Het valt mij in de rapporten op dat op basis van incidenten soms grote conclusies worden getrokken. Toch is het belangrijk om de gesignaleerde trends op een rij te zetten. In deze blog vat ik daarom een aantal van die ontwikkelingen samen. De vijf trends heb ik zelf geselecteerd. Na het lezen heb ik voor deze tekst gebruik gemaakt van Copilot Researcher en Notebook LM. Een automatisch gegenereerde podcast is hieronder te beluisteren.
1. Verlagen van drempels voor criminaliteit en de versterking van cyberaanvallen
Criminelen zetten AI in om cyberaanvallen sneller, groter en effectiever te maken. Het Britse National Cyber Security Centre (NCSC), onderdeel van GCHQ, waarschuwde in 2024 dat AI de omvang en impact van cyberaanvallen vrijwel zeker zal vergroten in de nabije toekomst. Dit komt doordat AI de benodigde technische kennis verlaagt en aanvallen automatiseert. Zie ook de tabel op The near-term impact of AI on the cyber threat – NCSC.GOV.UK.
Door generatieve AI kunnen ook onervaren of minder technisch onderlegde daders geavanceerde aanvallen uitvoeren. AI-modellen genereren bijvoorbeeld phishing-teksten en malwarecode waardoor de drempel voor nieuwe cybercriminelen daalt. Fraude en kindermisbruik worden vaak expliciet genoemd als domeinen die “bijzonder waarschijnlijk” door AI-gebruik zullen intensiveren. Europol signaleerde al in 2020 dat AI kan worden ingezet voor slimme wachtwoordkrakers, CAPTCHA-bots en gerichte social-engineeringaanvallen. Deze voorspellingen zien we nu werkelijkheid worden, met steeds geavanceerdere phishingaanvallen en door AI gegenereerde malware.
Daarnaast ontstaan illegale diensten waarbij cybercriminelen generatieve AI als betaalde dienst aanbieden. Volgens NCSC UK, de Organised Crime Agency (NCA) en Europol ontwikkelen kwaadwillenden eigen AI-tools en verkopen zij ‘GenAI-as-a-service’. Deze trend sluit aan bij de eerder gesignaleerde “vermarkting” van cybercrime-tools (zoals ransomware-as-a-service) in Europol-rapporten. Ook het UNODC-rapport uit 2024 signaleert dit fenomeen voor fraude en oplichting.
De beschikbaarheid van dergelijke tools, ook in kwaadaardige varianten op het dark web zonder ‘guardrails’, verlaagt de drempel voor cyberactoren zonder diepgaande technische vaardigheden. Criminelen gebruiken LLM’s om scripts te ontwikkelen voor phishingmails of websites voor gegevensdiefstal. Het groeiende ‘phishing-as-a-service’-aanbod weerspiegelt de automatisering van deze aanvalsvector.
2. Georganiseerde criminaliteit en AI
Veel van bovenstaande ontwikkelingen komen samen in de georganiseerde misdaad. Het SOCTA-rapport 2025 stelt dat criminelen AI als “onderdeel van hun gereedschapskist” beginnen te gebruiken. Klassieke activiteiten zoals drugshandel convergeren met cybercriminaliteit. Grote criminele groepen investeren in online fraude en datadiefstal naast hun traditionele handel. Zie eerder ook deze samenvatting van het SOCTA-rapport.
Europol signaleert ook vermenging met statelijke actoren. Criminele netwerken kunnen gegevens stelen voor staten door in te breken in beveiligde systemen. Deze informatie kan worden gebruikt voor spionage, economische voordelen of chantage. Daarnaast spelen deze netwerken een sleutelrol in desinformatiecampagnes, waarbij nepaccounts, trollen en gemanipuleerde nieuwscontent worden ingezet om democratische instellingen te ondermijnen.
Criminele organisaties misbruiken corruptie om vervolging te vermijden, onder meer door het omkopen van politie en justitie. Digitale trends versterken dit fenomeen: corrupte contacten worden online geworven, betalingen verlopen via cryptovaluta, en personen met toegang tot digitale systemen zijn belangrijke doelwitten. Netwerken gebruiken versleutelde communicatieplatforms zoals EncroChat en Sky ECC, maar ook reguliere apps om te rekruteren, handelen en betalingen te regelen.
Geweld wordt steeds vaker als dienst aangeboden (‘violence-as-a-service’), gefaciliteerd door online platforms en versleutelde communicatie. Jongeren worden actief gerekruteerd voor cyberaanvallen, drugshandel en als geldezel, vaak via sociale media en met verleidelijke tactieken zoals gamificatie. Technologie speelt ook een rol in traditionele misdrijven: online werving voor mensenhandel, wapensmokkel en illegale streamingdiensten. AI en 3D-printing vergroten de toegang tot vuurwapens en maken productie van vervalste medicijnen mogelijk. Digitale piraterij en online verkoop van illegale geneesmiddelen blijven groeien, ondersteund door anonimiserings- en cryptotechnieken.
Ook de UNODC signaleert hoe online gokken, grootschalige oplichting en witwassen van cryptocurrencies samenkomen in één ecosysteem, aangejaagd door AI-tools. Dit leidt tot een “criminele dienstverleningseconomie”, waarin phishingkits, valse documenten en AI-gegenereerde propaganda worden verhandeld. De VN noemt Zuidoost-Azië een proeftuin voor AI-gedreven criminaliteit. Scam-centra rekruteren jonge mensen onder valse voorwendselen en dwingen hen om samen met AI-systemen slachtoffers op te lichten. AI automatiseert een groot deel van het werk, terwijl mensen geloofwaardige interacties onderhouden.
Ook de AIVD constateerde in 2024 (‘Versterkte dreigingen in een wereld vol kunstmatige intelligentie’ .pdf) dat AI door iedereen kan worden gebruikt voor het maken van malware en phishingberichten, wat de dreiging door niet-statelijke actoren vergroot. Het SOCTA-rapport noemt ook hoe criminele organisaties door staten worden ingezet voor sabotage van kritieke infrastructuur, informatiediefstal en cyberaanvallen. Een van de belangrijkste manieren waarop zij bijdragen, is via ransomware-aanvallen op kritieke infrastructuur, bedrijven en overheidsinstanties. Deze aanvallen genereren niet alleen financiële inkomsten – vaak via cryptovaluta – maar dienen ook om tegenstanders te ontwrichten door essentiële diensten lam te leggen, chaos te creëren en het vertrouwen van het publiek te ondermijnen.
Een concreet voorbeeld is de cyberaanval op de Nationale Politie in september 2024 door de waarschijnlijk staatsgesteunde Russische groep LAUNDRY BEAR (zie deze advisory report .pdf).
LAUNDRY BEAR richt zich, net als andere Russische cyberdreigingsactoren, voornamelijk op landen die lid zijn van de EU of NAVO. De groep valt vooral organisaties aan die relevant zijn voor de Russische oorlogsinspanningen in Oekraïne, zoals defensieministeries, krijgsmachtonderdelen, defensiebedrijven en EU-instellingen. Ook ministeries van Buitenlandse Zaken en andere overheidsorganisaties behoren tot de doelwitten. Naast Europa zijn er aanvallen waargenomen in Oost- en Centraal-Azië. In 2024 voerde LAUNDRY BEAR aanvallen uit op defensiecontractanten, luchtvaartbedrijven en hightech ondernemingen, waarschijnlijk om gevoelige informatie te verkrijgen over wapenproductie en leveringen aan Oekraïne. De groep lijkt kennis te hebben van militaire productieprocessen en probeert technologieën te bemachtigen die door sancties moeilijk toegankelijk zijn.
Naast militaire en overheidsdoelen richt LAUNDRY BEAR zich ook op civiele organisaties en commerciële bedrijven, vooral in de IT- en digitale dienstensector. Deze netwerken bieden vaak indirecte toegang tot overheidsinformatie, waardoor ze aantrekkelijk zijn voor spionage. Verder zijn aanvallen vastgesteld op NGO’s, politieke partijen, media, onderwijsinstellingen en kritieke infrastructuur, vrijwel zeker met spionagedoeleinden. In vergelijking met andere Russische actoren heeft LAUNDRY BEAR een hoge succesgraad. De meest getroffen sectoren zijn: overheidsorganisaties, defensie en defensiecontractanten, IT- en digitale diensten, sociale en culturele organisaties, onderwijs en kritieke infrastructuur.
3. AI in fraude en oplichting
Criminelen misbruiken deepfakevideo’s, -audio en -afbeeldingen om vertrouwen te winnen of druk uit te oefenen. Europol waarschuwde in 2022 dat deepfakes een “standaardtool voor georganiseerde misdaad” dreigen te worden. Voorbeelden zijn CEO-fraude (waarbij een vervalste stem of video van een leidinggevende ondergeschikten instrueert geld over te maken), vervalsing van bewijs en productie van niet-consensueel seksueel materiaal.
LLM’s versnellen aanvalsvoorbereiding door automatisch grote hoeveelheden informatie over doelwitten te verzamelen. Ze genereren foutloze phishingmails in meerdere talen en imiteren schrijfstijlen, wat spearphishing veel geloofwaardiger maakt.
Een concrete toepassing is het creëren van synthetische identiteiten met AI. Criminelen gebruiken AI-gegenereerde gezichten en stemmen om zich voor te doen als betrouwbare derden – bijvoorbeeld als helpdeskmedewerker, bankmedewerker of bekende van het slachtoffer. Voice cloning (het klonen van stemmen) is dermate geavanceerd dat in enkele gevallen in 2023–2024 bedrijfsmedewerkers zijn opgelicht door een telefoontje dat klonk als hun directeur, waarin om een spoedoverboeking werd gevraagd. Uit het UNODC-rapport blijkt ook dat ze geloofwaardige valse identiteitsdocumenten of profielfoto’s genereren om verificaties te omzeilen. Dit omvat bijvoorbeeld AI-gedreven ‘identity masking’, waarbij online profileren automatisch worden gerouleerd, deepfake-video’s worden gebruikt tijdens illegale transacties, of het foppen van biometrische toegangscontroles.
Dankzij AI kunnen fraudeurs hun aanpak beter afstemmen op hun doelwitten. Tools kunnen enorme datasets doorzoeken (OSINT) en patronen herkennen om bijvoorbeeld overtuigende persoonlijke babbels of op maat gemaakte phishing-mails te genereren. De Nederlandse politie verwacht dat social engineering-aanvallen de komende jaren verder verfijnd en grootschaliger worden door AI. In het Fenomeenbeeld Online Fraude 2024 wordt expliciet vermeld dat de trend van steeds gerichtere benadering van slachtoffers “vermoedelijk zal versnellen onder invloed van kunstmatige intelligentie”.
Uit een andere analyse van het United Nations Office on Drugs and Crime (UNODC 2024) blijkt dat criminele fraudenetwerken in Zuidoost-Azië op grote schaal AI inzetten om slachtoffers wereldwijd te bereiken. De onderzoekers zagen een stijging van meer dan 600% van deepfake-content op criminele fora in de eerste helft van 2024 vergeleken met eerdere periodes. Zij combineren bijvoorbeeld gescripte chatbots met deepfake-profielen om geloofwaardige gesprekken te voeren in meerdere talen.
4. AI en seksuele uitbuiting
Een van de meest verontrustende ontwikkelingen sinds 2023 is het gebruik van AI voor het produceren van seksueel materiaal van minderjarigen (ook wel: materiaal van seksueel misbruik van kinderen (CSAM).
Sinds 2023 neemt het gebruik van AI voor het produceren van seksueel materiaal van minderjarigen sterk toe. Politie en opsporingsinstanties zien een duidelijke stijging van AI-gegenereerde afbeeldingen en video’s van kindermisbruik. In Nederland meldde de politie in 2024 dat dit materiaal “steeds vaker opduikt” in onderzoeken. Rechercheurs besteden veel tijd aan het vaststellen of een afbeelding echt is of door AI is gemaakt, wat capaciteit wegneemt van het bestrijden van daadwerkelijk misbruik.
Europol bevestigt deze trend in het iOCTA-rapport 2024: volledig synthetische of door AI gemanipuleerde CSAM vormt een opkomende dreiging.
iOCTA rapport van 2024 op Europees niveau: volledig synthetische of door AI gemanipuleerde CSAM komt steeds vaker voor. ‘Operation Cumberland’ illustreert dit: wereldwijd werden ~270 kopers geïdentificeerd en diverse arrestaties verricht. De Nederlandse politie voerde met vier geïdentificeerde kopers waarschuwingsgesprekken om herhaling te voorkomen.
Nederlandse en internationale politiediensten maken daarbij geen onderscheid in echte of met AI gegenereerde CSAM. Dit is niet alleen omdat de impact (normalisering van misbruikfantasieën) ernstig is, maar ook omdat voor de training van zulke AI vaak echte misbruikbeelden worden gebruikt.
5. Prompt injection attacks
De NCSC UK legt uit dat ‘prompt injection’ een relatief nieuwe kwetsbaarheid is in generatieve AI-toepassingen (ontstaan in 2022). Het treedt op wanneer ontwikkelaars eigen instructies combineren met onbetrouwbare inhoud in één prompt en aannemen dat er een duidelijke scheiding bestaat tussen ‘wat de app vraagt’ en externe data.
In werkelijkheid maken LLM’s geen onderscheid tussen data en instructies; ze voorspellen simpelweg het volgende token. Hierdoor kan een aanvaller via indirecte prompt injection – bijvoorbeeld door verborgen tekst in een CV – het model ongewenste acties laten uitvoeren. Dit maakt prompt injection fundamenteel anders dan klassieke kwetsbaarheden zoals SQL-injectie, waarbij mitigaties zoals parameterized queries effectief zijn.
De NCSC adviseert om prompt injection niet te zien als code-injectie, maar als exploitatie van een ‘inherently confusable deputy’. Ontwikkelaars moeten systemen zo ontwerpen dat ze geen privileges blindelings doorgeven aan LLM’s. Dit betekent: toegang tot gevoelige tools beperken, deterministische beveiligingslagen toepassen en invoer, uitvoer en mislukte API-calls monitoren. Volledige preventie lijkt onhaalbaar, maar het verkleinen van kans en impact is essentieel. Zonder maatregelen dreigt prompt injection dezelfde golf van incidenten te veroorzaken als SQL-injectie in het verleden.
Bron: infographic gegenereerd met Notebook LM op basis van de samenvatting
Op 26 november 2025 is het Cybersecuritybeeld Nederland 2025 (CSBN 2025 .pdf) gepubliceerd. Deze blog bevat een samenvatting van het rapport, waarbij gebruik is gemaakt van Notebook LM.
Het CSBN 2025 is uitgebracht onder de titel “Riskante mix in een onvoorspelbare wereld”. Dit wordt in het rapport meteen aan het begin als volgt verduidelijkt door erop te wijzen dat er Nederland meerdere organisaties doelwit waren van de Chinese statelijke actor Salt Typhoon, de Russische actor Laundry Bear een cyberaanval uitvoer op de Nationale Politie, Noord-Koreaanse hackers digitale valuta buitmaakten bij (onder andere) Nederlandse organisaties en werd Nederland voor het eerst slachtoffer werd van cybersabotage door een Russische staatsgesteunde groepering.
Alhoewel incidenten in Nederland niet hebben geleid tot maatschappelijke ontwrichting of significante impact op de nationale veiligheid, hadden verschillende incidenten wel die potentie, aldus het CSBN.
De toon is gezet!
Voorbeelden van nationale cybersecurity-incidenten
Ik bespreek eerst de cyberaanvallen op de Politie en het OM uit p. 18-23 van het rapport. Daarbij valt op dat er nog steeds relatief weinig informatie wordt gegeven. Daarom heb ik dat zelf maar antwoorden op Kamervragen erbij gezocht.
Had het CSBN de cybersecurity-incidenten bij de Politie en het OM niet centraal moeten zetten in plaats van aanvallen op de telecomsector? En waarom zijn er geen Kamervragen gesteld over het bericht over cybersabotage in Nederland? De begeleidende Kamerbrief bij het rapport bevat met name een opsomming van geplande wet- en regelgeving (deels ter implementatie van EU richtlijnen).
Politie
Eind september 2024 werd de politie slachtoffer van een hack waarbij contactgegevens van politiemedewerkers zijn buitgemaakt. Hierbij verkregen hackers toegang tot de gegevens van alle politiemedewerkers via de global address list en in sommige gevallen werden ook privégegevens buitgemaakt.
In antwoord op Kamervragen over het bericht “Politiehack van 62.000 medewerkers is gevaarlijk: naam agent is handelswaar” gaf de Minister van Justitie en Veiligheid aan de politie over de hack werd geïnformeerd door de inlichtingen- en veiligheidsdiensten. Daarop werden maatregelen getroffen, die zijn afgestemd op het huidige beeld, namelijk dat de inlichtingen- en veiligheidsdiensten het zeer waarschijnlijk achten dat een statelijke actor verantwoordelijk is voor het cyberincident bij de politie en dat de daders vermoedelijk gebruik hebben gemaakt van een zogenoemde pass-the-cookie-aanval. Het betreft onder meer ICT-maatregelen en maatregelen op het vlak van bewustwording, bijvoorbeeld een oproep tot extra waakzaamheid van politiemedewerkers op phishingmails en verdachte telefoontjes en berichten. Tevens monitort de politie of de buitgemaakte gegevens elders verschijnen. Tot slot blijft de politie alert op mogelijk nieuwe aanvallen. Daartoe monitort de politie haar systemen continu.
In mei 2025 maakten de inlichtingendiensten bekend dat de Russische groep ‘Laundry Bear’ verantwoordelijk was voor de aanval. Naast de aanval op de Nationale Politie werden wereldwijd ook andere organisaties door deze groep aangevallen, waaronder in Nederland.
Openbaar Ministerie
Op donderdag 17 juli 2025 ontkoppelde het Openbaar Ministerie de systemen van het internet naar aanleiding van een waarschuwing over kwetsbaarheden in Citrix NetScaler. Hierdoor moest het OM overstappen op noodprocedures om werkzaamheden voort te zetten. In het CSBN staat dit wat eufemistisch vermeld: “Dit zorgde voor hinder in de strafrechtketen, waarbij in sommige zaken ook direct vertraging ontstond.”
In het rapport is alleen te lezen dat “onbevoegden” toegang hebben verkregen tot de Citrix NetScaler-systemen van het OM. Er is tot op heden niet vastgesteld dat er gegevens zijn gemanipuleerd of weggehaald. Vreemd is ook dat er staat: “Ook bij de Dienst Justitiële Inrichtingen vond onderzoek plaats naar aanleiding van misbruik van de kwetsbaarheden”, zonder nadere toelichting. Het NCSC stelde dat meerdere kritieke Nederlandse organisaties succesvol zijn aangevallen via een van de Citrix-kwetsbaarheden en dat één van de kwetsbaarheden al ruim voor publieke bekendmaking werd misbruikt.
In een Kamerbrief uit augustus 2025 staat concreter dat “in de periode dat het OM geheel offline was er geen enkele informatie gedigitaliseerd (en soms geautomatiseerd) van en naar het OM worden gestuurd. Het OM en partners in en rondom de strafrechtketen hebben werkprocessen vastgesteld om proces(stukken) per post, fysiek of door andere organisaties dan het OM aan te leveren”. In deze brief staat ook dat erbij DJI en andere organisatie naar aanleiding van nader ondezoek ‘geen signaal gekomen van mogelijk misbruik in de achterliggende IT-omgevingen’. In de brief staan ook andere belangrijke nevengevolgen beschreven. Het ontbreken van informatie vanuit het OM voor de Justitiële Informatiedienst (Justid) ten behoeve van het Justitiële Documentatie Systeem (JDS) wordt bijvoorbeeld als “prangend knelpunt” benoemd. Het JDS is het officiële register waarin wordt bijgehouden wie op welk moment werd verdacht van een strafbaar feit en de afloop daarvan (sepot, vrijspraak of veroordeling). Het ontbreken van actuele gegevens van het OM in het JDS heeft tot gevolg dat partners in en rondom de strafrechtketen, burgers, gemeenten en lidstaten geen actuele informatie vanuit het OM ontvangen. Het OM en partners hebben werkafspraken gemaakt om de risico’s hiervan te mitigeren, maar deze risico’s zijn (nog) niet geheel uitgesloten.
Begin augustus sloot het OM systemen stapsgewijs weer aan op het internet. In november 2025 berichtte de Minister van Justitie en Veiligheid (eindelijk) dat er ‘inmiddels een eerste technisch en forensisch onderzoek uitgevoerd. Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Er wordt nog nader strafrechtelijk onderzoek gedaan. Over het lopende strafrechtelijke onderzoek kan ik geen mededelingen doen. Er zijn maatregelen genomen om risico’s zoals hernieuwd misbruik van systemen en het risico op datamanipulatie te mitigeren. Inmiddels is het OM weer online.’ Ook wordt er een onafhankelijke commissie ingesteld die de ICT-inbraak onderzoekt, waarbij expliciet gekeken wordt hoe toekomstige beveiligingsincidenten voorkomen kunnen worden.
Hack Clinical Diagnostics (Eurofins):
Nadat Bevolkingsonderzoek Nederland melding maakte van een datalek, maakte Clinical Diagnostics (Eurofins) in augustus 2025 bekend dat gevoelige patiëntgegevens zijn gestolen van zorgverleners die onderzoek hebben laten uitvoeren bij het laboratorium. Dit gebeurde tijdens een ransomware-aanval in juli.
De organisatie Bevolkingsonderzoek Nederland informeerde 941.000 personen dat hun data mogelijk is buitgemaakt. Het datalek reikt echter verder dan deze organisatie: ook gegevens van onderzoeken voor andere zorginstellingen, zoals ziekenhuizen en huisartsen, zijn getroffen. Cybercriminelen claimden 300 GB aan data te hebben gestolen, waarvan een deel online verscheen. Uit een analyse van RTL Nieuws bleek dat het gaat om namen, adressen, geboortedata, burgerservicenummers en informatie over onderzoeksuitslagen. Ook adviezen naar aanleiding van onderzoeken zijn buitgemaakt. Onder de gegevens bevinden zich ook data van politici, gedetineerden, tbs’ers en vrouwen in blijf-van-mijn-lijfhuizen.
De hackersgroep eiste losgeld en dreigde de gestolen gegevens te publiceren. Later volgde een tweede eis, met de dreiging om alle data openbaar te maken omdat afspraken niet zouden zijn nagekomen, maar deze eis werd later ingetrokken. Clinical Diagnostics zou in eerste instantie losgeld hebben betaald om verdere datalekken te voorkomen, maar het bedrag is onbekend. In een Kamerbrief van 1 september 2025 is meer te lezen over de hack. Het advies voor de mensen die een brief van Bevolkingsonderzoek Nederland hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is en blijft om extra alert te zijn op vreemd gebruik van de persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. De Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ) zijn inmiddels beide een onderzoek gestart.
Op 19 november 2025 verscheen een antwoord op Kamervragen van staatssecretaris Tielen. In de brief staat dat het Openbaar Ministerie onderzoek doet naar de hack. Ook zijn lab inmiddels zijn nagenoeg alle benaderde laboratoria toegevoegd aan een ‘scanningsdienst’ van Z-CERT, waarmee continu gemonitord wordt op bekende kwetsbaarheden op de systemen van deze laboratoria die benaderbaar zijn via het internet. De resultaten worden aan de laboratoria teruggekoppeld, zodat zij waar nodig maatregelen kunnen treffen.
De MIVD stelde vast dat Nederland in 2024 voor het eerst slachtoffer was van moedwillige cybersabotage door een Russische staatsgesteunde groepering, gericht op het digitale bedieningssysteem van een openbare faciliteit. Dit werd op 22 april 2025 bekend (zie bijv. dit bericht op Nu.nl) gemaakt, maar ik heb daarover geen Kamervragen kunnen vinden.
De MIVD waarschuwde in mei 2025 voor een spionagecampagne van APT28 (waarschijnlijk Russische staatshackers), gericht tegen Oekraïne en NAVO-landen. De Nederlandse krijgsmacht, ministeries en het bedrijfsleven zijn direct en indirect doelwit geweest van deze cyberspionagepogingen.
Ransomware
In 2024 hebben het NCSC, de Politie, het Openbaar Ministerie, Cyberveilig Nederland en cybersecuritybedrijven maandelijks informatie over ransomware-incidenten uitgewisseld in het kader van project ‘Melissa’. Uit die gegevens blijkt dat er in 2024 minimaal 121 unieke ransomware-incidenten in Nederland zijn geweest. Van deze incidenten zijn 76 bekend via aangiften en 20 via incident response bedrijven.
Uit een analyse van de ransomware-aanvallen in 2024 blijkt dat cybercriminelen geen nieuwe technieken gebruiken om ransomware in te zetten.
In 2024 ontving de Autoriteit Persoonsgegevens 1.430 unieke datalekmeldingen van cyberaanvallen, waarvan er 853 zijn onderzocht. Van de onderzochte aanvallen ging het in 112 gevallen (13 procent) om ransomware. Bij minimaal 53 procent van die ransomware-aanvallen werden gegevens gestolen.
Voorbeelden van internationale cybersecurity-incidenten
Hieronder geef ik enkele voorbeelden van aanvallen uit het buitenland, zoals beschreven in het rapport (p. 23-26).
In oktober 2024 zijn Europese overheden en militaire organisaties doelwit geweest van phishingaanvallen die door Google worden toegeschreven aan een aan Rusland gelieerde actor, aangeduid als UNC5837. De campagne maakte gebruik van ondertekende .rdp-bestandsbijlagen om Remote Desktop Protocol (RDP)-verbindingen tot stand te brengen vanaf de computers van de slachtoffers.
In 2024 werd bekend dat Chinese hackers van de groep Salt Typhoon minimaal een jaar lang toegang hebben gehad tot de netwerken van diverse telecomproviders. Volgens Amerikaanse autoriteiten zou het om meerdere Amerikaanse telecombedrijven gaan, waaronder T-Mobile, Verizon, AT&T en Lumen Technologies. De hackers zouden zo bij gespreksgegevens van prominente politici zijn gekomen. CISA en de FBI hebben bevestigd dat de hackers toegang hebben gehad tot privécommunicatie van een ‘gelimiteerd aantal’ mensen. Daarnaast stellen media op basis van anonieme bronnen dat de hackers toegang hebben gehad tot het afluisterplatform van de Amerikaanse overheid en verzoekgegevens van wetshandhavingsinstanties en telefoongesprekken van klanten gestolen. De campagne zou mogelijk al 1 tot 2 jaar lopen. Er is niet met zekerheid vastgesteld of de hackers uit het systeem zijn verwijderd.
Eind december 2024 heeft Denemarken gemeld dat pro-Russische hackers een Deens waterzuiveringsbedrijf hebben aangevallen, waardoor klanten enkele uren zonder water zaten. Een van de pijpleidingen is gebarsten door een verhoogde waterdruk.
In januari 2025 werd bekend dat na een hack bij Gravy Analytics (een commerciële datahandelaar) locatiegegevens van mogelijk miljoenen mensen zijn gelekt. Online claimde iemand bij de inbraak een dataset van 17TB aan data te hebben gestolen. In de dataset zouden locatiegegevens van gebruikers van honderden populaire apps (zoals Candy Crush, FlightRadar, Grindr en Tinder) verzameld zijn. De hacker dreigde de data openbaar te maken als het bedrijf het gevraagde losgeld niet zou betalen.
In februari 2025 meldde het Canadese Centrum voor Cybersecurity dat er bij meerdere Canadese telecommunicatiebedrijven activiteit van kwaadwillenden is geweest, specifiek van de Chinese cyberactor Salt Typhoon. De Canadese overheid meldde dat de systemen zijn gecompromitteerd via een bekende Cisco-kwetsbaarheid. Om welke telecommunicatiebedrijven het precies gaat, werd niet gespecificeerd.
In maart 2025 is bij een hack op de cryptobeurs Bybit bijna 1,5 miljard dollar aan digitale munten gestolen. Dit maakt het de grootste cryptodiefstal ooit. De aanval is door verschillende onderzoekers en de Amerikaanse autoriteiten toegeschreven aan Noord-Koreaanse hackers. Experts van verschillende bedrijven stelden al snel dat de Lazarus-hackers minstens 300 miljoen dollar wit hebben weten te wassen.
In april 2025 heeft de Waalse overheid zichzelf losgekoppeld van het internet nadat ze een grootschalige “gesofisticeerde en gerichte inbraak” hadden vastgesteld in het IT-systeem. De aanvaller, een onbekende partij, zou zich hebben gericht op een kwetsbare plek in de systemen van de Waalse overheid. Om te voorkomen dat de aanval tot (verdere) impact zou leiden, is besloten om de systemen los te koppelen van het internet, waardoor meerdere administratieve diensten offline waren.
Pro-Russische hackers zitten volgens de Noorse autoriteiten waarschijnlijk achter de vermoedelijke sabotage bij een dam in het Noorse Bremanger. Bij die sabotage-aanval werd de waterstroom beïnvloed. De hackers kregen toegang tot een digitaal systeem dat op afstand een van de kleppen van de dam bestuurt en openden deze om de waterstroom te vergroten. De klep stond ongeveer vier uur open en in totaal liepen er miljoenen liters water weg, maar dit vormde geen gevaar voor de omgeving.
Op 23 juli 2025 waren de mobiele 4G- en 5G-netwerken van Luxemburg meer dan drie uur onbereikbaar. Grote delen van de bevolking konden de hulpdiensten niet bellen omdat het 2G-noodsysteem overbelast raakte. Ook internettoegang en elektronisch bankieren waren niet mogelijk. Volgens overheidsverklaringen aan het parlement werd de uitval veroorzaakt door een cyberaanval. Deze aanval zou opzettelijk verstorend zijn geweest en niet een poging om het telecomnetwerk te compromitteren.
Verwevenheid tussen staten en georganiseerde criminaliteit
Het CSBN stelt dat statelijke actoren cyberaanvallen inzetten om hun politieke, militaire en/of economische doelen te bereiken. Door een offensief cyberprogramma op te zetten, kunnen statelijke actoren (heimelijk) hun belangen behartigen zonder de juridische drempel van gewapend conflict te overschrijden. Ten aanzien van pro-Russische hacktivisten zien de MIVD en AIVD dat vanaf eind 2023 de risicobereidheid van deze groeperingen toeneemt bij het ontplooien van offensieve cybercapaciteiten tegen westerse landen. Alle door hen onderzochte pro-Russische hacktivistische groeperingen worden in zekere mate gesteund door de Russische overheid.
Voor China geldt dat er een nauwe verwevenheid bestaat tussen inlichtingen- en veiligheidsdiensten, kennisinstellingen en bedrijven. Chinese bedrijven leveren bijvoorbeeld aanvalsinfrastructuur of malware, en kennisinstellingen doen onderzoek naar kwetsbaarheden in edge devices. Hierdoor zijn Chinese actoren structureel succesvol in het hacken van onder meer westerse overheden en bedrijven.
In de afgelopen rapportageperiode werd voor het eerst bekend dat een middelgroot beursgenoteerd Chinees bedrijf direct betrokken is geweest bij het uitvoeren van cyberoperaties. Voorheen waren weliswaar diverse andere Chinese bedrijven geïdentificeerd die zelf offensieve cyberoperaties uitvoeren, maar daarbij ging het om frontorganisaties van Chinese inlichtingen- en veiligheidsdiensten of relatief kleine en obscure bedrijven.
Noord-Korea is een voorbeeld van een statelijke actor die technieken en aanvallen inzet die normaliter worden geassocieerd met niet-statelijke actoren. Alhoewel een gedeelte van Noord-Koreaanse cyberaanvallen gericht is op spionage, is een groot deel ook gericht op financieel gewin. Een financieel motief wordt over het algemeen geassocieerd met criminele cyberactoren, waarbij de cryptosector een geliefd doelwit is.
In de afgelopen rapportageperiode is gebleken dat zowel Rusland als China voorbereidingshandelingen voor digitale sabotage hebben ondernomen. Deze handelingen hebben tot op heden geen ontwrichtende impact gehad in Nederland.
De MIVD stelt dat Rusland inmiddels een grotere risicobereidheid toont, die zich manifesteert via meer brutale, agressieve of provocatieve activiteiten in zowel het fysieke als het cyberdomein.
Infographic dreigingen CSBN 2025
Met Notebook LM is deze infographic gegeneerd over de dreigingen uit het CSBN 2025 ten aanzien van Nederland en omringende landen.
De originele tabel met de verwevenheid tussen statelijke en niet-statelijke actoren staat hieronder:
Bron: CSBN 2025, p. 31.
Bijzondere aandacht voor de Telecomsector
Hieronder volgen enkele interessante passages uit het CSBN ten aanzien van de telecomsector (p. 35-37).
De grootschalige en vergaande cybercampagne in de Verenigde Staten laat zien dat de dreiging richting de telecomsector reëel is. Ook een aantal kleine Nederlandse internet service- en hosting providers was doelwit van Salt Typhoon. Volgens de AIVD en de MIVD is toegang verkregen tot routers van deze aanbieders, maar dat de aanvallers voor zover bekend niet verder zijn doorgedrongen in de interne netwerken. Een mogelijke verklaring daarvoor is dat de Nederlandse doelwitten niet dezelfde mate van aandacht kregen van de hackers. De FBI heeft aangegeven dat Salt Typhoon meer dan 200 bedrijven in 80 landen heeft aangevallen.
Het CSBN nuanceert dat de situatie in de VS niet één-op-één te vertalen is naar de situatie in Nederland. De infrastructuur van de telecomsector in de VS is, in tegenstelling tot veel Europese landen en zeker tot Nederland, verouderd en bestaat volgens de voorzitter van de Senaatscommissie van inlichtingen uit een “brei van aan elkaar geplakte netwerken”. Maar hoewel de Nederlandse situatie niet overeenkomt met die in de VS, kennen ook vitale sectoren in Nederland risico’s door een grote afhankelijkheid van buitenlandse leveranciers en een toenemende complexiteit van de infrastructuur.
Voor zowel criminele als statelijke actoren is de telecomsector onder andere interessant omdat de sector enorme hoeveelheden persoonsgegevens verwerkt, waaronder gespreksgegevens, locatiegegevens, klantgegevens en internetverkeer. Toegang tot deze gegevens kan door statelijke actoren misbruikt worden om personen te volgen, te monitoren en te beïnvloeden, zoals leden van diasporagemeenschappen, activisten of dissidenten. De sector is ook interessant voor statelijke actoren vanwege de opties voor spionage. Hacks op telecommunicatieproviders behoren volgens de AIVD tot de meest waardevolle inlichtingenposities voor hen.
Door spionage kan data worden verworven en kennis worden opgedaan over de infrastructuur, wat enerzijds een spionagedoel kan dienen, maar anderzijds ook gebruikt kan worden als verkenning van de netwerken. Een dergelijke verkenning kan onderdeel zijn van (voorbereidingshandelingen voor latere) sabotage. Voorbereidingshandelingen stellen actoren in staat om sabotageacties met weinig tot geen waarschuwing uit te voeren.
Voor cybercriminelen zijn vooral de grote hoeveelheden persoonsgegevens die in de sector worden verwerkt interessant. Deze gegevens kunnen gestolen en doorverkocht worden, of gebruikt (als opstap) voor een toekomstige aanval. Zoals voor alle vitale sectoren geldt, is de telecomsector een aantrekkelijk doelwit voor cybercriminelen omdat continuïteit van groot belang is.
Verschillen tussen het CSBN 2025 en voorgaande rapporten
Met Notebook LM zijn de verschillen met voorgaande rapporten nagegaan. Ik heb daaruit drie geselecteerd (de analyse ten aanzien van specifiek de telecomsector is ook nieuw en hierboven te lezen).
1. Eerste waargenomen cybersabotage door statelijke actoren
Het CSBN 2025 onderscheidt zich nadrukkelijk door de constatering van de eerste succesvolle moedwillige cybersabotage op Nederlands grondgebied door een statelijke actor.
CSBN 2025: De MIVD bevestigde dat Nederland in 2024 slachtoffer was van moedwillige cybersabotage door een Russische staatsgesteunde groepering, gericht op het digitale bedieningssysteem van een openbare faciliteit.
Voorgaande jaren (bijv. CSBN 2021/2022): in eerdere rapporten was sabotage door statelijke actoren vooral een risico of een waargenomen activiteit in het buitenland. Zo vermeldde het CSBN 2021 expliciet dat gerichte aanvallen op vitale processen nog niet in Nederland waren waargenomen, hoewel ze wel elders voorkwamen. In CSBN 2022 werd gesproken over Nederland als doelwit van voorbereidingshandelingen voor sabotage. Het constateren van daadwerkelijke, succesvolle en opzettelijke sabotage binnen Nederland is een fundamentele en serieuze verschuiving.
2. Formele opname en duiding van Generatieve AI
Hoofdstuk 5 beschrijft dat generatieve AI de bestaande dreigingen voor digitale veiligheid versterkt en gaat in op hoe Large Language Models (LLM’s) zowel offensief als defensief kunnen worden ingezet.
Voorgaande jaren: hoewel eerdere rapporten wel melding maakten van nieuwe technologische invloeden (zoals kwantumtechnologie in CSBN 2023), was een concrete en uitgewerkte analyse van de bedreiging door Generatieve AI/LLM’s nog niet zo prominent aanwezig. Het CSBN 2023 vermeldde kort een NCSC-publicatie (maart 2023) over de risico’s van ChatGPT, maar de formalisering tot een strategisch hoofdstuk in 2025 benadrukt de verhoogde urgentie en invloed van deze technologie.
3. Directe benoeming van het langdurige falen van de rijksoverheid
Het CSBN 2025 geeft een bijzonder scherpe en expliciete kritiek op de langdurige ontoereikendheid van cybersecuritymaatregelen binnen de Rijksoverheid.
CSBN 2025: het rapport stelt dat maatregelen bij veel organisaties binnen de Rijksoverheid al langere tijd ontoereikend zijn en niet voldoen aan de zelf voorgeschreven informatiebeveiligingsrichtlijnen. Dit leidt tot een vals gevoel van veiligheid en maakt het onmogelijk om te concluderen dat overheidsorganisaties niet gecompromitteerd zijn.
Voorgaande jaren: hoewel eerdere rapporten ook kritisch waren over de Rijksoverheid (bijv. CSBN 2019 en CSBN 2020 over onvoldoende weerbaarheid en het niet op orde hebben van beveiliging), toonde CSBN 2022 nog een lichte opgaande lijn in de informatiebeveiliging, ondanks overblijvende tekortkomingen. De nadruk in CSBN 2025 op de langdurige ontoereikendheid en de daaruit voortvloeiende onzekerheid over de integriteit van de systemen is een zware waarschuwing.
Enkele hoofdstukken uit de tweede editie van het Basisboek Cybercriminaliteit stel ik, na afloop van de embargoperiode van één jaar, nu in open access beschikbaar. Het gaat om de hoofdstukken ‘Verschijningsvormen van cybercriminaliteit in enge zin’ (.pdf), Verschijningsvormen van gedigitaliseerde criminaliteit (.pdf) en ‘Cybercriminaliteit en opsporing’ (.pdf).
In de tweede druk hebben we gekozen voor twee afzonderlijke hoofdstukken over cybercriminaliteit: één voor elke categorie. Onderaan deze pagina staat de inhoudsopgave van de hoofdstukken, voor een indruk krijgt van de behandelde onderwerpen.
Het studieboek wordt veel gebruikt in criminologie- en strafrechtopleidingen aan verschillende Nederlandse universiteiten en hogescholen. Heeft u vragen of opmerkingen over het boek, of wilt u wijzen op een onvolkomenheid? Dan hoor ik dat graag per e-mail (zie mijn medewerkerspagina).
De overige hoofdstukken in het boek behandelen onder andere criminologische theorieën en cybercriminaliteit, daders en slachtoffers van cybercriminaliteit, en interventiestrategieën. Deze hoofdstukken zijn niet open access beschikbaar, maar het volledige boek is onder andere verkrijgbaar via Boom.nl.
Inhoudsopgaven hoofdstukken
Hoofdstuk 3 – Verschijningsvormen van cybercriminaliteit in enge zin
Jan-Jaap Oerlemans, Wytske van der Wagen & Marleen Weulen Kranenbarg
3.1 Inleiding
3.2 Strafbaarstelling van cybercriminaliteit in enge zin
3.3 Hacken (computervredebreuk)
3.3.1 Strafbaarstelling
3.3.2 Ethisch hacken
3.4 Malware
3.4.1 Info-stealers
3.4.2 Ransomware
3.4.3 Banking malware
3.4.4 Strafbaarstelling
3.5 Botnet
3.5.1 Strafbaarstelling
3.6 Ddos-aanval
3.6.1 Strafbaarstelling
3.7 De rol van social engineering bij cybercriminaliteit
3.8 Toekomstige ontwikkelingen
3.8.1 Meer invloed van statelijke actoren
3.8.2 Het Internet der Dingen
3.9 Tot besluit
3.10 Discussievragen
3.11 Kernbegrippen
Citeerwijze:
J.J. Oerlemans, W. van der Wagen & M. Weulen Kranenbarg, ‘Verschijningsvormen van cybercriminaliteit in enge zin’, p. 69-104 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
Hoofdstuk 4 – Verschijningsvormen van gedigitaliseerde criminaliteit
Jan-Jaap Oerlemans, Anne de Hingh & Wytske van der Wagen
4.1 Inleiding
4.2 De verschillende lagen van het internet: het clear, deep en dark web
4.3 Online handelsplaatsen
4.3.1 Handelsplaatsen op het clear web
4.3.2 Handelsplaatsen op het dark web
4.3.3 Handelsplaatsen op communicatie-apps
4.3.4 Strafbaarstelling
4.4 Witwassen met virtuele valuta
4.4.1 Regulering
4.4.2 Strafbaarstelling
4.5 Internetoplichting
4.5.1 Strafbaarstelling
4.6 Online zedendelicten
4.6.1 Beeldmateriaal van seksueel misbruik van minderjarigen
4.6.2 Sexting
4.6.3 Misbruik van seksueel beeldmateriaal
4.6.4 Sextortion
4.6.5 Online grooming en sexchatten
4.7 Online uitingsdelicten
4.7.1 Uitingsdelicten en de vrijheid van meningsuiting
4.7.2 Strafbaarstelling van uitingen
4.7.3 Het verwijderen van strafbaar materiaal
4.8 Toekomstige ontwikkelingen
4.8.1 AI en gedigitaliseerde criminaliteit
4.8.2 Criminaliteit in virtual reality- en mixed reality werelden
4.9 Tot besluit
4.10 Discussievragen
4.11 Kernbegrippen
Citeerwijze:
J.J. Oerlemans, A.E. de Hingh, W. van der Wagen, ‘Verschijningsvormen van gedigitaliseerde criminaliteit’, p. 105-164 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
Hoofdstuk 9 – Cybercriminaliteit en opsporing
Jan-Jaap Oerlemans & Mojdeh Kobari
9.1 Inleiding 287
9.2 Het opsporingsonderzoek en de normering van opsporingsmethoden
9.2.1 De organisatie van opsporing naar cybercriminaliteit in Nederland
9.2.2 De politie
9.2.3 Openbaar Ministerie
9.2.4 Rechterlijke macht
9.2.5 Het strafvorderlijk legaliteitsbeginsel en de IRT-affaire
9.2.6 Stelsel van normering van bijzondere opsporingsbevoegdheden
9.3 Het IP-adres als digitaal spoor
9.3.1 Het opsporingsproces bij een IP-adres als spoor
9.3.2 Het vorderen van gegevens
9.3.3 Digitaal bewijs en onderzoek op gegevensdragers
9.3.4 Regels voor de inbeslagname en onderzoek op gegevensdragers
9.3.5 De netwerkzoeking
9.4 Opsporingsmethoden en de uitdaging van anonimiteit
9.4.1 Anonimiseringstechnieken
9.4.2 Publiek toegankelijke bronnen
9.4.3 Undercoverbevoegdheden
9.5 Opsporingsmethoden en de uitdaging van versleuteling
9.5.1 Versleuteling in opslag
9.5.2 Versleuteling in transport
9.5.3 De hackbevoegdheid
9.6 Jurisdictie en grensoverschrijdende digitale opsporing
9.6.1 Wetgevende jurisdictie
9.6.2 Handhavingsjurisdictie en rechtshulp
9.6.3 Unilaterale digitale opsporing
9.7 Verstoring en de brede bestrijding van cybercriminaliteit
9.8 Tot besluit
9.9 Discussievragen
9.10 Kernbegrippen
Citeerwijze:
J.J. Oerlemans & M. Kobari, ‘Cybercriminaliteit en opsporing’, p. 287-343 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek cybercriminaliteit, Den Haag: Boom 2024.
The chapters ‘Types of cyber-dependent crime and their criminalisation’ (.pdf), Types of cyber-enabled crime and their criminalisation (.pdf), and ‘Cybercrime investigations’ (.pdf)) are now available in open access.
In this second edition, we chose to address cyber-dependent and cyber-enabled crime in separate chapters, allowing for more detailed discussion of both categories. A new section has been added on online expression offenses, with a particular focus on European legislation—an important topic that was missing from the previous edition. Additionally, recent developments such as generative AI and Large Language Models are given significant attention.
Other chapters are not available in open access, but cover a range of topics including cybercrime offenders, victims, criminal networks, criminological theories, and intervention strategies. The full book is available for purchase via Boom.nl.
Table of contents:
Chapter 3 – Types of cyber-dependent crime and their criminalisation
Jan-Jaap Oerlemans, Wytske van der Wagen & Marleen Weulen Kranenbarg
3.1 Introduction
3.2 Cyber-dependent crime and its criminalisation
3.3 Computer hacking
3.3.1 Criminalisation
3.3.2 Ethical hacking
3.4 Malware
3.4.1 Info-stealers
3.4.2 Ransomware
3.4.3 Banking malware
3.4.4 Criminalisation
3.5 Botnet
3.5.1 Criminalisation
3.6 Ddos attack
3.6.1 Criminalisation
3.7 The role of social engineering in cybercrime
3.7.1 Six principles of persuasion
3.8 Future developments
3.8.1 Greater influence of state actors
3.8.2 The Internet of Things
3.9 To conclude
3.10 Discussion questions
3.11 Key concepts
Please cite as:
Oerlemans J.., Wagen W. van der & Weulen Kranenbarg M. (2024), Types of cyber-dependent crime and their criminalisation. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 63-95.
Chapter 4 – Types of cyber-enabled crime and their criminalisation
Jan-Jaap Oerlemans, Anne de HIngh & Wytske van der Wagen
4.1 Introduction
4.2 The clear, the deep and the dark web
4.3 Online criminal marketplaces
4.3.1 Criminal marketplaces on the clear web
4.3.2 Darknet markets
4.3.3 Marketplaces on communication apps
4.3.4 Criminalisation
4.4 Money laundering with virtual currency
4.4.1 Regulation
4.4.2 Criminalisation
4.5 Online fraud
4.5.1 Criminalisation
4.6 Online sexual offences
4.6.1 Images of sexual abuse of minors
4.6.2 Sexting
4.6.3 Abuse of sexual imagery (‘revenge porn’)
4.6.4 Sextortion
4.6.5 Online grooming and sex chatting
4.7 Online expression offences
4.7.1 Freedom of expression vs. criminalisation
4.7.2 Criminalisation of online expressions
4.7.3 Removing illegal content
4.8 Future developments
4.8.1 AI and cyber-enabled crime
4.8.2 Crime in virtual reality and mixed reality worlds
4.9 To conclude
4.10 Discussion questions
4.11 Key concepts
Please cite as:
Oerlemans J., Hingh A.E. de & Wagen W. van der (2024), Types of cyber-enabled crime and their criminalisation. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 97-144.
Chapter 9 – Cybercrime investigations
Jan-Jaap Oerlemans & Maša Galič
9.1 Introduction
9.2 Digital investigations and criminal procedure law
9.2.1 Regulating investigative methods
9.2.2 Jurisdiction and cybercrime
9.2.3 Mutual legal assistance
9.3 IP addresses as digital leads
9.3.1 Data production and preservation orders
9.3.2 Seizing and analysing data on computers
9.3.3 Network computer searches
9.4 The challenge of anonymity
9.4.1 Anonymisation techniques
9.4.2 Open-source investigations
9.4.3 Online undercover operations
9.5 The challenge of encryption
9.5.1 Encryption in storage
9.5.2 Encryption in transit
9.5.3 Hacking as an investigative method
9.6 Disrupting cybercrime
9.7 To conclude
9.8 Discussion questions
9.9 Key concepts
10 Interventions for cyber offenders
Please cite as: Oerlemans J. & Galiç M. (2024), Cybercrime investigations. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 257-315.
On 11 June 2025, Europol published its new Internet Organised Crime Threat Assessment report, titled ‘Steal, deal, and repeat’ (.pdf).
A central theme of the report is the pervasive threat of data theft. For example, ‘access credentials’ (login details) to personal accounts are highly valuable because they provide direct access to mailboxes, social media accounts, online shops, financial services, and even information systems used by public administrations. The data can be used to compromise the wider network (called ‘lateral movement’ in computer systems), malware distribution, identity theft, impersonation of victims, and the dissemination of malicious content appearing to originate from trusted sources.
Data as a means to commit cybercrime
Criminals involved in online fraud schemes leverage personal information to profile targets, increasing their chances of success or gaining unauthorized access to accounts. This includes details such as age, interests, location, email addresses, dates of birth, phone numbers, and credit card data. This information allows criminals to craft more convincing and manipulative fraud narratives.
Similarly, child sex exploitation perpetrators collect personal information to tailor their communication with the victims and use it as leverage for sexual and financial extortion. This can encompass victims’ interests, personal connections, home and school addresses, and details about family and friends. The collection of such data also facilitates “doxxing”—the public exposure and shaming of victims by publishing private information online—which can lead to further victimization, cyberbullying, and the re-victimization of children.
Criminals also use stolen personal data to create fake identities for purposes such as applying for subsidies, loans, or credit cards, and committing other financial frauds. Business Email Compromise (BEC) attacks, where criminals impersonate company executives or employees, are also prevalent, tricking others into transferring funds or revealing sensitive information.
Data as a commodity
Information is stolen and converted into a commodity to be further exploited by other criminal actors in their operations. It is then marketed on various criminal platforms, including specialised marketplaces, underground forums, and dedicated channels within end-to-end encrypted (E2EE) communication apps.
Europol identifies several common commodities:
Unanalysed infostealer logs and breached data dumps (leaked or stolen data), which may contain personal data, user credentials for various services, browser artefacts and other sensitive information;
Unanalysed or verified credit card dumps (usually gathered by digital skimming), as well as the bulk sale of verified card details;
Initial access offers, ranging from credentials for remote services and accounts (e.g. RDP, VPN, firewalls, network devices and cloud environments) to established backdoor access to corporate systems and networks;
Account login credentials for various web services, including email and social media accounts, online shopping environments and adult content sites;
Criminal services, including subscriptions to phishing-kits, infostealers, exploit kits, droppers, spoofing services and malicious Large Language Models (LLMs);
Anti-detection solutions, such as VPNs, bulletproof hosting (BPH), residential proxies, money laundering services, operational security (OpSec) manuals, etc
Manuals, guidelines, and tutorials—including individual coaching sessions focused on OpSec and online fraud schemes—are widely available at low cost, often bundled with other products or services.
Infostealers are used to steal login credentials and collect application tokens and session cookies, enabling access to websites and applications as an authenticated user. They also gather information about the user’s device, operating system, settings, and browser data, allowing criminals to mimic a legitimate user’s digital fingerprint. This enables them to bypass some security features during account takeovers by configuring virtual machines to resemble genuine users.
Example: Take down of ‘Lumma’
As part of “Operation Endgame,” Europol partnered with Microsoft in 2025 to dismantle the infrastructure behind ‘Lumma’. Lumma enabled cybercriminals to collect sensitive data from compromised devices on a massive scale, harvesting stolen credentials, financial data, and personal information for sale through a dedicated marketplace. Its widespread use made it a central tool for identity theft and fraud globally.
On 16 March 2025, Microsoft identified over 394.000 Windows computers globally infected by the Lumma malware. More than 1300 domains seized by or transferred to Microsoft, including 300 domains actioned by law enforcement with the support of Europol, will be redirected to Microsoft sinkholes.
It had the following functionalities according the (more) technical report:
Browser credentials and cookies: Lumma Stealer extracts saved passwords, session cookies, and autofill data from Chromium (including Edge), Mozilla, and Gecko-based browsers.
Cryptocurrency wallets and extensions: Lumma Stealer actively searches for wallet files, browser extensions, and local keys associated with wallets like MetaMask, Electrum, and Exodus.
Various applications: Lumma Stealer targets data from various virtual private networks (VPNs) (.ovpn), email clients, FTP clients, and Telegram applications.
User documents: Lumma Stealer harvests files found on the user profiles and other common directories, especially those with .pdf, .docx, or .rtf extensions.
System metadata: Lumma Stealer collects host telemetry such as CPU information, OS version, system locale, and installed applications for tailoring future exploits or profiling victims.
Lumma Stealer used a robust C2 infrastructure, using a combination of hardcoded tier 1 C2s that are regularly updated and reordered, and fallback C2s hosted as Steam profiles and Telegram channels that also point to the tier 1 C2s. The Telegram C2, if available, is always checked first, while the Steam C2 is checked only when all the hardcoded C2s are not active. To further hide the real C2 servers, all the C2 servers are hidden behind the Cloudflare proxy
Techniques to acquire personal data
The “ClickFix” technique is gaining popularity among cybercriminals. Users encounter fake error or CAPTCHA messages while browsing, tricking them into copying and running malicious content on their devices. These pop-ups prompt users to click buttons labelled ‘Fix It’ or ‘I am not a robot,’ which then either copies a malicious PowerShell script or provides instructions for manual malware execution.
Vishing—the use of fraudulent phone calls—is facilitated by spoofing services, allowing criminals to impersonate trusted entities and increase the effectiveness of social engineering attacks. This technique is frequently used for fraud and gaining initial system access. Increasingly, vishers persuade victims to download malicious payloads, enter credentials on phishing websites, or install Remote Access Tools (RATs) or Remote Monitoring and Management (RMM) tools. Fraudsters impersonating IT solution providers are using this approach to gain access to bank accounts. Initial Access Brokers (IABs) and ransomware operators are also adopting vishing tactics to obtain VPN and user account credentials.
Use of LLM’s and generative AI
LLM’s and genAI can improve phishing techniques. enhance phishing techniques by enabling the creation of highly targeted messages incorporating local language and cultural nuances, significantly increasing click-through rates. CSE perpetrators use LLMs to personalize communications, making them more convincing and facilitating impersonation for information gathering. This makes it harder for victims to recognize manipulation. The automation provided by LLMs allows offenders to scale their grooming operations, targeting multiple victims in various languages simultaneously.
Criminals are also using voice deepfakes to enhance the credibility of spear-phishing campaigns used in BEC and CEO fraud. Generative AI can be exploited to create fake social media profiles for social engineering purposes.
As discussed above, genAI can also be exploited to generate fake social media profiles using a range of social engineering applications. For further information, refer to this Europol podcast featuring a shocking example of AI use in an online child sexual abuse case involving “Kidflix”, which contained approximately 72.000 videos and nearly two million users.
Who are they?
employ the methods previously mentioned, alongside more sophisticated techniques that enable them to compromise valuable targets. These include digital service providers (through supply-chain attacks), international corporations, and government entities; this can involve identifying and creating zero-day exploits, as well as conducting complex, targeted social engineering operations. Such actors typically do not publicise their capabilities but instead monetise their exploits by collaborating directly with cybercrime groups (for example, ransomware groups) or other hybrid threat actors. This means that valuable assets – such as zero-day exploits and access to high-value targets like large international corporations, IT supply chains, and critical infrastructure – are traded privately, often in exchange for a percentage of the buyer’s earnings.
The criminal actors who target financial data and payment system access are the primary customers of services offering phishing kits and digital skimmers. The URLs of these fraudulent webpages are disseminated through phishing campaigns and web-skimmers inserted into misconfigured or unpatched websites – techniques similar to those used by data and access brokers. Stolen account information or payment card details are frequently sold via dedicated online platforms specialising in these commodities.
The final category of actors includes child sexual exploitation and certain fraud perpetrators (such as those involved in romance scams), who do not seek to commodify the personal data they gather from their victims but instead exploit it as an integral part of their criminal processes. Rather than trading data, they use it directly to access accounts or coerce their victims. However, not all CSE offenders operate alone; doxxing channels on end-to-end encrypted (E2EE) applications have been identified, demonstrating a collaborative effort to amplify their coercive power. Within these environments, criminal actors cooperate by sharing personal data gathered on targets, intensifying the pressure imposed on victims subjected to multiple, simultaneous extortion attempts.
Market places and information brokers
Marketplaces and information brokers operate as platforms for selling stolen identities, access credentials, web shells, and financial information. Access credentials, for example, may be sold in bulk without verification of their validity or value. As an example, check out this report by TrendMicro about Russian Market.
alidated credentials and listings from IABs – advertising the systems they have compromised – are typically accompanied by details of the affected entities and sometimes auctioned to the highest bidder. Prices vary considerably depending on factors such as the compromised entity’s sector, size, revenue, geographical location, access type, level, persistence, and exclusivity. High-revenue companies in Europe and North America are particularly sought after.
Forums dedicated to breached data – such as BreachForums (article by Bleepingcomputer) – serve as advertising spaces, while negotiations and transactions increasingly take place on dedicated channels within commercial end-to-end encrypted (E2EE) communication platforms. These listings not only advertise available commodities but also help build the seller’s reputation within the ecosystem; compromising more prominent and valuable targets enhances standing in the community. Consequently, many data brokers tend to exaggerate the classification or value of their assets, which may in reality be fake or based on outdated leaks, used to attract attention.
Example: ‘Cracked’ and ‘Nulled’
On January 2025, the cybercrime forums ‘Cracked.io’ and ‘Nulled.to’ were taken down. German authorities led the operation, plus law enforcement from eight other countries, and they were supported by Europol.
The two platforms, Cracked and Nulled, had more than 10 million users in total. They were key marketplaces for stolen data, including personal data, and cybercrime tools and infrastructure, which were offered as-a-service to individuals with more limited technical skills to carry out cyber-attacks. The two forums also offered AI-based tools and scripts that could automatically scan for security vulnerabilities and optimise attacks.
Cracked.io had over four million users and listed more than 28 million posts advertising cybercrime tools and stolen information, generating approximately USD 4 million in revenue. One product advertised on Cracked offered users access to ‘billions of leaked websites’, allowing them to search for stolen login credentials.
Other associated services were also taken down; including a financial processor named Sellix which was used by Cracked, and a hosting service called StarkRDP, which was promoted on both of the platforms and run by the same suspects.
On 12 March 2025, Europol published its latest EU Serious and Organised Crime Threat Assessment (EU SOCTA) report (.pdf). The report immediately caught my attention, as it highlights how the DNA of serious and organised crime is evolving due to several key factors:
Increasing entanglement between organised crime and state actors, leading to ‘hybrid threats’ that destabilise society.
The growing role of the internet and digital communication tools in facilitating more traditional criminal activities.
The acceleration of crime through emerging technologies such as artificial intelligence, which grant criminal networks new capabilities.
Europol concludes that these developments are transforming the tools, tactics, and structures employed by criminal organisations. This is reflected in the title of the report: ‘The changing DNA of serious and organised crime’.
This blog provides a summary of the report’s findings, particularly focusing on the intersection between organised crime and technology. Additionally, I have created a podcast on this topic with Notebook LM, and a Dutch version is available in .pdf format. The first episode of the official podcast by Europol is also about this report.
The EU SOCTA report identifies key threats to serious and organised crime in Europe. These threats include cyber-attacks, online fraud schemes, (online) child sexual exploitation, migrant smuggling, drug trafficking, firearms trafficking, and waste crime. The key threats encompass both crimes predominantly occurring in the digital and online realm, as well as more traditional crime areas involving physical trafficking and illicit cross-border activity. This summary focusses on crimes with a clear connection to the digital and online realm, following the same structure as the report.
1. Hybridisation of Organised Crime: Destabilising Society?
According to Europol, serious and organised crime has a dual destabilising effect on the EU and its Member States. It undermines and reduces trust in the EU’s economy, the rule of law, and society as a whole by generating illicit proceeds, spreading violence, and normalising corruption.
Hybrid threats
Criminal networks may be influenced by state actors and may target democratic processes, social cohesion, public security, or the rule of law. In some cases, it may also impact financial stability and economic prosperity. These are called ‘hybrid threats’ in the report.
Some states even provide safe havens for criminals in exchange for the services of criminals, allowing them to operate with impunity. This enables states to outsource crimes such as cyber-attacks, disinformation campaigns, and money laundering, making attribution more difficult.
Ransomware
Criminal networks contribute to hybrid threats through ransomware attacks on critical infrastructure, businesses, and government agencies. These attacks generate financial profits—often through cryptocurrency payments—while also disrupting services and undermining public trust.
Europol notes that ransomware attacks are becoming more targeted, focusing on private industries, critical infrastructure, and small-to-medium-sized businesses. Additionally, there has been a growing number of supply chain attacks. The ransomware landscape is also evolving due to law enforcement interventions, leading to fragmentation and rebranding of criminal groups.
Cyberespionage and desinformation
Criminal networks can also steal data on behalf of hybrid threat actors. By infiltrating secure systems, they might steal data of strategic importance for governance or business and provide hybrid threat actors with invaluable information that can be used for espionage, economic advantage, or even coercion.
Additionally, these networks are instrumental for propaganda campaigns aimed at spreading disinformation and influencing political systems. These networks can play a key role in disinformation campaigns, using fake social media accounts, coordinated troll operations, and manipulated news content to weaken democratic institutions from within.
Corruption
Criminal networks exploit corruption to secure protection from prosecution by trying to bribe law enforcement and the judiciary. This enables them to avoid arrests, obstruct investigations, and manipulate legal proceedings in their favour. Additionally, corrupt officials may provide criminals with classified information regarding operations, allowing them to evade detection and continue their activities with impunity. Beyond law enforcement and judiciary, public institutions are highly susceptible to infiltration by criminal networks.
Europol explains that corruption has adapted to the broader trends toward digitalisation and a crime-as-a-service model. Several issues become increasingly visible: the targeting of individuals with access to digital systems in public and private entities, the use of digital recruitment tactics, and the elevated role of corruption brokers. The recruitment of, and communication with corruptees takes place online. Bribes are transferred by criminally exploiting cryptocurrencies or fintech. In addition, individuals with access to digital systems become key targets for corruption as they can provide access to information relevant to the criminal enterprise.
2. Digitalisation of organised crime
Europol states that:
“Today, nearly all forms of serious and organised crime have a digital footprint.”
Criminal networks exploit digital infrastructure for recruitment, trade, and financial transactions. They use encrypted messaging apps to communicate, recruit members (including minors), and advertise illicit goods and services. These networks employ technical specialists to enhance their operations and evade law enforcement detection.
Europol identifies two primary forms of encrypted communication:
1. Dedicated criminal platforms – Platforms such as EncroChat, Sky ECC, Ghost and others provided a communication environment for serious and organised crime. Such systems are designed to provide an end-to-end encryption that prevents external interception
2. Mainstream communication tools – Criminals abuse end-to-end encrypted communication services, which are legally designed to protect users’ privacy. These over-the-top communication applications provide legitimate encryption, large user bases that allow criminals to blend in with ordinary users. Unlike the first category, these platforms or tools are not built for criminals, making it necessary for law enforcement to engage with private companies, navigate legal frameworks to investigate and disrupt criminal networks operating within them.
Recruitment and violence
Organised crime-related violence has intensified in certain regions, particularly in urban drug markets and port cities. Criminals use online platforms to recruit hitmen and coordinate violent attacks. Violence is now increasingly offered as a service and made possible by the availability of trafficked weapons.
Within criminal networks, low-ranking members commonly act as perpetrators, but violence is also outsourced to young perpetrators, assorted criminals, and professional hitmen or hit squads offering violence-as-a-service. They are contacted directly through a network of personal contacts, in prisons, or via intermediary contacts. Encrypted communications and online platforms are instrumental in finding and recruiting these executors.
Young perpetrators
Europol finds the involvement of young perpetrators in violent crimes of particular concern. The recruitment of young perpetrators, including young adolescents and children, into serious and organised crime and terrorism is not a new phenomenon. However, it has increasingly become a means used by criminal networks to remain out of reach of law enforcement and the judiciary.
Young perpetrators are frequently exploited in several criminal markets and in several roles. In cyber-attacks, script kiddies are influenced to conduct specific cyberactivities for a fee. In drug trafficking, young people are recruited in roles like dealers or couriers but also warehouse operators, and drug extractors from shipping containers. Young people are used as money mules, receiving and transferring illicit funds through their bank accounts, often in exchange for a small share of the money.
These young perpetrators are recruited through social media platforms and messaging applications, exploiting the anonymity and encryption they offer. Criminals use tactics to lure young people, including tailored language, coded communication, and gamification strategies. By glorifying a luxurious and violent lifestyle, they convince vulnerable young people to join their ranks.
3. The Role of Technology in Other Crimes
Europol’s report reveals surprising connections between technology and traditional crimes like human trafficking and firearms smuggling. For example, criminal networks use the internet to recruit victims, advertise illicit services, and exchange funds electronically. They also circulate forged identity documents online to facilitate trafficking.
AI and 3D printing technologies are increasing access to illicit firearms and enhancing weapon modification techniques. Encrypted communication platforms are expected to play a growing role in the trafficking of firearms and explosives.
Digital content piracy
Europol explains that the current cost-of-living crisis as well as the fragmentation of content across multiple legal streaming platforms prompt consumers to seek more cost-effective and unified packages regardless of their illegality.
Criminal networks often lease servers from legitimate hosting provider companies to ensure the anonymity and scalability of their operations. Others establish their own servers which may be outsourced to other criminal networks as a service. The increased use of anonymisation tools such as VPNs to avoid server blocks ordered by judicial or law enforcement authorities will continue to be a default modus operandi. Criminal actors also rely on a variety of professional expertise, mainly associated to information technology (IT) services such as technicians who build, operate and optimise the software and digital infrastructure for illegal streaming.
Digital pirates may also steal or purchase login credentials from legitimate subscribers — often sourced via phishing scams or data breaches — and then repackage multiple over-thetop libraries into a single, unauthorized service. They often use specialised software or devices to intercept and record live or on-demand streams, relaying the pirated content through internet protocol television (IPTV) servers or file-sharing platforms.
Online pharmaceuticals
Online platforms facilitate the sale of counterfeit falsified, substandard or fraudulently obtained legitimate medicines. These are often paid with cryptocurrencies, and the pharmaceuticals are delivered by postal and parcel services.
AI and technological advancements, including 3D printing, will continue to be leveraged by criminal networks to manufacture tablets.
4. Emerging Technologies and Organised Crime
Criminal organisations are quick to adopt emerging technologies, including artificial intelligence, to enhance their operations.
An “AI fraud epidemic”?
Europol described the current online fraud landscape as follows:
The scale of online fraud, driven by advancements in automation and AI, has reached an unprecedented magnitude and is projected to continue growing. Narratives are extremely realistic, crafted with the help of AI, and incorporating trending societal topics.
The scale of online fraud, driven by advancements in automation and AI, has reached an unprecedented magnitude and is projected to continue growing. Narratives are extremely realistic, crafted with the help of AI, and incorporating trending societal topics.
Investment fraud
Investment fraud is one of the most common and growing types of online fraud, nurtured through the use of digital tools and accelerated by new technologies. The main types are Ponzi schemes, pyramid schemes, and advance fee frauds. Cryptocurrencies remain the most significant investment fraud product in the EU. While fraudsters mostly target individuals, companies are also occasionally targeted. Criminal networks have been adapting the modus operandi to the availability of digital and AI tools and to exploit new and developing markets.
Internet-enabled investment fraud is becoming more prominent than unsolicited contacts, like cold calling. Online advertisements, including social media platforms, news sites and sponsored search engine results are the main advertisement channels used by criminal networks to attract victims.
Business email compromise
In business email compromise (BEC) cases, fraudsters gain unauthorised access to the mailbox of an employee to intercept and analyse information contained in official correspondence. Once email accounts are taken over, spoofed or new versions are created. Fraudsters request payment, misleading victim by closely resembling corporate communication style and accompanying their request with well-crafted, identical falsified documents such as invoices containing modified bank accounts.
Identity theft and identity fraud are an intrinsic part of the sophisticated and targeted scheme crafted around the victim. AI, including large language models (LLMs) and deepfakes, is creating new opportunities and capabilities for criminals active in BEC. As the rapid pace of technological development continues, BEC fraud is also expected to increase. Convincing fraud emails can be easily generated with the support of LLMs, while deepfake technologies, an emerging type of impersonation replicating people’s voices, images, and videos, are now being used in CEO fraud, in which fraudsters seek to trick an organisation’s employees by impersonating their CEO.
Romance fraud
Criminal actors from around the globe are actively involved in romance fraud. Victims seeking companionship are approached on social media or dating sites by fraudsters, who impersonate individuals using fake accounts and profiles
Romance scams are expected to increase in the future, accelerated by AI tools. Voice cloning technology, deepfakes, LLM-generated scripts, and AI-driven translation will all continue to enhance fraudulent schemes, creating new fake scenarios and social engineering techniques.
A ‘transformation in child sexual exploitation material’
Child sexual exploitation and the production and distribution of child sexual abuse material (CSAM) is transforming. By creating highly realistic synthetic media, criminals are able to deceive victims, impersonate individuals and discredit or blackmail targets. The addition of AI-powered voice cloning and live video deepfakes amplifies the threat, enabling new forms of fraud, extortion, and identity theft. These tools are easily accessible and do not require specific technical skills. The accessibility of AI tools has multiplied the volume of CSAM available online, creating challenges in the analysis of imagery and identification of offenders.
Generative AI has emerged as a new means to produce CSAM, leading to growing concerns. It can support the editing of existing CSAM and the creation of new content. Explicit pictures of adults can be manipulated to make the individual look younger or applications can ‘nudify’ non-explicit images. Text-to-video models have emerged, following the rapid development of text-to-image models. Given their pace of advancement, text-to-video technology is likely to evolve just as quickly. In one of the first cases of its kind, a suspect was recently arrested for running an online platform with AI generated CSAM which he produced and shared around the world (see also this press release about ‘Operation Cumberland’)
The majority of offenders take part in online communities on the dark web and clear web, including forums, groups, and chatrooms. They discuss abuse, fantasies, how to acquire original CSAM, techniques to groom children and tips related to operational security. Offenders also use online means other than chatrooms for one-on-one interactions, with different levels of encryption and data transfer methods.
Money laundering
In the financial realm, the emergence of blockchain technology and cryptocurrencies has been leveraged to facilitate payments and launder proceeds, supported by decentralised systems and unregulated exchanges.
Cash still features prominently in money laundering schemes today. Criminals often use cash-intensive businesses—such as restaurants, hotels, car washes—to mix illicit funds with the businesses’ legitimate income. When illicit proceeds are moved physically across borders, cash is often transported via cash couriers. Increasingly, young and vulnerable people are recruited, often via social media and gaming platforms, to act as money mules.
However, the criminal exploitation of cryptocurrency as a payment method now has moved beyond the scope of cybercrime, and is encountered increasingly in more traditional crime areas such as drug trafficking or migrant smuggling.
Europol also points out a mix of digital crime and traditional crime through the report. According to Europol, professional money launderers, increasingly with specialised knowledge in digital asset trading, have developed parallel, underground financial systems that operate outside the regulatory frameworks governing legal financial institutions.
Reflection: Methodology and a Word of caution
The EU SOCTA report is based on intelligence generated by Europol analysts from data from national law enforcement agencies. While many of its findings seem to align with criminological research and Dutch court cases relating to cryptophone operations, it is important to remember that the report is not a scientific study.
At the end of the report, there is a section: “Reflection of the academic advisory group”. This group mostly praises the report, but do have one important suggestion:
“While the current approach provides significant added value to policymakers and law enforcement agencies, the inclusion of even more peer-reviewed research, established theoretical frameworks, and interdisciplinary expertise would further enhance EU-SOCTA’s analytical depth and academic rigor”.
They welcome Europol’s decision to involve the academic community in refining the methodology for the next edition.
Involving the academic community is indeed a good step and presumably a big task. Academics will look at these contents from their own perspective and knowledge base.
For example, while the academic advisory group “particularly appreciated” the chapter on hybrid threats, I found this chapter particularly weak. The underlying message of “destabilising society” is very alarming, but I don’t think it is argued well, as it lacks clear definitions, evidence thresholds, and references. Statements about “undermining democracy” or “destabilising economies” are not well substantiated, raising questions about the frequency and impact of these threats. But then again, my view is also influenced by my own perspective, experiences, and research interests 😊!
Despite this criticism and questions, the report may provide valuable and new insights to policy makers and professionals seeking to understand the digital transformation of organised crime.
Na vijf jaar is op 1 februari 2025 de leerstoel Inlichtingen en Recht aan de Universiteit Utrecht geëindigd. Daarmee is ook een einde gekomen aan mijn bijzonder hoogleraarschap. Ik blijf echter werkzaam als universitair docent Strafrecht aan de Universiteit Leiden. In 2024 heb ik uit enthousiasme ervoor gekozen mij volledig te richten op onderzoek en onderwijs en voor de universiteit te werken.
Korte terugblik Van 2020 tot 2025 heb ik met veel plezier de leerstoel Inlichtingen en Recht bekleed. Veel dank ook aan de CTIVD voor het mogelijk maken van de leerstoel. Mijn focus lag op onderzoek, de begeleiding van mijn promovenda Sophie Harleman bij haar proefschrift, en het geven van lezingen en gastcolleges om het vakgebied te bevorderen en te promoten. Een grote klus was het schrijven van Tekst & Commentaar op de Wet op de inlichtingen- en veiligheidsdiensten, dat ik met veel plezier samen met Mireille Hagens heb opgepakt. Sinds vorig jaar begeleid ik ook Naomi Stal als buitenpromovenda in haar proefschriftonderzoek op het snijvlak van inlichtingen en opsporing.
Werkzaamheden De afgelopen jaren heb ik gepubliceerd over onderwerpen zoals bulkinterceptie, de bewaarplicht van communicatiegegevens en de verwerking van gegevens ter bescherming van de nationale veiligheid (zie ook mijn publicaties). Ook heb ik de regulering van inlichtingenwerk in andere domeinen, zoals in het strafrecht en bestuursrecht, verkend. Door middel van interviews, lezingen, blogs en gastcolleges, waaronder drie keer voor Studium Generale van de Universiteit Utrecht, heb ik geprobeerd de soms complexe wetgeving en vraagstukken toegankelijk te maken voor een breder publiek.
Bron: dit is met AI een door WordPress gegenereerde afbeelding met als thema “digitale opsporing”
(JJO: en LOL om het mondkapje)
Geen sprake van een vormverzuim bij toegang tot Whatsappgroep
Op donderdag 7 november 2024 werd in de Johan Cruijff ArenA in Amsterdam een voetbalwedstrijd gespeeld tussen Ajax en Maccabi Tel Aviv FC uit Israël. Zowel voorafgaand aan als na afloop van die wedstrijd zijn er rond de ArenA en in de binnenstad van Amsterdam ongeregeldheden ontstaan. Die ongeregeldheden hebben in binnen- en buitenland veel ophef veroorzaakt, zoals is te lezen in deze reconstructie in NRC.
Ook ontstond de vraag of de politie al dan niet mag meekijken met gesprekken in Whatsappgroepen waar je alleen via een link toegang toe krijgt, voordat sprake is van een verdenking en de mededeling dat het ministerie van Justitie en Veiligheid dit beter wil regelen (zie bijvoorbeeld dit artikel in de Volkskrant). Hier heb ik zelf ook in een artikel van NRC commentaar op gegeven en gewezen op onduidelijkheden over verantwoordelijkheden en of hier nu sprake is van inlichtingenonderzoek of een opsporingsonderzoek.
Strafzaak
Ondertussen acht de rechtbank Amsterdam deze werkwijze van de politie rechtmatig (ECLI:NL:RBAMS:2024:8177) en stelt dat er geen vormverzuim heeft plaatsgevonden bij het veiligstellen van berichten uit een Whatsappgroep dat alleen via een link toegankelijk is. Ook staan er interessante overwegingen in over de gepleegde strafbare feiten. Daarom besteed in de rubriek uitgebreid aandacht aan deze uitspraak.
Vormverzuim?
De verdediging stelt dat zich een onherstelbaar vormverzuim heeft voorgedaan. Voor de deelname van de politie in de WhatsAppgroep ‘Buurthuis 2’ zou artikel 3 van de Politiewet 2012 onvoldoende grondslag bieden. (Deze Whatsappgroep wordt overigens in de samenvatting bij naam genoemd en door onverklaarbare redenen later in de uitspraak geanonimiseerd.) Volgens de verdediging moet de door de infiltratie verkregen data worden uitgesloten van het bewijs. Verdachte moet daarom integraal worden vrijgesproken.
De officier van justitie heeft zich op het standpunt gesteld dat van een vormverzuim geen sprake is, omdat de verbalisanten op grond van artikel 3 Politiewet bevoegd waren om deel te nemen aan de WhatsAppgroep. Op het moment dat er bij de politie signalen binnenkwamen over de wedstrijd tussen Ajax en Maccabi Tel Aviv, waren er nog geen verdenkingen van strafbare feiten. De verbalisanten hebben aan de groep deelgenomen met het doel om de openbare orde te bewaken. Van infiltratie was geen sprake. De verbalisanten hebben passief meegelezen en zij hebben slechts een beperkt aantal uren toegang gehad tot de WhatsAppgroep. Bovendien was de appgroep een openbare groep met bijna duizend mensen, die gebruik maakten van een nickname. Er werd dan ook geen volledig beeld van bepaalde aspecten van iemands leven verkregen. Het voorwaardelijke verzoek van de verdediging om de verbalisanten als getuigen te horen moet worden afgewezen.
Oordeel rechtbank
De rechtbank is van oordeel dat geen sprake is van een vormverzuim en overweegt daartoe als volgt. In dit dossier zijn virtueel agenten ingezet. Dit zijn politiemedewerkers die op het internet informatie verzamelen, terwijl ze niet kenbaar zijn als politieagent. De politiemedewerkers werkten op basis van de algemene taakstelling van artikel 3 Politiewet en hebben daarvoor toestemming gekregen van de informatie-officier van justitie. De officier van justitie heeft tijdens de zitting toegelicht dat deze medewerkers in het kader van de handhaving van de openbare orde hebben gehandeld. De dag ervoor was onrust ontstaan in de stad en de voetbalwedstrijd werd gezien als risicovol in het kader van het handhaven van de openbare orde. Op basis van artikel 3 Politiewet mag, gelet op artikel 8 EVRM, in principe slechts een niet meer dan beperkte inbreuk op de privacy van burgers worden gemaakt.
In de uitleg van de Hoge Raad: er mag niet een min of meer compleet beeld van bepaalde aspecten van het persoonlijk leven van de betrokkene worden verkregen (de rechtbank verwijst daarbij naar: HR 19 januari 2021, ECLI:NL:HR:2021:80)
Anders dan de verdediging heeft betoogd maar niet verder heeft onderbouwd, heeft de deelname van de verbalisanten in de WhatsAppgroep er niet toe geleid dat een min of meer compleet beeld van bepaalde aspecten van leven van verdachte is verkregen. De rechtbank overweegt daartoe dat een WhatsAppgroep was met meer dan 900 deelnemers; een brede en betrekkelijk willekeurige kring van deelnemers. De verbalisanten hebben gedurende een korte tijdsperiode deelgenomen aan de groep, namelijk tussen 09:52 uur (7 november 2024) en 11:23 uur (8 november 2024). Van infiltratie als bedoeld in artikel 126h Sv was dan ook geen sprake. Er is daarom slechts sprake van een beperkte inbreuk op de persoonlijke levenssfeer van verdachte, zodat artikel 3 van de Politiewet een toereikende wettelijke grondslag bood voor het handelen van de verbalisanten. De rechtbank vindt dat hiermee niet in strijd met artikel 8 en 11 van het EVRM is gehandeld.
De rechtbank benadrukt dat voor de handelwijze van de virtueel agenten een verdenking van een strafbaar feit niet nodig was. De rechtbank komt tot de conclusie dat geen sprake is van een vormverzuim en het verweer wordt verworpen.
Strafbare feiten
In de uitspraak staan nog een aantal andere interessante overwegingen. De verbalisant heeft de berichten in de groep kunnen ‘monitoren’ en lezen door op een link te klikken en daarmee toegang te krijgen tot een Whatsappsgroep op 7 november 2024. De verbalisant heeft de gesprekken in de groep veiliggesteld. Op het moment van veiligstellen waren 966 deelnemers aan de groep toegevoegd.
De inhoud van de berichten speelde een rol in het bewijs en de verdachten in de strafzaak heeft op zitting verklaard zijn telefoonnummer en gebruikersnaam gekoppeld kunnen worden aan een deel van de berichten. Het gaat dan om berichten zoals de volgende:
In ‘[appgroep 1]’ zijn bijvoorbeeld de volgende berichten verstuurd:
Op 7 november 2024:
Tijdstip
Afzender
Bericht
11:26 uur
‘.’
Ik zie 3 stuks lopen hier met die sjaal ah Spuistraat
11:27 uur
‘ [afzender 1] ’
Spuug op ze
11:26 uur
‘ [afzender 2] ’
Steen op ze hood
11: 26 uur
[gebruikersnaam]
Knal ze neer
(..)
(..)
03:03 uur
[gebruikersnaam]
Klappen gegeven en ze tellie afgepakt
03:03 uur
[afzender 6]
Bouchansss
03:03 uur
‘.’
soldaat
(..)
De verdachte in de onderhavige zaak wordt veroordeeld voor art. 141a Sr: “Hij die opzettelijk gelegenheid, middelen of inlichtingen verschaft tot het plegen van geweld tegen personen of goederen wordt gestraft met gevangenisstraf van ten hoogste drie jaren of een geldboete van de vierde categorie.”
Artikel 141a Sr is ingevoerd om te kunnen optreden tegen groepen (voetbal)vandalen die elkaar opzoeken voor een gewelddadig treffen, zonder dat daartegen effectief kan worden opgetreden, aangezien dergelijk treffen vaak kort van tevoren wordt afgesproken. Daarmee zou een doeltreffende aanpak van in het bijzonder voetbalvandalisme worden belemmerd. De rechtbank overweegt dat onder de bestanddelen ‘gelegenheid, middelen of inlichtingen verschaffen’, in ieder geval verstaan het via digitale communicatie bij elkaar oproepen tot een ontmoeting op een bepaalde plaats en tijd en het opzettelijk voorhanden hebben van voorwerpen. Aannemelijk is dat met de bestanddelen gelegenheid, middelen of inlichtingen aansluiting wordt gezocht bij artikel 48 Sr (medeplichtigheid), zij het dat het verschaffen van gelegenheid, middelen of inlichtingen er niet primair toe strekt om te bewegen tot het plegen van geweld. Het gaat erom dat met het verschaffen van gelegenheid, middelen of inlichtingen iemand op het kwade pad kan worden gebracht. Op grond van de inhoud van de berichten en de context waarin deze berichten zijn verstuurd, zoals hierboven weergegeven, stelt de rechtbank vast dat verdachte in de appgroep opzettelijk inlichtingen heeft verschaft tot het plegen van geweld tegen personen van Joodse komaf en/of aanhangers van Maccabi Tel Aviv. Verdachte heeft door op de hiervoor beschreven wijze deel te nemen aan de WhatsAppgroep nauw en bewust samengewerkt met andere deelnemers in die groep. Daarmee acht de rechtbank het tenlastegelegde medeplegen bewezen.
Groepsbelediging
Ook wordt het groepsbelediging (art. 137c lid 1 Sr) door de rechtbank bewezen geacht. De rechtbank stelt op grond van de in paragraaf 5.3.1 genoemde bewijsmiddelen vast dat verdachte in de WhatsAppgroep ‘ [appgroep 1] ’ de berichten “Insha allah zijn er doden gevallen bij de Jode”, “Laffe kk joden” en “Deze kans krijg ik miss nooit meer. Om kk joden te slaan jerusalem” heeft verstuurd. Naar het oordeel van de rechtbank zijn deze uitlatingen, mede gezien de context waarin deze zijn gedaan, beledigend voor een groep mensen, te weten Joden, wegens hun ras en/of godsdienst.
Uitlating in het openbaar?
Voor bewezenverklaring van groepsbelediging als bedoeld in artikel 137c Sr moet verder vast komen te staan dat de beledigende uitlatingen in het openbaar zijn gedaan. Uit de rechtspraak van de Hoge Raad (ECLI:NL:HR:2014:952) volgt dat de volgende omstandigheden van belang zijn bij de vraag of sprake is van openbaarheid:
de omvang van de kring van personen tegenover wie de uitlating is gedaan;
de functie of hoedanigheid van degene tegenover wie de uitlating is gedaan;
het ontbreken van voorafgaande betrokkenheid van degene tegenover wie de uitlating is gedaan bij degene die de uitlating doet;
de mate waarin aan de uitlating door inhoud of vormgeving kenbaar een min of meer vertrouwelijk karakter moet worden ontzegd;
de mate waarin de uitlating geëigend is om aan de inhoud daarvan bekendheid te geven buiten de kring van personen tot wie de uitlating rechtstreeks is gericht;
de mate waarin de uitlating door de wijze waarop zij is gedaan – mondeling, bij brief, per e-mail, door plaatsing op een voor anderen toegankelijke site of anderszins – vatbaar is voor kennisneming door anderen dan de rechtstreeks geadresseerde, en
de kans dat de inhoud van de uitlating ter kennis komt van anderen dan degenen tot wie de uitlating rechtstreeks is gericht.
De rechtbank overweegt dat verdachte de uitlatingen heeft gedaan in de WhatsAppgroep ‘Buurthuis 2’. Dit betrof een WhatsAppgroep waar men makkelijk aan kon deelnemen: door simpelweg op een link te klikken werd toegang tot de groep verleend en deze link werd kennelijk rondgestuurd in andere WhatsAppgroepen. De Whatsappgroep bestond op het moment van veiligstellen uit 966 deelnemers. Verdachte heeft zich in deze groep tegenover willekeurige personen geuit die hij niet kende. Deze uitlatingen zijn choquerend en van vertrouwelijkheid was geen sprake.
Gezien het aantal deelnemers in de Whatsappgroep was de kans dat de uitlatingen ter kennis kwamen van anderen dan de personen in de groep, aanzienlijk. De rechtbank is daarom van oordeel dat de uitlatingen van verdachte in het openbaar zijn gedaan.
De verdachte wordt veroordeeld tot een gevangenisstraf van tien weken (en zijn iPhone wordt verbeurd verklaard).
Ontmanteling Matrix cryptocommunicatiedienst en strafzaken
Op 3 december 2024 hebben de Nederlandse en Franse autoriteiten de cryptocommunicatiedienst ‘MATRIX’ tijdens ‘Operation Passion Flower’ ontmanteld (zie ook deze blog). Deze dienst wordt door de politie gezien als de als de opvolger van voorgangers als ANOM, Sky ECC en EncroChat. In het persbericht staat dat ruim 2,3 miljoen berichten zijn onderschept. Deze berichten worden gebruikt in strafzaken.
Moord op Peter R. de Vries
Eerder kwam de politie de cryptocommunicatiedienst ook al tegen in opsporingsonderzoeken. Zo speelde cryptocommunicatiedienst speelde bijvoorbeeld een rol in de moord op Peter R. De Vries. In haar uitspraak (ECLI:NL:RBAMS:2024:3272) van 12 juni 2024 overweegt de rechtbank Amsterdam bijvoorbeeld dat in de auto van de verdachte een Google Pixel telefoon werd aangetroffen, met de ‘Matrix chatapplicatie’ en het NFI die telefoon heeft ontsleuteld.
De telefoons werden aan de verdachten gekoppeld en speelden een belangrijke rol in de lokalisering van de verdachten dat zeer uitvoering in de uitspraak wordt beschreven. Daarbij zijn ook verkeersgegevens en zendmastgegevens van de telefoons van verdachten opgevraagd. De inhoud van de berichten en foto’s die zijn verstuurd, in combinatie met verkeersgegevens en ander bewijs, droegen ook bij aan het bewijs tegen de verdachten. Zo beschrijft de rechtbank de inhoud van een bericht over ‘het wapen naar huis brengen en de auto achterlaten’ en dat de verdachte om 18:58 uur het bericht stuurt hij dat een medeverdachte ‘niet met het wapen mag spelen’.
Later zal in het vonnis stelt de rechtbank vast dat [medeverdachte K.W.] op 5 juli 2021, samen met [medeverdachte K.E.] , omstreeks 18:49 uur wapens heeft opgehaald in Alphen aan den Rijn. En dat met één van die wapens, een omgebouwd gas- en alarmpistool van het merk Zoraki, Peter R. de Vries is neergeschoten. Later in dit vonnis zal de rechtbank vaststellen dat ook op dit wapen DNA van [medeverdachte K.W.] is aangetroffen.
De rechtbank Overijssel overweegt in een andere uitspraak van 16 juli 2024 (ECLI:NL:RBOVE:2024:3798) over een moord in de Dominicaanse Republiek dat de verdachte van (het medeplegen van poging van de) de moord in verbinding met de opdrachtgevers via Google Pixel telefoons, met daarop klaarblijkelijk MATRIX-applicaties. Ook de overige leden van de criminele organisatie kregen deze telefoons door de organisatie verstrekt. De verdachte zorgde ervoor dat zijn “soldaten” ook zo’n telefoon kregen. Ze communiceerden met elkaar door te chatten via MATRIX-accounts.
De verdachte werd onder andere geïdentificeerd door informatie verkregen uit een doorzoeking van zijn woning. Hierbij werd een Google Pixel-telefoon in beslag genomen, waarmee werd gecommuniceerd via MATRIX-apps. Uit deze telefoon bleek dat de verdachte betrokken was bij diverse strafbare feiten, zoals het voorbereiden en (mede)plegen van een aanslag, evenals het bezit en de overdracht van wapens.
Foto’s gemaakt met de telefoon van de verdachte en een medeverdachte toonden bijvoorbeeld verschillende wapens, waarvan een aantal later daadwerkelijk werd aangetroffen op locaties die aan de verdachte en zijn medeverdachten verbonden waren. Uit de communicatie blijkt dat hij medeverdachten instrueerde en logistieke ondersteuning bood, zoals het regelen van tickets naar de Dominicaanse Republiek en het verstrekken van middelen zoals wapens.
De rechtbank overweegt dat als een opdracht is uitgevoerd dat moet worden bewezen door het tonen van foto’s, video’s of berichtgeving waarin het strafbare feit door de media wordt beschreven. Dit werd via de ‘makelaar’ aan de opdrachtgever gestuurd. Het lijkt erop dat alles voor de opdrachtgever werd vastgelegd ter controle van de makelaar en de soldaten. De verdachte heeft dit laatste ter zitting bevestigd.
Veroordeling n.a.v. de iSpoof operatie
Op 8 oktober 2024 veroordeelde de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2024:5743) een verdachte voor bankhelpdeskfraude met behulp van de iSpoof applicatie. iSpoof is een spoofingdienst waarmee gebruikers eenvoudig hun eigen telefoonnummers verbergen en zogenaamd bellen namens een ander (zie ook deze blog over de operatie).
Om gebruik te kunnen maken van spoofing moet betaald worden aan iSpoof en worden de gesprekken via een bepaalde server gevoerd. De politie heeft de gesprekken die via deze applicatie werden gevoerd afgetapt. Deze gesprekken zijn vervolgens beluisterd en deze worden gebruikt in strafzaken, waaronder in de onderhavige zaak.
De rechtbank overweegt dat in dit geval het weergegeven telefoonnummer dat de persoon die gebeld wordt ziet, het zogenaamde Caller-ID, is geconfigureerd met behulp van een applicatie. Het is dus niet het werkelijke nummer van de beller, maar een gespooft nummer. De gespoofte nummers die de slachtoffers in deze zaak zagen lijken sterk op nummers die door banken worden gebruikt en werden daarom ook vertrouwd door de aangevers.
Modus-operandi bankhelpdeskfraude
De modus-operandi van de verdachte en anderen in de periode half februari 2023 tot half maart 2023 worden door de rechtbank in de volgende zes stappen omschreven:
De daders weten de hand weten te leggen op persoonsgegevens van slachtoffers, zogenaamde leads. Zo beschikken de daders over namen, telefoonnummers en bankrekeningnummers (van één bank; in de onderhavige zaak de Triodos bank) van een groot aantal potentiële slachtoffers;
Vervolgens belt één van de (veelal vrouwelijke) daders, de zogenaamde social engineer, het potentiële slachtoffer. Zij stelt zich voor onder een valse naam en zegt werkzaam te zijn op de fraudeafdeling van de, in deze zaak, Triodos Bank. In de onderhavige zaak werd meerdere malen de naam [A] gebruikt;
De social engineer creëert al snel een penibele situatie door het slachtoffer voor te houden dat een groot bedrag van de bankrekening was geprobeerd te halen, dat de bank dit had weten te voorkomen en de bankpassen omgeruild moeten worden omdat die besmet zijn. Haast is geboden;
De social engineer biedt een helpende hand en geeft aan dat het programma Anydesk (een externe desktopapplicatie) dient te worden gedownload om de rekening en de systemen van het slachtoffer op virussen te kunnen controleren. Hoewel de social engineer aangeeft dat dit een anti-virusscanner is, is dit in werkelijkheid een remote control applicatie waarmee de social engineer op afstand kan meekijken met wat het slachtoffer op zijn/haar scherm ziet en doet;
De social engineer bemachtigd de pincodes en eventuele andere inloggegevens van de betaalpas(sen) en/of creditcard(s) van het slachtoffer door hem/haar de pincodes hetzij in te laten spreken, hetzij in te laten voeren op het scherm;
De komst aan huis van een collega van de bank wordt aangekondigd. Deze meldt zich ook daadwerkelijk kort daarna aan de deur en identificeert met een alias en een controlenummer. Dit nummer heeft de social engineer aan het slachtoffer doorgegeven. Deze zogenaamde collega van de social engineer wordt (veelal) door de slachtoffers binnen gelaten. Aldaar worden de bankpassen doorgeknipt, waarbij de chip in stand gelaten wordt, waarna deze collega – met de passen – weer vertrekt. In enkele gevallen is ook een telefoon en/of tablet meegegeven voor controle op virussen. Doorgaans wordt in de uren na dit bezoek geld afgeschreven van de bankrekeningen van de slachtoffers. Naar later blijkt door pintransacties en aankopen.
De rechtbank concludeert dat de verdachte heeft zich samen met anderen meermalen schuldig gemaakt aan bankhelpdeskfraude. Door middel van het handelen van de verdachte en de medeverdachten zijn op slinkse wijze de bankpas(sen) en/of creditcard(s), pincode(s), telefoons en tablets van de slachtoffers bemachtigd om daarmee geld van de bankrekeningen op te nemen.
Straf
De verdachte wordt door de rechtbank schuldig bevonden aan het medeplegen van oplichting en witwassen, diefstal, valsheid in geschrifte en medeplegen van computervredebreuk. Zij krijgt 240 dagen jeugddetentie opgelegd, waarvan 235 dagen voorwaardelijk met een proeftijd van twee jaar met oplegging van bijzondere voorwaarden (o.a. contactverbod met medeverdachte en behandeling bij De Waag) en een onvoorwaardelijke taakstraf van 200 uur in de vorm van een werkstraf. Ook moet de verdachte diverse schadevergoedingen aan benadeelde partijen betalen. De rechtbank heeft in de strafoplegging rekening gehouden met de positieve wending die de verdachte in haar leven heeft gemaakt en daar zelf een grote rol in heeft gespeeld.
Veroordeling voor het witwassen van meer van 10 miljoen euro n.a.v. de Exclu operatie
De rechtbank Zeeland-West-Brabant heeft op 28 november 2024 een uitspraak (ECLI:NL:RBZWB:2024:8122) gedaan op basis van bewijs dat is verzameld tijdens de Exclu-operatie in 2022. Deze uitspraak is interessant vanwege de overwegingen omtrent de rechtmatigheid van het opsporingsonderzoek, het delict witwassen en het gebruik van cryptovaluta.
Het onderzoek ‘Grand Canyon’ was een deelonderzoek van onderzoek 26Lytham, dat tot doel had de identiteit te achterhalen van NN-gebruikers van het Exclu-platform. Berichtenverkeer tussen gebruikers van Exclu is onderschept en ontsleuteld. Omdat de server van Exclu zich op dat moment in Duitsland bevond, heeft voor de interceptie van de berichtenstroom en het verkrijgen van de sleutels een hack plaatsgevonden op de server. De Duitse politiële autoriteiten zijn daartoe overgaan, nadat Nederland hiertoe een verzoek heeft gedaan.
Rechtmatigheid onderzoek
De rechtbank oordeelde dat het onderzoek rechtmatig was. De Nederlandse rechter-commissaris gaf machtigingen voor het aftappen en hacken, waarbij werd voldaan aan de beginselen van proportionaliteit en subsidiariteit. Zo werden vooraf vastgestelde zoeksleutels gebruikt die wezen op zware georganiseerde criminaliteit. De rechter-commissaris heeft de geselecteerde informatie eerst gecontroleerd (op inhoud, omvang en relatie tot strafbare feiten) voordat verdere verspreiding onder het onderzoeksteam heeft kunnen plaatsvinden en de verlengingen van de machtigingen werden periodiek getoetst. Volgens de rechtbank kon de informatie niet op een andere, minder ingrijpende, wijze kon worden verkregen en gebruikt dan de gehanteerde manier.
Equality of arms
Bij de beoordeling van het beginsel ‘equality of arms’ stelde de rechtbank vast dat het procesdossier alle relevante stukken bevatte. De verdediging had toegang tot de dataset van het aan verdachte gekoppelde Exclu-account en beschikte de verdediging over de dataset van de aan het verdachte gekoppelde Exclu-account en kon zij het dossier controleren. Ook is de raadsman de toegang verschaft tot de gehele dataset van Exclu op het politiebureau. De rechtbank is van oordeel dat onderzoeksresultaten tijdig met de verdediging zijn gedeeld en zij daardoor voldoende mogelijkheden heeft gehad om het bewijs te bestuderen en te verifiëren.
Bewijsoverwegingen
De rechtbank neemt in de onderhavige zaak meerdere bewijstukken in overweging. De rechtbank gebruikt voor het bewijs meerdere chatberichten die de verdachten op verschillende tijdstippen aan verschillende accounts hebben gestuurd en de reacties hierop. Naast de chatgesprekken zelf zijn er ook foto’s gestuurd. Het betreft bovendien niet alleen gesprekken via het Exclu-platform, maar ook via andere berichtenapps, zoals Whatsapp en Signal. Daarnaast bevinden zich in het dossier stukken over het forensisch onderzoek en overige bevindingen door verbalisanten. Daarmee is naar het oordeel van de rechtbank sprake van meerdere bewijsmiddelen uit meerdere bronnen en wordt in zoverre aan het bewijsminimum voldaan.
Op basis van de in de chatberichten gebruikte termen, de bijgevoegde foto’s waarop de drugs en (pre-)precursoren pontificaal zijn afgebeeld, het besproken (productie)proces en de (door de verdachte) vermelde bedragen, is het naar het oordeel van de rechtbank evident dat de berichten daadwerkelijk over verdovende middelen en de daarvoor benodigde grondstoffen zijn gegaan.
Witwassen met cryptocurrencies
De verdachte wordt ook schuldig bevonden aan witwassen. Aan de verdachte worden twee cryptovaluta-accounts toegeschreven. De politie heeft alle transacties bestudeerd in de periode van 12 maart 2020 tot en met 3 februari 2023. Uit de berekening blijkt dat op het Binance-account en gezamenlijk in totaal in cryptovaluta is ontvangen: – 10.073.734,94388 USDT;
– 15,95958 BTC;
– 2.335,43416 XMR;
– 9,58803 ETH.
Deze cryptovaluta hebben een geschatte tegenwaarde vertegenwoordigd van € 9.961.937,- op het moment dat de cryptovaluta zijn ontvangen.
In deze zaak is geen direct verband te leggen tussen een concreet misdrijf en het geld en de cryptovaluta waarop de tenlastelegging ziet. Dat betekent dat er geen gronddelict bekend is. Daarom wordt gebruikt gemaakt van het in de jurisprudentie ontwikkelde stappenplan. De rechtbank stelt dat dat de verdachte ook betrokken is geweest bij de handel in grondstoffen (de aankoop, import en overdracht) en de verkoop van het eindproduct. Het is een feit van algemene bekendheid dat bij dergelijke feiten in dit criminele milieu grote hoeveelheden cash geld omgaan. Dit doet zich ook in onderhavig geval voor. Het bezit van grote contante geldbedragen door privépersonen is hoogst ongebruikelijk vanwege het risico van onder meer brand en diefstal, waarbij het geldbedrag in dergelijke gevallen niet is verzekerd. De bankbiljetten zijn ook niet veilig en geordend opgeborgen, maar gebundeld met elastiek in pakketten bewaard op plekken die aan het zicht onttrokken zijn. Bovendien zijn coupures met een hoge waarde (€ 200,- en € 500,-), waarvan in dit geval sprake is, in veel gevallen uitgesloten van het regulier betalingsverkeer in Europa. Verdachte heeft daarnaast nog eens tussen 12 maart 2020 en 3 februari 2023 grote bedragen cryptovaluta ontvangen en betaald, terwijl grotendeels niet duidelijk is geworden naar/van wie en waarom de betalingen zijn verricht.
Er is onderzoek gedaan naar de financiële situatie van de familieleden van verdachte, alsmede naar de inkomens- en vermogenspositie van verdachte zelf. Verdachte en zijn familie hebben geen (bekend) toereikend legaal inkomen dat het voorhanden hebben van voormeld contant geldbedrag en de ontvangsten en betalingen via cryptocurrency zouden kunnen rechtvaardigen.
De rechtbank is op basis van het vorenstaande van oordeel dat de aangedragen feiten en omstandigheden zodanig van aard zijn dat er zonder meer sprake is van een vermoeden van witwassen. De financiële situatie van verdachte (en zijn familie) kunnen niet verklaren dat er de beschikking is over een contant vermogen van € 617.170,- en een bedrag aan cryptovaluta van € 9.961.937,-. Onder deze omstandigheden mag van verdachte een verklaring worden verlangd over de herkomst van deze geldbedragen.
De rechtbank legt voor het medeplegen van voorbereidingshandelingen ex. artikel 10a van de Opiumwet en gewoontewitwassen een gevangenisstraf op van vijf jaar en een geldboete van € 50.000,-.
Vrijspraak voor gewoontewitwassen door reseller EncroChat-telefoons
Op 12 november 2024 heeft de Rechtbank een verdachte vrijgesproken (ECLI:NL:RBROT:2024:11353) van gewoontewitwassen van geld dat is verdiend met de handel in Encrochat-telefoons.
De officier van justitie verweet de verdachte dat hij een gewoonte heeft gemaakt van het witwassen van bijna twee miljoen euro, door dat geld te verwerven, voorhanden te hebben, over te dragen, om te zetten en/of daarvan gebruik te maken. Volgens de officier van justitie heeft de verdachte samen met zijn broer en een medeverdachte het in de tenlastelegging genoemde geld verdiend met handel in Encrochat-telefoons. Encrochat wordt hier beschreven als een communicatiedienst met als belangrijkste doel om de geheimhouding van de communicatie en de gebruikers te garanderen. De Encrochat-telefoons worden wereldwijd aangeboden en geleverd door zogenoemde ‘resellers’. De officier van justitie acht bewezen dat de verdachte zo’n reseller is geweest. Bewezen zou kunnen worden ‘dat het geld waarmee de telefoons zijn gekocht misdaadgeld is en dat de verdachte dit heeft witgewassen door dat geld als betaling voor de telefoons te accepteren, dit te herinvesteren en voor privé-uitgaven te gebruiken’.
Dat bewijs is volgens de officier van justitie enerzijds gebaseerd op het feit van algemene bekendheid dat de klanten van de verdachte criminelen zijn die hun geld met misdaad verdienen. Voor zover er telefoons zijn gekocht met geld dat niet uit misdaad afkomstig is, gaat dit om zulke kleine hoeveelheden dat dit door vermenging met misdaadgeld ook wordt witgewassen. Anderzijds of misschien in het verlengde daarvan kan witwassen volgens de officier van justitie worden bewezen omdat het niet anders kan zijn dan dat het geld uit misdrijf afkomstig is. Daarvan is volgens vaste jurisprudentie van de Hoge Raad sprake als de feiten en omstandigheden waaronder de telefoons werden verkocht een vermoeden rechtvaardigen dat het niet anders kan zijn dan dat het geld uit enig misdrijf afkomstig is, terwijl de verdachte geen concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring heeft gegeven dat het geld niet van misdrijf afkomstig is. Die feiten en omstandigheden zijn hier aanwezig. De verdachte heeft ook geen concrete, verifieerbare en min of meer aannemelijke verklaring over een legale herkomst gegeven, waardoor de politie daar ook geen onderzoek naar heeft kunnen doen. De rechtbanken Den Haag en Rotterdam hebben eerder in min of meer vergelijkbare zaken op grond van overeenkomstige redeneringen witwassen bewezen verklaard, waarbij de officier van justitie in het bijzonder heeft gewezen op de Ennetcomzaak (rechtbank Rotterdam, 21 september 2021, ECLI:NL:RBROT:2021:9085), die ging over Ennetcom, een vergelijkbare aanbieder als Encrochat.
De rechtbank oordeelt echter anders. De rechtbank merkt op dat het tenlastegelegde bedrag is verdiend met de verkoop van de cryptotelefoons. Het gaat dus uitdrukkelijk niet om geld dat de verdachte zelf met een eigen handel in Encrochat-telefoons zou hebben witgewassen.
Anders dan de officier van justitie heeft gesteld, is niet wettig en overtuigend bewezen dat de kopers van de telefoons hebben betaald met geld dat van misdaad afkomstig is. Wel heeft de rechtbank bewezen geacht dat de medeverdachte een groot deel van het in de tenlastelegging genoemde geld heeft witgewassen en daarvan een gewoonte gemaakt door structureel geen aangifte te doen van en belasting af te dragen over omzet en verdiensten met de Encrochat-telefoons. Er is alleen geen bewijs dat de verdachte de belastingmisdrijven die als verwervingsdelict ten grondslag liggen aan het gewoontewitwassen heeft medegepleegd. Er is ook geen bewijs dat de verdachte het geld dat de medeverdachte zelf heeft verworven door geen belasting af te dragen tezamen en in vereniging met de medeverdachte voorhanden heeft gehad, heeft overgedragen, heeft omgezet of daarvan gebruik heeft gemaakt.
De rechtbank spreekt de verdachte vrij van het ten laste gelegde feit.
Veroordeling voor simswapping en “andere cyberfeiten”
Op 25 november 2024 veroordeelde (ECLI:NL:RBNNE:2024:4600) de rechtbank Noord-Nederland een verdachte voor onder andere simswapping en “andere cyberfeiten”. De politie beschrijft simswapping als het overnemen van de simkaart van mobiele telefoon. Slachtoffers hebben dan geen toegang meer tot het netwerk en iemand kan zich daarmee voordoen als iemand anders. Het slachtoffers is ook vaak de toegang kwijt tot de accounts waarvoor met sms een tweestapsverificatie is ingesteld. De uitspraak zelf vind ik niet zo helder. Dit nieuwsbericht is bijvoorbeeld duidelijker. De samenvatting van de zaak op basis van deze twee bronnen is als volgt.
De verdachte heeft in deze zaak onrechtmatig ingelogd op het netwerk van een dealer van T-Mobile. Op deze manier konden via het klantensysteem van T-Mobile zogenaamde simswaps worden uitgevoerd met als doel om telefoonnummers van klanten van T-Mobile over te nemen om daarmee te frauderen.
Daarnaast heeft de verdachte in de ‘My T-Mobile-accounts’ van particulieren ingebroken. Ook hierna konden simswaps worden uitgevoerd met als doel om telefoonnummers van klanten van T-Mobile over te nemen en vervolgens met deze telefoonnummers te frauderen. Dat heeft verdachte ook gedaan en onder andere – grote hoeveelheden cryptovaluta (zoals Bitcoin en Ethereum) heeft weggenomen.
Tot slot heeft verdachte zich beziggehouden met het versturen van phishing smsjes en een “sms-bom” naar 25.000 nummers uit naam van de Belastingdienst en de Rabobank, waarna soms ook telefonisch contact plaatsvond. In die gevallen heeft verdachte zich samen met een ander voorgedaan als medewerker van de Belastingdienst, waarna slachtoffers grote bedragen afhandig werden gemaakt. De verdachte verstuurde bijvoorbeeld in een phishing-sms dat zij een belastingschuld hadden en dat er beslag gelegd zou worden als zij niet op een betaallink klikten. Hierbij deed de verdachte zich voor als de medewerker van een bedrijf.
De rechtbank vindt het extra kwalijk dat de verdachte reeds eerder voor soortgelijke cyberfeiten is veroordeeld en in een proeftijd liep. Dit heeft hem er niet van weerhouden om direct na zijn vrijlating uit de gevangenis in maart 2023 door te gaan met computervredebreuk, phishing, diefstal en oplichting. Net als de officier van justitie en de reclassering ziet de rechtbank een groot recidivegevaar. De rechtbank houdt hiermee in de straf rekening mee en veroordeeld de verdachte tot 42 maanden gevangenisstraf en een geldboete van ongeveer 8000 euro.
Veroordeling voor phishing creditcardgegevens
Op 9 september 2024 veroordeelde (ECLI:NL:RBNHO:2024:11020) de rechtbank Noord-Holland een verdachte voor oplichting en computervredebreuk. In de zaak komt de modus-operandi van de dader en het proces van digitale opsporing helder naar voren.
In de zaak komt de modus-operandi van de dader en het proces van digitale opsporing helder naar voren. De uitspraak is pas later gepubliceerd.
In deze zaak gaat het over phishing van creditcardgegevens. In de woorden van de rechtbank is phishing een vorm van oplichting via het internet waarbij het slachtoffer wordt verleid om bepaalde, veelal financiële, gegevens te delen. De link in de phishing e-mail leidde in dit geval naar een zogenaamd ‘phishing panel’. Dat is een website die is vormgegeven alsof het de website van de creditcard uitgever is. Op die website wordt de bezoeker gevraagd om gegevens in te voeren zoals rekeningnummer, pasnummer, geboortedatum, creditcardnummer en cvc-code.
De beheerder van het phishing panel kan met de ingevoerde gegevens, nadat de creditcard uitgever de zogenaamde 2FA-code (een twee factor authenticatiecode) heeft verstrekt, vervolgens de controle krijgen over de creditcards en daarmee betalingen te doen. Het doel hiervan is zoveel mogelijk (creditcard) gegevens van mensen te achterhalen om vervolgens deze gegevens te kunnen misbruiken voor eigen financieel gewin.
In de onderhavige zaak werden de aangevers verleidt zich via een hyperlink te identificeren om hun creditcard te kunnen deblokkeren. Nadat aangevers hun (persoons)gegevens hadden ingevoerd op de phishing website, werden deze gegevens direct, door middel van een bot, doorgestuurd naar onder meer de Telegramkanalen. Op het moment dat de gephishte gegevens werden ontvangen, werden via de betreffende Telegram-app pushmeldingen gestuurd naar de telefoon van de phisher, zodat die direct aan de slag kon met deze gegevens. De phisher kon vervolgens de rekeningen van aangevers koppelen aan de ICS-app op zijn eigen apparaat, waarna hij online aankopen kon betalen met de creditcards van de aangevers. Op die manier zijn er meerdere bedragen afgeschreven van de rekeningen van aangevers.
In het onderzoek zijn door de politie (persoons)gegevens van meerdere cardhouders van ICS aangetroffen. Deze cardhouders bleken vergelijkbare phishing e-mails te hebben ontvangen. Naar aanleiding hiervan heeft ICS, namens haar klanten, eveneens aangifte gedaan.
Uit het onderzoek naar de phishing websites blijkt dat gebruik is gemaakt van twee verschillende phishing websites. Deze phishing websites worden gehost door een Nederlandse hosting partij, genaamd Serverion B.V. Uit informatie van Serverion volgt dat de betalingen voor het hosten van de phishing websites zijn gedaan met bitcoins. De bitcoin wallet waarmee de betalingen zijn gedaan is in rechtstreeks verband te brengen met een wallet bij Binance, die op naam van de verdachte staat en waaraan het telefoonnummer van de verdachte is gekoppeld. Bovendien heeft de verdachte verklaard dat hij de gebruiker is van het e-mailadres.
Verder bleek uit nader onderzoek dat de back-end van de phishing websites stelselmatig werd bezocht door het IP-adres. Dit IP-adres blijkt te zijn gekoppeld aan het woonadres van de verdachte. Ook het telefoonnummer van de verdachte straalt zendmasten aan in de buurt van dat woonadres van de verdachte op de momenten dat de phishing websites vanaf dat dat IP-adres worden benaderd. Uit onderzoek blijkt verder dat dit IP-adres de phishing websites niet meer heeft benaderd na de aanhouding van de verdachte op 30 januari 2024. Bij de verdachte zijn meerdere telefoons in beslag genomen. De verdachte heeft verklaard hiervan de gebruiker te zijn. Uit onderzoek naar deze toestellen is gebleken dat hierop de aanmaak van onder meer de Telegram bots zijn terug te vinden. De verdachte heeft verklaard dat hij toegang had tot deze groepen en dat hij ook een aantal maal de gephiste gegevens heeft gebruikt om aankopen mee te doen.
De rechtbank overweegt dat de verdachte e-mails heeft verstuurd aan vele e-mailadressen, waarin stond dat de ontvangers zich online moesten identificeren om hun creditcard te kunnen deblokkeren. Met de gephishte gegevens heeft de verdachte zichzelf via de ICS-app toegang verschaft tot de creditcards van de slachtoffers, en daarmee vervolgens online aankopen gedaan. De verdachte heeft technische hulpmiddelen voorhanden gehad om daarmee computerfraudedelicten te plegen. De verdachte is bovendien het systeem van ICS wederrechtelijk binnengedrongen nadat hij de (persoons)gegevens van de slachtoffers middels phishing had ontvangen. Daarnaast heeft de verdachte een vuurwapen, te weten een gasvuurwapen in de vorm van een revolver, voorhanden gehad.
Gelet op de ernst van de feiten heeft de rechtbank bij de strafoplegging ook oog voor het afschrikwekkende effect dat daarvan uit moet gaan. Naar het oordeel van de rechtbank kan dan ook niet worden volstaan met een andere straf dan met een gevangenisstraf voor de duur van 30 maanden, met aftrek van de tijd die de verdachte in verzekering en voorlopige hechtenis heeft doorgebracht, waarvan 6 maanden voorwaardelijk met een proeftijd van drie jaren. Ten slotte moet hij een schadevergoeding van € 36.722,70 aan International Card Services B.V. betalen.
Op 24 november 2022 publiceerde de Nationale Politie een persbericht over het ontmantelen van iSpoof. Het Cybercrimeteam Midden-Nederland heeft in nauwe samenwerking met de London Metropolitan Police Service een onderzoek gedaan – ‘Operation Elaborate’ – naar de internationale spoofingdienst iSpoof.
Wat is iSpoof?
iSpoof is een spoofingdienst waarmee gebruikers eenvoudig hun eigen telefoonnummers verbergen en zogenaamd bellen namens een ander. In dit geval gaat het om het vervalsen van telefoonnummers. Dat betekent dat het weergegeven telefoonnummer dat de persoon die gebeld wordt ziet, het zogenaamde Caller-ID, is geconfigureerd met behulp van een applicatie. Het is dus niet het werkelijke nummer van de beller, maar een gespooft nummer.
In de praktijk wordt deze dienst veel gebruikt door oplichters die slachtoffers bellen en zich daarbij voordoen als bijvoorbeeld een bank of overheidsorganisatie. Slachtoffers worden vervolgens met slinkse praatjes misleid om bank- of privégegevens prijs te geven of geld over te boeken. Dit heet bankhelpdeskfraude.
Verloop van de operatie
Op de website ‘ActionFraud’ vermeld de Britse politie:
The Met’s Cyber Crime Unit began investigating iSpoof in June 2021 under the name of Operation Elaborate. It was created in December 2020 and had 59,000 user accounts.
Investigators infiltrated the site and began gathering information alongside international partners.
The website server contained a treasure trove of information in 70 million rows of data. Bitcoin records were also traced.
De uitbater van iSpoof is op zondag 6 november 2022 door de London’s Metropolitan Police Service gearresteerd. Diezelfde week is de dienst iSpoof offline gehaald. Op 8 november 2022 werden de website en de server in beslag genomen en offline gehaald door de Amerikaanse en Oekraïense autoriteiten. De FBI heeft daarbij beslag gelegd op de domeinnaam ispoof.cc.
De politie vermeld dat door middel van een tap op de servers in Almere de Nederlandse politie inzicht kreeg in hoe gebruikers van iSpoof.cc te werk gaan. Daaruit werd duidelijk dat gebruikers wereldwijd per maand circa een miljoen gesprekken, of pogingen daartoe, voerden. In Nederland gaat het om vermoedelijk duizenden telefoontjes per maand.
Uit een uitspraak van rechtbank Noord-Nederland van 12 januari 2024 (ECLI:NL:RBNNE:2024:51) blijkt dat op de server van iSpoof een tap actief stond in de periode van 4 juni 2022 tot en met 5 september 2022. Uit die tap werd volgens de politie duidelijk dat gebruikers wereldwijd per maand circa een miljoen gesprekken, of pogingen daartoe, voeren.
Resulaten
De Nederlandse politie deelde haar informatie over criminele gebruikers met Europol en andere landen. Volgens Europol waren er naar aanleiding van de operatie in november 2022 al 142 arrestaties verricht. De Britse Metropolitan Police stelt dat in 12 maanden (tot augustus 2022) ongeveer 10 miljoen telefoongesprekken zijn gevoerd.
Naar schatting van Europol hebben criminelen met iSpoof.cc in 16 maanden tijd meer dan 3,7 miljoen euro verdiend. De criminelen betaalden de dienst veelal in bitcoin. Volgens het artikel ‘Grootste fraudezaak in Britse geschiedenis’ in de Volkskrant zijn 200 duizend mensen op deze wijze opgelicht. Gemiddeld verloren slachtoffers die aangifte deden 10.000 pond. De geschatte schade is volgens de Britse autoriteiten meer dan 100 miljoen GBP (circa 115 miljoen EUR).
De politieorganisaties hebben ook de “promotievideo” van iSpoof ‘gespooft’ om te benadrukken welke sporen klanten achterlaten en wat dit voor hen kan betekenen.
Vervolgingen in Nederland n.a.v. de Operation Elaborate
De rechtbank Noord-Nederland veroordeelde (ECLI:NL:RBNNE:2024:51) bijvoorbeeld op 12 januari 2024 een verdachte voor grootschalige bankhelpdeskfraude, waarbij tientallen personen zijn gedupeerd met een totaal schadebedrag van circa € 800.000,-.
Voor de bewijsvoering worden bijvoorbeeld metadata en inhoudelijke gesprekken uit de tap gebruikt, en daarnaast transactie- en gebruikersdata uit de servers. Mogelijk volgen er nog andere uitspraken naar aanleiding van deze bijzondere politieoperatie.
Deze website gebruikt alleen cookies die strikt noodzakelijk zijn voor de werking en om berichten te plaatsen. Dit betekent dat er geen extra cookies ingezet worden voor marketing, tracking of analyse.
De noodzakelijke cookies worden automatisch geplaatst door WordPress.com en zorgen ervoor dat de website veilig, functioneel en toegankelijk blijft.
Op de website van het moederbedrijf Automatticc.com/cookies is meer te lezen over de cookies die automatisch worden geplaatst door websites die worden gehost door WordPress.com.
jjoerlemans.com 