Tag Europol

Meer duidelijkheid over de ANOM-operatie

jjoerlemans 1 reactie

Op 8 juni 2021 traden verschillende politieorganisaties tegelijkertijd naar buiten met ‘Operation Trojan Shield’. Het Amerikaanse Federal Bureau of Investigation (FBI) startte in 2019 met het opzetten van een platform voor cryptotelefoons onder de naam ‘Anom’. Ook de ‘Australian Federal Police’ (AFP) nam het voortouw in de operatie ten aanzien van de distributie van de telefoons. Het doel van de operatie was om de georganiseerde criminaliteit aan te pakken door deze cryptotelefoons aan te bieden en inzicht te krijgen in de communicatie van de gebruikers.

De Hoge Raad heeft onlangs op 8 november 2022 een bezwaar op uitlevering van een belangrijk distributeur van ANOM-communicatiemiddelen verworpen (ECLI:NL:HR:2022:1589, zie ook de Conclusie van AG Hofstee: ECLI:NL:PHR:2022:877). Volgens de Amerikanen was het gemeenschappelijk doel van de distributeurs van ANOM: i) het creëren, onderhouden, gebruiken en controleren van een methode van beveiligde communicatie, om zo de handel in verdovende middelen in Australië, Azië, Europa en Noord-Amerika te bevorderen, ii) het witwassen van de opbrengsten van deze drugshandel en iii) het dwarsbomen van wetshandhavingsonderzoeken door middel van een systeem waarbij op afstand bewijs van illegale activiteiten kon worden verwijderd uit de chat-app.

Tijdens Operation Trojan Shield zijn ongeveer 27 miljoen berichten van de cryptocommunicatiedienst ANOM onderschept. In het persbericht van Europol is te lezen dat het in totaal ging om meer dan 12.000 apparaten die door meer dan 300 criminele organisaties werden gebruikt in meer dan 100 landen. Europol vermeldt in de onderstaande infographic de wereldwijde resultaten:

Bron: https://www.europol.europa.eu/media-press/newsroom/news/800-criminals-arrested-in-biggest-ever-law-enforcement-operation-against-encrypted-communication

Volgens de Australische politie konden veel verdachten worden gelinkt aan de Italiaanse mafia, criminele motorclubs, en georganiseerde misdaad uit Azië en Albanië. De operatie leidde daar tot de arrestatie van 224 verdachten. Inlichtingen uit de operatie leidde ook in 20 gevallen tot ingrepen in gevallen waarbij personen geliquideerd dreigden te worden.   

In het Nederlandse persbericht staat verder dat met ANOM in minstens 45 verschillende talen werd gecommuniceerd over zaken als de handel in drugs, wapens, munitie en explosieven, ram- en plofkraken, gewapende overvallen en, niet in de laatste plaats, liquidaties. De meeste berichten waren in het Nederlands, Duits en Zweeds. De Amerikaanse opsporingsdiensten konden data ontvangen en analyseren van 530 actieve, in Nederland gelokaliseerde, cryptotelefoons.

Volgens deze ‘affidavit’ (gepubliceerd door VICE) waren de meeste ANOM-telefoons in gebruik in Duitsland, Nederland, Spanje, Australië en Servië.

Landen waarin de cryptophones werden gebruikt. Bron: https://www.justice.gov/usao-sdca/pr/fbi-s-encrypted-phone-platform-infiltrated-hundreds-criminal-syndicates-result-massive

ANOM telefoons

In de tussenbeslissing van de rechtbank Oost-Brabant van 10 november 2022 (ECLI:NL:RBOBR:2022:4957) zijn meer details de te lezen over de ANOM-telefoons en de operatie.

Gebruikers van de ‘AN0M-app’ konden alleen contact hebben met andere gebruikers van Anom op basis van een gebruikers-ID. Zij konden afbeeldingen, video’s, notities en korte spraakberichten naar elkaar sturen. Gebruikers van de ‘AN0M-app’ konden alleen contact hebben met andere gebruikers van Anom op basis van een gebruikers-ID. Zij konden afbeeldingen, video’s, notities en korte spraakberichten naar elkaar sturen. De dienst werd geactiveerd via een app die oogde als een rekenmachine-app (en die ook als zodanig bruikbaar was). Dat kon door een wachtwoord in te voeren dat enkel geldig was op dat specifieke toestel.

De verzender van een audiobericht had verder bijvoorbeeld de mogelijkheid om de toonhoogte van de opname aan te passen voordat deze werd gemaakt, hetzij omhoog (optie bekend als ‘Helium’ in de app) of omlaag (optie bekend als ‘Jellyfish’ in de app). Traditionele functies die worden geassocieerd met mobiele telefoons, zoals spraak/videobellen, sms-berichten, sociale-mediatoepassingen en toegang tot openbare internetwebsites en e-maildiensten, konden niet worden gebruikt op een Anom-smartphone.

Zogenaamde resellers en Anom-beheerders konden nieuwe smartphones instellen, Anom-smartphones buiten gebruik stellen en op afstand wissen. Met een “dwang-PIN-code” kon de verwijdering van alle informatie vanuit de app in gang worden gezet. Toegang tot het netwerk was beschermd door een gebruikersnaam en een wachtwoord. De gebruiker moest verbinding maken een VPN-verbinding die alleen beschikbaar was voor diegenen die door de Anom-operator geautoriseerd waren.

De meest voorkomende modellen van ANOM-telefoons waren Google Pixel, Samsung Galaxy of Xiaomi. Op alle toestellen werd een versie van het Android-besturingssysteem gebruikt. De toestellen werden verkocht in combinatie met een verlengbaar abonnement (de kosten voor verlenging met 6 maanden waren bij benadering 1.000 dollar) en werden door klanten meestal contant betaald.  

Hoe?

Het onderzoek begon nadat het cryptophone bedrijf ‘Phantom Secure’ (gevestigd in Canada) door de FBI werd ontmandeld in 2018. De FBI beschrijft de operatie Trojan Shield als volgt:

“Operation Trojan Shield is an Organized Crime Drug Enforcement Task Forces (OCDETF) investigation.  OCDETF identifies, disrupts, and dismantles the highest-level drug traffickers, money launderers, gangs, and transnational criminal organizations that threaten the United States by using a prosecutor-led, intelligence-driven, multi-agency approach that leverages the strengths of federal, state, and local law enforcement agencies against criminal networks.”

De FBI maakte tijdens de operatie gebruik van een eigen ontwikkelde app, genaamd ‘AN0M’. Deze werd geïnstalleerd op telefoons waarmee alleen de berichten konden worden verstuurd naar gebruikers met dezelfde app. Op de telefoon was een eigen ‘master key’ ter onsleuteling van de berichten aangebracht. De Australische politie bracht de telefoons in circulatie bij verdachten. De FBI maakte een kopie van elk bericht dat werd verstuurd met de telefoon op een server in een ‘derde land’ (buiten de Verenigde Staten). De gegevens werden daarna naar de FBI verstuurd met de toepassing van een rechtshulpverdrag (‘mutual legal assistance agreement’) vanaf 7 oktober 2019 tot en met 7 juni 2021.

Gebruik resultaten in Nederlandse strafzaken

Voor de volgende feiten baseert de rechtbank Overijssel (ECLI:NL:RBOVE:2023:1907) zich op het document “Juridisch kader gebruik geïntercepteerde data” van 11 juni 2021, opgesteld door het Landelijk Parket Rotterdam.

Het Landelijk Internationaal Rechtshulp Centrum (LIRC) heeft op 23 maart 2021, door tussenkomst van een in Nederland gestationeerde Amerikaanse liaison officer, informatie ontvangen van de Amerikaanse opsporingsautoriteiten onder de mededeling dat deze informatie op rechtmatige wijze is verkregen. Uit deze informatie is gebleken dat de Amerikaanse opsporingsdiensten beschikken over en toegang hebben tot telecommunicatiedata uit een netwerk van crypto telefoons.

Ongeveer 530 cryptotelefoons van het netwerk waren in Nederland gelokaliseerd, waarvan de nog niet nader geïdentificeerde gebruikers zich vermoedelijk schuldig maakten aan ernstige strafbare feiten zoals de internationale handel in drugs, witwassen, moord, ontvoering, fraude, economische delicten, wapenhandel en corruptie. Naar schatting van de Amerikaanse autoriteiten maakten de gebruikers van die in Nederland gelokaliseerde crypto-telefoons deel uit van 25 criminele samenwerkingsverbanden. Daarop startte op 26 maart 2021 het opsporingsonderzoek ‘26Eagles’.

Vanuit de Amerikaanse opsporingsdiensten werd driemaal per week een dataset met volledig ontsleutelde data verstrekt aan de Nederlandse autoriteiten. Binnen onderzoek 26Eagles is er geen sprake geweest van de toepassing van “telefoonhacks” of “interceptietools” (volgens een brief van 11 juni 2021 van de officieren van justitie bij het Landelijk Parket van het onderzoek 26Eagle). Bij het onderzoek aan de data zijn verschillende uitgangspunten gehanteerd, zoals de reproduceerbaarheid en de verifieerbaarheid van de zoekslag en de resultaten die dit heeft opgeleverd. Ook wordt recht gedaan aan het verschoningsrecht van geheimhouders.

Nederlandse rol

De overheidsdiensten hebben de ANOM communicatiedienst zelf ontwikkeld en beheerd. De ‘Australian Federal Police’ (AFP) en de ‘Federal Bureau of Investigation’ (FBI) namen hierin het voortouw. Ook Nederland speelde een rol in de operatie.

In het Nederlandse persbericht is te lezen dat ‘binnen operatie Trojan Shield een prominente rol was weggelegd voor FBI, AFP, de Zweedse politie en de Landelijke Eenheid van de Nederlandse politie. Zij werkten nauw met elkaar samen. In totaal namen aan deze operatie 16 landen deel. Volgens Europol waren dit: Australië, Oostenrijk, Canada, Denemarken, Estland, Finland, Duitsland, Hongarije, Litouwen, Nieuw-Zeeland, Nederland, Noorwegen, Zweden, het Verenigd Koninkrijk, Schotland en de Verenigde Staten.

In het persbericht is te lezen dat:

“voor deze grootschalige operatie de Landelijke Eenheid innovatieve software ontwikkelde waarmee miljoenen berichten kunnen worden geanalyseerd en geduid. Deze software werd beschikbaar gesteld aan Europol, zodat deze dienst de data kon analyseren. De uitkomsten stelde Europol beschikbaar aan andere landen.”

In de eerste gepubliceerde rechtszaken zijn vragen gesteld over de Nederlandse rol. Daar is bijvoorbeeld in te lezen dat:

“Het OM heeft verklaard dat van enige betrokkenheid van Nederlandse opsporingsdiensten bij de verkrijging van de ANOM-data geen sprake is geweest en dat het OM niet is gebleken van enige aanwijzing dat deze niet rechtmatig zou zijn vergaard.”

Rb. Overijssel 9 juni 2022, ECLI:NL:RBOVE:2022:1767.

Het interstatelijk vertrouwensbeginsel

De door de Amerikaanse autoriteiten verstrekte informatie en de daaropvolgende datasets betroffen volgens het OM ‘een spontane eenzijdige verstrekking van informatie zonder een voorafgaand verzoek van de Nederlandse opsporingsdiensten’. In de rechtspraak wordt tot nu toe aangenomen dat Nederland de resultaten uit het onderzoek mag gebruiken, zonder opnieuw aan de regels in het Wetboek van Strafvordering te toetsten (op basis van het interstatelijk vertrouwensbeginsel). De Rechtbank Oost-Brabant overweegt bijvoorbeeld:

“dat de Nederlandse politie techniek ontwikkelt ten behoeve van analyse van datasets, maakt niet dat zij daarmee betrokken is bij de verkrijging van die data; met de verkrijging van die data heeft de Nederlandse politie niets van doen gehad. Die is aan ons verstrekt door de Amerikaanse autoriteiten, onder mededeling dat de informatie op rechtmatige wijze is verkregen en dat deze door de Nederlandse opsporingsdiensten in een strafrechtelijk onderzoek mag worden gebruikt”.

(Rb. Oost-Brabant 31 maart 2022, ECLI:NL:RBOBR:2022:1331).

Rechtbank voelen zich ook gesterkt door de beantwoording van prejudiciële vragen van de Hoge Raad over de EncroChat- en SkyECC-zaken (ECLI:NL:HR:2023:913). De rechtbank Oost-Brabant overweegt (ECLI:NL:RBOBR:2024:253) bijvoorbeeld dat de gestelde prejudiciële vragen en door de Hoge Raad gegeven antwoorden zien niet (in directe zin) op bewijsmateriaal afkomstig van communicatie via ANØM-toestellen. Niettemin is de rechtbank van oordeel dat ook aangaande dat bewijsmateriaal de beslissing van de Hoge Raad een kader biedt voor de beoordeling van de verweren door de rechtbank. De rechtbank stelt vast dat de verantwoordelijkheid voor de verkrijging van het bewijsmateriaal afkomstig van ANØM-toestellen berust bij de autoriteiten van de Verenigde Staten. Het door de Hoge Raad onder 6.5 en 6.6 aangereikte kader is niet zonder meer van toepassing, nu de Verenigde Staten niet zijn toegetreden tot het EVRM.

De rechtbank ziet evenwel reden om dit kader op dezelfde wijze toe te passen in geval van bewijsmateriaal verkregen door de Amerikaanse autoriteiten. Hoewel de Verenigde Staten niet zijn toegetreden tot het EVRM, zijn zij wel verdragspartij bij het IVBPR. Dat verdrag garandeert op eenzelfde wijze de mensenrechten die hier relevant zijn, in het bijzonder ook het recht op privacy en de toegang tot een onafhankelijke rechter. Dat de Verenigde Staten het recht op privacy, zoals is gesteld, anders zouden toepassen op Amerikaanse staatsburgers dan op niet-staatsburgers, vormt geen reden om anders te oordelen, nu het recht op privacy niet absoluut is en zowel het EVRM als het IVBPR inperkingen van dat recht toestaan. Niet is gesteld of gebleken dat een betrokken persoon onvoldoende toegang tot de rechter in de Verenigde Staten heeft om te laten toetsen of sprake is geweest van een onrechtmatige inperking van zijn recht op privacy.

Uit het voorgaande volgt dat ook waar het de bestreden rechtmatigheid van de verkrijging van bewijsmateriaal van ANØM-toestellen betreft, het niet aan de Nederlandse strafrechter is om het onderzoek in het buitenland te toetsen. In het bijzonder is het niet aan de Nederlandse strafrechter om te toetsen aan artikel 8 EVRM en het daarmee in dit kader gelijk te stellen artikel 17 IVBPR, dat het recht op privacy garandeert. Het uitgangspunt van rechtmatigheid van de verkrijging van het bewijsmateriaal lijdt alleen uitzondering als in de betreffende staat, in dit geval, de Verenigde Staten, onherroepelijk is komen vast te staan dat het onderzoek niet in overeenstemming met de geldende rechtsregels is gebeurd. Dat daarvan sprake is, is niet gebleken.

Voor de volledigheid merkt de rechtbank op dat door de verdediging de betrouwbaarheid van het verkregen bewijsmateriaal niet is bestreden. De rechtbank neemt tot uitgangspunt dat het onderzoek in de Verenigde Staten zo is uitgevoerd dat de resultaten betrouwbaar zijn en ziet, ook ambtshalve, geen aanwijzingen voor het tegendeel die aanleiding geven tot nader onderzoek van de betrouwbaarheid. De rechtbank verwerpt alle verweren die zijn gevoerd tegen de rechtmatigheid van het bewijsmateriaal afkomstig uit communicatie via ANØM-cryptotelefoons.

Deze blog uit 2022 is op 3 maart 2023 geüpdatet.

  

iOCTA rapport 2023

jjoerlemans

Het ‘internet Organised Threat Assessment’ (iOCTA) rapport (.pdf) van Europol biedt elk jaar overzicht van gesignaleerde trends en actualiteiten omtrent georganiseerde cybercriminaliteit in de Europese Unie. Dit jaar geeft het rapport een inkijkje in de wereld van criminele internetdiensten, datahandelaren en witwaspraktijken in relatie tot cybercrime. Hier volgt een korte samenvatting.

Rusland-Oekraïne

Het rapport begint met het benoemen van de overloopeffecten van het Rusland-Oekraïne conflict. Vooral in de EU is een toename van Distributed Denial of Service (DDoS)-aanvallen zichtbaar die nationale en regionale overheidsinstellingen treffen. Deze aanvallen waren vaak politiek gemotiveerden gecoördineerd door pro-Russische hackersgroepen in de EU.

Criminele VPN’s

In het rapport staan ook schadelijke ‘virtual private networks’ (VPN’s) centraal. VPN’s zijn populair bij cybercriminelen om hun communicatie en websurfgedrag op internet af te schermen. VPN-aanbieders hosten doorgaans een aantal proxy’s waar gebruikers hun werkelijke locatie (IP-adres) en de inhoud van hun verkeer kunnen verbergen. Hoewel VPN-diensten niet illegaal zijn, zijn sommige ontworpen voor criminelen en worden deze ook geadverteerd aan criminelen. Het gebrek aan medewerking aan verzoeken of vorderingen van wetshandhavers is kenmerkend voor deze VPN-diensten. Ook wijst Europol op ‘bullet proof hostings providers’ die niet aan Know-Your-Customer (KYC)-procedures doen en soms geen klant- en metadata (zoals IP-adressen) opslaan, wat criminele activiteiten vergemakkelijkt. Bovendien is hosting een complexe internationale bedrijfstak waar servers vaak worden doorverkocht aan andere datacenters in verschillende regio’s.

Gestolen gegevens 

Europol noemt gestolen gegevens de ‘centrale grondstof’ van de illegale economie op internet. Gegevensdiefstal is een belangrijke bedreiging, omdat gestolen gegevens gebruikt kunnen worden voor een breed scala aan van criminele activiteiten, zoals voor het verkrijgen van toegang tot computersystemen, spionage, afpersing en voor ‘social engineering’-doeleinden (waarbij mensen zich voordoen als een ander). Een berucht voorbeeld van een forum waarin werd gehandeld in gestolen gegevens was ‘RaidForums’. Dit forum werd in april 2022 offline gehaald tijdens ‘Operation Tourniquet’. RaidForums had meer dan een half miljoen gebruikers en richtte zich op het verzamelen en doorverkopen van ‘exclusieve’ persoonlijke gegevens en databases van gecompromitteerde servers. RaidForums maakte naam door rivaliserende forums te hacken en persoonlijke informatie vrij te geven over hun beheerder (doxing). De high-profile database lekken die werden verkocht op het forum behoorden meestal toe aan bedrijven in verschillende sectoren. Ze bevatten gegevens van miljoenen creditcards en bankrekeningnummers, gebruikersnamen en wachtwoorden die nodig zijn om toegang te krijgen tot accounts.

Witwassen

Cybercriminelen die betrokken zijn bij cyberaanvallen en verwante diensten, maar ook degenen die handelen in of het beheer hebben over dark web marktplaatsen, voeren hun financiële transacties bijna uitsluitend uit met cryptocurrencies. Daarbij maken ze veel gebruik van technieken om hun financiële activiteiten te anonimiseren voordat ze hun illegale winsten te gelde maken. Deze technieken omvatten het gebruik van mixers, ‘swappers’ (waarmee cryptocurrencies kunnen worden omgezet in andere betalingsmiddelen) en gedecentraliseerde beurzen. Dit vereist zeer bekwame onderzoekers die verschillende methoden te gebruiken om cryptocurrency te volgen (zoals ‘demixing’, het traceren van ‘cross-chain swaps’ en het analyseren van ‘liquiditeitspools’).

Criminele netwerken die betrokken zijn bij fraude behalen hun winsten in zowel fiat- als cryptocurrencies. Het witwassen van hun criminele fondsen gebeurt meestal zeer snel nadat de fraude heeft plaatsgevonden. Dit heeft tot gevolg dat tegen de tijd dat het slachtoffer de zwendel doorheeft, het geld al verdeeld is over rekeningen in meerdere landen en is witgewassen. Online fraudeurs maken ten slotte ook veel gebruik van gokplatforms om winsten wit te wassen, omdat ze gebruikt kunnen worden om de herkomst en stromen van illegaal verkregen geld te verdoezelen.

Internet Organised Threat Assessment report 2019

jjoerlemans Een reactie plaatsen

Het Europol Cybercrime Center in Den Haag biedt elk jaar een mooi overzicht van actuele ontwikkelingen en bedreigingen op het gebied van cybercrime. Het ‘IOCTA rapport’ (.pdf) komt tot stand via enquêtes aan alle EU opsporingsautoriteiten en door input uit de private sector en wetenschap. Hier volgt een samenvatting van de zaken die mij het meest opvielen.

Ransomware grootste bedreiging op het gebied van cybercrime

Ransomware blijft de grootste bedreiging volgens het IOCTA 2019 rapport. De totale hoeveelheid aanvallen met ransomware is gedaald. Echter, de aanvallen zijn gerichter, winstgevender en schadelijker. Als voorbeeld wordt bijvoorbeeld een bedrijf genoemd waarbij het gijzelbedrag uit één miljoen euro bestond. Versies van de ransomwarefamilie ‘Dharma/CrySiS’, ‘ACCDFISA, ‘GlobeImposter’ en ‘Rapid’ kwamen veel in de rapportages van politiediensten voor. De private sector vreest dat naast normale ransomware ook de meer destructieve gijzelsoftware die ook ‘wiper-elementen’ bevatten; daarmee worden bestanden echt gewist of onherstelbaar beschadigd.

Zorgelijk zijn ook de ransomware-aanvallen op lokale overheden, die zich voornamelijk in de Verenigde Staten hebben voorgedaan. Zo lag de stad Atlanta in 2018 enige weken plat. In 2019 ging het al zo’n vijf steden in de VS, waaronder Baltimore en Florida. Dit vormt mogelijk een prelude voor steden Europa.

Handel in gestolen data

De handel in gestolen data betreft de twee-na-grootste dreiging volgens het Europol rapport. De data wordt het vaakst buitgemaakt door de aankoop van financiële gegevens, zoals creditcardgegevens, online bankiergegevens en gegegevens uit cryptocurrency portemonnees. De gegevens worden buitgemaakt via phishing, door lekken bij bedrijven, na grote hacks en door kwaadaardige software waarmee gegevens heimelijk worden verzameld. Deze gegevens worden verkocht op o.a. het dark web of gebruikt om fraude mee te plegen; bijvoorbeeld door er goederen mee te bestellen. Als voorbeeld worden in het rapport ook de veelvoorkomende aanvallen op uitwisselingskantoren voor cryptogeld (‘cryptocurrency exchanges’) genoemd. In 2018 is naar schatting 1 miljard in dollar wereldwijd aan cryptogeld gestolen, ook door statelijke actoren.

Logingegevens zijn minder makkelijk te besteden (‘monetisable’), maar mogelijk meer waard voor georganiseerde cybercrimegroepen. Interessant is het voorbeeld hoe zes verdachten in Engeland en Nederland zijn opgepakt voor ‘typosquatting’. Daarbij zetten criminelen nepwebsites waar mensen per ongeluk op kunnen bij het intypen van een URL. In dit geval leidde de website tot een nep bitcoinportemonnee. Door het overnemen van inloggevens kon de bitoinportemonnee geleegd worden en het virtuele geld worden overgemaakt naar de verdachten. Daarmee zou volgens Europol door de groep 24 miljoen euro zijn buitgemaakt.

Ddos-aanvallen

Ddos-aanvallen blijven een prominente dreiging als we het hebben over de ‘target cybercrime’ (criminaliteit waarbij computers en netwerk het doelwit zijn van de gedraging, wordt ook wel ‘cybercrime in enge zin’ genoemd). Ddos-aanvallen worden het meest gebruikt voor afpersing, maar ook aanvallen voor ideologische of politieke redenen kwamen veel voor. Financiële instellingen en overheden, zoals de politie, werden het vaakst onder vuur genomen. In het bijzonder voor banken vormen ddos-aanvallen een groot probleem, omdat het kan leiden tot het verstoren van de online bankierdiensten. De aanvallen zijn volgens Europol het vaak afkomstig van ‘low-capability actors’, die bijvoorbeeld gebruik maken van ‘exploit booters of stressers’.

Operation Power Off

In april 2018 hebben Nederlandse en Engelse opsporingsautoriteiten de illegale dienst ‘Webstresser.org’ offline gehaald. Webstresser was volgens Europol destijds een van de grootste marktplaatsen voor het huren van ddos-diensten met meer dan 150.000 klanten en de bron van meer dan 4 miljoen ddos-aanvallen.

Kinderporno

De hoeveelheid kinderpornografisch materiaal (ook wel genoemd: materiaal van kindermisbruik) op internet blijft volgens Europol stijgen. Kindermisbruikers werken vaak volgens dezelfde modus operandi: zij zoeken potentiele slachtoffers via sociale media, creëren een aantal nepprofielen waarbij zij zich als een leeftijdsgenoot voordoen en leggen contact. Nadat er een niveau van vertrouwen is gaan naar Whatsapp of apps als Viber om de gesprekken voor te zetten. Als – eerst op vrijwillige basis – seksueel materiaal is uitgewisseld zetten de kindermisbruikers de slachtoffers onder druk om meer materiaal te maken, bijvoorbeeld onder de dreiging het materiaal te openbaren.

Gecoördineerde actie tegen kindermisbruik, in samenspraak met de private sector en het gebruik van technologie zoals kunstmatige intelligentie, kan helpen tegen de bestrijding van materiaal van kindermisbruik en ook helpen in het verwerken van enorme hoeveelheden materiaal. Ter illustratie: in 2017 ontving Europol 44.000 verwijzingen met mogelijk kinderpornografisch materiaal van Amerikaanse internetdienstverleners (zoals Google en Microsoft). In 2018 waren dat er 190.000. Europol heft zelf een database met 46 miljoen afbeeldingen of video’s met geïdentificeerd kinderpornografisch materiaal. Nederland wordt expliciet in het rapport genoemd als de grootste hoster van kinderporno.

Het rapport signaleert verder dat (soms extreme) kinderpornografie wordt verspreid via exclusieve online forums. Het Europol rapport noemt bijvoorbeeld het forum ‘Elysium’, dat alleen bereikbaar was via Tor (op het darknet dus). Vier mannen runde het forum met meer dan 11.000 geregistreerde gebruikers over de hele wereld.

De auteurs waarschuwen dat het een ‘kwestie van tijd’ is tot ‘deepfakes’ met kinderporno voorkomen die worden gebruik voor het “personaliseren” van het materiaal. Dat kan problemen opleveren voor de vervolging en digitale bewijsproblemen.

Rol van het dark web en cybercrime

In het rapport is extra aandacht voor de rol van het ‘dark web’, als facilitator van online criminaliteit. Het rapport signaleert dat de markten veranderen in kleinere online drugsmarkt en ‘single-vendor’ shops, soms in een specifieke (d.w.z. niet-Engelse taal). De toegang tot online drugsmarkten via Tor blijft het meest populair, mogelijk vanwege de gebruikersvriendelijkheid.

xDedic marketplace

De xDedic markplaats wordt als voorbeeld genoemd in het rapport. In januari 2019 hebben Amerikaanse, Belgische en Oekraïense opsporingsautoriteiten de ‘xDecic’-marktplaats inbeslaggenomen. xDedic verkocht gehackte computers en gestolen persoonsgegevens. Het was actief op zowel het dark web als het clear web. De geïnfecteerde computers konen worden geselecteerd op criteria als prijs, geografische locatie en besturingssystemen. De marktplaats zou meer dan 60 miljoen euro in fraude hebben gefaciliteerd. (zie ook dit nieuwsbericht waarin wordt gesteld dat op de markplaats meer dan 70.000 servers in 170 landen werden aangeboden).

Daarnaast hebben opsporingsautoriteiten actie ondernomen tegen Wall Street Market, Valhalla en Bestmixer. Wall Street Market had toen volgens Europol 1.150.000 geregistreerde bezoekers en 5400 verkopers van drugs. Europol schat in dat in 2018 één miljard dollar aan virtueel geld op het dark web is besteed. Bitcoin blijft daarbij de meest populaire cryptocurrency.

Bitcoinmixer

In het rapport wordt ook aandacht besteed aan de spraakmakende FIOD-take down van ‘Bestmixer.io’ (zie ook het persbericht op de FIOD-website). In samenwerking met Europol en opsporingsautoriteiten in Luxemburg werd een operatie opgezet. Het was een van de drie grootste bitcoin mixingdiensten voor Bitcoin, Bitcoin Cash en Litecoin. De dienst startte in 2018 en had volgens Europol een omzet van ten minste 200 miljoen dollar (27.000 bitcoins) in één jaar (600.000 euro per jaar). Het is bovendien de eerste zaak waar – volgens een Kamerbrief van minister Grapperhaus van 12 juni 2019 – de hackbevoegdheid is ingezet!

Advies voor wetgeving en beleid

De laatste jaren geeft Europol enkele voorzichtige adviezen af voor de Europese wetgever. Het meest interessant vond ik dat Europol in dit rapport expliciet stelt dat een EU-raamwerk is vereist voor onderzoeken op het dark web. De coördinatie en standaardisatie van undercover online onderzoeken zijn vereist om dark web-onderzoeken te ‘deconflicteren’. Opnieuw wordt gesteld dat het huidige juridische instrumentatrium van rechtshulp in de EU (‘Mutual Legal Assistance’) onvoldoende is voor digitale opsporingsonderzoeken.

Europol rapport ‘Drugs and the darknet’

jjoerlemans Een reactie plaatsen

Europol heeft in november 2017 het rapport ‘Drugs and the darknet’ uitgebracht. Het rapport biedt veel informatie en belangrijke inzichten in online drugshandel, dat zich voornamelijk afspeelt via internetmarktplaatsen die via Tor bereikbaar zijn.

Hierbij moet meteen worden opgemerkt dat het aandeel van online drugshandel in de totale omvang van drugshandel wereldwijd vooralsnog klein is. Wel stelt Europol dat het de verwachting is dat online drugshandel een verdere groei zal doormaken. Dat kan worden verklaard door de manier waarop het darkweb deze vorm van criminaliteit faciliteert, met name door de anonimiteit die het Tor netwerk biedt, de mogelijkheden om versleuteld te communiceren, de mogelijkheden om te betalen in cryptocurrencies zoals Bitcoin (en in toenemende mate Monero en ZCash).

In het rapport wordt met veel openheid uitgelegd hoe online drugsmarkten werken en welke drugsmarkten actief zijn geweest. Daarbij wordt bijvoorbeeld uitgebreid ingegaan op de drugsmarkt AlphaBay, dat op enig moment naar schatting 28% van gehele omzet op online drugshandel voor zijn rekening nam. Grote operaties waarbij darknet markets offline zijn gehaald, hebben volgens Europol de drugsmarkten verstoord. Tegelijkertijd is duidelijk dat de drugshandelaren en kopers tegenmaatregelen nemen, zoals het aanbrengen van versleuteling op de marktplaatsen en het vereiste verschillende sleutels in te voeren voor het autoriseren van bitcointransacties. In het rapport wordt opgemerkt dat de politiedienst een goed beeld heeft van de Westerse drugsmarkten, maar vooralsnog (te) weinig zich heeft op online drugsmarkten met een niet-Engelse voertaal, zoals Russisch.

Duitsland, Nederland en het Verenigd Koninkrijk hebben het grootste aandeel met betrekking tot het aanbod van drugs binnen de Europese Unie via darknet markets. Nederlandse verkopers zijn bekend om hun aanbod van MDMA, dat vaak van goede kwaliteit is.

Europol geeft aan dat het dataretentie-arrest van het Hof van Justitie van de Europese Unie grote problemen veroorzaakt in cybercrime onderzoeken naar online drugshandel, omdat de gegevens bij internet access providers niet verplicht beschikbaar worden gemaakt voor opsporingsinstanties. Ook levert de toepassing van ‘carrier-grade NAT’ technologie bij mobiele internet dienstverleners grote problemen op, omdat sommige aanbieders hun eigen klanten op hun netwerk niet meer kunnen identificeren door de gebruikte poorten niet te loggen en aangezochte IP-adressen niet vast te leggen. Carrier-grade NAT is een technologie waarbij verschillende internetgebruikers gebruik kunnen maken van hetzelfde IP-adres. De techniek wordt gebruikt door 95% van de mobiele telecomaanbieders en bijna 50% van de internet service providers wereldwijd.

De toename in het gebruik van encryptie (bijvoorbeeld door het gebruik van het PGP-sleutels) en het gebruik van anonimiseringsdiensten voor bitcoins (met zogenaamde ‘bitcoin-mixing diensten’ of ‘tumblers’) daagt ook de opsporing uit. In het rapport wordt tevens (wederom) aangegeven dat de jurisdictieproblemen in opsporingsonderzoeken naar cybercrime groot zijn. De problemen doen zich voor vanwege verschillende strafbaarstellingen, verschillende voorwaarden voor de inzet van bevoegdheden, problemen met betrekking tot de lokalisering van computers op het darkweb en een gebrek aan eenduidigheid over het uitvoeren van digitaal forensisch onderzoek.

Het ‘European Investigation Order’, dat een nieuw instrument biedt voor een meer directe vorm van rechtshulp binnen de EU, biedt volgens Europol onvoldoende mogelijkheden om effectief bewijs over de grenzen te verzamelen. Vanwege de vereiste specialistische kennis die is vereist en grensoverschrijdende aard van de criminaliteit heeft Europol een speciaal ‘darknet team’ opgericht. Zij raadt aan dat andere Lidstaten ook dergelijke teams oprichten.

In het rapport wordt ten slotte opgemerkt dat de Europese Commissie in het begin 2018 een voorstel zal doen voor een ‘nieuw juridisch instrument’ om elektronisch bewijs te vergaren

Europol iOCTA report 2017

jjoerlemans Een reactie plaatsen

Posted on 06/10/2017 op Oerlemansblog

Europol brengt elk jaar het ‘internet organised threat assessment’ (iocta) rapport uit. Het rapport komt tot stand aan de hand van vragenlijsten aan politieorganisaties binnen de EU en door input van bedrijven. Het biedt een interessant en gedetailleerde inzicht in de actuele stand van cybercrime. Ook dit jaar sprak het rapport mij aan en daarom heb ik een samenvatting gemaakt van de belangrijkste bevindingen. Deze samenvatting wil ik de geïnteresseerde lezer natuurlijk niet onthouden.

Ransomware

Ransomware vormt volgens Europol de belangrijkste malware dreiging, gelet op de slachtoffers en de schade die het met zich meebrengt. Met ransomware wordt relatief eenvoudig geld verdiend. Door het gebruik van cryptocurrencies, zoals Bitcoin, zijn de verdiensten bovendien relatief eenvoudig wit te wassen. Naast Bitcoin worden ook Monero, Etherium en ZCash in toenemende mate door cybercriminelen gebruikt. ‘Kirk’ is de eerste ransomware, waarbij Monero werd gebruikt voor het losgeld (in plaats van Bitcoin).

Niet alleen individuen worden door cybercriminelen met ransomware aangevallen, maar ook ziekenhuizen, de politie en overheidsinstellingen. MKB-bedrijven worden steeds vaker aangevallen, mede vanwege hun beperkte budget om voldoende beveiligingsmaatregelen te nemen. Europol spreekt van een “explosie van ransomware” dat op de markt komt, waarbij sommige rapporten spreken van een toename van 750% in 2016 ten opzichte van 2015.

Information stealers

Information stealers’ vormen de op een na grootste bedreiging met betrekking tot malware. Het kost cybercriminelen aanzienlijk meer moeite de benodigde informatie te stelen (zoals financiële gegevens) en het is voor criminelen lastiger met deze malware geld te verdienen vergeleken met ransomware. In het rapport wordt terecht opgemerkt dat Europol een vertekend beeld krijgt van de malwaredreiging, omdat mensen vaak de gevolgen van het gebruik van malware rapporteren. De IT beveiligingsindustrie geeft daarom noodzakelijke input voor het rapport. Binnen deze industrie bestaat een meer volledig beeld van de dreiging.

Slechte beveiliging IoT-apparaten

Europol signaleert ook de dat zwakke beveiliging van Internet of Things-apparaten cyberaanvallen in de hand werkt. Het Mirai-botnet, dat werd gevormd door lekke en misbruikte IoT-apparaten, heeft in 2016 met een zeer sterke (d)DoS-aanval de Amerikaanse DNS-provider Dyn platgelegd, waardoor populaire diensten als Twitter, SoundCloud, Spotify, Netflix, Reddit en PayPal ongeveer 2 uur onbereikbaar waren. Denail-of-service aanvallen zijn eenvoudig uit te voeren. Een botnet die in staat is een denial-of-service aanval van 5 minuten op een webshop uit te voeren, kan slechts voor 5 dollar op websites worden gehuurd.

Kinderpornografie op internet

Kinderpornografie op internet blijft een groot probleem. Het aanbod, de verspreiding en vervaardiging van het materiaal lijkt niet af te nemen. Daarnaast worden enorme hoeveelheden kinderporno in beslag genomen. Volgens Europol zijn hoeveelheden 1-3 Terabyte niet ongebruikelijk met 1 tot 10 miljoen afbeeldingen met kinderpornografie. Peer-to-peer programma’s, zoals GigaTribe, worden nog steeds door kinderpornogebruikers misbruikt voor de verspreiding en het binnenhalen van kinderporno. Europol signaleert dat ook populaire apps en sociale mediadiensten in toenemende mate worden misbruikt.

Het is ook helder dat websites op het darkweb worden gebruikt voor toegang en verspreiding tot kinderporno. Het rapport haalt aan hoe de hack op het hosting bedrijf ‘Freedom Hosting II’ 10.000 darknet websites blootlegde, waarvan 50% kinderpornografische afbeeldingen bevatte. Deze websites zijn overigens vaak gespecialiseerd in kinderporno, omdat online marktplaatsen geen kinderporno accepteren. Zowel op het ‘Surface web’ als op het ‘dark web’ zijn er pay-per-view-diensten beschikbaar waarop kinderpornografische materiaal wordt aangeboden. Volgens Europol maken veel Westelingen gebruik van de diensten, waarbij vooral minderjarigen uit de Zuidoost-Azië en Afrika worden misbruikt. De opsporing van deze misdrijven wordt bemoeilijkt door het gebruik van gratis WiFi-diensten die bijvoorbeeld in de Filipijnen aan arme wijken worden aangeboden. Het is daardoor lastig op basis van het IP-adres de slachtoffers te identificeren.

Fraude met betaalkaarten

Het gebruik chipbetaalkaarten met de EMV-standaard is nog niet alle staten gemeengoed geworden. Betaalkaarten en betaalautomaten die niet van standaard gebruik maken, worden op grote schaal misbruik om fraude en andere delicten zoals de aankoop van drugs mee te plegen. In het rapport worden spectaculaire hacks beschreven waarbij pinautomaten of het systeem dat de pinbetalingen faciliteert worden gehackt, waarna de pinautomaten automatisch geld uitspuwen of geld tot een veel hoger bedrag (tot 200.000 euro) kan worden opgenomen. Verwezen worden naar de ‘Carnabak’-groep die in 2014-2015 op deze manier 1 miljard dollar buit heef gemaakt. Meer recent is volgens Europol de ‘Cobalt’-groep actief geweest met het infecteren van pinautomaten met malware om frauduleuze pinopnamen te doen binnen de Europese Unie, waaronder Nederland.

Groei darknet markets

In het rapport wordt veel aandacht besteed aan de groei van ‘darknet markets’. De online handelsplatformen op het darkweb zijn toegankelijk via Tor, I2P en Freenet, waarbij de illegale activiteiten zich nog voornamelijk via Tor afspelen. In juni 2017 had het Tor netwerk 2.2 miljoen actieve gebruikers en bevatte het bijna 60.000 unieke .onion domeinnamen. De gebruikmaking van deze diensten zijn nog niet de standaard geworden voor de distributie van illegale goederen. Maar de darknet markets groeien snel met een eigen klantenkring in de gebieden van illegale drugshandel, wapenhandel en kinderporno. Daarnaast worden ook veel persoonsgegevens, in het bijzondere gegevens over betaalkaarten en login gegevens voor online bankieren, op het dark web aangeboden. Volgens Europol maken de volgende drie factoren het gebruik van Tor voor criminelen aantrekkelijk: (1) een bepaalde mate van anonimiteit, (2) een diverse markt aan kopers die minder lijflijk risico lopen en kunnen betalen met cryptocurrencies en (3) een goede kwaliteit van producten die worden verkocht door aanbieders die worden beoordeeld op basis van reviews.

Encryptie en dataretentie belemmering de opsporing

Voor het tweede jaar achtereen geeft Europol in het rapport ook de boodschap af encryptie de opsporing voor cybercrime belemmert. Het maakt het aftappen van telecommunicatieverkeer minder effectief en belemmert digitaal forensisch onderzoek. Daarnaast is helder dat de onrechtmatig verklaring van de dataretentierichtlijn op 8 april 2014 door het Hof van Justitie van de EU een ‘aanzienlijke negatieve invloed’ heeft op de mogelijkheden van opsporingsautoriteiten om bewijsmateriaal veilig te stellen. In sommige lidstaten is nog steeds dataretentieregelgeving voor telecommunicatiedienstverleners (waaronder ISP’s) van kracht, maar veel andere EU lidstaten niet. Deze fragmentatie belemmert de internationale opsporing van cybercrime. Europol doet geen voorstellen tot maatregelen op dit gebied, wellicht omdat het te politiek gevoelig is, maar benadrukt de problematiek die het met zich meebrengt.