tot Exclu hebben de namen ‘26Samber’ en ‘26Lytham’. Het onderzoek 26Samber, dat startte in september 2020, richt zich op de aanbieders van het platform Exclu. Het onderzoek 26Lytham is op 28 april 2022 gestart en richt zich op de gebruikers van Exclu van wie wordt vermoed dat zij in georganiseerd verband misdrijven plegen.

De doelstelling van onderzoek 26Lytham is het identificeren van de NN-gebruikers van Exclu. Deze informatie wordt vervolgens uitgegeven aan ‘titel IVa-doelonderzoeken’, oftewel gebruikt ten behoeve van andere opsporingsonderzoeken. De rechtbank Zeeland-West-Brabant leidt in ECLI:NL:RBZWB:2024:8122 uit de verantwoordingsstukken over onderzoek 26Lytham af dat dit onderzoek is aangevangen met het doel om de identiteit te achterhalen van de NN-gebruikers van Exclu. Op basis van die doelstelling is berichtenverkeer tussen de gebruikers van Exclu onderschept en ontsleuteld. Omdat de server van Exclu zich op dat moment in Duitsland bevond, heeft voor de interceptie van de berichtenstroom en het verkrijgen van de sleutels een hack plaatsgevonden op de server. De Duitse politiële autoriteiten zijn daartoe overgaan, nadat Nederland hiertoe een verzoek heeft gedaan.

Het Duitse Landeskriminalamt (LKA) Rheinland-Pfalz startte in juni 2020 ook een onderzoek naar Exclu. In het persbericht staat hierover: ‘in goede samenwerking kon Nederland in Duitsland onderzoek doen met oog op het verkrijgen van bewijsmateriaal voor haar onderzoek’. Onderzoek Nuntius betreft een Duitse strafzaak, onder kenmerk 3StR 306/22, waarop het Bundesgerichtshof in Karlsruhe op 12 september 2023 uitspraak heeft gedaan. Dit is een verwijzing naar de ‘Cyberbunker-uitspraak’.

In een tussentijdse beslissing in hoger beroep (ECLI:NL:GHDHA:2025:274) van 21 januari 2025 verduidelijkt het gerechtshof Den Haag de rol van de Nederlandse opsporingsinstanties in het Exclu-onderzoek

Het hof overweegt hierover dat uit de bewoordingen van het EOB, inzake de machtiging ex artikel 126uba Sv van de rechter-commissaris van 26 augustus 2022, volgt dat aan de Duitse autoriteiten is verzocht om Nederlandse opsporingsambtenaren toestemming te verlenen om vanaf Nederlands grondgebied binnen te dringen in een zich in Duitsland bevindende Exclu-berichtenserver. Tevens is verzocht om technische bijstand te mogen verlenen bij de plaatsing en monitoring van het interceptiemiddel. Daarnaast staat in het EOB vermeld dat de ontsleuteling van de Exclu-berichten in Nederland zal plaatsvinden. Het hof constateert op basis van het dossier dat de Nederlandse politie (team DIGIT) de in het Exclu-communicatieprotocol toegepaste versleuteling heeft geanalyseerd en ongedaan heeft gemaakt.

De advocaat-generaal heeft uitdrukkelijk erkend dat Nederlandse opsporingsambtenaren in het Exclu-onderzoek zelfstandig opsporingshandelingen hebben verricht. Hij heeft hun rol zelfs als ‘leidend’ bestempeld. Het dossier bevat een grote hoeveelheid stukken, waaronder vorderingen tot machtiging ex artikel 126uba Sv, beslissingen van de rechter-commissaris, bevelen van de officier van justitie, EOB’s en processen-verbaal van politie, waarin gedetailleerd wordt omschreven welke onderzoekshandelingen zijn verricht. Het gerechtshof overweegt daarop dat de onderzoekshandelingen onder de verantwoordelijkheid van de Duitse autoriteiten hebben plaatsgevonden. Het hof acht het vertrouwensbeginsel ook in deze omstandigheden onverkort van toepassing.

Machtiging voor het tappen van de server en inzet hackbevoegdheid

In een uitspraak (ECLI:NL:RBGEL:2024:4183) van de rechtbank Gelderland van 4 juli 2024 staat dat op 22 juli 2022 een rechter-commissaris een machtiging verleent voor het voor het tappen van Exclu-verkeer van de Duitse server. Deze machtiging is daarna zes keer verlengd. In de eerste beschikking wordt verwezen naar de daaraan voorafgaande vordering met het proces-verbaal van verdenking van 20 juli 2022. In het proces-verbaal van verdenking wordt beschreven dat de Exclu applicatie via geselecteerde “resellers” wordt verkocht waarbij uitsluitend contant of via bitcoin wordt betaald, terwijl geen enkele identificatie plaatsvindt. De Exclu applicatie heeft kenmerken zoals “panic button”, “icon change” en “dummy applicaties” waarmee kennelijk het gebruik van Exclu wordt beoogd te verhullen.

In de tweede beschikking, van 25 augustus 2022, heeft de rechter-commissaris een machtiging verleend voor het hacken van de server van Exclu in Duitsland (ex. artikel 126uba Sv) (zie ECLI:NL:RBZWB:2024:8122). Deze machtiging is vijf keer verlengd. Aan de tweede beschikking is een vordering voorafgegaan, met daarbij het proces-verbaal met kenmerk 26Lytham-00053 en verwijzing naar het eerder overgelegde proces-verbaal van verdenking met kenmerk 26Lytham-0026. Deze beschikkingen en verlengingen zijn steeds opgevolgd door Europese onderzoeksbevelen, gericht aan de bevoegde Duitse autoriteiten.

Voorwaarden machtiging inzet hackbevoegdheid

In de beschikking van 25 augustus 2022 werden aan de verleende machtiging de volgende voorwaarden verbonden (zie ECLI:NL:RBGEL:2024:4183). De vergaarde informatie slechts mag worden doorzocht op vast te leggen zoeksleutels, terwijl de met die zoeksleutels geselecteerde informatie eerst aan de rechter-commissaris moet worden voorgelegd om de inhoud, omvang en relatie tot de vermoedelijk gepleegde of te plegen strafbare feiten te controleren. Pas daarna mag het beschikbaar komen aan het openbaar ministerie of de politie ten behoeve van (opsporings-)onderzoeken. Bovendien is aan de machtiging de absolute randvoorwaarde verbonden dat de vergaarde informatiecommunicatie slechts ter beschikking mag worden gesteld voor onderzoeken naar strafbare feiten als bedoeld in artikel 67 Sv eerste lid in georganiseerd verband gepleegd of beraamd en die gezien hun aard of de samenhang met andere misdrijven die in dat georganiseerde verband worden beraamd of gepleegd een ernstige inbreuk op de rechtsorde maken, dan wel misdrijven met een terroristisch oogmerk.

Hackbevoegdheid en betrouwbaarheid van bewijs

In de eerder aangehaalde uitspraak (ECLI:NL:RBGEL:2024:4183) van de rechtbank Gelderland overweegt de rechtbank over de betrouwbaarheid van het bewijs het volgende. Gelet op het arrest van de Hoge Raad van 13 juni 2023, ECLI:NL:HR:2023:913 mag de rechtbank voor de Exclu-data in de strafzaak tegen verdachte, die door tappen van berichten en hacken van de server onder verantwoordelijkheid van de Duitse autoriteiten is verkregen, behoudens concrete aanwijzingen voor het tegendeel, van de betrouwbaarheid van het onder verantwoordelijkheid van de Duitse autoriteiten verrichte onderzoek, uitgaan.

Zowel over de Encrochat-data als de Exclu-data is een NFI rapportage opgemaakt waarin de deskundige verklaart dat er geen redenen gevonden zijn om te twijfelen aan de correctheid van de berichten uit het technisch hulpmiddel, behalve de fout met de omgedraaide bellende en gebelde tegenpartij. De datasets zijn weliswaar niet volledig in die zin dat zij niet alle ooit met de accounts verzonden of ontvangen berichten bevatten, maar dat kan verklaard worden door de automatische wisfunctie en/of het handmatig wissen van berichten. De gegevens van Exclu zijn voor 99,6 % volledig, waarbij het verschil met 100% komt door het ontbreken van interceptie-gegevens op 3 januari 2023 tussen 13:16 en 14:51 uur. Een aantal berichten is dubbel veiliggesteld, maar deze discrepantie heeft geen invloed op het gebruik van de gegevens verkregen uit de interceptie van de Exclu-berichten dienst. De verdediging draagt onvoldoende concrete aanwijzingen aan over de onbetrouwbaarheid van de Exclu-data. Het enkele noemen van een verkeerde toeschrijving van een bericht aan een bepaald account in een ander onderzoek volstaat daartoe volgens de rechtbank niet.

Geheimhouders

In het persbericht van Exclu staat ditmaal expliciet een oproep aan geheimhouders om zich te melden:

“Gebruikers van Exclu die zich kunnen beroepen op het wettelijk verschoningsrecht, zoals advocaten, notarissen, artsen of geestelijken, kunnen dit melden. Zij dienen hun gebruikersgegevens te delen met de politie via geheimhouders@OM.nl. De politie zal dit controleren en indien gegrond, de gegevens verwijderen. Op dit moment kan niemand meer gebruikmaken van de diensten van Exclu.”

Deze blog wordt geüpdatet als nieuwe informatie over de operatie via de rechtspraak bekend wordt. Op 30 augustus 2024 is dit bericht voor het laatst geüpdatet.

New iOCTA report (2024)

jjoerlemans

In 2023, ransomware attacks, child sexual exploitation (CSE) and online fraud remained the most threatening manifestations of cybercrime in the European Union (EU). This new ‘internet Organised Threat Assessment’ report from Europol also provides interesting insights about AI and Cybercrime. A summary of parts of the report is provided below.  

Ransomware

Ransomware groups increasingly target small and medium-sized businesses, because they have lower cyber defences. Most ransomware operators choose their targets based on the size, likelihood of a pay-out and the effort required to compromise the target’s systems. This means that attackers seek out publicly accessible systems and services within the infrastructure (reconnaissance) and assess which of them can be compromised most easily. Gaining initial access can be done through stolen credentials or by exploiting vulnerabilities in the public facing technologies. Bitcoin is still the cryptocurrency that is most abused by criminals, but the use of alternative coins (altcoins, such as Monero) seems to be growing.

Similar to previous years, ransomware operators are continuing to deploy multi-layered extortion tactics. Although attackers still tend to encrypt the compromised systems, the risk of publishing or auctioning the stolen data has become the most relevant pressure point against victims, since many organisations have started to back up their systems on a regular basis.

The report provides an excellent overview of ransomware actors and Europol operations (p. 16-17). The authors explain that recent law enforcement operations and the leak of ransomware source codes (e.g. Conti, LockBit and HelloKitty) have led to a fragmentation of active ransomware groups and available variants.

Child sexual exploitation

Self-generated sexual material constitutes a significant share of the child sexual abuse material (CSAM) detected online. The volume of self-generated sexual material now constitutes a significant and growing part of the CSAM detected online. This content is created by and depicts children, especially teenagers. In many cases, it is the result of voluntary exchanges among peers but it can be classified as CSAM once disseminated to a third party without the consent of the person who first sent it. Self-generated sexual material is also often the result of online sexual grooming and extortion. In this setting, the perpetrator identifies the victim online, often on gaming platforms or social media, and after gaining their trust through grooming, perpetrators obtain sexually explicit material and use it as leverage for extortion. A feeling of shame and the hope that the threats might stop often lead victims to produce more self-generated sexual material. In addition to extortion for new CSAM, some offenders also extort money from their victims.

Live-distant child abuse (LDCA) is a persistent threat, where offenders watch child sexual abuse on demand with the support of one or more facilitators who perpetrate the abuse on the victim(s) in exchange for payment.

Forums and chatrooms are still essential networking environments for CSE offenders who exchange CSAM and discuss abuses perpetrated and fantasies, how to acquire original CSAM, techniques to groom children and OpSec tips. More proficient offenders usually network in dark web forums that appear to be more and more specialised and tailored to sexual preferences. These offenders have increasingly high levels of technical knowledge, and measures to conceal their traces. These forums have specialised sections for technical and OpSec related matters with tips and training options. As these digital environments are often subject to LE takedowns, technical vulnerabilities and Distributed Denial of Service (DDoS) attacks, they usually do not have a lifespan longer than two years. To overcome such issues, the administrators in charge of these forums create mirror sites, holding a copy of its content and, whenever their site is taken down, they quickly recreate it at a new address. End-to-end encrypted (E2EE) communication platforms are increasingly being used by offenders to exchange CSAM and for communication purposes.

Darknet markets

The main business in dark web markets remains illicit drugs, although there has been a noticeable rise in the volume of prescription drug sales in 2023. Fraudulent shops and services are also increasingly common, offering both fake drug sales and bogus hitman services.

The past year has seen a continued emergence of smaller and much more specialised single-vendor shops. Single-vendor shops allow vendors to avoid paying the fees imposed on traditional marketplaces for each transaction, while still maintaining a presence on several markets at the same time.

The dark web continues to be a key enabler for cybercrime, allowing offenders to share knowledge, tools and services in a more concealed way. It is nevertheless unstable as the fragmentation of marketplaces continues, hand in hand with a surge in exit scams. As a result, the lifecycle of criminal sites has become shorter and mirror sites are springing up rapidly to counter takedowns. The Tor network remains the most popular platform for cybercriminals to access the dark web.

In the aftermath of the German LE’s takedown of the Monopoly Market’s criminal infrastructure in December 2021, last year saw a coordinated operation by Europol and nine countries lead to the arrest of 288 persons across nine countries suspected of involvement in buying or selling drugs on the Monopoly market. Close to EUR 51 million in cash and virtual currencies, 850 kg of drugs, and 117 firearms were seized. The vendors arrested were also active on other marketplaces.

Europol states Exploit, XSS and BreachForums were among the most active cybercrime forums on the dark web in 2023. Cybercriminals were seen sharing hacking knowledge and trading in stolen data, hacking tools and cybercrime services on Exploit and XSS, with the services also serving as a platform for initial access brokers (IABs).

Exploit is primarily Russian-speaking and accessible via both the clear and dark web with an entry fee or a vetted reputation. XSS offers security features for user anonymity and has both free and premium membership options. BreachForums is an English-language forum that functions both as a forum and a marketplace for cybercriminals globally. It facilitates the trade in leaked databases, stolen banking cards and corporate data. In May 2023, one of the forum administrators was arrested5 and the forum was shut down. Three months later, the hacker group ShinyHunters resurrected the forum. In May 2024, it was taken down again in an international LEA operation.

CryptBB and Dread are other known forums with increased activity in 2023. CryptBB is a closed forum for cybercriminals, including hackers, carders, and programmers, from beginners to experts (the admins of CryptBB promote it as the most suitable forum for cybercrime beginners). It offers a range of cybercrime services, remote desktop protocol (RDP) access sales, ‘hackers for hire’, penetration testing and bug reporting services for marketplaces. Dread is a forum launched in 2018 that hosts a wide variety of content from hacking to drug trafficking, Personal Identifiable Information (PII), et cetear. With a user base of over 400 000 users, it is considered one of the most popular forums on the dark web. The forum was shut down by a DDoS attack in November 2022 but resurrected in February 2023. It then introduced a rotating onion address service called Daunt to protect hidden services from DDoS attacks.

As for marketplaces, RAMP, Russian market and the WWH-Club were the most prolific in 2023 beside Genesis, which, although taken down in April 2023, remained one of most active markets of the year. RAMP was a prominent drug marketplace for Russian speakers between 2012, when it began, and 2017 when the Russian Ministry of Internal Affairs seized the site. In 2021, a new RAMP appeared with a focus on ransomware. The new RAMP was no longer Russian speaking only and was opened to Mandarin and English speakers. It has a closed forum with strict access criteria. Russian Market is an English-language marketplace known for trading in PII and other illicit digital goods like RDP access and stolen credit card data.

AI and cybercrime

Artificial Intelligence (AI) based technologies are making social engineering even more effective. Malicious large language models (LLMs) are becoming prominent tools in the cybercrime market. There are already services offered in the dark web that can help online fraudsters to develop scripts and create phishing emails. LLMs are also being used in sexual extortion cases, where these tools can help offenders to refine their grooming techniques. Europol explains this trend might also be perpetuated by the wider availability and increased quality of AI-tools that lack prompt filtering, which cybercriminals can use to quickly assemble and debug their code.

The use of deepfakes is another area of concern as this is a powerful addition to the cybercriminal toolbox. In online fraud, deepfakes are used to mimic voices, for instance for Chief Executive Officer (CEO) fraud attempts and for shock calls, and their popularity is set to increase. The existence of a dark web service called ‘Only Fake’ has already been reported. The service sells AI-generated fake IDs that can be used to open accounts online on financial services, bypassing Know Your Customer (KYC) procedures. Europol expect more AI-generated advertisements luring in potential victims to online fraud.

In the area of child sexual exploitation (CSE), cases of AI-assisted and AI-altered child sexual abuse material (CSAM) as well as fully AI-generated CSAM were already being reported in 2023 and are expected to become more prominent in the near future. Abuse of LLMs might allow criminals to overcome language barriers so that sex offenders are able to groom victims virtually in any language, impersonating peers and interacting in a way that the victim perceives as natural and believable.

Europol explains that, even in the cases when the content is fully artificial and there is no real victim depicted, AI-generated CSAM still contributes to the objectification and sexualisation of children. The generation of these types of artificial images increases the amount of CSAM material in circulation and makes it harder to identify both victims and perpetrators. This production process is also widely available and does not require high levels of technical expertise, potentially broadening the number and spectrum of perpetrators. These files can easily be used for cyberbullying or for sexual extortion. The greater the volume of artificial CSAM in circulation, the more difficult it will become to identify offenders or victims through image recognition. In order to counter such emerging challenges, specialised CSE investigators will have to find new investigative pathways and tools.

Nieuwe editie ‘Basisboek Cybercriminaliteit’

jjoerlemans

De tweede editie van het Basisboek Cybercriminaliteit is vanaf nu beschikbaar op Boom.nl!

Samen met mijn coredacteuren Wytske van der Wagen en Marleen Weulen Kranenbarg, én alle gastauteurs, hebben we hard gewerkt aan deze tweede editie en we zijn trots op het resultaat. Het boek is bedoeld voor professionals en studenten van de opleidingen criminologie, cybercrime en cybersecurity, ICT-recht en strafrecht.

Inhoud

Alle hoofdstukken zijn geüpdated met nieuwe inzichten uit de literatuur, recente gebeurtenissen, jurisprudentie en wetgeving. Deze editie bevat een geheel nieuw hoofdstuk over cybercriminele samenwerkingsverbanden. Daarnaast we ervoor gekozen om cybercriminaliteit (in enge zin) en gedigitaliseerde criminaliteit in afzonderlijke hoofdstukken te behandelen, zodat we meer aandacht kunnen besteden aan beide categorieën van cybercrime. Ook bespreken we een belangrijke verschijningsvorm van gedigitaliseerde criminaliteit die in de vorige editie ontbrak: uitingsdelicten op internet. Tot slot krijgen nieuwe ontwikkelingen, zoals generatieve AI en Large Language Models, veel aandacht in deze editie.

Waar te bestellen?

Het boek is beschikbaar op de productpagina op de website van Boom Uitgevers. Daar is ook de  inhoudsopgave van het boek te raadplegen. De hoofdstukken waar ik de eerste auteur van ben, komen na één jaar in open access beschikbaar.

Boekpresentatie

Op vrijdag 6 september 2024 organiseren we van 15.00-17.30 uur een boekpresentatie op de Faculty Club van de Universiteit Leiden. Tijdens een paneldiscussie met de titel ‘Kennis over cybercriminaliteit: essentieel of optioneel?’ discussiëren we samen met gastauteurs van het boek over het thema cybercriminaliteit en onderwijs. Na afloop is er een borrel en zijn de boeken met korting te bestellen. Vergeet niet om je aan te melden door mij een e-mail te sturen, want het aantal plekken is beperkt.

New edition ‘Essentials in Cybercrime’

jjoerlemans

The second edition of our book Essentials in Cybercrime is now available on Boom.nl! 

Together with my co-editors Wytske van der Wagen and Marleen Weulen Kranenbarg, and all guest authors, we have worked hard on this second edition and we are proud of the result. The book is intended for professionals and students in the fields of criminology, cybercrime and cybersecurity, IT law, and criminal law.

Content

All chapters have been updated with new insights from literature, recent events, case law, and legislation. We have chosen to address cyber-dependent crime and cyber-enabled crime in separate chapters, allowing us to give more attention to both categories of cybercrime. We also discuss an important type of cyber-enabled crime that was missing in the previous edition: online expression offenses (with a focus on European legislation). Finally, new developments such as generative AI and Large Language Models receive significant attention in this edition.

Where to order?

The book is available on the product page at Boom Publishers website and webshops such as Amazon. You can also check out the Table of Contents on Boom.nl. The chapters for which I am first author will be available in open access after one year.

Cybercrime jurisprudentieoverzicht juni 2024

jjoerlemans

1. Ontwikkelaar Tornado Cash veroordeeld

Op 14 mei 2024 heeft de rechtbank Oost-Brabant heeft een 31-jarige Rus (woonachtig in Amstelveen), veroordeeld (ECLI:NL:RBOBR:2024:2069) tot een gevangenisstraf van vijf jaar en vier maanden. De verdachte ontwikkelde samen met twee anderen ‘Tornado Cash’.

Door bestudering van de GitHub pagina van Tornado Cash ontstond het vermoeden dat verdachte één van de ontwikkelaars van Tornado Cash is. Het strafrechtelijk onderzoek richtte zich vervolgens ook op verdachte.

Werking Tornado Cash

Tornado Cash hanteert zogenaamde pools, een soort verzamelbakjes, aldus de rechtbank, die stortingen van cryptovaluta vanaf het ene walletadres accepteren en opnames via een ander walletadres mogelijk maken. Tornado Cash verbreekt op deze manier het transactiespoor op de blockchain. Hierdoor verhult of verbergt Tornado Cash wat de oorspronkelijke herkomst van de opgenomen cryptovaluta is, wie de daadwerkelijke eigenaar is en waar de cryptovaluta naartoe wordt verplaatst. Doordat Tornado Cash het mogelijk maakt volledig anoniem stortingen in en opnames uit Tornado Cash te doen, wordt eveneens verborgen of verhuld wie de feitelijke beschikkingsmacht over de cryptovaluta heeft, oftewel wie de cryptovaluta voorhanden heeft. Het praktisch onmogelijk om Tornado Cash offline te halen.

In de uitspraak wordt de werking van het systeem ook verder in detail uitgelegd. Zo heeft een gebruiker van Tornado Cash bij het doen van een opname uit Tornado Cash de keus om die opname zelf te doen, via een eigen gekozen walletadres, of om die opname door een zogenaamde ‘relayer’ te laten doen. Relayers zijn extern beheerde systemen, servers, die uit naam van een gebruiker een transactie uitvoeren nadat zij daartoe een instructie hebben gekregen. Naar het oordeel van de rechtbank kan de verdachte niet worden beschouwd als een tussenpersoon zoals bedoeld in art. 54a Sr of een dienstverlener in de zin van art. 138g Sr.

1,2 miljard witgewassen

Volgens de rechtbank is er met Tornado Cash 535.809 ETH (Ether) witgewassen met een waarde van ongeveer 1.217.343.820 USD (1,2 miljard Amerikaanse dollar) (!!). Ether worden daarbij als voorwerpen gezien, zoals bedoeld in art. 420bis. Net als Bitcoins zijn Ether cryptovaluta, digitale geldeenheden, die een reële waarde in het economische verkeer vertegenwoordigen, die voor menselijke beheersing vatbaar zijn en die overdraagbaar zijn. De rechtbank overweegt dat deze cryptovaluta afkomstig zijn van 36 verschillende digitale diefstallen.

Het dieptepunt is de Axie Infinity hack, gepleegd door de Lazarus Group, waarbij 625 miljoen Amerikaanse dollar aan cryptovaluta is gestolen. Daarvan is volgens de rechtbank bijna 450 miljoen dollar in Tornado Cash gestort en witgewassen. Hieruit volgt dat de tenlastegelegde Ether afkomstig zijn van diefstal met een valse sleutel (artikel 311 Sr), al dan niet in samenhang met andere misdrijven. De tenlastegelegde Ether zijn daarmee afkomstig van concreet aanwijsbare misdrijven.

De rechtbank concludeert dat Tornado Cash witwashandelingen heeft uitgevoerd, namelijk het verhullen of verbergen van de herkomst en de verplaatsing van uit misdrijf afkomstige cryptovaluta, Ether, wie de rechthebbenden daarvan waren en wie deze daadwerkelijk voorhanden hebben (gehad). De verdediging heeft aangevoerd dat verdachte geen enkele invloed (meer) had op de autonoom werkende smart contracts van Tornado Cash. De verdediging plaatst de verdachte daarmee ‘als een willoze en onmachtige derde op afstand van de niet te stoppen witwashandelingen van Tornado Cash’.

Verdachte verantwoordelijk voor Tornado Cash en veroordeeld voor medeplegen witwassen

De rechtbank overweegt dat Tornado Cash functioneert zoals het door de verdachte en zijn medeoprichters is ontworpen en valt qua werking volledig onder hun verantwoordelijkheid. Als de verdachte mogelijkheden had willen hebben om op te kunnen treden tegen eventueel misbruik, dan had hij die moeten inbouwen. Dit deed hij echter niet. Tornado Cash werpt geen enkele drempel op voor de gebruiker die over crimineel vermogen beschikt en dit vermogen wil witwassen. De verdachte is daarom schuldig aan (gewoonte)witwassen.

De verdachte wordt zelfs schuldig bevonden aan het medeplegen van witwassen. Volgens de rechtbank dat sprake is geweest van een nauwe en bewuste samenwerking tussen verdachte en zijn mededaders die in de kern bestaat uit een gezamenlijke uitvoering. Die samenwerking heeft de gehele tenlastegelegde periode geduurd. Dat maakt dat verdachte en zijn mededaders gedurende de gehele tenlastegelegde periode als medeplegers van de tenlastegelegde witwashandelingen kunnen worden aangemerkt

De rechtbank stelt vast de verdachte wetenschap had van het feit dat in Tornado Cash grote hoeveelheden uit misdrijf afkomstige Ether werden gestort. Met andere woorden, hij was zich bewust van de aanmerkelijke kans daarop. Die aanmerkelijke kans strekte zich ook uit over de specifiek in de tenlastelegging genoemde Ether die afkomstig waren uit hacks. Volgens de rechtbank is het algemeen bekend dat een ‘cryptomixer’ of vergelijkbare diensten zoals Tornado Cash, gebruikt worden bij het witwassen van cryptovaluta. Daarbij was de verdachte actief in verschillende chatgroepen waarin werd gesproken over hacks waarbij Ether was gestolen en over het feit dat cryptovaluta met een criminele herkomst in Tornado Cash werden gestort. 

Dit weerhield de verdachte er niet van om Tornado Cash te ontwikkelen en zonder begrenzing (bijvoorbeeld door het inbouwen van maatregelen) aan te bieden aan het publiek. Integendeel, hij ging tot zijn aanhouding door met het verder ontwikkelen en de uitrol van Tornado Cash, waarbij vrijwel elke vervolgstap de verhullende werking en de anonimiteit van de gebruikers versterkte. De verdachte nam het eenvoudige, onbegrensde, voorzienbare en evidente gebruik door criminelen op de koop toe. 

To be continued..

De rechtbank vindt net als de officier van justitie een celstraf van 5 jaar en 4 maanden op zijn plaats. Daarnaast wordt een inbeslaggenomen Porsche en ongeveer 1,9 miljoen euro aan cryptovaluta verbeurdverklaard. Voor deze uitspraak is hoger beroep ingesteld.

Na een eerste lezing blijf ik het een ingewikkelde zaak vinden. Het is technisch lastig te begrijpen en ik moet ook verder nadenken over de juridische overwegingen omtrent Tornado Cash als tussenpersoon en de veroordeling voor medeplegen. We wachten eerst eens maar de zaak in hoger beroep af.

2. Veroordeling uitlokken tot hacken in CoronIT systeem

Op 27 mei 2024 is een verdachte veroordeeld (ECLI:NL:RBMNE:2024:3434) voor uitlokking van computervredebreuk (art. 47 lid 1 onderdeel 2 jo art. 138ab Sr) en het overnemen van niet-openbare gegevens uit een geautomatiseerd werk (art. 47 lid 1 onderdeel 2 jo art. 138c Sr). Zie eerder ook deze veroordeling in het jurisprudentieoverzicht van juni 2022.

500 euro voor set persoonsgegevens

De verdachte heeft zich hieraan schuldig door een ander een geldbedrag te beloven om screenshots te sturen van persoonsgegevens (telefoonnummers) die in het computersysteem van de GGD stonden. Persoon ‘A’ heeft ook daadwerkelijk tientallen screenshots met gegevens naar verdachte verstuurd. Het ging daarbij om weten 67 identificerende persoonsgegevens zoals naam, geboortedatum, burgerservicenummer (BSN), adres en telefoonnummer. Haar werd 500,00 euro geboden voor de gegevens.

Identificatie verdachte

Namens de GGD GHOR Nederland is aangifte gedaan, omdat een medewerker via Snapchat werd benaderd om persoonsgegevens uit het computersysteem van de GGD GHOR te delen. Zowel het Snapchataccount als het telefoonnummer waren herleidbaar tot verdachte. De gebruikersnaam van het snapchataccount was te koppelen aan een facebookaccount waarop een advertentie geplaatst werd voor een woningruil. Verdachte stond op dat moment op het adres van deze woning ingeschreven en er werd voor de advertentie gebruik gemaakt van het telefoonnummer van de moeder van verdachte. Tijdens de doorzoeking bij verdachte is een iPhone 6s gevonden in de bank waar hij kort daarvoor had gezeten. Aan deze iPhone 6s was in de periode dat de uitlokking werd gepleegd het telefoonnummer van de verdachte gekoppeld. Het Telegramaccount was ook actief op dit toestel en het toestel straalde in de relevante periode telecommasten aan in de buurt van het woonadres van verdachte. De rechtbank concludeert hieruit dat het verdachte was die in de tenlastegelegde periode gebruik maakte van het telefoonnummer en van het Snapchataccount, en dus degene is geweest die [A] heeft benaderd.

Computervredebreuk en overnemen niet-openbare gegevens

Met de strafbaarstelling in artikel 138ab van het Wetboek van Strafrecht is aansluiting gezocht bij de bestaande strafbaarstelling betreffende de huisvredebreuk. Een wachtwoord kan daarbij worden aangemerkt als een sleutel die de gebruiker toegang geeft tot het systeem of tot een deel daarvan. Wanneer de autorisatie die verleend is voor de toegang tot specifieke onderdelen van het geautomatiseerde werk wordt overschreden, kan het wachtwoord (een sleutel), door het onbevoegd gebruik maken daarvan, een valse sleutel worden.

Ook heeft verdachte zich daarmee schuldig gemaakt aan uitlokking van het opzettelijk en wederrechtelijk voor zichzelf of een ander overnemen van niet-openbare gegevens als bedoeld in artikel 138c Wetboek van Strafrecht. Een dergelijk handelen is gericht tegen de onmiskenbare wil van de beheerder van het systeem en in strijd met het doel daarvan en tast de integriteit van het systeem aan. De uitlokking ziet enkel op het verkrijgen van telefoonnummers uit patiëntendossiers uit CoronIT. Dit impliceert volgens de rechtbank dat verdachte heeft uitgelokt tot het plegen van zowel computervredebreuk als het overnemen van niet openbare gegevens. De rechtbank is daarom van oordeel dat sprake is van eendaadse samenloop.

De verdachte veroordeelt de verdachte tot een taakstraf van 120 uur en een proeftijd van twee jaar.

3. Veroordeling bankhelpdeskfraude

Op 16 mei 2024 veroordeelde (ECLI:NL:RBNNE:2024:1893) de rechtbank Noord-Nederland een verdachte voor 34 maanden gevangenisstraf vanwege bankhelpdeskfraude, in de vorm van het (mede)plegen van oplichting (art. 326 Sr), diefstal met valse sleutels (art. 311) en het voorhanden hebben van leads (art. 139g Sr), en voor online handelsfraude (art. 326e Sr).

Werkwijze

De verdachte en medeverdachten hebben zich in telefoongesprekken met de slachtoffers voorgedaan als een bankmedewerker van de Rabobank en gezegd dat criminelen (in het buitenland) bezig waren geld van hun rekening te halen. Vervolgens hebben ze de slachtoffers overgehaald om hun geld over te boeken naar zogenaamd ‘veilige’ bankrekeningen. Vanaf deze bankrekeningen hebben de verdachte en medeverdachten het geld doorgestort naar verschillende platformen voor de handel in cryptovaluta (Coinbase en Litebit).

In de uitspraak staat gedetailleerd beschreven hoe de verdachten de slachtoffers ook zelf een cryptocurrency app lieten downloaden of account bij een cryptocurreny uitwisselingskantoor lieten openen om het geld over te laten maken. Vervolgens is het geld onder de daders verdeeld. De verdachte heeft zich daarnaast schuldig gemaakt aan vijf gevallen van Marktplaatsfraude.

Toepassing Smartphone-arrest bij verweer

Interessant is nog de overweging van de rechtbank over het onderzoek op de iPhone van de verdachte. In het onderhavige geval stelt de rechtbank vast dat er in de telefoons gericht onderzoek is gedaan naar specifieke zaaksinformatie, zoals leads, cryptovaluta, foto’s van bankpassen en identiteitsbewijzen en afbeeldingen en video’s die mogelijk verband houden met het plegen van vermogensfraude.

Naar het oordeel van de rechtbank kon daardoor echter wel een min of meer compleet beeld worden verkregen van bepaalde aspecten van het persoonlijke leven van de gebruiker van de telefoon. Tussenkomst van de officier van justitie of voorafgaande rechterlijke toetsing was dus vereist. De rechtbank is van oordeel dat hierbij volstaan kon worden met toestemming van de officier van justitie en dat, anders dan de verdediging heeft gesteld, géén sprake is van een situatie waarin een machtiging van de rechter- commissaris is vereist. Op voorhand was immers niet te voorzien dat sprake zou zijn van een zeer ingrijpende inbreuk op de persoonlijke levenssfeer (zoals bijvoorbeeld zeer gevoelige informatie over het privéleven van verdachte), en ook achteraf is dat niet gebleken. Daarmee is de inbreuk op de persoonlijke levenssfeer beperkt gebleven.

4. Waardering van bewijs uit SkyECC operatie

Op 28 mei 2024 heeft de rechtbank Rotterdam een bijzondere uitspraak (ECLI:NL:RBROT:2024:4916) gedaan in een (mega)zaak waar uitgebreid en helder wordt in gegaan op verweren over bewijs dat afkomstig is van SkyECC telefoons.

Verweer 1: Andere gebruiker Sky-ID?

De verdediging stelt zich ten eerste op het standpunt gesteld dat niet kan worden vastgesteld dat de verdachte de (enige) gebruiker is geweest van het Sky-ID [Sky-ID 1]. De zendmastgegevens leveren daarvoor geen sluitend bewijs op. Ook zijn er geen concrete aanwijzingen, zoals selfies, het noemen van verjaardagen, of andere specifieke berichten die duiden op het gebruik van het Sky-ID door de verdachte. De rechtbank overweegt vervolgens uitvoerig waarom dit wel gekoppeld kan worden. Uit een vergelijking van de metadata en de historische gegevens blijkt bijvoorbeeld dat het Sky-ID met het daarbij behorende IMEI-nummer [nummer 1] in de periode tussen december 2019 en januari 2021 het vaakst de zendmast aan de Rietdekkerweg te Rotterdam aanstraalt. Deze zendmast is gelegen in de wijk [naam wijk], waarin ook de woning van de verdachte aan het [adres 1] is gelegen. Ook kon de inhoud uit berichten geverifieerd worden met andere sporen die tijdens de doorzoeking zijn aangetroffen geverifieerd worden.

Verweer 2: Niet voldaan aan bewijsminimum (zelfde bron)?

De verdediging stelt dat niet is voldaan aan het bewijsminimum, omdat de verdenking enkel is gebaseerd op de inhoud van de SkyECC berichten en dit één bron betreft. De verdediging verwijst ten aanzien van dit verweer naar een uitspraak van de rechtbank Zeeland-West-Brabant van 13 september 2022 (ECLI:NL:RBZWB:2022:5151). De rechtbank overweegt dat ten aanzien van alle in het dossier aanwezig chatgesprekken via SkyECC niet worden gesproken van bewijs uit één bron. Er is immers sprake van verschillende, afzonderlijke chatgesprekken, gevoerd door verschillende personen of groepen, op verschillende momenten. Het feit dat deze gesprekken zijn gevoerd via hetzelfde communicatienetwerk (SkyECC), maakt niet dat zij ook alle afkomstig zijn uit één bron.

Bovendien is er in de onderhavige zaak, zoals blijkt uit de verdere inhoud van dit vonnis, op belangrijke onderdelen sprake van andere bewijsmiddelen die de inhoud van de chatberichten ondersteunen. Zo zijn er in twee zaaksdossiers daadwerkelijk verdovende middelen aangetroffen en onderzocht. Ook zijn er afbeeldingen verstuurd die de inhoud van de tekstberichten ondersteunen.

Verweer 3: Niet betrouwbaar vanwege ontbrekende berichten?

De verdediging stelt vraagtekens bij de betrouwbaarheid van de chatberichten die in deze zaak het belangrijkste bewijs vormen en verwijst daarvoor naar een rapport van het Nederlands Forensisch Instituut (hierna: NFI). Uit dit rapport blijkt dat 2,5% van de berichten niet wordt gezien door de software en dat van de ‘veiliggestelde’ berichten meer dan een kwart van de inhoud ontbreekt/onleesbaar is. Hierdoor ontstaat een gemankeerd beeld en is terughoudendheid geboden. Dit leidt er volgens de verdediging namelijk toe dat de context van de chats niet kan worden geduid.

De rechtbank overweegt hierover dat het feit dat niet alle data van het berichtenverkeer volledig is onderschept, er niet aan af doet dat mag worden uitgegaan van de juistheid en betrouwbaarheid van de wél verkregen data. Van de overige 97,5% (1546 berichten) is 73,7% succesvol ontcijferd. Verder beschrijft het NFI dat de Toolboxgegevens een correcte weergave van de chats en hun metadata zijn. Dat door de beperkte weergave van de data sprake zou zijn van niet betrouwbaar bewijs is niet onderbouwd met nadere, verifieerbare, informatie. Van de verdediging mag worden verwacht dat zij concrete feiten en omstandigheden naar voren brengt die de betrouwbaarheid van de data in twijfel kunnen stellen.

Bewijs voor invoer van cocaïne o.b.v. chatberichten en andere bewijsmiddelen

Op basis van versleutelde berichten die zijn verstuurd met de chatapplicatie SkyECC, in combinatie met observaties, onderzoek naar historische telecomgegevens en camerabeelden is de verdenking ontstaan dat de verdachte betrokken is geweest bij de voorbereiding van de invoer in Nederland van de partij verdovende middelen. Uit de (groeps)gesprekken, waaraan de verdachte actief heeft deelgenomen, blijkt dat hij ervan op de hoogte was dat de voorbereidingen die door hem en zijn medeverdachten werden getroffen betrekking hadden op een ‘klus’ die een grote waarde vertegenwoordigde. Uit die gesprekken bleek immers dat bij het bemachtigen van de inhoud van de container sprake was van een nauwe en bewuste samenwerking tussen een groot aantal betrokkenen, dat een uitgebreid plan werd gemaakt voor het uithalen van de lading, compleet met verschillende scenario’s en dat het gebruik van geweld, zo nodig met gebruik van vuurwapens, niet zou worden geschuwd. De rechtbank leidt uit de chatberichten, in onderlinge samenhang bezien, af dat, ook wanneer deze behoedzaamheid wordt betracht, onmiskenbaar over de invoer van cocaïne wordt gesproken.

Bewijs voor georganiseerd en crimineel samenwerkingsverband

Uit de bewijsmiddelen volgt ook dat van een georganiseerd en crimineel samenwerkingsverband sprake is geweest. Via SkyECC wordt er gedurende een aantal weken tussen de betrokkenen in diverse samenstellingen gecommuniceerd over routeinformatie, de status van de betreffende container en de transporteur die de container met een pincode moet ophalen van het haventerrein en hiervoor diverse handelingen moet verrichten, zoals het huren van een oplegger en het voormelden in Portbase. Ook wordt er gesproken over het betalen van betrokkenen en back-up-plannen (plannen b en c) voor het geval het plan van het ophalen van de container met de pincode (plan a) niet zal lukken. Voorts hebben er in dit kader diverse ontmoetingen plaatsgevonden tussen een aantal van de betrokkenen om de werkwijze met elkaar door te nemen. Nadat bekend is geworden dat de transporteur zich moet melden bij de politie wordt er gecommuniceerd over het wissen van zijn telefoon en tablet en het bieden van steun door het dragen van de advocaatkosten. Dit alles duidt op een mate van organisatie, structuur en samenwerking gericht op het plegen van Opiumwetmisdrijven. Kort gezegd heeft de verdachte zich samen met anderen schuldig gemaakt aan de invoer van twee verschillende cocaïnetransporten van in totaal meer dan 2.600 kilogram. Ook heeft hij voorbereidingshandelingen verricht gericht op de invoer van een partij van 665 kilogram cocaïne. De verdacht wordt veroordeeld tot 8,5 jaar gevangenisstraf.

Uitzondering voor overschrijding van redelijke termijn

Als laatste zegt de rechtbank nog iets interessants over de redelijke termijn. Als uitgangspunt heeft te gelden dat een behandeling ter terechtzitting dient te zijn afgerond met een eindvonnis binnen vierentwintig maanden. Van dit uitgangspunt kan worden afgeweken als sprake is van bijzondere omstandigheden. De rechtbank is van oordeel dat in deze zaak sprake is van bijzondere omstandigheden, welke zijn gelegen in het aantal verdachten (14 in totaal), de omvang van het politiedossier en de juridische complexiteit en onderzoekswensen in verband met de SkyECC problematiek. De rechtbank acht vanwege al deze bijzondere omstandigheden een redelijke termijn van drie jaren voor de behandeling van de zaken van alle verdachten in Bolero in dit geval gerechtvaardigd.

Uitspraak Hof van Justitie over EncroChat

jjoerlemans

Op 30 april 2024 heeft de Grote Kamer van het Hof van Justitie van de Europese Unie (HvJ EU) uitspraak gedaan in de EncroChat-zaak (ECLI:EU:C:2024:372). Het Hof verduidelijkt de voorwaarden voor de overdracht en het gebruik van het bewijs in strafzaken met een grensoverschrijdende dimensie (zoals geregeld in Richtlijn 2014/41/EU betreffende het Europees Onderzoeksbevel in strafzaken) en beantwoordde enkele prejudiciële vragen van een Duitse rechtbank (het ‘Landgericht Berlin’). Dit bericht is (slechts) een samenvatting van het arrest.

In casu was de Franse politie in staat om – met toestemming van een rechter – EncroChat-berichten veilig te stellen van cryptotelefoons. Daarbij is gebruik van maakt van een Trojaans paard, waarbij deze software in het voorjaar van 2020 naar de server geüpload en van daaruit via een gesimuleerde update op die mobiele telefoons geïnstalleerd. Van de in totaal 66.134 geabonneerde gebruikers zouden 32.477 gebruikers in 122 landen door deze software zijn getroffen, waaronder ongeveer 4.600 gebruikers in Duitsland.

De Duitse ‘Bundeskriminalamt’ (BKA) opende op 13 maart 2020 een onderzoek tegen alle onbekende gebruikers van de dienst EncroChat, op verdenking van betrokkenheid bij de georganiseerde handel in aanzienlijke hoeveelheden verdovende middelen en van het vormen van een criminele organisatie. De Duitse politiediensten konden vervolgens via een Europolserver de onderschepte gegevens van Duitse gebruikers in Duitsland opvragen. Tussen 3 april en 28 juni 2020 heeft het BKA de gegevens opgevraagd die dagelijks op de server van Europol beschikbaar werden gesteld over in Duitsland gebruikte mobiele telefoons. De Duitse openbare aanklager heeft vervolgens Europees Onderzoeksbevelen (EOB’s) uitgevaardigd om toestemming te verkrijgen van een Franse rechtbank om die gegevens over te dragen en aan gebruiken in de Duitse strafprocedures. Die toestemming werd gegeven.

Kortgezegd maakt het HvJ EU duidelijk dat voor de overdracht van bewijsmateriaal dat reeds in het bezit is van de bevoegde autoriteiten van de tenuitvoerleggende staat, niet noodzakelijkerwijs door een rechter te worden uitgevaardigd. Ook een officier van justitie mag dit doen, voor zover deze onder nationaal recht daartoe bevoegd is. Het Hof verduidelijkt dat voor het uitvaardigen van een EOB dezelfde materiële voorwaarden gelden als voor de overdracht van soortgelijk bewijsmateriaal in een zuiver binnenlandse situatie in die staat. Het Hof merkt op dat als een rechtbank van oordeel is dat een partij niet in een positie verkeert om effectief tegenspraak te leveren op een bewijsstuk dat waarschijnlijk een doorslaggevende invloed zal hebben op de feitelijke vaststellingen, die rechtbank een inbreuk op het recht op een eerlijk proces vaststellen en bewijs moet uitsluiten om een dergelijke inbreuk te voorkomen.

De EOB is gebaseerd op het beginsel van wederzijdse erkenning van vonnissen en rechterlijke beslissingen. Dit beginsel, dat de „hoeksteen” vormt van de justitiële samenwerking in strafzaken, is zelf gebaseerd op wederzijds vertrouwen en op het weerlegbare vermoeden dat andere lidstaten het Unierecht en in het bijzonder de grondrechten naleven. Hieruit volgt dat wanneer de uitvaardigende autoriteit door middel van een EOB de overdracht wil veiligstellen van bewijsmateriaal dat reeds in het bezit is van de bevoegde autoriteiten van de uitvoerende staat, de uitvaardigende autoriteit niet bevoegd is om de rechtmatigheid van de afzonderlijke procedure te toetsen. Dit zou in de praktijk resulteren in een ingewikkelder en minder effectief systeem, wat de doelstelling van die richtlijn zou ondermijnen.

Ten slotte is in de EncroChat-situatie sprake van ‘interceptie van telecommunicatie’, waarvan kennis moet worden gegeven aan de autoriteit die daartoe is aangewezen door de lidstaat op wiens grondgebied het onderwerp van de interceptie zich bevindt (in casu Duitsland). De bevoegde autoriteit van die lidstaat heeft dan het recht om aan te geven dat die onderschepping van telecommunicatie mag niet worden uitgevoerd of moet worden beëindigd, als dit op een soortgelijke manier niet zou zijn toegestaan in een binnenlands geval. Deze rechten en plichten zijn niet alleen bedoeld om het respect voor de soevereiniteit van de EU-lidstaat te garanderen, maar ook om de fundamentele rechten van de betrokken personen te beschermen.

Cybercrime jurisprudentieoverzicht mei 2024

jjoerlemans

Hoge Raad: het woord website kwalificeert niet als geautomatiseerd werk

De Hoge Raad heeft op 19 maart 2024 in een arrest (ECLI:NL:HR:2024:455) bevestigd dat de woorden ‘website van [huisartsenpost]’ niet kan worden begrepen als een ‘een inrichting die de functionaliteit van website in stand houdt’, of als aanduiding van “gedeelte van” geautomatiseerd werk (in de zin van art. 80sexies Sr (oud)). 

In de onderhavige zaak heeft het hof Den Haag (ECLI:NL:GHDHA:2022:1551) de woorden “website van [huisartsenpost]” opgevat als een aanduiding in de tenlastelegging van het geautomatiseerd werk waarop is binnengedrongen of waarvan een gedeelte is binnengedrongen. Daarbij heeft hof overwogen dat die website als zodanig “feitelijk slechts bestaat uit samenstel van gegevens, geen fysieke vorm heeft en derhalve karakter van ‘inrichting’ ontbeert”.

Het hof Den Haag heeft de verdachte vrijgesproken, omdat de (in cassatie niet bestreden) dergelijke website op zichzelf niet als geautomatiseerd werk kan worden aangemerkt. De uitleg die hof heeft gegeven aan de tenlastelegging met het daarin voorkomend begrip “(gedeelte van) een geautomatiseerd werk”, welk werk bestond uit “website van [huisartsenpost]” is, mede in licht van wat is vooropgesteld en ontbreken van concrete aanduiding op welke daar bedoelde inrichting de tenlastelegging op ziet, niet onverenigbaar met bewoordingen van tenlastelegging en moet in cassatie worden geëerbiedigd.

De klacht dat “website van [huisartsenpost]” in tenlastelegging moet worden begrepen als een inrichting die de functionaliteit van website in stand houdt, of als aanduiding van “gedeelte van” geautomatiseerd werk, faalt daarom.

Veroordeling voor grootschalige bankmedewerkerfraude

Op 12 maart 2024 heeft de rechtbank Amsterdam een verdachte veroordeeld voor drie jaar gevangenisstraf, waarvan een jaar voorwaardelijk, vanwege grootschalige en jarenlange internationale bankmedewerkerfraude, phishing en witwassen (ECLI:NL:RBAMS:2024:1419).

De verdachte veroordeelt voor:

  1. Het – samen met anderen – stelen van geldbedragen van rekeninghouders van de ING Bank/Rabobank/Regiobank met gebruikmaking van onder valse voorwendselen en/of diefstal verkregen (inlog)gegevens, pincodes en/of bankpassen in de periode van 29 januari 2021 tot en met 21 november 2022 te Amsterdam (zaaksdossiers Anydesk en [X];
  2. Het samen met anderen bewegen van rekeninghouders tot afgifte van geldbedragen (totaal € 24.989,34) door zich onder valse naam voor te doen als bankmedewerker en de rekeninghouders onder valse voorwendselen, namelijk problemen met hun bankrekening(en), het programma Anydesk te laten installeren en een externe (remote) verbinding laten accepteren, waarna de computers van deze rekeninghouders werden binnengedrongen en de verdachte en/of zijn mededaders vervolgens toegang hadden tot (inlog)gegevens en bankpas(sen) van de rekeninghouders in de periode van 13 november 2022 tot en met 21 november 2022 te Amsterdam;
  3. Het voorhanden hebben van meerdere phishinglinks, phishingpanels, software voor het geautomatiseerd doorgeven van gegevens, leads(lijsten), targetlijsten en (bulk)sms-berichten, in de periode van 1 mei 2021 tot en met 13 december 2022 te Amsterdam, waarvan verdachte wist dat die bestemd waren tot het plegen van oplichting, diefstal, afpersing of verduistering (zaaksdossier [naam 1] en zaaksdossier Phishing panels en leads);
  4. Het voorhanden hebben van 41 servers en/of phishingpanels en/of programma’s/software voor het geautomatiseerd doorgeven van gegevens, telkens met de bedoeling om (inlog)gegevens af te vangen en/of te verkrijgen die toegang geven tot een of meerdere bankrekeningen in de periode van 14 maart 2021 tot en met 13 december 2022 te Amsterdam;
  5. Gewoontewitwassen van meerdere geldbedragen (totaal € 790.011,05) in de periode van 1 augustus 2021 tot en met 5 juli 2023 te Amsterdam (Algemeen dossier en zaaksdossier witwassen).

De politie heeft ook onderzoek gedaan naar bankrekeningen op naam van anderen (money mules), waarvan wordt vermoed dat verdachte daar beschikking over had en die gebruikt werden om crimineel geld wit te wassen, net als vervolgonderzoek naar de bekende bankrekeningen van verdachte en zijn cryptovermogen. Gelet op de eerdere overwegingen waarin de rechtbank de diefstallen, de oplichtingen en het voorhanden hebben van phishing panels, leads en technische hulpmiddelen bewezen acht, en gelet op de hoogte van de geldbedragen die niet kunnen worden verklaard uit legale inkomsten of vermogenscomponenten van verdachte, is er een gerechtvaardigd witwasvermoeden. Dat betekent dat van verdachte een verklaring over de herkomst van het geld mag worden verlangd. Voor zover het bewijsoordeel van de rechtbank in weerwil is van de verklaring van verdachte en/of de betwisting van het witwasbedrag door de verdediging, gaat de rechtbank daar in de uitspraak op in.

De rechtbank overweegt dat de verdachte is op jonge leeftijd begonnen met deze feiten en is ondanks een eerdere veroordeling ermee doorgegaan. Uit de aangiftes is af te leiden dat de slachtoffers te goeder trouw waren. Dit vertrouwen heeft verdachte in grove mate beschadigd. Bovendien gaat het in veel gevallen om mensen op leeftijd. Deze mensen hebben doorgaans in hun leven jarenlang hard gewerkt en gespaard om op hun oude dag nog te kunnen genieten van hun pensioen. Verdachte en zijn mededaders hebben het structureel zonder aarzeling op deze doelgroep gemunt. De verdachte zat diep in een groot crimineel netwerk waarin hij gemakkelijk aan target- en leadslijsten kon komen. Hij verrichte niet alleen strafbare handelingen voor zichzelf, maar deed dat ook als vriendendienst voor anderen. Zo was hij naar eigen zeggen goed in het vrijmaken van buitgemaakt geld, maar ook in andere zaken, zoals het vervalsen van identiteitsdocumenten en facturen en het misleiden van de bank en cryptobedrijven.

De rechtbank overweegt ook – met de gebruikelijke sterke bewoordingen – dat het witwassen van criminele gelden ‘een bedreiging van de legale economie vormt en de integriteit van het financiële en economische verkeer aantast. Het heeft een corrumperende invloed op het normale handelsverkeer en is daarmee ook een bedreiging voor de samenleving’. Witwassen bevordert het plegen van delicten, omdat door het wegsluizen van crimineel geld en/of het verschaffen van een schijnbaar legale herkomst van criminele gelden de opsporing van de onderliggende misdrijven wordt bemoeilijkt en zonder witwassen het genereren van illegale winsten een stuk minder lucratief zou zijn. De rechtbank vindt het verder extra kwalijk dat verdachte reeds eerder is veroordeeld en in twee proeftijden liep.

De rechtbank veroordeelt verdachte voor het (mede)plegen van meerdere diefstallen met valse sleutel, oplichtingen, voor het voorhanden hebben van voorwerpen en gegevensdragers die geschikt zijn om deze feiten mee te plegen met het oogmerk dat die feiten werden gepleegd (art. 139d en 234 Sr) en voor gewoontewitwassen voor een bedrag van € 762.812,42.

Digitaal bewijs bij gewapende roofoverval

De rechtbank Noord-Holland heeft op 29 april 2024 enkele verdachten veroordeeld voor een roofoverval. De uitspraak (ECLI:NL:RBNHO:2024:4337) is interessant vanwege de interessante overwegingen omtrent digitaal bewijs, namelijk een analyse van reisbewegingen van mobiele telefoon en cryptotransacties.

De verdachte heeft zich samen met anderen schuldig gemaakt aan een uiterst professioneel ogende en goed voorbereide gewapende overval. Er zijn voorverkenningen geweest en het slachtoffer is toen hij nietsvermoedend naar zijn auto liep om naar zijn werk te gaan, opgewacht door meerdere daders met zwarte sjaals voor hun mond, waarbij de ene dader een vuurwapen op zijn hoofd richtte, een tweede zijn koffer afpakte en de derde zijn autosleutel. Het slachtoffer is vervolgens door de daders gedwongen om achterin zijn eigen auto te gaan zitten. Tijdens het rijden zijn de polsen van het slachtoffer met tie-rips aan elkaar gebonden.

De verdachte werd onder bedreiging van het vuurwapen gedwongen zijn telefoons af te geven. Ook moest hij de pincodes voor zijn telefoon en zijn KuCoin-app – een app waarin cryptoportemonnees (“wallets”) beheerd kunnen worden – aan de mannen vertellen. De daders hebben hierna ruim 859 Monero aan cryptovaluta afgeboekt, met een waarde van op dat moment € 186.507,39. Het slachtoffer is ruim een uur van zijn vrijheid beroofd geweest en is uiteindelijk alleen en zonder telefoons achtergelaten in zijn auto.

In de bewijsmotivering staat dat celmateriaal was aangetroffen op de jas en de kabelbinders van het slachtoffer dat hoogstwaarschijnlijk aan de daders toebehoorden. Verder speelde nadrukkelijk als bewijs mee: (a) bewijsmiddelen met betrekking tot de telefoonnummers van de verdachten, (b) bewijsmiddelen met betrekking tot reisbewegingen van en onderlinge contacten tussen vermeende dadertelefoons, (c) bewijsmiddelen met betrekking tot een link tussen een vermeende dadertelefoon en het slachtoffer en (d) bewijsmiddelen met betrekking tot cryptotransacties.

Dit heeft geleid tot onderstaande tabel, waarbij de aangehaalde plaatsen steeds betekenen dat het betreffende telefoonnummer een zendmast in die plaats aanstraalt.

Verklaring [slachtoffer] / camerabeeldenReisbewegingen [telefoonnummer 6] 6Reisbewegingen [telefoonnummer 7] 7Reisbewegingen [telefoonnummer 8] 8
06:25 tot 06:39 uur – Berkhout06:26 uur – Berkhout
06:51 uur – Berkhout
07:08 uur – [slachtoffer] loopt naar zijn auto, geparkeerd in Hoorn
07:11 uur – de auto van [slachtoffer] rijdt weg van parkeerplaats in Hoorn07:11 tot 07:16 uur – Hoorn07:11 uur – Berkhout
07:17 uur – Berkhout07:17 uur – Hoorn
07:22 uur – Scharwoude
07:23 uur – Berkhout07:23 uur – Scharwoude07:23 – Scharwoude
± 07:26 uur – één van de daders stapt uit de auto (exacte locatie onbekend)07:26 uur – Oosthuizen
07:27 uur – De Goorn
07:35 uur – Purmerend07:35 uur – Wijdewormer07:34 uur – Purmerend
08:09 uur – Zuidoostbeemster
08:09 uur – Oosthuizen
08:15 uur – de andere twee daders zijn ook uitgestapt en laten de auto en [slachtoffer] achter in Middelie08:15 uur – Purmerend08:15 uur – Uithoorn

De rechtbank concludeert dat de drie telefoons op 1 oktober 2021 tussen 06:25 uur en 07:35 uur min of meer dezelfde reisbewegingen maken. Er zijn geen registraties van deze nummers meer na 1 oktober 2021 om 08:15 uur. De nummers zijn niet op naam gesteld.

Ook heeft de politie onderzoek gedaan naar de bankrekeningen de verdachten, is informatie opgevraagd bij KuCoin en andere cryptoplatforms, en is de inbeslaggenomen telefoon van de verdachte onderzocht. Op die telefoon zijn foto’s aangetroffen van zogenoemde ‘seed phrases’. Met gebruik van deze seed phrases kon onder meer een wallet die op de Monero blockchain draaide, hersteld worden. Daaruit blijkt dat de verdachten en tweemedeverdachten kort na de overval op het slachtoffer Monero ontvingen in hun – zeer recent geopende – cryptowallets.

De combinatie van deze bewijsmiddelen leidt tot vaststelling van de schuld van de verdachte. De verdachte in de onderhavige uitspraak wordt veroordeeld tot een gevangenisstraf voor de duur van 48 maanden. Ook krijgt het slachtoffer een vergoeden van de gelede schade van € 197.035,39, bestaande uit € 187.035,39 als vergoeding voor de materiële en € 10.000,00 als vergoeding voor de immateriële schade. De rechtbank overweegt daarbij als strafvermeerderende omstandigheid dat de overval grote financiële en psychische gevolgen heeft gehad voor het slachtoffer.

Geen teruggave versleutelde telefoon

De rechtbank Zeeland-West-Brabant publiceerde op 19 april 2024 een interessante beslissing gewezen (ECLI:NL:RBZWB:2024:2634) over een inbeslaggenomen telefoon van een verdachte in een grootschalig onderzoek waarbij hij in verband wordt gebracht met een Exclu-account op een cryptotelefoon.

De raadkamer van de rechtbank overweegt over het klaagschrift van de klager (de bovengenoemde verdachte), het volgende.

Volgens vaste jurisprudentie van de Hoge Raad sinds HR 28 september 2010, ECLI:NL:HR:2010:BL2823, NJ 2010/654, r.o. 2.8 en 2.9, dient de rechter, in geval van een klaagschrift tegen een op grond van artikel 94 Sv gelegd beslag:

a. te beoordelen of het belang van strafvordering het voortduren van het beslag vordert, en zo neen,

b. de teruggave van het inbeslaggenomen voorwerp te gelasten aan de beslagene, tenzij een ander redelijkerwijs als rechthebbende ten aanzien van dat voorwerp moet worden beschouwd.

In dit laatste geval moet het klaagschrift van de beslagene ongegrond worden verklaard en kan, mits de hiervoor bedoelde ander zelf een klaagschrift heeft ingediend, de teruggave aan die rechthebbende worden gelast. Het belang van strafvordering verzet zich tegen teruggave indien het veiligstellen van de belangen waarvoor artikel 94 Sv de inbeslagneming toelaat, het voortduren van het beslag nodig maakt.

De rechtbank is van oordeel dat het belang van strafvordering zich verzet tegen teruggave van de telefoon. Zij overweegt daarbij dat politie en justitie begrijpelijkerwijs geïnteresseerd zijn in de telefoon van klager. Tot op heden is het de politie namelijk niet gelukt om alle gegevens op de telefoon te ontsleutelen. Klager heeft geweigerd de code van de telefoon te verstrekken.

Uit het proces-verbaal van bevindingen met nummer 1009 blijkt dat het met de huidige methoden en technieken niet mogelijk is gebleken om de gegevens op het toestel inzichtelijk te maken en dat het bij eventuele toekomstige pogingen noodzakelijk is dat de politie over de telefoon kan beschikken.

Daarnaast is de rechtbank van oordeel dat, mede gelet op het voornoemde, het belang van strafvordering niet in strijd komt met de beginselen van proportionaliteit en subsidiariteit. Dat de klager zijn telefoon nodig heeft voor zijn onderneming en om zijn bankzaken te regelen maakt dit oordeel niet anders. Gelet op de huidige technologische mogelijkheden – bijvoorbeeld via iCloud – is het niet ondenkbaar dat klager op een andere wijze beschikking krijgt over de gegevens en documenten die hij op de telefoon had opgeslagen. Daarom is het klaagschrift ongegrond.

Vormfouten bij hackbevoegdheid leidt niet tot sancties

Op 15 april 2024 wees de rechtbank Overijssel een interessante uitspraak (ECLI:NL:RBOVE:2024:2048), waar op de toepassing van de hackbevoegdheid wordt ingegaan. De rechtbank stelt op basis van het dossier vast dat de bevoegdheden ex artikel 126m, 126l en 126nba Sv zijn ingezet, telkens na machtiging van de rechter-commissaris. Aan elk van deze bevelen ligt een proces-verbaal ten grondslag met (aanvullende) informatie die, bezien in onderling verband en samenhang, met de eerdere informatie voldoende grond vormt voor de verdenking van in ieder geval overtreding van de Opiumwet, feiten die gezien hun aard of de samenhang met andere feiten een ernstige inbreuk op de rechtsorde opleveren. De rechtbank is van oordeel dat de rechter-commissaris in al die gevallen in redelijkheid tot zijn oordeel omtrent de afgegeven machtigingen heeft kunnen komen.

Het standpunt van de verdachte ten aanzien van artikel 126nba Sv dat het opsporingsmiddel geen geschikt en goedgekeurd technisch hulpmiddel betreft, vindt voor wat betreft het niet gekeurd zijn van het opsporingsmiddel naar het oordeel van de rechtbank steun in de processen-verbaal aanvragen en bevelen onderzoek geautomatiseerd werk (artikel 126nba). Volgens artikel 21, tweede lid, van het Besluit onderzoek in een geautomatiseerd werk (hierna: Bogw) is dit toegestaan. Zoals vereist in het tweede lid heeft de officier van justitie in de bevelen vermeldt dat het onderzoeksbelang dringend vordert dat (een) technisch(e) hulpmiddel(en) als bedoeld in artikel 21, tweede lid, Bogw wordt/worden ingezet. Het derde lid van artikel 21 Bogw vereist dat wanneer er gebruik wordt gemaakt van een niet gekeurd technisch hulpmiddel, de officier van justitie de uitkomst van de keuring of herkeuring na afloop van het gebruik vermeldt in de processtukken. Het vierde lid van artikel 21 Bogw maakt afwijking van het derde lid mogelijk. In dat geval vermeldt de officier van justitie in de processtukken dat toepassing is gegeven aan dit artikel lid en vermeldt hij welke aanvullende waarborgen zijn getroffen om de betrouwbaarheid, integriteit en herleidbaarheid van de met het technisch hulpmiddel vastgelegde gegevens te garanderen. De rechtbank stelt vast dat geen van de in het derde en vierde lid van artikel 21 Bogw vereiste vermeldingen in de processtukken staan. De rechtbank is van oordeel dat er op dit punt sprake is van een vormverzuim.

De verdachte heeft enkel benoemd dat het technisch hulpmiddel niet gekeurd is en dat om die reden het openbaar ministerie niet-ontvankelijk dient te worden verklaard. Hiermee voldoet het verweer van verdachte niet aan de vereisten die de Hoge Raad stelt voor een geslaagd verweer in de zin van artikel 359a Sv (zie HR 30 maart 2004, ECLI:NL:HR:2004:AM2533). De Hoge Raad eist dat duidelijk en gemotiveerd aan de hand van de factoren zoals genoemd in artikel 359a, tweede lid, Sv tot uitdrukking wordt gebracht tot welk rechtsgevolg het door hem aangevoerde vormverzuim zou moeten leiden. De verdachte heeft niet gesteld welk belang het geschonden voorschrift dient, wat de ernst van het verzuim is en welk nadeel daardoor is veroorzaakt. De rechtbank verwerpt dan ook om die reden het verweer.

In een tweede zaak waarin de hackbevoegdheid wordt ingezet, heeft de raadvrouw verweren gevoerd over de rechtmatigheid van het inzetten van de bevoegdheid op grond van artikel 126nba Sv in het buitenland en het uitlezen van bepaalde telefoons van verdachte in Nederland.

De rechtbank Overijssel is in deze zaak (ECLI:NL:RBOVE:2024:1255) van oordeel dat niet gebleken is dat de bevoegdheid als bedoeld in artikel 126nba Sv gebruikt is op momenten dat verdachte zich buiten Nederlands grondgebied bevond. Voor zover dit wel het geval zou zijn geweest, overweegt de rechtbank dat de zogenoemde ‘Schutznorm’ verhindert dat verdachte een beroep zou kunnen doen op bewijsuitsluiting. Een eventuele inbreuk op de soevereiniteit van de staat binnen wiens grenzen is opgetreden, betreft geen belang van verdachte, maar het belang van de betreffende staat. De vraag of door de Nederlandse opsporingsambtenaren bij het verrichten van opsporingshandelingen in het buitenland het toepasselijke verdragsrecht en Unierecht is nageleefd, is in het kader van de strafzaak tegen de verdachte in zoverre niet relevant (met verwijzing naar HR 13 juni 2023, ECLI:NL:HR:2023:913).

Veroordelingen naar aanleiding van Operation Cookie Monster

jjoerlemans Een reactie plaatsen

Op 5 april 2023 werd tijdens de internationale politie-operatie ‘cookie monster’ de online handelsplaats ‘Genesis Market’ opgerold. De FBI, Europol en – onder andere – de Nederlandse politie werkte samen in dat onderzoek dat leidde tot doorzoekingen in 17 landen wereldwijd.

Volgens dit persbericht op politie.nl werden miljoenen gebruikersprofielen van slachtoffers verkocht, waaronder ongeveer 50.000 Nederlanders. Met malware zijn persoonsgegevens verzameld, zoals cookies en andere kenmerken van computergebruikers. De eenheid Rotterdam van de politie heeft een ‘mini-docu’ gemaakt over de zaak, met de titel ‘Het verhaal achter het internationale cybercrime onderzoek – Operation Cookie Monster’, te zien via YouTube.

In Nederland werden 17 verdachten aangehouden en zijn reeds enkele verdachten veroordeeld. Deze uitspraken worden hieronder kort besproken. De politie biedt via de website www.politie.nl/checkjehack een dienst aan, waarmee je kan controleren of je gegevens werden aangeboden op Genesis Market.

Werking Genesis Market

De website Genesis Market verkocht gebruikersprofielen met bijbehorende zogenoemde ‘fingerprints’ van de slachtoffers. Een bot van Genesis Market bevat een unieke digitale vingerafdruk van een geïnfecteerde computer, inclusief afgevangen inlognamen en wachtwoorden, browsergegevens en cookies, die middels malware verkregen is van nietsvermoedende slachtoffers. Met behulp van de aangekochte gegevens kan een koper inloggen op bijvoorbeeld een account van een slachtoffer bij een webwinkel en vervolgens malafide bestellingen doen, al dan niet met de aan het account gekoppelde betalingsdiensten. Ook kan met de gegevens die met een bot worden aanschaft de digitale identiteit van een geïnfecteerde computer nauwkeurig worden nagebootst. Door gebruik te maken van deze digitale identiteit kunnen anti-fraudesystemen bij websites worden misleid en lijkt het voor deze websites alsof de originele gebruiker inlogt. Op deze manier kan de gebruiker die de bot heeft aangeschaft misbruik maken van de gegevens die op de geïnfecteerde computer zijn aangetroffen. Zolang een computer met malware geïnfecteerd is worden ook eventuele wijzigingen van wachtwoorden doorgegeven aan de bot.

Op Genesis Market wordt tevens een plug-in aangeboden voor de meest gebruikte browsers, waarmee een digitale vingerafdruk uit een aangekochte bot kan worden ingeladen zodat men op relatief gemakkelijke wijze een ‘digitale dubbelganger’ kan creëren. Ook wordt er op Genesis Market een eigen browser aangeboden die het mogelijk maakt om anoniem te surfen op het internet, zonder dat er informatie wordt uitgelekt naar analytische systemen.

Veroordelingen n.a.v. operatie cookiemonster

De verdachte in de uitspraak van de rechtbank Den Haag (ECLI:NL:RBDHA:2023:14140) heeft gedurende een periode van meer dan twee jaar zogeheten ‘bots’ gekocht. Uit de bewijsmiddelen volgt dat de verdachte online 1029 bots heeft gekocht. Na het verkrijgen van de bots, zijn de gegevens gebruikt door bij verschillende webshops – zoals Bol.com en Mediamarkt.nl –op de accounts van anderen in te loggen en (veelal) luxeproducten te bestellen onder hun naam en op hun kosten. Hij is hierbij op listige en bedrieglijke wijze te werk gegaan: hij liet de bestellingen afleveren op een ander adres dan die van zijn slachtoffers en logde meteen na het plaatsen van de bestellingen in op de e-mailaccounts van de slachtoffers om de bevestigingsmail van zijn zojuist geplaatste bestelling te verwijderen. Op deze manier bleven de slachtoffers in het ongewisse over de bestellingen. In totaal heeft de verdachte 34 slachtoffers benadeeld voor een totaalbedrag van enkele duizenden euro’s. Daarnaast heeft de verdachte persoonsgegevens van vele anderen verkregen. Hoewel niet kan worden vastgesteld dat het ook in andere gevallen tot identiteitsfraude is gekomen, kan het niet anders dan dat de verdachte de persoonsgegevens heeft gekocht met dat oogmerk. De verdachte is veroordeeld tot twee jaar gevangenisstraf voor het verwerven en voorhanden hebben van niet openbare gegevens (heling van gegevens (artikel 139g Sr)), identiteitsfraude (art. 231b Sr) en computervredebreuk (artikel 138ab Sr).

De verdachte in de uitspraak van de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2024:75) had in totaal 221 bots/fingerprints aangeschaft. Ook heeft hij in de periode van 29 juli 2019 tot 7 november 2020 31 Bitcoin-transacties verricht. Uit de gegevens dat met het Coinbase-account op naam van verdachte staat blijkt dat is ingelogd en cryptovaluta is overgemaakt via 2 IP-adressen die gekoppeld zijn aan het adres van de woning van verdachte. Deze bevindingen hebben geleid tot de verdenking van de betrokkenheid van verdachte bij het tenlastegelegde. Daarop volgde een doorzoeking en inbeslagname van gegevensdragers plaats. Onder de aangetroffen gegevensdragers en de administratieve bescheiden bevonden zich diverse identificerende persoonsgegevens en kopieën van valse paspoorten en identiteitskaarten die blijkens de aangiftes zijn gebruik om geldbedragen te ontvreemden dan wel trachten te ontvreemden. Met de bots heeft de verdachte diverse aankopen en betalingen gedaan met PayPal-accounts van anderen, creditcards en telefoonabonnementen op naam van anderen aangevraagd, bestellingen geplaatst op naam van anderen, contactgegevens van diverse beleggingsrekeningen van anderen gewijzigd en vervolgens grote geldbedragen overgemaakt naar door verdachte aangemaakte bankrekeningen op naam van anderen. Verder heeft hij geprobeerd om levensverzekeringen, lijfrenteverzekeringen en een pensioen van anderen te laten uitkeren op door verdachte aangemaakte bankrekeningen op naam van anderen en een ander ertoe bewogen om geld van zijn creditcard over te schrijven naar een onbekend rekeningnummer. De verdachte heeft daarbij ook gebruik gemaakt van valse identiteitskaarten, valse paspoorten, valse gemeentelijke en notariële aktes en een vals gerechtelijk stuk.

Deze verdachte had met zijn handelen tenminste 21 slachtoffers op slinkse wijze benadeeld voor een totaalbedrag van meer dan een ton. De verdachte is veroordeeld voor computervredebreuk, identiteitsfraude en het voorbereiden daarvan en diefstal met valse sleutels. Daarnaast is hij veroordeeld voor het voorhanden hebben van een automatisch vuurwapen en soft- en harddrugs. De rechtbank Midden-Nederland veroordeeld verdachte tot een gevangenisstraf van 4 jaren, met aftrek van het voorarrest.

De verdachte in de uitspraak van de rechtbank Rotterdam (ECLI:NL:RBROT:2024:699) heeft 1885 bots op Genesis Market gekocht. Met het voorhanden van die bots de verdachte het oogmerk computervredebreuk te plegen. De verdachte had daarnaast actief gezocht naar Googleaccounts van derden. Via die accounts kan gemakkelijk toegang worden verkregen tot de e-mailadressen van die derden, waarna het wachtwoord van andere accounts via die e-mail kan worden veranderd. De zoekfocus van de verdachte op lag verder bij financiële instellingen zoals Bankia, ING en Defam. De combinatie van Googleaccounts en financiële accounts maken volgens de rechtbank een snelle en lucratieve computervredebreuk voor de hand liggend en mogelijk. Bij twee slachtoffers is de verdachte, met gebruikmaking van de bots, ook echt hun computer binnengedrongen en heeft daar vervolgens een bedrag van in totaal 93.700 euro buit gemaakt. Ten slotte had deze verdachte beschikking over ‘Ultimate Mailer’ software, inloggegevens om e-mail te kunnen versturen, e-mail onderwerpen en afzendnamen (waaronder eHerkenning Nederland), bijna 100.000 ontvangst e-mailadressen, een phishing tekst uit naam van eHerkenning Nederland en phishing websites uit naam van eHerkenning Nederland. Daarmee had de verdachte de beschikking over alle tools voor een phishingactie. Uit de uiterlijke verschijningsvorm van dit samenstel van tools volgt ook de wetenschap van de verdachte dat deze waren bestemd voor phishing.

Deze verdachte is veroordeeld tot vier jaar gevangenisstraf vanwege computervredebreuk (art. 138ab Sr), het voorhanden hebben van gegevens met het oogmerk daarmee computervredebreuk te plegen (art. 139d Sr), het voorhanden hebben van gegevens om oplichting en fraude te plegen (art. 234 Sr) en diefstal (art. 310 Sr).

Veroordeling in hoger beroep beheerder Darkscandals

jjoerlemans

Op 14 februari 2024 veroordeelde het Hof Den Haag (ECLI:NL:GHDHA:2024:217) een verdachte voor opruiing, bezit en verspreiding van kinder- en dierenporno via de website Darkscandals, alsmede voor de vervaardiging van kinderporno, aanranding, verkrachting en belastingfraude. De verdachte is beheerder geweest van de in de tenlastelegging genoemde websites, waaronder http://www.darkscandals.co. Hij had ook een Darkscandals website op een darkweb opengesteld (www.darksdsp6iexvidx.onion). De beheerder is 2020 aangehouden. De websites zijn offline gehaald en er is een zogenoemde ‘splash page’ (zie afbeelding) gepubliceerd.

De website Darkscandals toonde voornamelijk (extreme) video’s waarin is te zien dat vrouwen worden verkracht, vrouwen worden afgeperst, vrouwen worden gedwongen om seksuele handelingen bij zichzelf te doen of te ondergaan. Ook zijn er enkele seksuele video’s met minderjarigen verkocht en verspreid.

Aanleiding

De website werd volgens Amerikaanse documentatie voor een vervolging ontdekt door de Amerikaans autoriteiten in een onderzoek naar de vanuit Zuid-Korea beheerde website, genaamd ‘Welcome To Video’. Deze website zou een van de grootste kinderporno websites wereldwijd zijn. Een Amerikaanse verdachte bleek ook gebruik te hebben gemaakt van de toen nog onbekende website DarkScandals. Het onderzoek leidde naar de verdachte en betalingen met cryptovaluta. Door middel van een undercover operatie (een pseudkoop onder Nederlands recht) hebben Amerikaanse politieagenten in 2018 vervolgens een pakket besteld via DarkScandals. Hiervoor werd voor ongeveer 25 dollar aan Bitcoins betaald. De downloadlink voor het bestelde pakket kwam vanaf het emailadres bitcoin@darkscandals.com die gehost bleek te zijn bij een anonieme email service in Duitsland.

De Nederlandse verdachte, gebruikmakend van het pseudoniem ‘Mr. Dark’, uit Barendrecht zou de beheerder zijn Darkscandals. Volgens de Amerikanen zou hij gedurende acht jaar 1,6 miljoen dollar (voornamelijk in bitcoin en etherium) hebben verdiend uit 1650 betalingen voor de verspreiding van de video’s.  

Waarschuwende brief

De politie en het Openbaar Ministerie (OM) hebben downloaders en aanbieders van gewelddadige porno, kinder- dan wel dierenpornografisch materiaal, een waarschuwende brief per e-mail gestuurd (zie OM.nl). Uit onderzoek naar de communicatie van ‘Mr. Dark’ zijn meerdere (internationale) mailadressen achterhaald die gebruikt zijn op Darkscandals. Vanuit die e-mailadressen is betaald of is nieuw videomateriaal aangeboden. Aan deze mailadressen is de waarschuwende brief verzonden.

In de brief verzoeken politie en OM de ontvanger met klem al het strafbare materiaal te verwijderen, evenals alle hieraan gerelateerde online accounts. De ontvanger wordt geadviseerd zich niet verder schuldig te maken aan strafbaar handelen. Ook wordt deze erop gewezen dat zijn e-mailadres in het systeem van politie en justitie staat. Het betreft een duidelijke waarschuwing om strafbaar handelen onmiddellijk te stoppen.

De klanten van Mr. Dark wordt in de brief tot slot hulp aangeboden. Dit kan bijvoorbeeld via Stop it now (0800-2666436) of via de huisarts. Vermoedens van misdrijven dienen te worden gemeld bij de politie via 0900-8844. Dit kan ook via Meld Misdaad Anoniem, 0800-7000 of via meldmisdaadanoniem.nl. 

Opruiing

Over de strafbare feiten overweegt het Hof Den Haag het volgende. Wat alle websites van de verdachte gemeen hadden — met uitzondering van de videostreamingsite — is dat klanten twee mogelijkheden werden geboden om in het bezit te komen van de videopacks. Ten eerste konden klanten daarvoor betalen. Aanvankelijk verliepen die betalingen via PayPal. Omdat betalingen voor pornografie volgens de algemene voorwaarden van PayPal echter niet werden toegestaan, is de verdachte al snel overgestapt op betaling middels cryptovaluta.

De tweede mogelijkheid om de videopacks te verkrijgen was het aanleveren van pornografisch videomateriaal. Een aangeleverde video moest aan een aantal voorwaarden en regels voldoen. Hierbij is sprake van opruiing, omdat de verdachte opzet heeft gehad op het aanzetten van de bezoekers van zijn website tot het plegen van strafbare feiten. Hij heeft immers doelbewust en opzettelijk gevraagd om nieuw en zelfgemaakt beeldmateriaal van strafbare feiten zoals verkrachtingen, afpersingen en seks met dieren.

Vrijspraak heling van gegevens

Er volgt vrijspraak van de tenlastegelegde heling omdat de digitale films niet kunnen worden aangemerkt als een ‘goed’ ex artikel 416 wetboek van Strafrecht alsmede vrijspraak voor artikel 139g Sr, omdat niet kan worden geconcludeerd dat het beeldmateriaal ‘door misdrijf is verkregen’. Ook voor een bewezenverklaring van de in artikel 139g Sr strafbaar gestelde heling van niet-openbare gegevens is vereist dat kan worden vastgesteld dat deze ‘door misdrijf zijn verkregen’. Voor de betekenis van dat bestanddeel dient – mede in het licht van de wetsgeschiedenis van dit wetsartikel – aansluiting te worden gezocht bij de daaraan in de rechtspraak over de heling van goederen gegeven uitleg.

Daarnaast legt het hof uit dat met de term ‘niet-openbare gegevens’ wordt gedoeld op gegevens die niet voor het publiek beschikbaar zijn. Het verwerven, voorhanden hebben et cetera van gegevens die reeds openbaar zijn gemaakt, is niet strafbaar op grond van dit wetsartikel. De wetgever wijst daarbij in het bijzonder op gegevens die al via openbare internetbronnen beschikbaar zijn en het downloaden daarvan (Kamerstukken II 2014/15, 34372, nr. 3). Een bewezenverklaring op grond van de strafbaarstelling van artikel 139g Sr kan dus alleen volgen als sprake is van het openbaar maken van nog niet eerder openbaar gemaakte gegevens.

Werkwijze

Het hof overweegt verder dat op Darkscandals de verdachte anderen vroeg video’s in te sturen waarin schoolmeisjes werden afgeperst. Die video’s werden alleen geaccepteerd als ze werden aangeleverd met een geldige link naar een social media-account van het meisje in kwestie én met schermafbeeldingen van bijvoorbeeld een chat met het meisje. Uit de video’s die de verdachte heeft gemaakt blijkt ook dat hij vanaf 2017 ook zelf meisjes heeft aangezet om ontuchtige handelingen te verrichten, waarvan hij vervolgens beeldmateriaal heeft gemaakt of heeft ontvangen. Hij ging daarbij geraffineerd en gewetenloos te werk. Hij benaderde minderjarige meisjes, waarbij hij zich voordeed als een eveneens minderjarig meisje. De verdachte deed vervolgens alsof dat meisje in de problemen zat omdat er gedreigd werd om naaktfoto’s en video’s van haar te exposen. Veel van de meisjes (de latere slachtoffers) wilden het meisje helpen en namen contact op met de vermeende dader, zonder zich te realiseren dat zij in werkelijkheid contact met de verdachte hadden. Hij bediende zich immers van meerdere identiteiten. Via deze identiteiten probeerde de verdachte hen zover te krijgen dat zij eerst foto’s en daarna naaktfoto’s van zichzelf naar hem verstuurden. Als hij dat naaktmateriaal eenmaal binnen had dwong hij hen om opdrachten uit te voeren zoals het voor de webcam inbrengen van allerlei voorwerpen in hun vagina of anus. Ook werden zij ertoe aangezet om opnamen te maken van seksuele handelingen met huisdieren, hetgeen heeft geleid tot pogingen daartoe door twee van de meisjes.

Verkrachting en ontucht

Uit de video’s en aangiftes blijkt dat de verdachte er ook op aanstuurde om zijn slachtoffers in persoon te ontmoeten. Bij twee van hen is dat gelukt. De verdachte heeft zich vervolgens op de bewezenverklaarde wijze tevens schuldig gemaakt aan het meermalen verkrachten van één van de meisjes die hij ook al had gedwongen tot het plegen van ontuchtige handelingen. De rechtbank overweegt dat de verdachte zeer ernstig inbreuk heeft gemaakt op de lichamelijke integriteit van dit slachtoffer, voor wie het bewezen verklaarde buitengewoon vernederend en traumatisch moet zijn geweest.

Het hof veroordeelt de verdachte tot een gevangenisstraf voor de duur van 10 jaar en 10 maanden en de maatregel van TBS met dwangverpleging.

Teruggave van gegevensdragers

Het hof gaat ten slotte niet over tot teruggave van gegevensbestanden. Het overweegt daartoe als volgt. In het arrest ECLI:NL:GHDHA:2019:391 is door dit hof uiteengezet waarom er een belangenafweging plaats dient te vinden tussen de strafvorderlijke en maatschappelijke belangen bij onttrekking enerzijds en de persoonlijke belangen van de verdachte bij behoud c.q. verkrijging van de verzochte gegevensbestanden anderzijds, als de verdachte gemotiveerd verzoekt om verstrekking van één of meer door hem (duidelijk) omschreven gegevensbestanden die op de betreffende inbeslaggenomen gegevensdrager zijn opgeslagen. Bij deze belangenafweging dient onder andere te worden betrokken wat de (geschatte) technische en personele uitvoerbaarheid voor de betrokken opsporingsdienst is die met het verzoek samenhangt alsmede wat het daarmee gemoeide tijdsbeslag is. Tevens dient de omstandigheid te worden betrokken of de verdachte door zijn wijze van handelen c.q. wijze van opslag moet worden geacht zelf het risico te hebben aanvaard van vermenging van strafbare en niet-strafbare gegevensbestanden en/of dat (daardoor) de gegevensbestanden waarop het verzoek betrekking heeft niet dan wel slechts op onevenredig arbeidsintensieve wijze weer van de strafbare gegevensbestanden kunnen worden gescheiden.

Het hof constateert dat er bij zowel de iPhone X als de MacBook Pro sprake is van vermenging. Op beide gegevensdragers staan zeer grote hoeveelheden bestanden. De strafbare en niet-strafbare bestanden staan door elkaar op de gegevensdrager. De verdachte heeft de bestanden opgeslagen en was zich dus bewust van de vermenging van de bestanden. Indien het hof beslist tot verstrekking van een kopie van de verzochte bestanden zou dat, gezien de vermenging, leiden tot een onevenredig tijdsbeslag bij het scheiden van de strafbare en niet-strafbare bestanden. Bovendien zal van iedere door de verdachte aangewezen afbeelding bepaald moeten worden wie hierop te zien is alvorens tot verstrekking kan worden overgegaan, om te voorkomen dat een kopie van (strafbaar) beeldmateriaal, bijvoorbeeld betrekking hebbend op één van de slachtoffers in deze zaak, aan de verdachte wordt teruggegeven. Het persoonlijke belang dat de verdachte zou hebben bij de verstrekking van een kopie van de bestanden weegt niet op tegen het daarmee gemoeide tijdsbeslag.