Veroordeling voor ‘uitreizen’ naar Syrië en de rol digitaal bewijs

16 augustus 201716 januari 2020jjoerlemans Een reactie plaatsen

Op 27 juli 2017 veroordeelde (ECLI:NL:GHAMS:2017:3041) het Hof Amsterdam een 23-jarige Syriëganger voor het uitreizen en het voorbereiden/bevorderen van terroristische misdrijven en poging tot deelneming aan een terroristische organisatie (IS). Het hof acht bewezen dat de verdachte wilde deelnemen aan de gewapende strijd van IS in Syrië.

Het hof legt een hogere straf op dan de rechtbank (drie jaar), maar met een aanzienlijk voorwaardelijk deel (twee jaar), met bijzondere voorwaarden, waaronder contactverboden. Het Hof komt tot de hogere straf ‘op de stuitende aard van de misdrijven waaraan IS zich structureel bezondigt en heeft bezondigd’, gelet op de strafrechtelijke doelen van vergelding en afschrikking. De zaak is voor deze rubriek interessante vanwege de belangrijke bewijsrol van Facebook en Whatsapp.

Op de inbeslaggnomen gegevensdragers van de verdachte (een laptop en smartphone) is belastend materiaal gevonden, namelijk afbeeldingen/videobestanden van onthoofdingen, preken over jihadstrijders, jihadistische strijdliederen, IS-propaganda voor de gewapende strijd, gedode en (ernstig) gewonde personen en een profielfoto van de verdachte op Facebook, gekleed als een in het zwart geklede strijder met de IS-vlag.

Daarnaast heeft hij via Twitter uitlatingen gedaan, zoals “Revenge is a promise (28 augustus 2014)”, “Beste om/aivd/politie, jullie gaan allemaal dood (6 december 2014)”, “Jullie zijn kuffaar (ongelovigen) en kuffaar gaan naar de hel (6 december 2014)”, en “Alle jihad-gerelateerde artikelen, tijdschriften, lezingen, filmpjes en films die ik heb doorgespit: research purposes … ik wens nl, naast voetbalexpert, de titel terrorisme-expert in mijn CV te kunnen zetten (6 december 2014)” .

Ten slotte speelde zijn zelfgekozen WhatsApp-naam “Lone Wolf” en de inhoud van zijn contacten met – en over – Nederlandse uitreizigers die zich bij de gewapende strijd hadden aangesloten een rol in zijn veroordeling. In de uitspraak wordt (geanonimiseerd) verwezen naar het gebruik beveiligde communicatiediensten en netwerken, waar de jihadstrijder gebruik van maakte.

Digitaal bewijs speelde grote rol in ‘Quote 500’-zaak

16 juli 201716 januari 2020jjoerlemans Een reactie plaatsen

Op 29 juni 2017 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2017:1901) voor 54 maanden gevangenisstraf. De verdachte werd veroordeel voor een gekwalificeerde vorm van diefstal, witwassen en deelname aan een criminele organisatie (de ‘Quote 500’-bende). De criminele organisatie werd zo genoemd, omdat zij hun misdrijven specifiek richten op zeer vermogende Nederlanders die zijn opnenomen in de Quote 500-lijst. De zaak is voor deze rubriek interessant, omdat de digitale sporen zeer belangrijk zijn geweest voor bewijsvoering.

Op een inbeslaggenomen laptop naar aanleiding van een doorzoeking in een woning, bleek dat via de laptop gericht was gezocht naar meerdere adressen van woningen waar later bleek te zijn ingebroken. Deze woningen stonden bijna allemaal vermeld op de Quote-500 lijst. Geconstateerd werd dat op de laptop veelvuldig gebruik was gemaakt van Google Maps, waarmee tot op straatniveau was ingezoomd op woningen van kapitaalkrachtige personen. Ook droegen andere zoektermen bij aan de bewijsovertuiging van de rechters zoals: “huurauto”, “autoverhuur” en “auto huren den haag zonder creditcard”.

Daarnaast bleek kon de politie kennelijk door middel van een internettap in 2012 nagaan welke internetsites werden bezocht vanaf het IP-adres van de woning van de verdachten. Hieruit bleek dat men dagelijks internetsites bezocht van juweliers die goud opkopen en sites waarop de goudkoers wordt vermeld. Tevens bleek dat via Google Maps plattegronden werden bekeken van diverse gemeenten waarin relatief veel kapitale woningen staan. Ook werden diverse zoekslagen gedaan op personen die op de lijst ‘Quote 500’ voorkomen, waarbij werd gezocht op hun adressen en artikelen waarin zij werden genoemd en waarbij via Google Maps of huizenverkoopsite Funda hun woningen werden bekeken.

Gebruik van policeware in de Aydin C.-zaak

7 juli 20173 januari 2020jjoerlemans Een reactie plaatsen

Posted on 17/07/2017 on Oerlemansblog

Vorige week heb ik mijn noot gepubliceerd die ik heb beschreven over de Aydin C.-zaak. De zaak is veelvuldig in het nieuws geweest vanwege de tragische afloop van Amanda Todd, nadat zij werd gechanteerd door Aydin C. met webcamopnamen. De rechtbank Amsterdam veroordeelt Aydin voor meer dan 10 jaar gevangenisstraf voor kinderporno en (poging tot) aanranding met betrekking tot 34 meisjes en één man voor afdreiging.

Vanuit juridisch oogpunt vond ik het echter interessanter hoe de rechtbank is omgegaan met het gebruik van een softwarematige keylogger bij de bewijsgaring in deze zaak. Dergelijke ‘monitoringssoftware’ wordt ook wel ‘policeware’ genoemd.

Mag een keylogger nu wel of niet worden gebruikt?

Al tijdens het verloop van de zaak kwam via de media naar buiten de politie een ‘keylogger’ had ingezet om bewijsmateriaal te verzamelen. Een keylogger registreert toetsaanslagen waardoor communicatie, maar ook inlognamen en wachtwoorden, kan worden afgevangen om nader te onderzoeken. Een keylogger kan zowel hardwarematig zijn als softwarematig.

Eerder had ik ook al in een interview aangegeven dat het gebruik van een hardwarematige keylogger volgens mij door de beugel kan. De wetgever heeft al 20 jaar geleden in de memorie van toelichting van de Wet bijzondere opsporingsbevoegdheden (Wet BOB) (p. 35-37) voldoende duidelijk gemaakt dat onder de bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv) het gebruik van een apparaatje (een ‘bug’), dat ook toetsaanslagen kan registreren, is toegestaan.

Mag policeware worden gebruikt?

De vraag is lastiger te beantwoorden of het gebruik van een softwarematige keylogger is toegestaan. De tekst van de wet zelf sluit niet uit dat software wordt gebruik bij de toepassing van de bijzondere opsporingsbevoegdheid van direct afluisteren. Gesproken wordt over een ‘technisch hulpmiddel’, dat tevens uit software kan bestaan. Dat is ook af te leiden uit het Besluit technische hulpmiddelen. Eerder heb ik betoogd dat de software in ieder geval niet door middel van een ‘hack’ kan worden geplaatst, omdat daarmee een geheel andere privacyinbreuk plaatsvindt dan wanneer een bug fysiek in een woning of andere plek wordt geplaatst zoals bij ‘direct afluisteren’ gebruikelijk is. De wet zou dan niet meer voorzienbaar zijn.

Het is echter de vraag of de software ook andere functionaliteiten mag hebben dan het afluisteren van communicatie, het registreren van toetsaanslagen en het registreren van muisklikken. Hoewel het vonnis moeilijk leesbaar is, wordt interessante informatie gegeven over het gebruik van dergelijke software door de politie. Zo wordt onder andere gesteld dat via een softwarepakket ‘vinkjes’ kunnen worden aangezet om van bepaalde functionaliteiten van de afluistersoftware gebruik te maken. Uit het vonnis van de rechtbank blijkt ook dat gebruik is gemaakt van een screenshotfunctionaliteit. Is deze toepassing dan nog voorzienbaar is op basis van bestaande wetgeving?

Pas als de Wet computercriminaliteit III door de Eerste Kamer wordt aangenomen en de wet van kracht wordt, mag een softwarematige keylogger met andere functionaliteiten (waaronder ook het maken van screenshots, het vastleggen van identificerende gegevens, het aanzetten van een camera, en eventueel het aanzetten van een GPS-signaal) worden gebruikt. Deze software mag dan ook op afstand via een hack worden geïnstalleerd op de computer van de verdachte op basis van de voorgestelde nieuwe hackbevoegdheid in artikel 126nba Sv.

Mogelijkheden voor de verdediging

De verdediging voerde tal van verweren in de Aydin C.-zaak. In mijn noot heb ik aandacht besteed aan de mogelijkheid van de verdediging om tijdens de zitting na te gaan welke functionaliteiten van de software precies gebruik is gemaakt. Ik begrijp het standpunt van de politie en het Openbaar Ministerie dat het type software – of zelfs de broncode – niet wordt vrijgegeven aan de verdediging. Daarmee breng je namelijk het toekomstig gebruik van de software in strafzaken door opsporingsinstanties in gevaar. De verdediging moet echter wel de mogelijkheid hebben om het gebruik van de software achteraf – desnoods tijdens de zitting – te controleren. Nagegaan moet worden of niet meer functionaliteiten van de software zijn gebruikt dan de officier van justitie als het goed is in zijn bevel voor inzet van de bevoegdheid heeft aangegeven. In deze zaak werd het verweer geadresseerd door één deskundige van te politie te horen, waarbij ik de zorg om onafhankelijkheid goed begrijp.

Als de Wet computercriminaliteit III wordt aangenomen kan de verdediging het gebruik van de software beter controleren. De verdediging kan de rechter verzoeken tot nader onderzoek van de gelogde gegevens. De rechter kan dit ook overigens ook ambtshalve beslissen. Staatssecretaris Dijkhoff heeft in de nota naar aanleiding van het verslag aangegeven dat dit mogelijk is. Daarnaast wordt de waarborg ingebouwd dat de Inspectie Veiligheid en Justitie het gebruik van de software bij de politie controleren. Dit zijn twee zeer welkome waarborgen ten opzichte van de bestaande situatie.

Veroordeling voor ontwikkelen van banking malware

16 mei 201716 januari 2020jjoerlemans Een reactie plaatsen

Op 7 april 2017 heeft de Rechtbank Rotterdam een interessant vonnis (ECLI:NL:RBROT:2017:2815) gewezen over banking malware. Veroordelingen voor het ontwikkeling van malware komen in Nederland niet veel voor en daarom is de uitspraak nieuwswaardig. Het bewijs werd in casu vooral geleverd uit de inhoud van chatgesprekken via de app Telegram. Telegram versleutelt berichtenverkeer en verhinderd daarmee het lezen van inhoudelijk verkeer bij een tap. Door inbeslagname van een smartphone, is het echter mogelijk gebleken de berichten uit te lezen en gedragingen van de verdachte te koppelen aan strafbare feiten.

De verdachte is naast het ontwikkelen van malware veroordeeld voor het medeplegen van computervredebreuk en diefstal met een valse sleutel, omdat uit de bewijsmiddelen een nauwe en bewuste samenwerking van de verdachte met een medeverdachte is gebleken. De rechtbank merkt op dat via de app onder meer berichten zijn uitgewisseld over het testen van malware, teksten voor de bij de fraude te gebruiken teksten, werd gecommuniceerd over het gebruik van ontvangstadressen voor bankpassen en/of bestellingen, werden persoonlijke (inlog)gegevens van diverse derden gedeeld en werd ten slotte informatie over het leeghalen van (bank)rekeningen en het ‘arriveren’ van gelden op rekeningen van zogenaamde katvangers gedeeld.

De verdachte is vrijgesproken van gewoontewitwassen ‘nu er “slechts” één keer is gecasht en daarmee geen sprake kan zijn van een herhaling van feiten, zoals een bewezenverklaring van gewoontewitwassen vereist’, aldus de rechtbank. Ook voor het gewone delict witwassen ontbrak volgens de rechtbank de vereiste verhullingshandeling.

De verdachte is veroordeelt voor drie jaar gevangenisstraf.

Veroordeling voor beheerder kinderpornoforum

16 mei 201716 januari 2020jjoerlemans Een reactie plaatsen

Op 31 maart 2017 heeft de Rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2017:2445) tot 4 jaar en 7 maanden gevangenisstraf voor het grootschalige bezit en de verspreiding van kinderporno. De rechtbank achtte het bewezen dat de verdachte meer dan 200.000 (!) kinderpornografische afbeeldingen of video’s in bezit heeft gehad. Onder de aangetroffen kinderpornografische afbeeldingen bevonden zich veel afbeeldingen van meisjes jonger dan twaalf jaar, waaronder baby’s en peuters. Daarnaast is de verdachte één van de beheerders geweest van een kinderpornoforum. De zaak is benoemingswaardig, vanwege de enorme hoeveelheid kinderpornografie en verweer van de verdachte.

De advocaat betoogde in deze zaak dat bewijs moest worden uitgesloten vanwege een onrechtmatige doorzoeking en inbeslagname van de computer en het afgeleide bewijsmateriaal naar aanleiding van de doorzoeking. In casu heeft de moeder van de verdachte echter opsporingsambtenaren in huis binnen gelaten, waardoor er van een doorzoeking geen sprake was. De inbeslagname van een computerkast in 2010 wordt door de rechtbank wel onrechtmatig geacht. Op de inbeslaggenomen computer werden nicknames van de verdachte gevonden. Tijdens een ander onderzoek in 2012 naar een online kinderpornoforum kwamen de rechercheurs de nicknames van de verdachte tegen. Op het forum werden links naar afbeeldingen en video’s met kinderpornografie geplaatst en werden tips voor kindermisbruik uitgewisseld.

De gevonden nicknames konden worden gerelateerd aan de verdachte en dit leidde in 2014 tot een nieuwe verdenking tot de verspreiding van kinderpornografie via het internetforum. De verdachte had een belangrijke actieve en regulerende rol als één van de beheerders van het forum. De verdachte faciliteerde een versleutelde gegevensuitwisseling via het internet, waardoor de inhoud van het internetforum onzichtbaar bleef en slechts met wachtwoorden kon worden ontsloten. Ook gaf hij tips en trucs over hoe uit handen van de politie te blijven. Verder was de verdachte op nog vier andere kinderpornografische chatfora actief. In 2015 vond een nieuwe doorzoeking in zijn woning plaats, waarbij het noodzakelijke bewijs voor de veroordeling van de verdachte van zijn computers en gegevensdragers is verzameld.

De verdachte is niet veroordeeld voor het bezit van dierenporno, omdat deze slechts waren te vinden in de ‘unallocated clusters’ op de harde schijf. Dat betekent dat de bestanden op enig moment op de harde schijf van de computer van de verdachte te vinden waren, maar dat het opzet op het bezit op basis van dit feit alleen niet bewezen is.

Veroordeling voor banking malware op mobiele telefoons (perkele) en witwassen

16 april 201716 januari 2020jjoerlemans Een reactie plaatsen

Op 24 januari 2017 heeft het Hof Den Haag zijn enkele verdachten veroordeeld (ECLI:NL:GHDHA:2017:81) voor het gebruik van banking malware op computers en mobiele telefoons van rekeninghouders.

Na besmetting met de malware werden bankklanten tijdens het internetbankieren door een nepscherm, mogelijk gemaakt met de zogenaamde ‘webinject’-techniek, ertoe bewogen een transactie uit te voeren. Met behulp van kwaadaardige software van het type ‘Perkele’ werden vervolgens de benodigde TAN-codes van Android telefoons van ING klanten afgevangen. TAN-codes worden gebruikt als dubbele authenticatiemethode en zijn noodzakelijk om de transactie uit te voeren.

Vervolgens werden de bedragen vanaf de betreffende bankrekeningen overgeboekt naar de bankrekeningen van money mules, die daar een bepaalde vergoeding voor kregen. Het geld werd daarna zeer snel gepind of omgezet in andere betaalmiddelen, goederen, of direct of indirect overgemaakt naar het buitenland. In totaal is ongeveer €13.000,- euro aan bitcoins gekocht met geld dat was overgemaakt met de frauduleuze betalingen. Een verdachte maakte gebruik van een gehackt computernetwerk van een garagebedrijf om op deze manier zijn sporen zoveel mogelijk te verhullen.

De verdachten zijn veroordeeld voor computervredebreuk, diefstal met valse sleutel vanaf bankrekeningen, gewoontewitwassen, oplichting en valsheid in geschrifte. De verdachten hebben de stevige onvoorwaardelijke gevangenisstraf van 4,5 jaar opgelegd gekregen. De schadevergoeding aan de betrokken bank heeft echter geen stand gehouden.

Vorderen van gegevens in de cloud

16 april 201716 januari 2020jjoerlemans Een reactie plaatsen

Citeertitel: Rb. Overijssel, 1 februari 2017, ECLI:NL:RBOVE:2017:417, Computerrecht 2017/52, m.nt. J.J. Oerlemans

Noot

Deze zaak betreft een klaagschrift over het vorderen van gegevens van een Nederlandse clouddienstverlener. De zaak is interessant, omdat het de eerste gepubliceerde zaak is op strafrechtelijk gebied over het vorderen van gegevens bij clouddienstverleners. De zaak biedt meer duidelijkheid over de vraag op basis van welke juridische grondslag opgeslagen documenten bij een clouddienstverlener kunnen worden gevorderd. In deze noot wordt niet ingegaan op mogelijke jurisdictievraagstukken. Het betreft hier een Nederlandse opsporingsonderzoek naar een Nederlandse verdachte, waarbij relevante stukken worden gevorderd bij een Nederlandse clouddienstverlener.

De feiten

In casu ontwikkelde de klaagster software ter ondersteuning van fiscale aangifte- en advieswerkzaamheden voor accountants en administratiekantoren. Vervolgens vorderde de FIOD gegevens bij klaagster in het kader van een strafrechtelijk onderzoek. Het ging om gegevens over de belastingaangiften en onderliggende aantekeningen met betrekking tot het indienen van de aangiften van een klant van de klaagster over een periode van meer dan vijf jaar.

Deze gegevens staan opgeslagen op een server van Amazon in Ierland, waar de klaagster een deel van de server voor haar klanten huurt. De klaagster stelt zich op het standpunt dat voor de vordering geen juridische basis bestaat en de vordering niet proportioneel en subsidiair is.

Oordeel rechtbank

Met betrekking tot de vraag welke juridische basis van toepassing is, geeft de rechtbank aan dat de klaagster een provider van een communicatiedienst is in de zin van art. 126la sub a Sv. De reden is dat zij voor haar klanten de faciliteit biedt om toegang te krijgen tot de opgeslagen gegevens op een door haar gehuurde server bij Amazon in Ierland. Zij fungeert daarmee als ‘toegangspoort tot de cloud’, hetgeen een vorm van telecommunicatie is.

Met betrekking tot de vraag of de vordering proportioneel en subsidiair is, geeft de rechtbank aan dat dit het geval is. De rechtbank vindt het daarbij kennelijk niet bezwaarlijk dat meer dan vijf (!) jaar aan documentatie van belastingaangiften en onderliggende aantekeningen van een verdachte wordt opgevraagd. Hoewel de rechtbank het niet expliciet maakt, is het waarschijnlijk van grote betekenis dat het om de gegevens van één verdachte gaat en de gegevens binnen een specifieke periode worden gevorderd.

Welke wettelijke grondslag?

Lange tijd hadden Nederlandse opsporingsinstanties geen ervaring met het vorderen van opgeslagen documenten bij clouddienstverleners. Daardoor bestond onduidelijkheid over de vragen welke juridische grondslag van toepassing is voor het vorderen van gegevens bij deze dienstverleners. (zie onder andere Zie E.J. Koops, R.E. Leenes, P.J.A. de Hert, & S. Olislaegers, ‘Misdaad en opsporing in de wolken: Knelpunten en kansen van cloud computing voor de Nederlandse opsporing’, WODC, Den Haag/Tilburg 2012).

Daar is nu verandering in gekomen. De Rechtbank Overijssel maakt duidelijk dat een clouddienstverlener die toegang verschaft tot documenten op afstand een elektronische communicatieprovider is en voor het vorderen van deze gegevens een machtiging van een rechter-commissaris is vereist.

Wel rekt de rechtbank Overijssel door de uitspraak het begrip ‘aanbieder van een elektronische communicatiedienst’ enigszins op. Een tekstuele uitleg op basis van artikel 126la Sv zou met zich meebrengen dat de dienstverlening gekoppeld moet zijn aan een communicatiedienst.

Artikel 126la sub a Sv luidt als volgt: “aanbieder van een communicatiedienst: de natuurlijke persoon of rechtspersoon die in de uitoefening van een beroep of bedrijf aan de gebruikers van zijn dienst de mogelijkheid biedt te communiceren met behulp van een geautomatiseerd werk, of gegevens verwerkt of opslaat ten behoeve van een zodanige dienst of de gebruikers van die dienst” (onderstreping toegevoegd).

Dat “een vorm van telecommunicatie plaatsvindt” is niet voldoende. Het lijkt wel alsof de rechtbank is uitgegaan van het oude begrip ‘aanbieder van een openbare telecommunicatiedienst- of netwerk’ in het Wetboek van Strafvordering. Deze term is afkomstig uit hoofdstuk 13 van de Telecommunicatiewet, maar verschilt met de huidige term aanbieder van een elektronische communicatiedienst in het Wetboek van Strafvordering. Bij aannemen van de Wet computercriminaliteit II is het huidige begrip in art. 126la Sv geïntroduceerd. Daarbij is de nadruk meer komen te liggen op het verlenen van een elektronische communicatiedienst zelf en minder op het routeren van signalen over een telecommunicatienetwerk. Webmailproviders, elektronische communicatieaanbieders die gebruik maken van apps voor hun dienstverlening en sociale mediadiensten worden bijvoorbeeld aangemerkt als een aanbieder van een elektronische communicatiedienst, maar zijn geen aanbieder van een openbare telecommunicatiedienst- of netwerk. (Zie G. Odinot, D. de Jong, R.J. de Bokhorst & C.J. de Poot, ‘De Wet bewaarplicht telecommunicatiegegevens’, WODC, Den Haag: Boom Lemma Uitgevers 2013. Zie ook Kamerstukken II 2003/04, 29441, nr. 3, p. 14, Kamerstukken II 2007/08, 31145, nr. 9, p. 6, Kamerstukken I 2008/09, 31145, nr. F, p. 4 en Kamerstukken II 2015/16, 34537, nr. 3, p. 43. Zie ook Opinie 02/2013 over apps op intelligente apparaten van de art. 29 Werkgroep, 00461/13/NL WP 202, p. 25, noot 46)

De wijziging vindt haar achtergrond in de implementatie van het Cybercrimeverdrag als onderdeel van de Wet computercriminaliteit II. Helaas is het Cybercrimeverdrag ook dubbelzinnig over de betekenis van het begrip. In paragraaf 27 van de toelichting op het verdrag staat dat diensten die een verbinding tot een netwerk bewerkstelligen onder het begrip vallen. Daarmee wordt het begrip breed geïnterpreteerd. Een zin later wordt het echter weer versmald door te stellen dat de dienstverlening gekoppeld moet zijn aan een communicatie- of verwerkingsdienst. In casu gaat het echter om een platform dat op afstand toegang verschaft tot documenten die opgeslagen liggen op een server elders. Deze dienstverlening is vergelijkbaar met een online opslagdienst. Het is de vraag of het benodigde communicatieaspect in art. 126la Sv daarbij van toepassing is.

Conclusie

Toch heb ik veel sympathie voor de beslissing van de rechtbank. Het Cybercrimeverdrag biedt aanknopingspunten voor de interpretatie dat clouddienstverleners als een aanbieder van een elektronische communicatiedienst moeten worden aangemerkt. Bovendien is voor het vorderen van opgeslagen gegevens bij een elektronische communicatiedienstverlener art. 126ng lid 2 Sv van toepassing. Op basis van artikel 126ng lid 2 Sv moet een rechter-commissaris een machtiging geven aan de officier van justitie om deze gegevens te mogen vorderen. Deze strenge waarborgen zijn wenselijk gezien de serieuze privacy-inmenging dat het vorderen van opgeslagen documenten met zich meebrengt. Het alternatief zou zijn dat de gegevens op basis van art. 126nd Sv kunnen worden gevorderd, waarvoor minder waarborgen gelden. Voor toepassing van deze bevoegdheid is namelijk slechts een bevel van een officier van justitie vereist. Vanuit privacyperspectief is de ruime interpretatie van het begrip elektronische communicatieaanbieder daarom zo gek nog niet.

Deze annotatie is in vergelijkbare vorm verschenen in Computerrecht.

noot-computerrecht-j.j.-oerlemans-vorderen-van-gegevens-in-de-cloud-20-februari-2017 Download

Veroordeling voor online drugshandel op Agora en Evolution

16 maart 201716 januari 2020jjoerlemans Een reactie plaatsen

Op 10 maart 2017 heeft de Rechtbank Noord-Holland een verdachte veroordeeld (ECLI:NL:RBNHO:2017:1940) voor online drugshandel en gewoontewitwassen. De verdachte handelde in voornamelijk XTC-pillen en LSD via de – indertijd populaire – online drugsforums ‘Agora’ en ‘Evolution’. Deze forums zijn zogenaamde ‘hidden services’ en alleen bereikbaar via het Tor netwerk. De verdachte specialiseerde zich in zijn omvangrijke handel in het bevoorraden van de zogenaamde ‘resellers’ en behoorde daarmee tot het hogere segment van de drugshandel.

De zaak is ook interessant, omdat wordt beschreven hoe de rechercheurs van de ‘TNO darkwebmonitor’ gebruik maakten om bewijs te verzamelen. Daarbij is onder andere gebruik gemaakt van de beoordelingen van klanten van de drugshandelaar op de fora. De onderzoekshandelingen zijn klaarblijkelijk goed gedocumenteerd.

In de zaak wordt ook uitgebreid ingegaan op de gebruikte ‘cryptocurrencies’ door de verdachte, die vaak worden gebruikt voor witwassen (zie ook Computerrecht 2017/35). In casu betroffen deze virtuele valuta bitcoins, paycoins en opalcoins. Met behulp van financieel rechercheren zijn de rechercheurs nagegaan of er een verbinding gemaakt kon worden tussen de bitcoinadressen in de digitale portemonnee op de laptop van de verdachte en de transacties en bitcoinadressen die voorkomen op genoemde darknet markets. In de periode van 24 februari tot en met 9 maart 2015 waren bijvoorbeeld 889,90 bitcoins naar de forums overgemaakt met een toenmalige waarde van 208.125,72 euro. Daarbij is van 16 transacties vastgesteld dat de verdachte deze heeft ontvangen van Evolution of Agora.

De verdachte is veroordeeld voor gewoontewitwassen. De herkomst van de cryptocurrencies (uit de online drugshandel) werd verhult door het omwisselen van de bitcoins in euro’s. Deze geldbedragen zijn middellijk afkomstig uit enig misdrijf. De rechtbank kwalificeert de aanschaf van de personenauto’s en luxe goederen als verhullingshandelingen, nu deze zijn aangeschaft met geld afkomstig uit handel in verdovende middelen. Het virtuele geld dat de verdachte nog in zijn bezit had en de luxegoederen worden door de rechtbank verbeurd verklaard. Ondanks de relatief jeugdige leeftijd van verdachte tijdens het begaan van die feiten, wordt de verdachte veroordeeld voor de forste gevangenisstraf van 3 jaren.

Annotatie TorRAT

15 september 201615 januari 2020jjoerlemans Een reactie plaatsen

Rechtbank Rotterdam 20 juli 2016, ECLI:NL:RBROT:2016:5814, Computerrecht 2016/175, m.nt. J.J. Oerlemans

Deze uitspraak (ECLI:NL:RBROT:2016:5814) betreft één van de weinige veroordelingen voor banking malware in combinatie met witwassen (Zie ook Rb. Rotterdam, 2 oktober 2015, ECLI:NL:RBROT:2015:7041 en Rb. Zeeland 29 juni 2016, ECLI:NL:RBZWB:2016:3877) De zaak geeft een exclusief kijkje in de high tech wereld van banking malware en het witwassen van de crimineel verkregen gelden. Op juridisch gebied is de bewijsconstructie van de rechtbank interessant en moet de vraag worden gesteld op welke wijze witgewassen bitcoins in beslag kunnen worden genomen.

Modus operandi banking malware

De verdachten hebben met kwaadaardige software, genaamd “TorRAT”, computers besmet teneinde de internetbankiersessie van hun slachtoffers te manipuleren. De computers van slachtoffers werden besmet via e-mails met ogenschijnlijk een aanmaning of voorstel voor een betalingsregeling. Na het openen van de bijlage werd de malware op de computers van de slachtoffers geïnstalleerd en maakte de software via het anonimiseringprogramma Tor verbinding met de zogenaamde Command-and-Control server van de verdachten. Via een Command-and-Control server hebben de verdachten een overzicht van de besmette computers en kunnen instructies aan de besmette computers (ook wel ‘zombie computers’ genoemd) worden verstuurd. De verdachten verkrijgen daarmee controle over enkele functionaliteiten van de computers. Software dat functionaliteiten van computers op afstand kan overnemen wordt ook wel een Remote Access Tool (of RAT) genoemd. Samen met het feit dat de malware verbinding maakt met Tor, kan de naam van de malware – TorRAT – worden verklaard.

In dit geval heeft de malware als doel om de internetbankiersessies van de slachtoffers te manipuleren. In de uitspraak wordt beschreven dat de malware in werking treed op het moment dat een slachtoffer zijn of haar bankwebsite opzoekt om online te bankieren. Met de malware kan tijdens het internetbankieren (buiten het zicht van de gebruiker) het rekeningnummer, de naam van de begunstigde en de omschrijving van de betaling worden aangepast en vervolgens geld naar een ander rekeningnummer worden overgemaakt.

Witwassen

Op deze wijze zijn betalingen met de TorRAT malware gewijzigd en omgeleid naar money mules. Money mules worden door de rechtbank omschreven als personen die hun rekening, bankpas en pincode, al dan niet bewust en al dan niet vrijwillig, ter beschikking hebben gesteld. Vervolgens is het geld in de meeste gevallen zo snel mogelijk in contant opgenomen of omgezet in de virtuele valuta Bitcoin. Bitcoins kunnen worden aangekocht via Bitcoin exchanges. Deze handelingen leverden volgens de rechtbank de volgende delicten op: computervredebreuk (art. 138ab Sr), het verzenden van spam (art. 138b Sr (voor het versturen van de spam), het aftappen of opnemen van gegevens met malware (art. 138c Sr), het installeren van malware (art. 139d Sr), het in bezit hebben van de malware (art. 139e Sr), diefstal met een valse sleutel (art. 311 lid 1 onder 4 en 5 Sr) en oplichting (art. 326 Sr).

De rechtbank acht tevens het delict gewoontewitwassen (art. 420bis Sr) bewezen. De vereiste verhullingshandeling bestond daarbij uit het overboeken van het geld naar de rekeningen van money mules, waarna het geld veelal contant werd gemaakt door middel van betalingen of door omzetting in bitcoins. De overboeking van de rekening van een slachtoffer naar de money mule ziet de rechtbank als diefstal en nog niet als witwassen. Het is de daarop volgende versluiering van de criminele herkomst door het contant maken of omzetting in bitcoins dat de gedraging tot witwassen maakt. De rechtbank komt ook tot het oordeel dat sprake is van een criminele organisatie (art. 140 Sr). Daarbij wordt opgemerkt dat voor het plegen van de ‘cyberfraude’ een daarop gerichte organisatie noodzakelijk is. Een groep van personen heeft in dit geval de malware is ontwikkeld, servers zijn gehackt om de e-mails voor de malware verspreiding te distribueren, en money mules zijn geronseld om beschikking te krijgen over rekeningen om geld op te storten. De rechtbank komt tot de conclusie dat daarvoor een planmatige aanpak, samenwerking en duidelijke afstemming tussen de betrokkenen noodzakelijk is geweest. Ter onderbouwing van deze samenwerking worden enkele passages afkomstig uit e-mails aangehaald. De verdachten maakten gebruik van de (niet meer beschikbare) dienst TorMail, dat kan worden beschreven als een gratis webmail dienst dat alleen via Tor bereikbaar is. Uit de uitspraak wordt niet helder hoe toegang tot deze e-mails is verkregen.

Veroordeling

De verdachte was één van de oprichters van de criminele organisatie en had een leidinggevende rol binnen het criminele samenwerkingsverband. Hij is veroordeeld tot een gevangenisstraf van 3 jaar. Tevens moet de verdachte een stevige schadevergoeding betalen van € 105.491,42 aan de ING. De vordering van de Rabobank werd onvoldoende gemotiveerd geacht. De medeverdachten zijn veroordeeld voor gevangenisstraffen variërend van 9 tot 36 maanden, afhankelijk van hun rol binnen de criminele organisatie en strafblad.

Aangifte ING

Met betrekking tot de bewijsvoering is het interessant dat de officier van justitie stevig leunt op bijlagen van frauduleuze transacties die zijn aangeleverd door een IT beveiligingsbedrijf en de betrokken banken zelf. De verdediging voerde echter aan dat daaruit niet direct blijkt dat de TorRAT malware deze frauduleuze transacties veroorzaakt. Teneinde de causaliteit vast te stellen bespreekt de rechtbank 15 frauduleuze transacties uitvoerig. Daaruit blijkt volgens de rechtbank dat de configuratiebestanden afkomstig zijn van TorRAT en de frauduleuze transacties met de malware zijn uitgevoerd.

Overigens zij opgemerkt dat de rechtbank in de uitspraken onder andere IP adressen in zijn geheel opneemt. Daar kan kritiek op worden geleverd, omdat de IP adressen (nog steeds) zijn terug te voeren tot bepaalde dienstverleners en door de Autoriteit Persoonsgegevens IP adressen als een persoonsgegeven beschouwd.

Omzetten bitcoins

Ten slotte is het opvallend dat in het persbericht van het Openbaar Ministerie over de zaak in 2013 nog wordt opgemerkt dat beslag is gelegd op 56 bitcoins, die destijds zijn omgezet in meer dan 7700 euro. De uitspraak refereert hier niet naar deze beslaglegging. Evenwel sta ik hier kort bij stil aangezien die inbeslagneming van bitcoins een aantal juridische vragen oproept.

Ten eerste de vraag of bitcoins als goed gekwalificeerd kunnen worden en daarmee vatbaar zijn voor inbeslagname. Hoewel een goed ook onstoffelijk kan zijn en giraal geld kan betreffen, worden gegevens binnen het strafrecht in principe niet gekwalificeerd als goed. Uit verschillende arresten kan echter worden afgeleid dat als de gegevens, kort gezegd, uniek zijn en in het economisch verkeer van waarde is, zij toch als goed kunnen worden beschouwd zie o.a. (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)) Het Openbaar Ministerie neemt ook de positie in dat bitcoins als goed kunnen worden beschouwd en vatbaar zijn voor inbeslagname.

De tweede vraag is op welke wijze de bitcoins in beslag kunnen worden genomen. Er is geen formele openbare werkwijze van het Openbaar Ministerie beschikbaar. Een UNDOC rapport (.pdf) over witwassen met virtuele betalingsmiddelen beschrijft dat het gebruikelijk is dat, indien de bitcoins zich in een Bitcoin portemonnee op een computer of gegevensdrager bevinden, eerst het voorwerp zelf in beslag worden genomen. Vervolgens kunnen de bitcoins worden overgemaakt naar een Bitcoinadres dat is aangemaakt door de opsporingsambtenaren. Als laatste stap kunnen de ‘inbeslaggenomen’ bitcoins via Bitcoin exchanges worden omgezet in euro’s en op een rekening van het Openbaar Ministerie worden gestort. Uit een interview in het magazine van het Openbaar Ministerie blijkt dat deze wijze van inbeslagname overeenkomt met de wijze waarop bitcoins in Nederland in beslag worden genomen.

Slechts één uitspraak (ECLI:NL:GHARL:2016:5563) is beschikbaar waarin expliciet wordt genoemd dat de gegevensdrager, een USB-stick met daarop 147 bitcoins, verbeurd is verklaard door de rechtbank omdat de bitcoins op strafbare wijze zijn verkregen en de USB-stick aan de verdachte toebehoord. Onduidelijk blijft in ieder geval op welke wijze bitcoins in beslag worden genomen die alleen via een portemonnee in een online account bereikbaar zijn. Wordt daarvoor misschien van een vorm van een netwerkzoeking gebruik gemaakt? Het laatste woord zal dus nog niet gezegd zijn over de inbeslagname van bitcoins en andere digitale betalingsmiddelen.

Deze annotatie is in soortgelijke tekst verschenen in Computerrecht (.pdf (per abuis is als titel ‘Megaserver’ aangegeven)).

Cybercrime jurisprudentie overzicht september 2016

8 september 201615 januari 2020jjoerlemans Een reactie plaatsen

Veroordeling voor gebruik van banking malware en witwassen

Op 29 juni 2016 heeft de Rechtbank Zeeland-West-Brabant (ECLI:NL:RBZWB:2016:3877) de leider van een criminele cybercrimeorganisatie veroordeeld tot twee jaar gevangenisstraf. De verdachte heeft zich schuldig gemaakt aan diefstal, witwassen en deelname aan een criminele organisatie. Bovendien is de verdachte veroordeeld voor de verspreiding van malware (art. 139d Sr), computervredebreuk (art. 138ab Sr), en gegevensaantasting (art. 350a Sr).

De uitspraak is interessant, omdat er vooralsnog weinig gepubliceerde uitspraken zijn over cybercrime en witwassen. Bovendien wordt in paragraaf 4.3.3 van de uitspraak op gedetailleerde wijze de werking van bankingmalware beschreven. Bij dit (niet nader gespecifieerde) type banking malware werden de slachtoffers besmet met de kwaadaardige software na het bezoeken van (advertenties van) bepaalde websites met kwetsbare computers. Na besmetting van de computer maakt de malware tijdens een bezoek aan de website van een vooraf geselecteerde bank, buiten het zicht van de gebruiker, geld over naar een rekeningnummer van een geldezel. Om dat te bewerkstelligen, wordt tijdens een elektronisch bankiersessie een splitsing van de sessie gemaakt waarbij een tweede betaling wordt klaargezet. Na authenticatie van de eerste betaling wordt tegelijkertijd geld buiten het zicht van het slachtoffer overgemaakt naar een geldezel. Het geld werd vervolgens kort na de overboeking gepind. In de uitspraak wordt ook aangegeven dat na de overboeking direct bitcoins door de daders zijn aangekocht.

De rechtbank stelt vast dat sprake is van diefstal door middel van gebruikmaking van een valse sleutel, omdat met behulp van banking malware door derden in totaal een bedrag van € 81.168,76 is weggenomen van de slachtoffers. De rechtbank stelt vervolgens vast dat van witwassen sprake is. De verdachte was op de hoogte van het feit dat geldbedragen van diefstal door middel van gebruik van een valse sleutel afkomstig waren en met behulp van malware overboekingen werden gedaan. Gelet op de verhullingshandelingen (door het overgeboekte geld direct contant op te nemen en de aankoop van bitcoins) en het feit dat de verdachte wist dat wat er gaande is, wordt het delict gewoontewitwassen bewezen geacht. Ten slotte verklaart de rechtbank het bewezen dat sprake is van een criminele organisatie.

Phishing-bende veroordeeld

Op 15 juli 2016 zijn drie mannen en twee vrouwen veroordeeld voor het op grote schaal plegen van oplichting door middel van phishing (Rb. Den Haag 15 juli 2016, ECLI:NL:RBDHA:2016:7981). De vijf vormden een criminele organisatie met als doel het plegen van phishing.

In dit geval zijn mensen met een rekening bij de Rabobank benaderd via een vals mailbericht met het aanbod voor het aanvragen van een nieuwe Rabo Scanner. Via de link werden de slachtoffers doorverwezen naar een website waarop zij hun persoonlijke gegevens hebben ingevuld ten behoeve van de aanvraag. Daarna belde een van de vrouwen hen op, die zich voordeed als medewerkster van de Rabobank. Gedurende het telefoongesprek liet zij de slachtoffers hun codes afgeven, waarna het geld van de rekening van de slachtoffers werd overgeboekt naar andere rekeningen, en vervolgens contant werd opgenomen of uitgegeven.

De slachtoffers zijn bewogen tot een afgifte van in totaal € 500.000. Daarnaast heeft de Rabobank ongeveer € 500.000 aan overboekingen tegengehouden. De drie mannen en één vrouw krijgen tot 3 jaar gevangenisstraf door de rechtbank opgelegd. Daarnaast zijn ze veroordeeld tot het vergoeden van de schade die is geleden door de Rabobank tot een bedrag van € 468.644,58, te vermeerderen met de wettelijke rente.

Veroordeling drugshandel via internet en inbeslagname van USB-stick met bitcoins

Op 7 juli 2016 heeft het Gerechtshof Arnhem-Leeuwarden enkele verdachten veroordeeld tot drugshandel via internet en deelname aan een criminele organisatie (ECLI:NL:GHARL:2016:5563). De zaak is relevant, omdat wordt beschreven op welke wijze drugshandel via internet plaatsvindt en bitcoins in beslag zijn genomen.

De verdachten handelden in pillen met MDMA. De pillen werden verpakt in DVD hoesjes en via de post verstuurd. De drugs werd verkocht via een (niet nader genoemd) online drugsforum en de betaling vond plaats in bitcoin. Door één van de verdachten werden de bitcoins in contant geld omgewisseld. In de zaak wordt beschreven hoe opsporingsambtenaren tijdens een doorzoeking op relevant digitaal bewijs stuitten.

De rechtbank omschrijft dat de verbalisanten tijdens de doorzoeking van een woning een laptop zagen waarop de online drugshandel website nog open stond en er een account was aangemaakt waarmee 30 opdrachten/bestellingen waren verricht. Bovendien stond de laptop ingelogd met account X en stond het account van de verdachte omschreven als ‘seller’.

Een USB-stick, maar daarop 147 bitcoins is door het hof vatbaar verklaard voor verbeurdverklaring, omdat de bitcoins door middel van strafbare feiten zijn verkregen en aan de verdachte toebehoorden. Het gerechtshof veroordeelt de verdachten tot drie jaar gevangenisstraf, waarvan twee jaar voorwaardelijk, met een proeftijd van drie jaar.

jjoerlemans.com

Categorie Jurisprudentie