Auteur jjoerlemans

Meer duidelijkheid over EncroChat-operatie

jjoerlemans Een reactie plaatsen

In deze blog geef ik een overzicht van de feiten met betrekking tot de EncroChat-operatie. Tijdens deze operatie Frans-Nederlandse operatie zijn 115 miljoen (!) berichten verzameld en later geanalyseerd ten behoeve van de opsporing. De Nederlandse politie sprak (in 2021) over zo’n 25 miljoen berichten (wellicht het aantal berichten van cryptotelefoons in Nederland). Geschat wordt dat er wereldwijd destijds tussen de 55.000-60.000 EncroChat telefoons werden gebruikt, waarvan circa 12.000 Nederlandse gebruikers waren en circa 3000 Franse gebruikers.

Deze blog is een aantal keer geรผpdatet n.a.v. nieuwe feiten in jurisprudentie. De meeste feiten zijn gebaseerd op een uitspraak van 25 juni 2021 van de rechtbank Rotterdam (ECLI:NL:RBROT:2021:6113), een uitspraak van 12 april 2022 van de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2022:1389) en de onderstaande persconferentie (via YouTube) van Frankrijk, Nederland en Europol op 28 juni 2023 (zie daarover ook dit artikel van ComputerWeekly).

Lees voor een jurisprudentie-analyse ook: B.W. Schermer & J.J. Oerlemans, โ€˜De EncroChat-jurisprudentie: teleurstelling voor advocaten, overwinning voor justitie?โ€™, TBS&H 2022/2.2.van de jurisprudentie (tot en met circa mei 2022)). Ook heeft de Hoge Raad inmiddels antwoorden gegeven op prejudiciรซle vragen naar aanleiding van de EncroChat-zaken. Zie ook uitgebreid hierover ons andere artikel: J.J. Oerlemans & B.W. Schermer, โ€˜Antwoorden op prejudiciรซle vragen in de EncroChat- en SkyECC-zakenโ€˜, NJB 2023/2244, afl. 31, p. 2610-2618.

Hoe werken EncroChat-telefoons?  

EncroChat was een communicatieaanbieder van telefoons, waarmee middels de Encrochat applicatie versleutelde chats, bestaande uit tekstberichten en afbeeldingen, konden worden verzonden en ontvangen en waarmee onderling gebeld kon worden.

Door middel van de EncroChat-applicatie konden de EncroChat gebruikers alleen onderling en รฉรฉn-op-รฉรฉn communicatie voeren. Er konden dus geen groepsgesprekken worden gevoerd. De onderlinge communicatie kon tot stand komen nadat een gebruiker zijn โ€˜usernameโ€™ stuurde naar een andere gebruiker, met het verzoek om toegevoegd te worden aan diens contactenlijst. De ander moest dit verzoek eerst accepteren voordat onderlinge communicatie mogelijk was. Gebruikers konden elkaars username opslaan in hun contactenlijst onder een zelfgekozen omschrijving (โ€˜nicknameโ€™). Er kon dus slechts gecommuniceerd worden met contacten in de contactenlijst; niet met overige EncroChat gebruikers ook al was daarvan de EncroChat-gebruikersnaam bekend.

Een chat kon bestaan uit tekstberichten en fotoโ€™s. De berichten verliepen in principe na een vooraf ingestelde tijd, ook wel burn-time of beveiligde verwijdertijd genoemd. Deze tijd was door de gebruiker aan te passen, standaard stond hij ingesteld op zeven dagen. Tevens kon er vanuit de chat een โ€˜VoIPโ€™ spraakgesprek gevoerd worden.

Een EncroChat-telefoon kon door de gebruiker volledig worden gewist. Dit werd ook wel โ€˜panic-wipeโ€™ genoemd. Gebruikers kochten een telefoontoestel waarop de EncroChat applicaties vooraf geรฏnstalleerd waren in combinatie met een abonnement om de service te kunnen gebruiken. De kosten voor de ‘Android BQ Aquaris X2 en X3’-cryptophones bedroegen ongeveer โ‚ฌ1.000,- en โ‚ฌ1.500,- voor een abonnement van zes maanden.

Start EncroChat-operatie

De Franse Gendarmerie begon haar onderzoek naar EncroChat in 2017 naar aanleiding van inbeslaggenomen cryptophones van verdachten die betrokken waren bij georganiseerde misdaad. Daarbij kwamen de Franse autoriteiten erachter dat de EncroChat servers gehost werden bij ‘OVH’ in Roubaix, Frankrijk. In Frankrijk werd het bedrijf EncroChat eind 2018 al onderzocht vanwege (o.a.) deelname aan een criminele organisatie met als doel het plegen van misdrijven of vergrijpen waarop tien jaar gevangenisstraf staat.

Op 10 februari 2020 werd in Nederland een opsporingsonderzoek gestart onder de naam ’26Lemont’, welk onderzoek voortkwam uit een langer lopend onderzoek genaamd Bismarck. 26Lemont richtte zich op de verdenking tegen het bedrijf Encrochat en op de NN-gebruikers (onbekende gebruikers) van Encrochat telefoons die zich bezighielden met diverse vormen van georganiseerde criminaliteit. Al in de eerste maanden van 2020 is overleg gevoerd door politie en justitie uit verschillende landen met als doel te komen tot een gecoรถrdineerde aanpak bij de vervolging van het bedrijf Encrochat, de daaraan gelieerde personen, en de gebruikers van deze dienst. Op 1 april 2020 hebben de Franse en Nederlandse onderzoeksteams een JIT opgericht, welke JIT-overeenkomst op 10 april 2020 is ondertekend.

De hack en interceptie

Op 22 januari 2020 hebben de Franse autoriteiten in een “Schedule of Conduct” aan de Engelse autoriteiten meegedeeld dat zij in de eerste fase (‘stage 1’) een โ€˜implantโ€™ (een hack tool) zouden inzetten op alle EncroChat toestellen wereldwijd via een update vanaf de server in Frankrijk. In het verslag van Computerweekly n.a.v. de persconferentie is te lezen dat de Franse inlichtingendienst buitenland ‘Direction gรฉnรฉrale de la Sรฉcuritรฉ extรฉrieure’ (DGSE) de software implant heeft ontworpen en geleverd. Het legde gegevens op de telefoons vast, waaronder IMEI-gegevens, gebruikersnamen, adresboeken, wachtwoorden, opgeslagen chatberichten, afbeeldingen, locatiegegevens (โ€˜geodataโ€™) en notities.

Vervolgens werd in fase 2 (‘stage 2’) de communicatie (verstuurde berichten) verzameld. Op 30 januari 2020 heeft een Franse onderzoeksrechter een machtiging verleend om een interceptietool in te zetten. Deze machtiging is telkens verlengd en de verdenking die ten grondslag lag aan de aanvraag om de interceptietool in te zetten betrof onder andere drugshandel/-smokkel, witwassen en wapenhandel/-bezit. Uit een Frans proces-verbaal blijkt dat deze interceptietool is ontworpen door de ‘Service Technique National de Captation Judiciaire’ (STNCJ), een dienst die gerechtigd is dergelijke middelen te ontwerpen en kon worden ingezet door de ‘Service Central de Renseignement Criminel’ (SCRCGN) van de Franse Gendarmerie.

Vervolgens heeft de Franse Gendarmerie de EncroChat data verzameld vanaf 1 april 2020 om 17:15 uur tot en met 26 juni 2020 omstreeks 17:00 uur. De Franse Gendarmerie heeft op basis van โ€œgeodataโ€ oftewel locatiegegevens, de gegevens vervolgens gedeeld met het land van herkomst, die daar – onder bepaalde voorwaarden – verder geanalyseerd en verwerkt konden worden voor strafrechtelijke onderzoeken naar de gebruikers. Het Franse onderzoeksteam bewaarde deze data gedurende deze periode op computersystemen in Frankrijk en heeft vervolgens de Nederlandse politie toegang gegeven tot de data over een beveiligde verbinding met die computersystemen. Deze informatie-uitwisseling vond zijn basis in de overeenkomst die is gesloten in het kader van de samenwerking in een Joint Investigation Team (JIT).

Daarnaast heeft het Franse onderzoeksteam op 4 verschillende momenten, te weten januari 2019, oktober 2019, februari 2020 en juni 2020, een kopie gemaakt van de EncroChat infrastructuur en de informatie die op dat moment beschikbaar was op de verschillende servers. Deze informatie is ook gedeeld met Nederland, zowel in het onderzoek Bismarck dat al eerder liep, als in het kader van het JIT. Dit heeft eveneens veel informatie opgeleverd. Geen inhoudelijke berichten, maar wel veel metadata, zoals back-ups van de notitie-app, administratieve gegevens, IP adressen, overzicht van users en databases met wachtwoorden.

Europol heeft ook een ‘Operational Task Force’ (OTF) met de codenaam ‘Emma’ opgericht, om de 115 miljoen EncroChat-berichten te analyseren. Het betrof 1.3TB (terabytes) aan gegevens en zij hebben 700 ‘intelligence packages’ geleverd aan in totaal 123 landen.

Rol en gebruik data Nederlandse politie

Van 1 april 2020 omstreeks 18:00 uur tot 29 juni 2020 om 13:15 uur heeft de Nederlandse politie de EncroChat data gekopieerd over de beveiligde verbinding naar het onderzoeksnetwerk van de Nederlandse politie. Hierbij werd een wijze van kopiรซren gebruikt waarbij met een zo klein mogelijke vertraging de nieuwe EncroChat data werden gekopieerd en waarbij met hashwaardes werd geverifieerd dat de data die werd weggeschreven na verzending over een computernetwerk, identiek is aan de data die werd gelezen in de bron.

De Nederlandse opsporingsdiensten beschikten daarmee ook over een enorme hoeveelheid data. Die data kan volgens de rechtbank Amsterdam (ECLI:NL:RBAMS:2022:1276) worden onderverdeeld in drie subcategorieรซn:

  1. metadata (accountnamen, IMEI-nummers etc.), verkregen op verschillende momenten en verschillende periodes bestrijkend, waaronder de live periode van 1 april 2020 tot 20 juni 2020 (โ€˜serverdataโ€™);
  2. โ€˜liveโ€™ binnengekomen inhoudelijke communicatie uit de periode 1 april 2020 tot 20 juni 2020 (โ€˜telefoondataโ€™);
  3. inhoudelijke communicatie van vรณรณr 1 april 2020, meegekomen met het binnenhalen van de data (eveneens โ€˜telefoondataโ€™).

De dataset is door de Nederlandse politie met behulp van algoritmes en zoektermen geanalyseerd en onderzocht. Deels in het kader van reeds bekende onderzoeken die op de hiervoor genoemde lijst stonden die de rechter-commissaris had goedgekeurd. Deels op basis van in categorieรซn ingedeelde zoektermen. In andere jurisprudentie – ECLI:NL:RBDHA:2022:4504 – wordt bijvoorbeeld genoemd dat via ‘IMSI-scans’ bleek dat sommige verdachten PGP-telefoons gebruikten. Doordat de IMEI-nummers van deze toestellen in het onderzoek ‘Echinops’ waren vastgelegd, konden deze worden gematcht met de lijst van IMEI-nummers in onderzoek 26Lemont.

Resultaten van de operatie

De resultaten van de operatie (ten tijde van april 2021) worden in een jaarrapport van 2020 in de volgende mooie โ€˜infographicโ€™ getoond:

Tijdens de persconferentie in Lille op 28 juni 2023 vertelden de autoriteiten dat als gevolg van de operatie meer dan 6500 mensen zijn gearresteerd en meer dan 900 miljoen aan vermogen in beslag is genomen. Zie onderstaande infographic:

Bron: Persbericht Europol, 28 juni 2023.

Interstatelijk vertrouwensbeginsel

Steeds vraagt de verdediging in de jurisprudentie om meer informatie over de verzameling van de gegevens bij een Frans bedrijf in Frankrijk, terwijl rechters steevast verwijzen naar het internationaal vertrouwensbeginsel en het bewijs niet onder Nederlands recht op rechtmatigheid wordt getoetst (zie bijvoorbeeld Rb. Rotterdam 24 juni 2021, ECLI:NL:RBROT:2021:6050).

Op 13 juni 2023 heeft de Hoge Raad bevestigd (ECLI:NL:HR:2023:913) ervan moet worden uitgegaan dat het onderzoek door de buitenlandse autoriteiten rechtmatig โ€“ dat wil zeggen: in overeenstemming met het buitenlandse recht โ€“ is verricht. De Nederlandse rechter is alleen verplicht nader in te gaan op de betrouwbaarheid van de resultaten als โ€“ al dan niet naar aanleiding van wat de verdediging heeft aangevoerd โ€“ concrete aanwijzingen voor het tegendeel bestaan. Dit geldt ook als het onderzoek in JIT-verband is uitgevoerd.

De Hoge Raad oordeelt ook dat het uitgangspunt is dat het dat het door de buitenlandse autoriteiten verkregen materiaal betrouwbaar moet worden geacht. Als er echter concrete aanwijzingen voor het tegendeel bestaan, dan is de rechter gehouden de betrouwbaarheid van die resultaten te onderzoeken. Die aanwijzingen kunnen voortkomen uit een speci๏ฌek verweer.

Zie ook uitgebreid hierover ons artikel: J.J. Oerlemans & B.W. Schermer, โ€˜Antwoorden op prejudiciรซle vragen in de EncroChat- en SkyECC-zakenโ€˜, NJB 2023/2244, afl. 31, p. 2610-2618.

Machtiging rechter-commissaris

Vanwege de voorzienbare inbreuk die de interceptie van de EncroChat-data op de persoonlijke levenssfeer van de Nederlandse gebruikers van deze dienst zou hebben, heeft het Openbaar Ministerie ervoor gekozen om, mogelijk ten overvloede, in Nederland een rechterlijke toetsing te vorderen die strikt genomen het Nederlandse Wetboek van Strafvordering niet als zodanig kent. Deze manier van werken keurt de Hoge Raad wel goed in (ECLI:NL:HR:2023:913).

Bij de rechter-commissaris is een vordering ingediend om een machtiging om op 13 maart 2020 een machtiging te verlenen voor de inzet van de hackbevoegdheid op personen die betrokken zijn bij georganiseerde misdaad (art. 126uba Sv) te geven teneinde de informatie betreffende de Nederlandse gebruikers te mogen analyseren en gebruiken. De rechter-commissaris heeft op 27 maart 2020 onder voorwaarden de gevorderde machtiging verleend voor een periode van maximaal vier weken en op grond van deze machtiging heeft de officier van justitie op 1 april 2020 een bevel 126uba Sv afgegeven. Deze machtiging (met instandhouding van de gestelde voorwaarden) en het bevel zijn beide meerdere malen verlengd.

In een uitspraak van de rechtbank Gelderland van 8 december 2021 (ECLI:NL:RBGEL:2021:6584) was (bij mijn weten voor het eerst) meer te lezen over de machtiging. Voor het gebruik van de berichten is een (Nederlandse) rechter-commissaris om een machtiging gevraagd voor de inzet van de hackbevoegdheid (artikel 126uab Sv) en het opnemen van telecommunicatie (artikel 126t Sv). In het โ€˜proces-verbaal aanvraagโ€™ wordt gesteld dat het redelijk vermoeden bestaat dat de EncroChat-gebruikers zich in georganiseerd verband schuldig maken aan (het medeplegen van) รฉรฉn of meer van de volgende misdrijven:

  • witwassen;
  • deelnemen/leiding geven aan een criminele organisatie;
  • Opiumwet delicten;
  • wapenhandel;
  • (poging) tot moord/doodslag;
  • gijzeling en/of wederrechtelijke vrijheidsberoving; en
  • afpersing en/of diefstal met geweld.

Daarbij werden de volgende drie doelen nagestreefd:

  1. het identificeren van de NN-gebruikers;
  2. onderzoek doen naar de criminele samenwerkingsverbanden waarvan zij deel uitmaken;
  3. bewijs verzamelen over door deze criminele samenwerkingsverbanden gepleegde en/of nog te plegen misdrijven.

De EncroChat-data mocht worden doorzocht met behulp van een lijst met trefwoorden die gerelateerd zijn aan te onderzoeken feiten of verdachten. De rechter-commissaris overwoog expliciet dat het onderzoek geen fishing expedition mocht worden. De rechter-commissaris heeft de vordering vervolgens toegewezen onder de volgende zeven voorwaarden (verkort weergegeven):

  1. de wijze waarop is binnengedrongen in het geautomatiseerde werk wordt vastgelegd, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
  2. een beschrijving van de gebruikte software die beschikbaar is voor onderzoek, als er geen gebruik wordt gemaakt van een reeds goedgekeurd middel;
  3. de integriteit van de opgeslagen informatie wordt gegarandeerd;
  4. het onderzoek moet reproduceerbaar zijn, en gebruik moet worden gemaakt van zoeksleutels (woordenlijsten);
  5. voorkomen moet worden dat communicatie tussen cliรซnten en verschoningsgerechtigden wordt opgenomen;
  6. de met zoeksleutels vergaarde informatie moet binnen twee weken ter toetsing aan de rechter-commissaris worden aangeboden en pas daarna aan het openbaar ministerie en de politie ter beschikking worden gesteld voor het opsporingsonderzoek;
  7. de machtiging wordt voor een beperkte duur van vier weken verleend en kan enkel middels een vordering worden verlengd. De rechter-commissaris kan de machtiging vroegtijdig beรซindigen, als de tussentijdse toets daartoe aanleiding zou geven.

Als de EncroChat-gegevens worden gedeeld met andere onderzoeken, moet daarvoor eerst toestemming moet worden gevraagd aan de rechter-commissaris waarna de officier(en) in de zaak 26Lemont op grond van artikel 126dd Sv de informatie mag delen met de zaaksofficier van dat betreffende onderzoek.

Overigens acht de rechtbank de inbreuk op de privacy van een EncroChat-gebruikers bij het doorzoeken van de EncroChats beperkt (!), omdat:

  • bij het doorzoeken van de EncroChat-data gebruik is gemaakt van vooraf door de rechter-commissaris goedgekeurde zoeksleutels gericht op de opsporing van ernstige criminele activiteiten en
  • gelet op de aard van de communicatie via PGP-telefoons als o.a. EncroChat, slechts een (beperkt) beeld wordt gekregen van iemands criminele activiteiten, er wordt geen min of meer volledig beeld gekregen van bepaalde aspecten van het privรฉleven van de gebruiker.

Ook opvallend, maar niet per se verassend, is de overweging van de rechtbank over vormverzuimen die mogelijk hebben plaatsgevonden bij overtreding van de Wet politiegegevens (Wpg):

โ€œDe rechtbank heeft op 28 april 2021 al besloten dat de Wpg geen belangrijk strafvorderlijk voorschrift is. De verdediging heeft dan ook geen belang bij een toetsing aan de voorschriften van de Wpg. Deze toetsing is immers niet van belang voor de vragen die de rechtbank in het kader van de artikelen 348 en 350 Sv dient te beantwoorden, noch een vraag die beantwoord moet worden bij de toetsing of sprake is van een eerlijk proces als bedoeld in artikel 6 EVRM.โ€

The necessity of a new cyberlaw for dutch intelligence and security servicesย 

jjoerlemans

Growing cyber threats to Dutch national security reveal an urgent need to amend current  powers of intelligence and security services. The proposed โ€œCyber Actโ€ aims to address these challenges by granting bulk interception and hacking capabilities, and by allowing for greater flexibility in the oversight process. However, further clarification is needed on the scope of the Act.

In my opinion, there is an urgent need for a new bill that amends the bulk interception and hacking powers of Dutch intelligence and security services. In this blog post, I share the essential points that I presented during a โ€˜round table hearing’ at the Dutch parliament on 5 April 2023. My original contribution (in Dutch) can be found here.

The (cyber)threat

The cyberthreat the proposed legislation aims to address should be completely clear. The Dutch General Intelligence and Security Service (AIVD) first reported about โ€˜digital infringements on Dutch vital ICT infrastructuresโ€™ in 2007. This message highlighting the risks of digital espionage to our national security has been reiterated in every annual report since 2013. These reports explicitly mention various victims of digital espionage, including Dutch ministries, telecom providers, universities, educational institutions, think tanks, and biotechnology companies.

Our Military Intelligence and Security Services (MIVD), as well as the National Cyber Security Centre (NCSC), have echoed these concerns. In fact, the NCSC considers the threat posed by โ€˜state actorsโ€™ to cybersecurity as the most significant among all threats, surpassing even the threats posed by criminal actors. 

The problem

In 2021, the Dutch intelligence and security services raised concerns regarding challenges they encountered in their cyber operations. These issues primarily stem from the โ€œlegality reviewโ€ process conducted by the newly established Investigatory Powers Commission (TIB). The TIB is responsible for granting or denying warrants for investigatory powers, including bulk interception and hacking.

The proposed Cyber Act  

To address these challenges, a bill has been introduced, which I refer to as the โ€˜Cyber Actโ€™. This proposed legislation specifically addresses bulk interception and hacking capabilities and proposes significant changes to the oversight system in the Netherlands. It is crucial to emphasise that the scope of the bill is limited to operations conducted by Dutch intelligence and security services that target the gathering of intelligence related to โ€œoffensive cyber operations of foreign statesโ€. 

The aim of the proposed bill is to amend and partially shift the oversight of bulk interception and hacking as investigatory powers from the Investigatory Powers Commission (TIB) to the Dutch Review Committee on Intelligence and Security Services, allowing for greater flexibility for intelligence and security services. It seeks to establish a more dynamic oversight process that aligns with the technical realities of these powers. 

It is also noteworthy that the proposal grants the Dutch Review Committee on Intelligence and Security Services the (binding) power to halt an operation and (ultimately) order the deletion of unlawfully processed data when specific investigatory powers are employed. Currently, this oversight body lacks any binding authority in its task of overseeing intelligence and security services. Additionally, the proposed legislation introduces an appeals procedure for decisions made by the Dutch oversight bodies, enabling a judge to make the final determination regarding the legality of actions and decisions. 

Bulk interception 

Bulk interception serves as a notable example that illustrates how investigatory powers are amended in the Cyber Act. One significant challenge in the current application of bulk interception as an investigatory power is the disagreement between the intelligence and security services (and their responsible ministers who authorise these powers) and the Investigatory Powers Commission (TIB) regarding the level of focus that should be applied to bulk interception.

It is important to clarify that bulk interception is inherently non-targeted in nature. It involves the interception of large volumes of data (bulk) after it is collected at a specific location. This process differs from, for instance, wiretapping. With wiretapping, data associated with a particular identifying number, such as a telephone number or IP address is intercepted. Bulk interception captures a greater volume of data, including unidentified numbers that may be connected to potential national security threats. In a cybersecurity context, bulk interception can be used to collect intelligence about the IT infrastructure utilised by foreign actors engaging in covert activities on Dutch infrastructure.

The Cyber Act aims to do more justice to the untargeted nature of bulk interception, but solely within the context of gathering intelligence related to the threat of offensive cyber operations conducted by state actors that pose a risk to national security. While the bill includes numerous detailed provisions, which I will not delve into here, I believe the arguments put forth in support of the proposals are compelling. Therefore, it is in my view necessary to amend the law. In fact, I think we should consider an even more substantial role for intelligence and security services in combating cybersecurity threats.

Addressing the threat of cybercrime to national security

The issue of cybercrime posing a threat to national security deserves attention. I emphasised that the Dutch National Security Centre identified ransomware as a national security threat. I agree with this assessment, insofar ransomware attacks have severe economic consequences or disrupt vital infrastructures. Regrettably, we have already witnessed ransomware incidents targeting the Port of Rotterdam, hospitals, and municipalities in the Netherlands.

In the Netherlands, there is a strict separation between the investigation of criminal activities and the investigation of national security threats. It is evident to me that the Dutch Intelligence and Security Services should investigate ransomware attacks that pose a risk to national security. However, it remains unclear whether such investigations are currently being carried out. While the Dutch Cyber Act appears to primarily focus on state actors, I would appreciate clarification on whether it also encompasses ransomware activities conducted by criminal organisations.

This is a cross-post from my blog post on aboutintel.eu. It is part of a discussion prompt about the ‘Dutch Temporary Cyber Act‘, with contributions of Lotte Houwing and Bert Hubert.

Cybercrime jurisprudentieoverzicht mei 2023

jjoerlemans

Hoge Raad wijst nieuw arrest over computervredebreuk

Op 18 april 2023 heeft de Hoge Raad een arrest gewezen (ECLI:NL:HR:2023:610) in een zaak over computervredebreuk (artikel 138ab Sr) en medeplegen voor het bekend maken gegevens die door misdrijf zijn verkregen vanaf de server van het bedrijf (artikel 273 Sr).

Het Hof Den Haag overwoog in haar arrest (ECLI:NL:GHDHA:2021:570) dat de verdachte ongeveer vijftien jaar werkzaam is geweest als boekhouder/financial controller voor het bedrijf dat slachtoffer is geworden van computervredebreuk. Hij beschikte over inloggegevens om toegang te kunnen krijgen tot de server van het bedrijf. De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij meerdere malen met zijn eigen inloggegevens heeft ingelogd op de server van het bedrijf en bestanden heeft gedownload met als het doel deze gegevens zou gaan inbrengen in het hoger beroep van diens gerechtelijke ontslagprocedure.

Het Hof overweegt dat niet ter discussie staat dat het downloaden van bedrijfsgegevens om deze vervolgens in te kunnen (doen) brengen in een gerechtelijke procedure van een derde tegen op geen enkele wijze behoort tot de tussen het bedrijf en de verdachte overeengekomen werkzaamheden en dat daartoe geen toestemming is verleend. De verdachte heeft evenmin het bedrijf om die toestemming gevraagd, laat staan geรฏnformeerd omtrent zijn voornemen dit te gaan doen.

Dat maakt dat het hof van oordeel is dat op de momenten dat de verdachte inlogde op de server van het bedrijf hij de hem ter beschikking staande inloggegevens gebruikte voor een ander doel dan waarvoor deze hem ter beschikking waren gesteld, zodat deze op dat moment als valse sleutel kwalificeerden. Op die momenten was derhalve sprake van binnendringen in de zin van artikel 138ab, eerste lid, van het Wetboek van Strafrecht. Dit oordeel geeft volgens de Hoge Raad geen blijk van een onjuist rechtsopvatting.

Met betrekking tot het verweer of sprake is van een noodtoestand stelt het hof voorop dat slechts in uitzonderlijke omstandigheden een beroep op noodtoestand kan worden gehonoreerd. De te nemen drempel is bijzonder hoog: โ€œuitzonderlijke gevallen kunnen meebrengen dat gedragingen die door de wetgever strafbaar zijn gesteld, niettemin gerechtvaardigd kunnen worden geacht, onder meer indien moet worden aangenomen dat daarbij is gehandeld in noodtoestand, dat wil zeggen – in het algemeen gesproken – dat de pleger van het feit, staande voor de noodzaak te kiezen uit onderling strijdige plichten en belangen, de zwaarstwegende heeft laten prevalerenโ€ (met verwijzing naar HR 23 juli 2011, ECLI:NL:HR:2011:BP5967). Het hof is van oordeel dat toepassing van deze strenge maatstaf maakt dat het beroep op noodtoestand niet kan worden gehonoreerd. Het op verzoek bijstaan van een collega in een ontslagprocedure heeft niet te gelden als een zodanig zwaarwegend belang dat dit het overtreden van de strafwet zou rechtvaardigen. Ook dit acht de Hoge Raad geen onbegrijpelijk oordeel.

Veroordeling voor oplichting en phishingpanels

Op 3 april 2023 heeft de rechtbank Den Haag een interessante uitspraak (ECLI:NL:RBDHA:2023:4676) gedaan over een phishing-zaak. De zaak bespreek ik hier uitgebreid, omdat de overwegingen interessante feiten bevatten over de modus operandi bij deze vorm van cybercriminaliteit en over het opsporingsproces.

De verdachte werd het volgende ten laste gelegd:

  1. medeplegen van het verwerven en voorhanden hebben van betaalfraudepanels, zijnde technische hulpmiddelen bedoeld om onder meer computervredebreuk mee te plegen;
  2. medeplegen van oplichting van in elk geval 1.183 personen, erin bestaande dat de slachtoffers zijn bewogen onder meer hun inloggegevens voor internetbankieren ter beschikking te stellen nadat zij naar een phishing website waren geleid;
  3. medeplegen van computervredebreuk;
  4. diefstal met valse sleutel, in vereniging gepleegd, van in elk geval 13 personen, door met de inloggegevens van de slachtoffers in te loggen op hun internetbankieromgeving en vervolgens bedragen van hun bankrekeningen weg te nemen;
  5. medeplegen van gewoontewitwassen van een bedrag van in ieder geval โ‚ฌ 420.000,-;
  6. medeplegen het voorhanden hebben van een grote hoeveelheid gegevens (โ€˜entriesโ€™), bedoeld om onder meer computervredebreuk mee te plegen;
  7. deelname aan een criminele organisatie, gericht op het plegen van voormelde strafbare feiten.

Deze zaak gaat het over zogeheten betaalfraudepanels, ook wel โ€˜phishingpanelsโ€™ genoemd. Phisingpanels zijn software waarmee het mogelijk is om websites te maken die nagenoeg gelijk zijn aan de inlogpaginaโ€™s van de internetbankieromgeving van banken. Voor de beheerder van het panel is het mogelijk om met op die websites ingevoerde gegevens, zoals bijvoorbeeld bankrekeningnummer, pasnummer en autorisatiecodes, de controle te krijgen over bankrekeningen en daarmee betalingen te doen. Met de term phishing wordt geduid op een vorm van fraude waarbij een slachtoffer wordt verleid om bepaalde gegevens te delen, vaak door op een link te klikken die het slachtoffer via mail, sms of WhatsApp heeft ontvangen. De werkwijze van de verdachten was als volgt. Hun werkwijze was als volgt. De verdachte en zijn mededaders leidden hun slachtoffers via sms-berichten of advertenties op Google naar nepwebsites, die leken op de inlogpaginaโ€™s van hun bank. Nadat de slachtoffers daar hun inloggegevens hadden ingevoerd, logden de verdachte en zijn mededaders daarmee heimelijk in op de internetbankieromgeving van de slachtoffers. Vervolgens werden de slachtoffers via de nepwebsite bewogen ook hun aanmeldcode in te voeren, waarna de verdachte en zijn mededaders geldbedragen van de bankrekeningen van de slachtoffers konden wegnemen. Dit deden zij door geldbedragen van de bankrekeningen van de slachtoffers om te zetten in cryptovaluta of over te maken naar bankrekeningen van derden (zogenoemde geldezels).

Aanleiding onderzoek

Het onderzoek naar de verdachte vloeit voort uit het onderzoek โ€˜Sauerโ€™ dat was gericht op [verdachte 2], die gebruik maakte van de gebruikersnaam โ€˜Haikuโ€™. [verdachte 2] werd onder meer verdacht van het ontwerpen van betaalfraudepanels. Op zijn computer zijn twee Telegram-conversaties aangetroffen. Een gesprek met โ€˜Guru 3.147โ€™ en een groepsgesprek genaamd โ€˜Andere Saus 2.0โ€™ waaraan die Haiku deelnam met twee andere personen: โ€˜Guru 3.147โ€™ en โ€˜LazyLinksโ€™. In de chat tussen Haiku en Guru werd veelvuldig gesproken over een betaalfraudepanel, dat door Haiku zou worden ontworpen en door Guru zou worden aangeschaft. In de groepschat Andere Saus 2.0 werd gesproken over het plegen van fraude met behulp van een betaalfraudepanel door Haiku, Guru en LazyLinks. Gezien het vermoeden dat ook Guru en LazyLinks zich bezighielden met grootschalige digitale fraude, heeft de politie onderzoek gedaan naar de personen die achter deze gebruikersnamen schuil gingen. Dit mondde uit in het onderzoek โ€˜Weezingโ€™. Door informatie uit de Telegram-conversaties te koppelen aan onder meer open bronnen, kwam [verdachte 3] in beeld als Guru 3.147 (ook wel โ€˜DmpGโ€™ of โ€˜Bonkaraโ€™).ย Op dezelfde wijze kwam de verdachte in beeld als โ€˜LazyLinksโ€™ (ook wel โ€˜Lazyโ€™ of โ€˜.โ€™).ย Op een onder [verdachte 3] in beslag genomen telefoon werden weer andere Telegram-conversaties aangetroffen, met ene โ€˜Ano 020โ€™ (ook wel โ€˜Jerry V2.0โ€™). Hierachter bleek [verdachte 4] schuil te gaan.

Netwerkzoeking en veiligstellen van bewijs

Na de aanhouding van [verdachte 2] heeft de politie op 24 december 2020 ingelogd op het panel op https://wemoeteneten.online en daar een lijst met โ€˜entriesโ€™ veiliggesteld, die de periode bestrijkt van 20 september 2020 tot en met 24 december 2020.6 Later, na de aanhouding van [verdachte 3] op 13 juli 2021, heeft de politie vanaf zijn telefoon bestanden met loggegevens van het panel veiliggesteld. Deze logbestanden bestrijken de periode van 20 september 2020 tot en met 2 juli 2021.

Uit onderzoek van de entries en de logbestanden is gebleken dat zowel [verdachte 2] (Haiku), [verdachte 3] (Guru), [verdachte 4] (Ano020) als de verdachte (LazyLinks) op enig moment toegang had tot het panel en daarvan gebruik heeft gemaakt.

Verklaring werkwijze door verdachte

Nadat de verdachte zich eerst op zijn zwijgrecht heeft beroepen, heeft hij op 1 april 2022 in een politieverhoor erkend dat hij de persoon is die schuil gaat achter de aliassen zoals โ€˜LazyLinksโ€™, โ€˜Lazyโ€™.ย  De verdachte heeft verder een grotendeels bekennende verklaring afgelegd. Uit onderzoek door de politie naar de werking van het betaalfraudepanel komt het volgende naar voren. Het panel betreft een webapplicatie waarmee het mogelijk is om sms-berichten te versturen, vermoedelijk met het doel personen via een link naar de nagemaakte Itsme-pagina te leiden. Wie zoโ€™n link opent krijgt een webpagina te zien die de indruk wekt dat dit een service van Itsme.be betreft. Op deze pagina wordt gevraagd om een bank te selecteren. Wie voor Axa, Argenta, Belfius, BNP, ING of KBC kiest krijgt daarna een webpagina te zien waarbij een debetkaartnummer wordt gevraagd en de vervaldatum. Op de pagina wordt het logo van de bank gebruikt en het logo van Itsme, waardoor het lijkt alsof de bezoeker wordt doorgestuurd naar de bankwebsite vanuit Itsme. De gegevens die op deze webpagina worden ingevoerd komen terecht bij de gebruiker van het betaalfraudepanel. De gebruiker van het betaalfraudepanel kan vervolgens met deze gegevens proberen in te loggen op de echte bankwebsite. Bij het inloggen wordt om een verificatiecode oftewel aanmeldcode, gevraagd. De gebruiker van het panel vraagt vervolgens aan de bezoeker van de nagemaakte Itsme-pagina om de aanmeldcode te genereren via diens kaartlezer. Op deze manier kan de gebruiker van het betaalfraudepanel inloggen op het bankaccount van de bezoeker van de nagemaakte Itsme-pagina.

[verdachte 3] heeft aan de politie verklaard dat hij via Telegram lijsten met telefoonnummers van voornamelijk klanten van Belgische banken had gekocht. Naar die telefoonnummers stuurde hij een sms-bericht waarin stond dat het beoogde slachtoffer zijn of haar Itsme-account opnieuw moest activeren, met daarbij een frauduleuze link. Later is [verdachte 3] op Telegram in contact gekomen met een persoon met de gebruikersnaam โ€˜EXPโ€™, die ervoor kon zorgen dat een link naar de nepwebsite voor een bepaalde periode als advertentie bovenaan de Google zoekresultaten zou verschijnen, wanneer bepaalde trefwoorden in Google werden ingevoerd, zoals โ€˜Argentaโ€™ of โ€˜Bpostbank aanmelden.

Uit de Telegram-groepschat โ€˜Andere Saus 2.0โ€™, waaraan de verdachte, [verdachte 3] en [verdachte 2] deelnamen, blijkt dat zij beurten verdeelden wanneer een potentieel slachtoffer op een frauduleuze link had geklikt. Wanneer op de hiervoor omschreven wijze toegang was verkregen tot de internetbankieromgeving van een slachtoffer, werd geprobeerd geld van de bankrekening van het slachtoffer over te maken naar de bankrekening van derden. Deze derden, zogenoemde geldezels, waren personen die [verdachte 3] had gevonden via tussen personen die hij kende van Telegram, schuilgaande onder de gebruikersnamen โ€˜Phantomโ€™ en โ€˜3AKABOUZโ€™. Ook werd geprobeerd om met banktegoeden van slachtoffers cryptovaluta te kopen bij Bitvavo of Litebit, die ten bate kwam van de cryptowallet van een geldezel. Phantom en 3AKABOUZ kregen voor het aanleveren van de geldezels een vergoeding van 50% van de opbrengst van de fraude. De resterende 50% werd verdeeld tussen [verdachte 3], de verdachte en de derde persoon ( [verdachte 4] dan wel [verdachte 2] ). Zij kregen dus een zesde deel van de totale opbrengst. Dit werd uitbetaald als cryptovaluta in hun eigen wallet. [OJ(J3] 

Gedeeltelijke vrijspraak en bewezenverklaring

De rechtbank overweegt dat uit die chatberichten blijkt weliswaar van enige betrokkenheid van de verdachte, maar de rechtbank kan op basis van die chatberichten alleen niet buiten redelijke twijfel vaststellen dat de verdachte dat eerste betaalfraudepanel ook daadwerkelijk heeft verworven of voorhanden gehad. De rechtbank zal de verdachte dan ook vrijspreken met betrekking tot deze periode en de betrokkenheid van verdachte bij het eerste betaalfraudepanel. Wel acht de rechtbank bewezen dat de verdachte tezamen en in vereniging met anderen een betaalfraudepanel heeft verworven en voorhanden gehad.

Door het bedienen van het betaalfraudepaneel en versturen sms-berichten met frauduleuze links heeft de verdachte zich schuldig gemaakt aan oplichting. Ook acht de rechtbank het rechtbank wettig en overtuigend bewezen dat de verdachte zich tezamen en in vereniging met anderen schuldig heeft gemaakt aan diefstal in vereniging met behulp van een valse sleutel van geldbedragen tot een totaal โ‚ฌ 48.050,64.

Met de door middel van oplichting verkregen gegevens is door de verdachte en zijn mededader(s) ingelogd op de internetbankieromgeving van de hierboven genoemde slachtoffers, alvorens de genoemde geldbedragen te stelen. Daarmee is binnengedrongen in een (deel van een) geautomatiseerd werk, namelijk de servers van de beveiligde internetbankieromgeving van de bank. Nu de verdachte en zijn mededader(s) dat hebben gedaan met inloggegevens tot het gebruik waarvan zijn niet bevoegd waren, en door zich voor te doen als geautoriseerde klanten van de bank, is sprake van een valse sleutel en een valse hoedanigheid.

Witwassen en cryptocurrencies

De verdachte heeft verklaard dat deze geldbedragen van de bankrekeningen van slachtoffers werden overgemaakt naar de bankrekeningen van derden, dan wel dat daarmee cryptovaluta werden gekocht ten bate van de cryptowallets van derden, alvorens de verdachte en de anderen delen van de opbrengst zelf in de vorm van cryptovaluta in hun wallet binnenkregen.ย De verdachte wist dat dit geld uit misdrijf afkomstig was, immers heeft hij die misdrijven zelf (mede)gepleegd. Door de geldbedragen over te maken naar andere bankrekeningen en daarna als cryptovaluta aan zichzelf en zijn mededaders te laten uitbetalen, of deze direct om te zetten in cryptovaluta en een deel naar zijn wallet en de wallets van zijn mededaders over te boeken, heeft hij de herkomst van deze geldbedragen verhuld. Daarmee heeft de verdachte zich (ook) tezamen en in vereniging schuldig gemaakt aan het witwassen van een geldbedrag van in totaal โ‚ฌ 48.050,64. Het dossier biedt aanknopingspunten dat veel geldbedragen zijn buitgemaakt. Echter, anders dan bij [verdachte 3] en [verdachte 4], is bij de verdachte geen nader onderzoek gedaan naar zijn eigen bankrekeningen of cryptowallets, waaruit zou kunnen blijken dat hij over (aanzienlijke) vermogensbestanddelen beschikt. Gelet op dit alles kan de rechtbank niet met voldoende zekerheid en nauwkeurigheid vaststellen dat de verdachte zich schuldig heeft gemaakt aan het witwassen van meer dan โ‚ฌ 48.050,64.

De rechtbank oordeelt ook de verdachte heeft deelgenomen aan een criminele organisatie. De rechtbank oordeelt dat de in de tenlastelegging genoemde โ€˜Phantomโ€™, โ€˜Expโ€™ en โ€˜3AKABOUZโ€™ wel een bijdrage hebben geleverd aan het plegen van de misdrijven waarop de organisatie was gericht, maar dat het dossier onvoldoende aanknopingspunten biedt om vast te stellen dat zij hebben deelgenomen aan deze organisatie.

Straf

Op vrijwillige basis is de verdachte begonnen met een psychologisch behandeltraject bij behandelcentrum Fier. Daar is hij gediagnostiseerd met PTSS, een paniekstoornis, een ongespecificeerde persoonlijkheidsstoornis, een stoornis in cannabisgebruik en problemen verband houdend met justitiรซle maatregelen. Gezien de door behandelcentrum Fier vastgestelde DSM-5 diagnose staat de reclassering negatief tegenover de oplegging van een gevangenisstraf. Voor een taakstraf ziet de reclassering geen contra-indicaties. De rechtbank ziet in het voorgaande aanleiding om af te wijken van het genoemde uitgangspunt van een onvoorwaardelijke gevangenisstraf voor de duur van een jaar. De rechtbank legt ook een taakstraf van 360 uur op en de verdachte moet een schadevergoeding betalen.

Veroordelingen voor bankhelpdeksfraude

Op 28 maart 2023 veroordeelde de rechtbank Limburg enkele verdachten voor bankhelpdeskfraude (ECLI:NL:RBNNE:2023:476). Bankhelpdeskfraude is een vorm van oplichting waarbij de daders zich voordoen als bankmedewerkers.

De aangiften van een slachtoffer uit Brunssum en Valkenburg vormden het startpunt van een opsporingsonderzoek dat zich richtte op zogeheten bankhelpdeskfraude. Al snel bleken er op diverse plaatsen in Nederland soortgelijke feiten gepleegd te zijn en werd het onderzoek van de politie uitgebreid. De verdachte en medeverdachte zijn in dit onderzoek als mogelijke daders naar voren gekomen. De rechtbank ziet zich voor de vraag gesteld of bewezen kan worden dat de verdachte als (mede)dader betrokken is geweest bij in totaal 19 zaken van bankhelpdeskfraude.

Uit de bewijsmiddelen leidt de rechtbank af dat in een periode van enkele maanden op verschillende plekken in Nederland soortgelijke gevallen van zogenoemde bankhelpdeskfraude hebben plaatsgevonden. De verdachte heeft bekend dat hij bij vijf van deze gevallen van bankhelpdeskfraude betrokken is geweest. Dit zijn de feiten waarbij hij ook op camerabeelden is herkend. De verdachte ontkent zijn betrokkenheid bij de andere feiten. Na uitgebreide bewijsoverwegingen acht de rechtbank de verdachte schuldig aan oplichting.

De verdachte en/of een van zijn mededaders heeft telefonisch contact gezocht met de beoogde slachtoffers. Aan de slachtoffers werd telkens voorgehouden dat de bank had ontdekt dat er mogelijk fraude werd gepleegd met de bankrekening van de slachtoffers en aan hen werd de helpende hand geboden. Zo hebben verdachte en zijn mededaders het vertrouwen van de slachtoffers gewonnen. Door leugens en verzinsels hebben de daders de slachtoffers ertoe gezet om hun bankpassen en bijbehorende pincodes af te staan. Met de aldus verkregen bankpassen en pincodes werd er vervolgens in rap tempo geld gepind en goederen aangeschaft. Tegen de tijd dat de slachtoffers erachter kwamen dat er iets niet in orde was, was het leed al geschied.

De rechtbank neemt het de verdachte kwalijk dat hij, samen met anderen, op zulke doortrapte en slinkse wijze geld afhandig heeft gemaakt van vele slachtoffers. Slachtoffers die overigens niet willekeurig werden uitgekozen. Integendeel. Zij werden gekozen op basis van overlijdensadvertenties. Het ging dan om mensen op hoge leeftijd, die kort daarvoor hun partner verloren waren. Hun (verdere) gegevens werden erbij gezocht en benaderd.

De rechtbank neemt het de verdachten zeer kwalijk dat zij welbewust kozen voor deze kwetsbare slachtoffers. Verdachte en zijn mededaders waren kennelijk maar uit op รฉรฉn ding: snel, veel geld verdienen, waarbij op geen enkele wijze oog is geweest voor de kwetsbaarheid en de belangen van de slachtoffers. Door hun geraffineerde wijze van oplichting hebben verdachte en zijn mededaders niet alleen geld van de slachtoffers afgenomen, maar ook hun gevoel van vertrouwen en veiligheid, zoals ook blijkt uit de aangiftes van de slachtoffers.

Gelet op de ernst van de feiten die de verdachte heeft gepleegd, het aantal slachtoffers en de slinkse wijze van handelen, kan naar het oordeel van de rechtbank niet worden volstaan met een andere straf dan een vrijheidsbenemende straf die de duur van het reeds ondergane voorarrest overschrijdt.

De rechtbank veroordeelt de verdachte tot een gevangenisstraf van 30 maanden, waarvan 15 maanden voorwaardelijk en tot het betalen van een schadevergoeding.

Ook de rechtbank Noord-Holland veroordeelde (ECLI:NL:RBNNE:2023:476) op 7 februari 2023 een verdachte voor oplichting. In deze zaak over bankhelpdeskfraude volgt uit de aangiftes dat de slachtoffers waren door een zogenaamde bankmedewerker, met de mededeling dat er een probleem was met hun bankrekening. Zo zou er geld zijn afgeschreven door iemand anders of zou dit zijn geprobeerd.

Aangevers zouden de โ€˜bankmedewerkerโ€™ vervolgens moeten helpen om dit probleem op te lossen, waarvoor ze een Remote Acces Tool (RAT) zoals โ€˜Anydeskโ€™ moesten installeren zodat de โ€˜bankmedewerkerโ€™ kon meekijken in de internetbankierenomgeving. Uiteindelijk werd er geld overgemaakt door aangever of door de โ€˜bankmedewerkerโ€™ naar een andere rekening, terwijl aangevers hierover niet meer konden beschikken.

In de zaak zitten veel digitale bewijsmiddelen. De rechtbank stelt vast dat de telefoonnummers en de telefoons die zijn gebruikt bij ten laste gelegde feiten, op verschillende manieren zijn te herleiden naar verdachte. Deze telefoonnummers stralen veelal masten aan in Assen, waar verdachte woonachtig is. Het telefoonnummer dat verdachte privรฉ gebruikte telefoonnummer was blijkens de mastgegevens zeer vaak in de directe omgeving van een telefoon waarmee de telefoongesprekken met aangevers en andere potentiรซle slachtoffers werden gevoerd. Daarnaast is er door middel van een IMSI-catcher gebleken dat een van de aan verdachte te koppelen telefoons aanwezig was bij zijn woning aan een adres in Assen.

Uit de camerabeelden en telefoongegevens die vervolgens zijn verkregen, is gebleken dat verdachte thuis was op het moment dat er telefoongesprekken werden gevoerd. Op een datum is waargenomen dat deze gesprekken stopten toen verdachte zijn woning kort verliet en dat de gesprekken vervolgens werden hervat toen verdachte weer thuis was. Er zijn geen andere personen gezien op de camerabeelden.

Ook beschikte verdachte over PayPal-accounts die zijn gelinkt aan fraude. Op een van de telefoons van verdachte die zijn onderzocht zijn ook aanwijzingen gevonden die duiden op betrokkenheid bij bankhelpdeskfraude. Er zijn lijsten aangetroffen met duizenden telefoonnummers, zogeheten โ€˜leadsโ€™, die veelal worden gebruikt door (cyber)criminelen om mensen op te lichten. Op diezelfde telefoon zijn ook actieve groepschats op de applicatie Telegram gevonden, waarin werd gehandeld in merkkleding, creditcards, pinpassen en phishing-panels. Deze aangeboden goederen zijn doorgaans van misdrijf afkomstig of kunnen gebruikt worden bij het plegen van misdrijven.

De rechtbank overweegt dat de verdachte zich met anderen gedurende vier maanden schuldig gemaakt aan bankhelpdeskfraude, waarbij tientallen personen zijn gedupeerd met een totaal schadebedrag van ongeveer โ‚ฌ 300.000. De rechtbank veroordeeld de verdachte voor 54 maanden gevangenisstraf. Ook moet de verdachte onder andere een schadevergoeding betalen aan de Rabobank van โ‚ฌ 257.371,33.

Veroordeling voor ponzifraude met cryptoโ€™s

Op 20 maart 2023 veroordeelde de rechtbank Overijssel een verdachte voor een zogenoemde โ€˜ponzifraudeโ€™ (ECLI:NL:RBOVE:2023:991). In deze strafzaak staat het strafrechtelijk onderzoek โ€œGeppettoโ€ centraal. Dit onderzoek is aangevangen naar aanleiding van artikelen in landelijke kranten en, aanvankelijk, zestien aangiften van oplichting tegen verdachte en/of de eerder genoemde rechtspersonen. Kopers van miners zouden zijn opgelicht.

Door het bedrijf (โ€˜bedrijf 1โ€™) werden Bitcoinminers aangeboden. Deze miners konden worden aangekocht, waarbij aan de koper een koopovereenkomst werd toegestuurd waarin het serienummer van de aangeschafte miner stond vermeld. De koper zou volgens die koopovereenkomst te allen tijde eigenaar blijven van de miner. Daarnaast kon de koper een servicecontract voor de miner afsluiten bij het een ander bedrijf (โ€˜bedrijf 2โ€™). De aangeschafte miner zou vervolgens in een miningfarm worden geplaatst.

De opbrengst zou vervolgens per miner ongeveer 0,3 Bitcoin tot 0,4 Bitcoin per maand bedragen. De Bitcoinkoers heeft op zijn top in december 2017 een waarde van circa $ 20.000,– per Bitcoin behaald. Dit brengt met zich dat het rendement van een computer bijna $ 6.000,– per maand zou zijn geweest. Uit de aangiften volgt dat er geen of te lage rendementsuitkeringen zijn gedaan.

Uiteindelijk is er niets meer aan de eigenaren van de miners uitgekeerd. De FIOD heeft geconcludeerd dat er nooit een miningfarm met miners heeft bestaan. Voor zover er โ€˜rendementsuitkeringenโ€™ zijn gedaan, zouden deze gefinancierd zijn uit de betalingen voor de aankoop van miners door latere klanten. Daarnaast heeft verdachte zich volgens het Openbaar Ministerie schuldig gemaakt aan gewoontewitwassen.

De rechtbank overweegt dat de verdachte voornamelijk zelf, namens de betrokken rechtspersonen, een voorstelling van zaken heeft gegeven die niet in overeenstemming was met de werkelijkheid. Die rooskleurige voorstelling van zaken heeft een niet te ontkennen aantrekkingskracht gehad op aangevers. Zij zijn, op basis van die voorstelling, bewogen om in zee te gaan met [bedrijf 1] en [bedrijf 2] en dachten eigen miners te hebben aangeschaft met het geld dat zij hadden overgemaakt.

De verdachte hield – onder andere – klanten voor dat hij miners op voorraad had, maar dit was bij zijn eerste klant al niet het geval. Er kwamen daarna nog veel meer klanten die miners bestelden, maar het antwoord op de vraag hoe verdachte de vraag aan miners dan wilde gaan opvangen luidde bij de FIOD: โ€˜daar was eigenlijk geen plan voorโ€™. Hoewel verdachte aan personen vertelde dat er een miningfarm was, was dit geenszins het geval. De rechtbank stelt op basis op basis van uitgebreide overwegingen dat de verdachte mondeling en schriftelijk bedrieglijke mededelingen heeft gedaan over het investeren in miners, de hoeveelheid miners die op voorraad waren, de opbrengsten van het minen, de dienstverleningskosten, het bestaan van een miningfarm die om verzekeringstechnische redenen geheim moest blijven en het beheer van de miners door specialisten. Ook stelt de rechtbank vast dat aan meerdere personen betalingen zijn gedaan onder vermelding van โ€˜rendementโ€™, terwijl het in werkelijkheid niet om rendementen ging die afkomstig waren uit het minen van Bitcoins maar om opbrengsten uit de latere inleg door participanten die geloofden dat zij miners hadden gekocht die hen op een later moment ook rendement zouden opleveren.

De rechtbank stelt vast dat de verdachte feitelijk leiding heeft gegeven aan de door [bedrijf 1] en [bedrijf 2] gepleegde oplichting. Omdat enkel verdachte de feitelijke beschikkingsmacht had over de door deze bedrijven ontvangen geldbedragen, is de rechtbank van oordeel dat verdachte in de periode van 12 januari 2017 tot en met 21 november 2018 in Nederland een geldbedrag van in totaal โ‚ฌ 2.533.231,68 heeft verworven en voorhanden heeft gehad, terwijl dit onmiddellijk uit enig eigen misdrijf afkomstig was. Het geldbedrag betreft immers de totale opbrengst van de onder feit 1 bewezen verklaarde ponzifraude. Omdat de rechtbank niet ten aanzien van het gehele geldbedrag kan vaststellen dat sprake is geweest van verhullingshandelingen, acht de rechtbank ten aanzien van het totaalgeldbedrag van โ‚ฌ 2.533.231,68 in ieder geval eenvoudig witwassen zoals bedoeld in artikel 420bis.1 Sr wettig en overtuigend bewezen.

De rechtbank overweegt dat โ€˜hoewel van een investeerder in miners de hoogst mogelijke voorzichtigheid mag worden verlangd en mag worden verwacht dat deze weet dat het investeren in miners risicoโ€™s met zich brengtโ€™, de verdachte enkel en alleen uit eigen financieel gewin op een gewiekste en bedrieglijke wijze grof misbruik gemaakt van het vertrouwen dat het publiek heeft in het maatschappelijk en economisch verkeer. Naast de gevangenisstraf van 40 maanden moet de man ook een schadevergoeding betalen van in totaal bijna 2 miljoen euro.

Witwassen van bitcoins en Monero ter waarde van 12 miljoen euro

Op 23 maart 2023 heeft de rechtbank Rotterdam een verdachte veroordeeld voor het medeplegen van gewoontewitwassen van een geldbedrag van 354.000 euro en een zeer grote hoeveelheid cryptomunten, ter waarde van in totaal – op enig moment – โ‚ฌ 12.000.000 euro (ECLI:NL:RBROT:2023:2839). De uitspraak is met name interessant vanwege de manier waarop de verdachte wordt gedwongen zijn bitcoins en monero’s op te geven. Ook is het รฉรฉn van de weinige (gepubliceerde) vonnissen, waarbij witwassen met Monero wordt bewezen.

Voor beoordeling van het delict witwassen in de zin van artikel 420bis en 420ter Sr past de rechtbank de zogenoemde 6-stappen toets toe en overweegt als volgt.

Stap 1: Geen direct bewijs voor een gronddelict:

Met de officier van justitie en de verdediging is de rechtbank van oordeel dat er geen bewijs is voor een concreet gronddelict dat de bron vormt voor de in de tenlastelegging opgenomen vermogensbestanddelen.

Stap 2: Vermoeden van witwassen:

In het dossier bevinden zich FIU-meldingen over ongebruikelijke transacties in de vorm van girale overboekingen van in totaal โ‚ฌ 170.000,- met onbekende bron, een TCI-melding dat de verdachte in de cocaรฏnehandel zit en zorg draagt voor de logistieke ondersteuning en een โ€˜klikbriefโ€™ aan de FIOD. Deze brief bevatte een anonieme tip dat de verdachte zwart contant geld heeft dat hij omzet in bitcoins. Verder bevat het dossier informatie uit de systemen van de Belastingdienst waarin staat dat de verdachte in box 3 een vermogen aan cryptomunten heeft opgegeven van โ‚ฌ 290.000,- in 2017 en โ‚ฌ 6.620.000,- in 2018. Zijn bruto looninkomsten bedroegen volgens de aangifte over de jaren 2016 tot en met 2018 respectievelijk: โ‚ฌ 62.862, โ‚ฌ 55.067,- en โ‚ฌ 27.522,-. Bij de verdachte is een bedrag van ruim โ‚ฌ 80.000 aan contanten gevonden. Op de zeven bankrekeningen op naam van de verdachte komt ruim โ‚ฌ 800.000 afkomstig van crypto transacties binnen, terwijl dit op de twee zakelijke rekeningen ruim โ‚ฌ 45.000 euro is.

De rechtbank is van oordeel dat de grote vermogenstoename niet in relatie staat tot loon- of andere bekende inkomsten en dat hiermee sprake is van een onverklaarbaar vermogen en dat dit een vermoeden van witwassen rechtvaardigt. Dit wordt versterkt door het aangetroffen contante geld en het feit dat op de privรฉ rekeningen van de verdachte veel meer geld van cryptotransacties binnenkwam dan op zijn zakelijke rekeningen. Het omwisselen naar contant geld / omwisselen van cryptogeld kan gezien worden als het doorbreken van de papertrail. Vanwege de anonimiteit van de houder van cryptogeld is de herkomst van het geld niet te traceren. In het onderzoek is gezien dat de verdachte gebruik maakt van een grote variรซteit aan wallet-software, cryptovaluta exchanges en hardware wallets wat ook weer leidt tot het doorbreken van de papertrail.

Gelet hierop mag van de verdachte worden verlangd dat hij een concrete, min of meer verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft voor de herkomst van het vermogen en de bezittingen die op de tenlastelegging zijn opgenomen.

Stappen 3, 4 en 5: De verklaring van de verdachte en het onderzoek daarnaar:

De hiervoor genoemde looninkomsten zoals bij de Belastingdienst door de verdachte aangegeven over 2016 tot en met 2018 (en ook 2019 en 2020) zijn niet daadwerkelijk uit een dienstverband bij [bedrijf01] B.V. verkregen. De verdachte heeft hierover verklaard dat hij samen met de medeverdachte [medeverdachte01] een schijnconstructie van een fictief dienstverband heeft opgezet teneinde een hypotheek verstrekt te krijgen voor de aanschaf van een woning. Aan de verdachte werd per bank een fictief loon betaald, dat hij eerder contant aan de medeverdachte had (doen) afge(ge)ven. De verdachte heeft verklaard dat hij zelf contant geld bracht of liet brengen aan [medeverdachte01] en dat (ook) dit geld afkomstig was uit de verkoop van PGP-telefoons.

De verklaring van de verdachte dat zijn vermogen deels afkomstig is van de opbrengsten van de legale handel in PGP-telefoons en deels uit vermogen dat hij heeft vergaard door de handel in cryptomunten en de sterk toegenomen waarde daarvan, is niet op voorhand hoogst onwaarschijnlijk en licht dat nader toe.

De verdachte betwist verder dat 295 bitcoins die zichtbaar zijn in een Ledger Live wallet database die is aangetroffen op de Macbook die in beslag is genomen in de door de verdachte gehuurde woning in Spanje, van hem zijn. Hij stelt anderen op 12 december 2017 geholpen te hebben deze bitcoins via de Macbook over te maken naar een persoonlijke hardware wallet en dat de bitcoins zo in de database zijn gekomen. Deze verklaring valt niet te rijmen met de bevindingen ten aanzien van deze bitcoins. Daaruit blijkt dat de bitcoins op 12 december 2017 in de aangetroffen accounts worden gestort en er voor 13 maart 2018 geen uitgaande transacties plaatsvinden. Op 3 november 2020, de dag van de doorzoeking, bedroeg het saldo 127 bitcoins. Uit een analyse van de bitcoin transacties die vooraf zijn gegaan aan de transacties op 12 december 2017 blijkt dat een deel van de bitcoins afkomstig is van zogenaamde Darkmarkets en via adressen die aan verdachte te linken zijn uiteindelijk op 12 december 2017 in de Ledger wallet komen. Ook ten aanzien van deze bitcoins heeft verdachte geen legale bron aannemelijk gemaakt.

Stap 6: Conclusie:

De resultaten van het door het OM verrichte nadere onderzoek zijn van dien aard dat mede op basis daarvan geen andere conclusie mogelijk is dan dat de ten laste gelegde voorwerpen onmiddellijk of middellijk uit enig misdrijf afkomstig zijn.

Straf

De verdachte wordt veroordeeld tot een gevangenisstraf van 40 maanden en gaat over tot verbeurdverklaring van diverse cryptomunten ter waarde van 750.000 euro. Met betrekking tot de vordering van de officier van justitie voor de uitlevering en verbeurdverklaring van de bitcoins en moneroโ€™s overweegt de rechtbank het volgende.

Tijdens de doorzoeking in de woning van verdachte in Spanje op 3 november 2020 is een zwarte laptop (Macbook) in beslag genomen. Deze laptop werd door de verdachte gebruikt en behoort hem toe. Op de deze laptop werd een Ledger Live wallet/database aangetroffen met ingaande en uitgaande transacties. Op 12 december 2017 werden 295 bitcoins op de wallet ontvangen. Het saldo van de wallet bedroeg 127 bitcoins op 3 november 2020, de dag van de doorzoeking. Deze 127 bitcoins zijn via meerdere transacties overgemaakt in de periode van 1 februari 2021 tot en met 3 juli 2021.

Op de laptop was ook een recovery code aanwezig van een zogeheten โ€˜Monero Freewalletโ€™. Op 15 januari 2021 was een positief saldo op de wallet aanwezig was van totaal 546 monero met een waarde van ongeveer $90.000,-. De verdachte kon op de dag van de doorzoeking over deze cryptocurrency beschikken zodat deze hem in strafrechtelijke zin toebehoren. Deze 127 bitcoins en 546 monero zullen worden verbeurd verklaard, nu ook dit voorwerpen zijn waarmee het strafbare feit onder 1 is begaan.

De verdachte wordt de keuze gelaten om het OM binnen 2 weken na het onherroepelijk worden van dit vonnis de volledige beschikkingsmacht over de bitcoins en monero te verschaffen, dan wel binnen 2 weken na het onherroepelijk worden van dit vonnis de geschatte waarde te betalen. De rechtbank stelt de waarde van de 127 bitcoins en 546 monero vast tegen de koerswaarde daarvan op de datum van de uitspraak, subsidiair te vervangen door 12 maanden vervangende hechtenis bij niet voldoen hieraan.

Modernisering strafvordering en digitale opsporing

jjoerlemans Een reactie plaatsen

Het wetsvoorstel voor een nieuw Wetboek van Strafvordering (.pdf) is op 20 maart 2023 naar de Tweede Kamer gestuurd. Dit wetsvoorstel moderniseert het strafprocesrecht door middel van de vaststelling van een nieuw Wetboek van Strafvordering. Het Wetboek van Strafvordering bevat regels voor de opsporing, vervolging en berechting van strafbare feiten. Door veroudering van het huidige Wetboek en door verschillende ontwikkelingen in de samenleving is een modernisering van het Wetboek nodig. Het voorstel regelt een grondige herstructurering van het Wetboek waardoor wordt bijgedragen aan de rechtszekerheid en de bruikbaarheid van het Wetboek in de praktijk. 

De memorie van toelichting telt welgeteld 1420 paginaโ€™s en vergt nadere bestudering, dus in deze blogpost signaleer ik alleen enkele belangrijke bepalingen betrekking tot digitale opsporing. Enkele aanbevelingen, zoals het aanpassen van de netwerkzoeking, de kennisneming van binnengekomen berichten na inbeslagneming van een geautomatiseerd werk en de biometrische ontsleuteling, zijn reeds geรฏmplementeerd na de Innovatiewet Strafvordering (Stb. 2022, 276). De bepalingen worden vernummerd in het conceptwetsvoorstel (in respectievelijk artt. 2.7.40, 2.7.39 en 2.7.43).

Het wetsvoorstel bevat ten aanzien van digitale opsporing de volgende voorstellen:

  • De introductie van een titel voor โ€˜onderzoek van gegevensโ€™ (Titel 7.3). Nieuw is onder andere de regeling voor onderzoek aan digitale-gegevensdragers en geautomatiseerde werken (artikel 2.7.38) (dit artikel betreft een codificatie van het Smartphone-arrest (ECLI:NL:HR:2017:584)).
  • Met betrekking tot het verstrekken van gegevens door derden wordt in Afdeling 7.3.3, net als in de huidige wet, onderscheid gemaakt naar de aard van de gegevens (identificerende gegevens, gevoelige gegevens en andere gegevens). Nieuw in deze afdeling zijn: de mogelijkheid tot het stellen van voorvragen (artikel 2.7.46, vijfde lid), het generiek bevel tot verstrekking van gegevens voor de periode van twee weken (artikel 2.7.46, zesde lid), het โ€˜bevel op naamโ€™ (artikel 2.7.47, vijfde lid en 2.7.49, vijfde lid), de mogelijkheid te bevelen dat een derde een data-analyse uitvoert (artikel 2.7.50) en een bepaling over de vrijwillige verstrekking van gegevens (artikel 2.7.54).
  • In Hoofdstuk 8 van Boek 2 staan nieuwe bevoegdheden die betrekking hebben op gegevensvergaring door het stelselmatig overnemen van persoonsgegevens uit publiek toegankelijke bronnen (artikel 2.8.8) (met een bevel van de officier van justitie), een meer indringende vorm van stelselmatige inwinning van informatie (artikel 2.8.11, tweede lid) (met het een machtiging van een rechter-commissaris), infiltratie op een persoon (artikel 2.8.12) (met een machtiging van een rechter-commissaris) en stelselmatige locatiebepaling (artikel 2.8.18) (met een bevel van de officier van justitie). Voor het vastleggen van vertrouwelijke communicatie is in artikel 2.8.15 is een regeling opgenomen voor het betreden van een besloten plaats of woning ter voorbereiding van het daadwerkelijke vastleggen van de communicatie (leden 5 tot en met 7).
  • Hoofdstuk 9 van Boek 2 regelt het verkennend onderzoek. Nieuw is daarin de bevoegdheid om stelselmatig persoonsgegevens uit publiek toegankelijke bronnen over te nemen (artikel 2.9.1) (met een bevel van de officier van justitie).

Ten slotte is het van belang te noemen dat aanvankelijk het voornemen bestond om een nieuwe gegevensverwerkingswet op het terrein van politie en justitie tot stand te brengen ter vervanging van de Wet politiegegevens en de Wet justitiรซle en strafvorderlijke gegevens. Inmiddels duidelijk geworden dat deze nieuwe gegevensverwerkingswet er niet komt, omdat voor de realisatie en implementatie daarvan geen financiรซle middelen beschikbaar zijn (Kamerstukken II 2021/22, 32761, nr. 218). Dat is pijnlijk, aangezien het ontbreken van een koppeling tussen de gegevensverwerkingsbepalingen en de bepalingen over de verzameling van gegevens juist als een breed gedragen probleem wordt gezien. Zie daarover bijvoorbeeld mijn recente artikel met Marianne Hirsch Ballin.

Europol waarschuwt over het gevaar van ChatGPT en Large Language Models

jjoerlemans

Op 27 maart 2023 heeft Europol het rapport โ€˜ChatGPT. The impact of Large Language Model on Law Enforcementโ€™ gepubliceerd.

ChatGPT (versie GPT-3.5) kan tekst verwerken en genereren in antwoord op opdrachten (โ€˜promptsโ€™) van gebruikers. Het kan vragen beantwoorden over uiteenlopende onderwerpen, tekst vertalen, conversaties aangaan en tekst samenvatten om de belangrijkste punten aan te geven. Het kan daarnaast sentimentanalyse uitvoeren, tekst genereren op basis van een gegeven opdracht (bijvoorbeeld een verhaal of gedicht schrijven), en code uitleggen, produceren en verbeteren in enkele van de meest gangbare programmeertalen (Python, Java, C++, JavaScript, PHP, Ruby, HTML, CSS, SQL). In essentie is ChatGPT dus erg goed in het begrijpen van menselijke input, rekening houdend met de context, en het produceren van bruikbare antwoorden. In maart 2023 lanceerde het bedrijf OpenAI overigens voor abonnees van ChatGPT Plus zijn nieuwste model, GPT-4. Volgens OpenAI is GPT-4 in staat om meer geavanceerde problemen nauwkeuriger op te lossen en kan het beelden als input verwerken, classificeren en analyseren.

De beveiligingsmechanismen van ChatGPT om kwaadwillend gebruik van het model te beperken kunnen relatief eenvoudig worden omzeild. Volgens Europol kan ChatGPT worden gebruikt om verschillende soorten misdrijven beter uit te voeren. Als een potentiรซle crimineel niets weet over een bepaald misdaadgebied, kan ChatGPT het onderzoeksproces aanzienlijk versnellen door het aanbieden van belangrijke informatie die dan in volgende stappen verder kunnen worden onderzocht. Als zodanig kan ChatGPT worden gebruikt om te leren over een groot aantal potentiรซle misdaadgebieden zonder voorkennis. Het biedt nieuwe mogelijkheden, met name voor misdrijven door middel van โ€˜social engineeringโ€™, phishing en online fraude, maar ook voor het genereren van propaganda, desinformatie en nepnieuws.   

Waarbij vroeger bijvoorbeeld een eenvoudige phishing-zwendel gemakkelijker was op te sporen vanwege duidelijke grammaticale en spelfouten, is het nu mogelijk om zich op een zeer realistische manier voor te doen als een organisatie of individu, zelfs met slechts een basiskennis van de Engelse taal. Ook kan de stijl van berichten worden aangepast. Het vermogen van ChatGPT om natuurlijke taal te transformeren in werkende code werd snel uitgebuit door kwaadwillenden door code voor malware te produceren. Dit maakt ChatGPT volgens Europol tot een instrument voor cybercriminelen.

In de toekomst kan de universele beschikbaarheid van grote taalmodellen nog meer uitdagingen met zich meebrengen. Europol wijst op de integratie van andere AI-diensten (zoals voor het genereren van synthetische media). Een voorbeeld zijn multimodale AI-systemen, die conversationele chatbots combineren met systemen die synthetische media kunnen produceren, zoals zeer overtuigende deepfakes, of systemen die zintuiglijke vermogens zoals zien en horen omvatten. De Europese politiedienst wijst ook op de opkomst van “dark LLM’s”, die op het dark web kunnen worden gehost om een chatbot te leveren zonder enige beveiliging, alsmede LLM’s die worden getraind op bepaalde – wellicht bijzonder schadelijke – gegevens. Opsporingsinstanties zullen zich hierop moeten voorbereiden, onder andere door bewustwording en het ontwikkelen van vaardigheden om zelf deze technologie voor de eigen taakuitvoering te gebruiken.  

Rapport over de rol van encryptie in de opsporing

jjoerlemans

In opdracht van het WODC heeft de NHL Stenden Hogeschool in samenwerking met de Open Universiteit en de Politieacademie op 11 april 2023 een rapport gepubliceerd over de rol van encryptie in de opsporing. Dit blogbericht is gebaseerd op het persbericht en samenvatting van het rapport.

De onderzoekers stellen dat encryptie in opsporingsonderzoeken gemeengoed geworden. Dat is voor een belangrijk deel te wijten aan mobiele telefoons die in beslag worden genomen in opsporingsonderzoeken. Op die telefoons zit vrijwel altijd een vorm van encryptie. Andere vormen van encryptie waarmee de opsporing zich geconfronteerd ziet, zijn versleutelde chatdiensten, vergrendelde devices anders dan mobiele telefoons (bijvoorbeeld laptops), versleutelde e-maildiensten en cryptotelefoons. Bij sommige typen criminaliteit komt encryptie vaker voor dan bij andere. Encryptie komt het meest voor bij georganiseerde (drugs)criminaliteit, cybercrime en kinderporno.

Om toegang te krijgen tot versleutelde informatie, heeft de opsporing ruwweg twee mogelijkheden: 1. encryptie omzeilen en 2. encryptie kraken. Beide kunnen veel capaciteit vergen, maar dat is niet altijd het geval. Het stellig kwantificeren van โ€˜de benodigde tijdโ€™ was binnen de grenzen van het onderzoek niet haalbaar. Omzeilen kan door het vinden van de sleutel, het raden van de sleutel, het afdwingen van de sleutel, het exploiteren van een lek in de encryptiesoftware, het verkrijgen van toegang tot leesbare tekst als het apparaat in gebruik is en door het lokaliseren van een kopie van de leesbare tekst. Voor het technisch kraken โ€“ ofwel toegang krijgen tot een computersysteem met behulp van forensische hulpmiddelen โ€“ is adequate soft- en hardware nodig. Het kraken wordt volgens respondenten veelal uitbesteed aan een andere partij of afdeling, zoals het NFI. In geval van een internationale samenwerking kan Europol een rol vervullen. In hoeverre het kraken lukt, hangt af van het toegepaste cryptografische algoritme en de sleutellengte. Daarbij geldt in algemene zin: hoe langer de sleutel hoe lastiger te kraken.

Omtrent het inzetten van opsporingsbevoegdheden bepaalt het OM bijvoorbeeld of capaciteit en tijd van de Nationale Politie of het NFI wordt ingezet om versleutelde data te kraken. De opsporing beschikt verder over het decryptiebevel (art. 126nh lid 1 Sv) en de hackbevoegdheid (artt. 126nba, 126uba en 126zpa Sv). Hiervan wordt weinig gebruik gemaakt, omdat deze bevoegdheden alleen onder strikte voorwaarden mogen worden ingezet. Daarnaast is de opsporing bij rechtshulpverzoeken afhankelijk van onder andere wet- en regelgeving of opgevraagde data (tijdig) geleverd worden en of ze bruikbaar zijn voor het opsporingsonderzoek. Toch betekent het niet kunnen omzeilen of kraken van encryptie niet het einde van een opsporingsonderzoek. Soms werken de verdachten mee door data te ontsleutelen en de politie kan voor het bewijs ook andere wegen bewandelen. Denk daarbij aan metadata, bijvoorbeeld via telefoons die op een bepaald tijdstip in de buurt van een bepaalde telefoonpaal zijn.

Wanneer het lukt om encryptie te kraken, kan dit het opsporingsonderzoek vaak juist versnellen. De waarde van ontsleutelde data wordt bovendien gezien als zuiverder dan bijvoorbeeld (getuigen)verklaringen. Tevens is het beeld over criminele samenwerkingsverbanden vollediger is geworden na decryptie van communicatie van cryptotelefoniediensten, in plaats van globaal en fragmentarisch in de situatie voor en/of zonder encryptie. Bovendien, op het moment dat achter de encryptie gekomen kan worden (de fase van decryptie), ligt er potentieel een schat aan data waarmee de opsporing haar voordeel kan doen.

Het is niet vast te stellen hoeveel zaken er niet worden opgelost of hoeveel tijd verloren gaat door encryptie. Ook kon niet worden vastgesteld hoeveel zaken er extra worden opgelost of hoeveel tijd er wordt gewonnen dankzij gekraakte encryptie. De opsporing is daarvoor een te complex geheel van feiten, toevalligheden en omstandigheden. De onderzoekers stellen wel de vraag wat encryptie รฉcht anders maakt voor het opsporingswerk. Het beschermen en verkrijgen van informatie is altijd al onderdeel van het zogenoemde kat-en-muisspel tussen politie en criminelen. Uiteindelijk, zo stellen de onderzoekers, vraagt digitalisering van politie en haar partners meebewegen en aanpassen aan wat er op hen af komt.

Cybercrime jurisprudentieoverzicht maart 2023

jjoerlemans Een reactie plaatsen

Bewijsoverweging na inzet van de hackbevoegdheid

Op 22 februari 2023 heeft de rechtbank Den Haag een interessante uitspraak (ECLI:NL:RBDHA:2023:1960) gewezen in een drugshandelzaak. Het verweer over de hackbevoegdheid en de wijze waarop bewijs wordt verzameld n.a.v. de SkyECC operatie zijn hierbij met name relevant.

De verdediging stelt โ€“ naar mijn weten voor de eerste keer in strafzaken โ€“ het gebruik van de onderzoeksresultaten van een hack voor het bewijs ter discussie. De raadsman heeft betoogd dat het bewijs dat is verkregen door middel van de hackbevoegdheid in artikel 126nba Sv niet mag worden gebruikt voor het bewijs. De raadsman heeft daartoe aangevoerd dat uit het dossier niet blijkt dat bij het Openbaar Ministerie de juiste procedure is doorlopen en dat toestemming is verzocht aan het College van procureurs-generaal voordat de machtiging is gevorderd bij de rechter-commissaris.

De rechtbank overweegt dat โ€˜de te volgen procedure voorafgaand aan de in de wet geregelde vordering tot een machtiging ex artikel 126nba Sv is niet aan rechterlijke toetsing onderworpen. Het gaat om een interne werkafspraak en een interne belangenafweging bij het Openbaar Ministerie. De regels die het Openbaar Ministerie daarbij volgt, zijn geen recht in de zin van de wet op de rechterlijke organisatie, en de daarop betrekking hebbende stukken maken overigens ook geen onderdeel uit van het strafdossier. De verdachte kan aan die stukken ook geen rechten ontlenen. Niet is gebleken dat sprake is van enig vormverzuim in het voorbereidend onderzoek als bedoeld in artikel 359a Svโ€™. De rechtbank verwerpt om bovenstaande reden het verweer.

Daarnaast is in de uitspraak te lezen hoe bewijs uit de SkyECC-operatie wordt gebruikt In een strafrechtelijk onderzoek. In een onderzoek dat zich richt de criminele samenwerkingsverbanden van de anonieme gebruikers van SkyECC-telefoons is door de door de rechter-commissaris op 15 december 2020 bepaald dat de in dat onderzoek beschikbare ontsleutelde informatie slechts mag worden gebruikt ter opsporing indien daartoe een aanvullende toestemming is verleend. Op voorhand is door de rechter-commissaris toestemming verleend om voor een gelimiteerd aantal categorieรซn misdrijven en met gebruik van een lijst met zoekwoorden onderzoek te doen aan de binnen het onderzoek beschikbare ontsleutelde informatie. De chatgesprekken die naar aanleiding van deze zoekslag uit de ontsleutelde informatie naar voren komen mochten, na voornoemde aanvullende toestemming van de rechter-commissaris, ter opsporing nader worden onderzocht.

De chats tussen de gebruikers van cryptocommunicatie-aanbieder zijn geautomatiseerd geanalyseerd en geclassificeerd. Die analyse heeft in de categorie โ€œcocaรฏneโ€ hits opgeleverd op onder de woorden: โ€˜cocaรฏneโ€™, โ€˜havenโ€™, een plaatsnaam, โ€˜aircoโ€™, een locatie, โ€˜uithaalโ€™, en โ€˜oogโ€™. Op basis van deze hits zijn berichten naar voren gekomen van enkele gebruikers van SkyECC-telefoons. Na goedkeuring van de officieren van justitie van het onderzoek naar de criminele samenwerkingsverbanden van de anonieme gebruikers van SkyECC-telefoon is de bovenstaande informatie op 20 juli 2022 ter beschikking gesteld aan het onderzoek naar de verdachte in het onderhavige onderzoek. In het dossier bevindt zich daarnaast ook een toestemmingsbrief van de officier van justitie waaruit blijkt dat op 5 augustus 2022 toestemming is verleend de gegevens te gebruiken in het strafrechtelijk onderzoek naar de verdachte.

Uit de inhoud van de chatberichten komen gegevens naar voren die herleidbaar zijn tot de verdachte. In de uitspraak is ook te lezen hoe uit de โ€˜historische verkeersgegevensโ€™ het adres van de moeder van de verdachte 26x keer voorkwam. De rechtbank overweegt het bewijs wordt gevormd door vele chatberichten, die op verschillende data en tijden door de verdachte zijn verstuurd en waaraan betekenis toekomt als ze met elkaar in verband worden gebracht. Daarnaast omvat het bewijs processen-verbaal met bevindingen over de (familie van) de verdachte, op basis waarvan de verdachte geรฏdentificeerd kon worden als de gebruiker van een SkyECC-telefoon. De door de verdediging aangevoerde stelling dat het bewijsminimum niet wordt gehaald, gaat volgens de rechtbank dus niet op.

De verdachte heeft zich, al dan niet in vereniging, schuldig gemaakt aan een woninginbraak, fraude met coronavaccinatiebewijzen, wapenbezit en voorbereidingshandelingen voor de handel, invoer, uitvoer en bereiding van harddrugs. Uit het onderzoek van de politie is gebleken dat de verdachte zich onder meer heeft bezig gehouden met het opzetten van een drugslijn tussen Colombia en Nederland. De QR fraude is voor de verdachte een zeer lucratief feit geweest, waaraan blijkens de WhatsApp-gesprekken slechts een einde lijkt te zijn gekomen doordat zijn โ€“ overigens in dit onderzoek onbekend gebleven โ€“ compagnon tegen de lamp is gelopen. De rechtbank legt de verdacht een onvoorwaardelijke gevangenisstraf van vijf jaar op.

โ€˜Zeer ingrijpende inbreukโ€™ bij onderzoek aan smartphone

Op 18 november 2022 heeft de rechtbank Rotterdam een interessante uitspraak (ECLI:NL:RBROT:2022:10279) gedaan met betrekking tot onderzoek op een smartphone. In deze zaak over roekeloos rijden en rijden onder invloed waarbij een andere bestuurder zwaar lichamelijk letsel heeft opgelopen, had de officier van justitie toestemming gegeven om een beperkt onderzoek te verrichten aan de smartphone van de verdachte en de opdracht ook duidelijk gespecificeerd.

Gelet op de toelichting van de verdediging op zitting is echter om onduidelijke redenen door de politie van de opdracht van de officier van justitie afgeweken. Dit alles heeft er in geresulteerd dat door het volledig kopiรซren van de telefoon en die bestanden vast te leggen op een tweetal gegevensdragers een min of meer compleet beeld kan zijn verkregen van bepaalde aspecten van het persoonlijk leven van de verdachte. Hierbij is ook tenminste een aantal berichten van de verdachte aan of van een advocaat toegankelijk geworden voor derden. De rechtbank acht dit een onjuiste en zeer ongewenste gang van zaken.

Gelet op de grote ernst van het verzuim en het nadeel voor het privรฉleven van de verdachte dat door het verzuim is veroorzaakt, kan het echter niet bij een enkele constatering blijven. Gelet op de aard en inhoud van het eerder in dit vonnis vastgestelde vormverzuim in de zin van artikel 359a van het Wetboek van Strafvordering zal de straf worden verminderd met drie maanden gevangenisstraf. Aan de verdachte zal een gevangenisstraf worden opgelegd van 15 maanden, waarvan 5 maanden voorwaardelijk.

Rol voor digitaal bewijs bij aanslagen op Poolse supermarkten

In een zaak (ECLI:NL:RBNHO:2023:1518) van de rechtbank Noord-Holland op 24 februari 2023 speelde digitaal bewijs een bijzondere rol. Het ging in deze zaak om aanslagen op Poolse supermarkten. Uit de aangehaalde processtukken blijkt dat er contact was tussen de verdachte en een persoon bekend met het initiaal โ€œW.โ€ kort voor, rondom en kort na de aanslagen. Het bleek namelijk dat de telefoon van W. via het IP-adres van de woning van de verdachte op drie tijdstippen contact maakte, te weten op 8 december 2020 om 00:53, uur en op 9 december 2020 om 01:07 en 02:47 uur.

De explosie in Heeswijk-Dinther vond rond 04:05 uur plaats. Enkele minuten daarna wisselen de verdachte en medeverdachte N. enkele chatberichten uit, waarna de verdachte hem om 04:14 uur belt. Uit de chats die voor het bewijs worden gebruikt blijkt onder meer dat zij afspreken dat medeverdachte N. naar de verdachte komt. De rechtbank concludeert dat โ€˜uitgesloten dient te worden geacht, mede gezien het tijdstip, dat dit contact geen direct verband houdt met de ontploffingโ€™. Van belang is ook dat in de communicatie tussen de verdachte en medeverdachte N.  op 8 december 2020 overdag gesproken wordt over de โ€œbig bossโ€ in relatie tot de klus die medeverdachte N] voor de verdachte heeft gedaan.

Kortom, opgevraagde verkeersgegevens van de telefoon van de verdachte, onderzoek aan de telefoons van de verdachte en gegevens over de auto van de verdachte (mogelijk ANPR-gegevens?) spelen in samenspel een belangrijke bewijsrol in de zaak. De rechtbank overweegt dat, uitgaand van het patroon dat daarbij naar boven komt, dat de verdachte telkens in meer of mindere mate, sturende informatie heeft gegeven, bij zijn woning de uitvoerders heeft laten instappen, materialen heeft doen inladen of heeft ingeladen en zich met betalingen bezighield.

De verdachte wordt daarop veroordeeld voor acht jaar gevangenisstraf, onder andere vanwege het โ€˜medeplegen van opzettelijk een ontploffing teweegbrengen, terwijl daarvan gemeen gevaar voor goederen en levensgevaar voor een ander te duchten isโ€™.

Veroordeling voor witwassen en computervredebreuk

Op 24 februari 2023 veroordeelde de rechtbank Amsterdam een verdachte voor witwassen en computervredebreuk (ECLI:NL:RBAMS:2023:989). De bewijsoverwegingen zijn in deze zaak interessant.

De rechtbank vindt bewezen dat de verdachte opzettelijk wederrechtelijk de servers van ABN AMRO, Volksbank, ING en Rabobank is binnengedrongen. De rechtbank stelt op grond van de bewijsmiddelen het volgende vast. De banken hebben aangifte gedaan, omdat meerdere van hun klanten zeggen het slachtoffer te zijn geworden van fraude. Daarbij zouden de fraudeurs hun inloggegevens hebben bemachtigd en daadwerkelijk hebben ingelogd op de bankomgevingen van de klanten. Uit onderzoek van de banken blijkt dat de bankomgevingen van de klanten zonder toestemming benaderd zijn vanaf een specifiek IP-adres. De verdachte heeft 314 keer op zijn eigen bankomgeving bij ABN AMRO ingelogd vanaf dit IP-adres. Verdachte woonde bij zijn moeder en zij maakte voor haar eigen ING-bankrekening ook veelvuldig gebruik van dit IP-adres. De rechtbank leidt daaruit af dat in de bewezenverklaarde periode de internetaansluiting in de woning van verdachte aan dit IP-adres kan worden gekoppeld. Dat vanaf dit IP-adres waarvan verdachte vanuit zijn woning vaak gebruik maakte, is ingelogd op de bankomgevingen van slachtoffers, schreeuwt om een verklaring van verdachte, die hij niet heeft gegeven. Op basis van deze omstandigheden stelt de rechtbank vast dat het verdachte is geweest die vanaf genoemd IP-adres heeft ingelogd op de bankomgevingen van de klanten.

De rechtbank overweegt dat het bij witwassen gaat om uit misdrijf verkregen geld of spullen. De rechtbank kan op basis van het dossier geen concreet misdrijf vaststellen waarmee verdachte het geld heeft verdiend of waardoor hij de spullen heeft verkregen. Ook als een concreet misdrijf niet kan worden vastgesteld kan witwassen onder omstandigheden worden bewezen. Er moet dan op basis van de feiten en omstandigheden sprake zijn van een ernstig vermoeden dat het geld en de spullen van misdrijf afkomstig zijn. Als dat vermoeden er is, dan mag van verdachte worden verwacht dat hij een verklaring geeft over de herkomst ervan. De verdachte heeft geen verklaring willen afleggen over het geld. Op de zitting heeft hij verklaard dat hij de luxe kleding en tassen van vrienden had geleend. Die verklaring vindt de rechtbank onvoldoende concreet en verifieerbaar. De rechtbank komt dus tot de conclusie dat het niet anders kan zijn dan dat het geld en de luxe goederen van misdrijf afkomstig zijn en dat verdachte dit ook wist. Omdat het om veel transacties gaat gedurende anderhalf jaar vindt de rechtbank dat verdachte hiervan een gewoonte heeft gemaakt. De rechtbank vindt niet bewezen dat de verdachte dit samen met een ander of anderen heeft gedaan. De rechtbank spreekt verdachte daarom vrij van medeplegen.

De rechtbank kan op basis van het dossier bovendien niet vaststellen dat de verdachte de slachtoffers op de tenlastelegging heeft opgelicht of dat hij phishingpanels voorhanden heeft gehad. Weliswaar heeft hij van een slachtoffer geld op zijn rekening ontvangen, maar niet duidelijk wordt wie de oplichtingshandelingen heeft verricht. Ook van de andere slachtoffers ontbreekt bewijs om verdachte als (een van) de oplichter(s) aan te merken. Dat het IP-adres van verdachte betrokken is geweest bij het inloggen op de bankrekeningen is onvoldoende om te kunnen bewijzen dat verdachte bij de oplichtingen zelf betrokken is geweest. Hetzelfde geldt voor het voorhanden hebben van de phishingpanels, een van de oplichtingsmiddelen waar aangevers melding van maken. Anders dan de officier van justitie vindt de rechtbank dat uit het dossier onvoldoende blijkt dat de frauduleuze betaallinks vanaf het IP-adres van verdachte zijn verzonden. Ook uit zijn telefoon blijkt niet dat hij phishingpanels voorhanden heeft gehad.

Ten slotte is nog opvallend dat de reclassering adviseert dat de verdachte meewerkt aan gedragsinterventie Hack_Right, maar de officier van justitie en de rechtbank deze interventie niet geschikt vinden. De rechtbank overweegt dat de verdachte onvoldoende intrinsiek gemotiveerd lijkt om hieraan mee te werken. De rechtbank legt de verdachte een voorwaardelijke gevangenisstraf op en een taakstraf op van 120 uur. Ook moet de verdachte een schadevergoeding betalen aan de betrokken banken.

Veroordeling voor opruiing tot een terroristisch misdrijf en bedreiging van de minister-president

Op 30 december 2022 veroordeelt (ECLI:NL:RBDHA:2022:14261) de rechtbank Den Haag een verdachte voor opruiing tot een terroristisch misdrijf en bedreiging van de minister-president door middel van het plaatsen van berichten op een openbaar Telegram-kanaal.

De raadsman heeft ter zitting bepleit dat de benadering van de verdachte door de undercoveragenten zonder wettelijke basis is geschied, nu artikel 3 van de Politiewet hiertoe niet toereikend was omdat de politie zijn cliรซnt reeds als verdachte had aangemerkt. Daarnaast stelt de raadsman dat de complete telefoon van de verdachte niet had mogen worden uitgelezen zonder een daartoe strekkende machtiging van de rechter-commissaris. De raadsman stelt dat in beide gevallen sprake is van een onherstelbaar vormverzuim dat tot bewijsuitsluiting dient te leiden.

De rechtbank verwerpt dit het verweer. Uit het dossier blijkt dat de verdachte pas na de tweede ontmoeting met de agenten, op 12 juli 2021, als verdachte is aangemerkt. Voor deze datum waren alleen de twee IP-adressen waaronder de berichten op Telegram waren geplaatst, bekend. Deze IP-adressen waren nog niet aan de verdachte gekoppeld. Om te achterhalen wie achter deze IP-adressen zat en om een inschatting te kunnen maken over de ernst van de uitlatingen, heeft de politie op grond van artikel 3 van de Politiewet nader onderzoek gedaan. De rechtbank is van oordeel dat dit artikel in de gegeven omstandigheden voldoende grondslag biedt voor dit onderzoek. Er is daarom geen sprake van een vormverzuim volgens de rechtbank.

Daarnaast zijn zijn de overwegingen van de rechtbank of in dit geval sprake is van opruiing zijn helder en interessant om te lezen. Het ging in deze zaak om berichten zoals: โ€œRegel eerst strijders. En niet zomaar strijders, serieuze mensen die wat willen doen. Die het zat zijn, en schijt hebben. En hun vrijheid eisen. Ik zoek geen demonstranten. Ik zoek revolutionairen. Shooters/hitters/gewapend/geweld. Alles toegestaan.โ€ En: โ€œZou je het in je hebben om ze allemaal te shooten? Gwn vanuit een auto. Raam open. Gun naar buiten. En knallen maar.โ€  

In artikel 131 van het Wetboek van Strafrecht (Sr) is opruiing strafbaar gesteld. Allereerst is vereist dat de uitlating in het openbaar is gedaan. Dat wil zeggen dat het uiten van opruiende woorden onder zodanige omstandigheden en op zodanige wijze moet plaatsvinden dat deze door het publiek gehoord, gelezen, of gezien konden worden. Door het plaatsen van zijn uitlatingen in de Telegram-groepen worden deze in de openbaarheid gebracht. De groepen waren immers openbaar en voor een ieder toegankelijk. Uit het dossier blijkt ook dat de verdachte op zoek was naar mensen om de groep uit te breiden. Het verweer van de raadsman dat de verdachte ervan uitging dat zijn uitlatingen slechts door een beperkt aantal gelijkgestemden zou worden gelezen, snijdt dan ook geen hout. De uitlating moet daarnaast mondeling of bij geschrift of afbeelding zijn gedaan. Daaronder zijn inbegrepen tekstberichten op internet en social media. Ook aan dit vereiste is voldaan. Daarnaast moet met de uitlatingen zijn aangezet tot iets ongeoorloofds. Dit ongeoorloofde moet een naar Nederlands recht strafbaar feit zijn. Uit feiten en omstandigheden moet kunnen worden afgeleid dat voldoende duidelijk is dat indien datgene waartoe wordt opgeroepen daadwerkelijk wordt uitgevoerd, dit een strafbaar feit zou opleveren.

De rechtbank stelt voorop dat uitlatingen die worden geplaatst in een openbare groep op Telegram, in principe door iedereen kunnen worden gelezen. Hoe groter het bereik van een uitlating, hoe groter de kans dat iemand door het lezen ervan daadwerkelijk overgaat tot het handelen waartoe wordt opgeroepen. De raadsman heeft bepleit dat het nooit de bedoeling van de verdachte is geweest om met zijn uitpersonen op te ruien. Hij wilde voornamelijk aandacht. De door de verdachte gebruikte woorden in de berichten en de context waarin deze uitlatingen zijn gedaan, kunnen echter zonder meer worden opgevat als een aanmoediging om een misdrijf te plegen. Het gaat om uitlatingen als โ€˜de oude wereld vernietigenโ€™, โ€˜shootenโ€™, โ€˜het parlement bestormen en met dodelijk geweld die zooi opruimenโ€™ en โ€˜shooters/hitters/gewapend/geweld. Alles toegestaanโ€™. Deze termen zijn naar het oordeel van de rechtbank voldoende feitelijk voor wat betreft het aanzetten tot strafbare feiten. Op grond van het voorgaande concludeert de rechtbank dat de berichten opruiend zijn.

Overigens komt het Hof Arnhem-Leeuwarden in een ander arrest (ECLI:NL:GHARL:2023:528) van 20 januari 2023 over opruiing in een Whatsapp-groep tot een andere conclusie, omdat niet was voldaan aan het bovengenoemde openbaarheidsvereiste. In deze zaak werd in een Whatsapp-groep met 14 actieve gebruikers berichten verzonden waarin werd aangespoord om te gaan rellen en het gebruik van geweld daarbij niet te schuwen. Het hof stelt voorop dat berichten en gesprekken in Whatsapp end-to-end versleuteld zijn. Zonder toevoeging van telefoonnummers door de beheerder(s) van de groep kan niemand buiten een groep de berichten lezen of beluisteren. Het hof overweegt daarbij ook dat eerder verzonden berichten niet te lezen zijn voor personen die later aan de Whatsapp-groep zijn toegevoegd. Uit het dossier blijkt dat er op enig moment veertien actieve deelnemers aanwezig waren in de Whatsapp-groep. Naar het oordeel van het hof is dit enkele feit onvoldoende om te kunnen spreken van openbaarheid, waarmee niet is voldaan aan de delictsomschrijving van art. 131 Sr. In deze zaak verklaart het Hof niet bewezen dat de verdachte het tenlastegelegde heeft begaan en spreekt de verdachte daarvan vrij.

Terug naar de onderhavige uitspraak van de rechtbank Den Haag overweegt de rechtbank dat als laatste de vraag moet worden beantwoord of sprake is van opzet. Opzet ligt besloten in de delicthandeling โ€˜opruiingโ€™. Ook degene die met zijn uitlating willens en wetens de aanmerkelijke kans heeft aanvaard dat zijn uitlating derden zou kunnen bewegen tot het plegen van een strafbaar feit, handelt opzettelijk (in de vorm van voorwaardelijk opzet). Van belang is ook of degene die de uitlatingen doet, de bedoeling heeft om ze โ€˜in het openbaarโ€™ te brengen.

De rechtbank is van oordeel dat het opzet van de verdachte voldoende blijkt uit de uitlatingen en de context waarin hij deze heeft gedaan. De door de verdachte gebruikte termen laten weinig aan de verbeelding over. Dat verdachte zwakbegaafd en gemakkelijk beรฏnvloedbaar is, doet aan het opzet niet af. Door de uitlatingen in een openbare groep op Telegram te plaatsen, heeft de verdachte de kans dat iemand zijn uitlatingen zou opvatten als een aanmoediging tot het plegen van een strafbaar feit bewust aanvaard. Ook verdachte zelf kan zich voorstellen โ€“ zoals hij ter terechtzitting heeft verklaard โ€“ dat mensen misschien dachten dat hij serieus was. Tot slot overweegt de rechtbank dat het niet ging om รฉรฉn op zichzelf staande uitspraak, maar meerdere uitlatingen van verdachte gedurende een langere periode waarin hij in zijn uitlatingen en plannen steeds serieuzer werd.

Tot slot is de rechtbank van oordeel dat ook het terroristisch oogmerk bij de opruiing door de verdachte kan worden bewezen. Dit blijkt simpelweg uit de termen die de verdachte heeft gebruikt. Met oproepen tot het vernietigen van de oude wereld, een revolutie en het bestormen van het parlement, riep de verdachte op tot geweld tegen dan wel ontwrichting van de fundamentele politieke structuren van Nederland.

De verdachte wordt veroordeeld tot een gevangenisstraf van 21 maanden, waarvan 12 maanden voorwaardelijk met een proeftijd van drie jaar.

Meer duidelijkheid over de Ironchat-operatie

jjoerlemans

Bron afbeelding: https://nos.nl/artikel/2258309-beveiliging-door-politie-gekraakte-cryptofoons-was-twijfelachtig

Op 6 november 2018 maakte het Openbaar Ministerie bekend dat de politie Oost-Nederland en het Openbaar Ministerie (OM) er in 2017 waren geslaagd de versleutelde chatapplicatie โ€˜Ironchatโ€™ te ontsleutelen. In het persbericht is de lezen:

โ€œDankzij deze operatie hebben politie en Openbaar Ministerie een goede informatiepositie gekregen. Er zijn ruim 258.000 chatberichten meegelezen en dat levert veel informatie op. Deze informatie kan leiden tot beslissende doorbraken in lopende onderzoeken. Ook kunnen de gegevens worden gebruikt om nieuwe strafrechtelijke onderzoeken op te starten. Op deze manier is er bewijs in lopende onderzoeken verkregen en kunnen nieuwe criminele activiteiten gestopt worden.โ€

Zie ook dit NOS-artikel voor meer informatie over IronChat.

Werking IronPhone en IronChat

In de uitspraak (ECLI:NL:RBGEL:2024:6732) van de rechtbank Gelderland van 12 september 2024 staan in r.o. 2.1.4-2.1.6 interessante details over de cryptotelefoons. Om gebruik te maken van de communicatiemethode diende men een abonnement af te sluiten. Op een prijslijst die beschikbaar is uit de kopie van de server van het bedrijf staan de volgende kosten voor een abonnement:

  1. Telefoon (model Wileyfox Swift2) met als kosten voor een abonnement: per zes maanden โ‚ฌ 800,- voor Europa en โ‚ฌ 1000,- voor wereldwijd;
  2. Telefoon (model Samsung S8) met als kosten voor een abonnement: per zes maanden โ‚ฌ 1.500,- voor Europa en โ‚ฌ 1.750,- voor wereldwijd;
  3. Laptop (model HP Folio 9470m) met als kosten voor een abonnement: โ‚ฌ 2.250,- per jaar.

Bij een aantal telefoons die zijn onderzocht in het kader van andere strafrechtelijke onderzoeken is opgevallen dat de telefoons technisch zo zijn ingericht dat er geen gebruik gemaakt kan worden van de camera, microfoon of wifi. Een getuige heeft verklaard dat de cameraโ€™s en microfoons werden verwijderd uit de telefoons wanneer verdachte dat wilde. Volgens de bewijsstukken gebeurde ongeveer in de helft van de gevallen.

Encryptiemethode

In de gebruiksaanwijzing van โ€˜communicatiemethode 2โ€™ (uit 2015), staat omschreven dat gebruik wordt gemaakt van end-to-end encryptie door middel van het zogenaamde OTR (Off-The-Record) protocol. In de gebruikersaanwijzing worden de volgende voordelen opgesomd van het gebruik van OTR ten opzichte van andere โ€œveilige communicatieโ€:

  • [communicatiemethode 2] laat geen digitale handtekeningen achter in berichten waardoor het achteraf niet valt te bewijzen dat er communicatie heeft plaatsgevonden;
  • communicatiemethode 2] werkt alleen als beide contacten online zijn, er wordt niets van berichten op servers opgeslagen. (โ€ฆ);
  • Gesprekken via [communicatiemethode 2] vallen achteraf niet meer te ontsleutelen, ook niet als de datalijnen getapt worden. (โ€ฆ);
  • [communicatiemethode 2] beschikt over een wis & sluit functie waarbij alle berichten direct worden gewist en encryptiesleutels direct komen te vervallen;
  • [communicatiemethode 2] heeft een PANIC modus waarbij u met รฉรฉn druk op de knop uw gehele [communicatiemethode 3] wist en ontoegankelijk maakt.

Overige functionaliteiten

Daarnaast is het mogelijk om de inhoud van een chat op beide telefoons helemaal te verwijderen door een codewoord in te voeren en te versturen naar degene waarvan men wil dat de inhoud van die chat verdwijnt. Men voert dan in: โ€œCRASHME!34โ€.

Ook staat in een proces-verbaal dat de communicatie-app voor de buitenwereld er uitziet als een medische app. Sommige landen verplichten bij de douane het wachtwoord van telefoons te verstrekken, maar medische gegevens mogen dan niet worden ingezien.

Onderzoek naar een leverancier Ironchat

In het onderzoek ‘Orwell’ werd een in Nederland gevestigd bedrijf onderzocht in verband met de verdenking dat dit bedrijf encrypted communicatiemiddelen faciliteerde voor onder andere criminele organisaties. Dit Nederlandse bedrijf maakte gebruik van een telecomserver in het Verenigd Koninkrijk.

Middels een Europees Onderzoeksbevel kreeg het onderzoeksteam de beschikking over een kopie (een ‘image’) van de server van het Nederlandse bedrijf. Uit digitaal onderzoek bleek dat de server werd gebruikt voor het versturen van versleutelde berichten en belangrijke informatie bevatte, die zicht gaf op onder andere verschillende chataccounts, chatnamen en de NN (op dat moment anonieme)-gebruikers van de producten van het Nederlandse bedrijf.

In het Verenigd Koninkrijk werd zelfstandig onderzoek gedaan naar de versleutelde berichten die via deze server waren verzonden. Van 3 oktober 2018 tot 2 november 2018 werd overgegaan tot het ‘live intercepteren en decrypten van de server’. De Britse autoriteiten hebben toestemming gegeven voor het gebruik daarvan in opsporingsonderzoeken in Nederland.

Onderzoek naar de gebruikers van IronChat en opvolgende onderzoeken

De telecommunicatie werd vervolgens ter beschikking gesteld aan het onderzoek ‘Goliath’. Dit onderzoek, dat op 30 mei 2018 is ingesteld door de politie Oost-Nederland, richtte zich naar “criminele NN-gebruikers” van zogenaamde encrypted telefoons die de chatapp Ironchat gebruikten.

Over het opsporingsonderzoek met de naam โ€˜Goliathโ€™ overweegt de rechtbank Gederland in (ECLI:NL:RBGEL:2024:6732) dat in de periode van 3 oktober 2018 tot en met 2 november 2018 de communicatieapplicatie is geรฏntercepteerd. Tijdens deze interceptiefase is 24/7 chatverkeer onderschept, gelezen, geduid, veredeld en geanalyseerd. Er is binnen onderzoek Goliath gewerkt met, onder andere, zoekwoorden (topics). Dit waren zoekwoorden die te relateren zijn aan diverse vormen van criminaliteit. Voorbeelden van dergelijke woorden zijn: โ€˜drugsโ€™, โ€˜cokeโ€™, โ€˜slapenโ€™, โ€˜pipaโ€™sโ€™, โ€˜AKโ€™ of โ€˜wapensโ€™. Deze topics waren beschikbaar in diverse talen. Als er in chatberichten woorden voorkwamen die op deze topiclijsten stonden, werden alle chatberichten van de conversatie zichtbaar in de chatmodule. Gedurende de interceptieperiode is niet vastgesteld dat anderen, waaronder politici, artiesten en de gewone man met bijvoorbeeld een geheime relatie, gebruik hebben gemaakt van de communicatiemethode, zoals de verdediging stelde.

Volgens ECLI:NL:RBOVE:2020:1558 werd door de officier van justitie overeenkomstig artikel 126dd Sv toestemming gegeven voor het gebruik van de overgedragen onderzoeksgegevens ten behoeve van het onderzoek ‘Metaal’, dat zich richtte op het achterhalen van de identiteit van de (NN-)gebruikers. In dit onderzoek kwam vervolgens een account naar voren dat kon worden gekoppeld aan de verdachte.

De rechtbank Overijssel overweegt in ECLI:NL:RBOVE:2020:1558 dat zij โ€˜naar eigen recht, op basis van eigen bevoegdheden en met medeweten van een ander bedrijf de chatberichten onderschept, ontsleuteld en vervolgens die chatberichten heeft doorgeleid naar de Nederlandse autoriteitenโ€™.

Ontvankelijkheid OM

De rechtbank Overijssel en Limburg overwegen in hun uitspraken dat โ€˜voldoende duidelijk is op welke wijze de inhoud van de chatgesprekken is verkregen’. De rechtbank Overijssel overweegt simpelweg dat ‘niet gebleken van enig vormverzuim. Het verweer wordt verworpen. De officier van justitie is ontvankelijk in de vervolgingโ€™.

De rechtbank Limburg overweegt dat de onderzoekshandelingen waarvan de uitvoering plaatsvond onder verantwoordelijkheid van het Verenigd Koninkrijk. De taak van de Nederlandse strafrechter is volgens de rechtbank ertoe beperkt te waarborgen dat de wijze waarop van de resultaten van dat onderzoek in de strafzaak tegen de verdachte gebruik wordt gemaakt, geen inbreuk maakt op zijn recht op een eerlijk proces, zoals bedoeld in artikel 6, eerste lid, EVRM.

Het behoort volgens de rechtbank niet tot de taak van de Nederlandse strafrechter om te toetsen of de wijze waarop dit onderzoek in het buitenland is uitgevoerd, strookt met de dienaangaande in het desbetreffende buitenland geldende rechtsregels. Er dient, op grond van het vertrouwensbeginsel, dan ook van de rechtmatigheid van de verkrijging van deze gegevens te worden uitgegaan. De verdediging heeft in zijn geheel niet onderbouwd dat er bij de verkrijging van de gegevens sprake is van een onrechtmatigheid en op welke wijze deze zou zijn ontstaan en onder wiens verantwoordelijkheid. Niet is gebleken dan ook van enige schending van het recht op een eerlijk proces.

Voor wat betreft het gebruik van de verkregen resultaten in verschillende onderzoeken in Nederland, overweegt de rechtbank Limburg dat op grond van artikel 126dd Sv de officier van justitie bevoegd is om die gegevens te verstrekken aan een ander onderzoek. Een beschikking van de rechter-commissaris is niet vereist. Het verweer wordt dan ook verworpen. De officier van justitie is ontvankelijk in de vervolging.

Dit bericht is geรผpdated op 4 november 2024 naar aanleiding van nieuwe jurisprudentie.

Datagedreven opsporing en toezicht

jjoerlemans

In januari 2023 hebben prof. mr. Marianne Hirsch Ballin en ik een artikel (.pdf) geschreven over datagedreven opsporing en toezicht in het tijdschrift voor strafrecht โ€˜Delikt en Delinkwentโ€™. In deze blogpost leiden wij ons artikel in.  

Datagedreven opsporing

Datagedreven opsporing is de verwerking van gegevens die eerder door de politie bij hun taakuitoefening in andere onderzoeken zijn verzameld en daarna ten behoeve van nieuwe opsporingsonderzoeken worden geanalyseerd. De zogenoemde โ€˜cryptotelefoon-operatiesโ€™ zijn een bekend voorbeeld van deze datagedreven opsporing.

In deze operaties zijn tot wel honderden miljoenen berichten in รฉรฉn operatie veiliggesteld van cryptotelefoonaanbieders zoals โ€˜EncroChatโ€™ en โ€˜SkyECCโ€™ (zie ook dit overzicht op deze blog). Deze gegevens vormen (ten dele) bewijs voor honderden toekomstige strafzaken. In politiepraktijk worden deze operaties ook wel beschreven als een game changer.  

In ons artikel stellen wij dat datagedreven opsporing ook een โ€˜game changerโ€™ zou moeten zijn voor de wijze waarop digitale opsporingsbevoegdheden worden genormeerd. Het gaat dan in het bijzonder om de relatie tussen het Wetboek van Strafvordering (waarbinnen onder andere opsporingsbevoegdheden worden geregeld) en de Wet politiegegevens (waar de verwerking van gegevens wordt geregeld) en het bijbehorende toezicht.

We zetten in ons artikel het model uiteen van datagedreven opsporing en illustreren dat aan de hand van de daarover bekende strafrechtspraak en de praktijk bij het Team High Tech Crime (THTC) van de politie. Over deze praktijk is ook het lezenswaardige WODC-rapport โ€˜Opsporen, vervolgen en tegenhouden van cybercriminaliteitโ€™ verschenen, waar ook wordt gewezen op het spanningsveld tussen deze praktijk en strafvordering.

De praktijk van het Team High Tech Crime laat zien dat er bij datagedreven opsporing slechts een beperkte rol is voor controle door de strafrechter via strafzaken. Als bijvoorbeeld het doel is een cybercriminele (ICT-)infrastructuur onderuit te halen en het verdienmodel aan te tasten, dan zijn dat activiteiten die vaak niet leiden tot vervolging van een concrete verdachte waardoor die activiteiten buiten het zicht van de strafrechter blijven. En wanneer de inzet van de opsporing ook het vergaren van intelligence ten behoeve van nieuwe onderzoeken omvat, is dat een aspect dat de strafrechter in de regel niet in zijn beoordeling betrekt. Recentelijk wees ook prof. Bart Schermer hierop in zijn inaugurele rede โ€˜De gespannen relatie tussen privacy en cybercrimeโ€™ bij de Universiteit Leiden.

Het spanningsveld met strafvordering

De cryptotelefoon-operaties laten zien dat het model van het Team High Tech Crime ook wordt toegepast in andere strafzaken, buiten de context van de cybercriminaliteit. Vastgesteld kan worden dat daarmee het verwerven van intelligence verweven is geraakt met de opsporingspraktijk. Deze ontwikkeling legt uit normatief oogpunt druk op het huidige stelsel van strafvordering in Nederland.

De verzameling van de gegevens bij datagedreven opsporing vindt plaats met toepassing van bijzondere opsporingsbevoegdheden die worden gereguleerd in het Wetboek van Strafvordering. In ons artikel leggen wij uit dat de verwerking en analyse van deze gegevens plaatsvindt op grond van de Wet politiegegevens (Wpg) en dat de daaropvolgende interventie een nieuw opsporingsonderzoek kan betreffen, maar bijvoorbeeld ook โ€˜verstoringโ€™ met een grondslag in de Politiewet. De naleving van de Wet politiegegevens bij de strafrechter lijkt tot op heden geen rol van betekenis te spelen bij sanctionering van eventuele vormverzuimen.

Verder leggen wij uit dat deze praktijk een normatieve verbinding vergt tussen de reguleringskaders. De wetgever moet daarom de keuze maken รณf normering van data-analyses in het Wetboek van Strafvordering รณf voor nadere normering van analysebevoegdheden in de Wpg. Daarbij moet recht worden gedaan aan (basis)beginselen van strafvordering zodat de verbinding tussen de normeringskaders wordt gelegd.

Deze boodschap vindt bredere steun. Zie bijvoorbeeld ook het rapport van prof. Fedorova e.a. over โ€˜Strafvorderlijke gegevensverwerkingโ€™ en het artikel van B.W. Schermer & M. Galiฤ, โ€˜Biedt de Wet politiegegevens een stelsel van โ€˜end-to-endโ€™ privacywaarborgen?โ€™. In ons artikel komen wij nu, in aanvulling daarop, tot de conclusie dat die constatering ook vraagt om veranderingen in de wijze waarop het stelsel van toezicht op de opsporing en verwerking van politiegegevens is georganiseerd.

Beter toezicht

Ruimte bieden voor bredere doelstellingen dan opsporing bij de inzet van bijzondere opsporingsbevoegdheden, betekent ook dat in de normering de bakens moeten worden verzet.

De totstandkoming van het nieuwe Wetboek van Strafvordering biedt de ruimte om op een weloverwegen manier te komen tot een herpositionering van de opsporing vanwege deze praktijk van datagedreven opsporing en interventies waarop rechtstreekse controle door de strafrechter ontbreekt. Het is daarbij noodzakelijk dat in de normering de verbinding tussen het Wetboek van Strafvordering en de Wet politiegegevens tot uitdrukking wordt gebracht en, in aansluiting daarop, het stelsel van toezicht op datagedreven opsporing wordt heringericht.

Met betrekking tot het toezicht achten wij een nieuwe vorm van toezicht wenselijk, die mede ziet op de inzet van data-analyses ten behoeve van de politietaken (inclusief de opsporing en aldus de datagedreven opsporing). Het verdient aanbeveling daarvoor een nieuw onafhankelijk extern toezichtsorgaan op te richten.

Gelet op de bredere consensus over de noodzaak van herijking van het stelsel van strafvordering in relatie tot de Wet Politiegegevens in de wetenschappelijke literatuur (zie de eerdere verwijzingen in deze blog), hopen wij dat onze aanbevelingen zich een weg naar het nieuwe Wetboek van Strafvordering zullen vinden.

Marianne Hirsch Ballin & Jan-Jaap Oerlemans

Citeerwijze artikel:

M.F.H. Hirsch Ballin & J.J. Oerlemans, โ€˜Datagedreven opsporing verzet de bakens in het toezicht op strafvorderlijk optredenโ€™, DD 2023/2, nr. 1, p. 18-38

Chapters of โ€˜Essentials in Cybercrimeโ€™ available in open access

jjoerlemans

On 22 December 2021, our book โ€˜Essentials in cybercrime. A criminological overview for education and practiceโ€™ (edited by W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg) was published.

Our book is intended for students and professionals and offers insight into the various manifestations and features of cybercrime, offender and victim characteristics, quantitative and qualitative methods for studying crime in the digital domain, criminological theories that can be used to understand cybercrime, as well as possible interventions.

In addition to criminological aspects, the book also deals with a number of legal topics, including the criminalisation of cybercrime (under the Convention on Cybercrime) and the investigative powers that can be used by the police in the online domain.

My chapters โ€˜Types of cybercrime and their criminalisationโ€™ (.pdf) (together with dr. Wytske van der Wagen) and โ€˜Cybercrime investigationsโ€™ (.pdf) (together with dr. Maลกa Galiฤ) are now available in open access.

The rest of the is available at the store of Eleven Publishing (with Chapter 1 freely available) and stores like Bol.com.

Table of contents:

Chapter 3 – Types of cybercrime and their criminalisation

Jan-Jaap Oerlemans & Wytske van der Wagen

3.1         Introduction

3.2         Cyber-dependent crime

3.2.1     Hacking

3.2.1.1 Computer hacking

3.2.1.2 Ethical hacking

3.2.2     Malware

3.2.2.1 Ransomware

3.2.3     Botnets

3.2.4     Ddos attacks

3.3         Cyber-enabled crime

3.3.1     Cyber-enabled fraud

3.3.2     Online drug trafficking

3.3.3      Money laundering and virtual currency

3.3.4     Online sex offences

3.3.4.1 Child pornography

3.3.4.2 Sexting

3.3.4.3 Grooming

3.3.4.4 Sextortion

3.3.4.5 Revenge porn

3.3.5     Content crimes

3.4         Future developments

3.4.1 ย ย ย  Increased involvement of state actors

3.4.2 ย ย ย  The โ€˜internet of thingsโ€™

3.4.3 ย ย ย  The use of artificial intelligence by cybercriminals

3.5         To conclude

3.6         Discussion questions

3.7 ย ย ย ย ย ย ย  Core concepts

Please cite as:

Oerlemans, J.J., & Van der Wagen, W. (2022). Types of cybercrime and their criminalisation. In Essentials in cybercrime: A criminological overview for education and practice. Eleven International Publishing, 53-98.

Table of contents

Chapter 8 – Cybercrime investigations

Jan-Jaap Oerlemans & Maลกa Galiฤ

8.1         Introduction

8.2         Digital investigations and criminal procedure law

8.2.1 ย ย ย  Regulating investigative methods

8.2.2 ย ย ย  Jurisdiction and cybercrime

8.3 ย ย ย ย ย ย ย  IP addresses as digital leads

8.3.1ย ย ย ย ย  Data production and preservation orders

8.3.2 ย ย ย  Seizing and analysing data on computers

8.3.3 ย ย ย  Network computer searches

8.4         The challenge of anonymity

8.4.1 ย ย ย  Proxy and VPN services

8.4.2 ย ย ย  Tor

8.4.3 ย ย ย  Open source investigations

8.4.4 ย ย ย  Online undercover operations

8.5 ย ย ย ย ย  ย  The challenge of encryption

8.5.1 ย ย ย  Encryption in storage

8.5.2 ย ย ย  Encryption in transit

8.5.3 ย ย ย  Hacking as an investigative method

8.6         Disrupting cybercrime

8.7         To conclude

8.8         Discussion questions

8.9 ย ย ย ย ย ย ย  Core concepts

Please cite as:

Oerlemans, J.J. & Galiฤ, M. (2022). Cybercrime investigations. In Essentials in cybercrime: A criminological overview for education and practice. Eleven International Publishing, 197-254.