Tag darknet market

Cybercrime jurisprudentieoverzicht november 2025

jjoerlemans

Bron: afbeelding automatisch gegenereerd door WordPress.com

Nieuw arrest Hoge Raad over onderzoek aan smartphones

Op 9 september 2025 heeft de Hoge Raad een nieuw arrest gewezen (ECLI:NL:HR:2025:1247) over onderzoek aan smartphones.

De Hoge Raad herhaalt de relevante overwegingen uit HR 8 maart 2025, ECLI:NL:HR:2025:409 (zie ook mijn annotatie) over de eisen die moeten worden gesteld aan onderzoek aan elektronische gegevensdragers en geautomatiseerde werken, waaronder smartphones.

De raadsman betoogde kortgezegd dat een ernstige inbreuk plaatsvond, omdat de inhoud van de volledige telefoon is verwerkt: 44.000 foto’s, sociale media (waaronder Facebook) en notities. Dat niet van alle gegevens kennis is genomen doet niet ter terzake, omdat er sprake is van een verwerking van gegevens in de zin van het Unierecht.

Het Hof Arnhem-Leeuwarden stelt vast dat de politie bij de verdachte smartphones heeft aangetroffen. Deze zijn met toestemming van de officier van justitie “doorzocht”. Daarbij is gezocht naar voor het strafrechtelijk onderzoek relevante informatie, zoals zaken die te maken hebben met handel in verdovende middelen, crimineel samenwerkingsverband en witwassen, alsmede gegevens die de gebruiker van de telefoons konden identificeren.

Het doel van het “uitlezen” van de telefoons was het verzamelen van informatie over de gebruikers van de telefoons en het onderzoek naar strafbare feiten, eventuele medeverdachten en mogelijke witwassen. Volgens het hof heeft de politie bij het zoeken in de telefoons uitsluitend gekeken naar zaken die verband hielden met dit onderzoek. Er is volgens het hof ‘geen onderzoek verricht naar ‘privé gevoelige’ informatie’. Wanneer dergelijke gegevens werden aangetroffen, heeft de verbalisant de betreffende app of het gesprek onmiddellijk afgesloten. De verbalisant gebruikte zoektermen die te maken hadden met de aard van het onderzoek.

Het Hof Arnhem-Leeuwarden oordeelde dat de algemene bevoegdheid van opsporingsambtenaren, neergelegd in art. 94 jo. art. 95 en 96 Sv, voldoende legitimatie bood voor dit onderzoek aan de smartphones van de verdachte en dat geen toestemming van een rechter-commissaris (RC) nodig was, “nu er geen min of meer compleet beeld is verkregen van zijn privéleven”. Dit is in het licht van wat hiervoor is vastgesteld en van wat door de verdediging in hoger beroep naar voren is gebracht, volgens de Hoge Raad onvoldoende gemotiveerd. 

Uit die vaststellingen volgt immers niet dat het onderzoek aan de smartphones beperkt is gebleven tot onderzoek dat slechts strekte tot het identificeren van de gebruiker, of tot bijvoorbeeld onderzoek dat een opsporingsambtenaar in het kader van zijn taakuitoefening deed waarbij hij de bij de verdachte aangetroffen smartphones heeft bekeken en daarbij slechts enkele beperkte waarnemingen heeft gedaan over het feitelijk gebruik daarvan op dat moment of direct daaraan voorafgaand, bijvoorbeeld door na te gaan welke contacten de gebruiker van een telefoon kort tevoren had gelegd. Ook blijkt daaruit niet dat zich hier “spoedeisend geval” voordeed, zoals als uitzondering in HR 8 maart 2025, ECLI:NL:HR:2025:409 was geformuleerd.

De Hoge Raad vernietigt de uitspraak van het hof, maar uitsluitend wat betreft de beslissingen over het in de zaak tenlastegelegde en de strafoplegging en wijst de zaak terug naar het gerechtshof Arnhem-Leeuwarden, zodat de zaak ten aanzien daarvan opnieuw wordt berecht en afgedaan.

Veroordeling in hoger beroep i.v.m. Genesis Market

Het Hof Den Haag heeft op 23 september 2025 in hoger beroep een arrest gewezen (ECLI:NL:GHDHA:2025:1996) met betrekking tot een verkoper van de ‘datamarkt’ Genesis Market.

De verdachte heeft gedurende meer dan twee jaar bots gekocht van Genesis Market, waardoor hij toegang kreeg tot inloggegevens van anderen, waaronder gebruikersnamen en wachtwoorden. Deze gegevens gebruikte hij om bij verschillende webshops op accounts van derden in te loggen en producten te bestellen onder hun naam en ten koste van hen. Dit handelen is bewezen verklaard als het verwerven en voorhanden hebben van niet-openbare gegevens, terwijl de verdachte redelijkerwijs had moeten vermoeden dat deze door misdrijf waren verkregen (art. 139g Sr), het ontvangen, zich verschaffen en voorhanden hebben van gegevens waarvan hij weet dat zij bestemd zijn tot het plegen van een in art. 231b Sr omschreven misdrijf (art. 234 Sr), misbruik van identificerende persoonskenmerken door met behulp daarvan op naam van 34 personen met voornoemde persoonsgegevens bestellingen bij webwinkels te doen (art. 231b Sr) en computervredebreuk door gebruik te maken van door misdrijf verkregen combinaties van gebruikersnamen en/of e-mailadressen en/of bijbehorende wachtwoorden, tot het gebruik waarvan verdachte niet gerechtigd was (art. 138ab Sr).

Het gerechtshof legt een hogere gevangenisstraf op dan de rechtbank. In eerste aanleg werd de verdachte veroordeeld tot twee jaar gevangenisstraf, waarvan acht maanden voorwaardelijk met een proeftijd van twee jaren. Het Hof Den Haag legt een gevangenisstraf van drie jaar op. Deze verhoging is gemotiveerd door de lange periode waarin de verdachte zich schuldig heeft gemaakt aan de bewezen feiten, het aantal bots en slachtoffers, het leed en de onzekerheid die zijn handelen veroorzaakte bij slachtoffers die ontdekten dat hun (inlog-)gegevens in verkeerde handen waren gevallen. Daarnaast weegt mee de achteloosheid en geslepenheid waarmee de verdachte te werk ging, alsmede het feit dat hij al eerder voor relatief veel vermogensdelicten is veroordeeld. Tot slot merkt het hof op dat zij de inschatting van de reclassering met betrekking tot een laag recidiverisico – mede gezien het strafblad van de verdachte – niet deelt.

Veroordeling van darkweb vendor ‘Team Sonic’

De rechtbank Oost-Brabant heeft op 25 juli 2024 (ECLI:NL:RBOBR:2025:4704) een verdachte veroordeeld tot een gevangenisstraf van 9 jaar en 8 maanden. De verdachte was een online verkoper van harddrugs, voornamelijk amfetamine en MDMA. De organisatie verwerkte dagelijks bestellingen via verschillende darkmarkets, waarbij klanten betaalden met cryptovaluta zoals Bitcoin en Monero. De verdachte en – bij diens afwezigheid vanwege detentie – zijn echtgenote hadden een sturende rol in de organisatie.

Het opsporingsonderzoek startte op basis van artikel 126dd van het Wetboek van Strafvordering (Sv) verstrekte EncroChat- en SkyECC-berichten. Uit deze berichten bleek dat niet-geïdentificeerde verdachten zich gezamenlijk bezighielden met de export en verkoop van verdovende middelen, met name amfetamine en MDMA, via het darkweb door middel van postpakketten. Zij traden op als de ‘vendor’ (leverancier) ‘Team Sonic’ en verkochten vanaf maart 2020 grootschalig harddrugs uit lijst I van de Opiumwet aan klanten in het buitenland.

Het onderzoek, gebaseerd op de cryptoberichten en andere informatie zoals gegevens van darknets, richtte zich op de periode 2020 tot en met mei 2022 en betrof historische bevindingen (de ‘terugkijk-fase’). In deze fase werden negen pakketten onderschept in Oostenrijk, Finland, Hongarije, Denemarken en Duitsland die rechtstreeks te herleiden waren tot de cryptogesprekken. Alle pakketten bevatten amfetamine en xtc-pillen.

Ook na mei 2022, tijdens de ‘live-fase’, werd het team onderzocht. Deze fase bestond onder meer uit (stelselmatige) observaties, analyses van bakengegevens onder voertuigen van verdachten en analyse van mast- en telecomgegevens van hun telefoons. Uit deze bevindingen bleek dat de organisatie gebruik maakte van verschillende inpaklocaties. De verdovende middelen werden verborgen in normale postzendingen en via legale postbedrijven verzonden. De bestellingen werden verpakt in een deklading van honden- of kattenvoer. De pakketten werden steeds vanuit Limburg met de auto naar Duitsland gebracht en aldaar gepost bij Duitse postkantoren of (onbemande) pakketpunten, veelal van DHL, om vervolgens via de reguliere poststroom naar afnemers in heel Europa te worden verzonden.

Het bedrijf had verschillende ‘medewerkers’ die betrokken waren bij de verwerking en verzending van bestellingen. In totaal werden 8347 verkopen geregistreerd op veertien (geanonimiseerde) darkwebmarkten. De organisatie maakte gebruik van fictieve afzenders en specifieke verpakkingsmaterialen (zoals piepschuimvlokken en stickers) om hun activiteiten te camoufleren. Op 29 november 2022, de ‘actiedag’, werden een groot aantal verdachten aangehouden, woningen en inpak- en opslaglocaties doorzocht, en goederen in beslag genomen, waaronder bij de verdachte een jammer, een vuurwapen, vier schietpennen en munitie. Op een aangetroffen USB-stick werden bijvoorbeeld 133 afbeeldingen van verdovende middelen gevonden, waarbij bijna elke afbeelding het product met een poppetje van het karakter Sonic toonde.

Naar het oordeel van de rechtbank kan uit de bewijsmiddelen worden afgeleid dat sprake was van een crimineel samenwerkingsverband dat online drugshandel als oogmerk had. De verdachte is veroordeeld voor het medeplegen van de export, de verkoop, het bewerken en het verwerken van hoeveelheden amfetamine en MDMA, deelname aan een criminele drugsorganisatie, het medeplegen van het opzettelijk aanwezig hebben van hoeveelheden harddrugs op verschillende inpak- en opslaglocaties die aan de organisatie gelinkt zijn (de handelsvoorraad), en het opzettelijk voorhanden hebben van wapens en munitie.

Cybercrime jurisprudentieoverzicht september 2024

jjoerlemans

Bron: dit is een met AI gegenereerde afbeelding via WordPress)

Hoge Raad arrest over bitcoins en witwassen

De Hoge Raad heeft op 25 juni 2024 een arrest (ECLI:NL:HR:2024:887) gewezen in de zaak IJsberg. Deze zaak gaat over het witwassen van bitcoins, voorbereidingshandelingen voor handel in harddrugs en bedreiging. Zie ook Hof Den Haag 1 februari 2022, ECLI:NL:GHDHA:2022:104Computerrecht 2022/95, m.nt. J.J. Oerlemans & K.M.T. Helwegen (zaak IJsberg).

Het Hof Den Haag had geoordeeld dat het enkele omzetten van bitcoins naar contant geld niet kan worden beschouwd als verbergen of verhullen van herkomst of vindplaats van bitcoins. Daarbij heeft hof betrokken dat er onvoldoende overtuigend bewijs is dat verdachte de herkomst of vindplaats van bitcoins heeft ‘willen’ verhullen of verbergen. Hierin ligt als volgens de Hoge Raad in het oordeel van het hof besloten dat het oogmerk van de verdachte bepalend is voor beantwoording van vraag of verdachte herkomst van bitcoins heeft verborgen of verhuld. In het licht van de onder r.o. 3.5 weergegeven wetsgeschiedenis – waarin de “(subjectieve) geestesgesteldheid van de dader” op dit punt als van “ondergeschikt belang” is aangeduid omdat het gaat om de objectieve strekking en het effect van de gedragingen – getuigt dat oordeel van een te beperkte uitleg van het bestanddeel ‘verbergt of verhult’. Door de verdachte vrij te spreken van het onder 1, onderdeel b, tenlastegelegde heeft het hof hem dus vrijgesproken van iets anders dan was tenlastegelegd. Het hof heeft daarmee de grondslag van de tenlastelegging verlaten. Daarom slaagt het cassatiemiddel van het OM, vernietigt het deels de uitspraak van het hof, en wijst de zaak terug naar het Gerechtshof Den Haag.

Ten slotte staat in een ander arrest (HR 25 juni 2024, ECLI:NL:HR:2024:890) over de zaak IJsberg de vraag centraal of bitcoins kunnen worden aangemerkt als ‘voorwerpen’ in de zin van art. 420bis Sr en 420quater Sr. De Hoge Raad overweegt in r.o. 3.4 dat het Hof Den Haag terecht heeft overwogen dat bitcoins kunnen worden aangemerkt als ‘voorwerpen’. Lezenswaardig is ook de conclusie van AG Aben (ECLI:NL:PHR:2024:217) over o.a. het kwalificeren van bitcoins als voorwerp.  Hij bespreekt daarbij of onstoffelijke entiteiten onder het wettelijke begrip ‘voorwerp’  kunnen worden gebracht. Hij noemt dat in fysisch opzicht virtuele valuta géén stoffelijke entiteiten zijn; zij dragen in dat opzicht de kenmerken van ‘(computer)gegevens’ als bedoeld in artikel 80 quinquies Sr omdat zij in de kern slechts uit ‘bits en bytes’ bestaan. In essentie gaat het bij gegevens als bedoeld in deze betekenisbepaling om informatie die besloten ligt in code en die (ook) door computers kan worden verwerkt, dus om software. Virtuele valuta onderscheiden zich echter van het meer generieke begrip ‘(computer)gegevens’ doordat virtuele valuta zich in de menselijke belevingswereld – anders dan computercodes en pincodes – wel degelijk voordoen als stoffelijke entiteiten, namelijk als geld in een gedaante die zich nauwelijks onderscheidt van giraal geld, dat evenmin stoffelijk is. Omtrent giraal geld overwoog de Hoge Raad dat een redelijke uitleg van het begrip ‘goed’ – vanwege “de functie van giraal geld in het maatschappelijk verkeer” – meebrengt dat het vatbaar is voor ‘toe-eigening’ als bedoeld in artikel 321 Sr. Dit betreft – gelijk het elektriciteitsarrest uit 1921 – een evident geval van een functionele wetsuitleg.

De AG noemt dat ook in meer recente strafzaken de Hoge Raad zich conformeerde aan een functionele uitleg van het wettelijke begrip ‘goed’ (wat betreft entiteiten die zich daarvoor leenden (belminuten, telefoontikken). Hij concludeert dat computergegevens in beginsel geen ‘voorwerp’ zijn, maar zo wel kunnen worden aangemerkt als (i) de onderwerpelijke entiteit uniek en individualiseerbaar is en in het economische verkeer een reële waarde vertegenwoordigt, (ii) die entiteit voor menselijke beheersing vatbaar is en de eigenaar ervan daarover de feitelijke en exclusieve heerschappij toekomt, en (iii) die entiteit overdraagbaar is, (dus) van eigenaar kan wisselen en van de eigenaar kan worden afgenomen, als gevolg waarvan de (oorspronkelijke) eigenaar de beschikkingsmacht erover verliest.  Kortom, ook bitcoins kunnen als voorwerp worden gekwalificeerd.

Veroordeling voor drugshandel en witwassen via DreamMarket

Het Hof Den Haag heeft op 31 juli 2024 een interessant arrest (ECLI:NL:GHDHA:2023:2925) gewezen over witwassen van bitcoins die waren verkregen via (o.a.) de darknet market DreamMarket.

In de bewijsoverwegingen staat o.a. dat bijna 200.000 euro is overgeboekt naar bitcoinadressen en gebruik werd gemaakt van twee Visa prepaid debetkaarten. Beide kaarten zijn geladen doordat de bitcoins zijn omgezet in respectievelijk dollars en euro’s. Op de tweede kaart hebben bijvoorbeeld in de maanden oktober 2016 tot en met november 2017 stortingen plaatsgevonden tot een totaal geldbedrag van € 313.344,77. Dit, terwijl de laatst bekende loongegevens van de verdachte dateren uit 2011 (een UWV-uitkering van € 3.802). Het hof stelt vast dat er geen direct brondelict valt aan te wijzen voor de herkomst van de eerdergenoemde bitcoins.

Het hof is op grond van het voorgaande van oordeel dat sprake is van een gerechtvaardigd vermoeden van witwassen. De verdachte beschikte vanaf 2012 niet over een legale inkomensbron, terwijl hij wel kon beschikken over een groot aantal bitcoins. Van de verdachte mag worden verlangd dat hij een concrete, verifieerbare en niet op voorhand hoogst onwaarschijnlijke verklaring geeft dat die bitcoins niet van misdrijf afkomstig zijn. Deze heeft de verdachte niet verschaft. Het hof acht daarom het delict witwassen bewezen. Gelet op de omvang van de geldbedragen en de frequentie van het omzetten van bitcoins in euro’s en dollars in de periode van oktober 2016 tot en met november 2017 acht het hof ook bewezen dat sprake is van gewoontewitwassen van bitcoins met een geldwaarde van € 613.260,92.

Ten aanzien van de drugshandel is het interessant om te lezen dat tijdens een doorzoeking op een tablet verschillende applicaties aangetroffen, waaronder Protonmail (een beveiligde e-mailservice), Sealnote (voor het maken van notities die middels een encryptieversleuteling zijn beveiligd), Orbot en Orfox (TOR-apps voor het browsen via het TOR-netwerk), CryptMax (een encryptie-app waarmee tekst kan worden versleuteld), een aplicatie waarmee bitcoins kunnen worden ontvangen en verzonden, ChatOnion (waarmee versleutelde berichten kunnen worden verstuurd via het TOR-netwerk) en iPrint&Label (waarmee adreslabels kunnen worden afgedrukt). Op de apparaten is de volgende veelzeggende inhoud van een advertentietekst in een docx-bestand teruggevonden:

“1G MDMA 84% pure the best quality direct from Holland full escrow MDMA crystals AAA+++

**INTRO OFFER 25% FREE EXTRA After ordening youre shipment wil be processed and shipped within 24 hours As you can see we are new on the dark Web, but we have many years off experience in the drugs trading business. We make everything ourself for 20 years now. That’s why we can provide the best products and quality for a fear price. Every time we make a new stock, we check the quality in the lab. We dont mix anything!!! We only sell pure quality.

EVERY ORDER IS VACUUMSEALT 3 TIL 6 TIMES, AND IS MAKE DOGFREE!!!

We ship from Germany

Sold by red-diamond – 424 sold since May 1, 2016 Vendor Level 5 Trust Level 4”

Tevens werden inloggegevens gevonden voor darkweb markten, zoals Valhalla, Hansa Market en Dream Market en notitieblaadjes met drugsgerelateerde aantekeningen. Het bewijs voor drugshandel was verder ook afkomstig van uit taps, verkeersgegevens, observaties, en aangetroffen pillen verpakkingsmateriaal na een doorzoeking. Na een observatie in Duitsland bleek, na de leging van brievenbussen, bovendien dat 36 enveloppen waren gepost met XTC-tabletten, MDMA, amfetamine en LSD-tabletten. Gezien het bovenstaande zal het niet tot een verassing komen dat het hof tot het oordeel komt dat wettig en overtuigend is bewezen dat de verdachte zich in de periode van 1 juli 2016 tot en met 13 oktober 2017 ook schuldig heeft gemaakt aan drugshandel.

In de strafmotivering weegt het hof in strafmatigende zin mee dat de verdachte in de periode waarin hij in voorlopige hechtenis zat zijn zus en moeder heeft verloren en dat hij niet de gelegenheid heeft gehad afscheid van hen te nemen. Daarnaast heeft het hof rekening gehouden met de ouderdom van de bewezenverklaarde feiten. Ook is de redelijke termijn in hoger beroep is overschreden. Dit in ogenschouw nemende wordt een gevangenisstraf opgelegd van 54 maanden.

Veroordeling voor ‘grootschalige cybercriminaliteit’

Op 23 juli 2024 veroordeelde (ECLI:NL:RBOVE:2024:3924) de rechtbank Overijssel een verdachte voor een gevangenisstraf van drie jaar (waarvan één jaar voorwaardelijk) en het betalen van een schadevergoeding aan benadeelden, vanwege het medeplegen van computervredebreuk, het voorhanden hebben van een technisch hulpmiddel om (o.a.) computervredebreuk te plegen, diefstal van cryptovaluta en het bezit van een vuurwapen en munitie.

De applicatie die de verdachte beheerde is door rechtbank in het vonnis omschreven als een ‘Zwitsers zakmes voor cybercriminaliteit’. Zie ook dit NOS-artikel over de zaak. Het bevat verschillende functionaliteiten waarmee strafbare feiten kunnen worden gepleegd. Deze functionaliteiten omvatten het gehele proces van het versturen van phishingmails tot het uitbuiten van de hiermee verkregen gegevens:

  1. Phishing. De eerste functionaliteit is het versturen van phishingmails. De phishingmail kan worden opgesteld door het opgeven van een onderwerp en afzendergegevens binnen een vooraf ontwikkelde e-mailtemplate. Die template lijkt op een echte e-mail van een partij, zoals Yourhosting , Coinmerce of Bitvavo. Als ontvangers van het bericht kan een lijst met e-mailadressen worden ingevoerd. Met een druk op de knop kan de e-mail met daarin een link naar een valse, maar niet van echt te onderscheiden website naar een groot aantal ontvangers worden gestuurd. Buitgemaakte gegevens kunnen vanuit deze valse website naar [applicatie] worden teruggestuurd;
  2. Hacking. De tweede functionaliteit is het testen en verrijken van de verkregen persoonsgegevens. Omdat veel mensen hetzelfde wachtwoord voor meerdere sites en applicaties gebruiken, kan geautomatiseerd worden getest of met het verkregen wachtwoord ook kan worden ingelogd op de mailbox van een verkregen e-mailadres;
  3. Accountovername. [applicatie] bevat ook een functionaliteit om werkende e-mail-wachtwoord-combinaties geautomatiseerd met persoonsgegevens te verrijken. Gepoogd kan worden bij bijvoorbeeld een webshop in te loggen en eventueel verkregen persoonsgegevens uit dit webshopaccount in [applicatie] op te slaan. Daarnaast kan worden gekeken of het e-mailadres aan een account bij Riverty (voorheen AfterPay ) is gekoppeld, om na te gaan of een account geschikt is voor het plaatsen van bestellingen met betaling achteraf. Met toegang tot een mailbox kan ook worden geprobeerd toegang te verkrijgen tot cryptoaccounts om vanuit hier crypto weg te nemen;
  4. Misbruik persoonsgegevens. Als een door phishing verkregen wachtwoord werkt en gebruik kan worden gemaakt van Riverty, kan op naam van door phishing verkregen persoonsgegevens een bestelling bij een webshop worden geplaatst. Door in de mailbox van het betreffende e-mailaccount regels in te stellen, merkt de accounthouder daar niets van. Inkomende e-mailberichten met bestel- en track and trace-gegevens, die trefwoorden bevatten zoals PostNL, Riverty en Zalando, kunnen direct naar een tijdelijke mailbox van de dader(s) worden doorgestuurd en buiten het zicht van de accounthouder worden gehouden, omdat e-mailberichten direct worden verplaatst naar de map verwijderde items. [applicatie] bevat een functionaliteit om periodiek op basis van het trackingnummer en de postcode van het afleveradres de status van een pakket bij een bezorgdienst op te vragen. Op deze manier kan in een overzicht gemakkelijk de status van een besteld pakket worden gevolgd;
  5. Identiteitsfraude. De afgevangen e-mails van bezorgdiensten bevatten naast een trackingcode ook een link om het afleveradres te wijzigen. Als hier gebruik van wordt gemaakt, kan de dader een pakket bijvoorbeeld bij een pakketpunt/-automaat laten bezorgen en het pakket daar afhalen. Voor het afhalen van een pakket is soms identificatie vereist. [applicatie] bevat een functionaliteit waarmee een afbeelding van identiteitsbewijs kan worden gemodificeerd. Hier kunnen illegaal verkregen afbeeldingen van identiteitsbewijzen voor worden misbruikt. Op basis van deze identiteitsbewijzen kan een nieuwe afbeelding worden gegenereerd, met een zelfgekozen naam en een willekeurig documentnummer. Deze nieuwe afbeelding kan vervolgens bij het ophalen van een pakket op de mobiele telefoon worden getoond.

De verdachte bekend op de zitting dat hij de applicatie met alle functionaliteiten zelf heeft gebouwd en op verschillende servers heeft gehost. Dit maakt dat verdachte het technisch hulpmiddel heeft overgedragen, verspreid, ter beschikking gesteld en voorhanden heeft gehad. De huur van de applicatie-servers van de verdachte is met cryptovaluta uit wallets van anderen betaald. Hiertoe zijn cryptoaccounts gehackt. Ook heeft verdachte met zijn applicatie-server afbeeldingen van identiteitsbewijzen van anderen ter beschikking gesteld en voorhanden gehad, met het doel om daarmee valse digitale ID-bewijzen te maken.

De verdachte heeft het gebruikt om phishingmails naar 105.000 klanten van een platform te verzenden. In de e-mails zat een link om de klanten te verleiden op die link te klikken en persoonsgegevens als gebruikersnaam en wachtwoord op een ogenschijnlijk betrouwbare online omgeving van een platform achter te laten. De rechtbank stelt vast dat de verdachte gebruik heeft gemaakt van de bij phishingaanvallen buitgemaakte gegevens door hiermee op e-mailaccounts van andere personen geautomatiseerd in te loggen, regels in te stellen en op hun naam bestellingen bij webshops te doen. Bovendien heeft verdachte ook zelf bestellingen opgehaald.

In de strafmotivering overweegt de rechtbank nog dat de verdachte jong is en een bepaalde spanning en het krijgen van (online) waardering lijken gepaard te zijn gegaan met het plegen van de verschillende vormen van cybercriminaliteit. De rechtbank hoopt dat een deels voorwaardelijke straf – als stok achter de deur – verdachte ervan weerhoudt in de toekomst wederom strafbare feiten te plegen en zijn talenten op een andere wijze in te zetten.

Gebruik Exclu data in ‘Suske en Wiske’-zaak

De rechtbank Gelderland biedt in een uitspraak van 4 juli 2024 (ECLI:NL:RBGEL:2024:4183) in de zogenoemde ‘Suske en Wiske’-zaak (vernoemd naar de nicknames van de (drugsbende)leiders op Exclu en EncroChat), meer details over de Exclu-operatie en interessante overwegingen met betrekking tot de betrouwbaarheid van het bewijs dat in Duitsland is vergaard.

In de uitspraak is te lezen dat op 22 juli 2022 een rechter-commissaris een machtiging verleent voor het voor het tappen van Exclu-verkeer van de Duitse server. Deze machtiging is daarna zes keer verlengd. Aangezien de server van Exclu zich in Duitsland bevond, is voor het onderscheppen van het berichtenverkeer en het verkrijgen van de sleutels de server op verzoek van Nederland gehackt door de Duitse bevoegde autoriteiten.

Voorwaarden machtiging rc

Bij beschikking van 25 augustus 2022 heeft de rechter-commissaris een machtiging verleend voor het hacken van de server van Exclu in Duitsland (in de zin van art. 126o Sv). Deze is daarna vijf keer verlengd. De beschikkingen van de rechter-commissaris en de verlengingen daarvan werden steeds gevolgd door Europese onderzoeksbevelen (EOB’s) gericht aan de bevoegde Duitse autoriteiten. In de beschikking van 25 augustus 2022 werden aan de verleende machtiging de voorwaarden verbonden dat de vergaarde informatie slechts mag worden doorzocht op vast te leggen zoeksleutels terwijl de met die zoeksleutels geselecteerde informatie eerst aan de rechter-commissaris moet worden voorgelegd om de inhoud, omvang en relatie tot de vermoedelijk gepleegde of te plegen strafbare feiten te controleren en pas daarna aan het openbaar ministerie of de politie ten behoeve van (opsporings-)onderzoeken beschikbaar mag komen. Bovendien is aan de machtiging de absolute randvoorwaarde verbonden dat de vergaarde informatiecommunicatie slechts ter beschikking mag worden gesteld voor onderzoeken naar strafbare feiten als bedoeld in artikel 67 Sv eerste lid in georganiseerd verband gepleegd of beraamd en die gezien hun aard of de samenhang met andere misdrijven die in dat georganiseerde verband worden beraamd of gepleegd een ernstige inbreuk op de rechtsorde maken, dan wel misdrijven met een terroristisch oogmerk.

In de onderhavige zaak voert de verdediging aan dat het bewijs onrechtmatig zou zijn verkregen en onbetrouwbaar bewijs zou opleveren. Gelet op het arrest van de Hoge Raad van 13 juni 2023 (ECLI:NL:HR:2023:913) gaat de rechtbank na of de rechter-commissaris in redelijkheid tot zijn beslissingen tot tappen respectievelijk hacken van de Exclu-server heeft kunnen komen. Daarbij heeft de rechtbank te waarborgen dat gebruik van de aldus verkregen Exclu-data zich verhoudt met het recht op een eerlijk proces, in die zin dat de rechtbank de “overall fairness” van de strafzaak tegen verdachte moet waarborgen. De rechtbank is van oordeel dat de rechter-commissaris onder de gegeven feiten en omstandigheden in redelijkheid tot de aldus afgegeven machtigingen met bijbehorende verlengingen heeft kunnen komen.

Betrouwbaarheid bewijs

Met betrekking tot de betrouwbaarheid van het bewijs overweegt de rechtbank het volgende. Gelet op het arrest van de Hoge Raad van 13 juni 2023 mag de rechtbank voor de Exclu-data in de strafzaak tegen verdachte, die door tappen van berichten en hacken van de server onder verantwoordelijkheid van de Duitse autoriteiten is verkregen, behoudens concrete aanwijzingen voor het tegendeel, van de betrouwbaarheid van het onder verantwoordelijkheid van de Duitse autoriteiten verrichte onderzoek, uitgaan.

Zowel over de Encrochat-data als de Exclu-data is een NFI rapportage opgemaakt waarin de deskundige verklaart dat er geen redenen gevonden zijn om te twijfelen aan de correctheid van de berichten uit het technisch hulpmiddel, behalve de fout met de omgedraaide bellende en gebelde tegenpartij. De datasets zijn weliswaar niet volledig in die zin dat zij niet alle ooit met de accounts verzonden of ontvangen berichten bevatten, maar dat kan verklaard worden door de automatische wisfunctie en/of het handmatig wissen van berichten. De gegevens van Exclu zijn voor 99,6 % volledig, waarbij het verschil met 100% komt door het ontbreken van interceptie-gegevens op 3 januari 2023 tussen 13:16 en 14:51 uur. Een aantal berichten is dubbel veiliggesteld, maar deze discrepantie heeft geen invloed op het gebruik van de gegevens verkregen uit de interceptie van de Exclu-berichten dienst. De verdediging draagt onvoldoende concrete aanwijzingen aan over de onbetrouwbaarheid van de Exclu-data. Het enkele noemen van een verkeerde toeschrijving van een bericht aan een bepaald account in een ander onderzoek volstaat daartoe volgens de rechtbank niet.

Bewijsoverwegingen omtrent ANOM in grote drugszaak

In een uitgebreide en lezenswaardige uitspraak (ECLI:NL:RBOBR:2024:3404) gaat de rechtbank Oost-Brabant in op bewijsverweren inzake de toegang en het gebruik van bewijs uit cryptophone-operaties. In dit geval meer specifiek de ANOM-operatie.

Op 24 november 2020 werd naar aanleiding van informatie die werd verkregen van het Team Criminele Inlichtingen een opsporingsonderzoek gestart onder de naam Baraga. Onderzoek Baraga richtte zich op de productie van en/of handel in (grondstoffen voor) synthetische drugs en deelneming aan een criminele organisatie. Gedurende het onderzoek kreeg het onderzoeksteam de beschikking over onderzoeksgegevens uit andere, al dan niet lopende, opsporingsonderzoeken en over data van meerdere cryptocommunicatiediensten (EncroChat, SkyECC en ANØM). Daarnaast werd gebruik gemaakt van diverse opsporingsmethoden zoals telefoontaps, observaties en het opnemen van vertrouwelijke communicatie (OVC) op meerdere locaties dan wel in voertuigen. Tijdens het onderzoek is hierdoor een groot aantal andere personen in beeld gekomen, die of samen met (een van) de hoofdverdachten, danwel in (diens) opdracht of in wisselende samenstelling(en) met een ander of anderen strafbare feiten hebben gepleegd. De diverse verdachten konden worden gekoppeld aan acht drugslaboratoria in Nederland en België waar synthetische drugs konden worden geproduceerd (al dan niet in opbouw, actief of voormalig) en aan opslaglocaties die hier verband mee hielden.

Het onderzoek heeft tot de verdenking geleid dat verschillende misdrijven zijn gepleegd. Kort weergegeven zijn de volgende feiten ten laste gelegd (het verschilt per verdachte welke feiten precies ten laste zijn gelegd):

  • het (mede)plegen van voorbereidingshandelingen voor de productie van (met)amfetamine en/of MDMA als bedoeld in artikel 10a van de Opiumwet;
  • het (mede)plegen van de productie van (met)amfetamine en MDMA op verschillende locaties;
  • deelname aan een organisatie die als oogmerk heeft het plegen van misdrijven bedoeld in artikel 10 lid 3 en/of lid 4 en/of lid 5 van de Opiumwet, al dan niet als leider;
  • het voorhanden hebben van (een of meerdere) vuurwapen(s).

Door de verdediging is verweer gevoerd tegen de bruikbaarheid van alle in het dossier beschikbare cryptodata, te weten de data van de diensten EncroChat, SkyECC en ANØM. De verdediging wijst daarbij op het arrest van het Hof van Justitie van de Europese Unie (hierna: HvJ EU) van 30 april 2024 (ECLI:EU:C:2024:372) en benadrukt dat uit dit arrest blijkt dat het Unierecht in Nederland onjuist is toegepast. Ook zou de Hoge Raad in de beslissing van 13 juni 2023 (ECLI:NL:HR:2023:913) onjuist hebben overwogen dat de EOB-richtlijn beperkt is tot de inzet van bevoegdheden als genoemd in de artikelen 126m en 126t Sv. Ook is onjuist overwogen dat hetgeen is bepaald in artikel 31 van de EOB-richtlijn niet is geschreven ter bescherming van specifieke belangen van de af te tappen of afgetapte persoon, maar verband houdt met de soevereiniteit van de betrokken landen.

Kortgezegd overweegt de rechtbank dat Nederland in de ANOM operatie niet het desbetreffende ‘derde land’ is geweest die de interceptie heeft gefaciliteerd voor de Amerikanen van communicatie uit de cryptotelefoons. Het derde land is een land in de Europese Unie en heeft conform haar eigen juridische processen een gerechtelijke machtiging heeft verkregen voor het kopiëren van ANØM-berichten op de in dat land staande server. Volgens de rechtbank is hier slechts sprake geweest van technische bijstand door het derde EU-land. De rechtbank wijst hierbij ook naar hetgeen de Hoge Raad in het arrest van 13 juni 2023 onder 6.10 heeft overwogen. Daar is sprake van een vergelijkbare duiding van bijstand. Omdat het ook hier enkel ging om technische bijstand is van een situatie als bedoeld in artikel 31 van de EOB-richtlijn geen sprake geweest. Het derde land was niet de intercepterende staat. De rechtbank overweegt ook dat niet is gebleken van een rol van de Nederlandse opsporingsautoriteiten bij de uitvoering van de interceptie. Dat de Nederlandse opsporingsautoriteiten op enig moment betrokken raakten is ten gevolge van het feit dat Nederland in de top vijf gebruikende landen bleek te staan niet verbazingwekkend. Dat maakt echter niet dat sprake is van een opsporingsonderzoek onder verantwoordelijkheid van de Nederlandse autoriteiten. Alle onderzoekswensen van de verdediging worden daarom afgewezen.

Uit het voorgaande volgt dat ook waar het de bestreden rechtmatigheid van de verkrijging van bewijsmateriaal van ANØM-toestellen betreft, het niet aan de Nederlandse strafrechter is om het onderzoek in het buitenland te toetsen. De rechtbank verwerpt de verweren voor zover zij zien op de (on)rechtmatigheid van de verkrijging van bewijsmateriaal afkomstig van ANØM-toestellen. Voor de volledigheid merkt de rechtbank op dat door de verdediging in de diverse zaken de betrouwbaarheid van het verkregen bewijsmateriaal niet is bestreden. De rechtbank neemt tot uitgangspunt dat het onderzoek in de Verenigde Staten zo is uitgevoerd dat de resultaten betrouwbaar zijn en ziet, ook ambtshalve, geen aanwijzingen voor het tegendeel die aanleiding geven tot nader onderzoek van de betrouwbaarheid.

Voor de verwerking van bewijsmateriaal afkomstig van ANØM-toestellen is geen machtiging van de rechter-commissaris gevorderd. De rechtbank is in het licht van het door de Hoge Raad in zijn prejudiciële beslissing uiteengezette kader van oordeel dat daartoe ook in het geval van ANØM-gegevens geen noodzaak bestond. Het Openbaar Ministerie heeft zelf wel kaders gesteld voor en voorwaarden verbonden aan de (verdere) verwerking van dit bewijsmateriaal. Ook hier is door de verdediging niet aangevoerd dat in strijd met de door het Openbaar Ministerie gestelde voorwaarden is gehandeld en de rechtbank ziet ook geen aanwijzingen voor dat oordeel.

Ten slotte overweegt de rechtbank dat de Richtlijnen 2002/58/EG en 2016/680, noch de jurisprudentie van het EHRM die ziet op bulkinterceptie van data en mogelijke strijd daarvan met artikel 8 EVRM op de verwerking van het onderhavige bewijsmateriaal van toepassing, omdat dit voortvloeit uit de prejudiciële beslissing van de Hoge Raad. Evenmin is het kader dat voortvloeit uit het Prokuratuur-arrest van toepassing, nu ook die rechtspraak immers niet ziet op de interceptie van gegevens in het kader van een strafrechtelijk onderzoek naar de aanbieders van diensten waarmee berichten versleuteld kunnen worden verzonden, en naar de gebruikers van die diensten, in verband met de in relatie tot het aanbieden en het gebruik gerezen verdenkingen. Het voorgaande brengt de rechtbank tot het oordeel dat het bewijsmateriaal afkomstig van de toestellen rechtmatig is verwerkt.

Op de fascinerende combinatie van bewijsmiddelen wordt verder in dit bericht niet ingegaan. De verdachte in de onderhavige zaak wordt veroordeeld tot negen jaar gevangenisstraf, met aftrek van voorarrest.

Cybercrime jurisprudentieoverzicht januari 2021

jjoerlemans

Beslissingen in EncroChat-zaken

De rechtbank Amsterdam heeft op 18 december 2020 enkele belangrijke beslissingen genomen in de bekende EncroChat-zaken (het onderzoek wordt ‘26Douglasville’ genoemd) (Rb. Amsterdam 18 december 2020, ECLI:NL:RBAMS:2020:6443). De verdediging verzoekt tot toegang tot stukken uit een ander onderzoek (‘26Lemont’) om onderzoek te doen naar de rechtmatigheid van het onderzoek naar de EncroChat-hack ter nadere onderbouwing van hun verweer.

Kortgezegd meent het Openbaar Ministerie er geen aanleiding is om de door de verdediging gevraagde stukken aan het dossier toe te voegen, omdat een bevoegde rechterlijke autoriteit zowel in Frankrijk als in Nederland heeft getoetst of de gehanteerde werkwijze rechtmatig was. Toch blijft dan nog steeds onduidelijk wat de werkwijze precies was.

De rechtbank stelt kortgezegd dat het internationaal vertrouwensbeginsel impliceert dat het niet tot de taak van de Nederlandse strafrechter behoort om te toetsen of een door een andere EVRM-lidstaat uitgevoerd strafrechtelijk onderzoek in overeenstemming is met de in die lidstaat geldende rechtsregels (met verwijzing naar HR 5 oktober 2010, ECLI:NL:HR:2010:BL5629). Er hoeven past rechtsgevolgen te worden verbonden aan de vormverzuimen als het recht op een eerlijk proces onvoldoende kan worden gewaarborgd. De rechtbank vindt dat de verdediging onvoldoende onderbouwd waarom de stukken moeten worden versterkt. Persoonlijk heb ik begrip voor het pleidooi van de advocaten en tegelijkertijd begrijp ik de verwijzing naar staande jurisprudentie van de rechtbank. Het is een zaak die ik zeker met interesse blijf volgen.

De rechtbank overweegt zelfs dat door de raadslieden onvoldoende is onderbouwd dat onderzoek 26Lemont heeft te gelden als een voorbereidend onderzoek naar de verdachten in onderzoek 26Douglasville. De JIT-overeenkomst vormt de basis waarop de door de Franse autoriteiten vergaarde informatie uit onderzoek 26Lemont aan Nederland is verstrekt. De rechtbank draagt (vooralsnog) het Openbaar Ministerie niet op de JIT-overeenkomst aan het dossier toe te voegen. De hele constructie met JIT’s begrijp ik persoonlijk nog niet goed, dus deze overweging kan ik niet op waarde schatten.

Zie ook deze fascinerende podcast van 25 oktober 2020 op AD.nl over de EncroChat-zaken.

Hoger beroep in moordzaak en Google-tijdlijn gegevens

Het Hof Arnhem-Leeuwarden heeft op 1 december 2020 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHARL:2020:9865) tot een gevangenisstraf van 20 jaar voor het medeplegen van de moord op haar echtgenoot. Het hof leunt voor de bewijsvoering sterkt op de resultaten van de Google Timeline behorende bij het Google-account van het slachtoffer, terwijl de verdachte ontkent. Eerder heb ik ook over de zaak in eerste aanleg (Rb. Noord-Nederland 11 juli 2019, ECLI:NL:RBNNE:2019:2986) bericht. De zaak is interessant omdat de bewijsvoering sterk op de gegevens van Google berust terwijl de betrouwbaarheid daarvan wordt betwist. Mijn verwachting is dat deze gegevens vaker gebruikt zullen worden. Zie ook deze artikelen in Wired (‘How Your Digital Trails Wind Up in the Police’s Hands‘) over digitaal bewijs van Google, onder andere over de fascinerende ‘geofence-warrants‘, waarbij Google verkeersgegevens van Androidtelefoons in een bepaald gebied en een bepaalde tijd aan opsporingsinstanties moeten verstrekken.

Het hof stelt voorop dat aan de hand van gebruikersactiviteiten en locatiegegevens van het Googleaccount van het slachtoffer inzicht is verkregen in een tijdlijn met locaties en daarbij behorende activiteitgegevens, waaronder gebruikersactiviteiten (de Google Timeline). Het hof gebruikt de ‘confidence-waarde’ van Google om te bepalen wat de mate van waarschijnlijkheid dat de geschatte type activiteit (door Google) correct is. Zo wordt in het arrest beschreven: ‘Om 00:27:38 uur bevindt het toestel van het slachtoffer zich volgens de locatiegegevens van Google met een waarschijnlijkheid van 95% op een gebruiker die aan het lopen is. Volgens de gebruikersactiviteiten van Google verandert de hoek waarop het toestel zich bevindt aanzienlijk om 00:40:09 uur, met een waarschijnlijkheid van 100%. Om 00:43:18 uur beweegt het toestel niet, met een waarschijnlijkheid van 100%’.

In eerste aanleg is een contra-expertise verricht naar de Google Timeline. De Telecomdeskundige van het Nationaal Forensisch Onderzoeksbureau (hierna: NFO) heeft in eerste aanleg ter terechtzitting verklaard dat hij zijn eigen script op de ruwe data van Google Timeline heeft toegepast. De gegenereerde tijdstippen en positie heeft hij geplot in Google Maps en daaruit kwamen exact dezelfde posities naar voren als weergegeven in het politieonderzoek. In hoger beroep bepleit de verdediging dat de gegevens niet betrouwbaar zijn. Daarbij is een rapport ingebracht van het ‘Nederlands Forensisch Incident Response’ (hierna: NFIR). Ik mis de technische expertise en details van de zaak om het digitaal bewijs op waarde te schatten. De tegenstelling over de betrouwbaarheid is in ieder geval opvallend.

Het hof overweegt daarover dat tussen de digitale experts van de politie, het NFO en het NFIR consensus bestaat over het feit dat Google locatiegegevens niet gebruikt kunnen worden om een mobiele telefoon met absolute zekerheid en precisie op een specifieke locatie te plaatsen, en dat de politie en de NFO deskundige met de ruwe data van Google Timeline in Google Maps tot exact dezelfde tijdstippen en posities komen. Het hof stelt vast dat de door de verdediging ingeschakelde forensisch onderzoekers (NFIR) een dergelijk volledig onderzoek niet is verricht.

Kortgezegd ziet het Hof geen enkele reden om aan de betrouwbaarheid van de Google locatiegegevens te twijfelen en deze niet voor het bewijs te bezigen. Daarbij benadrukt het hof dat de Google locatiegegevens in het kader van de bewijsvoering slechts worden gebruikt als een indicatie van de locatie van het telefoontoestel, beschouwd in het licht van de door Google zelf aangegeven confidence-waarde. Het hof beschouwt de bevindingen van Google Timeline uiteindelijk in combinatie met de resultaten van het bloedspoorpatroononderzoek en het pathologisch onderzoek en is daarmee door het bewijs overtuigd dat de verdachte de moord heeft gepleegd.

Veroordeling voor drugshandel op darknet markets

Op 16 december 2020 heeft de rechtbank Rotterdam een verdachte veroordeeld (ECLI:NL:RBROT:2020:11624) voor drugshandel via darknet markets en deelname aan een criminele organisatie. De verdachte is veroordeeld tot een gevangenisstraf van 24 maanden en een taakstraf van 240 uur. Eén van de zes medeverdachten wordt vrijgesproken van deelneming aan een criminele organisatie.

De bewijsvoering over drugshandel via darkweb is met name interessant om te lezen. De uitspraak vermeld bijvoorbeeld de handgeschreven prijslijst met verboden middelen, inloggegevens van de darknet markten ‘Alphabay’ en ‘Valhalla’, een Excellijst met verkopen uit de drugshandel per darknet market en een handleiding genaamd ‘hoe bestellingen af te handelen op de dark markets’.

De medeverdachten verstopten pakketten met drugs in uitgeholde kaarsen en verstuurden deze vanuit hun woning naar adressen in het buitenland. In de berging van de woning en de schuur van hun grootmoeder zijn aanzienlijke hoeveelheden verdovende middelen aangetroffen.

Fraude door scan van QR-code

Op 15 december 2020 heeft de rechtbank Den Haag een verdachte veroordeeld (ECLI:NL:RBDHA:2020:12796) tot vier maanden gevangenisstraf voor oplichting, computervredebreuk, diefstal met een valse sleutel en witwassen.

Hij verdiende zijn geld door middel van fraude met een QR-code. Dat ging als volgt in zijn werk. De verdachte sprak het slachtoffer aan op het station Hollands Spoor die hem op zijn telefoon de ING Mobiel Bankieren app liet zien, waarin op dat moment een QR-code zichtbaar was. De man vroeg hem om die QR-code te scannen om 2 euro naar zijn bankrekening over te maken, omdat hij geld tekort kwam voor het kopen van een treinkaartje. Een dag later bemerkte het slachtoffer dat er buiten zijn medeweten vanaf zijn bankrekening transacties waren verricht. Op de camerabeelden van station Hollands Spoor was te zien dat het slachtoffer werd aangesproken door verdachte, en een handeling verrichte op zijn telefoon (het scannen van de QR-code).

De rechtbank ziet in het handelen van de verdachte listige kunstgrepen en een samenweefsel van verdichtsels (vereist voor het delict oplichting). De verdachte heeft het slachtoffer in strijd met de waarheid voorgespiegeld dat hij door het scannen van de QR-code twee euro naar de bankrekening van verdachte zou overmaken. Op de camerabeelden van een kledingwinkel in Amsterdam is waar te nemen dat verdachte een dag later, op 4 november 2019 om 15:05 uur, een jas van € 995,- afrekende, terwijl uit de bankrekeninggegevens van het slachtoffer blijkt dat op precies hetzelfde tijdstip een bedrag van € 995,- van de bankrekening is afgeschreven bij de betreffende kledingwinkel in Amsterdam.

De verdachte is met bovenstaande handelingen ook binnengedrongen in een (deel van een) geautomatiseerd werk, namelijk de beveiligde internetbankierenomgeving van ING-bank. Verdachte heeft dit gedaan met inloggegevens tot het gebruik waarvan hij niet bevoegd was, en door zich voor te doen als geautoriseerde ING-klant, zodat in het kader van de computervredebreuk zowel sprake is van het gebruik van een valse sleutel, als van het aannemen van een valse hoedanigheid.

Internet Organised Crime Threat Assessment (iOCTA) rapport 2020

jjoerlemans

Eersgisteren (5 oktober 2020) heeft Europol het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) rapport (.pdf) gepubliceerd. Het lezenswaardige rapport gaat over trends en ontwikkelingen op het gebied van cybercriminaliteit. Het rapport komt tot stand op basis van input en interviews bij opsporingsinstanties en de private beveiligingsindustrie. In deze blog benoem ik enkele opvallende zaken uit het rapport.

Ransomware

Ransomware wordt opnieuw genoemd als de grootste dreiging op het gebied van de ‘cyber dependent crimes’ (cybercriminaliteit in enge zin). De aanvallen worden steeds gerichter uitgevoerd. Ransomware criminelen vallen steeds vaker publieke en private organisaties aan, in plaats van de PC’s van individuen. Op die manier kunnen ze meer losgeld eisen en is de kans groter dat het (crypto)geld ook daadwerkelijk wordt overgemaakt. In de periode 2019-2020 zijn in de Europese Unie gemeenten, ministeries, ziekenhuizen, universiteiten, middelbare scholen, fabrieken, banken, energiebedrijven en bedrijven in de transportsector slachtoffer geweest van ransomware.

Europol beschrijft de volgende modus operandus bij ransomware. Bij aanvallen verschaft een cybercriminele groep eerst toegang tot computers in het netwerk van het slachtoffer (na verkenning ‘reconnaissance’). Vervolgens wordt de toegang verkocht aan een andere groep cybercriminelen die de IT-infrastructuur in kaart brengen, toegang verschaffen tot meer computers, gegevens exfiltreren, etc. Vervolgens worden de computers geïnfecteerd met ransomware en zo de ransomware uitgerold op gehele netwerk (incl. back-ups). Steeds vaker wordt niet alleen losgeld geëist, maar wordt ook gedreigd met het publiceren van gestolen gegevens van gevoelige aard van de slachtoffers. Als het losgeld niet wordt betaald, dan worden de gevoelige gegevens gepubliceerd of verkocht aan de hoogste bieder. Er bestaan zelfs ransomware-onderhandelaars bij cybersecuritybedrijven die een bekende zijn van ransomwarebendes en korting bedingen bij het te betalen losgeld. Ransomwarefamilies zoals ‘Sodinokobi’, ‘Maze’, ‘Doppelpaymer’, ‘Nemty’ en ‘Snatch’ staan er om bekend gegevens te publiceren over hun slachtoffers. Europol verwacht dat andere cybercriminelen deze modus operandi overnemen.

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Darknet markets en cryptogeld

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf verder onder druk te zetten. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Op dit moment is er geen ‘darknet market’ die alle andere markten domineert. Wel vermeld Europol dat ‘Dread Market’ al drie jaar actief is, wat tegenwoordig uitzonderlijk is. In het rapport wordt opgemerkt dat de reputatie van de e-maildienst met sterke versleuteling ‘Protonmail’ minder populair is dan voorheen bij darkweb gebruikers, omdat ze ervan worden verdacht samen te werken met opsporingsinstanties. Zij maken nu vaker gebruik van nieuwe versleutelde e-maildiensten als ‘Sonar’ en ‘Elude’ en communicatiediensten als ‘Discord’, ‘Wickr’ en ‘Telegram’.

Bij Bitcoin waren in 2016 naar schatting 20% van de transacties gerelateerd aan criminele activiteiten. In 2019 is dat nog naar schatting nog maar 1,1% (volgens ChainAlysis). Toch is de hoeveelheid geld dat kan worden gerelateerd aan criminele activiteiten gestegen, volgens Europol. Het gaat dan vooral om transacties vanuit darknet markets, diefstal en ransomware. Monero is inmiddels the most established privacy coin op darknet markets, gevolgd door Zcash en Dash. Met betrekking tot diefstal is het opvallend dat in 2019 tien publieke hacks plaatsvonden bij crypto-uitwisselingskantoren, waarbij in totaal 240 miljoen euro aan cryptogeld werd gestolen. Toch is dat minder dan in 2018, waarbij onder andere bij de Japanse exchange ‘Coincheck’ 500 miljoen euro aan cryptogeld werd gestolen. Europol beschrijft ook dat opsporingsonderzoeken naar witwassen met cryptocurrencies steeds uitdagender worden, vanwege ‘mixing services’, ‘privacy coins’ en uitwisselingskantoren die onvoldoende anti-witwasmaatregelen nemen.

Kinderpornografie

Ten slotte rapporteert Europol al vele jaren achter dat de hoeveelheid kinderpornografie stijgt (‘child sexual abuse materials’ genoemd). Kinderpornografie via ‘live streaming’ stijgt ook. Europol verwijst voor een verklaring ook naar de COVID-19 crisis, waardoor er minder capaciteit is bij de politie. Europol geeft aan dat kinderpornografiegebruikers steeds vaker maatregelen nemen om zo anoniem mogelijk te blijven en beveiligingsmaatregelen nemen om detectie door opsporingsinstanties te voorkomen. Steeds vaker kinderpornografisch materiaal verkocht, waarbij het materiaal wordt geüpload bij een hosting dienst en geld wordt verdiend aan ‘credits’ op basis van het aantal downloads. Vermoedelijk kunnen de credits worden ingewisseld voor ‘echt geld’.

Europol noemt ook een internationale politie operatie (de Nederlandse politie wordt prominent genoemd) waarbij de website ‘DarkScandals’ offline is gehaald. Daarop stonden seksvideo’s die zonder toestemming waren gemaakt en geplaatst en daarnaast gewelddadige seksvideo’s met verkrachting, marteling, mensenhandel en kinderpornografie. Het betreft een zogenoemde ‘pay to view’ website, waarbij de bezoeker de mogelijkheid geboden wordt om tegen betaling video’s of foto’s te verkrijgen van (jonge) vrouwen die seksuele handelingen verrichten of seksueel worden misbruikt. Betaling kon achterwege blijven als de gebruiker (user) zelf videomateriaal uploadt. Video’s moesten wel aan de voorwaarde voldoen dat ze echte verkrachting, afpersing, pesterijen van seksuele aard met naakte vrouwen, extreme betasting of seksuele slavinnen laten zien (zie ook persbericht OM).

De ‘administrator’ is een Nederlander die vermoedelijk 2 miljoen doller heeft verdient aan de verkoop van het materiaal op de website. De verdachte wordt onder andere vervolgd voor de verspreiding van kinderpornografie en witwassen.  

Opsporing en bestrijding van online drugsmarkten

jjoerlemans Een reactie plaatsen

Posted on 03/01/2020 on Oerlemansblog

In december 2019 heeft Strafblad het artikel ‘Opsporing en bestrijding van online drugsmarkten’ gepubliceerd. Samen met Rolf van Wegberg heb ik het artikel geschreven. Het bevat een overzicht van opsporingsmethoden die worden gebruikt voor de opsporing op online drugsmarkten. Ook bespreken we ‘Operation Bayonet’, met de verstoringsstrategie van ‘Hansa Market’. De belangrijkste conclusies zetten we hier nog op een rij.

Opsporing

In het artikel wordt de regulering van opsporingsmethoden besproken, zoals openbronnenonderzoek en undercover opsporingsmethoden. De Hansa Market-uitspraak wordt daarbij uitgelicht (zie ook deze blog post). Ook wordt toegelicht waarom online undercoveroperaties interessante mogelijkheden bieden voor opsporingsinstanties, met name vanwege de mogelijkheden tot misleiding en interactie met verdachten op afstand.

We benadrukken daarbij dat digitale undercoveroperaties in de toekomst vaker zullen worden toegepast, al dan niet door of in gezamenlijkheid met buitenlandse opsporingsinstanties. Het is belangrijk dat advocaten en rechters blijven toetsen hoe de gebezigde opsporingsmethoden zich tot de wet verhouden. In de Hansa-zaak heeft de verdediging enkele voor de hand liggende verweren laten liggen, zoals het doorlaatverbod en de toepassing van andere opsporingsbevoegdheden dan infiltratie. Ook verdient het nader onderzoek of de ontwikkeling van internationale verdragen noodzakelijk zijn voor het in goede banen leiden van grensoverschrijdende online operaties van opsporingsautoriteiten.

Verstoring

Aan de hand van Hansa Market leggen we ook uit hoe de ‘verstoring’ van deze online drugsmarkt in elkaar steekt en hoe de effecten daarvan kunnen worden gemeten. Verstoringsacties bieden mooie kansen voor onderzoek. Het meetbaar maken van politie-interventies in het digitale domein biedt nieuwe inzichten op eerder onbeantwoordbare vragen rondom de effectiviteit van deze interventies. Het is daarnaast een handvat voor toekomstig optreden. Immers, wanneer een interventie ontworpen wordt die gebruikmaakt van eerdere, bewezen resultaten, kan daarmee de politiële slagkracht worden vergroot zonder extra middelen of capaciteit.

Vanuit juridisch perspectief biedt het onderwerp van verstoring bij cybercrime nog nadere bestudering, met name op het gebied van toezicht op de rechtmatigheid van dergelijke operaties. Zo komen de betrokkenen van een verstoringsactie meestal niet voor een rechter, waardoor de rechtmatigheid van een dergelijke operatie niet achteraf wordt getoetst.

Annotatie Hansa Market

jjoerlemans Een reactie plaatsen
Rb.-Rotterdam-3-juli-2019-Hansa-Computerrecht-2019-m.nt_.-J.J.-Oerlemans-1Download

Posted on 01/11/2019 op Oerlemansblog

De digitale infiltratieoperatie op de darknet market ‘Hansa’ is uniek. Tijdens deze operatie heeft de Nederlandse politie onder leiding van het openbaar ministerie een darknet market overgenomen en 27 dagen lang gerund, teneinde bewijs te verzamelen over de verkopers en kopers op de markt.

Deze zaak van de rechtbank Rotterdam (ECLI:NL:RBROT:2019:5339) zaak betreft een veroordeling van één van de verkopers op het darknet market. De advocaat van de verdachte voert aan dat de infiltratieoperatie onrechtmatig was. In deze annotatie (.pdf) ga ik uitvoerig in op de juridische basis voor een digitale infiltratieoperatie en plaats ik een paar kritische kanttekeningen bij het gebrek aan andere verweren in deze zaak.

De feiten

Hansa is een darknet market waarop grootschalig werd gehandeld in voornamelijk drugs, zoals XTC, cocaïne, speed en amfetamine. Darknet markets zijn online handelsplaatsen die verkopers (‘vendors’) en kopers (‘buyers’) bij elkaar brengen. De handelsplaatsen zijn slechts via een bepaald protocol bereikbaar, in dit geval via het Tor netwerk. Tor zorgt ervoor dat het IP-adres van de handelsplaats en de bezoekers verborgen blijven en versleuteld het netwerkverkeer. Gesprekken tussen kopers en verkopers worden vaak versleuteld door middel van het ‘Pretty Good Privacy’-programma (PGP) en betalingen worden verricht door middel van cryptocurrencies, zoals Bitcoin en Monero. De bestelde producten worden per pakketpost afgeleverd op het gewenste adres.

De verdachte is veroordeeld voor het witwassen van bitcoins, die gekoppeld waren aan debet-, credit- en prepaidcards, en vervolgens werden omgewisseld bij een Bitcoin-uitwisselingkantoor voor in totaal meer dan 800.000 euro. Ook heeft de verdachte samen met anderen meer dan 22.000 bestellingen afgeleverd. De drugs werden verstopt in speciaal met 3D-printers geprinte verpakkingen als make-updoosjes. De hoofdverdachte wordt veroordeeld tot vijf jaar gevangenisstraf.

De rechtbank legt in het vonnis uit dat onder het bevel van een officier van justitie de infiltratiebevoegdheid in artikel 126h Wetboek van Strafvordering (Sv) is ingezet. De rechtbank omschrijft helder op welke wijze de darknet market is overgenomen:

“(…) de infrastructuur van Hansa Market naar Nederlands grondgebied geëmigreerd en is Hansa Market heimelijk en ongewijzigd door het onderzoeksteam overgenomen met als doel wachtwoorden, berichten, orderinformatie en bitcoins niet-versleuteld af te vangen teneinde verdachten te identificeren en illegale goederen in beslag te nemen. Het onderzoeksteam fungeerde daarbij als beheerder van Hansa Market, reageerde op verzoeken van kopers, nam deel aan berichtenverkeer, onderhield contacten en verrichtte een aantal pseudokopen.”

Verweer van advocaat en commentaar

De advocaat van de verdachte voert aan dat het overnemen en beheren van de site geen wettelijke basis heeft, de verdediging geen zicht heeft verkregen in de wijze waarop de infiltratie heeft plaatsgevonden, en niet te controleren is of het optreden van de opsporingsambtenaren rechtmatig was en of voldaan is aan de proportionaliteitseis. De verdediging stelt dat daarom het openbaar ministerie niet-ontvankelijk dient te worden verklaard in de vervolging van de verdachte.

De rechtbank oordeelt dat ‘het overnemen en beheren van de website valt onder de bijzondere opsporingsbevoegdheid van infiltratie in de zin van artikel 126h Sv’ (zie rechtsoverweging 3.1 uit de uitspraak). Daaruit bestaat dan ook de gehele motivering van de rechtbank ten aanzien van het eerste verweer, wat wel érg summier is. De rechtbank had kunnen verwijzen naar de wetsgeschiedenis van de Wet bijzondere opsporingsbevoegdheden waarin al in 1997 duidelijk werd aangegeven dat infiltratie ook op internet mogelijk is. Ook lag het voor de hand dat de rechtbank nog eens de achtergrond van de bevoegdheid aanhaalde. Infiltratie is namelijk bedoeld om te participeren in een criminele organisatie teneinde bewijsmateriaal over strafbare feiten te verzamelen. Het is daarbij mogelijk dat (geautoriseerde) strafbare feiten worden gepleegd. De overname en het beheer van de website voor 27 dagen lang, wordt aldus geplaatst onder de bijzondere opsporingsbevoegdheid van infiltratie. Uit het vonnis wordt niet duidelijk of Nederlandse opsporingsambtenaren ook de online identiteit (het account) van de oorspronkelijke ‘administrators’ (beheerders) van de darknet market hebben overgenomen (zie hierover dit – uitstekende – artikel van Wired). Die handeling is mogelijk onderdeel van de inzet van de infiltratiebevoegdheid, maar het is bijvoorbeeld interessant om te weten of de accountovername op vrijwillige basis plaatsvond.

Uitlokking?

De rechtbank oordeelt tevens, terecht meen ik, dat er geen sprake is van uitlokking. De rechtbank past de gebruikelijke toets toe of de verkopers en kopers door de overname niet tot andere strafbare feiten zijn gebracht door het onderzoeksteam, dan waarop hun opzet reeds was gericht (zie ook HR 29 juni 2010, ECLI:NL:HR:2010:BL0613). Met de geruisloze overname van Hansa Market heeft het onderzoeksteam de bestaande situatie in zoverre ongewijzigd voortgezet. Niet is gebleken dat verkopers (of kopers) door de overname, dan wel door het handelen van het onderzoeksteam, zijn gebracht tot het begaan van andere strafbare feiten dan waarop hun opzet reeds van tevoren was gericht. Het toelaten van nieuwe vendors en aanbieden van een korting bij personen bij wie al het opzet bestond om te handelen in verdovende middelen op deze specifieke en verborgen website, past volgens de rechtbank eveneens in dit kader en kan dan ook niet worden gekwalificeerd als uitlokking.

Over de transparantie van de infiltratieoperatie oordeelt de rechtbank dat voldoende valt te controleren of is voldaan aan de eisen van proportionaliteit en subsidiariteit. Het strafdossier bevat een aanvullend proces-verbaal  waarin inzicht in de werkwijze van de opsporingsambtenaren tijdens de infiltratie wordt verschaft. De rechtbank overweegt daarbij in het kader van de subsidiariteit, naar mijn mening terecht, dat ‘enkel het in beslag namen van servers van illegale marktplaatsen eerder niet heeft geleid tot een effectieve verstoring van de handel in verdovende middelen, maar tot een verplaatsing hiervan met behoud van de digitale structuur bij de verkopers op een andere website (het zgn. ‘waterbedeffect’)’. De operatie was namelijk opgezet in samenwerking met de FBI. De FBI heeft eerst de darknet market ‘Alphabay’ ontmanteld. De kopers en verkopers migreerden toen naar ‘Hansa Market’. Op dat moment heeft de Nederlandse politie en het openbaar ministerie de markt overgenomen en 27 dagen lang beheerd teneinde bewijs te verzamelen. Met deze infiltratieactie is het wel mogelijk gebleken de identiteit van verkopers en kopers te achterhalen en eventuele criminele tegoeden van hen in beslag te nemen. De aard en ernst van de strafbare feiten, de onmogelijkheid langs andere weg het bewijs te verzamelen en de begrensde periode van de inzet van het opsporingsmiddel, maakt in combinatie met elkaar dat is voldaan aan de proportionaliteit- en subsidiariteitseis, aldus de rechtbank.

Toch zal de proportionaliteitstoets niet eenvoudig zijn geweest. Hansa Market had naar verluid in totaal meer dan 3600 dealers en in totaal 420.000 bezoekers. Volgens een achtergrondartikel in Wired op basis van een interview met betrokken opsporingsambtenaren waren er op enig moment 5000 bezoekers per dag op de drugsmarkt en vonden ongeveer 1000 bestellingen per dag plaats tijdens het beheer van de Nederlandse autoriteiten. In totaal zouden minstens 10.000 adressen van gebruikers van de darknet market zijn vastgelegd. Hoe weegt de noodzaak tot de inzet van de bijzondere opsporingsbevoegdheid van infiltratie, vermoedelijk in combinatie met andere bijzondere opsporingsbevoegdheden zoals een netwerkzoeking en de telecommunicatietap, op tegen de privacy-inbreuk van die duizenden betrokkenen? In de uitspraak staat bijvoorbeeld in rechtsoverweging 5.3.2 dat tijdens een doorzoeking computers werden aangetroffen die waren ingelogd op een server in Parijs met toezicht tot een ander darknet market (“Dream Market”). In het eerder aangehaalde artikel van Wired staat bijvoorbeeld ook: “The NHTCU officers explained how, in the undercover work that followed, (…),  even tricked dozens of Hansa’s anonymous sellers into opening a beacon file on their computers that revealed their locations”.  Ook zijn naar verluidt de instellingen van de (programmeercode van) de  website gewijzigd, zodat wachtwoorden en geolocatiegegevens in de foto’s van gebruikers van de website zijn vastgelegd.

Rechterlijke toets?

Hieraan gerelateerd bestaat de vraag of het wenselijk is deze toets slechts bij een officier van justitie te beleggen. Het Europees Hof van de Rechten voor de Mens (EHRM) acht de betrokkenheid van een rechter(-commissaris) in undercoveroperaties als het meest geschikt, maar acht ook toezicht van een officier van justitie mogelijk als er voldoende procedures en waarborgen zijn (zie bijvoorbeeld EHRM 4 november 2010, ECLI:CE:ECHR:2010:1104JUD001875706, par. 50 (Bannikova/Rusland), EHRM 23 oktober 2014, ECLI:CE:ECHR:2014:1023JUD005464809, par. 53, (Furcht/Duitsland) en EHRM 28 juni 2018, ECLI:CE:ECHR:2018:0628JUD003153607, par. 45 (Tchokhonelidze/Georgië). Procedures en waarborgen kunnen bijdragen aan het ondervangen van bepaalde risico’s omtrent de integriteit van een dergelijk onderzoek, bijvoorbeeld het risico dat een undercoveragent zich bezighoudt met zelfverrijking of criminele activiteiten die verder gaan dan oorspronkelijk met een officier van justitie zijn afgesproken. Wellicht zag de advocaat geen heil in dit verweer en speelt hierbij mee dat in Nederland bij infiltratieacties nog een extra toets door de Centrale Toetsingscommissie van het Openbaar Ministerie plaatsvindt.

Doorlaatverbod?

De advocaat van de verdachte stelt verder geen verweer in met betrekking tot het doorlaatverbod uit 126ff Sv, wellicht omdat de schutznorm niet van toepassing is en het verweer waarschijnlijk geen voordeel voor de verdachte oplevert (zie bijvoorbeeld HR 2 juli 2002, ECLI:NL:HR:2002:AD9915). De politie en openbaar ministerie mogen in principe geen drugs doorlaten op de markt en moeten tot inbeslagname van de drugs overgaan, tenzij een zwaarwegend opsporingsbelang prevaleert en de Centrale Toetsingscommissie schriftelijk instemt. Uit nieuwsberichten (zoals deze uit Trouw) is af te leiden dat het openbaar ministerie zich heeft ingespannen pakketverzendingen met drugs tegen te houden. De vraag blijft bijvoorbeeld wel hoe dat in zijn werking ging met de levering van drugs vanuit andere landen. Het vonnis gaat hier verder niet op in.

Conclusie

Het bovenstaande in overweging nemende, kan worden geconcludeerd dat de digitale infiltratieactie op Hansa Market door de Nederlandse politie en het openbaar ministerie een klinkend succes is geweest. De infiltratieoperatie wordt rechtmatig verklaard en daar is in beginsel veel voor te zeggen.

Wel is de rechtbank summier in de motivering van de uitspraak, wordt geen verweer gevoerd met betrekking tot tal van andere bevoegdheden die vermoedelijk zijn ingezet en is het opvallend dat de advocaat niet is ingegaan op het doorlaatverbod. De Hansa-zaak laat de potentiële schaal en technische complexiteit van een dergelijke operatie zien en de lastige overwegingen die hierbij spelen, in het bijzonder met betrekking tot de proportionaliteit.

Ten slotte op deze plaats nog een persoonlijke observatie: het is opvallend dat tot nog toe zo weinig door andere juristen is geschreven over deze operatie. Het is bij uitstek een zaak met interessante juridische discussies (zie ook de opmerking van officier in deze video op 5:50 min). Zou het te technisch zijn voor de gemiddelde jurist of is de zaak simpelweg aan de aandacht ontsnapt? Het is interessant om te zien welke veroordelingen er mogelijk nog komen en welke online undercover operaties in de toekomst zullen volgen.

Internet Organised Threat Assessment report 2019

jjoerlemans Een reactie plaatsen

Het Europol Cybercrime Center in Den Haag biedt elk jaar een mooi overzicht van actuele ontwikkelingen en bedreigingen op het gebied van cybercrime. Het ‘IOCTA rapport’ (.pdf) komt tot stand via enquêtes aan alle EU opsporingsautoriteiten en door input uit de private sector en wetenschap. Hier volgt een samenvatting van de zaken die mij het meest opvielen.

Ransomware grootste bedreiging op het gebied van cybercrime

Ransomware blijft de grootste bedreiging volgens het IOCTA 2019 rapport. De totale hoeveelheid aanvallen met ransomware is gedaald. Echter, de aanvallen zijn gerichter, winstgevender en schadelijker. Als voorbeeld wordt bijvoorbeeld een bedrijf genoemd waarbij het gijzelbedrag uit één miljoen euro bestond. Versies van de ransomwarefamilie ‘Dharma/CrySiS’, ‘ACCDFISA, ‘GlobeImposter’ en ‘Rapid’ kwamen veel in de rapportages van politiediensten voor. De private sector vreest dat naast normale ransomware ook de meer destructieve gijzelsoftware die ook ‘wiper-elementen’ bevatten; daarmee worden bestanden echt gewist of onherstelbaar beschadigd.

Zorgelijk zijn ook de ransomware-aanvallen op lokale overheden, die zich voornamelijk in de Verenigde Staten hebben voorgedaan. Zo lag de stad Atlanta in 2018 enige weken plat. In 2019 ging het al zo’n vijf steden in de VS, waaronder Baltimore en Florida. Dit vormt mogelijk een prelude voor steden Europa.

Handel in gestolen data

De handel in gestolen data betreft de twee-na-grootste dreiging volgens het Europol rapport. De data wordt het vaakst buitgemaakt door de aankoop van financiële gegevens, zoals creditcardgegevens, online bankiergegevens en gegegevens uit cryptocurrency portemonnees. De gegevens worden buitgemaakt via phishing, door lekken bij bedrijven, na grote hacks en door kwaadaardige software waarmee gegevens heimelijk worden verzameld. Deze gegevens worden verkocht op o.a. het dark web of gebruikt om fraude mee te plegen; bijvoorbeeld door er goederen mee te bestellen. Als voorbeeld worden in het rapport ook de veelvoorkomende aanvallen op uitwisselingskantoren voor cryptogeld (‘cryptocurrency exchanges’) genoemd. In 2018 is naar schatting 1 miljard in dollar wereldwijd aan cryptogeld gestolen, ook door statelijke actoren.

Logingegevens zijn minder makkelijk te besteden (‘monetisable’), maar mogelijk meer waard voor georganiseerde cybercrimegroepen. Interessant is het voorbeeld hoe zes verdachten in Engeland en Nederland zijn opgepakt voor ‘typosquatting’. Daarbij zetten criminelen nepwebsites waar mensen per ongeluk op kunnen bij het intypen van een URL. In dit geval leidde de website tot een nep bitcoinportemonnee. Door het overnemen van inloggevens kon de bitoinportemonnee geleegd worden en het virtuele geld worden overgemaakt naar de verdachten. Daarmee zou volgens Europol door de groep 24 miljoen euro zijn buitgemaakt.

Ddos-aanvallen

Ddos-aanvallen blijven een prominente dreiging als we het hebben over de ‘target cybercrime’ (criminaliteit waarbij computers en netwerk het doelwit zijn van de gedraging, wordt ook wel ‘cybercrime in enge zin’ genoemd). Ddos-aanvallen worden het meest gebruikt voor afpersing, maar ook aanvallen voor ideologische of politieke redenen kwamen veel voor. Financiële instellingen en overheden, zoals de politie, werden het vaakst onder vuur genomen. In het bijzonder voor banken vormen ddos-aanvallen een groot probleem, omdat het kan leiden tot het verstoren van de online bankierdiensten. De aanvallen zijn volgens Europol het vaak afkomstig van ‘low-capability actors’, die bijvoorbeeld gebruik maken van ‘exploit booters of stressers’.

Operation Power Off

In april 2018 hebben Nederlandse en Engelse opsporingsautoriteiten de illegale dienst ‘Webstresser.org’ offline gehaald. Webstresser was volgens Europol destijds een van de grootste marktplaatsen voor het huren van ddos-diensten met meer dan 150.000 klanten en de bron van meer dan 4 miljoen ddos-aanvallen.

Kinderporno

De hoeveelheid kinderpornografisch materiaal (ook wel genoemd: materiaal van kindermisbruik) op internet blijft volgens Europol stijgen. Kindermisbruikers werken vaak volgens dezelfde modus operandi: zij zoeken potentiele slachtoffers via sociale media, creëren een aantal nepprofielen waarbij zij zich als een leeftijdsgenoot voordoen en leggen contact. Nadat er een niveau van vertrouwen is gaan naar Whatsapp of apps als Viber om de gesprekken voor te zetten. Als – eerst op vrijwillige basis – seksueel materiaal is uitgewisseld zetten de kindermisbruikers de slachtoffers onder druk om meer materiaal te maken, bijvoorbeeld onder de dreiging het materiaal te openbaren.

Gecoördineerde actie tegen kindermisbruik, in samenspraak met de private sector en het gebruik van technologie zoals kunstmatige intelligentie, kan helpen tegen de bestrijding van materiaal van kindermisbruik en ook helpen in het verwerken van enorme hoeveelheden materiaal. Ter illustratie: in 2017 ontving Europol 44.000 verwijzingen met mogelijk kinderpornografisch materiaal van Amerikaanse internetdienstverleners (zoals Google en Microsoft). In 2018 waren dat er 190.000. Europol heft zelf een database met 46 miljoen afbeeldingen of video’s met geïdentificeerd kinderpornografisch materiaal. Nederland wordt expliciet in het rapport genoemd als de grootste hoster van kinderporno.

Het rapport signaleert verder dat (soms extreme) kinderpornografie wordt verspreid via exclusieve online forums. Het Europol rapport noemt bijvoorbeeld het forum ‘Elysium’, dat alleen bereikbaar was via Tor (op het darknet dus). Vier mannen runde het forum met meer dan 11.000 geregistreerde gebruikers over de hele wereld.

De auteurs waarschuwen dat het een ‘kwestie van tijd’ is tot ‘deepfakes’ met kinderporno voorkomen die worden gebruik voor het “personaliseren” van het materiaal. Dat kan problemen opleveren voor de vervolging en digitale bewijsproblemen.

Rol van het dark web en cybercrime

In het rapport is extra aandacht voor de rol van het ‘dark web’, als facilitator van online criminaliteit. Het rapport signaleert dat de markten veranderen in kleinere online drugsmarkt en ‘single-vendor’ shops, soms in een specifieke (d.w.z. niet-Engelse taal). De toegang tot online drugsmarkten via Tor blijft het meest populair, mogelijk vanwege de gebruikersvriendelijkheid.

xDedic marketplace

De xDedic markplaats wordt als voorbeeld genoemd in het rapport. In januari 2019 hebben Amerikaanse, Belgische en Oekraïense opsporingsautoriteiten de ‘xDecic’-marktplaats inbeslaggenomen. xDedic verkocht gehackte computers en gestolen persoonsgegevens. Het was actief op zowel het dark web als het clear web. De geïnfecteerde computers konen worden geselecteerd op criteria als prijs, geografische locatie en besturingssystemen. De marktplaats zou meer dan 60 miljoen euro in fraude hebben gefaciliteerd. (zie ook dit nieuwsbericht waarin wordt gesteld dat op de markplaats meer dan 70.000 servers in 170 landen werden aangeboden).

Daarnaast hebben opsporingsautoriteiten actie ondernomen tegen Wall Street Market, Valhalla en Bestmixer. Wall Street Market had toen volgens Europol 1.150.000 geregistreerde bezoekers en 5400 verkopers van drugs. Europol schat in dat in 2018 één miljard dollar aan virtueel geld op het dark web is besteed. Bitcoin blijft daarbij de meest populaire cryptocurrency.

Bitcoinmixer

In het rapport wordt ook aandacht besteed aan de spraakmakende FIOD-take down van ‘Bestmixer.io’ (zie ook het persbericht op de FIOD-website). In samenwerking met Europol en opsporingsautoriteiten in Luxemburg werd een operatie opgezet. Het was een van de drie grootste bitcoin mixingdiensten voor Bitcoin, Bitcoin Cash en Litecoin. De dienst startte in 2018 en had volgens Europol een omzet van ten minste 200 miljoen dollar (27.000 bitcoins) in één jaar (600.000 euro per jaar). Het is bovendien de eerste zaak waar – volgens een Kamerbrief van minister Grapperhaus van 12 juni 2019 – de hackbevoegdheid is ingezet!

Advies voor wetgeving en beleid

De laatste jaren geeft Europol enkele voorzichtige adviezen af voor de Europese wetgever. Het meest interessant vond ik dat Europol in dit rapport expliciet stelt dat een EU-raamwerk is vereist voor onderzoeken op het dark web. De coördinatie en standaardisatie van undercover online onderzoeken zijn vereist om dark web-onderzoeken te ‘deconflicteren’. Opnieuw wordt gesteld dat het huidige juridische instrumentatrium van rechtshulp in de EU (‘Mutual Legal Assistance’) onvoldoende is voor digitale opsporingsonderzoeken.

Cybercrime jurisprudentieoverzicht – augustus 2019

jjoerlemans Een reactie plaatsen

Posted on 11/08/2019 op Oerlemansblog

“Een webshop voor drugs!”

Met een vonnis “nieuwe stijl” heeft de rechtbank Rotterdam op 16 juli 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:5630) voor drugshandel via het darkweb en het aanwezig hebben van de illegale handelsvoorraad. De verdachte heeft naar schatting meer dan 500 kg drugs verkocht en miljoenen omzet gehad. De bedenker, organisator en leidinggevende van het “bedrijf” krijgt zeven jaar gevangenisstraf opgelegd. In een afzonderlijk ontnemingsvonnis wordt bovendien ruim 1 miljoen euro afgenomen.

Het vonnis in deze zaak is op een nieuwe manier opgebouwd. Direct wordt een samenvatting van de zaak gegeven en de lezer kan aan de hand van een leeswijzer snel naar het hoofdstuk gaan waar de interesse naar uitgaat.

Als voorbeeld van deze nieuwe stijl is de nieuwe kop ‘Illustratie’ in het vonnis aardig om te lezen:

“Een webshop voor drugs! De overeenkomsten in de bedrijfsvoering tussen legale internetgiganten en de darkwebwinkel in hard- en softdrugs van de verdachte dringen zich op. Ook in zijn ‘internetbedrijf’ met meerdere ‘medewerkers’ was het iedere dag raak met online bestellingen, inpakken, verzending, levering, planning en voorraadbeheer. Het assortiment was groot. Bijna iedere populaire drug en zelfs grondstoffen voor drugs waren met één klik te bestellen en met PostNL zo bij je in huis. Ongewild en ongemerkt werd PostNL zo een internationale distributeur van Nederlandse drugs.

Nieuw arrest over doorzoeken van gegevens op smartphone

In een nieuw arrest (ECLI:NL:HR:2019:1079) over de rechtmatigheid van onderzoek aan een smartphone van 9 juli 2019 herhaalt de Hoge Raad het beoordelingskader over onderzoek aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken uit het smartphone-arrest (ECLI:NL:HR:2017:584).

In deze zaak was de gehele inhoud van de mobiele telefoon van de verdachte en de bij die telefoon behorende SD-kaart gekopieerd en veiliggesteld voor nader onderzoek. Tijdens het daaropvolgende onderzoek zijn alle foto’s en video’s onderzocht. Het Hof Arnhem-Leeuwarden vond dat “de politie selectief is geweest in het onderzoek aan de telefoon”, maar de Hoge Raad gaat daar niet in mee en acht dit oordeel onvoldoende gemotiveerd. Het verweer dat vervolgens tot bewijsuitsluiting moet worden overgegaan, volgt de Hoge Raad niet en verwerpt dit verweer.

Persoonlijk vind ik het nogal wiedes dat een onderzoek aan ‘alle foto’s en video’s’ niet “selectief” is en meer dan geringe inbreuk op het recht op privacy met zich meebrengt. Maar goed, de waardeoordelen van rechters m.b.t. het recht op privacy en onderzoek aan smartphones verbazen mij helaas wel vaker..

Bewijs van Google en telecommunicatie

In een opmerkelijke moordzaak is een vrouw op 11 juli door de rechtbank Noord-Nederland veroordeeld (ECLI:NL:RBNNE:2019:2986) voor de moord op haar man. De zaak is interessant, omdat de zaak sterk leunt op digitaal bewijs afkomstig uit de mobiele telefoon van de verdachte en het slachtoffer. Journalist Huib Modderkolk heeft over deze zaak een leuk artikel in de Volkskrant geschreven.

De verdachte heeft zich schuldig gemaakt aan moord op haar echtgenoot, vader van hun drie jonge kinderen. Het slachtoffer is doelbewust naar een weiland gelokt waar hij is doodgeslagen met een hard voorwerp. Uit de bewijsoverwegingen blijkt uit onder andere telecomgegevens en de gebruikersactiviteiten en locatiegegevens van het Google-account van de verdachte, dat zij op het moment van de moord vlakbij het delict worden gelokaliseerd (een weiland ter hoogte van de Bûterwei). Uit de gegevens van het Google-account van het slachtoffer kon een telecomdeskundige precies het moment afleiden waarbij de mobiele telefoon in beweging was en later tot stilstand kwam (vermoedelijk door de klap met het een hard voorwerp), bij het weiland waar het slachtoffer later is gevonden.

De verdachte heeft het slachtoffer met voorbedachte rade van het leven heeft beroofd. Zij heeft volgens een vooropgezet plan het slachtoffer naar de Bûterwei laten komen, zij heeft hem daar ontmoet en is met hem het weiland ingelopen, waar hij vervolgens op gewelddadige wijze om het leven is gebracht. De rechtbank veroordeelt de verdachte tot de gevorderde gevangenisstraf van 20 jaar.

Rechtbank laat opnieuw gebruik Ennetcom-data toe

De rechtbank Gelderland heeft op 26 juli 2019 een verdachte 15 jaar gevangenisstraf opgelegd voor moord. De uitspraak (ECLI:NL:RBGEL:2019:2833) is interessant, omdat in deze zaak (wederom) wordt geoordeeld dat de politie en het openbaar ministerie gebruik mogen maken van bewijs op de server van ‘Ennetcom’, waarop verstuurde berichten met ‘PGP-telefoons’ zijn bewaard waarvan criminelen veel gebruik maakten. In deze duidelijke uitspraak overweegt de rechtbank iets uitgebreider welke wettelijke regeling voorhanden is.

De rechtbank stelt ‘met de verdediging en de officieren van justitie vast dat het Wetboek van Strafvordering, noch enige andere wet, een procedure kent tot het afgeven van een machtiging, zoals door de Canadese rechter wordt geëist’ voor het onderzoeken van de gevorderde gegevens. De Canadese rechter had eenvoudig gezegd als voorwaarde bij het verstrekken van de gegevens aan Nederland opgenomen dat als de gegevens ook voor andere opsporingsonderzoeken worden gebruikt, daarvoor een Nederlandse rechter een machtiging moet geven. Het openbaar ministerie heeft ervoor een gekozen de rechter-commissaris deze mogelijkheid te geven op grond van artikel 181 jo artikel 179 Sv. Voor de inhoudelijke toetsing van de vordering heeft de rechter-commissaris aansluiting gezocht bij artikel 126ng Sv, de bepaling die een vordering van opgeslagen gegevens bij aanbieders van elektronische communicatieaanbieders mogelijk maakt. De rechtbank gaat hiermee akkoord, mede omdat zulke zware voorwaarden gelden voor de inzet van de bijzondere opsporingsbevoegdheid en deze als waarborg fungeren.

De verdediging stelt dat de rechten van de verdediging in het kader van een recht op een eerlijk proces in de zin van artikel 6 EVRM niet voldoende worden gerespecteerd, omdat zij (1) niet alle informatie over de gebruikte technieken hebben ontvangen, (2) de belangrijkste getuige over de technische aspecten niet heeft kunnen bevragen en (3) een ‘wezenlijke informatieachterstand’ had bij het horen van verbalisanten en getuigen.

De rechtbank reageert hierop door voorop te stellen dat ‘verdediging geen onbeperkt recht heeft op het ontvangen van alle informatie waarom zij verzoekt. Slechts die informatie die relevant is voor enige in de strafzaak te nemen beslissing moet in het dossier worden gevoegd’. De rechten van de verdediging zouden wel voldoende zijn nagekomen, omdat naast het strafdossier ook relevante stukken uit het desbetreffende onderzoek ‘26DeVink’ zijn verstrekt, alle beschikbare Ennetcom-data over de door de politie aan verdachte toegeschreven e‑mailaccounts op cd-rom hebben verstrekt en de verdediging in de gelegenheid is gesteld zelf onderzoek te doen in de datasets.

Veroordeling bommelding Amsterdam CS en bezit hacksoftware

Het Hof Amsterdam heeft op 23 juli 2019 een verdachte veroordeeld (ECLI:NL:GHAMS:2019:2749) voor valse bommelding op het Centraal Station van Amsterdam, bedreiging, creditcardfraude (voor slechts 40 euro) en het voorhanden hebben van hacksoftware. De minderjarige verdachte krijgt voorwaardelijke gevangenisstraf en een taakstraf opgelegd en houdt daarmee de opgelegde straf van de rechtbank Amsterdam in stand. Het Hof overweegt daarbij de valse bommelding onnodig veel politiecapaciteit heeft gekost en gevoelens van angst en onveiligheid inde maatschappij heeft veroorzaakt.

In de onderliggende uitspraak van de rechtbank Amsterdam (ECLI:NL:RBAMS:2019:117) zijn meer interessante feiten te vinden. De verdachte heeft via een gehackt Facebookaccount de volgende melding geplaatst:

“Vandaag om 1 uur zal Amsterdam Centraal niet meer staan en zullen alle mensen die er bij waren niet meer onder ons zijn. NOS Politie Amsterdam er zullen vershillende (sic!) explosieven tot ontploffing worden gebracht.”

Via het Facebookaccount kon het IP-adres worden achterhaald waarvandaan het bericht was geplaatst. De naam en adresgegeven van de abonneehouder bij KPN zijn gevorderd en op basis van die informatie heeft huiszoeking plaatsgevonden. Via het Facebookaccount kon het IP-adres achterhaald worden, waar vanaf het bericht was geplaatst. De naam en adresgegeven van de abonneehouder bij KPN zijn gevorderd en op basis van die informatie heeft een huiszoeking plaatsgevonden.

Op de harde schijf van de verdachte is het programma ‘Havij’ gevonden, een zogenoemd ‘SQL-injectietool’ waarmee de zwakheden in databases van websites zijn op te sporen. Boeiend is om te lezen dat op een Lenovo-laptop een IP-adres is gevonden in een snapshot-bestand van de applicatie ‘Virtual Box Virtual Machine’ en in de verwijderde bestanden geïnstalleerde software aangetroffen van onder meer programma’s waarmee anonieme VPN-verbindingen opgezet kunnen worden, programma’s waarmee een virtual machine kan worden benaderd, en het programma Havij. De stelling dat een andere dan de verdachte van de laptop gebruik maakte acht de rechtbank, zonder nadere motivering, vond rechtbank onaannemelijk.

Het waren “de Russen”

Op 30 juli 2019 heeft de rechtbank Oost-Brabant een verdachte veroordeeld (ECLI:NL:RBOBR:2019:4412) voor bedreiging, oplichting, valsheid in geschrift en computervredebreuk. De verdachte heeft twee bedrijven voor ruim 560.000 euro opgelicht. De zaak is vooral interessant vanwege het spraakmakende (hack)verweer van de verdachte.

Via het computersysteem van het bedrijf heeft de verdachte de gegevens in facturen aangepast. Daarna werd een bedrag van €561.578,81 euro op verdachtes bankrekening gestort, terwijl het slachtoffer in de veronderstelling verkeerde dat zij dit bedrag aan een ander bedrijf overmaakte. De verdachte heeft dit geldbedrag vervolgens naar meerdere op zijn naam gestelde bankrekeningen overgemaakt. Vanaf die rekeningen heeft hij een deel van dit bedrag naar bankrekeningen van in totaal 26 personen doorgesluisd. Het ging hierbij telkens om een bedrag van om en nabij € 10.000,-. De verdachte had deze personen van tevoren benaderd en gevraagd of hij tegen een vergoeding geld kon laten storten op hun bankrekeningen. De derden mochten dan € 1.000,- à 1.500,- van het bedrag houden en het overige moesten zij van de rekening halen en contant aan verdachte teruggeven. Deze modus operandi is voldoende om van een verhullingshandeling in de zin van witwassen te spreken.

De verdediging beweert dat twee Russen de handelingen hebben verricht en hem op verzoek geld hebben overgemaakt. Ook zouden de Russen advies hebben gegeven over het doorsluizen van het geld. De verdachte heeft ook verklaard dat hij in tussentijd zijn huis aan deze mannen heeft verhuurd. De mannen maakten gebruik van zijn laptops en van zijn wifi-code. De rechtbank vindt het verweer “in meer of mindere mate niet aannemelijk”. Het is aan de verdachte om redengevende feiten en omstandigheden aan te voeren. De betrokkenheid van de Russen bij de feiten is op geen enkele wijze onderbouwd door de verdachte. Bovendien, zo is de rechtbank van oordeel, wijzen alle feiten en omstandigheden in het dossier er juist op dat de verdachte het ten laste gelegde heeft begaan én dat hij hier alleen verantwoordelijk voor is. Met betrekking tot het feit van witwassen acht de rechtbank wel bewezen dat verdachte dit feit tezamen en in vereniging met anderen heeft gepleegd. Echter, niet met “de Russen” waar de verdediging op doelt. De rechtbank verwijst daarbij overigens niet het maatgevende arrest van de Hof Den Haag over het hackverweer in ECLI:NL:GHDHA:2018:3529.

De verdachte krijgt vier jaar gevangenisstraf opgelegd, waarvan 1 jaar voorwaardelijk met een proeftijd van drie jaren.

12 maanden cel voor witwassen van Bitcoins

De rechtbank Zeeland-West-Brabant heeft op 28 juni 2019 een verdachte veroordeeld (ECLI:NL:RBZWB:2019:2897 en ECLI:NL:RBZWB:2019:2898) voor het medeplegen van witwassen van bitcoins ter waarde van ruim 100.000 euro. De verdachte heeft met behulp van een ‘Bitcoinkaart’ bijna 85.000 euro gepind.

Uit de uitspraak met een medeverdachte is af te leiden dat de bitcoins zijn omgezet naar courante valuta en vervolgens zijn gepind en uitgegeven. Uit de transactiegegevens van de Bitcoinkaart is gebleken dat er in totaal 158 geslaagde geldopnames zijn uitgevoerd. Zowel de verdachte als de medeverdachte worden op camerabeelden van pinautomaten herkend terwijl er opnames worden gedaan met de Bitcoinkaart. Ook blijkt uit onderzoek dat transacties met deze bitcoins – direct dan wel indirect – via ‘Bitcoinmixers’ of ‘darkweb marketplaces’ plaatsvonden.

De verklaring van de verdachte dat het geld afkomstig was uit donaties via online advertenties acht de rechtbank volslagen onaannemelijk. De verdachte heeft deze verklaring eveneens onvoldoende verifieerbaar gemaakt. Hij krijgt een gevangenisstraf opgelegd van 12 maanden.

Veroordeling voor ‘ontucht buiten echt’, laster, bedreiging en bezit van kinderporno

Het Hof Den Bosch heeft op 5 juli 2019 een verdachte veroordeeld (ECLI:NL:GHSHE:2019:2360) voor ontucht, laster, bedreiging en bezit van kinderporno. De verdacht krijgt een straf opgelegd van. De zaak is interessant, omdat ontucht (met een minderjarige) wordt bewezen zonder dat er lichamelijk contact is geweest. Het Hof acht ‘ontucht buiten echt’ bewezen, omdat er sprake is van ‘enige voor het plegen van ontucht met die minderjarige relevante interactie tussen verdachte en die minderjarige’. Het Hof verwijst daarbij naar HR 30 november 2004, ECLI:NL:HR:2004:AQ0950 en HR 22 maart 2011, ECLI:NL:HR:2011:BP1379.

In dit geval deed de verdachte zich voor op Instagram als een 17-jarige jongen en zocht daarbij contact met een 13-jarig meisje. Hij is zelf begonnen met naaktfoto’s versturen en heeft op listige wijze het slachtoffer overtuigd om drie naaktfoto’s naar hem te sturen. Deze foto’s zijn op zijn telefoon aangetroffen.

In deze omstandigheden waarbij de verdachte ook actief seksueel getinte gedragingen van de minderjarige verlangt en/of door uitlatingen of al dan niet seksuele gedragingen van hemzelf, de ontuchtige gedragingen bevordert of aanmoedigt, is naar het oordeel van het Hof Den Bosch dan ook sprake van handelingen die – gelet op de sociaal-ethische opvattingen over deze handelingen, gepleegd in de context zoals het hof die heeft vastgesteld – zijn aan te merken als het ‘buiten echt’ plegen van ontucht met een minderjarige als bedoeld in artikel 247 Wetboek van Strafrecht.

Cybercrime jurisprudentieoverzicht – december 2018

jjoerlemans Een reactie plaatsen

Posted on 14/12/2018 op Oerlemansblog

De Rechtbank Groningen en Den Haag en het parket Noord-Holland hebben in november en december 2018 een themazitting cybercrime gehouden. Daarop volgende ook enige media-aandacht.

Wat een goed initiatief! Door dit soort themazittingen krijgen rechters en andere betrokken organisaties in de strafrechtketen meer ervaring met cybercrime. Het laat ook zien dat cybercrime een veel voorkomende vorm van criminaliteit is, dat ook via het reguliere strafrecht moet worden aangepakt (zeker voor zover het gaat om gedigitaliseerde criminaliteit (cybercrime in brede zin)).

Hieronder volgt een overzicht van cybercrimezaken die in mij in de afgelopen maanden opgevallen. Daarbij geef ik dit keer ook speciaal aandacht aan de digitale bewijsvoering in deze zaken (voor zover relevant).

1.     Aankoop van semtex via AlphaBay

De Rechtbank Amsterdam heeft op 23 augustus 2018 een man veroordeeld voor het bezit van vuurwapens. De zaak is echter vooral interessant vanwege de verweren van de raadsman van de verdachte.

De advocaat voert in deze zaak ter verdediging aan dat sprake was van uitlokking, omdat het dossier sterke aanwijzingen bevat dat de FBI zelf actief heeft geprobeerd om (nep)semtex te verkopen en hiertoe afspraken met de verdachte heeft gemaakt. De rechtbank verwerpt het verweer en legt uit dat van uitlokking pas sprake is als de verdachte door het handelen van de FBI tot andere handelingen is gebracht dan die waarop zijn opzet al was gericht. Hiervoor zijn geen aanwijzingen in het dossier. Interessant is ook de overweging:

“Hoewel de rechtbank net als de verdediging best wil aannemen dat de FBI als pseudo-verkoper van de semtex heeft gefungeerd, is daarmee niet zonder meer aannemelijk dat de FBI de koper ‘[naam]’ heeft gebracht tot handelen waar zijn opzet niet reeds op was gericht. In de beperkte informatie die de FBI heeft doorgegeven staat immers vermeld dat het onderzoek ermee is gestart dat deze [naam] op AlphaBay een verzoek had geplaatst om onder meer semtex te kopen. Ook de overige informatie van de zijde van de FBI wijst niet op het wekken van de interesse van [naam] voor het kopen van semtex.”

Ook merkt de rechtbank nog op dat ‘is gesteld noch gebleken’, dat het openbaar ministerie enige rol had bij of invloed had op het handelen van de FBI. Het bewijs uit het buitenland mag daarom worden gebruikt in het strafproces.

De verdachte wordt vrijgesproken van het medeplegen van voorbereiding van moord, doodslag, diefstal met geweld of brandstichting, omdat niet met voldoende bepaaldheid is gebleken welk crimineel doel verdachte met dat pakketje voor ogen had. Voor het bewijs dat de ten laste gelegde voorwerpen ‘bestemd waren tot het begaan van dat misdrijf’moeten namelijk ook de contouren van het (feitelijk) te plegen misdrijf blijken. In deze zaak ontbraken de contouren van het feitelijk te plegen misdrijf en kon dit niet door de officier van justitie worden aangetoond. De rechtbank verwijst hier naar het arrest HR 28 januari 2014, ECLI:NL:HR:2014:179. De verdachte wordt tot drie maanden gevangenisstraf veroordeeld voor het illegale bezit van vuurwapens.

2.     Afdreiging na reactie op advertenties sekswebsites

De Rechtbank Amsterdam heeft op 12 november 2018 een aantal verdachten veroordeeld voor het medeplegen van afdreiging en gewoontewitwassen door misbruik van advertenties op sekswebsites.

De zaken in het onderzoek ‘13Malone’ richten zich tegen zeven verdachten. De verdachten pleegden afdreiging door mannen die reageerden op de door hen geplaatste advertenties te chanteren. Er is geen sprake van het delict ‘afdreiging’, om dat de verdachten niet voldoende concrete bedreigingen met geweld naar de slachtoffers hebben gestuurd.

De verdachte ging met zes medeverdachten als volgt te werk. De verdachten plaatsen een seksadvertentie op de websites speurders.nl, kinky.nl en sexjobs.nl. Nadat een slachtoffer heeft gereageerd op een seksadvertentie wordt met deze persoon contact gelegd door iemand die zich voordoet als een vrouw/prostituee. Er volgt een uitwisseling van seksueel getinte berichten en er wordt soms om een naaktfoto van het slachtoffer gevraagd waar zowel het hoofd als het geslachtsdeel van de man op staat. Intussen worden er – vermoedelijk aan de hand van het telefoonnummer van het slachtoffer via Facebook – namen van het slachtoffer en personen uit zijn omgeving achterhaald.

Dan veranderen de verdachten de berichten van toon en komt ‘de pooier’ aan het woord. Het slachtoffer moet geld betalen om bekendmaking van zijn ‘schaamtevolle’ gedrag aan de met naam genoemde personen uit zijn omgeving te voorkomen. De slachtoffers ‘moeten er van leren dit niet meer te doen’. De slachtoffers moeten vervolgens geld overmaken naar een bankrekeningnummer waarbij vaak dezelfde tenaamstelling wordt genoemd. Het geld moet door het slachtoffer snel worden overgemaakt en er moet een screenshot als bewijs van de betaling worden verzonden. Het bedrag dat op de rekening wordt gestort wordt daarna snel in cash opgenomen. De verdachten hebben de ontvangen bedragen daarmee ook witgewassen. Een aantal verdachten zijn slechts veroordeeld voor het witwassen, omdat hun betrokkenheid bij de afdreiging niet kon worden bewezen. Als slachtoffers hebben betaald, worden zij gedwongen steeds opnieuw te betalen. De bedreigingen houden overigens uiteindelijk op als de slachtoffers niet betalen of daarmee stoppen.

Interessant is ook dat de rechtbank opmerkt dat er vanwege de lage aangiftebereidheid van het delict waarschijnlijk veel meer zaken spelen, waar deze modus operandi van de criminelen wordt gebruikt. Op de mobiele telefoon van één van de verdachten stonden 4780 seksgerelateerde berichten uit de periode van 1 tot 11 december 2016. Dat vormt volgens de rechtbank mogelijk een aanwijzing voor de daadwerkelijke omvang van de criminele praktijken van de verdachten. Ook stonden honderden verdachte transacties op de bankrekeningen van de verdachten van in totaal ruim € 56.000, waarvan slechts een klein deel aan de acht aangevers is te linken. De rechtbank beschouwt de acht beschikbare aangiftes als één feitencomplex. In onderlinge samenhang bezien, blijkt uit de bewijsmiddelen dat er diverse dwarsverbanden zijn als het gaat om gebruikte IP-adressen, gebruikersaccounts, telefoonnummers en bankrekeningen. Die onderlinge verwevenheid vormt één feitencomplex. Daarbij wordt in de zaken weliswaar een wisselende combinatie gebruikt van telefoonnummers, e-mailadressen, de bankrekeningnummers van verdachten en/of IP-adressen, maar vindt de afdreiging veelal in dezelfde bewoordingen plaats.

Met betrekking tot de bewijsvoering is relevant dat de politie onderzoek heeft gedaan bij de exploitant van de site Kinky.nl. De website-exploitant heeft in de eigen systemen gezocht op de gebruikte telefoonnummers en bankrekeningnummers in verschillende combinaties. Bij navraag blijkt dat op de rekeningen van de verdachten meer dan 10.000 euro aan verdachte transacties is te vinden. De verdachte transacties zijn betalingen waarbij de betaler geen bekende relatie heeft met de houder van de bankrekening. Verder is hierbij relevant de frequentie van de bijschrijvingen op de betreffende rekening en de omschrijving die daarbij staat vermeld. Uit onderzoek bij de exploitant van sexjobs.nl heeft de politie twee IP-adressen kunnen afleiding die op naam van de verdachten staan.

Tijdens een huiszoeking zijn de mobiele telefoons van de verdachte in beslag genomen. Op deze telefoons stond het (veelzeggende bewijsmateriaal) van ‘een groot aantal voor verdachten belastende berichten, seksadvertenties, screenshots van bankoverschrijvingen en (naakt)foto’s’. Op de telefoon van een andere verdachte zijn screenshots aangetroffen van diverse profielen en de contactenlijsten van deze profielen afkomstig van Facebook. Verder is gebleken dat meerdere van de telefoonnummers gebruikt zijn in de telefoons van de medeverdachten. Op de telefoon van één van de verdachten zijn onder andere de gebruikersaccounts voor de websites kinky.nl en sexjobs.nl aangetroffen.

De verdachte in de ondergenoemde zaak is minderjarig en wordt veroordeeld tot 300 dagen jeugddetentie (waarvan 233 voorwaardelijk). Ook krijgt hij een taakstraf van 200 uur opgelegd en moet hij een schadevergoeding betalen.

3.     Sextortion van minderjarige meisjes

Het Hof Den Haag heeft op 1 november 2018 arrest gewezen in een sextortion-zaak. Door middel van een bekende modus operandi deed de online zedendelinquent zich voor als een scout van een modellenbureau. De verdachte zocht via sociale media contact met de meisjes, met de vraag of zij foto’s wilde sturen. Als bevestiging dat zij benaderd waren door het modellenbureau), werd er een e-mail gestuurd met een e-mailadres van het modellenbureau.

De meisjes hebben van zichzelf foto’s verstuurd naar een de verdachte die gebruik maakte van het pseudoniem ‘Manisha’, waarbij sommige meisjes ook naaktfoto’s versturden. De verdachte eiste meer naakfoto’s van de slachtoffer onder dreiging van het publiceren (‘exposen’) van de naakfoto’s via een instagramaccount. Ook dwong hij sommige slachtoffers de app ‘Snapchat’ te installeren op hun mobiele telefoons. Via Snapchat zijn normaliter foto’s en video’s na enkele seconden niet meer zichtbaar. Diverse aangeefsters dachten daardoor ook dat zij bij verzending van foto’s weinig risico op verdere verspreiding liepen. De verdachte gebruikte echter een specifieke applicatie (‘Mobizen’) waarmee hij deze foto’s en video’s wel direct vanaf het scherm van zijn smartphone kon opslaan. Op de inbeslaggenomen gegevensdragers van de verdachte is tevens een grote hoeveelheid kinderporno gevonden.

De verdachte is veroordeeld tot 250 dagen jeugddetentie en een bijzondere maatregel met controle door jeugdreclassering, onder meer wegens het bezit van kinderporno, oplichting, en afpersing.

De zaak is in het bijzonder ook interessant vanwege de uitgebreide digitale bewijsvoering. De politie heeft op 2 juni 2016 een e-mail gestuurd aan één van de vermelde e-mailadressen in de aangifte van sextortion naar ‘Manisha’. Of de politie de e-mail onder dekmantel heeft gestuurd en een bijzondere opsporingsbevoegdheid heeft ingezet blijft onduidelijk door de summiere informatie die hierover wordt verschaft. Nadat de verdachte de e-mail heeft geopend, werd het IP-adres van de verdachte zichtbaar voor de opsporingsambtenaren. Het IP-adres kon worden gekoppeld aan het woonadres van de verdachte. Hetzelfde IP-adres heeft de verdachte gebruikt bij het aanmaken van het Instagramaccount van ‘Manisha’ ook toe aan het woonadres van de verdachte. Bovendien behoorde het telefoonnummer dat bij het aanmaken van het Instagramaccount is opgegeven tevens toe aan de verdachte. Het telefoonnummer behoorde toe aan de inbeslaggenomen telefoon van de verdachte, waarmee is ingelogd op het instagramaccount.

Uit het onderzoek naar de inbeslaggenomen telefoon is gebleken dat mailapplicatie geconfigureerd was voor de eigenaar van het modellenbureau. Daaruit blijkt dat de verdachte over de mailaccounts van het modellenbureau kon beschikken en uit naam daarvan e-mails on uitsturen. Enkele naaktfoto’s en snapchatberichten met de slachtoffers zijn tevens op de inbeslaggenomen mobiele telefoon gevonden. Ten slotte blijkt uit digitaal onderzoek naar de internetgeschiedenis dat de verdachte meerdere sites bezocht en zoektermen gebruikt die te relateren zijn aan het modellenbureau en de scouts van het modellenbureau.

4.     Oplichting via Whatsapp

De Consumentenbond en Fraudehelpdesk waarschuwen voor een toename van fraude via Whatsapp. Daarbij doen de oplichter zich voor als de zoon of dochter van een slachtoffer met het verzoek om geld over te maken. Dit doen zij vaak op geraffineerde wijze, waarbij eerst via een app weten een ‘nieuw telefoonnummer’ te hebben, compleet met profielfoto van de persoon van wie ze de identiteit gebruiken. Deze foto hebben ze van social media gehaald, evenals informatie over familierelaties en hoe mensen elkaar aanspreken. Vervolgens vragen ze om een betaling voor een openstaande rekening.

De rechtbank Midden-Nederland heeft op 4 oktober 2018 twee verdachten voor oplichting met een vergelijkbare werkwijze veroordeeld. De verdachten hebben zich op WhatsApp voorgedaan als iemand anders. De 19-jarige man zocht begin dit jaar via de berichtendienst contact met een 85-jarige man. De verdachte deed zich voor als de dochter van het slachtoffer en vroeg hem om in totaal ruim 2.300 euro over te maken. Het slachtoffer dacht echt met zijn dochter te appen. De 21-jarige Utrechter heeft zich op een soortgelijke manier schuldig gemaakt aan oplichting. Hij stuurde in september 2017 een WhatsApp-bericht naar een 71-jarige vrouw en deed zich voor als haar dochter. In het gesprek vroeg hij meerdere keren aan het slachtoffer om geld over te maken. In totaal heeft de vrouw ruim drieduizend euro overgemaakt.

De 21-jarige man is veroordeeld tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk. De 19-jarige man is veroordeeld tot een gevangenisstraf van 16 maanden, waarvan 6 maanden voorwaardelijk. Daarnaast moeten ze ongeveer 10000 euro aan schade vergoeden.

5.     Klonen van modems VodafoneZiggo

De Rechtbank Rotterdam heeft op 11 oktober 2018 een aantal verdachte veroordeeld die in georganiseerd verband de modems van Vodafone Ziggo hebben gekloond. In het onderzoek ‘26Cicero’ is de verdenking gerezen dat in Nederland in georganiseerd verband op illegale wijze (met gebruikmaking van speciaal daartoe ontwikkelde software) modems van betalende klanten van Ziggo werden uitgelezen en gekloond. Het onderzoek ving aan naar aanleiding van informatie van de Canadese politie. De unieke modemgegevens van honderden betalende klanten van Ziggo zijn met behulp van malware gekopieerd en geplaatst op andere modems. Tegen betaling van een eenmalig bedrag van zo’n € 150,- konden de afnemers van de gekloonde modems gratis internetten zolang de betalende klant wiens modem was gekloond een abonnement had.

De verdachte kloonde de modems en installeerde die bij zijn afnemers. De modems kocht hij in bij een medeverdachte die bij Ziggo werkte. Een andere medeverdachte, die via een onderaannemer in dienst was bij Ziggo, installeerde de gekloonde modems als de Ziggo-straatkast moest worden geopend om de internetverbinding mogelijk te maken.

De rechtbank overweegt dat het gevaarlijk is dat gekloonde modems ook kunnen worden gebruikt om kwaadaardige aanvallen op bedrijven uit te voeren of om persoonlijke informatie van derden te achterhalen. De veiligheid en integriteit van de infrastructuur kan daarmee ernstig in gevaar komen. De geschetste potentiële gevaren hebben zich in deze zaak niet voorgedaan. Wel heeft de verdachte hinder en schade veroorzaakt voor met name Ziggo en heeft hij door het witwassen van zo’n € 20.000,- volgens de rechtbank de integriteit van het financiële en economische verkeer aangetast.

De verdachte wordt veroordeeld voor medeplegen van gekwalificeerde computervredebreuk, het voorhanden hebben malware, gewoontewitwassen en listiglijk gebruik maken van een telecommunicatiedienst (326c Sr). Wel volgt vrijspraak voor het medeplegen van vervaardigen van malware, nu niet kan worden bewezen dat verdachte als medepleger een bijdrage heeft geleverd aan de ontwikkeling van de ‘1337suite’. De verdachte wordt veroordeeld tot een gevangenisstraf voor de duur van vijftien maanden opleggen, waarvan twaalf maanden voorwaardelijk met een proeftijd van drie jaar. Tevens moet de verdachte een taakstraf uitvoeren van 180 uur. De straf was aanzienlijk lager dan de eis van de officier van justitie.

Veroordelingen voor online drugshandel en witwassen

jjoerlemans Een reactie plaatsen

De rechtbank Rotterdam heeft op 8 november 2017 (ECLI:NL:RBROT:2017:8988 en ECLI:NL:RBROT:2017:8989) verschillende verdachten veroordeeld voor het witwassen met bitcoins die afkomstig zijn uit drugshandel via het darkweb. In de uitspraken wordt uitgebreid besproken over de manier waarop de bitcoins zijn witgewassen.

De verdachten waren in deze zaak bitcoinhandelaren die bitcoins inwisselen tegen contant geld, zodat de anonimiteit van klanten gewaarborgd bleef. Met deze omzetting is de criminele herkomst van de bitcoins verhuld. De verdachte heeft de beschikking gehad over diverse bitcoinwallets (een soort digitale portemonnees). In die wallets zijn bitcoins gestort vanuit onder meer ‘MiddleEarthMarketplace’, ‘AgoraMarket’ en ‘NucleusMarket’, allen (illegale) marktplaatsen op het dark web.

In een andere uitspraak van de rechtbank Rotterdam op dezelfde dag (ECLI:NL:RBROT:2017:8989), wordt daarbij opgemerkt dat het een relevante factor voor het aanmerken van witwassen is dat de verdachte ervoor heeft gekozen om de bitcoins om te wisselen voor contanten bij een bitcoinhandelaar die zijn klanten anonimiteit garandeert en hiervoor een veel hogere commissie vraagt (5-7%) dan bij de reguliere wisselkantoren. Dit zou duiden op wetenschap van de criminele herkomst van de bitcoins bij de verdachte.

De rechtbank Midden-Nederland heeft op 17 november 2017 (ECLI:NL:RBMNE:2017:5717 en ECLI:NL:RBMNE:2017:5719) tevens twee verdachten flinke straffen (tot zes jaar gevangenisstraf) opgelegd voor de drugshandel via het dark web van tientallen kilo’s harddrugs (met name MDMA).  Zij verstopten daarbij de drugs in pindakaaspotten en wenskaarten en verstuurden dit per post naar klanten over de hele wereld. Een van de verdachte is ook veroordeeld voor het witwassen van bitcoins.

Interessant is hoe in de uitspraak wordt uitgelegd hoe de opsporing in zijn werking ging. Het benodigde is bewijs is onder andere vergaard op basis van de reviews en gevoerde alias (nickname) van de verdachte op een online drugsmarket dat alleen via het Tor-systeem toegankelijk is. Ook de ‘selfies’ op de iPhone van de verdachte met drugspakketjes en de unieke PGP-sleutel waarmee de verdachte versleuteld communiceerde heeft, hebben een belangrijke rol in de bewijsvoering gespeeld. Ten slotte bleek uit de ‘error reports’ op de laptop van de verdachte dat hij heeft ingelogd op de darkmarkts en succesvol drugs heeft verkocht en werden etiketten met het afleveradres op de laptop gevonden.

Een andere verdachte is tevens door de Rechtbank Midden-Nederland op 17 november 2017 veroordeeld (ECLI:NL:RBMNE:2017:5716) voor het witwassen van bitcoins. Deze verdachte kocht 20.000 bitcoins in met destijds een waarde van 5 miljoen euro, waarvan bleek dat een groot deel daarvan door derden op het darknet is verdiend. In de uitspraak wordt zeer gedetailleerd ingegaan op het gebruik van een zogenaamde ‘bitcoin mixer’, waarbij bitcoins bij elkaar worden gebracht en opnieuw aan de klanten van de diensten worden verstrekt waardoor de bitcoins anoniemer zijn.

De verdachte maakte in deze casus gebruik van de Bitcoin mixingdienst ‘Bitcoin fog’. Uit de verklaringen blijkt dat de bitcoins daarna zijn omgezet in contanten via handelaren die adverteerde op de website localbitcoins.net en een ander via het wisselkantoor Bitonic. Deze handelingen worden de rechtbank gezien als een verhullingshandeling, zoals vereist is voor witwassen. De rechtbank is na een analyse door een deskundige overtuigd dat alle bitcoins die van darknet markets afkomstig zijn, een criminele herkomst hebben. Ten behoeve van de bewijsvoering wijst de rechtbank ook op een vermenging van een grote hoeveelheid uit darknet market afkomstige bitcoins met een bitcoins met een mogelijk wel legale herkomst. Het gehele verzilverde bedrag aan bitcoins wordt om deze reden als van misdrijf afkomstig aangemerkt. De verdachte moet dan wel wetenschap hebben of redelijkerwijs vermoeden dat de uit de bitcoinhandel afkomstige geldbedragen die op zijn rekening werden verzilverd van enig misdrijf afkomstig waren.