Drugshandel, witwassen en darknet markets

In de afgelopen maanden zijn weer verschillende zaken geweest met veroordelingen voor drugshandel via het dark web en/of het witwassen van de verkregen gelden via Bitcoin.

Allereerst is de uitspraak (ECLI:NL:RBROT:2017:10225) van de rechtbank Rotterdam van 19 december 2017 interessant. In deze zaak handelde de verdachte via localbitcoins.net in bitcoins in ruil voor geld. Nadat het contact tussen verdachte en de bitcoin-eigenaren was gelegd via Twitter of Telegram, werden de bitcoins door de eigenaren overgeschreven, ofwel naar de wallet van verdachte ofwel naar de wallet van de Bitcoin verkoopmaatschappijen Bitonic of Coinvert. Bitonic en Coinvert betaalden de verkoopprijs uit per bank en maakte de bedragen telkens over naar de bankrekeningen van verdachte of van twee van zijn ex-vriendinnen. In totaal is er in de ten laste gelegde periode een bedrag van € 447.882,65 naar deze bankrekeningen overgemaakt.

De stortingen van de bitcoingelden op de bankrekeningen van verdachte en [naam medeverdachte] hebben ertoe geleid dat SNS Bank drie meldingen van verdachte transacties heeft gemaakt bij FIU‑Nederland. Naar aanleiding van deze melding is onderzoek gedaan naar de door verdachte omgewisselde Bitcoinadressen. Uit dat onderzoek, dat is uitgevoerd met behulp van het programma ‘Chainalysis’, blijkt dat meer dan de helft van de bitcoins binnen één of twee tussenstappen is terug te voeren naar darkweb markten. De rechtbank gaat uit van de juistheid van die resultaten en constateert dat een deel van de door verdachte verhandelde bitcoins gelieerd zijn aan darkweb markten.

De rechtbank gaat niet mee met de officier van justitie dat er sprake is van witwassen als gronddelict. De rechtbank deelt wel het standpunt van de officier van justitie dat darkweb markten in de regel worden gebruikt voor criminele doeleinden en dat daarbij bitcoins worden gebruikt als betaalmiddelen.Uit het dossier kan echter niet worden vastgesteld dat verdachte wist, of daar ernstig rekening mee moest houden, dat de bitcoins die hij verhandelde afkomstig waren van darkweb markten en dus dat het criminele bitcoins waren. Wel is er volgens de rechtbank sprake van een vermoeden was dat de bitcoins afkomstig waren uit enig misdrijf en er aldus een vermoeden van witwassen bestaat. De verdachte wordt veroordeeld voor twintig maanden gevangenisstraf.

Op 24 januari 2018 is door de rechtbank Midden-Nederland een 24-jarige man veroordeeld (ECLI:NL:RBMNE:2018:234) tot een gevangenisstraf van zes jaar voor internationale drugshandel met gebruik van Darknet-markets (Alphabay) en witwassen. Alphabay is lange tijd het meest populaire darknet market voor drugshandel geweest. 

Uit de bewijsvoering blijkt dat de verdachte door opsporingsambtenaren in de gaten is gehouden. Deze activiteiten van de verdachte wegen mee als bewijs. Zo wordt opgemerkt: Door het profiel ‘[gebruikersnaam]’ waren in totaal 31 advertenties geplaatst.De titels van deze advertenties bevatten onder meer de volgende teksten: “50g MDMA Very High Quality”, “50x 100 Dollar Bills Green Very High Quality”.

In de uitspraak wordt opgemerkt dat de verdachte een stichting had opgericht voor de uitbetalingen van cash geld in ruil voor bitcoins. In de uitspraak staat:

“Op 16 januari 2016 werden bij het bedrijf Bitonic alle transacties gevorderd die betrekking hadden op de negen betrokken bankrekeningen op naam van Stichting [stichting]. Uit de uitgeleverde informatie bleek dat over de periode van 26 maart 2015 tot en met 14 november 2016 voor € 501.165,38 aan bitcoins waren verzilverd. Alle negen rekeningen bleken, hoewel bij Bitonic voorzien van verschillende namen, volgens de verstrekking van de ING-bank op naam te staan van rekeninghouder Stichting [stichting]”.

Door de politie is ook onderzoek gedaan naar de bitcoinadressen die door verdachte werden gebruikt. Door middel van analyse met behulp van het programma Chainalysis blijkt dat er veel betalingen en ontvangsten van en/of naar deze adressen via zogenaamde mixers liepen. Een mixer wordt aangeboden door diverse partijen. Deze stellen een bitcoinadres ter beschikking waar men bitcoins op kan storten. De mixer betaalt vervolgens deze bitcoins terug aan de klant na aftrek van een kleine ‘fee’. De bitcoins worden op een groot aantal verschillende bitcoinadressen gestort. In totaal werden 430 bitcoinadressen ingevoerd in Chainalysis. Naast het gebruik van mixerdiensten bleek dat er een aantal transacties gelinkt was aan Darknet Markets. Daarmee is sprake van een aantal witwastypologieën. Niet alleen staan de transacties niet in verhouding tot de inkomsten van verdachte, maar er is ook geen legale economische verklaring voor de gewisselde valutasoorten, er zijn grote geldbedragen contant opgenomen en zonder noodzaak voorhanden gehouden en er is gebruik gemaakt van bitcoinmixers.

Ook een andere verdachte wordt in deze zaak veroordeeld, bijvoorbeeld een 26-jarige vrouw voor schuldwitwassen. Zij heeft ruim 130.000 euro crimineel geld in haar bezit gehad en uitgegeven. De rechtbank oordeelt dat zij had moeten weten dat dit geld een criminele herkomst had.

Europol rapport ‘Drugs and the darknet’

Europol heeft in november 2017 het rapport ‘Drugs and the darknet’ uitgebracht. Het rapport biedt veel informatie en belangrijke inzichten in online drugshandel, dat zich voornamelijk afspeelt via internetmarktplaatsen die via Tor bereikbaar zijn.

Hierbij moet meteen worden opgemerkt dat het aandeel van online drugshandel in de totale omvang van drugshandel wereldwijd vooralsnog klein is. Wel stelt Europol dat het de verwachting is dat online drugshandel een verdere groei zal doormaken. Dat kan worden verklaard door de manier waarop het darkweb deze vorm van criminaliteit faciliteert, met name door de anonimiteit die het Tor netwerk biedt, de mogelijkheden om versleuteld te communiceren, de mogelijkheden om te betalen in cryptocurrencies zoals Bitcoin (en in toenemende mate Monero en ZCash).

In het rapport wordt met veel openheid uitgelegd hoe online drugsmarkten werken en welke drugsmarkten actief zijn geweest. Daarbij wordt bijvoorbeeld uitgebreid ingegaan op de drugsmarkt AlphaBay, dat op enig moment naar schatting 28% van gehele omzet op online drugshandel voor zijn rekening nam. Grote operaties waarbij darknet markets offline zijn gehaald, hebben volgens Europol de drugsmarkten verstoord. Tegelijkertijd is duidelijk dat de drugshandelaren en kopers tegenmaatregelen nemen, zoals het aanbrengen van versleuteling op de marktplaatsen en het vereiste verschillende sleutels in te voeren voor het autoriseren van bitcointransacties. In het rapport wordt opgemerkt dat de politiedienst een goed beeld heeft van de Westerse drugsmarkten, maar vooralsnog (te) weinig zich heeft op online drugsmarkten met een niet-Engelse voertaal, zoals Russisch.

Duitsland, Nederland en het Verenigd Koninkrijk hebben het grootste aandeel met betrekking tot het aanbod van drugs binnen de Europese Unie via darknet markets. Nederlandse verkopers zijn bekend om hun aanbod van MDMA, dat vaak van goede kwaliteit is.

Europol geeft aan dat het dataretentie-arrest van het Hof van Justitie van de Europese Unie grote problemen veroorzaakt in cybercrime onderzoeken naar online drugshandel, omdat de gegevens bij internet access providers niet verplicht beschikbaar worden gemaakt voor opsporingsinstanties. Ook levert de toepassing van ‘carrier-grade NAT’ technologie bij mobiele internet dienstverleners grote problemen op, omdat sommige aanbieders hun eigen klanten op hun netwerk niet meer kunnen identificeren door de gebruikte poorten niet te loggen en aangezochte IP-adressen niet vast te leggen. Carrier-grade NAT is een technologie waarbij verschillende internetgebruikers gebruik kunnen maken van hetzelfde IP-adres. De techniek wordt gebruikt door 95% van de mobiele telecomaanbieders en bijna 50% van de internet service providers wereldwijd.

De toename in het gebruik van encryptie (bijvoorbeeld door het gebruik van het PGP-sleutels) en het gebruik van anonimiseringsdiensten voor bitcoins (met zogenaamde ‘bitcoin-mixing diensten’ of ‘tumblers’) daagt ook de opsporing uit. In het rapport wordt tevens (wederom) aangegeven dat de jurisdictieproblemen in opsporingsonderzoeken naar cybercrime groot zijn. De problemen doen zich voor vanwege verschillende strafbaarstellingen, verschillende voorwaarden voor de inzet van bevoegdheden, problemen met betrekking tot de lokalisering van computers op het darkweb en een gebrek aan eenduidigheid over het uitvoeren van digitaal forensisch onderzoek.

Het ‘European Investigation Order’, dat een nieuw instrument biedt voor een meer directe vorm van rechtshulp binnen de EU, biedt volgens Europol onvoldoende mogelijkheden om effectief bewijs over de grenzen te verzamelen. Vanwege de vereiste specialistische kennis die is vereist en grensoverschrijdende aard van de criminaliteit heeft Europol een speciaal ‘darknet team’ opgericht. Zij raadt aan dat andere Lidstaten ook dergelijke teams oprichten.

In het rapport wordt ten slotte opgemerkt dat de Europese Commissie in het begin 2018 een voorstel zal doen voor een ‘nieuw juridisch instrument’ om elektronisch bewijs te vergaren

Internet organised threat assessment 2017

Op 28 september 2017 heeft Europol zijn ‘Internet Organised Crime Threat Assessment 2017’ rapport uitgebracht. Het rapport geeft ieder jaar een bijzondere inkijk in de laatste ontwikkelingen op het gebied van ‘internet organised crime’. De belangrijkste conclusies uit het rapport worden hieronder kort besproken.

Ransomware

Ransomware vormt volgens Europol de belangrijkste malware dreiging, gelet op de slachtoffers en de schade die het met zich meebrengt. Met ransomware wordt relatief eenvoudig geld verdiend. Door het gebruik van cryptocurrencies, zoals Bitcoin, zijn de verdiensten bovendien relatief eenvoudig wit te wassen. Naast Bitcoin worden ook Monero, Etherium en ZCash in toenemende mate door cybercriminelen gebruikt. ‘Kirk’ is de eerste ransomware waarbij Monero werd gebruikt voor het losgeld (in plaats van Bitcoin).

Niet alleen individuen worden door cybercriminelen met ransomware aangevallen, maar ook ziekenhuizen, de politie en overheidsinstellingen. MKB-bedrijven worden steeds vaker aangevallen, mede vanwege hun beperkte budget om voldoende beveiligingsmaatregelen te nemen. Europol spreekt van een ‘explosie’ van ransomware dat op de markt komt, waarbij sommige rapporten spreken van een toename van 750% in 2016 ten opzichte van 2015.

Information stealers’ vormen de op een na grootste bedreiging met betrekking tot malware. Het kost cybercriminelen aanzienlijk meer moeite de benodigde informatie (zoals financiële gegevens) te stelen en het is voor criminelen lastiger met deze malware geld te verdienen vergeleken met ransomware. In het rapport wordt terecht opgemerkt dat Europol een vertekend beeld krijgt van de malwaredreiging, omdat mensen vaak de gevolgen van het gebruik van malware rapporteren. De IT beveiligingsindustrie geeft daarom noodzakelijke input voor het rapport. Binnen deze industrie bestaat een meer volledig beeld van de dreiging.

Internet of things

Europol signaleert ook de dat zwakke beveiliging van ‘Internet of Things’-apparaten cyberaanvallen in de hand werkt. Het Mirai-botnet, dat werd gevormd door lekke en misbruikte IoT-apparaten, heeft in 2016 met een zeer sterke (d)DoS-aanval de Amerikaanse DNS-provider Dyn platgelegd, waardoor populaire diensten als Twitter, SoundCloud, Spotify, Netflix, Reddit en PayPal ongeveer 2 uur onbereikbaar waren. Denial-of-service aanvallen zijn eenvoudig uit te voeren. Een botnet die in staat is een denial-of-service aanval van 5 minuten op een webshop uit te voeren, kan slechts voor 5 dollar op websites worden gehuurd.

Kinderporno

Kinderporno op internet blijft een groot probleem. Het aanbod, de verspreiding en vervaardiging van het materiaal lijkt niet af te nemen. Daarnaast worden enorme hoeveelheden kinderporno in beslag genomen. Volgens Europol zijn hoeveelheden 1-3 Terabyte niet ongebruikelijk met 1 tot 10 miljoen afbeeldingen met kinderpornografie. Peer-to-peer programma’s, zoals GigaTribe, worden nog steeds door kinderpornogebruikers misbruikt voor de verspreiding en het binnenhalen van kinderporno. Europol signaleert dat ook populaire apps en sociale mediadiensten in toenemende mate worden misbruikt voor de distributie van kinderporno. Het is ook helder dat websites op het darkweb worden gebruikt voor toegang en verspreiding van kinderpornografie. Het rapport haalt aan hoe de hack op het hosting bedrijf ‘Freedom Hosting II’ 10.000 darknet websites blootlegde, waarvan 50% kinderpornografische afbeeldingen bevatte. Deze websites zijn overigens vaak gespecialiseerd in kinderporno, omdat online marktplaatsen geen kinderporno accepteren. Zowel op het ‘Surface web’ als op het ‘dark web’ zijn er pay-per-view-diensten beschikbaar waarop kinderpornografisch materiaal wordt aangeboden. Volgens Europol maken veel Westelingen gebruik van de diensten, waarbij vooral minderjarigen uit de Zuidoost-Azië en Afrika worden misbruikt. De opsporing van deze misdrijven wordt bemoeilijkt door het gebruik van gratis WiFi-diensten die bijvoorbeeld in de Filipijnen aan arme wijken worden aangeboden. Het is daardoor lastig op basis van het IP-adres de slachtoffers te identificeren.

Cobalt

Het gebruik chipbetaalkaarten met de EMV-standaard is nog niet alle staten gemeengoed geworden. Betaalkaarten en betaalautomaten die niet van de standaard gebruik maken, worden op grote schaal misbruikt om fraude en andere delicten zoals de aankoop van drugs mee te plegen. In het rapport worden spectaculaire hacks beschreven waarbij pinautomaten of het systeem dat de pinbetalingen faciliteert worden gehackt, waarna de pinautomaten automatisch geld uitspuwen of geld tot een veel hoger bedrag (tot 200.000 euro) kan worden opgenomen. Verwezen worden naar de ‘Carnabak’-groep die in 2014-2015 op deze manier 1 miljard dollar buit heef gemaakt. Meer recent is volgens Europol de ‘Cobalt’-groep actief geweest met het infecteren van pinautomaten met malware om frauduleuze pinopnamen te doen binnen de Europese Unie, waaronder Nederland.

Darknet markets

In het rapport wordt veel aandacht besteed aan de groei van ‘darknet markets’. De online handelsplatformen op het darkweb zijn toegankelijk via Tor, I2P en Freenet, waarbij de illegale activiteiten zich nog voornamelijk via Tor afspelen. In juni 2017 had het Tor netwerk 2.2 miljoen actieve gebruikers en bevatte het bijna 60.000 unieke .onion domeinnamen. De gebruikmaking van deze diensten zijn nog niet de standaard geworden voor de distributie van illegale goederen. Maar de darknet markets groeien snel met een eigen klantenkring in de gebieden van illegale drugshandel, wapenhandel en kinderporno. Daarnaast worden ook veel persoonsgegevens, in het bijzonder gegevens over betaalkaarten en login gegevens voor online bankieren, op het dark web aangeboden.

Volgens Europol maken de volgende drie factoren het gebruik van Tor voor criminelen aantrekkelijk: (1) een bepaalde mate van anonimiteit, (2) een diverse markt aan kopers die minder lijflijk risico lopen en kunnen betalen met cryptocurrencies en (3) een goede kwaliteit van producten die worden verkocht door aanbieders die worden beoordeeld op basis van reviews. 

Maatregelen

Voor het tweede jaar achtereen geeft Europol in het rapport ook de boodschap af encryptie de opsporing voor cybercrime belemmert. Het maakt het aftappen van telecommunicatieverkeer minder effectief en belemmert digitaal forensisch onderzoek. Daarnaast is het helder dat de onrechtmatig verklaring van de dataretentierichtlijn op 8 april 2014 door het Hof van Justitie van de EU een ‘aanzienlijke negatieve invloed’ heeft op de mogelijkheden van opsporingsautoriteiten om bewijsmateriaal veilig te stellen. In sommige lidstaten is nog steeds dataretentieregelgeving voor telecommunicatiedienstverleners (waaronder ISP’s) van kracht, maar in veel andere EU lidstaten niet meer. Deze fragmentatie belemmert de internationale opsporing van cybercrime. Europol doet geen voorstellen tot maatregelen op dit gebied, wellicht omdat het te politiek gevoelig is, maar benadrukt de problematiek die het met zich meebrengt.