Tag cybercrime

Three Chapters ‘Essentials in Cybercrime’ available in open access

jjoerlemans

The chapters ‘Types of cyber-dependent crime and their criminalisation’ (.pdf), Types of cyber-enabled crime and their criminalisation (.pdf), and ‘Cybercrime investigations’ (.pdf)) are now available in open access.

In this second edition, we chose to address cyber-dependent and cyber-enabled crime in separate chapters, allowing for more detailed discussion of both categories. A new section has been added on online expression offenses, with a particular focus on European legislation—an important topic that was missing from the previous edition. Additionally, recent developments such as generative AI and Large Language Models are given significant attention.

Other chapters are not available in open access, but cover a range of topics including cybercrime offenders, victims, criminal networks, criminological theories, and intervention strategies. The full book is available for purchase via Boom.nl.

Table of contents:

Chapter 3 – Types of cyber-dependent crime and their criminalisation

Jan-Jaap Oerlemans, Wytske van der Wagen & Marleen Weulen Kranenbarg

3.1 Introduction

3.2 Cyber-dependent crime and its criminalisation

3.3 Computer hacking

3.3.1 Criminalisation

3.3.2 Ethical hacking

3.4 Malware

3.4.1 Info-stealers

3.4.2 Ransomware

3.4.3 Banking malware

3.4.4 Criminalisation

3.5 Botnet

3.5.1 Criminalisation

3.6 Ddos attack

3.6.1 Criminalisation

3.7 The role of social engineering in cybercrime

3.7.1 Six principles of persuasion

3.8 Future developments

3.8.1 Greater influence of state actors

3.8.2 The Internet of Things

3.9 To conclude

3.10 Discussion questions

3.11 Key concepts

Please cite as:

  • Oerlemans J.., Wagen W. van der & Weulen Kranenbarg M. (2024), Types of cyber-dependent crime and their criminalisation. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 63-95.

Chapter 4 – Types of cyber-enabled crime and their criminalisation

Jan-Jaap Oerlemans, Anne de HIngh & Wytske van der Wagen

4.1 Introduction

4.2 The clear, the deep and the dark web

4.3 Online criminal marketplaces

4.3.1 Criminal marketplaces on the clear web

4.3.2 Darknet markets

4.3.3 Marketplaces on communication apps

4.3.4 Criminalisation

4.4 Money laundering with virtual currency

4.4.1 Regulation

4.4.2 Criminalisation

4.5 Online fraud

4.5.1 Criminalisation

4.6 Online sexual offences

4.6.1 Images of sexual abuse of minors

4.6.2 Sexting

4.6.3 Abuse of sexual imagery (‘revenge porn’)

4.6.4 Sextortion

4.6.5 Online grooming and sex chatting

4.7 Online expression offences

4.7.1 Freedom of expression vs. criminalisation

4.7.2 Criminalisation of online expressions

4.7.3 Removing illegal content

4.8 Future developments

4.8.1 AI and cyber-enabled crime

4.8.2 Crime in virtual reality and mixed reality worlds

4.9 To conclude

4.10 Discussion questions

4.11 Key concepts

Please cite as:

  • Oerlemans J., Hingh A.E. de & Wagen W. van der (2024), Types of cyber-enabled crime and their criminalisation. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 97-144.

Chapter 9 – Cybercrime investigations

Jan-Jaap Oerlemans & Maša Galič

9.1 Introduction

9.2 Digital investigations and criminal procedure law

9.2.1 Regulating investigative methods

9.2.2 Jurisdiction and cybercrime

9.2.3 Mutual legal assistance

9.3 IP addresses as digital leads

9.3.1 Data production and preservation orders

9.3.2 Seizing and analysing data on computers

9.3.3 Network computer searches

9.4 The challenge of anonymity

9.4.1 Anonymisation techniques

9.4.2 Open-source investigations

9.4.3 Online undercover operations

9.5 The challenge of encryption

9.5.1 Encryption in storage

9.5.2 Encryption in transit

9.5.3 Hacking as an investigative method

9.6 Disrupting cybercrime

9.7 To conclude

9.8 Discussion questions

9.9 Key concepts

10 Interventions for cyber offenders

Please cite as: Oerlemans J. & Galiç M. (2024), Cybercrime investigations. In: Wagen W. van der, Oerlemans J. & Weulen Kranenbarg M. (Eds.), Essentials in cybercrime: a criminological overview for education and practice. The Hague: Eleven. 257-315.

iOCTA rapport 2023

jjoerlemans

Het ‘internet Organised Threat Assessment’ (iOCTA) rapport (.pdf) van Europol biedt elk jaar overzicht van gesignaleerde trends en actualiteiten omtrent georganiseerde cybercriminaliteit in de Europese Unie. Dit jaar geeft het rapport een inkijkje in de wereld van criminele internetdiensten, datahandelaren en witwaspraktijken in relatie tot cybercrime. Hier volgt een korte samenvatting.

Rusland-Oekraïne

Het rapport begint met het benoemen van de overloopeffecten van het Rusland-Oekraïne conflict. Vooral in de EU is een toename van Distributed Denial of Service (DDoS)-aanvallen zichtbaar die nationale en regionale overheidsinstellingen treffen. Deze aanvallen waren vaak politiek gemotiveerden gecoördineerd door pro-Russische hackersgroepen in de EU.

Criminele VPN’s

In het rapport staan ook schadelijke ‘virtual private networks’ (VPN’s) centraal. VPN’s zijn populair bij cybercriminelen om hun communicatie en websurfgedrag op internet af te schermen. VPN-aanbieders hosten doorgaans een aantal proxy’s waar gebruikers hun werkelijke locatie (IP-adres) en de inhoud van hun verkeer kunnen verbergen. Hoewel VPN-diensten niet illegaal zijn, zijn sommige ontworpen voor criminelen en worden deze ook geadverteerd aan criminelen. Het gebrek aan medewerking aan verzoeken of vorderingen van wetshandhavers is kenmerkend voor deze VPN-diensten. Ook wijst Europol op ‘bullet proof hostings providers’ die niet aan Know-Your-Customer (KYC)-procedures doen en soms geen klant- en metadata (zoals IP-adressen) opslaan, wat criminele activiteiten vergemakkelijkt. Bovendien is hosting een complexe internationale bedrijfstak waar servers vaak worden doorverkocht aan andere datacenters in verschillende regio’s.

Gestolen gegevens 

Europol noemt gestolen gegevens de ‘centrale grondstof’ van de illegale economie op internet. Gegevensdiefstal is een belangrijke bedreiging, omdat gestolen gegevens gebruikt kunnen worden voor een breed scala aan van criminele activiteiten, zoals voor het verkrijgen van toegang tot computersystemen, spionage, afpersing en voor ‘social engineering’-doeleinden (waarbij mensen zich voordoen als een ander). Een berucht voorbeeld van een forum waarin werd gehandeld in gestolen gegevens was ‘RaidForums’. Dit forum werd in april 2022 offline gehaald tijdens ‘Operation Tourniquet’. RaidForums had meer dan een half miljoen gebruikers en richtte zich op het verzamelen en doorverkopen van ‘exclusieve’ persoonlijke gegevens en databases van gecompromitteerde servers. RaidForums maakte naam door rivaliserende forums te hacken en persoonlijke informatie vrij te geven over hun beheerder (doxing). De high-profile database lekken die werden verkocht op het forum behoorden meestal toe aan bedrijven in verschillende sectoren. Ze bevatten gegevens van miljoenen creditcards en bankrekeningnummers, gebruikersnamen en wachtwoorden die nodig zijn om toegang te krijgen tot accounts.

Witwassen

Cybercriminelen die betrokken zijn bij cyberaanvallen en verwante diensten, maar ook degenen die handelen in of het beheer hebben over dark web marktplaatsen, voeren hun financiële transacties bijna uitsluitend uit met cryptocurrencies. Daarbij maken ze veel gebruik van technieken om hun financiële activiteiten te anonimiseren voordat ze hun illegale winsten te gelde maken. Deze technieken omvatten het gebruik van mixers, ‘swappers’ (waarmee cryptocurrencies kunnen worden omgezet in andere betalingsmiddelen) en gedecentraliseerde beurzen. Dit vereist zeer bekwame onderzoekers die verschillende methoden te gebruiken om cryptocurrency te volgen (zoals ‘demixing’, het traceren van ‘cross-chain swaps’ en het analyseren van ‘liquiditeitspools’).

Criminele netwerken die betrokken zijn bij fraude behalen hun winsten in zowel fiat- als cryptocurrencies. Het witwassen van hun criminele fondsen gebeurt meestal zeer snel nadat de fraude heeft plaatsgevonden. Dit heeft tot gevolg dat tegen de tijd dat het slachtoffer de zwendel doorheeft, het geld al verdeeld is over rekeningen in meerdere landen en is witgewassen. Online fraudeurs maken ten slotte ook veel gebruik van gokplatforms om winsten wit te wassen, omdat ze gebruikt kunnen worden om de herkomst en stromen van illegaal verkregen geld te verdoezelen.

The necessity of a new cyberlaw for dutch intelligence and security services 

jjoerlemans

Growing cyber threats to Dutch national security reveal an urgent need to amend current  powers of intelligence and security services. The proposed “Cyber Act” aims to address these challenges by granting bulk interception and hacking capabilities, and by allowing for greater flexibility in the oversight process. However, further clarification is needed on the scope of the Act.

In my opinion, there is an urgent need for a new bill that amends the bulk interception and hacking powers of Dutch intelligence and security services. In this blog post, I share the essential points that I presented during a ‘round table hearing’ at the Dutch parliament on 5 April 2023. My original contribution (in Dutch) can be found here.

The (cyber)threat

The cyberthreat the proposed legislation aims to address should be completely clear. The Dutch General Intelligence and Security Service (AIVD) first reported about ‘digital infringements on Dutch vital ICT infrastructures’ in 2007. This message highlighting the risks of digital espionage to our national security has been reiterated in every annual report since 2013. These reports explicitly mention various victims of digital espionage, including Dutch ministries, telecom providers, universities, educational institutions, think tanks, and biotechnology companies.

Our Military Intelligence and Security Services (MIVD), as well as the National Cyber Security Centre (NCSC), have echoed these concerns. In fact, the NCSC considers the threat posed by ‘state actors’ to cybersecurity as the most significant among all threats, surpassing even the threats posed by criminal actors. 

The problem

In 2021, the Dutch intelligence and security services raised concerns regarding challenges they encountered in their cyber operations. These issues primarily stem from the “legality review” process conducted by the newly established Investigatory Powers Commission (TIB). The TIB is responsible for granting or denying warrants for investigatory powers, including bulk interception and hacking.

The proposed Cyber Act  

To address these challenges, a bill has been introduced, which I refer to as the ‘Cyber Act’. This proposed legislation specifically addresses bulk interception and hacking capabilities and proposes significant changes to the oversight system in the Netherlands. It is crucial to emphasise that the scope of the bill is limited to operations conducted by Dutch intelligence and security services that target the gathering of intelligence related to “offensive cyber operations of foreign states”. 

The aim of the proposed bill is to amend and partially shift the oversight of bulk interception and hacking as investigatory powers from the Investigatory Powers Commission (TIB) to the Dutch Review Committee on Intelligence and Security Services, allowing for greater flexibility for intelligence and security services. It seeks to establish a more dynamic oversight process that aligns with the technical realities of these powers. 

It is also noteworthy that the proposal grants the Dutch Review Committee on Intelligence and Security Services the (binding) power to halt an operation and (ultimately) order the deletion of unlawfully processed data when specific investigatory powers are employed. Currently, this oversight body lacks any binding authority in its task of overseeing intelligence and security services. Additionally, the proposed legislation introduces an appeals procedure for decisions made by the Dutch oversight bodies, enabling a judge to make the final determination regarding the legality of actions and decisions. 

Bulk interception 

Bulk interception serves as a notable example that illustrates how investigatory powers are amended in the Cyber Act. One significant challenge in the current application of bulk interception as an investigatory power is the disagreement between the intelligence and security services (and their responsible ministers who authorise these powers) and the Investigatory Powers Commission (TIB) regarding the level of focus that should be applied to bulk interception.

It is important to clarify that bulk interception is inherently non-targeted in nature. It involves the interception of large volumes of data (bulk) after it is collected at a specific location. This process differs from, for instance, wiretapping. With wiretapping, data associated with a particular identifying number, such as a telephone number or IP address is intercepted. Bulk interception captures a greater volume of data, including unidentified numbers that may be connected to potential national security threats. In a cybersecurity context, bulk interception can be used to collect intelligence about the IT infrastructure utilised by foreign actors engaging in covert activities on Dutch infrastructure.

The Cyber Act aims to do more justice to the untargeted nature of bulk interception, but solely within the context of gathering intelligence related to the threat of offensive cyber operations conducted by state actors that pose a risk to national security. While the bill includes numerous detailed provisions, which I will not delve into here, I believe the arguments put forth in support of the proposals are compelling. Therefore, it is in my view necessary to amend the law. In fact, I think we should consider an even more substantial role for intelligence and security services in combating cybersecurity threats.

Addressing the threat of cybercrime to national security

The issue of cybercrime posing a threat to national security deserves attention. I emphasised that the Dutch National Security Centre identified ransomware as a national security threat. I agree with this assessment, insofar ransomware attacks have severe economic consequences or disrupt vital infrastructures. Regrettably, we have already witnessed ransomware incidents targeting the Port of Rotterdam, hospitals, and municipalities in the Netherlands.

In the Netherlands, there is a strict separation between the investigation of criminal activities and the investigation of national security threats. It is evident to me that the Dutch Intelligence and Security Services should investigate ransomware attacks that pose a risk to national security. However, it remains unclear whether such investigations are currently being carried out. While the Dutch Cyber Act appears to primarily focus on state actors, I would appreciate clarification on whether it also encompasses ransomware activities conducted by criminal organisations.

This is a cross-post from my blog post on aboutintel.eu. It is part of a discussion prompt about the ‘Dutch Temporary Cyber Act‘, with contributions of Lotte Houwing and Bert Hubert.

Europol waarschuwt over het gevaar van ChatGPT en Large Language Models

jjoerlemans

Op 27 maart 2023 heeft Europol het rapport ‘ChatGPT. The impact of Large Language Model on Law Enforcement’ gepubliceerd.

ChatGPT (versie GPT-3.5) kan tekst verwerken en genereren in antwoord op opdrachten (‘prompts’) van gebruikers. Het kan vragen beantwoorden over uiteenlopende onderwerpen, tekst vertalen, conversaties aangaan en tekst samenvatten om de belangrijkste punten aan te geven. Het kan daarnaast sentimentanalyse uitvoeren, tekst genereren op basis van een gegeven opdracht (bijvoorbeeld een verhaal of gedicht schrijven), en code uitleggen, produceren en verbeteren in enkele van de meest gangbare programmeertalen (Python, Java, C++, JavaScript, PHP, Ruby, HTML, CSS, SQL). In essentie is ChatGPT dus erg goed in het begrijpen van menselijke input, rekening houdend met de context, en het produceren van bruikbare antwoorden. In maart 2023 lanceerde het bedrijf OpenAI overigens voor abonnees van ChatGPT Plus zijn nieuwste model, GPT-4. Volgens OpenAI is GPT-4 in staat om meer geavanceerde problemen nauwkeuriger op te lossen en kan het beelden als input verwerken, classificeren en analyseren.

De beveiligingsmechanismen van ChatGPT om kwaadwillend gebruik van het model te beperken kunnen relatief eenvoudig worden omzeild. Volgens Europol kan ChatGPT worden gebruikt om verschillende soorten misdrijven beter uit te voeren. Als een potentiële crimineel niets weet over een bepaald misdaadgebied, kan ChatGPT het onderzoeksproces aanzienlijk versnellen door het aanbieden van belangrijke informatie die dan in volgende stappen verder kunnen worden onderzocht. Als zodanig kan ChatGPT worden gebruikt om te leren over een groot aantal potentiële misdaadgebieden zonder voorkennis. Het biedt nieuwe mogelijkheden, met name voor misdrijven door middel van ‘social engineering’, phishing en online fraude, maar ook voor het genereren van propaganda, desinformatie en nepnieuws.   

Waarbij vroeger bijvoorbeeld een eenvoudige phishing-zwendel gemakkelijker was op te sporen vanwege duidelijke grammaticale en spelfouten, is het nu mogelijk om zich op een zeer realistische manier voor te doen als een organisatie of individu, zelfs met slechts een basiskennis van de Engelse taal. Ook kan de stijl van berichten worden aangepast. Het vermogen van ChatGPT om natuurlijke taal te transformeren in werkende code werd snel uitgebuit door kwaadwillenden door code voor malware te produceren. Dit maakt ChatGPT volgens Europol tot een instrument voor cybercriminelen.

In de toekomst kan de universele beschikbaarheid van grote taalmodellen nog meer uitdagingen met zich meebrengen. Europol wijst op de integratie van andere AI-diensten (zoals voor het genereren van synthetische media). Een voorbeeld zijn multimodale AI-systemen, die conversationele chatbots combineren met systemen die synthetische media kunnen produceren, zoals zeer overtuigende deepfakes, of systemen die zintuiglijke vermogens zoals zien en horen omvatten. De Europese politiedienst wijst ook op de opkomst van “dark LLM’s”, die op het dark web kunnen worden gehost om een chatbot te leveren zonder enige beveiliging, alsmede LLM’s die worden getraind op bepaalde – wellicht bijzonder schadelijke – gegevens. Opsporingsinstanties zullen zich hierop moeten voorbereiden, onder andere door bewustwording en het ontwikkelen van vaardigheden om zelf deze technologie voor de eigen taakuitvoering te gebruiken.  

Wetsvoorstel Wet seksuele misdrijven

jjoerlemans Een reactie plaatsen

Op 10 oktober 2022 is het wetsvoorstel voor de Wet seksuele misdrijven naar de Tweede Kamer gestuurd. Daarmee is ook de memorie van toelichting en het advies van de Raad van State beschikbaar geworden.

Het wetsvoorstel dient met name de artikelen over zedendelicten te herstructureren, wat de inzichtelijkheid van deze titel in het Wetboek van Strafrecht ten goede komt. Hierna volgt een korte samenvatting van het wetsvoorstel met een focus op de computergerelateerde delicten.

Noodzaak wetswijziging

Het wetsvoorstel vervangt in Boek 2 van het Wetboek van Strafrecht de huidige Titel XIV Misdrijven tegen de zeden door een nieuwe Titel XIV Seksuele misdrijven. In deze titel wordt de strafrechtelijke aansprakelijkheid voor verschillende vormen van seksueel grensoverschrijdend gedrag opnieuw vastgesteld en begrensd. De strafrechtelijke bescherming tegen seksueel geweld (aanranding en verkrachting) wordt uitgebreid en gemoderniseerd. Online gepleegde seksuele misdrijven krijgen in de nieuwe titel een duidelijke plaats. Zowel de inhoud van de strafbepalingen als de wettelijke structuur wordt gemoderniseerd. Hiermee wordt tevens gevolg gegeven aan de aanbeveling uit het WODC-onderzoek ‘Herziening van de zedendelicten’ (zie K. Lindenberg & A.A van Dijk, Herziening van de zedendelicten. Een analyse van Titel XIV, Tweede Boek, Wetboek van Strafrecht met het oog op samenhang, complexiteit en normstelling, Zutphen: Paris 2016). Daarnaast verruimt dit wetsvoorstel de mogelijkheden om strafrechtelijk op te treden tegen seksueel getint overlast veroorzakend gedrag door seksuele intimidatie zelfstandig strafbaar te stellen als overtreding tegen de openbare orde.

De regering stelt de wijzigingen noodzakelijk zijn ‘als gevolg van verschillende maatschappelijke, technologische en juridische ontwikkelingen is de huidige zedenwetgeving verouderd geraakt. Mede onder invloed van internationale ontwikkelingen zijn de afgelopen jaren de opvattingen binnen onze samenleving over seksuele grensoverschrijding strikter geworden en zijn de grenzen over welk gedrag strafwaardig is verschoven. Daarnaast is de maatschappelijke aandacht voor en het bewustzijn van het leed dat slachtoffers van seksueel grensoverschrijdend gedrag wordt aangedaan toegenomen. Ook zijn als gevolg van technologische ontwikkelingen, andere en nieuwe (geheel of deels) online verschijningsvormen van seksuele grensoverschrijding ontstaan, waarvan in het bijzonder kinderen het risico lopen slachtoffer te worden. De huidige strafwet schiet als gevolg van voornoemde ontwikkelingen tekort’.

In de memorie van toelichting wordt over de online problematiek onder andere opgemerkt dat veel mensen slachtoffer zijn geworden. Uit de prevalentiemonitor blijkt dat in 2020 circa 770.000 personen aangaven slachtoffer te zijn geweest van online seksuele intimidatie. Hierbij gaat het om ongewenst seksueel gedrag dat plaatsvond via het internet, zoals via sociale media, WhatsApp, (video)chat of e-mail. Daarbij is bijvoorbeeld sprake van seksueel getinte opmerkingen of het ongewenst sturen naaktfoto’s – zoals een afbeelding van het mannelijk geslachtsdeel, ook wel een “dickpic” – of seksfilmpjes. Vrouwen waren vaker slachtoffer van seksuele intimidatie dan mannen en jongeren (met name 18- tot 24-jarigen) vaker dan ouderen. Van de 16- tot 18-jarige vrouwen gaf 29% aan met online seksuele intimidatie te maken hebben gehad. In de meeste situaties (92%) was de pleger iemand van buiten de huiselijke kring. Ongeveer de helft van de slachtoffers van online seksuele intimidatie had te maken met (een) onbekende pleger(s). De andere helft kende de pleger(s) wel.  

Volgens de regering is het wetboek onvoldoende ingericht als er sprake is van seksueel geweld of seksueel misbruik, maar geen sprake is van fysiek seksueel contact tussen dader en slachtoffer. Deze vorm van seksuele interactie heeft de afgelopen jaren een vlucht genomen. Via een webcam kunnen mensen worden gedwongen of aangezet tot het verrichten van seksuele handelingen aan of met het eigen lichaam, zoals bij ‘sextortion’. Een andere online veelvoorkomende verschijningsvorm van seksueel kindermisbruik waarop de huidige strafwet onvoldoende is ingericht is het op indringende en niet leeftijdsconforme wijze mondeling of schriftelijk seksueel benaderen van kinderen. Dit wordt ook wel aangeduid als ‘sexchatting’. Hierbij gaat het om gedrag waarbij (nog) geen sprake is van seksueel misbruik waarbij handelingen aan of met het lichaam van een slachtoffer worden verricht, maar dat naar de huidige opvattingen wel schadelijk wordt geacht voor kinderen. Seksualiserende benadering van kinderen is schadelijk, omdat hierdoor hun seksuele ontwikkeling wordt doorkruist. Ook kunnen de psychologische gevolgen ernstig zijn.

De regering stelt daarom voor:

1. de delictsgedraging van verschillende seksuele misdrijven “online proof” te maken;

2. de strafbaarstelling te introduceren van het indringend mondeling of schriftelijk communiceren met kinderen op een wijze die schadelijk te achten is voor kinderen; en

3. de strafbaarstelling voor kinderpornografie te actualiseren.

Strafbaarstelling sexchatten

Het voorgestelde artikel 251 Sr is de rechtsopvolger van verschillende artikelen waarin het seksueel benaderen van kinderen beneden de leeftijd van zestien jaren is strafbaar gesteld. Het betreft het seksueel corrumperen van kinderen (eerste lid, onder b) en grooming (eerste lid, onder c). Hieraan wordt een nieuwe vorm van seksualiserende benadering toegevoegd, het zogenoemde sexchatting (eerste lid, onder a). Schade bij een specifiek slachtoffer hoeft hierbij niet te worden vastgesteld. De regering legt uit dat ‘het gesteld ontbreken van schade bij een bepaald slachtoffer kan niet tot straffeloosheid leiden’.

Voor zover de seksualiserende benadering plaatsvindt in het kader van een gelijkwaardige situatie tussen leeftijdsgenoten onderling zal deze over het algemeen niet plaatsvinden op een wijze die schadelijk te achten is voor een zestienminner. Experimenteergedrag tussen jongeren onderling is in beginsel dus niet strafbaar. Met het oog hierop is in het tweede lid een strafuitsluitingsgrond opgenomen voor het voorstellen van een ontmoeting voor seksuele doeleinden en enige handeling hiertoe ondernemen in een gelijkwaardige situatie tussen leeftijdsgenoten. Het antwoord op de vraag of sprake is van een gelijkwaardige situatie is afhankelijk van de omstandigheden van het geval. Bij de beoordeling hiervan kunnen onder meer de volgende factoren relevant zijn: 1) de mate van vrijwilligheid 2) het al dan niet bestaan van een (seksuele) relatie 3) de aard van het voorstel tot een ontmoeting voor seksuele doelen. Het OM betrekt deze omstandigheden bij de afweging om in een individuele zaak al dan niet tot vervolging over te gaan. Als het OM besluit tot vervolging over te gaan en de verdachte is van mening dat een beroep kan worden gedaan op de strafuitsluitingsgrond in het tweede lid, dan is het aan de verdachte om dit aan te voeren en te onderbouwen. Indien de strafuitsluitingsgrond van toepassing wordt geacht leidt dit tot ontslag van alle rechtsvervolging.

Bredere inzet van de “lokpuber”

De onder a tot en met c genoemde gedragingen zijn in artikel 251 Sr ook strafbaar gesteld ten aanzien van ‘iemand die zich voordoet als een persoon beneden de leeftijd van zestien jaren’. De daadwerkelijke betrokkenheid van een kind beneden de leeftijd van zestien jaar behoeft daarmee niet in alle gevallen te worden bewezen. Daarmee is de inzet van de figuur van de zogenaamde ‘lokpuber’, die is geïntroduceerd bij de inwerkingtreding van de Wet computercriminaliteit III (in de artikelen 248a en 248e Sr), mogelijk. Hiermee is beoogd de inzet van een opsporingsambtenaar die zich online voordoet als een minderjarige, al dan niet in de vorm van een virtuele creatie van een minderjarige, mogelijk te maken. Het wetsvoorstel maakt het mogelijk dat de figuur van de lokpuber naast de opsporing en vervolging van grooming ook kan worden ingezet ten behoeve van de opsporing en vervolging van sexchatting (onderdeel a) en het iemand getuige doen zijn van een handeling of een visuele weergave van seksuele aard of met een onmiskenbaar seksuele strekking (onderdeel b). De regering legt uit dat ‘op deze manier kunnen deze voor kinderen schadelijke gedragingen, die veelal geheel online plaatsvinden en daardoor moeilijk op te sporen zijn, vroegtijdig een halt worden toegeroepen’.

De beslissing tot inzet van een lokprofiel in een concrete zaak alsmede de wijze waarop dit geschiedt is voorbehouden aan het OM. Het optreden van de opsporingsambtenaar is hier overigens gebaseerd op de algemene taakstellende bepalingen. De regering merkt nog op dat ‘dat het gebruik van lokprofielen voor het verlenen van assistentie aan de opsporing door niet-overheidsinstanties of burgers niet strookt met het uitgangspunt van een integere en behoorlijke strafrechtspleging’.

Seksueel corrumperen

Onderdeel b van artikel 251 Sr is de opvolger van de huidige artikelen 239, 240a en 248d Sr waarin verschillende vormen van het seksueel corrumperen van kinderen strafbaar zijn gesteld. Strafbaar is degene die een kind beneden de leeftijd van zestien jaren (of een persoon die zich als zodanig voordoet) getuige doet zijn van een handeling of een visuele weergave van seksuele aard of met een onmiskenbaar seksuele strekking.

Grooming

Ten opzichte van het huidige artikel 248e Sr wordt de delictsomschrijving in artikel 251 onderdeel c Sr aanzienlijk ingekort. Dat komt ten eerste doordat het ontuchtbestanddeel (ontuchtig oogmerk) is vervallen. Voldoende is dat de dader (voorwaardelijk) opzet heeft op de totstandkoming van een ontmoeting voor seksuele doeleinden. Zo is het bestanddeel betreffende het middel waarmee een ontmoeting wordt voorgesteld – een geautomatiseerd werk of een communicatiedienst – vervallen: het doet er in feite niet toe hoe aan het kind een ontmoeting als bedoeld in dit artikel wordt voorgesteld. Zowel gedragingen in de reële als de digitale wereld brengen kinderen schade toe en dienen derhalve strafbaar te zijn. De regering merkt op dat een strafbare poging tot grooming ‘niet zelden’ ook strafbaarheid wegens sexchatting zal opleveren (eerste lid, onderdeel a).

Strafbaarstelling ‘kinderpornografische activiteiten’

Artikel 252 Sr is de rechtsopvolger van het huidige artikel 240b Sr en stelt verschillende kinderpornografische activiteiten strafbaar. De nieuwe strafbaarstelling is beter toegesneden op moderne verschijningsvormen van kinderpornografisch materiaal. De delictsgedraging ‘zich de toegang daartoe verschaft’ wordt techniekonafhankelijker geformuleerd. De zinsnede ‘door middel van een geautomatiseerd werk of met gebruikmaking van een communicatiedienst’, omdat het middel waarmee degene die zich toegang verschaft tot kinderpornografisch materiaal zich bedient doet niet ter zake voor de strafwaardigheid. Het zich toegang verschaffen veronderstelt dat dit welbewust gebeurt. Er is een actieve handeling vereist. Een andere wijziging is dat de term ‘afbeelding’ uit het huidige artikel 240b Sr wordt vervangen door de techniekonafhankelijker term ‘visuele weergave’.

De formulering ‘seksuele gedraging waarbij een persoon die kennelijk de leeftijd van achttien jaren nog niet heeft bereikt is betrokken of schijnbaar is betrokken’ uit het huidige artikel 240b Sr is vervangen door visuele weergave van ‘seksuele aard of met een onmiskenbaar seksuele strekking waarbij een persoon die kennelijk de leeftijd van achttien jaren nog niet heeft bereikt is betrokken of schijnbaar is betrokken’. Onder de genoemde gedraging wordt in de jurisprudentie van de Hoge Raad verstaan: seksuele gedraging van een kind met een ander, van een ander met een kind en van een kind met zichzelf. Aan de term ‘seksuele gedraging’ wordt een ruime invulling gegeven. Ook weergaven die geen seksuele gedragingen tonen maar wel een onmiskenbaar seksuele strekking hebben worden als kinderpornografisch beschouwd.

Virtueel kinderpornografisch materiaal, dat betrekking heeft op een visuele weergave waarbij een kind dat de leeftijd van achttien jaren nog niet heeft bereikt schijnbaar is betrokken, valt eveneens onder de reikwijdte van de strafbaarstelling. Vereist is dat het een realistische weergave van seksuele aard of met een onmiskenbaar seksuele strekking betreft (zie HR 8 december 2015, ECLI:NL:HR:2015:3483).

Cyber Security Beeld Nederland 2021

jjoerlemans

Deze blogpost is een samenvatting van het Cyber Security Beeld Nederland (CSBN) 2021. Het betreft de dingen die ik opvallend vond en belangrijk genoeg vond om te noemen, vanuit mijn interesse in cybercrime, cybersecurity & nationale veiligheid en het snijvlak daartussen. Aan het einde plaats ik wat observaties bij het rapport.

Cybercrime

“Cybercrime heeft een industriële omvang aangenomen. Zo domineerde de groep achter het Emotet-botnet meerdere jaren de markt van het verkrijgen en daarna doorverkopen van toegang tot slachtoffernetwerken aan onder meer ransomware-groepen. Tijdens een internationale opsporingsoperatie in 2021 om dit botnet uit de lucht te halen, onderkende de politie wereldwijd 1,75 miljoen geïnfecteerde IP-adressen, 36 miljoen gestolen inloggegevens en ruim 4 miljoen gecompromitteerde (bedrijfs)mailaccounts. Dergelijke slachtofferaantallen zijn geen uitzondering meer. Ransomware is daarbij uitgegroeid tot een cybercriminele goudmijn.

Met recht is ransomware dan ook een gamechanger te noemen voor het cybercriminele ecosysteem. Het heeft geleid tot cybercriminele groeperingen die enorm vermogend zijn geworden. Nadat het TrickBot-botnet eind 2020 goeddeels was neergehaald, zou de groep volgens gelekte interne communicatie in het jaar daarop 20 miljoen Amerikaanse dollar hebben geïnvesteerd in het herstellen en verbeteren van de aanvalsinfrastructuur en de bedrijfsvoering.

Vrijwel elke stap voor zowel het plegen als het beschermen van cybercriminaliteit wordt als dienst aangeboden. Het cybercriminele ecosysteem laat zich dan ook steeds meer kenschetsen als een volwassen, wereldwijde economische sector waar vraag en aanbod samenkomen op onder meer cybercriminele fora en waar rationele economische afwegingen worden gemaakt tussen investering, risico en rendement. Door deze dienstverlening is cybercriminaliteit toegankelijk voor een grote diversiteit aan daders

Vooral op ondergrondse, online platformen zoals gesloten cybercriminele fora, maar ook op zogeheten booter- en stressersites of Telegram-kanalen bieden zij hun producten en diensten aan.

Het merendeel van de ransomware-aanvallen kenmerkt zich als ‘Ransomware-as-a-Service’ (RaaS). Ransomware-ontwikkelaars vonden hierin een middel om hun malware op grote schaal te verspreiden, zonder zelf direct risico te lopen. RaaS biedt de afnemers van dit product de kans om ook zonder noemenswaardige programmeervaardigheden ransomware toe te passen op netwerken of systemen. Deze afnemers, ook wel affiliates genoemd, vallen onder de categorie van afhankelijke plegers. Voor elke geslaagde ransomware-aanval betalen zij de ransomware-ontwikkelaar een vast overeengekomen percentage van het betaalde losgeld.”

JJO: over ‘Operation Ladybird’ (persbericht NL Politie en van Europol) richting het Emotet botnet wordt nog het volgende interessante opgemerkt:

“Het in 2021 door de politie en het OM offline gehaalde Emotet-botnet bijvoorbeeld, besmette wereldwijd meer dan een miljoen systemen met aanvalsmethoden die niet heel geavanceerd waren. Veelal werden computers ongericht met spam besmet De volgende stappen in het aanvalsproces waren vaak wél gericht en geavanceerd.

De groep achter Emotet manifesteerde zich als dienstverlener door de toegang tot netwerken door te verkopen binnen een selecte klantenkring. Ergens in dit proces vond ook een vorm van triage plaats, waarbij de meest kapitaalkrachtige netwerken hoger werden ingeschaald.

De afnemers, in de zin van andere autonome groepen, konden vervolgens hun additionele malware (laten) plaatsen. Bijvoorbeeld TrickBot, die werd ingezet om de positie te consolideren en informatie te stelen. Uiteindelijk waren actoren met behulp van Ryuk-ransomware in staat om op deze netwerken gericht ransomware in te zetten op strategische plekken, waarbij men in staat was om op reële wijze in te schatten wat de maximale losgeldeis kon zijn. Het (dreigen met) het publiceren van de eerder gestolen data kon hierbij fungeren als extra drukmiddel.”

JJO: Ook de volgende bevinding vond ik opvallend:

“Ransomware-aanvallen hebben in zowel de Verenigde Staten als in de Europese Unie tijdens de coronapandemie ziekenhuizen, COVID-19-onderzoeksinstellingen en een distributiecentrum voor vaccins ernstig gehinderd”

Offensieve cyberoperaties van staten

JJO: Het CSBN 2021 windt er geen doekjes om:

“Cyberaanvallen door statelijke actoren zijn niet meer zeldzaam te noemen: ze zijn eerder het nieuwe normaal. Het gebruik van de digitale ruimte door statelijke actoren lijkt eerder toe dan af te nemen. Een voor de hand liggende verklaring daarvoor is dat de digitale ruimte nog steeds aan omvang en betekenis toeneemt en daarmee ook de mogelijkheden voor misbruik.

De digitale ruimte wordt door staten gebruikt om geopolitiek voordeel te behalen. Dit kan financieel-economisch voordeel zijn, het behartigen van binnenlandse politieke en veiligheidsbelangen, of het beïnvloeden van buitenlandse verhoudingen. Statelijke actoren kunnen hiervoor onder meer de volgende digitale middelen inzetten:

1. Beïnvloeding en inmenging (inclusief het verspreiden van desinformatie);

2. Spionage, waaronder economische of politieke spionage;

3. Voorbereidingshandelingen voor en daadwerkelijke verstoring en sabotage.

Nederland is doelwit van een offensief cyberprogramma van landen als Rusland en China. Zij kunnen de genoemde digitale middelen inzetten tegen een breed scala aan mogelijke doelwitten, van lokale verenigingen tot internationale veiligheidsorganisaties en van één individu tot diasporagemeenschappen. Volgens de AIVD blijft de dreiging van offensieve cyberprogramma’s tegen Nederland en de Nederlandse belangen onverminderd hoog en zal deze in de toekomst alleen maar toenemen.

Russische statelijke actoren hebben meermaals (succesvolle) digitale aanvallen uitgevoerd op een EU-lidstaat. Dit valt binnen het normbeeld van Russische statelijke actoren en de aanhoudende digitale (spionage)dreiging die daarvan uitgaat. Deze actoren voeren veelvuldig digitale aanvallen uit op onder andere EU- en NAVO-lidstaten

De Chinese digitale spionage actor APT31 heeft op grote schaal en langdurig politieke doelwitten in Europa en Noord-Amerika aangevallen. Ook in Nederland waren er doelwitten van aanvallen en verkenningsactiviteiten door deze actor. De interesse vanuit statelijke actoren voor dergelijke doelwitten illustreert het belang van goede beveiligingsmaatregelen en netwerkdetectie mogelijkheden voor Nederlandse overheidsnetwerken om aanvallen te detecteren, af te slaan en nader onderzoek mogelijk te maken.”

JJO: en elders staat nog over China:

“China is ongeëvenaard in de schaal waarop en de breedte waarin inlichtingen worden ingewonnen.”

“Groot is ook het aandeel van economische spionage, waarmee statelijke actoren bijvoorbeeld beogen de eigen concurrentiepositie te verbeteren of hoogwaardige kennis en technologie te bemachtigen zonder zelf de kosten voor research en development te maken. Exemplarisch hiervoor is de Chinese economische spionage, die zich vooral richt op technologiediefstal en voorkennis inzake voorgenomen investeringen.

Uit onderzoeken blijkt dat staten als China, Rusland en Iran offensieve cyberprogramma’s hebben, gericht tegen Nederland.176 Daaruit spreekt zowel de capaciteit als de intentie om in Nederlandse organisaties binnen te dringen. De cybercapaciteiten, kennis en expertise van China en Rusland zijn zelfs zo omvangrijk, dat de kans groot is dat zij slagen wanneer ze ergens digitaal binnen willen dringen.

Volgens gelekte documenten deed een Iraanse cyberorganisatie in 2020 onderzoek naar het hacken van industriële controlesystemen. De Iraanse onderzoekers schrijven dat ze nog niet genoeg inzicht hebben in de systemen om fysieke sabotage mogelijk te maken. Uit de documenten blijkt dat de cyberactoren specifiek zochten naar gebouwbeheersystemen, onder andere in Nederland. Dit zou passen binnen het beeld van de toenemende aandacht voor cybersabotage binnen Iran.”

Cybercrime & nationale veiligheid

JJO: Vorig jaar was één van de in het oog springende uitspraken van het CSBN dat ransomware de nationale veiligheid van Nederland bedreigde. Dit jaar zeggen ze hierover:

“Organisaties die digitaal worden aangevallen zijn veelvuldig het slachtoffer van ransomware. De inzet hiervan vormt een risico voor de nationale veiligheid als het gaat om de continuïteit van vitale processen, het weglekken en/of publiceren van vertrouwelijke of gevoelige informatie en de aantasting van de integriteit van de digitale ruimte. Vitale processen kunnen niet alleen zelf getroffen worden door ransomware, met alle gevolgen van dien, maar ook via leveranciersketens.

Dat is zeker het geval nu die aanvallen gepaard gaan met dubbele of zelfs drievoudige afpersing. Bij dubbele afpersing kunnen hackers na het versleutelen van bestanden dreigen met het publiceren van data als slachtoffers niet betalen. Bij drievoudige afpersing kunnen hackers via buitgemaakte gegevens ook klanten, partners en leveranciers van een getroffen organisatie een losgeldeis opleggen, in de hoop dat ook zij uit angst voor publicatie overgaan tot betaling.

Cybercriminelen zijn onverminderd in staat om omvangrijke schade toe te brengen aan digitale processen. Zij handelen vanuit financieel motief en hebben niet de intentie om de maatschappij te ontwrichten. Desondanks kunnen hun aanvallen zoveel impact veroorzaken dat ze nationale veiligheidsbelangen raken. De capaciteit van meerdere cybercriminele groepen is van gelijkwaardig hoog niveau als die van sommige statelijke actoren.

Statelijke actoren kunnen cybercriminelen inhuren, gedogen of onder druk zetten om cyberaanvallen op gewenste doelwitten uit te voeren. De relaties tussen staten en cybercriminelen kunnen ertoe leiden dat cybercriminelen een kant kiezen in geopolitieke conflicten. Recent illustreerde de oorlog in Oekraïne dit, toen cybercriminele groepen gelieerd aan Rusland waarschuwden tegenstanders van Rusland in het conflict digitaal aan te zullen vallen.

Hackerscollectieven kunnen ook een rol spelen in hybride conflictvoering, zoals in de oorlog in Oekraïne in 2022 het geval is. Het gevaar is dat de activiteiten van hacktivisten verkeerd geïnterpreteerd worden door landen die het slachtoffer worden van hun aanvallen, wat tot tegenreacties kan leiden. Ook kunnen statelijke actoren onder de vlag van hacktivisten opereren. Door verhoogde activiteit van hackersgroepen is de kans aanwezig dat Nederland (neven)schade ondervindt van digitale aanvallen. Indien hackers cyberaanvallen vanuit of via Nederland uitvoeren op buitenlandse doelwitten, kan Nederland ook getroffen worden door een tegenreactie. Ook Nederlandse ingezetenen kunnen deelnemen aan acties van hacktivisten en zo betrokken raken bij conflicten. Betrokkenheid bij een conflict elders door het plegen van digitale aanvallen kan onvoorziene consequenties hebben en is bovendien strafbaar.”

Food for Thought    

Het CSBN zit bomvol waardevolle informatie. Een groot deel meen ik inmiddels ook wel te herkennen uit de praktijk, input van de politie en OM en ik zie informatie terug uit jaarverslagen en publieke rapporten van de AIVD en de MIVD.

De ‘beleidshoofdstukken’, de lay-out (ongeveer de helft van rapport bestaat uit lege pagina’s en plaatjes), vaagtaalgebruik (“De dreiging die van statelijke actoren uitgaat, is niet van vandaag of gisteren, maar ontwikkelt zich al langer. Soms wordt ze diffuser, soms juist meer manifest” (??!) en veel herhaling spreekt mij minder aan.

Maar wat mij echt stoort als is dat hier en daar een voorbeeld uit een internationale context erbij wordt gehaald voor het Cyber Security Beeld Nederland en met cijfers wordt gegooid waarvan ik de betrouwbaarheid betwijfel. Denk bijvoorbeeld aan de volgende tekst:

“In april 2020 schatte Help Net Security naar aanleiding van een enquête onder meer dan 500 leidinggevenden binnen het internationale MKB in dat 46 procent van het MKB ooit slachtoffer was geweest van ransomware.”

En over de omvang van de schade van ransomware voor Nederland kunnen blijkbaar geen zinnige dingen worden gezegd. Lees bijvoorbeeld:

“De Conti-ransomwaregroep zou zelfs recent de beschikking hebben gehad over 2 miljard dollar aan virtuele valuta”. Vorige week verscheen nog een artikel in het FD waarin gesproken werd over honderden miljoenen dollars. Wat is het nu?

Verder wordt over de omvang van schade door ransomware gezegd:

“De totale economische schade van ransomware, in de zin van betaald losgeld, verlies aan bedrijfscontinuïteit, gevolgschade en herstelkosten van alle aanvallen bij elkaar opgeteld is moeilijk vast te stellen. (…) Het is niet bekend hoeveel de schade voor Nederland betreft. Deze blinde vlek heeft meerdere oorzaken.”

Maar het inschatten van de omvang lijkt mij juist wel een taak van een Nationaal Cyber Security Centrum. Of je laat daar als wiedeweerga onderzoek naar doen. Toch?

Ook vroeg ik mij af of hoe lang met het CSBN wordt doorgegaan. En hoe verhoudt het zich eigenlijk tot al die criminaliteitsmonitoren van het WODC en CBS? Zouden daar nog opties liggen of aanvullingen in liggen?

Of ben ik een te kritische lezer? Ach ja, wie weet zijn ze er volgend jaar wat voorzichtiger met welke (internationale cijfers) ze aanhalen.

iOCTA-rapport 2021

jjoerlemans

Op 11 november 2021 verscheen het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) (.pdf) rapport van Europol. In dit blogbericht geef ik een overzicht van de – naar mijn mening- meest opvallende bevindingen uit het rapport.

‘Grey infrastructure’

Het Europol rapport besteed vrij veel aan het fenomeen van ‘grey infrastructure’. Zij beschrijven dit als diensten die zich vaak bevinden in landen met sterke ‘privacywetten’ of met ‘een geschiedenis van niet-werken met internationale opsporingsautoriteiten’. Zij worden gebruikt door criminelen en er wordt mee geadverteerd op criminele forums.

Europol wijst erop dat ook legitieme diensten veelvuldig door cybercriminelen worden gebruikt voor hun eigen doelen van: veilig communiceren, anonimiteit en witwassen. Zij wijzen op apps met sterke end-to-end versleuteling. De hoeveelheid gebruikersgegevens en verkeersgegeven die daarbij over gebruikers wordt door de diensten wordt opgeslagen is gering, waardoor ook een geringe hoeveelheid gegevens kan worden gevorderd.

Europese opsporingsdiensten richten zich volgens het rapport steeds meer op diensten die cybercriminelen zoveel mogelijk beschermen van opsporingsdiensten. Recente voorbeelden zijn de ‘takedowns’ van ANON, Sky ECC, EncroChat, VPN-diensten en cryptocurrency mixers. Het zijn volgens Europol voorbeelden van ‘grijze infrastructuur’ waar cybercriminelen gebruik van maken. Interessant is ook de zin:

“Hoewel niet alle gebruikers van deze diensten per definitie criminelen zijn, is een dermate grote hoeveelheid van de activiteiten van de diensten crimineel, dat – nadat voldoende bewijs wordt gevonden van ‘crimineel misbruik’ – deze diensten als criminele organisaties te bestempelen zijn”.

Europol noemt de take down van ‘Double VPN’ en ‘Safe-Inet’ als voorbeelden hiervan, net als de ‘cryptophone-operaties’.  

Malware

Uit het rapport blijkt dat ransomware nog steeds het grootste probleem is op het gebied van cybercrime in enge zin. Net als vorig jaar zet de trend zich voort dat ransomware zich niet ongericht, massaal verspreid, maar wordt ingezet voor meer gerichte aanvallen op grote organisaties. Ook gebruiken cybercriminelen ander pressiemiddelen naast de versleuteling van gegevens, zoals het bellen van journalisten, klanten of zakelijke klanten van het slachtoffer over de aanval via VoIP-lijnen. Sommige ransomware-groepen publiceren gegevens van werknemers van de slachtoffers.

‘Conti’, ‘Maze’, en ‘Babuk’ zijn voorbeelden van ransomware die zich richten op grote organisaties. ‘Ryuk’ is berucht omdat het zich specifiek richt op organisaties binnen de gezondheidszorg. De cybercriminele organisaties achter ransomware lijken zich ervan bewust zich meer in de kijkers te hebben gespeeld van opsporingsorganisaties. Sommige organisaties beperken daarom hun ‘partners-in-crime’ in de aan te vallen doelen. ‘DarkSide’ heeft bijvoorbeeld aangekondigd geen vitale infrastructuur meer aan te vallen na de ‘Colonial Pipelines’-aanval en Sodinobiki (ook bekend als ‘REvil’) verbiedt aanvallen op sociale- en overheidsinstellingen.

Het cybercrime-centrum van Europol legt haarfijn uit dat geen individuele hackers achter ransomware zitten, maar hele organisaties. Doorgaans bieden de makers van de ransomware de software aan ‘klanten’ (Ransomware-as-a-service), waarbij de winst wordt verdeeld. Ook worden gecompromitteerde systemen verkocht aan anderen die de systemen vervolgens infecteren met de (ransom)malware naar keuze. Europol benadrukt dat opsporingsinstanties niet alleen achter de ‘eindgebruikers’ van de ransomware aan moeten gaan, maar zich moeten richten op de sleutelfiguren die malware via platformen verkopen, in internationaal gecoördineerde acties met andere opsporingsinstanties.

Ddos-attacks

‘DDoS-for-ransom’ lijkt terug van weggeweest. Cybercriminelen maken daarbij ook misbruik van de reputatie van bekende ‘Advanced Persistent Threats’ (APT’s), zoals ‘Fancy Bear’ en ‘Lazarus’, om de slachtoffers er sneller toe te bewegen het afpersgeld te betalen. De cybercriminelen richten zich op internet service providers (ISP’s), financiële instellengen (banken) en midden-en-klein bedrijven (de MKB-sector). Als het niet wordt betaald, leidt dat niet altijd tot de daadwerkelijke uitvoering van de ddos-aanval, hoewel in sommige gevallen het tot serieuze consequenties heeft geleid, zoals de aanval op de effectenbeurs van Nieuw-Zeeland.

Online kindermisbruik  

Over online seksueel misbruik viel het mij op dat grooming toeneemt op online gaming platformen (en uiteraard op sociale mediadiensten, maar dat is niet nieuw). Ook is de verspreiding van kinderpornografie via peer-to-peer platformen is volgens Europol significant toegenomen, terwijl het voor de normale internetgebruiker niet zo vaak meer lijkt te worden gebruikt. Darkweb websites zijn nog steeds een belangrijk platform voor verspreiding van afbeeldingen van online seksueel geweld. Als voorbeeld wordt het platform ‘Boystown’ genoemd, die offline is gehaald onder leiding van het Bundeskriminalamt (BKA) en opsporingsdiensten uit Australie, Canada, Zweden, de Verenigde Staten én Nederland. De website met kindermisbruik had meer dan 400.000 geregistreerde gebruikers.

Dark web-gebruikers maken daarnaast steeds vaker gebruik van ‘Wickr’ en Telegram als communicatiekanalen voor ‘Child Sexual Abuse Material’ (CSAM).

Helaas is de omzet van commerciële websites gericht op seksueel geweld tegen kinderen volgens Europol verdriedubbeld tussen 2017-2020. Voor betaling worden vaak cryptocurrencies gebruikt. Het komt voor dat daders direct minderjarigen betalen voor zelfgemaakt materiaal.

Europol probeert in de rapporten zoals elk jaar ook voorzichtig beleidsadvies mee te geven. Het meest opvallend vond ik dit jaar de boodschap dat ‘online undercover operaties steeds belangrijker worden in opsporingsonderzoeken naar cybercrime’. De reden is dat cybercriminelen steeds betere ‘operational security’ (OPSEC) aanhouden. Europol observeert dat het lastig infiltreren is op – met name – websites met materiaal van seksueel geweld, vanwege strikte toegangsregels en nationale regels van landen die beperkingen opleggen om op die websites te infiltreren. “The importance of undercover activities needs to be recognized”, aldus Europol. Daarbij wijs ik natuurlijk graag op mijn eerdere publicaties hierover (zie bijvoorbeeld het artikel ‘Facebookvrienden worden met de verdachte’). 

Hoofdstukken uit het boek ‘Cybercriminaliteit’ in open access beschikbaar

jjoerlemans

Op 1 november 2020 verscheen het Basisboek Cybercriminaliteit, onder redactie van Wytkse van der Wagen, Marleen Weulen Kranenborg en mijzelf. Het studieboek wordt veel gebruikt in vakken voor de opleiding criminologie bij verschillende Nederlandse universiteiten. Het boek verschaft ook basiskennis voor strafrechtstudenten en professionals uit de praktijk.

Nu de embargoperiode voorbij is, mag ik van Boom Uitgevers twee hoofdstukken publiekelijk beschikbaar stellen. Het gaat om de hoofdstukken ‘Verschijningsvormen van cybercriminaliteit’ (.pdf) en ‘Cybercriminaliteit en opsporing’ (.pdf).

De andere hoofdstukken, bijvoorbeeld over criminologische theorieën en cybercriminaliteit, daders, slachtoffers en interventiestrategieën zijn niet in open access beschikbaar, maar het boek is voor een schappelijke prijs beschikbaar bij uw boekhandel (of o.a. bol.com).

Als er vragen of opmerkingen zijn over het boek (en met name natuurlijk over de onderstaande hoofdstukken), dan hoor ik het graag per e-mail (te vinden op mijn UU-pagina). Wellicht volgt er volgend jaar een nieuwe druk waar we de opmerkingen in kunnen meenemen.

Inhoudsopgave

3             Verschijningsvormen van cybercriminaliteit

Jan-Jaap Oerlemans & Wytske van der Wagen

3.1 Inleiding

3.2 Cybercriminaliteit in enge zin

3.2.1 Hacken

3.2.2 Malware

3.2.3 Botnets

3.2.4 Ddos-aanvallen

3.3 Gedigitaliseerde criminaliteit

3.3.1 Internetoplichting

3.3.2 Online drugshandel

3.3.3 Witwassen en virtuele valuta

3.3.4 Online zedendelicten

3.4 Toekomstige ontwikkelingen

3.5 Tot besluit

3.6 Discussievragen

3.7 Kernbegrippen

Bijlage: Overzicht van relevante delicten

Citeerwijze:

J.J. Oerlemans & W. van der Wagen, ‘Verschijningsvormen van cybercriminaliteit’, p. 55-105 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek Cybercriminaliteit, Den Haag: Boom criminologie 2020.

Inhoudsopgave

7             Cybercriminaliteit en opsporing

Jan-Jaap Oerlemans

7.1 Inleiding

7.2 Het opsporingsonderzoek en normering van opsporingsmethoden

7.2.1 De organisatie van opsporing naar cybercriminaliteit in Nederland

7.2.2 De politie

7.2.3 Openbaar Ministerie

7.2.4 Rechterlijke macht

7.2.5 De IRT-affaire

7.2.6 Stelsel van normering van bijzondere opsporingsbevoegdheden

7.3 Het IP-adres als digitaal spoor

7.3.1 Het opsporingsproces bij een IP-adres als digitaal spoor

7.3.2 Het vorderen van gegevens

7.3.3 Inbeslagname en onderzoek op gegevensdragers

7.3.4 Regels voor de doorzoeking en inbeslagname van gegevensdragers

7.3.5 De netwerkzoeking

7.3.6 Online doorzoeking

7.4 Opsporingsmethoden en de uitdaging van anonimiteit

7.4.1 Proxy- en VPN-diensten

7.4.2 Tor

7.4.3 Openbronnenonderzoek

7.4.4 Undercover bevoegdheden

7.5 Opsporingsmethoden en de uitdaging van versleuteling

7.5.1 Versleuteling in opslag

7.5.2 Versleuteling in transport

7.5.3 De hackbevoegdheid

7.6 Jurisdictie en grensoverschrijdende digitale opsporing

7.6.1 Wetgevende jurisdictie

7.6.2 Handhavingsjurisdictie

7.6.3 Unilaterale digitale opsporing

7.6.4 Toekomstige ontwikkelingen van grensoverschrijdende digitale opsporing

7.7 Verstoring van cybercriminaliteit

7.8 Tot besluit

7.9 Discussievragen

7.10 Kernbegrippen

Bijlage: Overzicht van relevante dwangmiddelen en bijzondere opsporingsbevoegdheden

Citeerwijze:

J.J. Oerlemans, ‘Cybercriminaliteit en opsporing’, p. 195-258 in: W. van der Wagen, J.J. Oerlemans & M. Weulen Kranenbarg (red.), Basisboek Cybercriminaliteit, Den Haag: Boom criminologie 2020.

Basisboek Cybercriminaliteit

jjoerlemans

In het najaar van 2019 staken enkele criminologiedocenten hun koppen bij elkaar en vatten het plan op een boek te schrijven over cybercriminaliteit ten behoeve van het onderwijs. Dat leidde uiteindelijk tot het Basisboek Cybercriminaliteit van Wytske van der Wagen, Marleen Weulen Kranenbarg en mijzelf. Ook hebben enkele andere auteurs aan het boek meegewerkt en vanuit hun eigen expertise een mooie bijdrage geleverd. Het boek is vanaf 29 oktober 2020 verkrijgbaar via de website van Boom Uitgevers (met hoofdstuk 1 als voorproefje) of te bestellen via bol.com (37,50 euro).

In ons onderwijs over Cybercriminaliteit merkten we dat steeds een samenraapsel van artikelen en andere stukken bij elkaar moesten zoeken. Een samenhangend, actueel en overzichtelijk verhaal ontbrak. Dat is voor ons het motief geweest dit boek te schrijven. Het boek (300+ pagina’s) biedt inzicht in de verschillende verschijningsvormen en kenmerken van cybercriminaliteit, strafbaarstellingen, daders, slachtoffers, onderzoeksmethoden voor het online domein, het opsporingsproces en mogelijke interventies.

Persoonlijk ben ik in mijn nopjes over het eindresultaat! Het boek verschaft een uitstekend overzicht van de wetenschappelijke kennis op criminologische en juridisch gebied over cybercriminaliteit. Hoofdstuk 3 en Hoofdstuk 7 – die ik zelf hoofdzakelijk heb geschreven (ook op basis van eerder werk) – verschijnen beiden over één jaar in open access.

De combinatie van (inleiding van) techniek, criminologie en rechten werkt heel goed en ik ga het zeker gebruiken in mijn eigen (gast)colleges en cursussen. Verder wordt het in ieder geval dit jaar al gebruikt voor onderwijs op verschillende universiteiten, zoals de Erasmus Universiteit, de Vrije Universiteit Amsterdam en de Universiteit Leiden. Ik ga het uiteraard ook promoten bij mijn collega’s aan de Universiteit Utrecht.

Feedback is altijd welkom, dus jullie kunnen mij daarover altijd mailen. Wie weet verschijnt er t.z.t. wel een tweede druk!

Kamerbrieven over cybercrime en cybersecurity voorjaar 2020

jjoerlemans

Kamerbrief over ‘Citrix-problematiek en WRR-rapport over digitale ontwrichting

Op 20 maart 2020 heeft de minister van Justitie en Veiligheid de kabinetsreactie gestuurd op het rapport ‘Voorbereiden op digitale ontwrichting’ van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en een overzicht van de geleerde lessen van de Citrix-problematiek aan.

Het valt daarbij op dat de minister veel aanbevelingen dan de WRR niet overneemt of er slechts indirect op ingaat. De WRR beval bijvoorbeeld aan een ‘helder afgebakende wettelijke bevoegdheid voor digitale hulptroepen te creëren en de noodzaak van een aparte regeling voor overheidshandelen gericht op tegengaan van escalatie te onderzoeken’. Vervolgens wijst de minister op de al bestaande ‘nationale crisisstructuur’ en het ‘Nationaal Crisisplan Digitaal’ dat in februari 2020 is gepubliceerd, waar we waarschijnlijk uit moeten afleiden dat dit voldoende wordt geacht.

De WRR wees er ook op dat private dienstaanbieders vaak geen belang hebben in opsporing of attributie van aanvallen. De minister reageert daar indirect op door aan te geven dat ‘onder bestaande wettelijke kaders kan worden ingegrepen wanneer dit toch nodig is. Vakdepartementen hebben hierin bevoegdheden om in te grijpen op basis van sectorale wetgeving’.

Wel zegt de minister toe deze bevoegdheden in kaart te brengen zodat het gehele instrumentarium voor ingrijpen bij crises met digitale elementen inzichtelijk wordt en zodat kan worden bezien waar eventuele aanvullingen nodig zijn. Hierbij worden onder meer de ‘Coördinatiewet uitzonderingstoestanden’ en de ‘Wet buitengewone bevoegdheden burgerlijk gezag’ betrokken.

Verder is interessant dat de minister in de Kamerbrief melding maakt van een nieuw samenwerkingsplatform op het gebied van cybersecurity, waar op dezelfde fysieke locatie samengewerkt wordt door politie, OM, NCSC, de AIVD en de MIVD met als doel informatie over cyberdreigingen en incidenten bijeen te brengen en gezamenlijke analyses te verrichten.

De minister benadrukt een aantal keer in de Kamerbrief dat alle organisaties primair zelf verantwoordelijk zijn voor digitale weerbaarheid. Tijdens de Citrix-problematiek werd duidelijk dat er nog veel sectoren zijn die niet over een eigen computercrisisteam of samenwerkingsverband beschikken. Uiteindelijk moet elk bedrijf en organisatie ergens terecht kunnen voor informatie en advies. Deze moeten in beginsel worden opgericht door de sectoren zelf, aldus de minister.

Om de betrouwbaarheid van cybersecuritydiensten te borgen is een subsidie verstrekt ‘om te komen tot een risicomodel en een kwaliteitsregeling voor leveranciers van cybersecuritydiensten’.

Persoonlijk vind ik het nog lastig een mening te vormen over deze kabinetsreactie. In de lange formele brief lees ik tussen de zinnen door geen enthousiasme voor de aanbevelingen in het rapport en vraag ik mij af of de overheid nu voldoende een vuist kan vormen bij ernstige incidenten bij cybersecurity. Ook wordt tamelijk summier ingegaan op de Citrix-problematiek. Daarvoor zou ik meer onderzoek willen lezen om er echt een oordeel over te kunnen vormen.

Michel van Eeten (prof. cybersecurity aan de TU Delft) schreef laatst overigens ook mooi en een prikkelend stuk over het WRR-rapport en hoe de oplossing niet altijd moet worden gezocht in meer bevoegdheden of een nieuwe overheidsinstantie. Zeker het lezen waard!

 Kamerbrief over de aanpak van cybercrime door regionale eenheden van de politie

In opdracht van het ministerie van Justitie en Veiligheid heeft een onderzoeksbureau in februari 2020 een ontnuchterend rapport afgeleverd over de aanpak van cybercrime door regionale eenheden van de politie’. Het rapport vond ik punten toch schokkend. Met al het geld en investeringen die zijn vrijgemaakt voor de politie om cybercrime  beter te bestrijden, vallen de resultaten op regionaal niveau – uitgaande van dit rapport – mij tegen.

De belangrijkste verandering die in rapport wordt besproken is dat naast het Team High Tech Crime (THTC) sinds 2016 ook op regionaal niveau binnen de politie-eenheden aandacht gekomen in de vorm van acht gespecialiseerde ‘cybercrime teams’. Maar in de eenheid Den Haag en Oost Nederland bestaat dat nog niet uit 10 FTE, waardoor het formeel niet voldoende capaciteit heeft voor een ‘cyberteam’. In het rapport worden nogal wat problemen bij de cyberteams gesignaleerd. Ook gaat het bij de intake van cybercrime nog steeds niet goed, omdat misdrijven te vaak niet herkend en geregistreerd worden als cybercrime.

Het gaat überhaupt niet goed met de kennis en kunde over cybercrime bij de politie volgens de onderzoekers. In het rapport staat:

“voor de cyberteams in de onderzochte eenheden geldt dat er een grote behoefte is om de specialistische digitale kennis binnen de generieke opsporing te versterken. De dieptekennis op digitaal vlak is met name voorhanden bij de Landelijke Eenheid (THTC) en bij de teams digitale opsporing. De cyberteams werken regionaal en pakken landelijk nauwelijks zaken op, terwijl cybercrime uiteraard niet regionaal van aard is”.

Door de cyberteams wordt nu wel voor meer cybercrimezaken door het OM vervolgd, omdat meer zaken worden aangedragen. Het accent ligt daarbij op veel voorkomende cybercriminaliteit, zoals phishing. Maar in deze zaken komt men weinig tot een veroordeling van een verdachte, omdat cybercriminelen vaak buiten beeld blijven. Mede hierom wordt vaker ingezet op ‘barrières tegen digitale criminaliteit’. Dat gaat dan koste van capaciteit van de opsporing, vraag ik mij af? En is de toezicht op deze acties van de politie voldoende?

Door de aanpak van cybercrime met specifieke cyberteams blijft verder de expertise binnen de reguliere opsporing achter, zo signaleren de onderzoekers. Bij andere teams is er daardoor weinig aandacht voor de digitalisering van criminaliteit. Dat lijkt mij een ernstige probleem. Kijk ook naar de laatste cijfers van maart 2020 van het CBS over criminaliteit, waar wordt gesignaleerd dat traditionele criminaliteit daalt en cybercrime stijgt. Internet en computers faciliteren simpelweg bepaalde vormen van criminaliteit, zoals oplichting en zedendelicten. Sterker nog, zij transformeren deze vormen van criminaliteit waar de politie uiteraard op moet inspelen. De regering komt later dit jaar met een meer uitgebreide reactie over de aanpak van cybercrime.

Kamerbrief over aanpak van ‘pedohandboek’

In de Kamerbrief van 10 februari 2020 over de aanpak van het ‘pedohandboek’ dat circuleert op het darkweb, geeft de minister van Justitie en Veiligheid aan dat vervolging voor het verspreiden van teksten uit een pedohandboek reeds mogelijk is. Het vervaardigen, bezit of verspreiding van het handboek valt volgens de minister onder het delict opruiing (artikel 131 Sr e.v..).

Op dit moment brengt volgens het OM een zelfstandige strafbaarstelling van het pedoboek geen extra mogelijkheden voor opsporing en vervolging mee. Toch laat de minister verkennen wat de (wettelijke) mogelijkheden zijn om de verspreiding van het ‘pedohandboek’ als zelfstandig strafbaar feit aan te pakken. Hierover wordt de Tweede Kamer nog voor de zomer geïnformeerd.