Tag darknet markets

Cybercrime jurisprudentieoverzicht januari 2023

jjoerlemans Een reactie plaatsen

Prejudiciële vragen over EncroChat en SkyECC

Op 19 december 2022 heeft de rechtbank Noord-Nederland in het onderzoek ‘Shifter’ prejudiciële zaken gesteld (ECLI:NL:RBNNE:2022:4797) aan de Hoge Raad. De vragen zien onder meer op de toepassing van het van het interstatelijke vertrouwensbeginsel. In deze zaak is sprake is van uit Frankrijk afkomstige informatie van EncroChat- en SkyECC.

Het gaat om de volgende prejudiciële vragen aan de Hoge Raad:

Interstatelijke vertrouwensbeginsel

1. Is het interstatelijke vertrouwensbeginsel zonder meer van toepassing op bewijs verkregen door de inzet van een opsporingsmiddel in het buitenland, in het kader van een JIT waarbij Nederland partner is?

  • Meer in het algemeen: op welke wijze speelt de (mate en intensiteit van) (juridische en/of feitelijke) samenwerking tussen Nederland en (een) andere EU-lidsta(a)ten bij grensoverschrijdende (digitale) opsporing en interceptie een rol bij de beoordeling van een beroep op het interstatelijke vertrouwensbeginsel?
  • In hoeverre is in de situatie waarin sprake is van een Joint Investigation Team voor de toepassing van het interstatelijke vertrouwensbeginsel van belang dat de onderzoeksresultaten uit het buitenland verkregen zijn in een ander onderzoek (26Lemont en/of 26Argus) dan het onderzoek waar de rechtbank een oordeel in dient te geven (het onderzoek Shifter)?
  • Kan daarbij een rol spelen dat de startinformatie in het onderzoek Shifter afkomstig is uit de onderzoeken 26Lemont en 26Argus en/of dat de resultaten uit de onderzoeken 26Lemont en 26Argus van bepalende invloed zijn geweest voor het verloop van het opsporingsonderzoek naar en/of de vervolging van de verdachten in de zaak Shifter?

2. Geldt het interstatelijke vertrouwensbeginsel (onverkort) als, zoals in de zaak Shifter, de gebruikers van de telecommunicatiediensten waarvan gegevens worden onderschept zich (steeds) op Nederlands grondgebied gebied bevinden, terwijl de interceptie en/of het veiligstellen van gegevens in/vanuit een andere EU-lidstaat plaatsvindt?

3. Is voor de interceptie en/of het veiligstellen van gegevens in/vanuit het buitenland van telecomgegevens waarvan duidelijk is dat de gebruikers van de telecomdiensten zich (ook) op Nederlands grondgebied bevinden een machtiging van een Nederlandse rechter vereist?

4. Indien dit het geval is, kan dan 126uba, 126nba Sv of enig ander wetsartikel als grondslag voor een dergelijke machtiging dienen?

5. Hoe verhoudt het internationale vertrouwensbeginsel zich tot het equality of arms- beginsel dat volgt uit artikel 6 EVRM en de mogelijkheden voor de verdediging om de rechtmatigheid van het bewijsgaringsproces te kunnen onderzoeken, meer in het bijzonder in de zaak Shifter de verzoeken van de verdediging om stukken aan het dossier toe te voegen met betrekking tot het bewijsgaringsproces in het buitenland en stukken met betrekking tot de Joint Investigation Teams?

  • Brengt het beginsel van equality of arms mee dat ook in procedures waarin sprake is van grensoverschrijdende (digitale) opsporing en internationale samenwerking tussen EU-lidstaten kennisname van en inzicht in het buitenlandse digitale bewijsgaringsproces gegeven dient te worden door de vervolgende autoriteiten of kan van de verdediging eerst worden verlangd dat zij concrete aanknopingspunten of sterke aanwijzingen naar voren brengt dat sprake zou zijn van een vormverzuim voordat verzoeken om nadere stukken aan het dossier toe te voegen gehonoreerd kunnen worden?
  • Hoe verhoudt het internationale vertrouwensbeginsel zich tot de verantwoordelijkheid die iedere lidstaat van het EVRM heeft om de uit dat verdrag voortvloeiende rechten te waarborgen, waaronder het beginsel van equality of arms?
  • Is daarbij in dit geval van belang dat de onderzoeksresultaten uit het buitenland verkregen zijn in een ander onderzoek (26Lemont en/of 26Argus) dan het onderzoek waar de rechtbank een oordeel dient te geven (het onderzoek Shifter)
  • Kan daarbij in dit geval een rol spelen dat de startinformatie in het onderzoek Shifter afkomstig is uit de onderzoeken 26Lemont en 26Argus en/of dat de resultaten uit de onderzoeken 26Lemont en 26Argus van bepalende invloed zijn geweest voor het verloop van het opsporingsonderzoek naar en/of de vervolging van de verdachten in de zaak Shifter?
  • In hoeverre kan daarbij van de verdediging worden verlangd dat zij concrete aanknopingspunten naar voren brengt dat sprake zou zijn van een vormverzuim of mag daarbij van het openbaar ministerie worden verlangd dat eerst de relevante stukken ter beoordeling daarvan worden ingebracht?

6. Zijn, indien het interstatelijke vertrouwensbeginsel niet onverkort geldt, (mogelijke) gebreken bij het bewijsgaringsproces en de interceptie en/of het veiligstellen van gegevens vanuit het buitenland ‘afgedekt’ door de door de machtigingen van de rechters-commissarissen, zoals de machtiging van de rechter-commissaris te Rotterdam d.d. 27 maart 2020 en de machtigingen van de rechters- commissarissen te Amsterdam d.d. 7 en 11 februari 2021 (en de eventuele vervolgmachtigingen)?

7. Als er sterke aanwijzingen zijn dat gebreken kleven aan het buitenlandse opsporingsonderzoek, in het licht van uitspraken van het land waar dat opsporingsonderzoek plaatsvindt, wat zijn dan de consequenties voor de toepassing van het interstatelijke vertrouwensbeginsel?

8. In hoeverre en naar welke maatstaven dient de Nederlandse strafrechter daar dan nader onderzoek naar te (laten) verrichten?

Bewaren en gebruiken van gegevens

9. Is een wettelijke grondslag vereist voor het bewaren en gebruiken van de metadata en communicatie van gebruikers van een elektronische communicatiedienst door de Nederlandse autoriteiten, ten behoeve van de opsporing en vervolging van strafbare feiten, als deze is verkregen van een andere lidstaat, nadat die andere lidstaat deze data heeft geïntercepteerd?

  • Zo ja, wat is de wettelijke grondslag hiervoor en is daarbij van belang of er sprake is van een concrete verdenking ten aanzien van één van deze gebruikers?
  • Onder welke voorwaarden kunnen deze gegevens worden gebruikt en is daartoe een machtiging van de rechter-commissaris vereist?

Jurisprudentie na de prejudiciële vragen over EncroChat en SkyECC

Nadat de prejudiciële vragen over EncroChat en SkyECC door de rechtbank Noord-Nederland (ECLI:NL:RBNNE:2022:4797) zijn gesteld, zijn verschillende verdachten in (mega)zaken veroordeeld op basis van bewijs uit EncroChat en SkyECC zaken. Neem bijvoorbeeld aan het mega-onderzoek ‘Cherokee’ (ECLI:NL:RBAMS:2022:7693), dat ziet op de verdenking van deelname aan een criminele organisatie met als oogmerk de grootschalige handel in cocaïne en gewoontewitwassen, waarbij ook vele afzonderlijke drugstransporten en witwasfeiten ten laste zijn gelegd. De rechtbank legt gevangenisstraffen op, variërend van 18 maanden tot 12 jaar en daarnaast een geldboete aan het autoverhuurbedrijf. De rechtbank Amsterdam neemt tevens beslissingen over de rechtmatigheid van het gebruik van SkyECC berichten als bewijs.

De rechtbank Amsterdam ziet geen aanleiding gezien de zaak aan te houden in afwachting van de beantwoording van de Hoge Raad van prejudiciële vragen van de rechtbank Noord-Nederland in het onderzoek Shifter. Zolang de Hoge Raad nog niet gesproken heeft, plegen de rechtbanken de zaken voort te zetten en zeker niet een inhoudelijke behandeling aan te houden. De rechtbank maakt uit de stukken op dat het inderdaad zo is dat de IP-tap in Frankrijk is gezet in het kader van een Frans onderzoek met machtiging van een Franse rechter. In zoverre is het vertrouwensbeginsel naar het oordeel van de rechtbank onverkort van kracht. De rechtbank gaat er nog steeds vanuit dat de interceptie in Frankrijk op basis van een toereikende wettelijke grondslag en in overeenstemming met artikel 8 van het Europees Verdrag voor de Rechten van de Mens (hierna: EVRM) heeft plaatsgevonden en het recht op privacy dus bij de opsporingshandelingen in acht is genomen. De rechtbank betrekt daarbij dat het feit dat de Franse rechter zich mede heeft gebaseerd op informatie afkomstig van Nederlandse opsporingsambtenaren geen afbreuk doet aan dit uitgangspunt, te meer nu niet is gebleken van enige onregelmatigheid of onjuistheid ten aanzien van deze informatie. Ook ten aanzien van de op deze interceptie volgende verstrekking van de SkyECC data aan Nederland geldt dat erop mag worden vertrouwd dat deze heeft plaatsgevonden met inachtneming van op Frankrijk rustende wettelijke en verdragsrechtelijke verplichtingen.

De rechtbank ziet in de Nederlandse betrokkenheid bij de interceptietool en de interceptie zelf een toenemende mate van bepalende invloed. De Nederlandse inbreng, die speciaal voor dit doel werd ontwikkeld, lijkt cruciaal te zijn geweest voor het welslagen van de interceptie, in die zin dat uiteindelijk ook van de inhoud van de berichten kennis kon worden genomen. Deze betrokkenheid van de Nederlandse opsporingsambtenaren roept de vraag op of zij niet medeverantwoordelijk moeten worden gehouden voor de interceptie. Dat leidt tot de vraag of de Nederlandse officier van justitie zich in dat verband niet had moeten wenden tot de rechter-commissaris teneinde een machtiging te verkrijgen voor deze interceptie. Bij de officier van justitie was immers bekend dat een aanzienlijk deel van de gebruikers van SkyECC zich in Nederland bevond. Daarbij komt de vraag of ingevolge artikel 5.4.18 Sv een eerdere gang naar de rechter-commissaris niet aangewezen was geweest. Dit artikel schrijft voor dat de officier van justitie de rechter-commissaris kennisgeeft van een interceptie op Nederlands grondgebied, nadat hij daarover middels een daartoe strekkend formulier is geïnformeerd door een lidstaat, waarna de rechter-commissaris aangeeft of met de interceptie kan worden ingestemd. Weliswaar blijkt in geval van de SkyECC hack niet van een dergelijk formulier, maar dat de Nederlandse officier van justitie op de hoogte was van de interceptie die ook vele gebruikers in Nederland trof, is evident.

Een positieve beantwoording van ieder van deze twee vragen zou kunnen betekenen dat een vormverzuim moet worden vastgesteld. De rechtbank Amsterdam laat de beantwoording van deze vragen echter in het midden en wel om de reden dat – zo er al sprake is van een vormverzuim – dit verzuim niet van bepalende aard is geweest in het onderzoek naar de verdachten in het onderzoek Cherokee en derhalve zonder consequenties kan blijven.

Relevant is nog de laatste overweging van de rechtbank Amsterdam dat er geen begin van aannemelijkheid is dat het OM, zoals door een deel van de verdediging is gesuggereerd, bewust de rechtsmacht van de rechter-commissaris heeft omzeild en voor een U-bochtconstructie heeft gekozen. Het OM heeft de rechter-commissaris immers op meerdere momenten juist wel betrokken, zowel bij het verzoek een image (kopie) te mogen maken als bij het verzoek de ontsleutelde berichten te mogen gebruiken. De gang van zaken rondom de interceptie en daaropvolgende ontsleuteling blijkt bovendien voor een groot deel uit de door het OM verstrekte stukken, wat zich moeizaam met een bewuste misleiding verhoudt. Dat de stukken eerder niet duidelijk waren over de betrokkenheid bij de ontwikkeling en inzet van de interceptietool en dat de informatievoorziening aanvankelijk te summier was, rechtvaardigt nog niet de conclusie dat het OM de rechter-commissaris, de verdediging en de rechtbank bewust verkeerd of onvolledig heeft geïnformeerd.

De rechtbank Gelderland heeft in de uitspraak (ECLI:NL:RBGEL:2022:7105) van 20 december 2022 in een moordzaak in essentie hetzelfde oordeel als de rechtbank Amsterdam in de zaak Cherokee. Wel maakt zij nog de kritische opmerking dat de informatievoorziening door het openbaar ministerie ‘te weinig transparant en zeer moeizaam is verlopen’. Zij overweegt:

“Doordat het openbaar ministerie aanvankelijk slechts zeer beperkt informatie verschafte over de Nederlandse inbreng bij de hack van SkyECC, hebben advocaten in meerdere strafzaken door het hele land veel moeite moeten doen om hierover meer duidelijkheid te krijgen. Dit heeft bij de verdediging geleid tot gevoelens van wantrouwen jegens het openbaar ministerie. De rechtbank onderkent uiteraard dat de samenstelling van het procesdossier in beginsel aan het openbaar ministerie is en dat de betreffende zaaksofficieren van justitie afhankelijk zijn van diverse andere collega-officieren van justitie om hen van informatie te voorzien.”

Dat neemt niet weg dat het wenselijk was geweest dat het openbaar ministerie vanaf het begin duidelijkheid had verschaft en inzage had gegeven in de Nederlandse bijdrage bij de hack van SkyECC, zoals uiteindelijk pas bij brief van 2 juni 2022 is gedaan. De rechtbank concludeert dat het openbaar ministerie tekort is geschoten in de informatievoorziening door niet direct openheid van zaken te geven, maar niet zodanig dat hierdoor een ernstige inbreuk is gemaakt op de beginselen van een behoorlijke procesorde, met name nu de volledige gang van zaken uiteindelijk in de brief van 2 juni 2022 uiteen is gezet.

Ten slotte overweegt ook het Hof Den Haag op 5 januari 2022 in een lezenswaardig arrest (ECLI:NL:GHDHA:2023:6) dat de prejudiciële vragen aan de Hoge Raad niet leidt tot aanhouding van een zaak, waarbij het bewijs dat is vergaard uit de EncroChat-operatie. Het hof Den Haag overweegt daarbij dat kortgezegd dat (1) niet nu aan te nemen is dat de Hoge Raad die prejudiciële vragen zal kwalificeren als rechtsvragen in de zin van artikel 553, eerste lid Sv en dat een prejudiciële procedure zal volgen (opmerking JJO: dit was een onduidelijke, maar opvallende zin en ik hoop dat ik het goed begrijp), (2) uit het aanhoudingsverzoek volgt dat de (verwacht) te stellen – en inmiddels gestelde – rechtsvragen in de kern betrekking hebben op de toepassing van het vertrouwensbeginsel en/of de reikwijdte daarvan. Daarover is recente jurisprudentie van de Hoge Raad beschikbaar (2010/2022) waarin duidelijk uitleg wordt gegeven over de aspecten van toepassing en reikwijdte, (3) geen rechtsregel dwingt tot het aanhouden van de behandeling van de zaak om het enkele feit dat prejudiciële vragen zijn gesteld of zullen worden gesteld, en (4) dat door buitenlandse rechters uitspraken worden of zijn gedaan in EncroChat-zaken/-kwesties, maakt het bovenstaande niet anders.

Het hof merkt nog op dat uit het arrest van het Franse ‘Cour de Cassation’ (Hof van cassatie), van 11 oktober 2022 (ECLI:FR:CCASS:2022:CR01226), niet reeds nu de conclusie kan worden getrokken dat sprake zou zijn van onrechtmatig handelen in EncroChat-zaken. Het hof overweegt: “Eerder zijn er aanwijzingen voor het tegendeel. Het Cour de Cassation stelt namelijk in dit arrest vast dat “door alle in het dossier opgenomen documenten van de procedure van Lille zowel de verdachten als de onderzoekskamer in staat zijn gesteld om de régularité en loyauté (regelmatigheid/rechtmatigheid en billijkheid) van het aanvankelijk verzamelde bewijsmateriaal te beoordelen, zonder enige afbreuk op hun fundamentele rechten.” (r.o. 14). Voorts verwijst het Cour de Cassation (r.o. 21) naar het antwoord dat de Franse ‘Conseil Constitutionnel’ (Grondwettelijke Raad) op 8 april 2022 ((Besluit nr. 2022-987) heeft gegeven op de vraag van het Cour de Cassation of het artikel waarop de interceptie is gebaseerd (artikel 706-102-1 van het Franse Wetboek van Strafvordering) strijdig is met de Franse grondwet. Het antwoord van de Conseil Constitutionnel luidt dat dit artikel hiermee niet in strijd is.”

Het verweer dat het OM niet-ontvankelijk is omdat “moedwillig” onjuiste en/of onvolledige informatie is verstrekt aan de verdediging heeft het hof verworpen. Het hof Den Haag overweegt dat:

“de verdediging wel terecht heeft opgemerkt dat het openbaar ministerie – in ieder geval bij de aanvang van de verschillende EncroChat-zaken – onvoldoende heeft gecommuniceerd, namelijk op een wijze waardoor werd aangegeven dat de informatiedeur hermetisch gesloten behoorde te blijven en lange tijd ook bleef. Daardoor is bij de verdediging wantrouwen ontstaan, resulterend in suggesties en aannames die veel tijd en aandacht hebben gevraagd waarmee werd afgeleid van de kern van de individuele en onderhavige zaak.”

Het OM had wel veel eerder informatie of documenten kunnen en moeten verstrekken. Dit is echter geen ‘welbewuste grove veronachtzaming van de rechten van de verdediging’. Het openbaar ministerie heeft, naar het oordeel van het hof, een ‘(te) strikt standpunt ingenomen over de noodzaak/mogelijkheid van het verstrekken van informatie en documenten, dat – zoals hierboven is vermeld – gelet op de bijzondere omstandigheden, zeer onwenselijk en hoogst ongelukkig is te noemen’. Het hof verwerpt daarop het verweer strekkende tot niet-ontvankelijkverklaring van het openbaar-ministerie.

De verweren ten aanzien van de verkrijging en het gebruik van EncroChat-berichten worden ook verworpen. Het hof legt kortgezegd uit dat de inzet van de interceptietool betreft een bevoegdheid naar Frans recht verkregen na toestemming van een Franse rechter. Dat de inzet van deze methode naar Frans recht als ‘staatsgeheim’ kwalificeert doet hier niet aan af.

Darknet vendors veroordeeld

Op 21 december 2022 heeft de rechtbank Noord-Nederland een verdachte veroordeeld (ECLI:NL:RBNHO:2022:11405) voor drugshandel en het voorhanden hebben van een vuurwapen met munitie in zijn woning. De drugshandel vond plaats op internet.

De rechtbank typeert de verdachte als de figuurlijke ‘spin-in-het-web’ in een criminele organisatie. In totaal zijn 11 verdachten veroordeeld. Deze verdachte adverteerde onder zijn accountnaam op verschillende darknet markets en verstuurde PGP-telefoons naar vaste klanten om direct met hen te communiceren. Hij nam de bestellingen op en kwam ook in de loods in Hillegom onder meer om bestellingen in te pakken voor verzending. Alles bij elkaar gaat het in ieder geval om meer dan 100 kilo harddrugs die op deze wijze Nederland zijn uitgevoerd dan wel gereed lagen om Nederland te worden uitgevoerd. Voor het inpakken door de medeverdachten, verstrekte een andere verdachte de bestellijsten en stuurde hij de werkzaamheden aan. Verder zorgde hij voor de inrichting van de inpakruimtes. Verder zorgde hij samen met medeverdachten voor de inkoop van de drugs, inde hij de bitcoins van de kopers, zorgde hij voor het omwisselen van de bitcoins en deelde hij met twee medeverdachten in gelijke delen de winst.

Het ‘Cargo Harc-team Schiphol’ kwam de verdachte op het spoor via postpakketten en openbronnenonderzoek op online drugsmarkten op het darkweb (‘darknet markets’ genoemd). In dit geval ging het om de darknet markets ‘Alphabay’ en ‘Dream Market’. Ook berichtte de Verenigde Staten de Nederlandse autoriteiten over een online handelaar in verdovende middelen genaamd die zich vermoedelijk in Nederland bevond. In de uitspraak is te lezen dat ‘Homeland Security Investigations’ gebruik maakte van de online identiteit van een aangehouden afnemer van drugs. Daarop heeft de Nederlandse justitie documenten opgevraagd bij de Amerikaanse autoriteiten voor de verzameling van bewijs. Uit de correspondentie en berichten op een PGP-telefoon is bewijsmateriaal voor het versturen van pakketjes met drugs te vinden. Ook zijn voor het onderzoekgegevens gebruikt uit de Ennetcom-dataset. Daarvoor is twee machtigingen van een rechter-commissaris verkregen. Daarbij kwamen ook anderen verdachten in beeld, die tevens zijn veroordeeld.

De rechtbank legt een onvoorwaardelijke gevangenisstraf op van 85 maanden.

Verdachte krijgt in hoger beroep hogere gevangenisstraf voor phishing

Het Hof Arnhem-Leeuwarden heeft op 15 december 2022 een verdachte veroordeeld (ECLI:NL:GHARL:2022:10845) voor onder andere phishing.

Het hof legt in het arrest uit dat het in deze zaak om phishing (‘password harvesting fishing’). Phishing is een vorm van internetfraude. In deze zaak bestaat het uit het oplichten van mensen door ze via een e-mail die afkomstig lijkt te zijn van hun bank of creditcardverstrekker, nietsvermoedend hun inloggegevens voor hun bankrekening of creditcardrekening en/of pincode van hun bankpas te laten invullen en/of hun bankpas op te (laten) sturen. Hierdoor krijgt de fraudeur de beschikking over de inloggegevens van de bank-/creditcardrekening en/of de bankpas met bijbehorende pincode van de gedupeerden van de phishing. Vervolgens heeft de fraudeur toegang tot een individuele bankrekening of creditcardrekening om dure aankopen te doen of om grote geldbedragen van deze rekeningen af te halen.

In deze strafzaak is de betrokkenheid bij deze internetfraude aan verdachte tenlastegelegd als een reeks verschillende delicten:

  1. – het maken van en gebruiken van phishingmails;
    – de daarmee verworven inloggegevens voorhanden hebben en ter beschikking stellen met de bedoeling om daarmee toegang te verschaffen tot het betalingsverkeer van anderen (artikel 139d van het Wetboek van Strafrecht (Sr));
  2. het oplichten van mensen door hen via de phishingsmails te bewegen hun inloggegevens en/of pincode en/of bankpassen ter beschikking te stellen (artikel 326 Sr);
  3. het gebruiken van de verworven gegevens voor toegang tot de bank-/creditcardrekeningen (artikel 138ab Sr);
  4. het wijzigen van de gegevens in de bank-/creditcardaccounts van de opgelichte personen (artikel 350a Sr);
  5. diefstal van geld door het doen van betalingen en pinnen van geldbedragen vanaf de bank-/creditcardaccounts van de opgelichte personen, met behulp van de verworven toegangsgegevens en/of bankpas met bijbehorende pincode (artikel 311 Sr);
  6. witwassen van de opbrengst van de phishing (artikel 420bis Sr).

Het hof is van oordeel dat de verdachte e-mailadressen verzamelde van de slachtoffers, de phishingmail maakte (al dan niet met instructies van anderen), de phishingmail stuurde naar de slachtoffers en de gephishte (inlog)gegevens ontving. Met deze door verdachte gephishte en overgedragen (inlog)gegevens zijn de overige onder 2, 3, 4 en 5 tenlastegelegde delictshandelingen gepleegd. Hij is de noodzakelijke en wezenlijke eerste schakel geweest in het geheel van de tenlastegelegde handelingen. Zonder zijn bijdrage had er geen sprake kunnen zijn van succesvolle phishing. Er was sprake van een nauwe en bewuste samenwerking tussen verdachte en een of meer mededaders. Het geheel aan handelen van de dadergroep kan daarom aan verdachte als mededader worden toegerekend. Bij elk van de slachtoffers genoemd in de tenlastelegging, is er voldoende wettig en overtuigend bewijs dat de dadergroep van verdachte verantwoordelijk is voor de oplichtingshandelingen en diefstallen jegens dat slachtoffer.

Interessant is nog dat de verdachte samen met medeverdachte in speciale Whatsapp- en Snapchatgroep zaten, waarbij personen verzoekberichten plaatsten om bestelde goederen (op rekening van de slachtoffers besteld) op te halen (de bestellers) en personen die daarop reageerden en aangaven het pakket op te halen (de afhalers). In de bewijsvoering is te lezen hoe de verdachte phishing-servers had ingericht en de politie één van de servers heeft onderzocht. Uit de logingegevens van ‘ZAP-hosting’ blijkt dat er met deze server verbinding is gemaakt vanaf het IP-adres van het woonadres van verdachte. Op de laptop van de verdachte is te zien dat er in de periode 29 maart 2018 tot en met 14 januari 2019 600 keer verbinding is geweest met de mailbox van de verdachte. Op de inbeslaggenomen telefoons en computers van de verdachte is ook bewijs van de phishingberichten en oplichting zelf gevonden.

De verdachte wordt veroordeeld voor een hogere gevangenisstraf dan de rechtbank heft opgelegd, namelijk 30 maanden gevangenisstraf waarvan 12 maanden voorwaardelijk en een proeftijd van 2 jaar. Het hof is van oordeel dat de daarvoor opgelegde gevangenisstraf van beperkte duur onvoldoende recht doet aan de ernst van de feiten en de schade die is berokkend door het handelen van verdachte. Niet onbelangrijk is dat de verdachte ook fikse schadevergoedingen moet betalen, waaronder een bedrag van € 129.945,64 vanwege geleden materiële schade.

Drugshandel, witwassen en darknet markets

jjoerlemans Een reactie plaatsen

In de afgelopen maanden zijn weer verschillende zaken geweest met veroordelingen voor drugshandel via het dark web en/of het witwassen van de verkregen gelden via Bitcoin.

Allereerst is de uitspraak (ECLI:NL:RBROT:2017:10225) van de rechtbank Rotterdam van 19 december 2017 interessant. In deze zaak handelde de verdachte via localbitcoins.net in bitcoins in ruil voor geld. Nadat het contact tussen verdachte en de bitcoin-eigenaren was gelegd via Twitter of Telegram, werden de bitcoins door de eigenaren overgeschreven, ofwel naar de wallet van verdachte ofwel naar de wallet van de Bitcoin verkoopmaatschappijen Bitonic of Coinvert. Bitonic en Coinvert betaalden de verkoopprijs uit per bank en maakte de bedragen telkens over naar de bankrekeningen van verdachte of van twee van zijn ex-vriendinnen. In totaal is er in de ten laste gelegde periode een bedrag van € 447.882,65 naar deze bankrekeningen overgemaakt.

De stortingen van de bitcoingelden op de bankrekeningen van verdachte en [naam medeverdachte] hebben ertoe geleid dat SNS Bank drie meldingen van verdachte transacties heeft gemaakt bij FIU‑Nederland. Naar aanleiding van deze melding is onderzoek gedaan naar de door verdachte omgewisselde Bitcoinadressen. Uit dat onderzoek, dat is uitgevoerd met behulp van het programma ‘Chainalysis’, blijkt dat meer dan de helft van de bitcoins binnen één of twee tussenstappen is terug te voeren naar darkweb markten. De rechtbank gaat uit van de juistheid van die resultaten en constateert dat een deel van de door verdachte verhandelde bitcoins gelieerd zijn aan darkweb markten.

De rechtbank gaat niet mee met de officier van justitie dat er sprake is van witwassen als gronddelict. De rechtbank deelt wel het standpunt van de officier van justitie dat darkweb markten in de regel worden gebruikt voor criminele doeleinden en dat daarbij bitcoins worden gebruikt als betaalmiddelen.Uit het dossier kan echter niet worden vastgesteld dat verdachte wist, of daar ernstig rekening mee moest houden, dat de bitcoins die hij verhandelde afkomstig waren van darkweb markten en dus dat het criminele bitcoins waren. Wel is er volgens de rechtbank sprake van een vermoeden was dat de bitcoins afkomstig waren uit enig misdrijf en er aldus een vermoeden van witwassen bestaat. De verdachte wordt veroordeeld voor twintig maanden gevangenisstraf.

Op 24 januari 2018 is door de rechtbank Midden-Nederland een 24-jarige man veroordeeld (ECLI:NL:RBMNE:2018:234) tot een gevangenisstraf van zes jaar voor internationale drugshandel met gebruik van Darknet-markets (Alphabay) en witwassen. Alphabay is lange tijd het meest populaire darknet market voor drugshandel geweest. 

Uit de bewijsvoering blijkt dat de verdachte door opsporingsambtenaren in de gaten is gehouden. Deze activiteiten van de verdachte wegen mee als bewijs. Zo wordt opgemerkt: Door het profiel ‘[gebruikersnaam]’ waren in totaal 31 advertenties geplaatst.De titels van deze advertenties bevatten onder meer de volgende teksten: “50g MDMA Very High Quality”, “50x 100 Dollar Bills Green Very High Quality”.

In de uitspraak wordt opgemerkt dat de verdachte een stichting had opgericht voor de uitbetalingen van cash geld in ruil voor bitcoins. In de uitspraak staat:

“Op 16 januari 2016 werden bij het bedrijf Bitonic alle transacties gevorderd die betrekking hadden op de negen betrokken bankrekeningen op naam van Stichting [stichting]. Uit de uitgeleverde informatie bleek dat over de periode van 26 maart 2015 tot en met 14 november 2016 voor € 501.165,38 aan bitcoins waren verzilverd. Alle negen rekeningen bleken, hoewel bij Bitonic voorzien van verschillende namen, volgens de verstrekking van de ING-bank op naam te staan van rekeninghouder Stichting [stichting]”.

Door de politie is ook onderzoek gedaan naar de bitcoinadressen die door verdachte werden gebruikt. Door middel van analyse met behulp van het programma Chainalysis blijkt dat er veel betalingen en ontvangsten van en/of naar deze adressen via zogenaamde mixers liepen. Een mixer wordt aangeboden door diverse partijen. Deze stellen een bitcoinadres ter beschikking waar men bitcoins op kan storten. De mixer betaalt vervolgens deze bitcoins terug aan de klant na aftrek van een kleine ‘fee’. De bitcoins worden op een groot aantal verschillende bitcoinadressen gestort. In totaal werden 430 bitcoinadressen ingevoerd in Chainalysis. Naast het gebruik van mixerdiensten bleek dat er een aantal transacties gelinkt was aan Darknet Markets. Daarmee is sprake van een aantal witwastypologieën. Niet alleen staan de transacties niet in verhouding tot de inkomsten van verdachte, maar er is ook geen legale economische verklaring voor de gewisselde valutasoorten, er zijn grote geldbedragen contant opgenomen en zonder noodzaak voorhanden gehouden en er is gebruik gemaakt van bitcoinmixers.

Ook een andere verdachte wordt in deze zaak veroordeeld, bijvoorbeeld een 26-jarige vrouw voor schuldwitwassen. Zij heeft ruim 130.000 euro crimineel geld in haar bezit gehad en uitgegeven. De rechtbank oordeelt dat zij had moeten weten dat dit geld een criminele herkomst had.

Europol rapport ‘Drugs and the darknet’

jjoerlemans Een reactie plaatsen

Europol heeft in november 2017 het rapport ‘Drugs and the darknet’ uitgebracht. Het rapport biedt veel informatie en belangrijke inzichten in online drugshandel, dat zich voornamelijk afspeelt via internetmarktplaatsen die via Tor bereikbaar zijn.

Hierbij moet meteen worden opgemerkt dat het aandeel van online drugshandel in de totale omvang van drugshandel wereldwijd vooralsnog klein is. Wel stelt Europol dat het de verwachting is dat online drugshandel een verdere groei zal doormaken. Dat kan worden verklaard door de manier waarop het darkweb deze vorm van criminaliteit faciliteert, met name door de anonimiteit die het Tor netwerk biedt, de mogelijkheden om versleuteld te communiceren, de mogelijkheden om te betalen in cryptocurrencies zoals Bitcoin (en in toenemende mate Monero en ZCash).

In het rapport wordt met veel openheid uitgelegd hoe online drugsmarkten werken en welke drugsmarkten actief zijn geweest. Daarbij wordt bijvoorbeeld uitgebreid ingegaan op de drugsmarkt AlphaBay, dat op enig moment naar schatting 28% van gehele omzet op online drugshandel voor zijn rekening nam. Grote operaties waarbij darknet markets offline zijn gehaald, hebben volgens Europol de drugsmarkten verstoord. Tegelijkertijd is duidelijk dat de drugshandelaren en kopers tegenmaatregelen nemen, zoals het aanbrengen van versleuteling op de marktplaatsen en het vereiste verschillende sleutels in te voeren voor het autoriseren van bitcointransacties. In het rapport wordt opgemerkt dat de politiedienst een goed beeld heeft van de Westerse drugsmarkten, maar vooralsnog (te) weinig zich heeft op online drugsmarkten met een niet-Engelse voertaal, zoals Russisch.

Duitsland, Nederland en het Verenigd Koninkrijk hebben het grootste aandeel met betrekking tot het aanbod van drugs binnen de Europese Unie via darknet markets. Nederlandse verkopers zijn bekend om hun aanbod van MDMA, dat vaak van goede kwaliteit is.

Europol geeft aan dat het dataretentie-arrest van het Hof van Justitie van de Europese Unie grote problemen veroorzaakt in cybercrime onderzoeken naar online drugshandel, omdat de gegevens bij internet access providers niet verplicht beschikbaar worden gemaakt voor opsporingsinstanties. Ook levert de toepassing van ‘carrier-grade NAT’ technologie bij mobiele internet dienstverleners grote problemen op, omdat sommige aanbieders hun eigen klanten op hun netwerk niet meer kunnen identificeren door de gebruikte poorten niet te loggen en aangezochte IP-adressen niet vast te leggen. Carrier-grade NAT is een technologie waarbij verschillende internetgebruikers gebruik kunnen maken van hetzelfde IP-adres. De techniek wordt gebruikt door 95% van de mobiele telecomaanbieders en bijna 50% van de internet service providers wereldwijd.

De toename in het gebruik van encryptie (bijvoorbeeld door het gebruik van het PGP-sleutels) en het gebruik van anonimiseringsdiensten voor bitcoins (met zogenaamde ‘bitcoin-mixing diensten’ of ‘tumblers’) daagt ook de opsporing uit. In het rapport wordt tevens (wederom) aangegeven dat de jurisdictieproblemen in opsporingsonderzoeken naar cybercrime groot zijn. De problemen doen zich voor vanwege verschillende strafbaarstellingen, verschillende voorwaarden voor de inzet van bevoegdheden, problemen met betrekking tot de lokalisering van computers op het darkweb en een gebrek aan eenduidigheid over het uitvoeren van digitaal forensisch onderzoek.

Het ‘European Investigation Order’, dat een nieuw instrument biedt voor een meer directe vorm van rechtshulp binnen de EU, biedt volgens Europol onvoldoende mogelijkheden om effectief bewijs over de grenzen te verzamelen. Vanwege de vereiste specialistische kennis die is vereist en grensoverschrijdende aard van de criminaliteit heeft Europol een speciaal ‘darknet team’ opgericht. Zij raadt aan dat andere Lidstaten ook dergelijke teams oprichten.

In het rapport wordt ten slotte opgemerkt dat de Europese Commissie in het begin 2018 een voorstel zal doen voor een ‘nieuw juridisch instrument’ om elektronisch bewijs te vergaren

Internet organised threat assessment 2017

jjoerlemans Een reactie plaatsen

Op 28 september 2017 heeft Europol zijn ‘Internet Organised Crime Threat Assessment 2017’ rapport uitgebracht. Het rapport geeft ieder jaar een bijzondere inkijk in de laatste ontwikkelingen op het gebied van ‘internet organised crime’. De belangrijkste conclusies uit het rapport worden hieronder kort besproken.

Ransomware

Ransomware vormt volgens Europol de belangrijkste malware dreiging, gelet op de slachtoffers en de schade die het met zich meebrengt. Met ransomware wordt relatief eenvoudig geld verdiend. Door het gebruik van cryptocurrencies, zoals Bitcoin, zijn de verdiensten bovendien relatief eenvoudig wit te wassen. Naast Bitcoin worden ook Monero, Etherium en ZCash in toenemende mate door cybercriminelen gebruikt. ‘Kirk’ is de eerste ransomware waarbij Monero werd gebruikt voor het losgeld (in plaats van Bitcoin).

Niet alleen individuen worden door cybercriminelen met ransomware aangevallen, maar ook ziekenhuizen, de politie en overheidsinstellingen. MKB-bedrijven worden steeds vaker aangevallen, mede vanwege hun beperkte budget om voldoende beveiligingsmaatregelen te nemen. Europol spreekt van een ‘explosie’ van ransomware dat op de markt komt, waarbij sommige rapporten spreken van een toename van 750% in 2016 ten opzichte van 2015.

Information stealers’ vormen de op een na grootste bedreiging met betrekking tot malware. Het kost cybercriminelen aanzienlijk meer moeite de benodigde informatie (zoals financiële gegevens) te stelen en het is voor criminelen lastiger met deze malware geld te verdienen vergeleken met ransomware. In het rapport wordt terecht opgemerkt dat Europol een vertekend beeld krijgt van de malwaredreiging, omdat mensen vaak de gevolgen van het gebruik van malware rapporteren. De IT beveiligingsindustrie geeft daarom noodzakelijke input voor het rapport. Binnen deze industrie bestaat een meer volledig beeld van de dreiging.

Internet of things

Europol signaleert ook de dat zwakke beveiliging van ‘Internet of Things’-apparaten cyberaanvallen in de hand werkt. Het Mirai-botnet, dat werd gevormd door lekke en misbruikte IoT-apparaten, heeft in 2016 met een zeer sterke (d)DoS-aanval de Amerikaanse DNS-provider Dyn platgelegd, waardoor populaire diensten als Twitter, SoundCloud, Spotify, Netflix, Reddit en PayPal ongeveer 2 uur onbereikbaar waren. Denial-of-service aanvallen zijn eenvoudig uit te voeren. Een botnet die in staat is een denial-of-service aanval van 5 minuten op een webshop uit te voeren, kan slechts voor 5 dollar op websites worden gehuurd.

Kinderporno

Kinderporno op internet blijft een groot probleem. Het aanbod, de verspreiding en vervaardiging van het materiaal lijkt niet af te nemen. Daarnaast worden enorme hoeveelheden kinderporno in beslag genomen. Volgens Europol zijn hoeveelheden 1-3 Terabyte niet ongebruikelijk met 1 tot 10 miljoen afbeeldingen met kinderpornografie. Peer-to-peer programma’s, zoals GigaTribe, worden nog steeds door kinderpornogebruikers misbruikt voor de verspreiding en het binnenhalen van kinderporno. Europol signaleert dat ook populaire apps en sociale mediadiensten in toenemende mate worden misbruikt voor de distributie van kinderporno. Het is ook helder dat websites op het darkweb worden gebruikt voor toegang en verspreiding van kinderpornografie. Het rapport haalt aan hoe de hack op het hosting bedrijf ‘Freedom Hosting II’ 10.000 darknet websites blootlegde, waarvan 50% kinderpornografische afbeeldingen bevatte. Deze websites zijn overigens vaak gespecialiseerd in kinderporno, omdat online marktplaatsen geen kinderporno accepteren. Zowel op het ‘Surface web’ als op het ‘dark web’ zijn er pay-per-view-diensten beschikbaar waarop kinderpornografisch materiaal wordt aangeboden. Volgens Europol maken veel Westelingen gebruik van de diensten, waarbij vooral minderjarigen uit de Zuidoost-Azië en Afrika worden misbruikt. De opsporing van deze misdrijven wordt bemoeilijkt door het gebruik van gratis WiFi-diensten die bijvoorbeeld in de Filipijnen aan arme wijken worden aangeboden. Het is daardoor lastig op basis van het IP-adres de slachtoffers te identificeren.

Cobalt

Het gebruik chipbetaalkaarten met de EMV-standaard is nog niet alle staten gemeengoed geworden. Betaalkaarten en betaalautomaten die niet van de standaard gebruik maken, worden op grote schaal misbruikt om fraude en andere delicten zoals de aankoop van drugs mee te plegen. In het rapport worden spectaculaire hacks beschreven waarbij pinautomaten of het systeem dat de pinbetalingen faciliteert worden gehackt, waarna de pinautomaten automatisch geld uitspuwen of geld tot een veel hoger bedrag (tot 200.000 euro) kan worden opgenomen. Verwezen worden naar de ‘Carnabak’-groep die in 2014-2015 op deze manier 1 miljard dollar buit heef gemaakt. Meer recent is volgens Europol de ‘Cobalt’-groep actief geweest met het infecteren van pinautomaten met malware om frauduleuze pinopnamen te doen binnen de Europese Unie, waaronder Nederland.

Darknet markets

In het rapport wordt veel aandacht besteed aan de groei van ‘darknet markets’. De online handelsplatformen op het darkweb zijn toegankelijk via Tor, I2P en Freenet, waarbij de illegale activiteiten zich nog voornamelijk via Tor afspelen. In juni 2017 had het Tor netwerk 2.2 miljoen actieve gebruikers en bevatte het bijna 60.000 unieke .onion domeinnamen. De gebruikmaking van deze diensten zijn nog niet de standaard geworden voor de distributie van illegale goederen. Maar de darknet markets groeien snel met een eigen klantenkring in de gebieden van illegale drugshandel, wapenhandel en kinderporno. Daarnaast worden ook veel persoonsgegevens, in het bijzonder gegevens over betaalkaarten en login gegevens voor online bankieren, op het dark web aangeboden.

Volgens Europol maken de volgende drie factoren het gebruik van Tor voor criminelen aantrekkelijk: (1) een bepaalde mate van anonimiteit, (2) een diverse markt aan kopers die minder lijflijk risico lopen en kunnen betalen met cryptocurrencies en (3) een goede kwaliteit van producten die worden verkocht door aanbieders die worden beoordeeld op basis van reviews. 

Maatregelen

Voor het tweede jaar achtereen geeft Europol in het rapport ook de boodschap af encryptie de opsporing voor cybercrime belemmert. Het maakt het aftappen van telecommunicatieverkeer minder effectief en belemmert digitaal forensisch onderzoek. Daarnaast is het helder dat de onrechtmatig verklaring van de dataretentierichtlijn op 8 april 2014 door het Hof van Justitie van de EU een ‘aanzienlijke negatieve invloed’ heeft op de mogelijkheden van opsporingsautoriteiten om bewijsmateriaal veilig te stellen. In sommige lidstaten is nog steeds dataretentieregelgeving voor telecommunicatiedienstverleners (waaronder ISP’s) van kracht, maar in veel andere EU lidstaten niet meer. Deze fragmentatie belemmert de internationale opsporing van cybercrime. Europol doet geen voorstellen tot maatregelen op dit gebied, wellicht omdat het te politiek gevoelig is, maar benadrukt de problematiek die het met zich meebrengt.