Annotatie OV-chipkaart zaak

In het tijdschrift Computerrecht is recent mijn annotatie verschenen over de ‘OV-chipkaart’-zaak. De annotatie is hier te downloaden (.pdf).

Inleiding

Een ‘OV-chipkaart’ is een persoonsgebonden of anonieme kaart waarmee personen in Nederland kunnen reizen met het openbaar vervoer (zoals de trein, bus en tram). Op een persoonsgebonden OV-chipkaart staat een pasfoto, naam en geboortedatum vermeld. Het biedt als voordeel met kortingsproducten te reizen. Deze persoonsgegevens staan niet vermeld op een anonieme OV-chipkaart. Met een anonieme OV-chipkaart wordt op een vooraf opgeladen bedrag (saldo) gereisd. De OV-chipkaart bevat een bepaalde chip (de ‘Mifare Classic’ chip) en heeft een ‘Near Field Communication’ (NFC) functionaliteit, waardoor de gegevens op de chip eenvoudig en contactloos door een poortje kunnen worden uitgelezen. In de eerste helft van 2019 waren er in Nederland 7,46 miljoen persoonlijke OV-chipkaarten in omloop en 7,36 miljoen anonieme OV-chipkaarten (Kamerstukken II 2019/20, 23645, nr. 713 (Voortgangsrapportage NOVB eerste helft 2019)).

De verleiding voor hackers om een OV-chipkaart te hacken en daardoor gratis te reizen is blijkbaar groot. Sinds de eerste proeven met een OV-chipkaart in Nederland en de landelijke invoering van OV-chipkaart in 2012 zijn er op www.rechtspraak.nl vier uitspraken verschenen over computervredebreuk en OV-chipkaarten (ECLI:NL:RBROT:2013:9579, ECLI:NL:GHDHA:2015:1427, ECLI:NL:RBROT:2019:1101, ECLI:NL:GHDHA:2019:2426). Daarnaast wordt er ook serieus wetenschappelijk onderzoek uitgevoerd naar de veiligheid van de ‘Mifare Classic-chip’ in de OV-chipkaarten en komen om de zoveel tijd berichten naar buiten over kwetsbaarheden in die chip. De onderhavige zaak springt er vergeleken met de andere zaken over gehackte OV-chipkaarten uit, vanwege de lange duur dat de twee verdachten gratis konden (zwart)reizen en de hoogte van de toegewezen vordering.

De feiten

De werkwijze van de verdachte en de medeverdachte bestond onder meer uit het plaatsen van de OV-chipkaart op de NFC-kaartlezer en het met een script een ‘brute force’ aanval op de OV-chipkaart uitvoeren totdat de sleutel (‘key’) is achterhaald. Met de key kon toegang worden verschaft tot de OV-chipkaart, waarna het saldo kon worden veranderd. Voor het veranderen van het saldo werd het programma ‘OVChipAppV6’ gebruikt (Zie voor een meer gedetailleerde uitleg de BNR-podcast ‘Onderzoeksraad der dingen’, dossier #0010b: zwartrijden).

Veroordeling

Beide verdachten zijn veroordeeld voor computervredebreuk, valsheid in geschrifte met betaalpassen en voorhanden hebben van gegevens om valsheid in geschrifte te plegen. In deze zaak wordt voor het eerst wordt vervolgd voor het vervalsen van een OV-chipkaart als zijnde een ‘waardekaart’ (artikel 232 Wetboek van Strafrecht (‘Sr’)). Hoewel het vervalsen van betaalpassen of waardekaarten mogelijk ook onder het delict valsheid in geschrifte valt, heeft de wetgever met de Wet computercriminaliteit I in 1993 ervoor gekozen om hiervoor een aparte strafbepaling in het leven te roepen. Net als bij valsheid in geschrifte is ook het opzettelijk gebruiken, het opzettelijk afleveren of voorhanden hebben van een valse pas of kaart strafbaar (lid 2) (zie ook B.J. Koops & J.J. Oerlemans, ‘Materieel strafrecht & ICT’, p. 79-80 in: B.J. Koops & J.J. Oerlemans, Strafrecht & ICT, Monografieën recht en informatietechnologie, 3e druk, Den Haag: Sdu 2019).

In de uitspraak wordt verder niet ingegaan op het delict computervredebreuk (artikel 138ab Sr). Het Hof Den Haag legt in een eerder arrest (ECLI:NL:GHDHA:2015:1427) uit dat in feite computervredebreuk wordt gepleegd op de NFC chip op de OV-chipkaart, nu deze chip bestemd is (en de technische mogelijkheden heeft) om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

De chip is met andere woorden het ‘geautomatiseerde werk’ in juridische zin (artikel 80sexies Sr), waarop opzettelijk en wederrechtelijk wordt binnengedrongen. (Het begrip is overigens met de Wet computercriminaliteit III als volgt gewijzigd:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken.”

De chip kwalificeert ook nu als geautomatiseerd werk, evenals de paaltjes waarbij men moet in- en uitchecken en de achterliggende IT-infrastructuur).

Verweer

De verdediging voert aan dat de verdachten slechts uit nieuwsgierigheid hebben gehandeld, waardoor het oogmerk op financieel gewin zou ontbreken. De rechtbank gaat hier niet in mee, omdat de verdachten hebben bekend dat zij veelvuldig het saldo van OV-chipkaarten “valselijk” hebben opgeladen. De verdediging voert ook aan dat slechts bestaande software zou zijn doorontwikkeld en niet is ‘vervaardigd’ in juridische zin. De rechtbank verwerpt dit verweer, omdat het een ‘feit van algemene bekendheid’ zou zijn dat nieuwe computerprogramma’s veelvuldig zijn gestoeld op een basis van reeds ontwikkelde software. Hierdoor ontstaat nieuwe software, waardoor wel degelijk sprake zou zijn van vervaardiging van software, zoals ten laste is gelegd.

Het openbaar ministerie kon de verdachten mogelijk ook vervolgen voor het ‘voorhanden hebben van een technisch middel of toegangscode met het oogmerk computervredebreuk te plegen’ (artikel 139d lid 2 Sr). In een meer recent arrest legt het Hof Den Haag verder uit dat een kaartlezer waarmee saldo kan worden verhoogd niet zonder meer kwalificeert als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC-chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van delicten als computervredebreuk. De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Schade

De verdachten hebben ongeveer 1,5 jaar lang gratis gereisd op eigen anonieme OV-chipkaarten. Translink Systems heeft zich als benadeelde partij in het geding gevoegd en vordert een bedrag van €68.913,73 als materiële schade die zij hebben geleden. Dit schadebedrag is veel hoger dan in voorgaande zaken over het hacken van OV-chipkaarten om gratis te reizen. De rechtbank concludeert dat de schadeberekening van aangeefster niet inzichtelijk is en een aantal fouten bevat en daarom een eigen berekening moet maken. Het bedrag van de schade ziet op het woon-werkverkeer van de verdachten. Bij het berekenen van het bedrag houdt de rechtbank rekening met het gemiddeld aantal vakantiedagen van werknemers in Nederland en de verdachten ook wel eens thuiswerkten. Op basis van 333 dagen en de kosten voor een retourtje Utrecht-Alkmaar van € 28,00 euro komt de rechtbank op een bedrag van € 9.324,00. De medeverdachte heeft minder frequent gebruik gemaakt van de eigen anonieme OV-chipkaart en moet een schadevergoeding betalen van € 5.264,00. De rechtbank verklaart de vordering voor het overige niet-ontvankelijk, omdat deze onvoldoende is onderbouwd. Zo is het onduidelijk hoe het schadebedrag aan de hand van de gegevens uit de tabellen is berekend, zien de tabellen ook op OV-chipkaarten waarvan de keys niet op de computers van verdachte en medeverdachte zijn aangetroffen.

Opsporing

In nieuwsartikelen en podcasts die verschenen naar aanleiding van deze zaak komt ten slotte nog  interessante informatie over het opsporingsproces naar boven. Het blijkt behoorlijk lastig zijn dit soort OV-chipkaarthackers op te sporen als ze de encryptiesleutel kunnen achterhalen. Het begint met aangifte van Translink Systems: het bedrijf dat de OV-kaarten uitgeeft en transacties met de kaarten verwerkt. Translink verwerkt per jaar 3 miljard transacties. Dit bedrijf monitort ook de transacties en detecteert ongeregeldheden die mogelijk fraude betreffen. Na de aangifte zijn de verdachten met “ouderwets recherchewerk” door de politie geïdentificeerd.

De verdachten zijn geïdentificeerd met name door het bekijken van camerabeelden op de stations van NS op het moment dat een frauduleus aangemerkte transactie plaats heeft gevonden. Vervolgens zijn de verdachten naar verluid tot hun woning gevolgd en zijn NAW-gegevens opgevraagd. Daarna heeft de politie beide verdachten op heterdaad betrapt bij het inchecken bij een poortje met een gehackte OV-chipkaart na observatie bij een vast reispunt van de verdachte.

Tot slot

Als de software en middelen om OV-chipkaarten te hacken voor een breder publiek beschikbaar komen, kunnen we meer van dit soort zaken verwachten. De staatssecretaris van Infrastructuur en Waterstaat heeft in een Kamerbrief (.pdf) van 2 juli 2019 laten weten dat het de bedoeling is dat de OV-chipkaart in 2023 wordt uitgeschakeld. Met een nieuw systeem moet het betaalgemak groter worden, omdat dan ook met andere betaalmiddelen kan worden betaald, zoals een bankpas of mobiele telefoon. Ongetwijfeld zullen hackers dan ook weer hun best doen het systeem te kraken en gratis te reizen.  

Cybercrime jurisprudentieoverzicht oktober 2020

Op 25 augustus 2020 heeft het Hof Den Haag een arrest (ECLI:NL:GHDHA:2020:1559) gewezen over voorhanden hebben van een technisch hulpmiddel (‘Razorscanner’), waarmee computermisdrijven als computervredebreuk kunnen worden gepleegd (artikel 139d lid 2 sub a jo art. 138ab Sr).

Op 5 april 2016 is de website van Razorscanner na een gecoördineerde politieactie via Europol offline gehaald. Zes verdachten, waaronder de maker van Razorscanner, werden gearresteerd. De beheerder van deze services is in dat onderzoek aangehouden en de server waarop de genoemde softwareproducten beschikbaar werden gesteld is in beslag genomen. Om Razorscanner te kunnen gebruiken kochten de gebruikers van de website “coins”. Daarmee kon de klant vervolgens een scan uitvoeren. Uit de uitgevoerde scan kon de gebruiker opmaken of een ontwikkeld virus “Fully UnDetectable” is, ofwel door geen enkel anti-virusprogramma zal worden herkend. De maker van Razorscanner garandeerde dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten werden doorgegeven. Het programma ‘Razorcrypter’ maakt het mogelijk om uitvoerbare computerbestanden tegen de ontdekking door anti-virusprogramma’s te beschermen. Dat is onder meer mogelijk door de computercode die Razorcrypter moet verpakken te “binden” oftewel vast te maken aan andere (legitieme) software, of door het programma aan een ander softwareprogramma te hangen, zo overweegt het Hof.  

Deze zaak gaat over een Nederlandse verdachte die ten laste werd gelegd de software ‘Razorscanner’ en ‘Razorcrypter’ voorhanden te hebben met het oogmerk computermisdrijven te plegen. Hij beschikte over een account bij de aanbieder daarvan en over voldoende coins om de services te gebruiken. Het Hof Den Haag stelt in een uitgebreide overweging vast dat de services Razorscanner en Razorcrypter op zichzelf genomen geen programma’s zijn die zelfstandig geschikt gemaakt of ontworpen zijn om computervredebreuk te plegen, ddos-aanvallen uit te voeren of gegevens af te tappen of op te nemen. Toch wordt de software aangemerkt als een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen is tot het plegen van computermisdrijven, met name omdat de programma’s cybercriminelen in staat stellen met meer succes computermisdrijven te plegen (“strafbaar is ook degene die zo’n computerprogramma koopt of verkoopt, is strafbaar indien die koop of verkoop plaatsvindt met het oogmerk dat met dat computerprogramma ook daadwerkelijk computervredebreuk zal worden gepleegd” (memorie van antwoord Wet computercriminaliteit II)).

Voor de strafbaarstelling is daarnaast vereist dat met het voorhanden hebben van het technisch hulpmiddel het oogmerk bestaat computermisdrijven zoals computervredebreuk te plegen. Het hof spreekt de verdachte vrij, omdat niet vastgesteld kon worden dat de verdachte met het voorhanden hebben van Razorscanner en Razorcrypter het oogmerk heeft gehad om computermisdrijven te plegen. Het Hof overweegt dat het bewijsmateriaal eerder steun geeft aan de verklaring van verdachte, dat hij zowel Razorscanner en Virustotal gebruikte om scans uit te voeren aan bestanden. Daarnaast bevat het strafdossier geen bewijs dat de verdachte daadwerkelijk malware beschikbaar heeft gesteld aan anderen, teneinde die anderen in staat te stellen computermisdrijven te plegen, noch dat hij dit zelf heeft gedaan. Het hof komt daarmee tot de conclusie dat er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht en spreekt hem daarom vrij.

Bestellen onder valse personalia geen computervredebreuk

De rechtbank Rotterdam heeft op 18 september 2020 een verdachte veroordeeld (ECLI:NL:RBROT:2020:8248) tot 180 dagen gevangenisstraf, waarvan 103 dagen voorwaardelijk en een taakstraf van 100 uur. De verdachte heeft samen met een medeverdachte VodafoneZiggo modems besteld, deze aangesloten en daarmee naar betaalde servicenummer gebeld.

De verdachte werd computervredebreuk ten laste gelegd, omdat zou zijn binnendrongen in de kabelmodems. De rechtbank spreekt de verdachte daarvan vrij, omdat niet op andere wijze toegang is verkregen en gebruik is gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. De rechtbank overweegt helaas niet waarom geen sprake is van het opzettelijk en wederrechtelijk onder een valse hoedanigheid of met valse sleutels binnendringen in de servers van de VodafoneZiggo, omdat daar mogelijk wel sprake van is en ook ten laste is gelegd. Zie ook de blog van Arnoud Engelfriet over deze zaak.

De verdachte wordt wel veroordeeld voor oplichting, waarbij de verdachte met de verkregen telefoonabonnementen aankopen heeft gedaan bij 090-nummers. Het betrof onder andere (bitcoin)vouchers en bel- en goktegoeden, die vervolgens werden omgezet naar (giraal) geld (o.a. via Skrill). In het huis van de verdachte en in een door haar partner gehuurde garagebox werden maar liefst 1161 modems aangetroffen. De gevorderde schadevergoeding van €575.489,61 (!) wordt niet-ontvankelijk verklaard, omdat ‘een volmacht of uittreksel van de Kamer van Koophandel ontbreekt’ waaruit kon blijken dat de persoon gemachtigd was door VodafoneZiggo voor het indienen van de vordering. Eventueel kan daarover wel nog een civielrechtelijke zaak worden aangespannen.

Veroordeling voor grootschalige phishing

Op 26 augustus 2020 heeft de rechtbank Midden-Nederland een aantal verdachten veroordeeld (ECLI:NL:RBMNE:2020:3467) voor grootschalige phishing. In deze zaak is de verdachte veroordeeld voor oplichting, verboden wapenbezit, het voorhanden hebben van software om computervredebreuk te plegen, computervredebreuk, (gewoonte)witwassen en diefstal. In totaal zijn 22 slachtoffers van de Rabobank, ING, ABN Amro en de Van Lanschot Bank benadeeld voor 170.000 euro. De slachtoffers kregen phishinglinks doorgestuurd per e-mail en sms. Daarbij werden slachtoffers doorgestuurd naar phishingwebsites. Daarna werd de ‘Mobiel Bankieren App’ geïnstalleerd op een telefoon die niet van aangevers was, waarna geldbedragen werden gepind of overgeboekt.

Uit de bewijsmiddelen is het IP-adres van de dader te linken aan het gelogde IP-adres bij transacties van slachtoffers. Het gaat daarbij onder andere om een te linken IP-adres in de iPhone van de verdachte en een chatbericht dat is gevonden op de laptop van de verdachte, waarin staat dat het desbetreffende IP-adres aan de verdachte toebehoord. Op de laptop van verdachte zijn verder verschillende afbeeldingen aangetroffen die zijn gemaakt met behulp van Gyazo, een screenshotprogramma. Eén van deze afbeeldingen toont een beheerpaneel van de domeinnaam mobielbevestigen.ml. De rechtbank leidt hieruit af dat verdachte deze website, door middel waarvan de gegevens van de aangevers zijn gephisht, kon beheren. Veelzeggend is verder het bewijs op de laptop bankrekeningnummers, pasnummers en adresgegeven van enkele van de aangevers.

In de onderhavige zaak verzorgde de verdachte voornamelijk het technische deel, d.w.z. het inrichten, hosten en beheren van websites, maar wordt ook veroordeeld voor het medeplegen van de andere strafbare feiten. De bijdrage van de verdachte was een noodzakelijke schakel – het phishing-deel – in het geheel aan handelingen waarmee de slachtoffers werden opgelicht. De verdachte krijgt een flinke gevangenisstraf opgelegd van vier jaar, waarvan één jaar voorwaardelijk.

Cybercrime jurisprudentieoverzicht augustus 2020

Veroordeling voor oplichting, computervredebreuk, witwassen en het voorhanden van malware

Op 26 juli 2020 heeft de rechtbank Zeeland-West-Brabant een verdachte veroordeeld (ECLI:NL:RBZWB:2020:2699) voor computervredebreuk, het voorhanden hebben van malware, deelname aan een criminele organisatie en oplichting.

De verdachte stuurde spamberichten (phishingberichten) naar slachtoffers met het doel hen om te leiden naar een nepwebsite van een bank voor het aanvragen van een nieuwe pinpas. De slachtoffers voerden hun rekeningnummer, pasnummer, pincode, telefoonnummer en e-mailadres in op de nepwebsite. Deze gegevens werden door de website automatisch doorgezonden naar een mededader. Met deze informatie werd een nieuwe mobiele telefoon geregistreerd voor en bankierapp.

Als dat niet mogelijk bleek, deelde de verdachte de gegevens met een andere mededader, zodat zij de betreffende klant kon bellen om het slachtoffer te overtuigen de registratie te voltooien. Na het scannen van de codes had de criminele organisatie de volledige controle over de rekening van het slachtoffer, alsmede over de daaraan gekoppelde rekeningnummers. Vanaf dat moment kon en werd er, zonder dat daarvoor een code hoefde te worden gescand, een nieuwe betaalpas aangevraagd. Deze betaalpas was nodig om het geld van de rekening van het slachtoffer door te boeken naar een andere rekening.

Via de mobiel bankieren app werden rekeningen van slachtoffers leeggehaald en werden diverse bestellingen gedaan bij webshops. In de woning en auto van verdachte zijn goederen in beslag genomen die afkomstig zijn van een aantal van de genoemde winkels. Ook zijn in de financiële gegevens van verdachte aanwijzingen gevonden voor aankopen bij webwinkels van een totaal van €108.513,81.

In de uitspraak staan enorm veel technische details vermeld. Bijvoorbeeld over hoe de zaak aan het rollen kwam door informatie in de e-mailheader die leidde naar een ‘vps-server’. De leverancier van de vps-server verstrekte vervolgens betaalinformatie van de verdachte over de verhuur van de server. Ook wordt vermeld dat op een inbeslaggenomen Macbook de programma’s “Arkei Stealer” en “Baldr” stonden. Beide programma’s betreffen ‘info stealers’ (een type malware), die van geïnfecteerde computers gebruikersnamen, wachtwoorden, creditcardnummers en andere gevoelige informatie proberen te achterhalen.

Op de inbeslaggenomen Macbook waren 1809 unieke Machine ID’s te zien, afkomstig van “Arkei Stealer”. Van vrijwel ieder besmette apparaat was een schermafdruk gemaakt en waren gebruikersnamen, wachtwoorden en andere identificerende gegevens te zien. De beheerstool om deze gegevens te beheren was ook aanwezig op de laptop.

Uitzonderlijk is nog de volgende overweging van de rechtbank: ‘ook nu realiseert de rechtbank zich dat verdachte het achterste van zijn tong niet heeft laten zien. De BlackBerry, van waaruit de server met malware werd aangestuurd, is immers op slot gebleven. Het vermoeden is dan ook dat ook hier de werkelijke schade (vele malen) groter is dan dat naar voren is gekomen in het dossier.’

De verdachte kreeg een – voor cybercrimezaken relatief zware – gevangenisstraf opgelegd van 3 jaar opgelegd gekregen, waarvan 12 maanden voorwaardelijk met een proeftijd van drie jaar. 

Veroordeling voor witwassen met bitcoins en verkoop van Netflixaccounts

Op 9 juni 2020 veroordeelde (ECLI:NL:RBOVE:2020:1960) de rechtbank Overijssel een verdachte voor (onder andere) schuldwitwassen en het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte krijgt een gevangenisstraf opgelegd van 7 maanden.

In de zaak is sprake een ‘text book’-typologie voor witwassen met virtuele valuta. De verdachte adverteerde namelijk op localbitcoins.com (cash voor Bitcoin) en in de advertentie stond onder meer:

“Afspreken kan bij de Mc Donalds of het station in Zwolle (Overijssel), gedurende de openingstijden van het restaurant.”

– “Ik handel alleen op Localbitcoins.com, geen uitzonderingen.”

– “Ik stel geen vragen over de reden van de transactie.”

De rechtbank noemt verder dat verbalisanten zagen dat de gehanteerde wisselcommissie door verdachte in oktober 2017 circa 17% bedroeg, terwijl de reguliere bitcoin exchanges maximaal 2% hanteren.

De rechtbank overweegt dat, nu de verdachte een substantieel hogere wisselcommissie hanteerde dan het door de reguliere ‘bitcoin exchangers’ gehanteerde tarief en zijn klanten bereid waren dit veel hogere tarief te betalen, de enige logische verklaring daarvoor is dat zijn klanten anoniem wilden blijven. De verdachte heeft zich daarmee schuldig gemaakt aan het schuldwitwassen van contante geldbedragen (in totaal circa 38.000 euro) en een hoeveelheid bitcoins. De rechtbank overweegt ook dat ‘omdat verdachte heeft geweigerd inzage te geven in zijn computers, niet bekend is of de volledige omvang van de witwasactiviteiten van verdachte inzichtelijk is geworden’.

De verdachte wordt ook veroordeeld voor het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte had namelijk duizenden gehackte Netflixaccounts verworven via een ‘darknet market’ (in de uitspraak wordt verwezen naar ‘Hansa Market’) en het downloaden van loginnamen en wachtwoorden via dumtext.com.

Overigens is met de inwerkingtreding van de Wet computercriminaliteit III in 2019 nu ook ‘heling van gegevens’ strafbaar gesteld in artikel 139g Sr. In een zaak met feiten als deze had mogelijk artikel 139g lid 1 sub a Sr ten laste kunnen worden gelegd:

“1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:

a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;”

Hoofdstukken uit ‘Strafrecht en ICT’ in open access beschikbaar

In januari 2019 verscheen het boek ‘Strafrecht en ICT’ van Bert-Jaap Koops en mij. Het boek betreft een studieboek en naslagwerk. We hebben goede reacties uit de praktijk gekregen.

Nu de embargoperiode van Sdu voorbij is, mag ik de belangrijkste hoofdstukken online zetten. Hieronder staan de links met een indicatie van de inhoud.

Materieel strafrecht en ICT
Het hoofdstuk biedt een overzicht van de strafbepalingen, wetsgeschiedenis en jurisprudentie over computercriminaliteit. Het hoofdstuk heeft de volgende inhoud:

  • Computervredebreuk en wederrechtelijk overnemen van gegevens
  • Afluisteren, aftappen en opnemen van communicatie
  • Verstoring van computergegevens
  • Verstoring van computersystemen
  • Misbruik van technische hulpmiddelen
  • Klassieke vermogensdelicten
  • Valsheid in geschrifte
  • Oplichting
  • Computergerelateerde zedenmisdrijven
  • Uitingsdelicten
  • Auteursrechtschendingen
  • Blik op de toekomst

Formeel strafrecht en ICT
Dit hoofdstuk behandeld alle relevante opsporingsbevoegdheden die worden in gezet in opsporingsonderzoeken naar cybercrime. Dit is de inhoudsindicatie:

  • Het opsporingsonderzoek
  • Doorzoeking, inbeslagname en onderzoek van gegevens in computers
  • Het vorderen van gegevens
  • De telecommunicatietap
  • Direct afluisteren
  • Stelselmatige observatie en locatiebepaling
  • Hacken als opsporingsbevoegdheid
  • Vergaren van publiekelijk toegankelijke online gegevens
  • Online undercover opsporingsmethoden
  • Digitaal bewijs
  • Blik op de toekomst

Grensoverschrijdende digitale opsporing

Dit hoofdstuk gaat over jurisdictie, het Cybercrimeverdrag, andere belangrijke verdragen en de grensoverschrijdende toepassing van opsporingsbevoegdheden. De inhoud is als volgt:

  • Jurisdictie en rechtshulp
  • Het Cybercrimeverdrag en internationale samenwerking in digitale opsporing
  • Grensoverschrijdende toepassing van bevoegdheden  
  • U.S. Cloud Act
  • Tweede Protocol bij het Cybercrimeverdrag (concept
  • EU-voorstellen voor digitale bewijsgaring

Cybercrime jurisprudentieoverzicht – juli 2019

Posted on 13/07/2019 op oerlemansblog

Hoge Raad over scans en computervredebreuk

De Hoge Raad heeft op 9 april 2019 een arrest gewezen over het vereiste van ‘binnendringen’ in ene geautomatiseerd werk (HR 9 april 2019, ECLI:NL:HR:2019:560). In het arrest maakt de Hoge Raad duidelijk dat het enkele gebruik van een scan-programma om kwetsbaarheden op een website te onderzoeken niet voldoende bewijs is om te spreken van ‘binnendringen’ in een deel van een geautomatiseerd werk. Er werd ook geen bewijs geleverd dat een geslaagde aanval door verdacht had plaatsgevonden, maar slechts dat het ‘niet ondenkbaar’ is geweest. Het arrest is niet verrassend of bijzonder interessant en daarom heb ik het geen uitgebreide bespreking gegeven.

Over ‘sivven’, ‘lebben’, ‘mapsen’, ‘nippen’ en ‘spa’

De rechtbank Zeeland-West-Brabant heeft op 17 mei 2019 verschillende verdachten veroordeeld (ECLI:NL:RBZWB:2019:2195) voor de grootschalige verspreiding van phishingmails uit naam van een bank (Rb. Zeeland-West-Brabant 17 mei 2019, ECLI:NL:RBZWB:2019:2195). Daarbij zijn gevangenisstraffen tot en met vijf jaar opgelegd voor het medeplegen van oplichting, computervredebreuk, diefstal en witwassen, allen meermalen gepleegd, deelname aan een criminele organisatie en valsheid in geschrifte. Het onderzoek heeft zich alleen gericht op klanten van één bank. De door de bank geschatte totale schade, veroorzaakt door verdachte en haar mededaders, wordt geschat op meer dan een miljoen euro. De uitspraak is lezenswaardig vanwege de feiten en overwegingen omtrent het digitale bewijs.

De verdachten uit het onderzoek ‘Vari/Willis’ gingen als volgt te werk. Uit naam van een bank werden spam e-mails naar slachtoffers verstuurd. In de mail werden slachtoffers opgeroepen een nieuwe pinpas aan te vragen. Dit proces duurde langzamer dan normaal. De slachtoffers werden gevraagd hun rekeningnummer, pasnummer, pincode, telefoonnummer en e-mailadres in te voeren. Die gegevens werden door de website automatisch doorgezonden naar de medeverdachte, waarmee een nieuwe mobiele telefoonnummer werd geregistreerd voor de Bankieren-app. Als  de slachtoffers vastliepen op de nepwebsite, belde de verdachte uit naam van de bank en leidde hen door het proces. Na het aanvragen van een nieuwe pinpas, werd de pinpas uit de brievenbus van het slachtoffer gevist. Daarna werd de rekening van het slachtoffer, met gebruikmaking van money mules, leeggehaald.

Het digitale bewijs is indrukwekkend, omdat verbindingen worden gemaakt met de gebruikersnamen van verschillende inbeslaggenomen telefoons (incl. back-ups van de telefoons op computers, gegevens uit een Skype-applicaties en gebruikersnamen en berichten uit Whatsappgroepen) en vorderingen bij onder andere ‘payment service providers’. De inhoud van de berichten met woorden als ‘sivven’, ‘lebben’, ‘mapsen’, ‘nippen’, en over een ‘nip’ en een ‘spa’ hebben als bewijs gediend, omdat volgens de rechtbank in het licht van dossier duidelijk is dat slechts sprake is van het ‘achterstevoren spellen van de woorden’ en ‘vissen’, ‘bellen’, ‘spammen’, ‘pinnen’, een ‘pincode’ en ‘pinpas’. Daarbij komt nog bij dat, waar er op de phishing website gevraagd wordt om een pasnummer en pincode in te voeren, deze gegevens worden doorgestuurd met “spanr’ en ‘nip’. Ook is interessant dat één van de verdachten is getraceerd door onderzoek aan de headergegevens in de e-mail die was verzonden. Daaruit kon het IP-adres van een ‘VPS server’ worden afgeleid. Van deze dienstverlener zijn klaarblijkelijk gebruikersgegevens zijn gevorderd. Ook is onder andere bewezen dat de verdachte phishingmails vanaf een server heeft verstuurd en op die server de phishing e-mails en phishingwebsites zijn gevonden.

Uit de uitspraak blijkt dat de opsporingsautoriteiten de telefoon van de verdachte lieten overgaan ten tijde van de aanhouding, zodat deze ‘open’ was. Hier is op aanvraag van de verdediging een proces-verbaal van opgemaakt. De rechtbank bindt geen consequenties aan dit vormverzuim en acht de doorzoeking op grond van 110 Sv voldoende voor het onderzoek aan de gegevensdragers, omdat de gegevensdragers alleen in beslag zijn genomen, waarna de gegevens op de gegevensdrager zijn onderzocht.

Veroordeling voor hacken en publiceren naaktfoto’s, maar geen smaadschrift

De rechtbank Amsterdam heeft op 12 februari 2019 een verdachte veroordeeld (ECLI:NL:RBAMS:2019:2124) voor computervredebreuk (Rb. Amsterdam 12 februari 2019, ECLI:NL:RBAMS:2019:2124). De verdachte heeft de computers van drie vrouwelijke slachtoffers van een studentenhuis binnengedrongen. De verdachte heeft een gevangenisstraf opgelegd gekregen van 60 dagen, waarvan 32 dagen voorwaardelijk en een proeftijd van twee jaar.

De verdachte heeft gebruik gemaakt van de computers na van één hen toestemming te hebben verkregen. De verdachte is daarbij echter verder gegaan dan tot waar de toestemming zich uitstrekte door foto’s van die computers af te halen en verder te gebruiken. De verdachte heeft op die manier computervredebreuk gepleegd met betrekking tot die computers.

De verdachte heeft vervolgens beeldmateriaal gekopieerd door middel van een USB-stick en het downloaden van foto’s van het social media-account. Vervolgens is het beeldmateriaal gekopieerd en zijn daarbij afbeeldingen gemanipuleerd. Daarvoor is gegevensmanipulatie (art. 350a Sr) ten laste gelegd. Hoewel de naam van het delict misschien passend lijkt is hier volgens de rechtbank geen sprake van. De verdachte heeft kopieën van de gegevens verwerkt, waarbij dus de originele gegevens zijn intact gebleven. Hierdoor niet wordt voldaan aan de delictsomschrijving. De verdachte wordt aldus vrijgesproken van dit ten laste gelegde feit.

Het bewerkte beeldmateriaal is daarna terecht gekomen op verschillende pornografische websites, waardoor het lijkt alsof aangeefsters zelf op die websites staan, met alle nare gevolgen van dien voor hun privé- en werkzame leven. De verdachte krijgt ontslag van alle rechtsvervolging voor het ten laste gelegde smaadschrift, omdat de tenlastelegging niet omschrijft wat de concrete gedraging is van de verdachte. Uit deze omschrijving blijkt immers niet wat er is afgebeeld op de gemanipuleerde foto’s en/of filmpjes van aangeefsters. Daarmee is ook niet duidelijk waaruit de aanranding van de eer of goede naam heeft bestaan.

Cybercrime jurisprudentieoverzicht – april 2018

Veroordeling voor hackende politieambtenaar en chantage van homo’s

Het Hof Arnhem-Leeuwarden heeft op 23 februari 2018 een arrest (ECLI:NL:GHARL:2018:1959) gewezen over een politieambtenaar die van het interne systeem van de politie gebruik maakte om homoseksuelen te chanteren (‘afdreigen’).

De verdachte ging als volgt te werk. Op een homo-ontmoetingsplaats noteerde hij de kentekens van  geparkeerde auto’s. Daarna heeft hij 77 van die kentekens bevraagd via het politieaccount van zijn collega. Dit deed hij zonder haar toestemming, nadat hij eerder haar wachtwoord had afgekeken. Daarmee is sprake van computervredebreuk. Vervolgens heeft de verdachte aan 29 personen een brief gestuurd, inhoudende dat zij naar hun woning zijn gevolgd en dat de foto’s van de activiteiten bij de parkeerplaats openbaar zouden worden gemaakt aan hun familie en omgeving als zij geen losgeld van € 1.000 euro in bitcoins zouden betalen. Daarmee was volgens het Hof sprake van poging tot afdreiging.

De verdachte is veroordeeld voor poging tot afdreiging, opzettelijke schending van een ambtsgeheim en computervredebreuk. Hij kreeg een gevangenisstraf van 18 maanden opgelegd, waarvan 14 maanden voorwaardelijk (met bijzondere voorwaarden), en een taakstraf van 240 uur. Ook moet hij ongeveer 6500 euro aan schadevergoeding betalen voor geleden immateriële schade voor de benadeelden.

Belangrijke rol voor digitaal bewijs in strafzaken

De rechtbank Limburg heeft op 28 maart 2018 een verdachte veroordeeld (ECLI:NL:RBLIM:2018:2940) tot 18 jaar gevangenisstraf voor moord op zijn vrouw. De rechtbank verhaald dat ‘terwijl zij nietsvermoedend in haar keuken een sigaret draaide, de verdachte haar van achteren heeft vastgegrepen en door een verwurging/nekklem om het leven heeft gebracht’. De zaak is voor deze rubriek relevant, omdat digitaal bewijs op de telefoon van de verdachte een prominente rol speelt bij het bewijzen van de vereiste voorbedachte rade bij moord. Ook speelde DNA-bewijs een belangrijke rol bij de veroordeling.

Uit het digitaal forensisch onderzoek van de verdachte is gebleken dat de verdachte onder andere op de volgende veelzeggende zoektermen heeft gezocht:

“- dodelijk gif op 29 september 2015 (20:58 uur);

– nek breken op 4 oktober 2015 (21:33 uur);

– overlijden voor definitieve echtscheiding op 4 oktober 2015 (22:17 uur);

– dodelijke kruiden op 7 oktober 2015 (01:17 uur);

– vergiften op 7 oktober 2015 (02:02 uur);

– dodelijke wurggreep op 13 oktober 2015 (23:45 uur);

– wurggreep politie op 25 oktober 2015 (01:26 uur);

– wurggreep op 26 oktober 2015 (00:24 uur);

– nekklem op 6 november 2015 (14:32 uur)”

Ook heeft de politie door onderzoek te doen op de router van de verdachte vastgesteld dat de verdachte op 4 oktober heeft gezocht op de zoekterm ‘gebroken-nek-opslag-dood (om 19.38.20 uur)’. De verdachte heeft bekend dat hij op die zoektermen heeft gezocht (zij het met volgens hem een andere reden).

De rechtbank neemt de zoektermen mee in de bewijsvoering, omdat het slachtoffer kort na de zoekopdrachten is overleden. De rechtbank achtte de verklaringen van de verdachte niet aannemelijk.

Bron: Rb. Limburg 28 maart 2018, ECLI:NL:RBLIM:2018:2940

In een heel ander soort zaak speelde digitaal bewijs ook een opzienbarende rol. Op 13 maart 2018 is een verdachte door de rechtbank Limburg veroordeeld (ECLI:NL:RBLIM:2018:2399) voor brandstichting, woninginbraken en diefstal  in Maastricht.

In dit geval speelde de telefoon van de verdachte een cruciale rol. Naar eigen zeggen had de verdachte deze telefoon altijd bij zich. Kort na de brandstichting, op 23 juni 2016 om 01.56 uur, maakte de telefoon die de verdachte verbinding met een wifinetwerk van een woning in de buurt. Dit plaatst de verdachte vlakbij de locatie en tijd van de brandstichting. Samen met ander bewijs waren de rechters overtuigd van de schuld van de verdachte.

Veroordeling voor witwassen van 11 miljoen aan bitcoins

De rechtbank Rotterdam heeft op 6 maart 2018 een interessante uitspraak (ECLI:NL:RBROT:2018:2201) gewezen over het witwassen van bitcoins. In de uitspraak maken de rechters de wat merkwaardige opmerking dat het ‘een feit van algemene bekendheid’ zou zijn dat ‘Bitcoins destijds veelvuldig in het criminele circuit als betaalmiddel zijn gebruikt’.

In deze zaak ging de verdachte als volgt te werk. Hij bood aan bitcoineigenaren die dienst aan hun bitcoins om te zetten in contanten. De bitcoineigenaren schreven de bitcoins over naar een van de ‘wallets’ (virtuele portemonnees) van de verdachte en kregen dan de tegenwaarde minus een commissiepercentage direct in contanten uitbetaald. Deze transacties werden op openbare plaatsen uitgevoerd. De verdachte verkocht de verkregen bitcoins vervolgens aan verkoopmaatschappijen als Kraken of Bitstamp. Deze verkoopmaatschappijen betaalden de verkoopprijs van de bitcoins uit op door de verdachte gebruikte bankrekeningen op zijn naam en op naam van anderen. In totaal is in de ten laste gelegde periode een bedrag van € 11.690.267,85 euro naar deze bankrekeningen overgemaakt.

De rechtbank vond dat de verdachte wel wetenschap moest hebben van de illegale herkomst gezien (1) het hoge commissiepercentage (5-8%), (2) het gebruik van bankrekeningen op naam van anderen, (3) het in ontvangst nemen van hoge contanten, en (4) het niet-vaststellen van de identiteit  of het bijhouden van een administratie van zijn klanten. De rechtbank is van oordeel dat deze handelingen het delict van (gewoonte)witwassen oplevert. De verdachte is veroordeeld tot een gevangenisstraf van 4 jaar.

De rechtbank Midden-Nederland heeft op 3 april 2018 ook enkele verdachten veroordeeld (ECLI:NL:RBMNE:2018:1179) voor het witwassen tussen de drie ton en 10 miljoen euro via Bitcoin. De verdachten zijn door de rechtbank onderverdeelt tussen  bitcoinhandelaren (de hoofdverdachten) en hun klanten. De hoofdverdachten namen bitcoins aan van hun klanten en zetten deze via een netwerk van rechtspersonen om in grote contante geldbedragen. De verdachten hadden geen ‘concrete, min of meer verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring’ voor de herkomst van de geldbedragen en de bitcoins. De verklaring blijkt ook niet uit het dossier en daarmee stelt de rechtbank vast dat de tenlastegelegde geldbedragen en bitcoins onmiddellijk of middellijk uit enig misdrijf afkomstig zijn.

Enkele van de relevante factoren voor de vereiste verhullingshandeling bij witwassen waren hier (1) het gebruik van een ‘bitcoinmixerdienst’, (2) het garanderen van anonimiteit voor hun klanten en (3) het rekenen van een ongebruikelijk hoge commissie voor de dienst. De hoofdverdachten controleerden niet waar de bitcoins vandaan kwamen en konden daarover ook geen uitleg geven. De opsporingsambtenaren hadden de beschikking over de administratie met bitcointransacties en in de uitspraak is een helder overzicht van de analyse van bitcointransacties openomen. De bitcoins zijn daarbij gegroepeerd in ‘bitcoinclusters’. De hoofdverdachten kregen 2 tot 3 jaar gevangenisstraf opgelegd en de vervolgde klanten tussen de 12 en 30 maanden.

Veroordeling voor computervredebreuk en diefstal

De rechtbank Gelderland heeft op 2 maart 2018 een verdachte veroordeeld (ECLI:NL:RBGEL:2018:957) voor computervredebreuk in een systeem van de Makro en diefstal van de waarde van cadeaubonnen. De helpdeskmedewerker had via de autorisatie die bij zijn functie hoorde op listige wijze inloggegevens van andere werknemers verkregen. Daarmee heeft hij ingelogd op de website ‘mijncarrousel.nl’ om een cadeau van de Makro te kiezen of een cadeau(bon) van een aangesloten retailer, zoals Wehkamp, Ici Paris en de Bijenkorf.

Naar het oordeel van de rechtbank heeft de verdachte zich daarmee aan computervredebreuk schuldig gemaakt door met een valse sleutel het CMS-systeem van de Makro te betreden met de intentie om handelingen te verrichten die buiten zijn bevoegdheid lagen, waardoor hij wederrechtelijk het computersysteem is binnengedrongen.

In totaal waren 1554 digitale cadeaubonnen ter waarde van € 97.002,50 aangeschaft. De verdachte heeft veelvuldig vouchers aangemaakt en met de daarbij behorende gegevens vervolgens cadeaubonnen besteld. Daarmee is volgens de rechtbank ook sprake van diefstal van de aangemaakte vouchers en de daarmee bestelde cadeaubonnen van bovengenoemde waarde. De verdachte kreeg een voorwaardelijke gevangenisstraf en een taakstraf van 150 uur opgelegd.

In een enigszins vergelijkbare zaak heeft de rechtbank Rotterdam op 22 maart 2018 een verdachte veroordeeld (ECLI:NL:RBROT:2018:2421) voor oplichting en computervredebreuk. In deze zaak heeft een student van de Hogeschool Rotterdam phishingmails naar medestudenten gestuurd met de mededeling dat zij eenmalig het collegegeld handmatig moesten overmaken. Daarnaast heeft hij medewerkers van een ziekenhuis een e-mail gestuurd met het bericht dat er een taak voor hen klaarstond in het personeelszakensysteem. De e-mail bevatte ook een link naar, wat later bleek, een nagebootst personeelszakensysteem. Van de medewerkers die inlogden op het nagebootste systeem, verwierven de verdachte en zijn mededaders de inloggegevens. Daarmee logde hij in op het echte personeelszakensysteem, waarna hij hun bankrekeningnummers wijzigde in die van een katvanger.

De verdachte is veroordeeld tot een voorwaardelijke gevangenisstraf van een jaar, een taakstraf van 240 uur een geldboete van 1500 euro.

Cybercrime jurisprudentieoverzicht oktober 2017

Wraakporno op Facebook geplaatst

Op 18 oktober 2017 heeft het Hof Amsterdam een arrest gewezen (ECLI:NL:GHAMS:2017:4648) inzake smaadschrift en het verspreiden van afbeeldingen die de eerbaarheid schenden (art. 240 Sr).

In deze zaak had de verdachte een naaktfoto in een post op Facebook op het account van het slachtoffer geplaatst. Deze post in verschenen in de nieuwslijst van vrienden en volgers van het slachtoffer. Daarmee is volgens het Hof sprake van het toezenden van een afbeelding dat aanstotelijk is voor de eerbaarheid is, waarbij die afbeelding aan iemand wordt toegezondenals bedoeld in art. 240 Sr.

Het Hof acht het plaatsen van deze wraakporno ‘volstrekt onacceptabel’ gelet het ‘specifieke, eeuwige karakter van het internet’ en de ernstige gevolgen voor het slachtoffer wier naaktfoto openbaar is geworden. Ook is sprake van smaadschrift. Het Hof overweegt dat de eer of goede naam van het slachtoffer is aangetast door bij de naaktfoto de tekst te plaatsen: ‘app me voor meer’, met vermelding van het telefoonnummer van de aangeefster. Daarmee heeft de verdachte de aangeefster ervan beschuldigd (ten laste gelegd) een meisje te zijn dat bezig was met het werven van willekeurige personen om seksuele handelingen mee te verrichten.

Deze beschuldiging is naar haar aard aan te merken als een aanranding van iemands eer of goede naam. De verdachte krijgt een taakstraf opgelegd van 80 uur en een verplichting tot het betaling van een schadevergoeding van 2000 euro aan het slachtoffer voor geleden immateriële schade. Opvallend is dat in deze zaak geen computervredebreuk ten laste is gelegd, aangezien de post zonder toestemming via het account van het slachtoffer op Facebook is geplaatst.

Sexting en toegang tot kinderporno via Snapchat         

De militaire kamer van de Rechtbank Gelderland heeft op 30 oktober 2017 (ECLI:NL:RBGEL:2017:5674) een verdachte veroordeeld voor het aanbieden van schadelijke afbeeldingen aan iemand onder de zestien jaren en toegang tot kinderporno. De verdachte is een militair en scoutingleider en heeft seksueel contact gehad via Snapchat met een 13-jarige pupil.

Kenmerkend aan Snapchat is dat de berichten en verstuurde afbeeldingen na een paar seconden worden gewist. De rechtbank heeft daarom overwogen dat de verdachte de foto’s, gelet op de bijzondere eigenschappen van deze applicatie, niet in bezit heeft gehad of heeft verworven, maar zich wel met gebruikmaking van een geautomatiseerd werk en/of communicatiedienst de toegang tot de foto’s heeft verschaft.

Uit de bewijsmiddelen volgt ook niet dat verdachte de foto’s op een andere wijze heeft vastgelegd, bijvoorbeeld door hiervan een screenshot te maken. De verdachte wordt veroordeeld tot een taakstraf van 120 uur en een gevangenisstraf van 2 dagen met bijzondere voorwaarden.

Veroordeling tot poging tot verleiding, grooming en belaging via internet

Op 20 oktober 2017 heeft de Rechtbank Noord-Nederland een verdachte veroordeeld (ECLI:NL:RBNNE:2017:4022) tot een gevangenisstraf van één jaar en TBS met verpleging voor (poging tot) verleiding, grooming en belaging.

De verdachte heeft zich op Facebook voorgedaan als twee verschillende vijftienjarige meisjes en daarna getracht twee minderjarige jongens zover te krijgen dat zij seksueel getinte foto’s of filmpjes zouden maken en het materiaal naar hem toe te sturen. Hij heeft een van de jongens ook onder druk gezet om hem te ontmoeten. Verdachte heeft de jongens zeer dwingend en ook dreigend benaderd met een stortvloed aan oproepen, telefoontjes en chatgesprekken.

De uitspraak is ook van uit bewijstechnisch oogpunt interessant, omdat het digitaal onderzoek van de politie uitgebreid wordt beschreven. Zo wordt in de uitspraak beschreven dat de politie op Facebook onderzoek heeft gedaan en zag dat de profielfoto bij het account van de verdachte een koalabeer betrof. De politie heeft op Instagram het profiel van het slachtoffer bekeken en geconstateerd dat dit account werd gevolgd door het Instagramaccount met de dezelfde kaolabeer.

De politie heeft van Instagram de ip-adressen en geregistreerde e-mailadres verkregen van de accounts van de verdachte. Ook heeft de politie van Facebook het IP-adres ontvangen waarmee het account van de verdachte was aangemaakt. De politie heeft daarna van Ziggo BV de gebruikersgegevens bij het IP-adres opgevraagd en van daaruit de verdachte opgespoord.

Het verweer van de verdediging dat iemand anders achter het account zat slaagt niet, omdat gelet op het voorgaande deze stelling volgens de rechtbank onaannemelijk is. Bovendien is het bewijs niet alleen naar verdachtes internetverbinding te herleiden; daarnaast is ook gebruik gemaakt van verdachtes’ e-mailadres, telefoon en USB-stick.

Veroordeling computervredebreuk en creditcardoplichting

Op 8 november 2017 heeft Hof Amsterdam een verdachte veroordeeld (ECLI:NL:GHAMS:2017:4753) voor computervredebreuk, poging tot internetoplichting en het voorhanden hebben van een valselijk opgemaakt schrift.

De verdachte heeft ruim twee jaar lang websites gehackt en daarbij gebruik gemaakt van de WiFi van zijn buurvrouw via de gedeelde inloggegevens.

De verklaring van de verdachte dat hij niet wist hij van deze verbinding gebruik maken acht het Hof niet geloofwaardig, gezien de informaticaopleiding van de verdachte en zijn overige internetactiviteiten. Bovendien werd tijdens een huiszoeking op het scherm van de verdachte de volgende actieve programma’s te zien: Sendblaster Pro (software om massaal e-mails te versturen), Gre3NoX Exploit Scanner (software om zwakheden in websites op te sporen) en Havij (software om databases van websites te hacken door middel van SQL-injecties) en een website die erop was gericht gegevens met betrekking tot ICS af te vangen (te phishen).

De verdachte heeft met behulp van phishingapparatuur getracht op grote schaal creditcardgegevens te bemachtigen van ICS klanten door hun een e-mail te sturen (in totaal 132.260 e-mails) waarin hij zich voordeed als (medewerker van) ICS en waarin de klant werd gevraagd op een link te drukken die hen zou doorgeleiden naar een phishingwebsite. Ondanks dat bij de verdachte aangetroffen bestanden en papieren met creditcardnummers zijn aangetroffen, inclusief vervaldata en CVC codes, acht het Hof oplichting niet bewezen. De reden is dat volgens het Hof uit niets blijkt dat deze creditcardgegevens afkomstig zijn van ICS klanten, laat staan dat zij door ICS klanten naar de verdachte zijn verstuurd naar aanleiding van door hem verzonden phishing e-mails. Daarnaast heeft de verdachte een valselijk opgemaakt geschrift, te weten een jaaropgave, voorhanden gehad.

De verdachte krijgt daarvoor 2,5 jaar gevangenisstraf opgelegd, waarvan de helft voorwaardelijk. Het Hof vindt het daarbij, gelet op de bij de verdachte aanwezige kennis van computers en wegen om daarmee criminele activiteiten te ontplooien, in combinatie met zijn werk in de commerciële sector, van belang een deel van de gevangenisstraf voorwaardelijk op te leggen en een proeftijd van drie jaren vast te stellen als stok achter de deur.