Europol iOCTA report 2017

Posted on 06/10/2017 op Oerlemansblog

Europol brengt elk jaar het ‘internet organised threat assessment’ (iocta) rapport uit. Het rapport komt tot stand aan de hand van vragenlijsten aan politieorganisaties binnen de EU en door input van bedrijven. Het biedt een interessant en gedetailleerde inzicht in de actuele stand van cybercrime. Ook dit jaar sprak het rapport mij aan en daarom heb ik een samenvatting gemaakt van de belangrijkste bevindingen. Deze samenvatting wil ik de geïnteresseerde lezer natuurlijk niet onthouden.

Ransomware

Ransomware vormt volgens Europol de belangrijkste malware dreiging, gelet op de slachtoffers en de schade die het met zich meebrengt. Met ransomware wordt relatief eenvoudig geld verdiend. Door het gebruik van cryptocurrencies, zoals Bitcoin, zijn de verdiensten bovendien relatief eenvoudig wit te wassen. Naast Bitcoin worden ook Monero, Etherium en ZCash in toenemende mate door cybercriminelen gebruikt. ‘Kirk’ is de eerste ransomware, waarbij Monero werd gebruikt voor het losgeld (in plaats van Bitcoin).

Niet alleen individuen worden door cybercriminelen met ransomware aangevallen, maar ook ziekenhuizen, de politie en overheidsinstellingen. MKB-bedrijven worden steeds vaker aangevallen, mede vanwege hun beperkte budget om voldoende beveiligingsmaatregelen te nemen. Europol spreekt van een “explosie van ransomware” dat op de markt komt, waarbij sommige rapporten spreken van een toename van 750% in 2016 ten opzichte van 2015.

Information stealers

Information stealers’ vormen de op een na grootste bedreiging met betrekking tot malware. Het kost cybercriminelen aanzienlijk meer moeite de benodigde informatie te stelen (zoals financiële gegevens) en het is voor criminelen lastiger met deze malware geld te verdienen vergeleken met ransomware. In het rapport wordt terecht opgemerkt dat Europol een vertekend beeld krijgt van de malwaredreiging, omdat mensen vaak de gevolgen van het gebruik van malware rapporteren. De IT beveiligingsindustrie geeft daarom noodzakelijke input voor het rapport. Binnen deze industrie bestaat een meer volledig beeld van de dreiging.

Slechte beveiliging IoT-apparaten

Europol signaleert ook de dat zwakke beveiliging van Internet of Things-apparaten cyberaanvallen in de hand werkt. Het Mirai-botnet, dat werd gevormd door lekke en misbruikte IoT-apparaten, heeft in 2016 met een zeer sterke (d)DoS-aanval de Amerikaanse DNS-provider Dyn platgelegd, waardoor populaire diensten als Twitter, SoundCloud, Spotify, Netflix, Reddit en PayPal ongeveer 2 uur onbereikbaar waren. Denail-of-service aanvallen zijn eenvoudig uit te voeren. Een botnet die in staat is een denial-of-service aanval van 5 minuten op een webshop uit te voeren, kan slechts voor 5 dollar op websites worden gehuurd.

Kinderpornografie op internet

Kinderpornografie op internet blijft een groot probleem. Het aanbod, de verspreiding en vervaardiging van het materiaal lijkt niet af te nemen. Daarnaast worden enorme hoeveelheden kinderporno in beslag genomen. Volgens Europol zijn hoeveelheden 1-3 Terabyte niet ongebruikelijk met 1 tot 10 miljoen afbeeldingen met kinderpornografie. Peer-to-peer programma’s, zoals GigaTribe, worden nog steeds door kinderpornogebruikers misbruikt voor de verspreiding en het binnenhalen van kinderporno. Europol signaleert dat ook populaire apps en sociale mediadiensten in toenemende mate worden misbruikt.

Het is ook helder dat websites op het darkweb worden gebruikt voor toegang en verspreiding tot kinderporno. Het rapport haalt aan hoe de hack op het hosting bedrijf ‘Freedom Hosting II’ 10.000 darknet websites blootlegde, waarvan 50% kinderpornografische afbeeldingen bevatte. Deze websites zijn overigens vaak gespecialiseerd in kinderporno, omdat online marktplaatsen geen kinderporno accepteren. Zowel op het ‘Surface web’ als op het ‘dark web’ zijn er pay-per-view-diensten beschikbaar waarop kinderpornografische materiaal wordt aangeboden. Volgens Europol maken veel Westelingen gebruik van de diensten, waarbij vooral minderjarigen uit de Zuidoost-Azië en Afrika worden misbruikt. De opsporing van deze misdrijven wordt bemoeilijkt door het gebruik van gratis WiFi-diensten die bijvoorbeeld in de Filipijnen aan arme wijken worden aangeboden. Het is daardoor lastig op basis van het IP-adres de slachtoffers te identificeren.

Fraude met betaalkaarten

Het gebruik chipbetaalkaarten met de EMV-standaard is nog niet alle staten gemeengoed geworden. Betaalkaarten en betaalautomaten die niet van standaard gebruik maken, worden op grote schaal misbruik om fraude en andere delicten zoals de aankoop van drugs mee te plegen. In het rapport worden spectaculaire hacks beschreven waarbij pinautomaten of het systeem dat de pinbetalingen faciliteert worden gehackt, waarna de pinautomaten automatisch geld uitspuwen of geld tot een veel hoger bedrag (tot 200.000 euro) kan worden opgenomen. Verwezen worden naar de ‘Carnabak’-groep die in 2014-2015 op deze manier 1 miljard dollar buit heef gemaakt. Meer recent is volgens Europol de ‘Cobalt’-groep actief geweest met het infecteren van pinautomaten met malware om frauduleuze pinopnamen te doen binnen de Europese Unie, waaronder Nederland.

Groei darknet markets

In het rapport wordt veel aandacht besteed aan de groei van ‘darknet markets’. De online handelsplatformen op het darkweb zijn toegankelijk via Tor, I2P en Freenet, waarbij de illegale activiteiten zich nog voornamelijk via Tor afspelen. In juni 2017 had het Tor netwerk 2.2 miljoen actieve gebruikers en bevatte het bijna 60.000 unieke .onion domeinnamen. De gebruikmaking van deze diensten zijn nog niet de standaard geworden voor de distributie van illegale goederen. Maar de darknet markets groeien snel met een eigen klantenkring in de gebieden van illegale drugshandel, wapenhandel en kinderporno. Daarnaast worden ook veel persoonsgegevens, in het bijzondere gegevens over betaalkaarten en login gegevens voor online bankieren, op het dark web aangeboden. Volgens Europol maken de volgende drie factoren het gebruik van Tor voor criminelen aantrekkelijk: (1) een bepaalde mate van anonimiteit, (2) een diverse markt aan kopers die minder lijflijk risico lopen en kunnen betalen met cryptocurrencies en (3) een goede kwaliteit van producten die worden verkocht door aanbieders die worden beoordeeld op basis van reviews.

Encryptie en dataretentie belemmering de opsporing

Voor het tweede jaar achtereen geeft Europol in het rapport ook de boodschap af encryptie de opsporing voor cybercrime belemmert. Het maakt het aftappen van telecommunicatieverkeer minder effectief en belemmert digitaal forensisch onderzoek. Daarnaast is helder dat de onrechtmatig verklaring van de dataretentierichtlijn op 8 april 2014 door het Hof van Justitie van de EU een ‘aanzienlijke negatieve invloed’ heeft op de mogelijkheden van opsporingsautoriteiten om bewijsmateriaal veilig te stellen. In sommige lidstaten is nog steeds dataretentieregelgeving voor telecommunicatiedienstverleners (waaronder ISP’s) van kracht, maar veel andere EU lidstaten niet. Deze fragmentatie belemmert de internationale opsporing van cybercrime. Europol doet geen voorstellen tot maatregelen op dit gebied, wellicht omdat het te politiek gevoelig is, maar benadrukt de problematiek die het met zich meebrengt.

Gebruik van policeware in de Aydin C.-zaak

Posted on 17/07/2017 on Oerlemansblog

Vorige week heb ik mijn noot gepubliceerd die ik heb beschreven over de Aydin C.-zaak. De zaak is veelvuldig in het nieuws geweest vanwege de tragische afloop van Amanda Todd, nadat zij werd gechanteerd door Aydin C. met webcamopnamen. De rechtbank Amsterdam veroordeelt Aydin voor meer dan 10 jaar gevangenisstraf voor kinderporno en (poging tot) aanranding met betrekking tot 34 meisjes en één man voor afdreiging.

Vanuit juridisch oogpunt vond ik het echter interessanter hoe de rechtbank is omgegaan met het gebruik van een softwarematige keylogger bij de bewijsgaring in deze zaak. Dergelijke ‘monitoringssoftware’ wordt ook wel ‘policeware’ genoemd.

Mag een keylogger nu wel of niet worden gebruikt?

Al tijdens het verloop van de zaak kwam via de media naar buiten de politie een ‘keylogger’ had ingezet om bewijsmateriaal te verzamelen. Een keylogger registreert toetsaanslagen waardoor communicatie, maar ook inlognamen en wachtwoorden, kan worden afgevangen om nader te onderzoeken. Een keylogger kan zowel hardwarematig zijn als softwarematig.

Eerder had ik ook al in een interview aangegeven dat het gebruik van een hardwarematige keylogger volgens mij door de beugel kan. De wetgever heeft al 20 jaar geleden in de memorie van toelichting van de Wet bijzondere opsporingsbevoegdheden (Wet BOB) (p. 35-37) voldoende duidelijk gemaakt dat onder de bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv) het gebruik van een apparaatje (een ‘bug’), dat ook toetsaanslagen kan registreren, is toegestaan.

Mag policeware worden gebruikt?

De vraag is lastiger te beantwoorden of het gebruik van een softwarematige keylogger is toegestaan. De tekst van de wet zelf sluit niet uit dat software wordt gebruik bij de toepassing van de bijzondere opsporingsbevoegdheid van direct afluisteren. Gesproken wordt over een ‘technisch hulpmiddel’, dat tevens uit software kan bestaan. Dat is ook af te leiden uit het Besluit technische hulpmiddelen. Eerder heb ik betoogd dat de software in ieder geval niet door middel van een ‘hack’ kan worden geplaatst, omdat daarmee een geheel andere privacyinbreuk plaatsvindt dan wanneer een bug fysiek in een woning of andere plek wordt geplaatst zoals bij ‘direct afluisteren’ gebruikelijk is. De wet zou dan niet meer voorzienbaar zijn.

Het is echter de vraag of de software ook andere functionaliteiten mag hebben dan het afluisteren van communicatie, het registreren van toetsaanslagen en het registreren van muisklikken. Hoewel het vonnis moeilijk leesbaar is, wordt interessante informatie gegeven over het gebruik van dergelijke software door de politie. Zo wordt onder andere gesteld dat via een softwarepakket ‘vinkjes’ kunnen worden aangezet om van bepaalde functionaliteiten van de afluistersoftware gebruik te maken. Uit het vonnis van de rechtbank blijkt ook dat gebruik is gemaakt van een screenshotfunctionaliteit. Is deze toepassing dan nog voorzienbaar is op basis van bestaande wetgeving?

Pas als de Wet computercriminaliteit III door de Eerste Kamer wordt aangenomen en de wet van kracht wordt, mag een softwarematige keylogger met andere functionaliteiten (waaronder ook het maken van screenshots, het vastleggen van identificerende gegevens, het aanzetten van een camera, en eventueel het aanzetten van een GPS-signaal) worden gebruikt. Deze software mag dan ook op afstand via een hack worden geïnstalleerd op de computer van de verdachte op basis van de voorgestelde nieuwe hackbevoegdheid in artikel 126nba Sv.

Mogelijkheden voor de verdediging

De verdediging voerde tal van verweren in de Aydin C.-zaak. In mijn noot heb ik aandacht besteed aan de mogelijkheid van de verdediging om tijdens de zitting na te gaan welke functionaliteiten van de software precies gebruik is gemaakt. Ik begrijp het standpunt van de politie en het Openbaar Ministerie dat het type software – of zelfs de broncode – niet wordt vrijgegeven aan de verdediging. Daarmee breng je namelijk het toekomstig gebruik van de software in strafzaken door opsporingsinstanties in gevaar. De verdediging moet echter wel de mogelijkheid hebben om het gebruik van de software achteraf – desnoods tijdens de zitting – te controleren. Nagegaan moet worden of niet meer functionaliteiten van de software zijn gebruikt dan de officier van justitie als het goed is in zijn bevel voor inzet van de bevoegdheid heeft aangegeven. In deze zaak werd het verweer geadresseerd door één deskundige van te politie te horen, waarbij ik de zorg om onafhankelijkheid goed begrijp.

Als de Wet computercriminaliteit III wordt aangenomen kan de verdediging het gebruik van de software beter controleren. De verdediging kan de rechter verzoeken tot nader onderzoek van de gelogde gegevens. De rechter kan dit ook overigens ook ambtshalve beslissen. Staatssecretaris Dijkhoff heeft in de nota naar aanleiding van het verslag aangegeven dat dit mogelijk is. Daarnaast wordt de waarborg ingebouwd dat de Inspectie Veiligheid en Justitie het gebruik van de software bij de politie controleren. Dit zijn twee zeer welkome waarborgen ten opzichte van de bestaande situatie.

Investigating Cybercrime

Posted on 15/02/2017

On 10 January 2017, I successfully defended my PhD thesis ‘Investigating Cybercrime’. In this blog post, I would like the share my main research results.

Cybercrime investigations

My study shows that in cybercrime investigations, evidence is often gathered by following the two digital leads of IP-addresses and nicknames. I explain how evidence is gathered, based upon these leads. In cybercrime investigations, law enforcement officials often encounter the three challenges of anonymity, encryption and jurisdiction. These challenges can leave law enforcement officials empty-handed in certain circumstances.

However, law enforcement officials can use digital investigative methods to deal with these challenges. The following four investigative methods are identified and further analysed in the study: (1) gathering publicly available online information, (2) issuing data production orders to online service providers, (3) applying online undercover investigative methods, and (4) performing hacking as an investigative method.

Regulating digitale investigative methods on a national level

On a national level, my research shows that the identified digital investigative methods are not regulated in a foreseeable manner in the Netherlands. The reason is that the scope and manner in which investigative methods are applied are not sufficiently clear. In addition, I argue that the quality of the law for certain investigative methods is not adequate. The main and concrete results of my analysis are as follows:

  • The manual and automated gathering of publicly available online information should be regulated in detail, outside criminal procedural law. These regulations should indicate how data protection regulations should be applied in a concrete manner when these digital investigative methods are used.
  • The regulations for undercover investigative methods (both online and offline) should be improved by incorporating supervision by an investigative judge.
  • A warrant requirement should apply for obtaining traffic data and content data from online service providers. The category of ‘content data’ should be defined more clearly by the legislator or Public Prosecution Service.
  • Regulating hacking as an investigative power is necessary. The proposal to regulate this investigative method in the Computer Crime Act III is adequate. However, the investigative power is formulated in a rather broad manner and the legal consequences of its application to ‘disrupt cybercrime’ are uncertain.

Regulating digital investigative methods on an international level

On an international level, my research shows that the application of digital investigative methods are not sufficiently taken into consideration in mutual legal assistance treaties. States should realise and take into consideration that unilateral cross-border digital evidence-gathering activities already take place.

The application of digital investigative methods can endanger both State sovereignty and the legal certainty of individuals in certain circumstances. At the same time however, I argue that unilateral cross-border digital evidence-gathering activities should be permissible in certain circumstances. Ideally, States agree on what terms these evidence-gathering activities are allowed and protect the right and freedoms of the individuals involved in mutual legal-assistance treaties or on an ad-hoc basis. In the meantime, States should create a policy for their law enforcement authorities to determine under which circumstances unilateral cross-border digital evidence-gathering activities are allowed. I provide recommendations about these restrictions for the Dutch legislator.

Finally, I would like to say that it has been a pleasure performing research as a PhD Candidate at Leiden University. I will continue to do research in cybercrime, cybersecurity, digital investigations and privacy in the future.

This is a cross-post from LeidenLawBlog. My book is also commercially available at bol.com (among others).

Artikel Toxbot-zaak

Posted on 20/05/2011 op Oerlemansblog

Op 22 februari 2011 heeft de Hoge Raad een opmerkelijk arrest gewezen in de Toxbot-zaak. De meest opvallende aspecten uit het arrest is de gelijkstelling van het besmetten van computers met malware aan het delict computervredebreuk en de extensieve interpretatie van het delict
computersabotage. Samen met Bert-Jaap Koops heb ik hier artikel voor het Nederlands Juristenblad over geschreven. Het is artikel hier te downloaden. Eerder heb ik al een blogbericht over deze zaak geschreven.

In ons artikel stellen wij dat de Hoge Raad met het arrest de samenleving een slechte dienst heeft bewezen. Het besmetten van computers met malware, strafbaar gesteld in artikel 350a lid 3 Sr, wordt volgens ons onterecht gelijk gesteld aan het delict computervredebreuk zoals strafbaar gesteld in artikel 138ab Sr. Wel is er volgens ons sprake van computervredebreuk op het moment dat een de besmette computer contact maakt met een command-and-control server dat een botnet aanstuurt of via een ‘achterdeurtje’ toegang wordt verschaft tot de computer van de verdachte. In de praktijk zal dat meestal het geval zijn.

Misschien nog wel belangrijker is de interpretatie van de Hoge Raad van artikel van artikel 161sexies Sr (computersabotage). Op zich zijn wij het er mee eens dat internetbankieren en het verrichten van transacties via online betalingsdiensten als PayPal als een dienst van vitale infrastructuur kan worden aangemerkt. Wanneer internetbankieren door een DDoS-aanval wordt verstoord en mensen niet meer online transacties kunnen uitvoeren, kan artikel 161sexies Sr daarom van toepassing zijn. De mogelijkheid bestaat echter ook dat de vitale dienst door de aanval niet wordt verstoord, omdat bijvoorbeeld een voorlichtingswebsite wordt aangevallen. Volgens de Hoge Raad zou artikel 161sexies Sr in dat geval nog steeds van toepassing zijn. Onzes inziens is artikel 161sexies Sr alleen van toepassing wanneer een website van een dienst van algemene nutte wordt aangevallen waardoor gevaar ontstaat dat de vitale dienst niet meer kan worden verleend.

Sterker nog, volgens de Hoge Raad zou artikel 161sexies Sr niet alleen gaan om de dienstverlener die ernstige hinder van het misdrijf ondervindt, maar om een substantieel aantal gebruikers ervan. Wanneer een substantieel aantal mensen besmet zijn met een bepaalde variant van malware
dat zich bijvoorbeeld op banken richt en hierdoor niet meer veilig kunnen internetbankieren bij een bepaalde bank zou artikel 161sexies óók van toepassing kunnen zijn. Artikel 161sexies Sr beschermt volgens ons tegen de nadelige effecten die optreden indien de infrastructuur van de dienstverlener wordt vernield of beschadigd, en dient niet ter bescherming van de vertrouwelijkheid en integriteit van de computer van de dienstafnemers. Naar onze mening wordt het artikel in deze variant daarom veel te extensief geïnterpreteerd.

Het arrest komt de rechtszekerheid niet ten goede. De kans bestaat dat de vreemde redenatie van de Hoge Raad in de toekomst door rechters wordt omzeild of teruggedraaid, waardoor vervolgingen kunnen stuklopen. Het is belangrijk dat het OM en de rechterlijke macht precies zijn in de toepassing van de verschillende delicten op een feitencomplex zoals in de Toxbot-zaak. Door de extensieve interpretatie vindt een onwenselijke verwatering in het onderscheid tussen de verschillende typen delicten plaats.  

(Citeertitel: J.J. Oerlemans & E.J. Koops, ‘De Hoge Raad bewijst een slechte dienst in high-tech-crimezaak over botnets’, Nederlands Juristenblad 2011, vol. 86, nr. 18, pp. 1181-1185).

High Tech Crime in de polder

Posted on 23/02/2011 op Oerlemansblog

Op 22 februari 2011 is het arrest (ECLI:NL:HR:2011:BN9287) van de Hoge Raad uitgebracht inzake de ‘Toxbot-zaak’. De Hoge Raad vernietigd het vonnis van het Hof Den Haag en het gerechtshof zal opnieuw uitspraak moeten doen. De zaak is interessant omdat het ‘high tech crime’ gaat, duidelijkheid verschaft over de toepasselijkheid van het delict ‘computervredebreuk’ met betrekking tot de verspreiding van malware (artikel 138ab Wetboek van Strafrecht (hierna: Sr)) en duidelijkheid geeft over het delict ‘computersabotage’ (artikel 161sexies Sr).   

De feiten

De verdachte heeft tussen 1 juni 2005 tot en met 4 oktober 2005 een virus verspreid, bekend onder de naam ‘Toxbot’. Het virus kon zich over andere nog niet geïnfecteerde computers verspreiden (het was dus eigenlijk een worm, maar goed). Op een bepaald moment waren 50.095 computers besmet en deze vormden samen een botnet (een netwerk van besmette computers) die op afstand via een command-and-control server aangestuurd konden worden. De Toxbot-malware had bovendien een ‘keylogger-functionaliteit’ waarmee toetsaanslagen (en dus ook wachtwoorden) konden worden afgevangen.

De besmette computers konden tevens de opdracht gegeven worden een bepaalde Trojan (Wayphisher) te downloaden en installeren. Na besmetting met deze nieuwe malware werden de besmette computergebruikers omgeleid naar een andere website (phishing-site) omgeleid en hun financiële gegevens (rekeningnummer, wachtwoorden, etc.) doorgegeven aan de verdachte, in dit geval de bestuurder van de command-and-control server (ook wel ‘botnet herder’ genoemd). Tenslotte kunnen botnets de opdracht worden gegeven een bepaalde website aan te vallen waardoor een webserver overbelast raakt en offline gaat (een ‘Distributed Denial of Service aanval’ oftwel DDoS-aanval). Maar in de onderhavige zaak is niet duidelijk of die uitgevoerd zijn met het botnet.

Het arrest gaat tamelijk diep in op hoe de malware de computers besmette en de functionaliteiten daarvan. Zaken zoals het onderhavige komen niet vaak voor en dat is best leuk om eens te lezen. Ook wordt in het arrest duidelijk dat belangrijk bewijsmateriaal is verzameld via een internettap, wat nog een tamelijk nieuwe opsporingsmethode is. Met de tap zijn namelijk belastende chatgesprekken van de verdachte afgevangen.  

Het oordeel

De vraag die in het arrest wordt beantwoord is in essentie of bij het infecteren van computers met bepaalde malware ook eventueel het delict computervredebreuk van artikel 138ab Sr ten laste kan worden gelegd. Dat is niet vanzelfsprekend, want het kan gaan om enorm veel computers en er wordt niet heel bewust in één bepaalde computer bijvoorbeeld met gestolen inloggegevens ingebroken en vervolgens overgenomen om andere delicten te plegen. Het is daarom de vraag of opzettelijk en wederrechtelijk wordt ‘binnengedrongen in een geautomatiseerd werk’ en met welke ‘technische ingreep’ dat gebeurt. Daarnaast wordt de vraag beantwoord of bij het onbruikbaar maken van computers die een dienst van algemene nutte afnemen artikel 161sexies lid 1 onderdeel 2 Sr van toepassing is.  

De Hoge Raad oordeelt dat het plaatsen van malware op een computer computervredebreuk kan zijn. De computer maakt na besmetting onderdeel uit van een botnet en kan door de dader worden aangestuurd. Een ‘geautomatiseerd werk’ (de computer) wordt namelijk tegen de wil van de rechthebbende (de slachtoffers) binnengedrongen door middel van een technische ingreep die bestond ‘alle handelingen die nodig waren voor de verspreiding van het virus’. Daarmee maakt de verdachte zich schuldig aan computervredebreuk en de gekwalificeerde vorm daarvan als bedoeld in artikel 138ab lid 3 Sr.   

Het oordeel is in zoverre belangrijk dat nu duidelijk is dat het besmetten van computers met bepaalde malware en daarna het misbruiken van die computers via een botnet een gekwalificeerde vorm van computervredebreuk kan opleveren waar hoogstens 4 jaar gevangenisstraf op staat. Naast computervredebreuk is overigens ook gewoon artikel 350a (lid 1 of lid 3) Sr van toepassing (zie ook dit blogbericht over de (D)DoS-aanvallen van Anonymous).   

Ten tweede wordt door het arrest duidelijk dat een website van een bank, online betalingsdienst als PayPal, veilingwebsite als Ebay en creditcardmaatschappijen een ‘dienst van algemene nutte’ kunnen aanbieden. Het platleggen van een dergelijke website met een DDoS-aanval kan bijvoorbeeld het delict ‘computersabotage‘  uit artikel 161sexies Sr constitueren, maar ook het ontnemen van de mogelijkheid van een substantieel aantal afnemers om van deze diensten om van een dergelijke dienst (het internetbankieren) behoorlijk gebruik te maken kan artikel 161sexies lid 1 onderdeel 2 Sr constitueren. In dat opzicht wijkt het arrest van de Hoge Raad af van de conclusie van Advocaat-Generaal Knigge (zie paragraaf 35).  

In artikel 161sexies Sr wordt volgens de Hoge Raad namelijk geen onderscheid gemaakt tussen de computers van de afnemer van een dienst ten algemene nutte en de computers van de dienstverlener. Op dit punt heeft het Hof Den Haag dus verkeerd geoordeeld en zal dus nogmaals uitspraak moeten doen. De dader heeft zich dus waarschijnlijk schuldig gemaakt aan artikel 161sexies lid 1 onderdeel 2 Sr door computers te besmetten met de Wayphisher-trojan en het gebruikmaken van de keylogger-functionaliteit van de Toxbot-malware. De slachtoffers konden hierdoor namelijk niet meer op een behoorlijke manier gebruik maken van de diensten van de banken.  

Overigens is het met betrekking tot de (D)DoS-aanval interessant dat dit weekend blijkbaar een dergelijke aanval op de website van de Rabobank is uitgevoerd (zie dit bericht en dit bericht op Nu.nl). Het is nu in elk geval duidelijk dat de dader voor artikel 161sexies Sr vervolgd kunnen worden. Op artikel 161sexies lid 1 onderdeel 2 Sr staat een maximale gevangenisstraf van zes jaar. 

Conclusie

Het arrest is opvallend. Niet alleen omdat het om een zeldzame ‘high tech crime’-zaak gaat, maar ook omdat het duidelijkheid verschaft over welke gedragingen het delict computervredebreuk en computersabotage constitueren. Het aanvallen van een bankwebsite via een (D)DoS-aanval kan dus een behoorlijke straf opleveren ook al wordt de website van de dienstverlener zelf niet verstoord.