Tag banking malware

Veroordeling bankingmalware (NjRAT)

jjoerlemans Een reactie plaatsen

Op 5 september 2017 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2017:2519) voor het gebruik van banking malware. In de informatieve uitspraak wordt de werking van de malware uitgebreid omschreven.

De verdachte heeft samen met zijn mededader(s) een paar maanden in 2015 via een aantal spamruns onschuldig ogende e-mails verstuurd naar duizenden ontvangers, waarbij de verdachte en zijn mededader(s) het hadden voorzien op bedrijven. Deze e-mails bevatten een bijlage in de vorm van een gemanipuleerd Word-bestand. Zodra een ontvanger dit Word-bestand opende, werd automatisch malware op de computer van de betreffende ontvanger geïnstalleerd. De malware, njRAT genaamd, is een ‘Remote Access/Administration Tool’, waarmee op afstand toegang tot computers kan worden verkregen.

Eenmaal geïnfecteerd meldden de besmette computers zich aan op het beheerderspaneel dat op de computer van de verdachte geïnstalleerd was. Op dat moment was het voor de verdachte of zijn mededader(s) mogelijk om mee te kijken op het computerscherm van het slachtoffer en kon de verdachte of zijn mededader(s) ook de controle over de muis en het toetsenbord overnemen. Ook hield de RAT bij welke toetsaanslagen er allemaal op het toetsenbord van de besmette computer werden gemaakt. Op deze wijze verkregen de verdachte en zijn mededader(s) wachtwoorden en andere inloggegevens waarmee zij konden inloggen op de [bank]-internetbankieromgevingen van bedrijven.

Witwassen

Vervolgens veranderden de verdachte en zijn mededader(s) de bankrekeningnummers met betrekking tot betaalopdrachten in het kader van o.a. loonuitbetalingen, die in de [bank]-internetbankieromgeving klaarstonden om te worden verwerkt. Door het veranderen van de bankrekeningnummers zorgden zij ervoor dat de gelden niet op de bankrekeningen van de rechthebbenden terechtkwamen, maar op de bankrekeningen van money mules, die door de verdachte en zijn mededader(s) waren geworven. Daarna werd geld door de verdachte en zijn mededader(s) vanaf die bankrekeningen opgenomen en gecasht.

De verdachte vervulde in dit geheel vooral een technische rol. Hij zorgde onder meer voor de benodigde malware, het infecteren van de computers en hield de besmette computers door middel van het beheerderspaneel in de gaten. De medeverdachte [medeverdachte] veranderde de gegevens in de [bank]-internetbankieromgeving en zorgde ervoor dat het geld werd gecasht.

Bewijsoverwegingen

Na zijn arrestatie heeft de verdachte uitgebreide bekennende verklaringen afgelegd, waarin hij in detail de configuratie van de computer heeft beschreven waarop het beheerderspaneel stond en die op het moment van zijn aanhouding in verbinding stond met een van de besmette computers. De verdachte zat op dat moment ook achter die computer. Deze verklaringen van de verdachte vinden volgens het Hof Den Haag bevestiging in objectieve onderzoeksgegevens, zoals het onderzoek aan de in de woning van de verdachte in beslag genomen computer en in afgeluisterde telefoongesprekken die de verdachte met anderen heeft gevoerd. Het hof ging dan ook niet mee met het argument van de raadsman dat de verklaringen onbetrouwbaar waren. Ook de verdediging dat er sprake zou zijn van een alternatief scenario moet volgens het Hof Den Haag vanwege als het bewijs als ‘ronduit ongeloofwaardig’ moet worden geacht.

Veroordeling

De verdachte wordt veroordeeld voor computervredebreuk, witwassen en valsheid in geschrifte. De verdachte moet ongeveer 36.000 euro aan schadevergoeding betalen en kreeg een onvoorwaardelijke gevangenisstraf van 30 maanden opgelegd. Bij het opleggen van de straf is rekening gehouden dat de bewezenverklaarde feiten in een relatief korte periode zijn gepleegd en dat er – in vergelijking met andere banking malware-zaken – geen sprake is geweest van ‘een voor de betrouwbaarheid en continuïteit van het digitale betalingsverkeer in bredere zin zeer bedreigende werkwijze’.

Veroordeling voor ontwikkelen van banking malware

jjoerlemans Een reactie plaatsen

Op 7 april 2017 heeft de Rechtbank Rotterdam een interessant vonnis (ECLI:NL:RBROT:2017:2815) gewezen over banking malware. Veroordelingen voor het ontwikkeling van malware komen in Nederland niet veel voor en daarom is de uitspraak nieuwswaardig. Het bewijs werd in casu vooral geleverd uit de inhoud van chatgesprekken via de app Telegram. Telegram versleutelt  berichtenverkeer en verhinderd daarmee het lezen van inhoudelijk verkeer bij een tap. Door inbeslagname van een smartphone, is het echter mogelijk gebleken de berichten uit te lezen en gedragingen van de verdachte  te koppelen aan strafbare feiten.

De verdachte is naast het ontwikkelen van malware veroordeeld voor het medeplegen van computervredebreuk en diefstal met een valse sleutel, omdat uit de bewijsmiddelen een nauwe en bewuste samenwerking van de verdachte met een medeverdachte is gebleken. De rechtbank merkt op dat via de app onder meer berichten zijn uitgewisseld over het testen van malware, teksten voor de bij de fraude te gebruiken teksten, werd gecommuniceerd over het gebruik van ontvangstadressen voor bankpassen en/of bestellingen, werden persoonlijke (inlog)gegevens van diverse derden gedeeld en werd ten slotte informatie over het leeghalen van (bank)rekeningen en het ‘arriveren’ van gelden op rekeningen van zogenaamde katvangers gedeeld.

De verdachte is vrijgesproken van gewoontewitwassen ‘nu er “slechts” één keer is gecasht en daarmee geen sprake kan zijn van een herhaling van feiten, zoals een bewezenverklaring van gewoontewitwassen vereist’, aldus de rechtbank. Ook voor het gewone delict witwassen ontbrak volgens de rechtbank de vereiste verhullingshandeling.

De verdachte is veroordeelt voor drie jaar gevangenisstraf.

Veroordeling voor banking malware op mobiele telefoons (perkele) en witwassen

jjoerlemans Een reactie plaatsen

Op 24 januari 2017 heeft het Hof Den Haag zijn enkele verdachten veroordeeld (ECLI:NL:GHDHA:2017:81) voor het gebruik van banking malware op computers en mobiele telefoons van rekeninghouders.

Na besmetting met de malware werden bankklanten tijdens het internetbankieren door een nepscherm, mogelijk gemaakt met de zogenaamde ‘webinject’-techniek, ertoe bewogen een transactie uit te voeren. Met behulp van kwaadaardige software van het type ‘Perkele’ werden vervolgens de benodigde TAN-codes van Android telefoons van ING klanten afgevangen. TAN-codes worden gebruikt als dubbele authenticatiemethode en zijn noodzakelijk om de transactie uit te voeren.

Vervolgens werden de bedragen vanaf de betreffende bankrekeningen overgeboekt naar de bankrekeningen van money mules, die daar een bepaalde vergoeding voor kregen. Het geld werd daarna zeer snel gepind of omgezet in andere betaalmiddelen, goederen, of direct of indirect overgemaakt naar het buitenland. In totaal is ongeveer €13.000,- euro aan bitcoins gekocht met geld dat was overgemaakt met de frauduleuze betalingen. Een verdachte maakte gebruik van een gehackt computernetwerk van een garagebedrijf om op deze manier zijn sporen zoveel mogelijk te verhullen.

De verdachten zijn veroordeeld voor computervredebreuk, diefstal met valse sleutel vanaf bankrekeningen, gewoontewitwassen, oplichting en valsheid in geschrifte. De verdachten hebben de stevige onvoorwaardelijke gevangenisstraf van 4,5 jaar opgelegd gekregen. De schadevergoeding aan de betrokken bank heeft echter geen stand gehouden.

Annotatie TorRAT

jjoerlemans Een reactie plaatsen

Rechtbank Rotterdam 20 juli 2016, ECLI:NL:RBROT:2016:5814, Computerrecht 2016/175, m.nt. J.J. Oerlemans

Deze uitspraak (ECLI:NL:RBROT:2016:5814) betreft één van de weinige veroordelingen voor banking malware in combinatie met witwassen (Zie ook Rb. Rotterdam, 2 oktober 2015, ECLI:NL:RBROT:2015:7041 en Rb. Zeeland 29 juni 2016, ECLI:NL:RBZWB:2016:3877) De zaak geeft een exclusief kijkje in de high tech wereld van banking malware en het witwassen van de crimineel verkregen gelden. Op juridisch gebied is de bewijsconstructie van de rechtbank interessant en moet de vraag worden gesteld op welke wijze witgewassen bitcoins in beslag kunnen worden genomen.

Modus operandi banking malware

De verdachten hebben met kwaadaardige software, genaamd “TorRAT”, computers besmet teneinde de internetbankiersessie van hun slachtoffers te manipuleren. De computers van slachtoffers werden besmet via e-mails met ogenschijnlijk een aanmaning of voorstel voor een betalingsregeling. Na het openen van de bijlage werd de malware op de computers van de slachtoffers geïnstalleerd en maakte de software via het anonimiseringprogramma Tor verbinding met de zogenaamde Command-and-Control server van de verdachten. Via een Command-and-Control server hebben de verdachten een overzicht van de besmette computers en kunnen instructies aan de besmette computers (ook wel ‘zombie computers’ genoemd) worden verstuurd. De verdachten verkrijgen daarmee controle over enkele functionaliteiten van de computers. Software dat functionaliteiten van computers op afstand kan overnemen wordt ook wel een Remote Access Tool (of RAT) genoemd. Samen met het feit dat de malware verbinding maakt met Tor, kan de naam van de malware – TorRAT – worden verklaard.

In dit geval heeft de malware als doel om de internetbankiersessies van de slachtoffers te manipuleren. In de uitspraak wordt beschreven dat de malware in werking treed op het moment dat een slachtoffer zijn of haar bankwebsite opzoekt om online te bankieren. Met de malware kan tijdens het internetbankieren (buiten het zicht van de gebruiker) het rekeningnummer, de naam van de begunstigde en de omschrijving van de betaling worden aangepast en vervolgens geld naar een ander rekeningnummer worden overgemaakt.

Witwassen

Op deze wijze zijn betalingen met de TorRAT malware gewijzigd en omgeleid naar money mules. Money mules worden door de rechtbank omschreven als personen die hun rekening, bankpas en pincode, al dan niet bewust en al dan niet vrijwillig, ter beschikking hebben gesteld. Vervolgens is het geld in de meeste gevallen zo snel mogelijk in contant opgenomen of omgezet in de virtuele valuta Bitcoin. Bitcoins kunnen worden aangekocht via Bitcoin exchanges. Deze handelingen leverden volgens de rechtbank de volgende delicten op: computervredebreuk (art. 138ab Sr), het verzenden van spam (art. 138b Sr (voor het versturen van de spam), het aftappen of opnemen van gegevens met malware (art. 138c Sr), het installeren van malware (art. 139d Sr), het in bezit hebben van de malware (art. 139e Sr), diefstal met een valse sleutel (art. 311 lid 1 onder 4 en 5 Sr) en oplichting (art. 326 Sr).

De rechtbank acht tevens het delict gewoontewitwassen (art. 420bis Sr) bewezen. De vereiste verhullingshandeling bestond daarbij uit het overboeken van het geld naar de rekeningen van money mules, waarna het geld veelal contant werd gemaakt door middel van betalingen of door omzetting in bitcoins. De overboeking van de rekening van een slachtoffer naar de money mule ziet de rechtbank als diefstal en nog niet als witwassen. Het is de daarop volgende versluiering van de criminele herkomst door het contant maken of omzetting in bitcoins dat de gedraging tot witwassen maakt. De rechtbank komt ook tot het oordeel dat sprake is van een criminele organisatie (art. 140 Sr). Daarbij wordt opgemerkt dat voor het plegen van de ‘cyberfraude’ een daarop gerichte organisatie noodzakelijk is. Een groep van personen heeft in dit geval de malware is ontwikkeld, servers zijn gehackt om de e-mails voor de malware verspreiding te distribueren, en money mules zijn geronseld om beschikking te krijgen over rekeningen om geld op te storten. De rechtbank komt tot de conclusie dat daarvoor een planmatige aanpak, samenwerking en duidelijke afstemming tussen de betrokkenen noodzakelijk is geweest. Ter onderbouwing van deze samenwerking worden  enkele passages afkomstig uit e-mails aangehaald. De verdachten maakten gebruik van de (niet meer beschikbare) dienst TorMail, dat kan worden beschreven als een gratis webmail dienst dat alleen via Tor bereikbaar is. Uit de uitspraak wordt niet helder hoe toegang tot deze e-mails is verkregen.

Veroordeling

De verdachte was één van de oprichters van de criminele organisatie en had een leidinggevende rol binnen het criminele samenwerkingsverband. Hij is veroordeeld tot een gevangenisstraf van 3 jaar. Tevens moet de verdachte een stevige schadevergoeding betalen van € 105.491,42 aan de ING. De vordering van de Rabobank werd onvoldoende gemotiveerd geacht. De medeverdachten zijn veroordeeld voor gevangenisstraffen variërend van 9 tot 36 maanden, afhankelijk van hun rol binnen de criminele organisatie en strafblad.

Aangifte ING

Met betrekking tot de bewijsvoering is het interessant dat de officier van justitie stevig leunt op bijlagen van frauduleuze transacties die zijn aangeleverd door een IT beveiligingsbedrijf en de betrokken banken zelf. De verdediging voerde echter aan dat daaruit niet direct blijkt dat de TorRAT malware deze frauduleuze transacties veroorzaakt. Teneinde de causaliteit vast te stellen bespreekt de rechtbank 15 frauduleuze transacties uitvoerig. Daaruit blijkt volgens de rechtbank dat de configuratiebestanden afkomstig zijn van TorRAT en de frauduleuze transacties met de malware zijn uitgevoerd.

Overigens zij opgemerkt dat de rechtbank in de uitspraken onder andere IP adressen in zijn geheel opneemt. Daar kan kritiek op worden geleverd, omdat de IP adressen (nog steeds) zijn terug te voeren tot bepaalde dienstverleners en door de Autoriteit Persoonsgegevens IP adressen als een persoonsgegeven beschouwd.

Omzetten bitcoins

Ten slotte is het opvallend dat in het persbericht van het Openbaar Ministerie over de zaak in 2013 nog wordt opgemerkt dat beslag is gelegd op 56 bitcoins, die destijds zijn omgezet in meer dan 7700 euro. De uitspraak refereert hier niet naar deze beslaglegging. Evenwel sta ik hier kort bij stil aangezien die inbeslagneming van bitcoins een aantal juridische vragen oproept.

Ten eerste de vraag of bitcoins als goed gekwalificeerd kunnen worden en daarmee vatbaar zijn voor inbeslagname. Hoewel een goed ook onstoffelijk kan zijn en giraal geld kan betreffen, worden gegevens  binnen het strafrecht in principe niet gekwalificeerd als goed. Uit verschillende arresten kan echter worden afgeleid dat als de gegevens, kort gezegd, uniek zijn en in het economisch verkeer van waarde is, zij toch als goed kunnen worden beschouwd zie o.a. (HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)) Het Openbaar Ministerie neemt ook de positie in dat bitcoins als goed kunnen worden beschouwd en vatbaar zijn voor inbeslagname.

De tweede vraag is op welke wijze de bitcoins in beslag kunnen worden genomen. Er is geen formele openbare werkwijze van het Openbaar Ministerie beschikbaar. Een UNDOC rapport (.pdf) over witwassen met virtuele betalingsmiddelen beschrijft dat het gebruikelijk is dat, indien de bitcoins zich in een Bitcoin portemonnee op een computer of gegevensdrager bevinden, eerst het voorwerp zelf in beslag worden genomen. Vervolgens kunnen de bitcoins worden overgemaakt naar een Bitcoinadres dat is aangemaakt door de opsporingsambtenaren. Als laatste stap kunnen de ‘inbeslaggenomen’ bitcoins via Bitcoin exchanges worden omgezet in euro’s en op een rekening van het Openbaar Ministerie worden gestort. Uit een interview in het magazine van het Openbaar Ministerie blijkt dat deze wijze van inbeslagname overeenkomt met de wijze waarop bitcoins in Nederland in beslag worden genomen.

Slechts één uitspraak (ECLI:NL:GHARL:2016:5563) is beschikbaar waarin expliciet wordt genoemd dat de gegevensdrager, een USB-stick met daarop 147 bitcoins, verbeurd is verklaard door de rechtbank omdat de bitcoins op strafbare wijze zijn verkregen en de USB-stick aan de verdachte toebehoord. Onduidelijk blijft in ieder geval op welke wijze bitcoins in beslag worden genomen die alleen via een portemonnee in een online account bereikbaar zijn. Wordt daarvoor misschien van een vorm van een netwerkzoeking gebruik gemaakt? Het laatste woord zal dus nog niet gezegd zijn over de inbeslagname van bitcoins en andere digitale betalingsmiddelen.

Deze annotatie is in soortgelijke tekst verschenen in Computerrecht (.pdf (per abuis is als titel ‘Megaserver’ aangegeven)).

Cybercrime jurisprudentie overzicht september 2016

jjoerlemans Een reactie plaatsen

Veroordeling voor gebruik van banking malware en witwassen

Op 29 juni 2016 heeft de Rechtbank Zeeland-West-Brabant (ECLI:NL:RBZWB:2016:3877) de leider van een criminele cybercrimeorganisatie veroordeeld tot twee jaar gevangenisstraf. De verdachte heeft zich schuldig gemaakt aan diefstal, witwassen en deelname aan een criminele organisatie. Bovendien is de verdachte veroordeeld voor de verspreiding van malware (art. 139d Sr), computervredebreuk (art. 138ab Sr), en gegevensaantasting (art. 350a Sr).

De uitspraak is interessant, omdat er vooralsnog weinig gepubliceerde uitspraken zijn over cybercrime en witwassen. Bovendien wordt in paragraaf 4.3.3 van de uitspraak op gedetailleerde wijze de werking van bankingmalware beschreven. Bij dit (niet nader gespecifieerde) type banking malware werden de slachtoffers besmet met de kwaadaardige software na het bezoeken van (advertenties van) bepaalde websites met kwetsbare computers. Na besmetting van de computer maakt de malware tijdens een bezoek aan de website van een vooraf geselecteerde bank, buiten het zicht van de gebruiker, geld over naar een rekeningnummer van een geldezel. Om dat te bewerkstelligen, wordt tijdens een elektronisch bankiersessie een splitsing van de sessie gemaakt waarbij een tweede betaling wordt klaargezet. Na authenticatie van de eerste betaling wordt tegelijkertijd geld buiten het zicht van het slachtoffer overgemaakt naar een geldezel. Het geld werd vervolgens kort na de overboeking gepind. In de uitspraak wordt ook aangegeven dat na de overboeking direct bitcoins door de daders zijn aangekocht.

De rechtbank stelt vast dat sprake is van diefstal door middel van gebruikmaking van een valse sleutel, omdat met behulp van banking malware door derden in totaal een bedrag van € 81.168,76 is weggenomen van de slachtoffers. De rechtbank stelt vervolgens vast dat van witwassen sprake is. De verdachte was op de hoogte van het feit dat geldbedragen van diefstal door middel van gebruik van een valse sleutel afkomstig waren en met behulp van malware overboekingen werden gedaan. Gelet op de verhullingshandelingen (door het overgeboekte geld direct contant op te nemen en de aankoop van bitcoins) en het feit dat de verdachte wist dat wat er gaande is, wordt het delict gewoontewitwassen bewezen geacht. Ten slotte verklaart de rechtbank het bewezen dat sprake is van een criminele organisatie.

Phishing-bende veroordeeld

Op 15 juli 2016 zijn drie mannen en twee vrouwen veroordeeld voor het op grote schaal plegen van oplichting door middel van phishing (Rb. Den Haag 15 juli 2016, ECLI:NL:RBDHA:2016:7981). De vijf vormden een criminele organisatie met als doel het plegen van phishing.

In dit geval zijn mensen met een rekening bij de Rabobank benaderd via een vals mailbericht met het aanbod voor het aanvragen van een nieuwe Rabo Scanner. Via de link werden de slachtoffers doorverwezen naar een website waarop zij hun persoonlijke gegevens hebben ingevuld ten behoeve van de aanvraag. Daarna belde een van de vrouwen hen op, die zich voordeed als medewerkster van de Rabobank. Gedurende het telefoongesprek liet zij de slachtoffers hun codes afgeven, waarna het geld van de rekening van de slachtoffers werd overgeboekt naar andere rekeningen, en vervolgens contant werd opgenomen of uitgegeven.

De slachtoffers zijn bewogen tot een afgifte van in totaal € 500.000. Daarnaast heeft de Rabobank ongeveer € 500.000 aan overboekingen tegengehouden. De drie mannen en één vrouw krijgen tot 3 jaar gevangenisstraf door de rechtbank opgelegd. Daarnaast zijn ze veroordeeld tot het vergoeden van de schade die is geleden door de Rabobank tot een bedrag van € 468.644,58, te vermeerderen met de wettelijke rente.

Veroordeling drugshandel via internet en inbeslagname van USB-stick met bitcoins

Op 7 juli 2016 heeft het Gerechtshof Arnhem-Leeuwarden enkele verdachten veroordeeld tot drugshandel via internet en deelname aan een criminele organisatie (ECLI:NL:GHARL:2016:5563). De zaak is relevant, omdat wordt beschreven op welke wijze drugshandel via internet plaatsvindt en bitcoins in beslag zijn genomen.

De verdachten handelden in pillen met MDMA. De pillen werden verpakt in DVD hoesjes en via de post verstuurd. De drugs werd verkocht via een (niet nader genoemd) online drugsforum en de betaling vond plaats in bitcoin. Door één van de verdachten werden de bitcoins in contant geld omgewisseld. In de zaak wordt beschreven hoe opsporingsambtenaren tijdens een doorzoeking op relevant digitaal bewijs stuitten.

De rechtbank omschrijft dat de verbalisanten tijdens de doorzoeking van een woning een laptop zagen waarop de online drugshandel website nog open stond en er een account was aangemaakt waarmee 30 opdrachten/bestellingen waren verricht. Bovendien stond de laptop ingelogd met account X en stond het account van de verdachte omschreven als ‘seller’.

Een USB-stick, maar daarop 147 bitcoins is door het hof vatbaar verklaard voor verbeurdverklaring, omdat de bitcoins door middel van strafbare feiten zijn verkregen en aan de verdachte toebehoorden. Het gerechtshof veroordeelt de verdachten tot drie jaar gevangenisstraf, waarvan twee jaar voorwaardelijk, met een proeftijd van drie jaar.