Cybercrime jurisprudentieoverzicht – december 2018

Posted on 14/12/2018 op Oerlemansblog

De Rechtbank Groningen en Den Haag en het parket Noord-Holland hebben in november en december 2018 een themazitting cybercrime gehouden. Daarop volgende ook enige media-aandacht.

Wat een goed initiatief! Door dit soort themazittingen krijgen rechters en andere betrokken organisaties in de strafrechtketen meer ervaring met cybercrime. Het laat ook zien dat cybercrime een veel voorkomende vorm van criminaliteit is, dat ook via het reguliere strafrecht moet worden aangepakt (zeker voor zover het gaat om gedigitaliseerde criminaliteit (cybercrime in brede zin)).

Hieronder volgt een overzicht van cybercrimezaken die in mij in de afgelopen maanden opgevallen. Daarbij geef ik dit keer ook speciaal aandacht aan de digitale bewijsvoering in deze zaken (voor zover relevant).

1.     Aankoop van semtex via AlphaBay

De Rechtbank Amsterdam heeft op 23 augustus 2018 een man veroordeeld voor het bezit van vuurwapens. De zaak is echter vooral interessant vanwege de verweren van de raadsman van de verdachte.

De advocaat voert in deze zaak ter verdediging aan dat sprake was van uitlokking, omdat het dossier sterke aanwijzingen bevat dat de FBI zelf actief heeft geprobeerd om (nep)semtex te verkopen en hiertoe afspraken met de verdachte heeft gemaakt. De rechtbank verwerpt het verweer en legt uit dat van uitlokking pas sprake is als de verdachte door het handelen van de FBI tot andere handelingen is gebracht dan die waarop zijn opzet al was gericht. Hiervoor zijn geen aanwijzingen in het dossier. Interessant is ook de overweging:

“Hoewel de rechtbank net als de verdediging best wil aannemen dat de FBI als pseudo-verkoper van de semtex heeft gefungeerd, is daarmee niet zonder meer aannemelijk dat de FBI de koper ‘[naam]’ heeft gebracht tot handelen waar zijn opzet niet reeds op was gericht. In de beperkte informatie die de FBI heeft doorgegeven staat immers vermeld dat het onderzoek ermee is gestart dat deze [naam] op AlphaBay een verzoek had geplaatst om onder meer semtex te kopen. Ook de overige informatie van de zijde van de FBI wijst niet op het wekken van de interesse van [naam] voor het kopen van semtex.”

Ook merkt de rechtbank nog op dat ‘is gesteld noch gebleken’, dat het openbaar ministerie enige rol had bij of invloed had op het handelen van de FBI. Het bewijs uit het buitenland mag daarom worden gebruikt in het strafproces.

De verdachte wordt vrijgesproken van het medeplegen van voorbereiding van moord, doodslag, diefstal met geweld of brandstichting, omdat niet met voldoende bepaaldheid is gebleken welk crimineel doel verdachte met dat pakketje voor ogen had. Voor het bewijs dat de ten laste gelegde voorwerpen ‘bestemd waren tot het begaan van dat misdrijf’moeten namelijk ook de contouren van het (feitelijk) te plegen misdrijf blijken. In deze zaak ontbraken de contouren van het feitelijk te plegen misdrijf en kon dit niet door de officier van justitie worden aangetoond. De rechtbank verwijst hier naar het arrest HR 28 januari 2014, ECLI:NL:HR:2014:179. De verdachte wordt tot drie maanden gevangenisstraf veroordeeld voor het illegale bezit van vuurwapens.

2.     Afdreiging na reactie op advertenties sekswebsites

De Rechtbank Amsterdam heeft op 12 november 2018 een aantal verdachten veroordeeld voor het medeplegen van afdreiging en gewoontewitwassen door misbruik van advertenties op sekswebsites.

De zaken in het onderzoek ‘13Malone’ richten zich tegen zeven verdachten. De verdachten pleegden afdreiging door mannen die reageerden op de door hen geplaatste advertenties te chanteren. Er is geen sprake van het delict ‘afdreiging’, om dat de verdachten niet voldoende concrete bedreigingen met geweld naar de slachtoffers hebben gestuurd.

De verdachte ging met zes medeverdachten als volgt te werk. De verdachten plaatsen een seksadvertentie op de websites speurders.nl, kinky.nl en sexjobs.nl. Nadat een slachtoffer heeft gereageerd op een seksadvertentie wordt met deze persoon contact gelegd door iemand die zich voordoet als een vrouw/prostituee. Er volgt een uitwisseling van seksueel getinte berichten en er wordt soms om een naaktfoto van het slachtoffer gevraagd waar zowel het hoofd als het geslachtsdeel van de man op staat. Intussen worden er – vermoedelijk aan de hand van het telefoonnummer van het slachtoffer via Facebook – namen van het slachtoffer en personen uit zijn omgeving achterhaald.

Dan veranderen de verdachten de berichten van toon en komt ‘de pooier’ aan het woord. Het slachtoffer moet geld betalen om bekendmaking van zijn ‘schaamtevolle’ gedrag aan de met naam genoemde personen uit zijn omgeving te voorkomen. De slachtoffers ‘moeten er van leren dit niet meer te doen’. De slachtoffers moeten vervolgens geld overmaken naar een bankrekeningnummer waarbij vaak dezelfde tenaamstelling wordt genoemd. Het geld moet door het slachtoffer snel worden overgemaakt en er moet een screenshot als bewijs van de betaling worden verzonden. Het bedrag dat op de rekening wordt gestort wordt daarna snel in cash opgenomen. De verdachten hebben de ontvangen bedragen daarmee ook witgewassen. Een aantal verdachten zijn slechts veroordeeld voor het witwassen, omdat hun betrokkenheid bij de afdreiging niet kon worden bewezen. Als slachtoffers hebben betaald, worden zij gedwongen steeds opnieuw te betalen. De bedreigingen houden overigens uiteindelijk op als de slachtoffers niet betalen of daarmee stoppen.

Interessant is ook dat de rechtbank opmerkt dat er vanwege de lage aangiftebereidheid van het delict waarschijnlijk veel meer zaken spelen, waar deze modus operandi van de criminelen wordt gebruikt. Op de mobiele telefoon van één van de verdachten stonden 4780 seksgerelateerde berichten uit de periode van 1 tot 11 december 2016. Dat vormt volgens de rechtbank mogelijk een aanwijzing voor de daadwerkelijke omvang van de criminele praktijken van de verdachten. Ook stonden honderden verdachte transacties op de bankrekeningen van de verdachten van in totaal ruim € 56.000, waarvan slechts een klein deel aan de acht aangevers is te linken. De rechtbank beschouwt de acht beschikbare aangiftes als één feitencomplex. In onderlinge samenhang bezien, blijkt uit de bewijsmiddelen dat er diverse dwarsverbanden zijn als het gaat om gebruikte IP-adressen, gebruikersaccounts, telefoonnummers en bankrekeningen. Die onderlinge verwevenheid vormt één feitencomplex. Daarbij wordt in de zaken weliswaar een wisselende combinatie gebruikt van telefoonnummers, e-mailadressen, de bankrekeningnummers van verdachten en/of IP-adressen, maar vindt de afdreiging veelal in dezelfde bewoordingen plaats.

Met betrekking tot de bewijsvoering is relevant dat de politie onderzoek heeft gedaan bij de exploitant van de site Kinky.nl. De website-exploitant heeft in de eigen systemen gezocht op de gebruikte telefoonnummers en bankrekeningnummers in verschillende combinaties. Bij navraag blijkt dat op de rekeningen van de verdachten meer dan 10.000 euro aan verdachte transacties is te vinden. De verdachte transacties zijn betalingen waarbij de betaler geen bekende relatie heeft met de houder van de bankrekening. Verder is hierbij relevant de frequentie van de bijschrijvingen op de betreffende rekening en de omschrijving die daarbij staat vermeld. Uit onderzoek bij de exploitant van sexjobs.nl heeft de politie twee IP-adressen kunnen afleiding die op naam van de verdachten staan.

Tijdens een huiszoeking zijn de mobiele telefoons van de verdachte in beslag genomen. Op deze telefoons stond het (veelzeggende bewijsmateriaal) van ‘een groot aantal voor verdachten belastende berichten, seksadvertenties, screenshots van bankoverschrijvingen en (naakt)foto’s’. Op de telefoon van een andere verdachte zijn screenshots aangetroffen van diverse profielen en de contactenlijsten van deze profielen afkomstig van Facebook. Verder is gebleken dat meerdere van de telefoonnummers gebruikt zijn in de telefoons van de medeverdachten. Op de telefoon van één van de verdachten zijn onder andere de gebruikersaccounts voor de websites kinky.nl en sexjobs.nl aangetroffen.

De verdachte in de ondergenoemde zaak is minderjarig en wordt veroordeeld tot 300 dagen jeugddetentie (waarvan 233 voorwaardelijk). Ook krijgt hij een taakstraf van 200 uur opgelegd en moet hij een schadevergoeding betalen.

3.     Sextortion van minderjarige meisjes

Het Hof Den Haag heeft op 1 november 2018 arrest gewezen in een sextortion-zaak. Door middel van een bekende modus operandi deed de online zedendelinquent zich voor als een scout van een modellenbureau. De verdachte zocht via sociale media contact met de meisjes, met de vraag of zij foto’s wilde sturen. Als bevestiging dat zij benaderd waren door het modellenbureau), werd er een e-mail gestuurd met een e-mailadres van het modellenbureau.

De meisjes hebben van zichzelf foto’s verstuurd naar een de verdachte die gebruik maakte van het pseudoniem ‘Manisha’, waarbij sommige meisjes ook naaktfoto’s versturden. De verdachte eiste meer naakfoto’s van de slachtoffer onder dreiging van het publiceren (‘exposen’) van de naakfoto’s via een instagramaccount. Ook dwong hij sommige slachtoffers de app ‘Snapchat’ te installeren op hun mobiele telefoons. Via Snapchat zijn normaliter foto’s en video’s na enkele seconden niet meer zichtbaar. Diverse aangeefsters dachten daardoor ook dat zij bij verzending van foto’s weinig risico op verdere verspreiding liepen. De verdachte gebruikte echter een specifieke applicatie (‘Mobizen’) waarmee hij deze foto’s en video’s wel direct vanaf het scherm van zijn smartphone kon opslaan. Op de inbeslaggenomen gegevensdragers van de verdachte is tevens een grote hoeveelheid kinderporno gevonden.

De verdachte is veroordeeld tot 250 dagen jeugddetentie en een bijzondere maatregel met controle door jeugdreclassering, onder meer wegens het bezit van kinderporno, oplichting, en afpersing.

De zaak is in het bijzonder ook interessant vanwege de uitgebreide digitale bewijsvoering. De politie heeft op 2 juni 2016 een e-mail gestuurd aan één van de vermelde e-mailadressen in de aangifte van sextortion naar ‘Manisha’. Of de politie de e-mail onder dekmantel heeft gestuurd en een bijzondere opsporingsbevoegdheid heeft ingezet blijft onduidelijk door de summiere informatie die hierover wordt verschaft. Nadat de verdachte de e-mail heeft geopend, werd het IP-adres van de verdachte zichtbaar voor de opsporingsambtenaren. Het IP-adres kon worden gekoppeld aan het woonadres van de verdachte. Hetzelfde IP-adres heeft de verdachte gebruikt bij het aanmaken van het Instagramaccount van ‘Manisha’ ook toe aan het woonadres van de verdachte. Bovendien behoorde het telefoonnummer dat bij het aanmaken van het Instagramaccount is opgegeven tevens toe aan de verdachte. Het telefoonnummer behoorde toe aan de inbeslaggenomen telefoon van de verdachte, waarmee is ingelogd op het instagramaccount.

Uit het onderzoek naar de inbeslaggenomen telefoon is gebleken dat mailapplicatie geconfigureerd was voor de eigenaar van het modellenbureau. Daaruit blijkt dat de verdachte over de mailaccounts van het modellenbureau kon beschikken en uit naam daarvan e-mails on uitsturen. Enkele naaktfoto’s en snapchatberichten met de slachtoffers zijn tevens op de inbeslaggenomen mobiele telefoon gevonden. Ten slotte blijkt uit digitaal onderzoek naar de internetgeschiedenis dat de verdachte meerdere sites bezocht en zoektermen gebruikt die te relateren zijn aan het modellenbureau en de scouts van het modellenbureau.

4.     Oplichting via Whatsapp

De Consumentenbond en Fraudehelpdesk waarschuwen voor een toename van fraude via Whatsapp. Daarbij doen de oplichter zich voor als de zoon of dochter van een slachtoffer met het verzoek om geld over te maken. Dit doen zij vaak op geraffineerde wijze, waarbij eerst via een app weten een ‘nieuw telefoonnummer’ te hebben, compleet met profielfoto van de persoon van wie ze de identiteit gebruiken. Deze foto hebben ze van social media gehaald, evenals informatie over familierelaties en hoe mensen elkaar aanspreken. Vervolgens vragen ze om een betaling voor een openstaande rekening.

De rechtbank Midden-Nederland heeft op 4 oktober 2018 twee verdachten voor oplichting met een vergelijkbare werkwijze veroordeeld. De verdachten hebben zich op WhatsApp voorgedaan als iemand anders. De 19-jarige man zocht begin dit jaar via de berichtendienst contact met een 85-jarige man. De verdachte deed zich voor als de dochter van het slachtoffer en vroeg hem om in totaal ruim 2.300 euro over te maken. Het slachtoffer dacht echt met zijn dochter te appen. De 21-jarige Utrechter heeft zich op een soortgelijke manier schuldig gemaakt aan oplichting. Hij stuurde in september 2017 een WhatsApp-bericht naar een 71-jarige vrouw en deed zich voor als haar dochter. In het gesprek vroeg hij meerdere keren aan het slachtoffer om geld over te maken. In totaal heeft de vrouw ruim drieduizend euro overgemaakt.

De 21-jarige man is veroordeeld tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk. De 19-jarige man is veroordeeld tot een gevangenisstraf van 16 maanden, waarvan 6 maanden voorwaardelijk. Daarnaast moeten ze ongeveer 10000 euro aan schade vergoeden.

5.     Klonen van modems VodafoneZiggo

De Rechtbank Rotterdam heeft op 11 oktober 2018 een aantal verdachte veroordeeld die in georganiseerd verband de modems van Vodafone Ziggo hebben gekloond. In het onderzoek ‘26Cicero’ is de verdenking gerezen dat in Nederland in georganiseerd verband op illegale wijze (met gebruikmaking van speciaal daartoe ontwikkelde software) modems van betalende klanten van Ziggo werden uitgelezen en gekloond. Het onderzoek ving aan naar aanleiding van informatie van de Canadese politie. De unieke modemgegevens van honderden betalende klanten van Ziggo zijn met behulp van malware gekopieerd en geplaatst op andere modems. Tegen betaling van een eenmalig bedrag van zo’n € 150,- konden de afnemers van de gekloonde modems gratis internetten zolang de betalende klant wiens modem was gekloond een abonnement had.

De verdachte kloonde de modems en installeerde die bij zijn afnemers. De modems kocht hij in bij een medeverdachte die bij Ziggo werkte. Een andere medeverdachte, die via een onderaannemer in dienst was bij Ziggo, installeerde de gekloonde modems als de Ziggo-straatkast moest worden geopend om de internetverbinding mogelijk te maken.

De rechtbank overweegt dat het gevaarlijk is dat gekloonde modems ook kunnen worden gebruikt om kwaadaardige aanvallen op bedrijven uit te voeren of om persoonlijke informatie van derden te achterhalen. De veiligheid en integriteit van de infrastructuur kan daarmee ernstig in gevaar komen. De geschetste potentiële gevaren hebben zich in deze zaak niet voorgedaan. Wel heeft de verdachte hinder en schade veroorzaakt voor met name Ziggo en heeft hij door het witwassen van zo’n € 20.000,- volgens de rechtbank de integriteit van het financiële en economische verkeer aangetast.

De verdachte wordt veroordeeld voor medeplegen van gekwalificeerde computervredebreuk, het voorhanden hebben malware, gewoontewitwassen en listiglijk gebruik maken van een telecommunicatiedienst (326c Sr). Wel volgt vrijspraak voor het medeplegen van vervaardigen van malware, nu niet kan worden bewezen dat verdachte als medepleger een bijdrage heeft geleverd aan de ontwikkeling van de ‘1337suite’. De verdachte wordt veroordeeld tot een gevangenisstraf voor de duur van vijftien maanden opleggen, waarvan twaalf maanden voorwaardelijk met een proeftijd van drie jaar. Tevens moet de verdachte een taakstraf uitvoeren van 180 uur. De straf was aanzienlijk lager dan de eis van de officier van justitie.

Europol iOCTA report 2017

Posted on 06/10/2017 op Oerlemansblog

Europol brengt elk jaar het ‘internet organised threat assessment’ (iocta) rapport uit. Het rapport komt tot stand aan de hand van vragenlijsten aan politieorganisaties binnen de EU en door input van bedrijven. Het biedt een interessant en gedetailleerde inzicht in de actuele stand van cybercrime. Ook dit jaar sprak het rapport mij aan en daarom heb ik een samenvatting gemaakt van de belangrijkste bevindingen. Deze samenvatting wil ik de geïnteresseerde lezer natuurlijk niet onthouden.

Ransomware

Ransomware vormt volgens Europol de belangrijkste malware dreiging, gelet op de slachtoffers en de schade die het met zich meebrengt. Met ransomware wordt relatief eenvoudig geld verdiend. Door het gebruik van cryptocurrencies, zoals Bitcoin, zijn de verdiensten bovendien relatief eenvoudig wit te wassen. Naast Bitcoin worden ook Monero, Etherium en ZCash in toenemende mate door cybercriminelen gebruikt. ‘Kirk’ is de eerste ransomware, waarbij Monero werd gebruikt voor het losgeld (in plaats van Bitcoin).

Niet alleen individuen worden door cybercriminelen met ransomware aangevallen, maar ook ziekenhuizen, de politie en overheidsinstellingen. MKB-bedrijven worden steeds vaker aangevallen, mede vanwege hun beperkte budget om voldoende beveiligingsmaatregelen te nemen. Europol spreekt van een “explosie van ransomware” dat op de markt komt, waarbij sommige rapporten spreken van een toename van 750% in 2016 ten opzichte van 2015.

Information stealers

Information stealers’ vormen de op een na grootste bedreiging met betrekking tot malware. Het kost cybercriminelen aanzienlijk meer moeite de benodigde informatie te stelen (zoals financiële gegevens) en het is voor criminelen lastiger met deze malware geld te verdienen vergeleken met ransomware. In het rapport wordt terecht opgemerkt dat Europol een vertekend beeld krijgt van de malwaredreiging, omdat mensen vaak de gevolgen van het gebruik van malware rapporteren. De IT beveiligingsindustrie geeft daarom noodzakelijke input voor het rapport. Binnen deze industrie bestaat een meer volledig beeld van de dreiging.

Slechte beveiliging IoT-apparaten

Europol signaleert ook de dat zwakke beveiliging van Internet of Things-apparaten cyberaanvallen in de hand werkt. Het Mirai-botnet, dat werd gevormd door lekke en misbruikte IoT-apparaten, heeft in 2016 met een zeer sterke (d)DoS-aanval de Amerikaanse DNS-provider Dyn platgelegd, waardoor populaire diensten als Twitter, SoundCloud, Spotify, Netflix, Reddit en PayPal ongeveer 2 uur onbereikbaar waren. Denail-of-service aanvallen zijn eenvoudig uit te voeren. Een botnet die in staat is een denial-of-service aanval van 5 minuten op een webshop uit te voeren, kan slechts voor 5 dollar op websites worden gehuurd.

Kinderpornografie op internet

Kinderpornografie op internet blijft een groot probleem. Het aanbod, de verspreiding en vervaardiging van het materiaal lijkt niet af te nemen. Daarnaast worden enorme hoeveelheden kinderporno in beslag genomen. Volgens Europol zijn hoeveelheden 1-3 Terabyte niet ongebruikelijk met 1 tot 10 miljoen afbeeldingen met kinderpornografie. Peer-to-peer programma’s, zoals GigaTribe, worden nog steeds door kinderpornogebruikers misbruikt voor de verspreiding en het binnenhalen van kinderporno. Europol signaleert dat ook populaire apps en sociale mediadiensten in toenemende mate worden misbruikt.

Het is ook helder dat websites op het darkweb worden gebruikt voor toegang en verspreiding tot kinderporno. Het rapport haalt aan hoe de hack op het hosting bedrijf ‘Freedom Hosting II’ 10.000 darknet websites blootlegde, waarvan 50% kinderpornografische afbeeldingen bevatte. Deze websites zijn overigens vaak gespecialiseerd in kinderporno, omdat online marktplaatsen geen kinderporno accepteren. Zowel op het ‘Surface web’ als op het ‘dark web’ zijn er pay-per-view-diensten beschikbaar waarop kinderpornografische materiaal wordt aangeboden. Volgens Europol maken veel Westelingen gebruik van de diensten, waarbij vooral minderjarigen uit de Zuidoost-Azië en Afrika worden misbruikt. De opsporing van deze misdrijven wordt bemoeilijkt door het gebruik van gratis WiFi-diensten die bijvoorbeeld in de Filipijnen aan arme wijken worden aangeboden. Het is daardoor lastig op basis van het IP-adres de slachtoffers te identificeren.

Fraude met betaalkaarten

Het gebruik chipbetaalkaarten met de EMV-standaard is nog niet alle staten gemeengoed geworden. Betaalkaarten en betaalautomaten die niet van standaard gebruik maken, worden op grote schaal misbruik om fraude en andere delicten zoals de aankoop van drugs mee te plegen. In het rapport worden spectaculaire hacks beschreven waarbij pinautomaten of het systeem dat de pinbetalingen faciliteert worden gehackt, waarna de pinautomaten automatisch geld uitspuwen of geld tot een veel hoger bedrag (tot 200.000 euro) kan worden opgenomen. Verwezen worden naar de ‘Carnabak’-groep die in 2014-2015 op deze manier 1 miljard dollar buit heef gemaakt. Meer recent is volgens Europol de ‘Cobalt’-groep actief geweest met het infecteren van pinautomaten met malware om frauduleuze pinopnamen te doen binnen de Europese Unie, waaronder Nederland.

Groei darknet markets

In het rapport wordt veel aandacht besteed aan de groei van ‘darknet markets’. De online handelsplatformen op het darkweb zijn toegankelijk via Tor, I2P en Freenet, waarbij de illegale activiteiten zich nog voornamelijk via Tor afspelen. In juni 2017 had het Tor netwerk 2.2 miljoen actieve gebruikers en bevatte het bijna 60.000 unieke .onion domeinnamen. De gebruikmaking van deze diensten zijn nog niet de standaard geworden voor de distributie van illegale goederen. Maar de darknet markets groeien snel met een eigen klantenkring in de gebieden van illegale drugshandel, wapenhandel en kinderporno. Daarnaast worden ook veel persoonsgegevens, in het bijzondere gegevens over betaalkaarten en login gegevens voor online bankieren, op het dark web aangeboden. Volgens Europol maken de volgende drie factoren het gebruik van Tor voor criminelen aantrekkelijk: (1) een bepaalde mate van anonimiteit, (2) een diverse markt aan kopers die minder lijflijk risico lopen en kunnen betalen met cryptocurrencies en (3) een goede kwaliteit van producten die worden verkocht door aanbieders die worden beoordeeld op basis van reviews.

Encryptie en dataretentie belemmering de opsporing

Voor het tweede jaar achtereen geeft Europol in het rapport ook de boodschap af encryptie de opsporing voor cybercrime belemmert. Het maakt het aftappen van telecommunicatieverkeer minder effectief en belemmert digitaal forensisch onderzoek. Daarnaast is helder dat de onrechtmatig verklaring van de dataretentierichtlijn op 8 april 2014 door het Hof van Justitie van de EU een ‘aanzienlijke negatieve invloed’ heeft op de mogelijkheden van opsporingsautoriteiten om bewijsmateriaal veilig te stellen. In sommige lidstaten is nog steeds dataretentieregelgeving voor telecommunicatiedienstverleners (waaronder ISP’s) van kracht, maar veel andere EU lidstaten niet. Deze fragmentatie belemmert de internationale opsporing van cybercrime. Europol doet geen voorstellen tot maatregelen op dit gebied, wellicht omdat het te politiek gevoelig is, maar benadrukt de problematiek die het met zich meebrengt.

Gebruik van policeware in de Aydin C.-zaak

Posted on 17/07/2017 on Oerlemansblog

Vorige week heb ik mijn noot gepubliceerd die ik heb beschreven over de Aydin C.-zaak. De zaak is veelvuldig in het nieuws geweest vanwege de tragische afloop van Amanda Todd, nadat zij werd gechanteerd door Aydin C. met webcamopnamen. De rechtbank Amsterdam veroordeelt Aydin voor meer dan 10 jaar gevangenisstraf voor kinderporno en (poging tot) aanranding met betrekking tot 34 meisjes en één man voor afdreiging.

Vanuit juridisch oogpunt vond ik het echter interessanter hoe de rechtbank is omgegaan met het gebruik van een softwarematige keylogger bij de bewijsgaring in deze zaak. Dergelijke ‘monitoringssoftware’ wordt ook wel ‘policeware’ genoemd.

Mag een keylogger nu wel of niet worden gebruikt?

Al tijdens het verloop van de zaak kwam via de media naar buiten de politie een ‘keylogger’ had ingezet om bewijsmateriaal te verzamelen. Een keylogger registreert toetsaanslagen waardoor communicatie, maar ook inlognamen en wachtwoorden, kan worden afgevangen om nader te onderzoeken. Een keylogger kan zowel hardwarematig zijn als softwarematig.

Eerder had ik ook al in een interview aangegeven dat het gebruik van een hardwarematige keylogger volgens mij door de beugel kan. De wetgever heeft al 20 jaar geleden in de memorie van toelichting van de Wet bijzondere opsporingsbevoegdheden (Wet BOB) (p. 35-37) voldoende duidelijk gemaakt dat onder de bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv) het gebruik van een apparaatje (een ‘bug’), dat ook toetsaanslagen kan registreren, is toegestaan.

Mag policeware worden gebruikt?

De vraag is lastiger te beantwoorden of het gebruik van een softwarematige keylogger is toegestaan. De tekst van de wet zelf sluit niet uit dat software wordt gebruik bij de toepassing van de bijzondere opsporingsbevoegdheid van direct afluisteren. Gesproken wordt over een ‘technisch hulpmiddel’, dat tevens uit software kan bestaan. Dat is ook af te leiden uit het Besluit technische hulpmiddelen. Eerder heb ik betoogd dat de software in ieder geval niet door middel van een ‘hack’ kan worden geplaatst, omdat daarmee een geheel andere privacyinbreuk plaatsvindt dan wanneer een bug fysiek in een woning of andere plek wordt geplaatst zoals bij ‘direct afluisteren’ gebruikelijk is. De wet zou dan niet meer voorzienbaar zijn.

Het is echter de vraag of de software ook andere functionaliteiten mag hebben dan het afluisteren van communicatie, het registreren van toetsaanslagen en het registreren van muisklikken. Hoewel het vonnis moeilijk leesbaar is, wordt interessante informatie gegeven over het gebruik van dergelijke software door de politie. Zo wordt onder andere gesteld dat via een softwarepakket ‘vinkjes’ kunnen worden aangezet om van bepaalde functionaliteiten van de afluistersoftware gebruik te maken. Uit het vonnis van de rechtbank blijkt ook dat gebruik is gemaakt van een screenshotfunctionaliteit. Is deze toepassing dan nog voorzienbaar is op basis van bestaande wetgeving?

Pas als de Wet computercriminaliteit III door de Eerste Kamer wordt aangenomen en de wet van kracht wordt, mag een softwarematige keylogger met andere functionaliteiten (waaronder ook het maken van screenshots, het vastleggen van identificerende gegevens, het aanzetten van een camera, en eventueel het aanzetten van een GPS-signaal) worden gebruikt. Deze software mag dan ook op afstand via een hack worden geïnstalleerd op de computer van de verdachte op basis van de voorgestelde nieuwe hackbevoegdheid in artikel 126nba Sv.

Mogelijkheden voor de verdediging

De verdediging voerde tal van verweren in de Aydin C.-zaak. In mijn noot heb ik aandacht besteed aan de mogelijkheid van de verdediging om tijdens de zitting na te gaan welke functionaliteiten van de software precies gebruik is gemaakt. Ik begrijp het standpunt van de politie en het Openbaar Ministerie dat het type software – of zelfs de broncode – niet wordt vrijgegeven aan de verdediging. Daarmee breng je namelijk het toekomstig gebruik van de software in strafzaken door opsporingsinstanties in gevaar. De verdediging moet echter wel de mogelijkheid hebben om het gebruik van de software achteraf – desnoods tijdens de zitting – te controleren. Nagegaan moet worden of niet meer functionaliteiten van de software zijn gebruikt dan de officier van justitie als het goed is in zijn bevel voor inzet van de bevoegdheid heeft aangegeven. In deze zaak werd het verweer geadresseerd door één deskundige van te politie te horen, waarbij ik de zorg om onafhankelijkheid goed begrijp.

Als de Wet computercriminaliteit III wordt aangenomen kan de verdediging het gebruik van de software beter controleren. De verdediging kan de rechter verzoeken tot nader onderzoek van de gelogde gegevens. De rechter kan dit ook overigens ook ambtshalve beslissen. Staatssecretaris Dijkhoff heeft in de nota naar aanleiding van het verslag aangegeven dat dit mogelijk is. Daarnaast wordt de waarborg ingebouwd dat de Inspectie Veiligheid en Justitie het gebruik van de software bij de politie controleren. Dit zijn twee zeer welkome waarborgen ten opzichte van de bestaande situatie.

Investigating Cybercrime

Posted on 15/02/2017

On 10 January 2017, I successfully defended my PhD thesis ‘Investigating Cybercrime’. In this blog post, I would like the share my main research results.

Cybercrime investigations

My study shows that in cybercrime investigations, evidence is often gathered by following the two digital leads of IP-addresses and nicknames. I explain how evidence is gathered, based upon these leads. In cybercrime investigations, law enforcement officials often encounter the three challenges of anonymity, encryption and jurisdiction. These challenges can leave law enforcement officials empty-handed in certain circumstances.

However, law enforcement officials can use digital investigative methods to deal with these challenges. The following four investigative methods are identified and further analysed in the study: (1) gathering publicly available online information, (2) issuing data production orders to online service providers, (3) applying online undercover investigative methods, and (4) performing hacking as an investigative method.

Regulating digitale investigative methods on a national level

On a national level, my research shows that the identified digital investigative methods are not regulated in a foreseeable manner in the Netherlands. The reason is that the scope and manner in which investigative methods are applied are not sufficiently clear. In addition, I argue that the quality of the law for certain investigative methods is not adequate. The main and concrete results of my analysis are as follows:

  • The manual and automated gathering of publicly available online information should be regulated in detail, outside criminal procedural law. These regulations should indicate how data protection regulations should be applied in a concrete manner when these digital investigative methods are used.
  • The regulations for undercover investigative methods (both online and offline) should be improved by incorporating supervision by an investigative judge.
  • A warrant requirement should apply for obtaining traffic data and content data from online service providers. The category of ‘content data’ should be defined more clearly by the legislator or Public Prosecution Service.
  • Regulating hacking as an investigative power is necessary. The proposal to regulate this investigative method in the Computer Crime Act III is adequate. However, the investigative power is formulated in a rather broad manner and the legal consequences of its application to ‘disrupt cybercrime’ are uncertain.

Regulating digital investigative methods on an international level

On an international level, my research shows that the application of digital investigative methods are not sufficiently taken into consideration in mutual legal assistance treaties. States should realise and take into consideration that unilateral cross-border digital evidence-gathering activities already take place.

The application of digital investigative methods can endanger both State sovereignty and the legal certainty of individuals in certain circumstances. At the same time however, I argue that unilateral cross-border digital evidence-gathering activities should be permissible in certain circumstances. Ideally, States agree on what terms these evidence-gathering activities are allowed and protect the right and freedoms of the individuals involved in mutual legal-assistance treaties or on an ad-hoc basis. In the meantime, States should create a policy for their law enforcement authorities to determine under which circumstances unilateral cross-border digital evidence-gathering activities are allowed. I provide recommendations about these restrictions for the Dutch legislator.

Finally, I would like to say that it has been a pleasure performing research as a PhD Candidate at Leiden University. I will continue to do research in cybercrime, cybersecurity, digital investigations and privacy in the future.

This is a cross-post from LeidenLawBlog. My book is also commercially available at bol.com (among others).

Artikel Toxbot-zaak

Posted on 20/05/2011 op Oerlemansblog

Op 22 februari 2011 heeft de Hoge Raad een opmerkelijk arrest gewezen in de Toxbot-zaak. De meest opvallende aspecten uit het arrest is de gelijkstelling van het besmetten van computers met malware aan het delict computervredebreuk en de extensieve interpretatie van het delict
computersabotage. Samen met Bert-Jaap Koops heb ik hier artikel voor het Nederlands Juristenblad over geschreven. Het is artikel hier te downloaden. Eerder heb ik al een blogbericht over deze zaak geschreven.

In ons artikel stellen wij dat de Hoge Raad met het arrest de samenleving een slechte dienst heeft bewezen. Het besmetten van computers met malware, strafbaar gesteld in artikel 350a lid 3 Sr, wordt volgens ons onterecht gelijk gesteld aan het delict computervredebreuk zoals strafbaar gesteld in artikel 138ab Sr. Wel is er volgens ons sprake van computervredebreuk op het moment dat een de besmette computer contact maakt met een command-and-control server dat een botnet aanstuurt of via een ‘achterdeurtje’ toegang wordt verschaft tot de computer van de verdachte. In de praktijk zal dat meestal het geval zijn.

Misschien nog wel belangrijker is de interpretatie van de Hoge Raad van artikel van artikel 161sexies Sr (computersabotage). Op zich zijn wij het er mee eens dat internetbankieren en het verrichten van transacties via online betalingsdiensten als PayPal als een dienst van vitale infrastructuur kan worden aangemerkt. Wanneer internetbankieren door een DDoS-aanval wordt verstoord en mensen niet meer online transacties kunnen uitvoeren, kan artikel 161sexies Sr daarom van toepassing zijn. De mogelijkheid bestaat echter ook dat de vitale dienst door de aanval niet wordt verstoord, omdat bijvoorbeeld een voorlichtingswebsite wordt aangevallen. Volgens de Hoge Raad zou artikel 161sexies Sr in dat geval nog steeds van toepassing zijn. Onzes inziens is artikel 161sexies Sr alleen van toepassing wanneer een website van een dienst van algemene nutte wordt aangevallen waardoor gevaar ontstaat dat de vitale dienst niet meer kan worden verleend.

Sterker nog, volgens de Hoge Raad zou artikel 161sexies Sr niet alleen gaan om de dienstverlener die ernstige hinder van het misdrijf ondervindt, maar om een substantieel aantal gebruikers ervan. Wanneer een substantieel aantal mensen besmet zijn met een bepaalde variant van malware
dat zich bijvoorbeeld op banken richt en hierdoor niet meer veilig kunnen internetbankieren bij een bepaalde bank zou artikel 161sexies óók van toepassing kunnen zijn. Artikel 161sexies Sr beschermt volgens ons tegen de nadelige effecten die optreden indien de infrastructuur van de dienstverlener wordt vernield of beschadigd, en dient niet ter bescherming van de vertrouwelijkheid en integriteit van de computer van de dienstafnemers. Naar onze mening wordt het artikel in deze variant daarom veel te extensief geïnterpreteerd.

Het arrest komt de rechtszekerheid niet ten goede. De kans bestaat dat de vreemde redenatie van de Hoge Raad in de toekomst door rechters wordt omzeild of teruggedraaid, waardoor vervolgingen kunnen stuklopen. Het is belangrijk dat het OM en de rechterlijke macht precies zijn in de toepassing van de verschillende delicten op een feitencomplex zoals in de Toxbot-zaak. Door de extensieve interpretatie vindt een onwenselijke verwatering in het onderscheid tussen de verschillende typen delicten plaats.  

(Citeertitel: J.J. Oerlemans & E.J. Koops, ‘De Hoge Raad bewijst een slechte dienst in high-tech-crimezaak over botnets’, Nederlands Juristenblad 2011, vol. 86, nr. 18, pp. 1181-1185).

High Tech Crime in de polder

Posted on 23/02/2011 op Oerlemansblog

Op 22 februari 2011 is het arrest (ECLI:NL:HR:2011:BN9287) van de Hoge Raad uitgebracht inzake de ‘Toxbot-zaak’. De Hoge Raad vernietigd het vonnis van het Hof Den Haag en het gerechtshof zal opnieuw uitspraak moeten doen. De zaak is interessant omdat het ‘high tech crime’ gaat, duidelijkheid verschaft over de toepasselijkheid van het delict ‘computervredebreuk’ met betrekking tot de verspreiding van malware (artikel 138ab Wetboek van Strafrecht (hierna: Sr)) en duidelijkheid geeft over het delict ‘computersabotage’ (artikel 161sexies Sr).   

De feiten

De verdachte heeft tussen 1 juni 2005 tot en met 4 oktober 2005 een virus verspreid, bekend onder de naam ‘Toxbot’. Het virus kon zich over andere nog niet geïnfecteerde computers verspreiden (het was dus eigenlijk een worm, maar goed). Op een bepaald moment waren 50.095 computers besmet en deze vormden samen een botnet (een netwerk van besmette computers) die op afstand via een command-and-control server aangestuurd konden worden. De Toxbot-malware had bovendien een ‘keylogger-functionaliteit’ waarmee toetsaanslagen (en dus ook wachtwoorden) konden worden afgevangen.

De besmette computers konden tevens de opdracht gegeven worden een bepaalde Trojan (Wayphisher) te downloaden en installeren. Na besmetting met deze nieuwe malware werden de besmette computergebruikers omgeleid naar een andere website (phishing-site) omgeleid en hun financiële gegevens (rekeningnummer, wachtwoorden, etc.) doorgegeven aan de verdachte, in dit geval de bestuurder van de command-and-control server (ook wel ‘botnet herder’ genoemd). Tenslotte kunnen botnets de opdracht worden gegeven een bepaalde website aan te vallen waardoor een webserver overbelast raakt en offline gaat (een ‘Distributed Denial of Service aanval’ oftwel DDoS-aanval). Maar in de onderhavige zaak is niet duidelijk of die uitgevoerd zijn met het botnet.

Het arrest gaat tamelijk diep in op hoe de malware de computers besmette en de functionaliteiten daarvan. Zaken zoals het onderhavige komen niet vaak voor en dat is best leuk om eens te lezen. Ook wordt in het arrest duidelijk dat belangrijk bewijsmateriaal is verzameld via een internettap, wat nog een tamelijk nieuwe opsporingsmethode is. Met de tap zijn namelijk belastende chatgesprekken van de verdachte afgevangen.  

Het oordeel

De vraag die in het arrest wordt beantwoord is in essentie of bij het infecteren van computers met bepaalde malware ook eventueel het delict computervredebreuk van artikel 138ab Sr ten laste kan worden gelegd. Dat is niet vanzelfsprekend, want het kan gaan om enorm veel computers en er wordt niet heel bewust in één bepaalde computer bijvoorbeeld met gestolen inloggegevens ingebroken en vervolgens overgenomen om andere delicten te plegen. Het is daarom de vraag of opzettelijk en wederrechtelijk wordt ‘binnengedrongen in een geautomatiseerd werk’ en met welke ‘technische ingreep’ dat gebeurt. Daarnaast wordt de vraag beantwoord of bij het onbruikbaar maken van computers die een dienst van algemene nutte afnemen artikel 161sexies lid 1 onderdeel 2 Sr van toepassing is.  

De Hoge Raad oordeelt dat het plaatsen van malware op een computer computervredebreuk kan zijn. De computer maakt na besmetting onderdeel uit van een botnet en kan door de dader worden aangestuurd. Een ‘geautomatiseerd werk’ (de computer) wordt namelijk tegen de wil van de rechthebbende (de slachtoffers) binnengedrongen door middel van een technische ingreep die bestond ‘alle handelingen die nodig waren voor de verspreiding van het virus’. Daarmee maakt de verdachte zich schuldig aan computervredebreuk en de gekwalificeerde vorm daarvan als bedoeld in artikel 138ab lid 3 Sr.   

Het oordeel is in zoverre belangrijk dat nu duidelijk is dat het besmetten van computers met bepaalde malware en daarna het misbruiken van die computers via een botnet een gekwalificeerde vorm van computervredebreuk kan opleveren waar hoogstens 4 jaar gevangenisstraf op staat. Naast computervredebreuk is overigens ook gewoon artikel 350a (lid 1 of lid 3) Sr van toepassing (zie ook dit blogbericht over de (D)DoS-aanvallen van Anonymous).   

Ten tweede wordt door het arrest duidelijk dat een website van een bank, online betalingsdienst als PayPal, veilingwebsite als Ebay en creditcardmaatschappijen een ‘dienst van algemene nutte’ kunnen aanbieden. Het platleggen van een dergelijke website met een DDoS-aanval kan bijvoorbeeld het delict ‘computersabotage‘  uit artikel 161sexies Sr constitueren, maar ook het ontnemen van de mogelijkheid van een substantieel aantal afnemers om van deze diensten om van een dergelijke dienst (het internetbankieren) behoorlijk gebruik te maken kan artikel 161sexies lid 1 onderdeel 2 Sr constitueren. In dat opzicht wijkt het arrest van de Hoge Raad af van de conclusie van Advocaat-Generaal Knigge (zie paragraaf 35).  

In artikel 161sexies Sr wordt volgens de Hoge Raad namelijk geen onderscheid gemaakt tussen de computers van de afnemer van een dienst ten algemene nutte en de computers van de dienstverlener. Op dit punt heeft het Hof Den Haag dus verkeerd geoordeeld en zal dus nogmaals uitspraak moeten doen. De dader heeft zich dus waarschijnlijk schuldig gemaakt aan artikel 161sexies lid 1 onderdeel 2 Sr door computers te besmetten met de Wayphisher-trojan en het gebruikmaken van de keylogger-functionaliteit van de Toxbot-malware. De slachtoffers konden hierdoor namelijk niet meer op een behoorlijke manier gebruik maken van de diensten van de banken.  

Overigens is het met betrekking tot de (D)DoS-aanval interessant dat dit weekend blijkbaar een dergelijke aanval op de website van de Rabobank is uitgevoerd (zie dit bericht en dit bericht op Nu.nl). Het is nu in elk geval duidelijk dat de dader voor artikel 161sexies Sr vervolgd kunnen worden. Op artikel 161sexies lid 1 onderdeel 2 Sr staat een maximale gevangenisstraf van zes jaar. 

Conclusie

Het arrest is opvallend. Niet alleen omdat het om een zeldzame ‘high tech crime’-zaak gaat, maar ook omdat het duidelijkheid verschaft over welke gedragingen het delict computervredebreuk en computersabotage constitueren. Het aanvallen van een bankwebsite via een (D)DoS-aanval kan dus een behoorlijke straf opleveren ook al wordt de website van de dienstverlener zelf niet verstoord.