Internet Organised Crime Threat Assessment (iOCTA) rapport 2020

Eersgisteren (5 oktober 2020) heeft Europol het nieuwe ‘internet Organised Crime Threat Assessment’ (iOCTA) rapport (.pdf) gepubliceerd. Het lezenswaardige rapport gaat over trends en ontwikkelingen op het gebied van cybercriminaliteit. Het rapport komt tot stand op basis van input en interviews bij opsporingsinstanties en de private beveiligingsindustrie. In deze blog benoem ik enkele opvallende zaken uit het rapport.

Ransomware

Ransomware wordt opnieuw genoemd als de grootste dreiging op het gebied van de ‘cyber dependent crimes’ (cybercriminaliteit in enge zin). De aanvallen worden steeds gerichter uitgevoerd. Ransomware criminelen vallen steeds vaker publieke en private organisaties aan, in plaats van de PC’s van individuen. Op die manier kunnen ze meer losgeld eisen en is de kans groter dat het (crypto)geld ook daadwerkelijk wordt overgemaakt. In de periode 2019-2020 zijn in de Europese Unie gemeenten, ministeries, ziekenhuizen, universiteiten, middelbare scholen, fabrieken, banken, energiebedrijven en bedrijven in de transportsector slachtoffer geweest van ransomware.

Europol beschrijft de volgende modus operandus bij ransomware. Bij aanvallen verschaft een cybercriminele groep eerst toegang tot computers in het netwerk van het slachtoffer (na verkenning ‘reconnaissance’). Vervolgens wordt de toegang verkocht aan een andere groep cybercriminelen die de IT-infrastructuur in kaart brengen, toegang verschaffen tot meer computers, gegevens exfiltreren, etc. Vervolgens worden de computers geïnfecteerd met ransomware en zo de ransomware uitgerold op gehele netwerk (incl. back-ups). Steeds vaker wordt niet alleen losgeld geëist, maar wordt ook gedreigd met het publiceren van gestolen gegevens van gevoelige aard van de slachtoffers. Als het losgeld niet wordt betaald, dan worden de gevoelige gegevens gepubliceerd of verkocht aan de hoogste bieder. Er bestaan zelfs ransomware-onderhandelaars bij cybersecuritybedrijven die een bekende zijn van ransomwarebendes en korting bedingen bij het te betalen losgeld. Ransomwarefamilies zoals ‘Sodinokobi’, ‘Maze’, ‘Doppelpaymer’, ‘Nemty’ en ‘Snatch’ staan er om bekend gegevens te publiceren over hun slachtoffers. Europol verwacht dat andere cybercriminelen deze modus operandi overnemen.

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Darknet markets en cryptogeld

Europol haalt ook de ransomware infectie bij het gelduitwisselingskantoor ‘Travelex’ aan. Deze was geïnfecteerd met Sodinokibi-ransomware in de eerste weken van 2020. De cybercriminelen versleutelden de gegevens van computers van het bedrijf en exfiltreerden ondertussen 5gb aan gevoelige gegevens, waaronder BSN-nummers (of het equivalent daarvan in het buitenland), geboortedatums van mensen en betaalinformatie. Deze gegevens werden gebruikt om het bedrijf verder onder druk te zetten. Deze gegevens werden gebruikt om het bedrijf onder druk te zetten. Dat heeft blijkbaar gewerkt, want Travelex betaalde 2,3 miljoen dollar aan losgeld om de gegevens weer te ontsleutelen.

Op dit moment is er geen ‘darknet market’ die alle andere markten domineert. Wel vermeld Europol dat ‘Dread Market’ al drie jaar actief is, wat tegenwoordig uitzonderlijk is. In het rapport wordt opgemerkt dat de reputatie van de e-maildienst met sterke versleuteling ‘Protonmail’ minder populair is dan voorheen bij darkweb gebruikers, omdat ze ervan worden verdacht samen te werken met opsporingsinstanties. Zij maken nu vaker gebruik van nieuwe versleutelde e-maildiensten als ‘Sonar’ en ‘Elude’ en communicatiediensten als ‘Discord’, ‘Wickr’ en ‘Telegram’.

Bij Bitcoin waren in 2016 naar schatting 20% van de transacties gerelateerd aan criminele activiteiten. In 2019 is dat nog naar schatting nog maar 1,1% (volgens ChainAlysis). Toch is de hoeveelheid geld dat kan worden gerelateerd aan criminele activiteiten gestegen, volgens Europol. Het gaat dan vooral om transacties vanuit darknet markets, diefstal en ransomware. Monero is inmiddels the most established privacy coin op darknet markets, gevolgd door Zcash en Dash. Met betrekking tot diefstal is het opvallend dat in 2019 tien publieke hacks plaatsvonden bij crypto-uitwisselingskantoren, waarbij in totaal 240 miljoen euro aan cryptogeld werd gestolen. Toch is dat minder dan in 2018, waarbij onder andere bij de Japanse exchange ‘Coincheck’ 500 miljoen euro aan cryptogeld werd gestolen. Europol beschrijft ook dat opsporingsonderzoeken naar witwassen met cryptocurrencies steeds uitdagender worden, vanwege ‘mixing services’, ‘privacy coins’ en uitwisselingskantoren die onvoldoende anti-witwasmaatregelen nemen.

Kinderpornografie

Ten slotte rapporteert Europol al vele jaren achter dat de hoeveelheid kinderpornografie stijgt (‘child sexual abuse materials’ genoemd). Kinderpornografie via ‘live streaming’ stijgt ook. Europol verwijst voor een verklaring ook naar de COVID-19 crisis, waardoor er minder capaciteit is bij de politie. Europol geeft aan dat kinderpornografiegebruikers steeds vaker maatregelen nemen om zo anoniem mogelijk te blijven en beveiligingsmaatregelen nemen om detectie door opsporingsinstanties te voorkomen. Steeds vaker kinderpornografisch materiaal verkocht, waarbij het materiaal wordt geüpload bij een hosting dienst en geld wordt verdiend aan ‘credits’ op basis van het aantal downloads. Vermoedelijk kunnen de credits worden ingewisseld voor ‘echt geld’.

Europol noemt ook een internationale politie operatie (de Nederlandse politie wordt prominent genoemd) waarbij de website ‘DarkScandals’ offline is gehaald. Daarop stonden seksvideo’s die zonder toestemming waren gemaakt en geplaatst en daarnaast gewelddadige seksvideo’s met verkrachting, marteling, mensenhandel en kinderpornografie. Het betreft een zogenoemde ‘pay to view’ website, waarbij de bezoeker de mogelijkheid geboden wordt om tegen betaling video’s of foto’s te verkrijgen van (jonge) vrouwen die seksuele handelingen verrichten of seksueel worden misbruikt. Betaling kon achterwege blijven als de gebruiker (user) zelf videomateriaal uploadt. Video’s moesten wel aan de voorwaarde voldoen dat ze echte verkrachting, afpersing, pesterijen van seksuele aard met naakte vrouwen, extreme betasting of seksuele slavinnen laten zien (zie ook persbericht OM).

De ‘administrator’ is een Nederlander die vermoedelijk 2 miljoen doller heeft verdient aan de verkoop van het materiaal op de website. De verdachte wordt onder andere vervolgd voor de verspreiding van kinderpornografie en witwassen.  

Cybercrime jurisprudentieoverzicht juni 2020

Drugshandel via het darkweb, witwassen van bitcoins en voorbereiden van een aanslag

Op 23 april 2020 zijn in een megazaak door de Rechtbank Overijssel 12 verdachten veroordeeld voor drugshandel via het darkweb, witwassen met bitcoins en het voorbereiden van aanslagen op de voormalige motorclub Satudarah. Het ging om de onderzoeken ‘Metaal’ en ‘Liechtenstein’ (zie ook OM persbericht en dit nieuwsbericht).

De strafbare feiten kwamen volgens het OM aan het licht toen de politie kon meelezen met de cryptofoons (PGP-telefoons) van de verdachten. Het OM kreeg met een Europees Opsporingsbevel (EOB) van de Britse autoriteiten een kopie van de inhoud van een server met PGP-berichten in handen, dat de Nederlandse politie vervolgens op inhoud heeft onderzocht. De Britten hebben op basis van eigen bevoegdheden en met medeweten van een ander bedrijf, de chatberichten onderschept, ontsleutelt en vervolgens die chatberichten doorgeleid naar de Nederlandse autoriteiten (zie Rb. Overijssel 23 april 2020, ECLI:NL:RBOVE:2020:1587, r.o. 4.2).

De rechtbank Overijssel overweegt met betrekking tot het onderzoek Metaal dat de verdachte zich samen met zijn medeverdachten gedurende langere tijd heeft bezig gehouden met omvangrijke drugshandel. Ook werden drugs geproduceerd en vond uitvoer van verdovende middelen naar het buitenland plaats. Zij maakten bij die handel en export onder meer gebruik van het “zogenoemde Darkweb” en verzonden de bestelde drugs in vermomde postpakketten, zoals bijvoorbeeld DVD-hoesjes. Het is jammer dat in deze uitspraak de namen van de desbetreffende darknet markets zijn geanonimiseerd.

De betaling voor de drugs vond plaats in Bitcoin. De politie heeft ook een pseudokoop van drugs op een darknet market uitgevoerd in de zaak ECLI:NL:RBOVE:2020:1587. Ook is het interessant te lezen hoe de politie op basis van de accountnaam van de verdachte als verkoper op drugsforum en de PGP-sleutel, de activiteiten op verschillende darknet markets heeft getraceerd. Ook wordt opgemerkt hoe bepaalde websites niet meer online waren, maar door de politie ‘konden worden bekeken, omdat het Team Darkweb van de Landelijke politie de databases ervan had veiliggesteld’ (r.o. 4.4.3.8). De link met de verdachte en de geldtransacties konden worden vastgelegd op basis van de inhoud van de chatgesprekken, de observaties door de politie van verdachten en de door de politie gemaakte analyse met het programma ‘Chainalysis’ van de geldwissels (r.o. 4.5.3.1)

De bitcoins werden op gezette tijden omgewisseld in contant geld. De verdachten vormden op basis van gelijkwaardigheid een samenwerkingsverband, volgens de rechhtbank. De taken waren en werden in overleg verdeeld. Zij communiceerden daarover met elkaar – en met onbekend gebleven derden – door middel een communicatieapp ‘Ironchat’. Op verschillende plaatsen in Nederland hadden zij werkhuizen en ‘stashplekken’ voor de te produceren en/of te verhandelen drugs. In die panden zijn door de politie niet alleen machines en toebehoren voor de productie van drugs aangetroffen, maar ook verpakkings- en verzendingsmaterialen voor bijvoorbeeld Duitsland, Australië en de Verenigde Staten. Vier mannen krijgen voor de drugshandel via het darkweb, witwassen en deelname aan een criminele organisatie 7 jaar gevangenisstraf opgelegd.

In het onderzoek Liechtenstein ging het ook om internationale drugshandel en witwassen via bitcoins. De verdachten zijn geïdentificeerd door de accounts te koppelen van de verdachten die via de PGP-telefoon of laptops via de applicatie Ironchat met elkaar chatten over het voorbereiden van een aanslag. Twee van de zes verdachten planden meerdere aanslagen op motorclub Satudarah in Enschede. Zij dachten namelijk dat de voormalige motorclub hen had verraden bij de politie, nadat de politie een inval had gedaan bij het Enschedese drugspand. Ook verhandelden de groep XTC-pillen, methamfetamine, cocaïne, heroïne en LSD via sites, zoals ‘Rolex’, ‘Flamingo’, ‘Snapdrugz’, ‘AliExpress’ en ‘Vendor’ op het Darkweb. Via die sites zijn drugsorders uit onder meer Polen, Zweden, Duitsland en Australië bij de groep geplaatst (ECLI:NL:RBOVE:2020:1559, r.o. 4.3.3.1).

Teruggave van bitcoins en waardebepaling

Op 5 oktober 2016 werd een verdachte veroordeeld voor het stelen van elektriciteit ten behoeve van bitcoinmining. Op een van de inbeslaggenomen computers worden 127,3 bitcoins aangetroffen. Na synchronisatie van de wallet met internet blijken er een half jaar 585,5 bitcoins te zijn bijgeschreven, maar de link met de bewezenverklaarde diefstal van elektriciteit ontbreekt. De tegenwaarde van de inmiddels vervreemde bitcoins dient te worden uitgekeerd aan de verdachte, zo beslist het Hof te Den Haag (Hof Den Haag 24 oktober 2018, Computerrecht 2019/54, ECLI:NL:GHDHA:2018:2821, m nt. N. van Gelder). Daarbij sloot het hof kort gezegd aan op de gemiddelde koerswaarde van Bitcoin ten tijde van de inbeslagname. Het middel klaagt over het feit dat niet de bitcoins teruggegeven worden en subsidiair dat de waardebepaling niet klopt. De Hoge Raad verwerpt het beroep (HR 12 mei 2020, ECLI:NL:HR:2020:845).  

De (juridisch complexe) conclusie bij het arrest (ECLI:NL:PHR:2020:249) AG Bleichrodt is met name interessant, omdat daar is te lezen dat ‘de waardebepaling niet aan de rechter is’. ‘Tegen die achtergrond heeft het hof met zijn overwegingen over de waardebepaling van de 585,48591218 bitcoins waarop de last tot teruggave betrekking heeft, blijk gegeven van een onjuiste rechtsopvatting.’ De teruggave van de bitcoins is in dit geval feitelijk niet meer mogelijk. De ‘bewaarder’ dient volgens de AG over te gaan tot uitbetaling van in beginsel de prijs die de bitcoins bij verkoop door hem hebben opgebracht (r.o. 23).

Hoge Raad arrest over bezit kinderporno

Op 12 mei 2020 heeft de Hoge Raad een belangrijk arrest (ECLI:NL:HR:2020:799) gewezen over de vraag of kinderpornoafbeeldingen in een cloudopslagruime (Microsoft’s Skydrive) kwalificeert als ‘bezit’ van kinderporno (zie met name r.o. 2.3.2-2.3.3).

De Hoge Raad beslist dat bezit een fysieke connotatie heeft en mede daarom kinderporno in opslagruimte niet kwalificeert als bezit van kinderporno. Destijds is ‘toegang verschaffen’ tot kinderpornografisch materiaal ook strafbaar gesteld met de overweging dat ‘de voorgestelde aanscherping van artikel 240b Sr biedt een ruimer bereik en vormt een nuttig en wenselijk vangnet voor gevallen die mogelijk niet onder de strafbaarstelling van «bezit» zouden kunnen worden gebracht’ (Kamerstukken II 2008/09, 31810, nr. 3, p. 3-4). Overigens adviseerde AG Knigge in de conclusie bij het arrest dat het beter was gewest afbeeldingen zelf ten laste te leggen in plaats van de gegevensdrager (ECLI:NL:PHR:2020:139, r.o. 4.6.3).

Zie ook deze annotatie van Michael Berndsen (de @cyberadvocaat) over dit arrest op Bijzonderstrafrecht.nl.

E-book over digitaal kinderpornografisch materiaal

Het Kenniscentrum Cybercrime van het Hof Den Haag heeft een informatief boek (.pdf) uitgebracht over de strafbaarstelling van kinderpornografie in artikel 240b Sr. Het boek is geheel geactualiseerd en zeer uitgebreid. Door het in open access beschikbaar te stellen kan ook buiten de rechtspraak van deze kennis gebruik worden gemaakt.

A. Kuijer, J.W. van den Hurk & S.J. de Vries, Artikel 240b Sr. Juridische en digitaal-technische aspecten van strafvervolging wegens gedragingen met digitaal kinderpornografisch materiaal, Kennis Centrum Cybercrime 2020, Rechtspraak.nl

Cybercrime jurisprudentieoverzicht april 2020

Veroordelingen voor criminele kinderporno-organisatie op het dark web

Enkele verdachten zijn in februari en maart 2020 veroordeeld voor het bezit en de verspreiding van kinderporno via chat websites op het dark web.

De rechtbank Rotterdam veroordeelde op 27 januari 2020 (ECLI:NL:RBROT:2020:501) een verdachte voor de deelname aan een criminele organisatie waarvoor hij beheerstaken heeft uitgevoerd en zodoende mede kinderporno heeft verspreid en aangeboden. Ook had de verdachte 11.354 afbeeldingen en 1.560 kinderpornovideo’s in zijn bezit. De overwegingen van de rechtbank over de deelname een criminele organisatie zijn interessant.

De rechtbank Rotterdam overweegt dat drie “chatsites” ‘als één organisatie kunnen en moeten worden beschouwd, omdat zij allen: “chatsites op het Darkweb’ waren, dezelfde modus operandi hadden, een gemeenschappelijk uitgangspunt hadden (onderling contact hebben met ‘liefhebbers van minderjarigen’) en dezelfde mogelijkheden boden (afbeeldingen aanbieden en beschikbaar stellen via een link), op hetzelfde script en dezelfde architectuur waren gebaseerd en de structuur en werkwijze op de sites overeen kwam. Daar komt nog bij dat de ‘beheersmatige handelingen op deze sites werden verricht door vrijwel dezelfde personen”.

De verdachte was tenminste twee jaar lang samen met andere personen actief als oprichter/beheerder, hoofdadministrator, moderator of administrator van de websites. Ook konden zij andere personen voordragen voor genoemde functies en konden leden worden gemonitord.

Uit de bewijsmiddelen blijkt dat er sprake was van een hiërarchie en structuur, omdat de moderators en administrators meer rechten en privileges hadden dan de geregistreerde gebruikers en de gasten en zij alleen toegang hadden tot bepaalde afgeschermde gedeeltes van de sites. Ook uit de hiervoor genoemde functies en rol- en taakverdeling blijkt van een georganiseerd verband. Daarom was er sprake van een criminele organisatie als bedoelt in art. 140 Sr, waar de verdachte deel van uit maakte. De verdachte wordt veroordeeld voor 3 jaar gevangenisstraf (waarvan één voorwaardelijk) en een proeftijd van drie jaar met bijzondere voorwaarden.

De rechtbank Overijssel veroordeelde op 3 maart 2020 (ECLI:NL:RBOVE:2020:913) een verdachte voor het gewoonte maken van het verspreiden van kinderporno via chatrooms, het bezit van kinderporno en de deelname aan criminele organisatie. De verdachte kwam volgens de uitspraak in beeld ‘nadat de Britse opsporingsautoriteiten berichtten dat voornoemd webadres werd gehost op het IP-adres van verdachte’. In de uitspraak van de rechtbank Overijssel zijn meer details over het onderzoek ’26Somerville’ te lezen. De verdachte in deze zaak was ‘hoofdadminstrator en hoster’ van twee chatrooms. Hij ‘promoveerde’ bezoekers bijvoorbeeld tot moderator als deze ‘langere tijd positief’ opvielen.

De ‘staff’ van de chatsites hadden verschillende rangen met eigen chatkanalen. Op die kanalen kon men makkelijker en vrijer praten, omdat buitenstaanders minder makkelijk konden meelezen. De leden hielden aantekeningen van vergaderingen; hetgeen achteraf bijdroeg aan het bewijs tegen de kinderpornogebruikers. De database van een chatroom met 185 gebruikersnamen met hun rang is tevens in beslag genomen. De chatroom werd door de verdachte gehost via een virtuele machine op zijn PC.

De rechtbank ging niet mee in het verweer dat het delen van tekst en links naar kinderporno geen verspreiding van kinderporno is. Ook de waarschuwing op de chatsites dat geen kinderporno mocht worden verspreid, overtuigde de rechters niet omdat uit ander bewijs was af te leiden dat het daadwerkelijk kinderporno is verspreid. Uit de uitspraak wordt niet duidelijk op welke wijze het bewijs verzameld, maar de politie kon blijkbaar vaststellen dat in één van de chatrooms bijvoorbeeld 2410 gedeelde afbeeldingen tussen 26 januari 2018 en 14 juni 2018 zijn gedeeld, waarvan er 298 afbeeldingen kinderpornografisch waren. Feitelijk was dus sprake van de verspreiding van kinderporno. Door slechts te volstaan met de enkele vermelding van het verbod op de pagina na het inlogscherm op [chatroom 3] en het handmatig – door moderators – laten controleren van afbeeldingen, heeft verdachte bewust de aanmerkelijke kans aanvaard dat toch kinderporno zou worden gedeeld op [chatroom 3], aldus de rechtbank.

De rechtbank acht daarom bewezen dat verdachte voorwaardelijk opzet had op het verspreiden, aanbieden, openlijk tentoonstellen, verwerven en in bezit hebben van kinderpornografische afbeeldingen, alsook op het toegang verschaffen tot kinderpornografische afbeeldingen. Ook op andere gegevensdragers werd bij de verdachte kinderporno gevonden. Interessant is bijvoorbeeld dat in een virtuele machine via de Browser ‘Internet Explorer’ of ‘Edge’ bestanden geopend waren met kinderpornografische namen. Door politie werden verder werden veertien bestandsnamen op kinderpornografische fora aangetroffen. De verdachte kreeg een gevangenisstraf opgelegd van drie jaar met bijzondere voorwaarden.  

Veroordeling voor webcamseks met Filipijns meisje

Op 24 maart 2020 heeft de Rechtbank Overijssel een verdachte veroordeeld (ECLI:NL:RBOVE:2020:1249) voor ontucht en het bezit van kinderporno. De verdachte is veroordeeld voor een voorwaardelijke gevangenisstraf van 18 maanden gevangenisstraf, een proeftijd van 3 jaar met voorwaarden en een taakstraf van 240 uur op.  

Deze zaak met ernstige feiten kwam aan het licht door een Belgische onderzoeksjournalist. De verdachte zou één van de mannen zijn die achter een webcam naar seksshow keek van aan minderjarige. De politie heeft daarop een doorzoeking gedaan en gegevensdragers in beslag genomen. Daarop is kinderporno aangetroffen, maar geen informatie waaruit bleek dat de verdachte zich bezighield met ‘live-streaming’ seksshows. Wel is een betaling via Western Union aan een slachtoffer gevonden. Later bleek dat de verdachte maandenlang chatgesprekken van seksuele aard heeft gevoerd met dit minderjarige slachtoffer.  

De rechtbank overweegt dat de verdachte met zijn gedragingen ervoor heeft gezorgd dat meisjes als het slachtoffer gedwongen blijven om deel uit te maken van een enorm winstgevend verdienmodel, waarbij jonge kinderen voor een webcam worden gezet om seksshows te doen voor volwassenen die daarvoor slechts een wifi verbinding en een laptop, en soms een paar euro, nodig hebben. De kinderen die deel uitmaken van dit soort internationale netwerken worden vanaf jonge leeftijd geseksualiseerd en krijgen niet waar elk kind ter wereld recht op heeft, namelijk een normale seksuele ontwikkeling. Dat verdachte zijn eigen dochter, van toen negen jaar jong, heeft betrokken in zijn seksueel getinte chatgesprekken met het slachtoffer, vindt de rechtbank zorgelijk.

In artikel 245 Sr is ontucht met een minderjarige strafbaar gesteld, waarbij sprake is van seksueel binnendringen in het lichaam. Van deze gedraging was volgens de rechtbank geen sprake, omdat het niet de verdachte maar twee meisjes in opdracht van de verdachte dat elders met zichzelf en/of elkaar deden. De motivatie waarom het artikel niet van toepassing is met een verwijzing naar het ‘Pollepel-arrest’ (ECLI:HR:2004:AQ0950) en literatuur is lastig te volgen en wellicht nog voor discussie vatbaar. Wel wordt aldus het plegen van ontuchtige handelingen via een ‘live-stream’ en bezit van kinderporno bewezen geacht.

Phishing van creditcardgegevens

De rechtbank Amsterdam heeft op 25 maart 2020 een bijzondere uitspraak (ECLI:NL:RBAMS:2020:1960 en ECLI:NL:RBAMS:2020:1961) gedaan over phishing met creditcardgegevens. Twee verdachten zijn veroordeeld tot een taakstraf vanwege oplichting. De uitspraak bevat interessante details over het opsporingsproces, maar bevat ook enkele slordigheden. Zou Amsterdam ook een ‘cyberkamer’ hebben ingeregeld voor cybercrimezaken? De kwaliteit van deze uitspraak laat te wensen over.

Het onderzoek ving aan met een melding van de onderzoeksafdeling fraudedetectie van International Card Services B.V. van mogelijke frauduleuze transacties. Kort daarop werden met de creditcard bestellingen via Mediamarkt gedaan. Na contact met het Openbaar Ministerie werd besloten om het pakket gecontroleerd te laten afleveren op het aangegeven adres. Geobserveerd wordt dat de verdachte het pakketje in ontvangst neemt en meeneemt naar haar woning. De politie treedt een half uur later binnen en treft verdachte en medeverdachte aan in haar slaapkamer samen met een geopende doos van de Mediamarkt. De doos met daarin een Macbook Pro is uit eerdergenoemde doos gehaald en op de pakbon staan de door Mediamarkt opgegeven bestelgegevens.

De verdediging voert aan dat niet voldoende bewezen is dat de verdachte het product heeft besteld en eist dat bijvoorbeeld DNA onderzoek op de laptop wordt gedaan. De rechtbank gaat daar in niet mee. De rechtbank stelt op basis van het bewijs vast dat de persoonlijke gegevens van de creditcardhouder via phishing zijn verkregen. Vervolgens is op de webportal van de creditcardmaatschappij ingelogd het telefoonnummer gewijzigd en zijn met de creditcard bestellingen geplaatst. Op de inbeslaggenomen laptops stonden e-mailaccounts open met diverse bestellingen op naam en rekening van creditcardhouders.

De rechtbank acht het voorhanden hebben van technische hulpmiddelen bewezen met het oogmerk om computervredebreuk bewezen, maar verwijst daarbij naar een verkeerd artikelnummer (138d Sr i.p.v. 139d lid 2 sub a Sr). Daarbij wordt uitgelegd:

“op beide laptops stonden diverse softwareprogramma’s, waaronder Sendblaster, waarmee bulk- email berichten kunnen worden verstuurd. Hierin trof men lijsten aan met duizenden e-mail adressen, verzonden phishing e-mail berichten naar onder meer banken en meerdere (templates) voor phishing berichten. Ook de op de laptops aanwezige programma’s Havij en Filezilla hebben bijgedragen aan de gepleegde computervredebreuk, te weten het binnendringen van Webportals. Ook zijn gegevens van cardhouders gewijzigd door frauduleus in te loggen op hun Webportals”.

 Het is technisch gezien natuurlijk lariekoek dat je kan binnendringen op een “Webportal”; dat doe je namelijk op de geautomatiseerde werken (de servers) van ICS. Het ligt voor de hand dat dan sprake is van binnendringen via een valse hoedanigheid (namelijk met het account van het slachtoffer), maar dat acht de rechtbank (met een minimale motivering) niet bewezen.

Grootschalige oplichting via Marktplaats

De rechtbank Midden-Nederland heeft op 6 maart 2020 een verdachte veroordeeld (ECLI:NL:RBMNE:2020:853) voor een flinke gevangenisstraf van 20 maanden, waarvan 8 voorwaardelijk en een proeftijd van drie jaar, voor phishing (oplichting), bedreiging en diefstal. In de uitspraak wordt uitvoerig de modus operandi van de criminelen besproken.

De rechtbank overweegt dat de verdachte samen met andere verdachten steeds dezelfde modus operandi (gebruikte werkwijze) aanhield. Een koper benaderde de aangever via Marktplaats of via het telefoonnummer van de aangever dat de koper via Marktplaats had verkregen. De koper liet de aangever, meestal via WhatsApp, weten dat hij het door de aangever aangeboden goed op Markplaats wilde kopen. De koper vroeg de aangever vervolgens om € 0,01 over te maken via een door hem toegestuurde betaallink en zei daarbij dat hij er op die manier zeker van kon zijn dat de aangever te vertrouwen was en hij niet opgelicht zou worden. Wanneer de aangevers de betaallink openden, zagen zij een website die qua uiterlijk overeenkwam met de website van hun eigen bank. De aangever vulde vervolgens enkele persoonlijke gegevens in om deze € 0,01 over te maken. Deze gegevens konden bestaan uit de gebruikersnaam en het wachtwoord van hun bankrekening, het bankpasnummer en de vervaldatum van de bankpas.

Deze website sloeg vervolgens de gegevens op, waarna de koper of een derde kon inloggen op de bankrekening van de aangever en transacties kon uitvoeren. In enkele gevallen werd een geldbedrag overgemaakt naar de bankrekening van een derde (een money mule) en in diverse andere gevallen verplaatste de koper een geldbedrag van de spaarrekening van de aangever naar diens betaalrekening. Hierbij werd gedaan alsof de koper een geldbedrag van zijn eigen rekening had overgemaakt naar de rekening van de aangever. In dit geval vertelde de koper de aangever dat hij per ongeluk een te groot geldbedrag had overgemaakt, waarna hij de aangever vroeg om het te veel overgemaakte geld terug te storten. Als de aangever voldeed aan dit verzoek, maakte de aangever in werkelijkheid zijn of haar eigen spaargeld over naar de koper.

Bij een deel van de aangevers is de voornoemde methode niet voltooid. Deze aangevers kregen op verschillende momenten in dit proces argwaan, werden door hun bank benaderd en gewaarschuwd voor verdachte transacties of wilden om andere redenen niet meer meewerken met de koper. Zodra de koper dit besefte, werd zijn communicatie vaak agressief jegens deze aangevers en probeerde hij ze onder bedreiging van geweld te dwingen mee te werken of een geldbedrag af te staan. De bedreigingen stonden in Whatsappjes op de inbeslaggenomen telefoons opgeslagen, zoals: [slachtoffer 4] :

“Ik steek je huis in de fik en ik steek jou kapot en ik kom van het kamp en ik steek jouw hond kapot en ik steek je vrouw neer, ik maak heel jouw familie kapot”

en daarbij het adres van die [slachtoffer 4] te noemen. Dit leverde natuurlijk het nodigde bewijs op voor het delict bedreiging.

De zaak kent ook een interessante overweging over de bewijsvoering. Het bewijs wordt zeer uitvoerig besproken, zoals verkeersgegevens van telefonie, betaalgegevens en WiFi-gegevens ter lokalisering van de verdachte. De verdachte voert aan dat de naam van een verdachte bekend moet zijn om historische verkeersgegevens van telefonie onder artikel 126nd Sv te vorderen. De rechtbank overweegt dat dit sinds het arrest van HR 22 maart 2005, ECLI:NL:HR:2005:AS4689 niet meer noodzakelijk is. Wel opmerkelijk is de overweging dat ‘phishing-websites’ als technische hulpmiddel worden gekwalificeerd met het oogmerk om computervredebreuk te plegen, terwijl later wordt gesproken over de ontwikkeling van phishing-software.

De verdachten zijn in dit traject op verschillende manieren betrokken geweest bij de phishing, terwijl deze elementen van oplichting door middel van computervredebreuk, na phishing-activiteiten met gebruik van specifiek ontwikkelde software in essentiële zin met elkaar samenhangen om tot oplichting via phishing-software te komen. Hieruit blijkt volgens de rechtbank dat beide verdachten voldoende hebben bijgedragen aan dit proces om als medeplegers te worden beschouwd.

De rechtbank Den Haag heeft op 6 maart 2020 eveneens een verdachte veroordeeld (ECLI:NL:RBDHA:2020:2595) tot 36 maanden waarvan 6 maanden voorwaardelijk met een proeftijd van twee jaren voor het op grote schaal medeplegen van identiteitsfraude, (marktplaats)oplichtingen, gewoontewitwassen en deelnemen aan een criminele organisatie. Ook zijn er meer dan 150 vorderingen van benadeelde partijen (gedeeltelijk) toegewezen. De uitgebreide uitspraak is van goede kwaliteit en interessant vanwege de besproken modus operandi van de criminelen en de bewijsvoering.

De rechtbank overweegt dat de oplichter (verkoper) via Whatsapp contact zocht met de koper in advertentie opgegeven mobiele nummer. In eerste instantie was ophalen en opsturen van het apparaat mogelijk. Echter als de koper koos voor ophalen werd het door de verkoper zo gedraaid dat het wel heel ver weg was en/of dat een afspraak niet mogelijk was. Vervolgens werd het vertrouwen van de koper gewonnen door het sturen van een (selfie met een) identiteitsbewijs en door het gebruik van een gelijkende profielfoto op WhatsApp. Na ontvangst van de betaling bleef de verkoper enige tijd bereikbaar voor de koper en kreeg de koper een valse track en trace code. Vervolgens was de verkoper niet meer bereikbaar. Geen van de kopers ontving het gekochte product. In bijna alle gevallen maakte de verkoper gebruik van de identiteit van kopers die bij een aankoop zelf waren opgelicht en hun identiteitsbewijs naar de verkoper hadden verstuurd. Dit alles leverde het delict identiteitsfraude  op.

Het geld werd overgemaakt naar rekeningen die kort daarvoor waren geopende door personen uit Oostbloklanden (waarvan 41 rekeningen bij de ING). Deze rekeningnummers werden korte tijd gebruikt en de daarop gestorte gelden werden gedurende de dagen dat de rekeningen actief waren, op een enkele uitzondering na, contant opgenomen bij geldautomaten en casino’s in Amsterdam. De verdachten wisselden vaak van Simkaart in hun mobiele telefoon. De geschreven aantekeningen  – om bij te houden met excuses waarom het pakket niet geleverd – leverde in de zaak een deel van het bewijs voor oplichting. De rechtbank overweegt dat de verdachte kiest om te zwijgen, maar het bovenstaande schreeuwt om een verklaring, zeker toen de verdachte bewijsmateriaal probeerde te vernietigen tijdens de inval van de politie.

Ten slotte is de bewijsvoering nog interessant over de netwerken waarmee verbinding is gemaakt (een WiFi-netwerk). Het netwerk had blijkbaar ‘twee unieke MAC-adressen’, waarbij “onderzoek in  openbare bronnen wees vervolgens uit dat deze MAC-adressen behoorden bij twee Blackberry telefoons. De historische locatiegegevens van deze MAC-adressen gaven GPS locatiecoördinaten [GPS locatie 1] , [GPS locatie 2] die, met een nauwkeurigheid van 150 meter, de [adres 1] – de straat waar de verdachte woont – aanwijzen als de plek waar deze netwerken zijn gebruikt”.

Hoewel de oplichtingen per persoon slechts bedragen van tussen 300-600 euro bedroegen, wordt bewezen geacht dat de verdachte – samen met anderen – in totaal voor een bedrag van 105.261,41 euro heeft opgelicht.

Annotatie over Playpen-zaak

Deze blogpost bevat mijn annotatie (.pdf) in Computerrecht over de veroordeling (Rb. Midden-Nederland 15 oktober 2019, ECLI:NL:RBMNE:2019:4766) van een Nederlandse verdachte die actief was op het kinderpornoforum ‘Playpen’ op het dark web.

Inleiding

Playpen is door de media ook wel bestempeld als “the most ‘notorious darknet child pornography site. De zaak is interessant, omdat het een veroordeling van een Nederlandse verdachte betreft voor het bezit en toegang verschaffen tot kinderpornografisch materiaal en de verspreiding van kinderporno via het forum.

De Nederlandse kinderpornogebruiker is door een Amerikaanse operatie geïdentificeerd, waarbij vermoedelijk computers zijn gehackt en software is gebruikt om bezoekers van het Tor-forum Playpen te de-anomiseren. Dit roept vragen op die in de uitspraak onbeantwoord blijven, zoals:

‘is een dergelijke operatie met de nieuwe hackbevoegdheid ook onder Nederlands recht toegestaan?’

In deze annotatie wordt kort de Amerikaanse operatie uitgelicht. Daarna wordt ingegaan op het oordeel in de uitspraak zelf met betrekking tot het bezit en toegang verschaffen tot kinderpornografisch materiaal en de verspreiding van kinderporno via Playpen. Ter afsluiting wordt ingegaan op de nieuwe mogelijkheden van de hackbevoegdheid, dat per 1 maart 2019 door de implementatie van de Wet computercriminaliteit III in het Wetboek van Strafvordering (Sv) is te vinden.

Achtergrond Operation Pacifier

Playpen betrof een zogenoemde ‘hidden service’, in dit geval een forum dat alleen via Tor bereikbaar was en in de periode van 2014-2015 online was. Op het forum werd (ook prepuberale) kinderpornografie uitgewisseld tussen forumleden. Met gebruik van het Tor systeem kunnen internetgebruikers anoniem internetten, wordt het netwerkverkeer versleuteld en kunnen internetdiensten worden geraadpleegd die niet via het reguliere internet bereikbaar zijn.

Het forum Playpen kreeg veel media-aandacht, omdat de FBI in 2015 in ‘Operation Pacifier’ de bezoekers van het forum de-anonimiseerde. Volgens onderzoeksjournalisten zoals Joseph Cox is dit mogelijk gemaakt, omdat de FBI de website tijdelijk heeft overgenomen en met behulp van een ‘technisch hulpmiddel’ (software) identificerende informatie over de bezoekers van de website heeft vastgelegd, zoals IP-adressen, Mac-adressen en andere technische informatie van de computers van de bezoekers.

Door de operatie waren in mei 2017 al 870 personen opgepakt of veroordeeld, waarvan 368 in de Europese Unie. Bovendien zijn 259 misbruikte kinderen geïdentificeerd of uit hun slachtoffersituatie ontzet. De operatie heeft ook tot kritiek geleid, omdat Amerikaanse autoriteiten ook privé-gegevens van niet-Amerikanen heeft verzameld en daarmee buiten haar jurisdictie zou treden. De FBI zou ook niet transparant genoeg zijn over het gebruik van het technische hulpmiddel in deze strafzaken, hetgeen mogelijk in spanning staat met het recht op het eerlijk proces (zie ook Kate Tummarello, ‘The Fight Against General Warrants to Hack Rages On’, Electronic Frontier Foundation, 9 mei 2017).   

Verstrekking van gegevens aan Europol en buitenlandse opsporingsdiensten

Na de operatie heeft de FBI naar verluidt de identificerende informatie van niet-Amerikaanse bezoekers aan Europol overgedragen. Europol heeft vervolgens vanwege haar coördinerende taak die gegevens doorgegeven aan de verschillende nationale opsporingsautoriteiten binnen de Europese Unie (zie Mark Hendrikman, ‘FBI-onderzoek naar kinderporno op Tor levert meer dan 3000 zaken in Europa op’, Tweakers.net, 24 januari 2016 en het persbericht van Europol, ‘Major online child sexual abuse operation leads to 368 arrests in Europe’ van 5 mei 2017). De Nederlandse autoriteiten vielen hier klaarblijkelijk ook onder. Hoewel de naam van het forum in de uitspraak is geanonimiseerd, blijkt uit Nederlandse berichtgeving dat de verdachte is veroordeeld vanwege zijn activiteiten op het kinderpornoforum Playpen (zie bijvoorbeeld Riks Ozinga, ‘Verdachte in kinderpornozaak krijgt taakstraf en voorwaardelijke celstraf’, RTV Utrecht, 16 oktober 2019).

Vertrouwensbeginsel

Zoals ik eerder in een annotatie bij een andere kinderpornozaak heb opgemerkt, worden vaker dit soort gegevens over kinderpornogebruikers uitgewisseld. Op grond van het vertrouwensbeginsel uit het internationale recht, mag het Openbaar Ministerie er op vertrouwen dat het bewijs op rechtmatige wijze door buitenlandse autoriteiten is vergaard (zie o.a. zie HR 31 januari 2006, ECLI:NL:HR:2006:AU3426). Het bewijs mag daarom in principe worden gebruikt in de Nederlandse strafzaak.

Veroordeling Nederlandse verdachte

De rechtbank Midden-Nederland heeft in de verdachte veroordeeld voor het bezit, toegang verschaffen, en de verspreiding van kinderpornografisch materiaal via een internetforum. De verdachte heeft op twee momenten een ‘thread’ gestart (nieuw onderwerp van discussie op het forum) en vervolgens kinderpornografisch materiaal gedeeld op het besloten forum. In de uitspraak is te lezen dat ‘‘de exacte activiteiten van individuele forumgebruikers alleen konden worden vastgesteld over de periode van 20 februari 2015 tot en met 5 maart 2015’’.

De rechtbank gaat mee met het verweer van de verdediging van de verdachte dat daarmee nog geen sprake is van het gewoonte maken van de verspreiding tot kinderpornografisch materiaal. De rechtbank acht aldus de verspreiding van kinderpornografisch materiaal bewezen, maar niet het gewoonte maken daarvan (waar een hogere straf op straf op staat) (zie rechtsoverweging 4.3).

De verdachte heeft wel een gewoonte gemaakt van het bezit van kinderpornografie. In het door de politie in beslag genomen materiaal, bevonden zich in totaal 103.132 foto’s en 243 video’s. In een willekeurige selectie van ‘ongeveer 25%’ daarvan, zijn 16.453 foto’s en 172 video’s beoordeeld als kinderpornografisch. De bekennende verdachte heeft verklaard dat hij 2 à 3 keer per week kinderpornografische sites bezocht en dat als hij afbeeldingen ging downloaden, dat het er tussen de 20 en 100 per keer waren. Gelet op het aantal aangetroffen kinderpornografische afbeeldingen en de frequentie waarmee verdachte het kinderpornografisch materiaal heeft gedownload, is de rechtbank van oordeel dat verdachte een gewoonte heeft gemaakt van het in het bezit hebben van kinderpornografisch materiaal (zie r.o. 4.3).

Strafmaat

De rechtbank voert een uitgebreide strafoverweging (zie r.o. 8.3). Het overweegt daarbij in het nadeel van de verdachte dat hij zich een lange periode schuldig heeft gemaakt aan het in bezit hebben van pornografisch materiaal, de grote hoeveelheid afbeeldingen die bij verdachte zijn aangetroffen en de (jonge) leeftijd van de minderjarigen die op de aangetroffen afbeeldingen stonden.

In het voordeel van verdachte neemt de rechtbank mee dat de verdachte volledig heeft meegewerkt aan het onderzoek, spijt heeft van zijn gedragingen en in behandeling is. Het recidiverisico wordt door de reclassering, op basis van gesprekken met zijn behandelaar, ingeschat als laag. De rechtbank legt de verdachte een gevangenisstraf op van één jaar, waarvan 364 dagen voorwaardelijk, met een proeftijd van drie jaar. De verdachte krijgt verder een taakstraf van 240 uur.

Toepassing hackbevoegdheid op een forum als Playpen?

Nu rest de vraag of een dergelijke operatie zoals de FBI heeft uitgevoerd ook onder Nederlands recht mogelijk is. Uiteraard kan deze vraag alleen worden beantwoord aan de hand van de omstandigheden van het geval. Echter, als ratio van de nieuwe hackbevoegdheid in artikel 126nba Sv is door de wetgever specifiek meegegeven dat de inzet van de hackbevoegdheid het mogelijk maakt om verdachten te identificeren die actief zijn op Tor en zich met kinderpornografie bezighouden (Kamerstukken II 2015/16, 34372, nr. 3, p. 20).

Op grond van artikel 126nba lid 1 sub a Sv kan de Nederlandse politie met de inzet van de hackbevoegdheid onder strenge voorwaarden op afstand binnendringen in computers, zoals een webserver van een forum en de computer van een verdachte, en vervolgens gegevens vastleggen ter identificatie van die verdachte. De ‘Aanwijzing voor de internationale aspecten van de inzet van de bevoegdheid ex art. 126nba Sv’ geeft allerlei factoren mee die een officier van justitie in overweging moet nemen als hij of zij een rechter-commissaris om toestemming vraagt de hackbevoegdheid in te zetten, waarbij mogelijk computers in het buitenland worden binnengedrongen.

Kort gezegd valt te beargumenteren dat een dergelijke operatie doorgang mag vinden, vanwege het feit dat een webserver en de bezoekers via Tor in beginsel ‘niet redelijkerwijs’ te lokaliseren zijn en het zeer ernstige feiten zijn met mogelijk Nederlandse daders en slachtoffers (zie ook Kamerstukken II 2015/16, 34372, nr. 3, p. 47 met specifiek het gebruik van Tor als voorbeeld).

Tot slot

De veroordelingen in binnen- en buitenland naar aanleiding van Operation Pacifier laat ook zien dat het bewijs afkomstig van de hackbevoegdheid kan standhouden, ondanks bezwaren van advocaten en privacybelangenorganisaties.

Een interessante vraag daarbij is ten slotte nog in hoeverre de politie openheid van zaken moet geven van de toepassing van de hackbevoegdheid en het gebruikte technische hulpmiddel. In Nederland staat in artikel 126nba lid 2 sub d Sv dat “een aanduiding van de aard en functionaliteit van het technische hulpmiddel” moet worden verstrekt. Ook schrijft het ‘Besluit onderzoek in een geautomatiseerd werk’ allerlei technische vereisten en logging voor (zie Stb. 2018, 340 voor het Besluit onderzoek in een geautomatiseerd werk en de toelichting daarop).

De verdediging kan in het kader van het recht op een eerlijk proces zoveel als mogelijk nagaan op welke wijze het bewijsmateriaal is vergaard en op zekere hoogte de betrouwbaarheid van het vergaarde bewijs ter discussie stellen (zie als mogelijke voorloper de ‘Aydin C.-zaak’, Rb. Amsterdam 16 maart 2017, ECLI:NL:RBAMS:2017:1627, Computerrecht 2017/103, m.nt. J.J. Oerlemans). Het zijn zeker aspecten waar de rechtspraak in de toekomst ervaring mee opdoet als de hackbevoegdheid wordt toegepast en het resultaat daarvan in opsporingsonderzoeken als bewijs wordt gebruikt.

Citeertitel: Rb. Midden-Nederland 15 oktober 2019, ECLI:NL:RBMNE:2019:4766, Computerrecht 2020/9, m.nt. J.J. Oerlemans.

Hoofdstukken uit ‘Strafrecht en ICT’ in open access beschikbaar

In januari 2019 verscheen het boek ‘Strafrecht en ICT’ van Bert-Jaap Koops en mij. Het boek betreft een studieboek en naslagwerk. We hebben goede reacties uit de praktijk gekregen.

Nu de embargoperiode van Sdu voorbij is, mag ik de belangrijkste hoofdstukken online zetten. Hieronder staan de links met een indicatie van de inhoud.

Materieel strafrecht en ICT
Het hoofdstuk biedt een overzicht van de strafbepalingen, wetsgeschiedenis en jurisprudentie over computercriminaliteit. Het hoofdstuk heeft de volgende inhoud:

  • Computervredebreuk en wederrechtelijk overnemen van gegevens
  • Afluisteren, aftappen en opnemen van communicatie
  • Verstoring van computergegevens
  • Verstoring van computersystemen
  • Misbruik van technische hulpmiddelen
  • Klassieke vermogensdelicten
  • Valsheid in geschrifte
  • Oplichting
  • Computergerelateerde zedenmisdrijven
  • Uitingsdelicten
  • Auteursrechtschendingen
  • Blik op de toekomst

Formeel strafrecht en ICT
Dit hoofdstuk behandeld alle relevante opsporingsbevoegdheden die worden in gezet in opsporingsonderzoeken naar cybercrime. Dit is de inhoudsindicatie:

  • Het opsporingsonderzoek
  • Doorzoeking, inbeslagname en onderzoek van gegevens in computers
  • Het vorderen van gegevens
  • De telecommunicatietap
  • Direct afluisteren
  • Stelselmatige observatie en locatiebepaling
  • Hacken als opsporingsbevoegdheid
  • Vergaren van publiekelijk toegankelijke online gegevens
  • Online undercover opsporingsmethoden
  • Digitaal bewijs
  • Blik op de toekomst

Grensoverschrijdende digitale opsporing

Dit hoofdstuk gaat over jurisdictie, het Cybercrimeverdrag, andere belangrijke verdragen en de grensoverschrijdende toepassing van opsporingsbevoegdheden. De inhoud is als volgt:

  • Jurisdictie en rechtshulp
  • Het Cybercrimeverdrag en internationale samenwerking in digitale opsporing
  • Grensoverschrijdende toepassing van bevoegdheden  
  • U.S. Cloud Act
  • Tweede Protocol bij het Cybercrimeverdrag (concept
  • EU-voorstellen voor digitale bewijsgaring

Jurisprudentieoverzicht cybercrime februari 2020

Hoge Raad arrest over kaartlezers

De Hoge Raad heeft op 17 december 2019 een arrest (ECLI:NL:HR:2019:1973) gewezen over de vraag of een kaartlezer een geautomatiseerd werk (artikel 80sexies Sr) is. De zaak ging over een vorm van fraude waarbij gemanipuleerde ‘e.dentifiers’ in bankshops van een bank werden geplaatst. Daarmee werden vervolgens valse betaalpassen vervaardigd, waarmee in totaal meer dan € 1 miljoen contant is opgenomen bij pinautomaten.

De Hoge Raad overweegt herhaalt de relevante overwegingen uit ECLI:NL:HR:2013:BY9718 met betrekking tot het (oude) begrip ‘geautomatiseerd werk’ in artikel 80sexies Sr. De Hoge Raad overweegt dat de kaartlezer een geautomatiseerd werk is, omdat het een apparaat is die  authenticatie en uitwisseling van mede op rekeninggegevens en pincodes gebaseerde (challenge- en response)cijfercodes met het Internet Bankieren-systeem van de bank mogelijk maakt. Dat vindt plaats ten behoeve van digitale bancaire transacties. Zij maken daarmee deel uit van een systeem waarbij opslag, verwerking en overdracht van gegevens plaatsvindt (r.o. 3.5.3).

Oude vs nieuwe definitie geautomatiseerd werk

Het arrest gaat nog over de oude definitie van een geautomatiseerd werk. Het begrip is door de inwerkingtreding van de Wet computercriminaliteit III gewijzigd in:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken”.

Met dit nieuwe begrip wordt aangesloten uit de definitie uit het Cybercrimeverdrag. Hieronder vallen volgens de toelichting in ieder geval apparaten die gegevens verwerken en in verbinding staan met een netwerk. Gezien de verwerking van gegevens valt mijns inziens een kaartlezer ook onder dit nieuwe begrip van een geautomatiseerd werk.

Aftappen en opnemen van gegevens

Over aftappen en opnemen in de zin artikel 139c Sr overweegt de Hoge Raad dat uit de wetsgeschiedenis volgt dat de in art. 139c Sr opgenomen termen ‘aftapt’ en ‘opneemt’ zien op het onderscheppen en vastleggen van stromende gegevens, dat wil zeggen gegevens die in een proces zijn van verwerking en overdracht. Het vastleggen van opgeslagen gegevens valt niet aan te merken als aftappen of opnemen in de zin van art. 139c Sr, maar als het ‘overnemen’ van gegevens (r.o. 3.6.2).

De Hoge Raad gaat mee in het oordeel van het Hof dat sprake is van ‘afgetapte en opgenomen gegevens’, omdat actief werd ingegrepen tijdens het ‘vraag- en antwoordspel van de identificatiekaartlezer’ tijdens internetbankieren. Daarbij worden gegevens via de chip opgevraagd, die in reactie daarop worden overgedragen en via een PIN code worden onderschept (r.o. 3.6.3).

Livestream kan afbeelding zijn in de zin van art. 240b Sr

Op 10 december 2019 heeft de rechtbank West-Brabant-Zeeland een 66-jarige verdachte veroordeeld (ECLI:NL:RBZWB:2019:5546) tot drie jaar gevangenisstraf en TBS voor ontucht en de vervaardiging en verspreiding van kinderporno.

De “surrogaat opa” won het vertrouwen van een gezin droeg als oppas zorg voor een 12-jarige meisje. Met dit meisje heeft hij ontucht gepleegd en heeft hij beeldmateriaal vervaardigd. In 2000 is verdachte in Nederland ook al veroordeeld tot 30 maanden gevangenisstraf waarvan zes maanden voorwaardelijk voor soortgelijke feiten. In 2012 is verdachte in België veroordeeld tot 6 jaar gevangenisstraf voor verkrachting en aanranding van een minderjarige.

Het is een zaak met dramatische en trieste feiten, maar juridisch gezien wordt een belangrijke vraag gesteld. De verdachte heeft met zijn eigen telefoon en onder zijn eigen account een livestream van seksuele activiteiten en handelingen van het slachtoffer uitgezonden.

De rechtbank overweegt dat sprake is van een kinderpornografische ‘afbeelding’ in de in zin art. 240b Sr, omdat via een livestream mogelijk wordt gemaakt dat anderen een weergave van de werkelijke seksuele gedragingen van kinderen kunnen zien door middel van streamen en volgen. De verdediging voert aan dat geen sprake is van een afbeelding in de zin van 240 Sr, omdat geen sprake is van het vereiste van ‘enige duurzaamheid’. De rechtbank gaat daar niet in mee.

De rechtbank overweegt dat ‘een afbeelding in de zin van genoemd artikel is het weergeven van een werkelijkheid door middel van een technisch hulpmiddel waardoor deze werkelijkheid door (veel) anderen door middel van gebruik van techniek bekeken kan worden. Gelet op het doel en de strekking van genoemd artikel is ‘enige duurzaamheid’ geen vereiste om te kunnen spreken van een afbeelding in de zin van dit artikel’.

Veroordeling voor verspreiding kinderporno via GigaTribe

Op 11 december 2019 heeft het Hof Arnhem-Leeuwarden een verdachte veroordeeld (ECLI:NL:GHARL:2019:11285) tot 12 maanden gevangenisstraf voor de verspreiding van kinderporno via het peer-to-peer programma GigaTribe.

Net als in ECLI:NL:RBNNE:2017:2882 (zie ook mijn annotatie hierover) werd de zaak opgestart nadat Zwitserse autoriteiten via een undercover actie het account van een persoon hadden overgenomen en daarmee met de Nederlandse verdachte communiceerden over kinderporno. Tijdens het chatgesprek met de verdachte ontvingen de Zwitserse autoriteiten het wachtwoord van zijn versleutelde folder, waarin kinderporno bleek te staan. De Zwitserse ‘Cybercrime Coordination Unit’ deelden de informatie met de Nederlandse autoriteiten, die een onderzoek startten.

De verdediging voerde aan dat het Openbaar Ministerie niet-ontvankelijk moet worden verklaard voor het gebruik van bewijsmateriaal door de undercover acties van de Zwitserse autoriteiten.

Volgens het hof is er geen sprake van enig vormverzuim. Tijdens de doorzoeking van de woning van een verdachte is op een computer en USB-stick van de verdachte 1048 foto’s en 409 films aangetroffen met kinderpornografisch materiaal. Bovendien stonden op de laptop van de verdachte GigaTribe-chatgesprekken.

Mooi is ook de volgende overweging van het hof: ‘dat de verdachte de gebruiker is geweest van het account leidt het hof af uit de omstandigheid dat nagenoeg hetzelfde wachtwoord van dit account, staat vermeld op de onderlegger die de verbalisanten onder het toetsenbord van de verdachte hebben aangetroffen’. Ook kon het IP-adres worden teruggeleid tot de verdachte.

Veroordeling voor dreiging high school shooting via YouTube

Het hof Amsterdam heeft op 10 december 2019 een verdachte vrijgesproken (ECLI:NL:GHAMS:2019:461) van poging tot bedreiging. De minderjarige verdachte werd verweten op YouTube de volgende tekst te plaatsen:

“Fuck you man just when I was planning my school shooting you came out with motivational bs (this is actually no joke)”.

Het hof overweegt in hun vrijspraak dat in welke context de verdachte zijn bericht heeft geplaatst, namelijk op een groepspagina van een website en als reactie op een bericht van de beheerder. Niet is komen vast te staan dat er een potentiële groep bedreigden op de hoogte zijn geraakt van de bedreiging.

Daarbij komt dat de woorden in het bericht, mede gelet op de context waarin ze zijn gebruikt, een onvoldoende specifieke inhoud en een onvoldoende duidelijk dreigende strekking hebben om een strafbare bedreiging op te leveren. De geplaatste tekst bevat ook geen enkele verwijzing naar een bestaande school, noch naar een locatie waar een dergelijke shooting zou plaatsvinden.

Het hof is daarom van oordeel dat onvoldoende grond bestaat voor de conclusie dat door het bericht redelijke vrees kon ontstaan dat personen het leven zouden kunnen verliezen, zodat ook om die reden van een voltooide bedreiging geen sprake kon zijn. Het bericht kan om dezelfde redenen evenmin worden aangemerkt als een begin van uitvoering om een dergelijke vrees te doen ontstaan, zodat ook van een poging tot bedreiging geen sprake is.

Gevangenisstraffen voor grootschalige phishing

De rechtbank Midden-Nederland heeft op 11 december 2019 verschillende verdachten veroordeeld (o.a. ECLI:NL:RBMNE:2019:5885 t/m ECLI:NL:RBMNE:2019:5898) voor grootschalige phishing. Sommige verdachten kregen een gevangenisstraf opgelegd van 2 en 3 jaar. Ook moesten sommige verdachten geleden schade terugbetalen van rond de 150.000 euro.

De phishing ging in zijn werking door mails te sturen naar mensen die zogenaamd van banken afkomstig zijn. Vervolgens worden de rekeninghouders doorgestuurd naar websites die sprekend op die van de banken lijken. Later verstuurde de verdachte phishingmails waarin stond dat de rekeninghouder een nieuwe bankpas aan moest vragen en zijn inloggegevens moest invoeren.

De gegevens die de gedupeerden op de nepwebsite achter lieten, kwamen terecht in een mailbox waar de verdachte de inloggegevens van had. Op die manier konden de verdachten bij hun inlog- en bankgegevens en konden mededaders geld opnemen bij pinautomaten. De verdachten bestelden daarnaast spullen bij webwinkels en haalden de goederen vervolgens bij afhaalpunten op.

De verdachten maakten zich volgens de rechtbank, met ieder zijn eigen rol, op een uitgekookte manier schuldig aan meerdere diefstallen, oplichting, computervredebreuk (art. 138ab Sr), het ter beschikking stellen van software om computervredebreuk te plegen (art. 139d jo art. 138 ab Sr) en witwassen.

Cybercrime jurisprudentieoverzicht – oktober 2019

Posted on 17/10/2019 op Oerlemansblog

Veroordeling voor infecteren van computers met malware

De rechtbank Rotterdam heeft op 10 september 2019 uitspraak (ECLI:NL:RBROT:2019:7259) gedaan over een malwarezaak. Veroordelingen voor de verspreiding of vervaardiging van kwaadaardige software (malware) komen relatief weinig voor, wellicht omdat de daders zich vaak in het buitenland bevinden. Het vonnis is interessant vanwege het feitencomplex en de technische details die worden vermeld.

De rechtbank Rotterdam veroordeelt de verdachte voor computervredebreuk (artikel 138ab Sr), oplichting (artikel 326 Sr), identiteitsfraude (artikel 231b Sr) en het voorhanden hebben van de malware (technisch hulpmiddel) en toegangscodes voor het plegen van computervredebreuk (artikel 139d lid 2 sub a Sr). De verdachte krijgt een straf opgelegd van twee jaar, waarvan zes maanden voorwaardelijk.

De verdachte heeft op grote schaal computers met malware geïnfecteerd, waardoor het mogelijk werd de computers ‘over te nemen’ en o.a. inloggegevens (gebruikersnamen en wachtwoorden) te verkrijgen. De verdachte maakte de infectie mogelijk door de slachtoffers te verleiding tot het klikken op een uitnodigende link op een website. Ook stuurde hij valse e-mails met daarin een link in naam van PostNL en Intrum Justitia. Bij het bezoeken van de website werden zeker tientallen computers met malware geïnfecteerd. De verdachte heeft vervolgens met overgenomen inloggevens ingelogd op de accounts van de slachtoffers om bijvoorbeeld bestellingen te plaatsen. Hij heeft ook toegang verkregen tot persoonlijke documenten, waaronder CV’s, kopieën paspoort en salarisspecificaties.  De verdachte heeft ook gegevens over de slachtoffers verkregen door een “simkaartwissel” aan te vragen, waarmee de voor het online overboeken vereiste TAN-codes werden ontvangen.

Op deze wijze werden ook ING en de betreffende telecomproviders opgelicht. De vorderingen van de banken van bijna 80.000 euro is door de rechtbank toegewezen. Het onderzoek is gaan lopen door aangifte van de ING, waarbij een verdacht IP-adres als bewijsmateriaal werd aangedragen. Via het Centraal Informatiepunt Onderzoeken Telecommunicatie (CIOT) is de tenaamstelling van het IP-adres achterhaald, wat leidde tot het adres waar ook de verdachte bleek te wonen. Bij de verdachte is een IP-tap gezet en digitaal onderzoek tijdens de doorzoeking van de woning van de verdachte uitgevoerd. Het vonnis vermeld dat daarbij is vastgesteld op welke wijze de verdachte de malware aanstuurde.

De verdediging stelde dat sprake was van een vormverzuim, omdat gebruik is gemaakt van informatie die afkomstig is uit een gelekte database. De rechtbank verwerpt dit verweer, omdat niet kan worden vastgesteld dat de ING de gegevens uit een gelekte database heeft verkregen of strafbare feiten heeft begaan. Daar komt nog bij dat de gegevens die ING met behulp van de uitgelekte database heeft weten te achterhalen, geen doorslaggevende rol hebben gespeeld bij het identificeren van de verdachte.

Handel in PayPal-accounts op het darkweb

De rechtbank Rotterdam heeft op 8 juli 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:6548) voor de handel in gehackte PayPal-accounts. Het delict in artikel 139d Sr werd bewezen geacht.

De verdachte kocht de inloggegevens van gehackte accounts via de site ‘blackpass’. Vervolgens bood hij diezelfde accounts te koop aan op verschillende handelsplatformen op het dark web. De verdachte heeft ter zitting verklaard dat hij die gegevens na aankoop alleen nog naar het handelsplatform hoefde te kopiëren en dat de transacties daarna volledig geautomatiseerd werden afgehandeld door het handelsplatform. Uit het onderzoek is gebleken dat de verdachte meer dan 13.000 accounts heeft verkocht.

Mede vanwege de persoonlijke omstandigheden van de verdachte en zijn proceshouding wordt hem een voorwaardelijke gevangenisstraf van 2 maanden en een taakstraf van 174 uur opgelegd.

Kaartlezer is geen technisch hulpmiddel

Het Hof Den Haag heeft op 9 september 2019 een verdachte veroordeeld (ECLI:NL:GHDHA:2019:2426) tot 80 uur taakstraf voor computervredebreuk, oplichting (artikel 326 Sr) en het voorhanden tot het voorhanden hebben van een technisch hulpmiddel voor het plegen van computervredebreuk (artikel 139d lid 2 sub a Sr). De verdachte is zijn OV-chipkaart, een geautomatiseerd werk, binnengedrongen. Daarmee heeft hij vervolgens het saldo op OV-chipkaarten verhoogd tot nagenoeg het maximale bedrag dat bij een refund kon worden uitgekeerd. Daarmee heeft de verdachte oplichting en computervredebreuk gepleegd.

Het arrest is vooral interessant, omdat het hof oordeelt dat de kaartschrijver/kaartlezer waarmee het saldo kon worden verhoogd niet kan worden beschouwd als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van de genoemde delicten. Evenmin blijkt dat de kaartschrijver/kaartlezer op enigerlei wijze voor dat doel is aangepast. Dit leidt tot het oordeel van het hof dat de kaartschrijver/kaartlezer – op zichzelf beschouwd – niet als technisch hulpmiddel in de zin van artikel 139d Sr kan worden aangemerkt.

De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Veroordelingen voor kinderporno

Op 22 juli 2019 heeft de rechtbank Gelderland een ex-militair vrijgesproken (ECLI:NL:RBGEL:2019:3456) van het bezit van kinderpornografie. Na forensisch onderzoek werden 17 kinderpornografische afbeeldingen teruggevonden in de ‘Temporary Internet files’. De vier afbeeldingen uit de tenlastelegging werden gevonden in de ‘deleted files’. Deleted files zijn bestanden die zonder speciaal daartoe bestemde software niet meer eenvoudig door de gebruiker zijn te benaderen. Volgens vaste jurisprudentie kan ten aanzien van bestanden met kinderporno die aangemerkt zijn als ‘deleted’ dan ook niet het “bezit” in de zin van artikel 240b van het Wetboek van strafrecht worden aangenomen. Niet is gebleken dat verdachte beschikte over speciale software via welke de afbeeldingen voor hem toegankelijk waren.

De verdachte heeft op enig moment de bestanden op zijn computer gehad, maar ook op enig moment weer verwijderd. Uit de bewijsmiddelen kan echter niet worden herleid wanneer verdachte de afbeeldingen heeft gedownload, of wanneer hij deze heeft verwijderd. Dit leidt tot de conclusie dat niet bewezen kan worden dat verdachte de in de tenlastelegging genoemde afbeeldingen in de ten laste gelegde periode in zijn bezit heeft gehad. De militaire kamer heeft verdachte daarom vrijgesproken van het ten laste gelegde bezit, de verspreiding of het toegang verschaffen tot kinderpornografische afbeeldingen in de ten laste gelegde periode.

Op 10 september 2019 heeft de rechtbank Overijssel een 20-jarige man veroordeeld (ECLI:NL:RBOVE:2019:3214) tot twee jaar gevangenisstraf en tbs met dwangverpleging voor het seksueel misbruik van jonge meisjes en het maken, bezitten en verspreiden van kinderporno.

De verdachte heeft via het darkweb ‘een zeer omvangrijke hoeveelheid kinderporno’ verspreid. Daar komt nog bij dat verdachte zelf ook foto’s heeft vervaardigd en verspreid, waarmee hij een actieve rol heeft gespeeld bij het in standhouden van kinderpornografie. In lekentaal overweegt de rechtbank dat de verdachte “op zeer professionele wijze zich begaf op het internet en in de digitale wereld” (..) Hij heeft daarbij opgetreden als ‘admin/global/moderator/producer in de organisatiestructuur op het darkweb.’

In een hele droevige zaak is een (destijds) 13-jarige jongen veroordeeld voor 40 uur taakstraf (ECLI:NL:RBOVE:2019:3530) en een (destijds) 14-jarig meisje is veroordeeld (ECLI:NL:RBOVE:2019:3531) tot een voorwaardelijke taakstraf van 40 uur voor het verspreiden van een naaktfoto van een 14-jarige jongen uit Enschede. Het slachtoffer had een naaktfoto verstuurd via Snapchat dat gekoppeld was aan het e-mailaccount van de verdachte. De foto werd via WhatsApp verstuurd naar de medeverdachte. Zij heeft vervolgens de foto van het slachtoffer op haar Instagramaccount gezet en hem daarbij getagd. Toen de foto bekend werd heeft het slachtoffer zelfmoord gepleegd door vanaf grote hoogte van een kamer in een flat af te springen.

De officier van justitie had besloten niet vervolgen voor ‘dood door schuld’, omdat uit het politieonderzoek was gebleken dat beide verdachten geen strafrechtelijke verantwoordelijkheid voor de dood van het [slachtoffer kon worden verweten. Vanwege het voorhanden hebben van een naaktfoto is door de officier van justitie besloten dat verdachte en de medeverdachte een voorwaardelijk sepot zouden krijgen en een onderhoud ten parkette. Door een klachtprocedure wegens het niet instellen van vervolging (de ‘artikel 12-procedure’ kwam het tot toch tot een strafzaak.

De verdachten zijn uiteindelijk veroordeeld voor het verspreiden van kinderporno (omdat het slachtoffer minderjarig is) en belediging omdat het slachtoffer in zijn eer en goede naam is aangetast. De verdachte verdient volgens de rechtbank een onvoorwaardelijke taakstraf voor het delen van de foto. Bij de straftoemeting heeft de rechtbank er wel rekening mee gehouden dat de feiten hebben plaatsgevonden toen verdachte nog zeer jong was en hij de gevolgen niet goed heeft kunnen overzien.

Veroordeling voor het voor handen hebben van ‘jammers’

Het Hof Den Haag heeft op 25 augustus 2019 een verdachte vooroordeeld (ECLI:NL:GHDHA:2019:2385) voor het voorhanden hebben van ‘jammers’ (stoorzenders die telefoon- en internetverkeer plaatselijk onmogelijk maken). Aan één van de binnenwanden van de laadruimte van de bus waarin hennepafval werd vervoerd was een jammer bevestigd. In het dashboardkastje werd een identieke jammer gevonden. Dat is strafbaar op grond van artikel 350d jo 350c Sr. Er zijn hier niet zoveel uitspraken over, dus dat maakt de zaak interessant.

Het hof is ‘van oordeel dat jammers – die naar hun aard geen andere bestemming kennen dan het verstoren van telecommunicatie – in het criminele circuit worden gebruikt om ontdekking van criminele activiteiten te bemoeilijken. In dat licht bezien past het bij het door de verdachte vervoeren van het afval van een hennepkwekerij dat hij daarbij gebruik kon maken van jammers en dat die met dat doel zich in de door hem gebruikte bus bevonden.’ Het hof neemt daarbij in aanmerking dat de verdachte geen verklaring gegeven die de feiten konden ontzenuwen. De verdachte krijgt een taakstraf van 40 uur opgelegd.

Zoekwoorden voor vergiftiging en ‘find my iphone’ & voorbedachte rade

Het Hof Amsterdam heeft op 12 juli 2019 een verdachte veroordeeld (ECLI:NL:GHAMS:2019:2497) voor het medeplegen van moord en wegmaken van het stoffelijk overschot van het slachtoffer. Zoekwoorden op internet die zijn gevonden op de inbeslaggenomen tablet van de verdachte hebben (onder andere) geleid tot de bewezenverklaring van het vereiste ‘voorbedachte rade’.

De verdachte kreeg te maken met het slachtoffer wiens karakter door TIA’s was veranderd. Zij wilde onbezorgd haar verdere leven kunnen leiden en heeft – getuige haar zoekslagen op internet tussen 10 juni en 14 juli 2015 over dood door landbouwgif, nekslag en slaan – onderzocht hoe het slachtoffer van het leven kon worden beroofd. Daarna heeft de verdachte gezocht niet alleen gezocht naar methoden om iemand om het leven te brengen, maar bovendien aan haar zus gevraagd of zij iemand wist die tegen een beloning het slachtoffer van het leven kon beroven. Toen zij niemand konden vinden, hebben zij het slachtoffer door verstikking om het leven gebracht. De verdachte wordt veroordeeld tot 17,5 jaar gevangenisstraf.

Het Hof Amsterdam heeft daarnaast op 27 september 2019 ook een verdachte vooroordeeld (ECLI:NL:GHAMS:2019:3502) voor 16 jaar gevangenisstraf voor de moord op zijn vriendin door haar dood te schieten. De voorbedachte rade werd hier (onder andere) bewezen, omdat de inlogde op het Facebook-account van het slachtoffer en op de dag waarop zij om het leven werd gebracht haar iCloud-omgeving, waar hij  ‘find my iPhone’ en haar agenda gebruikte om te achterhalen waar het slachtoffer was. Het was bekend dat de verdachte dit deed, omdat hij was ingelogd op zijn Hotmailaccount.

Internetoplichting en gewoontewitwassen

De rechtbank Rotterdam heeft op 28 augustus 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:6965) voor 15 maanden gevangenisstraf (waarvan 5 voorwaardelijk), voor de oplichting van 414 personen. Hij heeft een webshop opgezet en zich als bonafide verkoper voorgedaan. De beloofde goederen zijn niet geleverd. Nu niet alle consumenten aangifte doen van internetfraude en van enige levering aan wie dan ook niet gebleken is, gaat de rechtbank er zonder meer van uit dat het gehele bedrag van € 200.400,01 ziet op door oplichting verkregen gelden.

In totaal is door de kopers meer dan 200.000 euro uit criminele herkomst gestort op twee bankrekeningen waarover verdachte de beschikking had. Door anderen is het geld steeds gepind. Ook heeft de verdachte geld van deze bankrekeningen doorgesluisd naar de medeverdachten. De gelden zijn, al dan niet na doorbetaling naar andere rekeningen, al dan niet met een versluierde omschrijving, grotendeels contant gemaakt. Door deze handelingen kon het delict witwassen worden bewezen.

Brief voortgang aanpak cybercrime gepubliceerd

Posted on 13 juni 2019 op Oerlemansblog

Op 12 juni 2019 heeft minister Grapperhaus een Kamerbrief (.pdf) verstuurd over de aanpak van Cybercrime. In 2018 zijn dat volgens het CBS 299 reguliere en 43 complexe opsporingsonderzoeken gerealiseerd, waarbij de ambitie 310 respectievelijk 50 onderzoeken betrof. In de afgelopen jaren was steeds sprake van een stijgende lijn in het aantal opsporingsonderzoeken. Ook laten voorlopige cijfers een verhoogd aantal ophelderingen en registraties van verdachten van computervredebreuk zien. Het is verder interessant te lezen dat voor het eerste de nieuwe hackbevoegdheid uit artikel 126nba Sv is ingezet bij het ‘offline halen van één van de grootste online mixers voor cryptovaluta’.

In de Kamerbrief wordt een overzicht gegeven van de maatregelen die regering heeft genomen om cybercrime beter te bestrijden. Zo wordt geïnvesteerd in de opsporingsmogelijkheden van de politie, kennisontwikkeling binnen het Openbaar Ministerie, publieksvoorlichting en ondersteuning van het lokaal bestuur op het gebied van cybercrime.

De minister geeft aan dat wordt ingezet op een preventieve aanpak van online seksueel kindermisbruik. Zo wordt een expertmeeting voor professionals van scholen, (jeugd)zorg en de strafrechtketen gehouden om de aanpak van de negatieve effecten van sexting te verbeteren. Daarnaast wordt de aanpak van downloaders van kinderporno geïntensiveerd en is de publiek-private samenwerking versterkt om kinderpornografische content sneller van internet te laten verwijderen.

Ten slotte zet de minister in op een bestuursrechtelijke aanpak, om bedrijven die kinderporno niet accuraat verwijderen met een bestuursrechtelijk handhavingsinstrumentarium hiertoe te dwingen. In de Wet computercriminaliteit is nu juist het Take down-bevel in artikel 126p Sv geïntroduceerd voor die gevallen dat bedrijven niet vrijwillige meewerken aan het offline halen van illegaal materiaal. Ik ben benieuwd hoe het bovenstaande zich hiermee verhoudt, maar het kan goed zijn dat het parallelle trajecten zijn om kinderporno te bestrijden.

Cybercrime jurisprudentieoverzicht – oktober 2018

Posted on 15/10/2018

Naar inmiddels goed gebruik heb ik weer een overzichtje gemaakt van opvallende jurisprudentie op het gebied van cybercrime. In het overzicht zit wederom een zaak over (grootschalige) drugshandel en witwassen met interessante bewijsoverwegingen. Daarop volgt een zaak over fraude met internetbankieren via de ING met leuke technische details, een zaak waarbij rechters hun visie geven op de (incidenteel terugkerende) vraag of het bezit van mangaporno strafbaar is en de (reeds in de media al breed uitgemeten) zaak over het hacken van een rioolinstallatie.

Drugshandel via het darkweb en witwassen

Op 18 september 2018 is een 32-jarige man uit Maastricht door de Rechtbank Overijssel veroordeeld (ECLI:NL:RBOVE:2018:3394) voor handel in hard- en softdrugs via het darkweb, witwassen via bitcoins en het bezit van hard- en softdrugs. Hij is veroordeeld tot een gevangenisstraf van vier jaar, waarvan één jaar voorwaardelijk met een proeftijd van drie jaar en bijzondere voorwaarden. Daarnaast moet hij 21.492,50 euro aan de Staat betalen als ontneming. Een medeverdachte in het onderzoek ‘26Maywood’ is tevens veroordeeld (ECLI:NL:RBOVE:2018:3395) tot een taakstraf van 240 uur en een voorwaardelijke gevangenisstraf met proefschrift, voor het witwassen van grote hoeveelheden bitcoins, met vermoedelijk een illegale herkomst, tegen contant geld.

De hoofdverdachte rekende een commissie van 10% voor het omzetten van de bitcoins tegen contant geld voor een totaalbedrag aan € 208.420,-. Hij had wetenschap dat de bitcoins onder meer afkomstig waren uit drugshandel. De verdachte handelde ook zelf in XTC en cocaïne via het darkweb en heeft deze XTC en cocaïne naar het buitenland per post verzonden.

Het bewijs is onder andere verzameld via een pseudokoop van de drugs, de analyses op de postpakketten en enveloppen, de analyse van bitcoin wallets op smartphones, foto’s op het scherm van de mobiele telefoon met daarop Whatsapp-gesprekken en onderzoek aan inbeslaggenomen laptops van de verdachte.

Veroordeling voor phishing

Op 25 september 2018 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2018:2488) voor computervredebreuk, oplichting, deelname aan een criminele organisatie en diefstal via een nepwebsite voor internetbankieren. De verdachte krijgt een gevangenisstraf opgelegd van 18 maanden, waarvan 7 maanden voorwaardelijk en een proeftijd van twee jaar.

De verdachten hebben een e-mail verstuurd naar slachtoffers, waarbij zij zich voordeden als de ING-bank. Via een hyperlink in deze e-mail werden de slachtoffers naar een “phishing-website” geleid. De website leek sterk op de officiële ING-webpagina, waarna de slachtoffers werd gevraagd om op deze pagina diverse persoonlijke (bank)gegevens in te vullen. Dankzij deze gegevens konden degenen achter dit “phishing” traject inloggen op de ING-internetbankier-omgeving van de aangevers en kennisnemen van onder meer de aard van de bankrekeningen (betaal- en/of spaarrekening) en de daarmee corresponderende saldogegevens van de betrokkenen. Het Hof overweegt in het arrest dat op dat moment sprake is van het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk, en daarom van het delict computervredebreuk (art. 138ab Sr).

De daders logden in op de rekeningen van de slachtoffers, waarbij het IP-adres werd vastgelegd van een Apple MacBook, waarvan later bleek dat de verdachten gebruik van maakten, met telkens dezelfde ‘User Agent’. Het IP-adres kon worden gekoppeld aan het (adres) waarop een verdachte tijdens de strafbare gedragingen verbleef. Interessant is dat de verdachte in dit geval geen toegang wilde geven tot zijn MacBook Pro dat was versleuteld met ‘FileVault’. Blijkbaar kon de politie geen toegang krijgen tot deze laptop van de verdachte, maar wel is bewezen dat de verdachte van dezelfde laptop gebruik maakte om de inloggegevens van de verdachten te vergaren. Dat is gebeurd door op listige wijze de wificode van slachtoffers te verkrijgen, waarbij vervolgens is ingelogd op de wifirouter van de slachtoffers. Vervolgens is met gebruikmaking van de inloggegevens van de slachtoffers ingelogd op de ING webserver en hier vandaan betalingen verricht ten laste van de aangevers. Het staat niet expliciet vermeld in de uitspraak, maar het is hoogstwaarschijnlijk voor de bewijsvoering ook digitaal forensisch onderzoek aan de wifi-routers uitgevoerd.

Volgens het Hof is ook sprake van deelname een criminele organisatie vanwege een gestructureerd samenwerkingsverband met een zekere duurzaamheid en continuïteit tussen de verdachte en anderen, die tot oogmerk had om door middel van “phishing” en oplichting de bankrekeningen van slachtoffers leeg te halen (diefstal).

Vrijspraak voor bezit van “manga-porno”

Op 31 augustus 2018 heeft de rechtbank Noord-Nederland (ECLI:NL:RBNNE:2018:3579) een verdachte vrijgesproken van computervredebreuk, dwang en bezit van kinderporno, maar veroordeeld voor 40 uur taakstraf vanwege het voorhanden hebben van een ‘Remote Access Trojan’ (RAT)-bestand (art. 139d Sr).

Uit de verklaring van de verdacht blijkt dat hij deze bestanden naar verschillende personen heeft verzonden met het oogmerk om computervredebreuk te plegen en om gegevens af te tappen, namelijk door het meekijken via een webcam. Het voorhanden hebben van RAT-bestanden met dit oogmerk acht de rechtbank daarom bewezen.

De uitspraak is echter vooral opvallend, omdat de officier van justitie het bezig van kinderporno ten laste had gelegd, mede vanwege het bezit van ‘manga’s’. Manga zijn cartoontekeningen die in een bepaalde Japanse stijl zijn gemaakt. De erotische vorm daarvan heet overigens ‘hentai’, waarbij dikwijls zogenaamd minderjarigen seksuele handelingen verrichten. De rechtbank heeft kennisgenomen van de cartoontekeningen die in de collectiescan zijn opgenomen. De rechtbank overweegt dat virtuele kinderpornografie strafbaar is, indien er sprake is van een realistische, niet van echt te onderscheiden afbeelding. De rechtbank is van oordeel dat de in de selectie opgenomen manga’s niet als realistisch zijn aan te merken, in welk geval deze niet van echte afbeeldingen te onderscheiden zouden zijn geweest. De rechtbank vindt ook dat met betrekking tot de overige afbeeldingen de (kennelijke) minderjarigheid, dan wel de seksuele strekking van de gedragingen, niet blijken. De rechtbank spreekt de verdachte daarom vrij van dit ernstige zedendelict.

Veroordeling voor hack rioolinstallatie

De rechtbank Midden-Nederland heeft op 13 september 2018 een verdachte veroordeeld (ECLI:NL:RBROT:2018:4380) voor het hacken van de rioolinstallatie van de gemeente Lopik. De verdachte heeft na het inloggen op de server van de rioolinstallatie een aanzienlijke hoeveelheid bestanden gewist. De rioolinstallatie kon daardoor enige tijd niet correct worden aangestuurd. Een paar maanden later heeft de verdachte via datzelfde programma rioolafsluiters dichtgezet en rioleringspompen aangezet en de daaropvolgende storingsmelding genegeerd, als gevolg waarvan ernstige schade aan de rioolinstallatie van de gemeente had kunnen ontstaan.

Bij een gedraging als deze kan een ‘gemeen gevaar voor het leveren van diensten’ ontstaan. Bij een rioolwatervoorziening is daarvan sprake, omdat het een dienst van algemene nutte is. Daarop kan artikel 161sexies onderdeel 1 Sr ten laste worden gelegd. Dat is een misdrijf waarop een maximale gevangenisstraf van zes jaar kan worden opgelegd. De technische bewijsoverwegingen uit de uitspraak zijn ook wel interessant. De verdachte werd overigens relatief eenvoudig geïdentificeerd via het niet-afgeschermde IP-adres van zijn computer waarmee hij met het Remote Desktop Protocol verbinding met de server maakte. De verbindingen werden gelogd, waardoor het IP-adres en de gebruikersnaam waarmee werd ingelogd zijn vastgelegd. Na het vorderen van de gebruikersgegevens en het identificeren van de vermoedelijke woning van de verdachte, werd in de woning van de man een briefje gevonden met gebruikersnamen en wachtwoorden waarmee is ingelogd. Bewijs werd ook geleverd aan de hand locatiegegevens van de mobiele telefoon van de verdachte en een internettap.

Bij het bepalen van de straf heeft de rechtbank rekening gehouden met straffen die in soortgelijke strafzaken worden opgelegd en met het feit dat de man ZZP’er is en een gezin met twee kinderen moet onderhouden. De verdachte krijgt – vergeleken met de ernst van het delict de mijns inziens milde – maximale taakstraf opgelegd gekregen van 240 uur.

Cybercrime jurisprudentieoverzicht – juni 2018

Posted on 18/06/2018

Dit jaar kom ik steeds meer strafzaken te maken die te maken hebben met cybercrime. Het wordt zo langzamerhand een uitdaging alles bij te houden. Ik heb een selectie gemaakt van de zaken van de afgelopen drie maanden en hieronder op een rijtje gezet.

Uitspraak over het gebruik van PGP berichten

De Amsterdamse topcrimineel Naoufal ‘Noffel’ F. is door de Rechtbank Amsterdam op 19 april 2018 veroordeeld (ECLI:NL:RBAMS:2018:2504) tot 18 jaar gevangenisstraf. De zaak is voor deze rubriek relevant, omdat de politie en het Openbaar Ministerie voor de bewijsvoering gebruik hebben gemaakt van grootschalige data-analyse technieken op een server met PGP-berichten die met speciale Blackberry’s werden verstuurd. De Rechtbank acht het gebruik van deze gegevens toelaatbaar. Het Openbaar Ministerie heeft de gegevens op de server op een rechtmatige manier via rechtshulp van Canada verkregen met een bevel op grond van artikel 126ng lid 2 Sv (het vorderen van opgeslagen gegevens bij elektronische communicatieaanbieders). De gegevens zijn bovendien op een rechtmatige manier geanalyseerd door het NFI met het geavanceerde ‘Hansken-systeem’.

De rechters stellen vast dat de onderzoekers zich bij de analyse niet hebben gehouden aan het vooraf opgezette zoekplan en dat er extra steekwoorden zijn gebruikt om tot bewijs te komen. Er worden geen sancties verbonden aan dit vormverzuim. Het Openbaar Ministerie is volgens de rechtbank voldoende zorgvuldig geweest met de geheimhoudercommunicatie, alhoewel het niet de geïdentificeerde geheimhoudercommunicatie terstond heeft vernietigd.

Arrest gewezen in Jumbo afpersing zaak

Op 20 april 2018 heeft het Hof Arnhem-Leeuwarden arrest gewezen (Hof Arnhem-Leeuwarden 20 april 2018, ECLI:NL:GHARL:2018:3737) in de ‘Jumbo-afpersingszaak’. De bedreiger plaatste in 2015 explosieven Jumbo-supermarktketen, waarvan één explosief is afgegaan. Voor het versturen van de mailberichten maakte hij gebruik van het Tor-netwerk en een proxydienst (freeproxy.net). Ook verstuurde hij een bombrief. Daarbij werden 2000 bitcoins als losgeld geëist. De verdachte is geïdentificeerd aan de van DNA-materiaal op de postzegel van een bombrief. Ook was de user-agent in de dreigmail overeenkomstig de user-agent in de TOR-browser op de in beslag genomen computer. Hij is in hoger beroep veroordeeld tot 10 jaar gevangenisstraf.

Hacker van BN-ers veroordeeld

Op 16 mei 2018 is door de Rechtbank Amsterdam een verdachte veroordeeld (ECLI:NL:RBAMS:2018:3297) voor het hacken van de o.a. de ‘online accounts’ van bekende Nederlanders. De hacker bleek amateuristisch te werk te gaan, omdat er steeds werd ingelogd op de accounts door een iPhone vanaf een IP-adres dat stond geregistreerd op het woonadres van de verdachte. Met de daaropvolgende doorzoeking is de verdachte geïdentificeerd en is het benodigde bewijsmateriaal op computers in beslag genomen. De verdachte is veroordeeld tot één jaar gevangenisstraf, waarvan zes maanden voorwaardelijk en een proeftijd van drie jaar.

Lid van beruchte ‘LizardSquad’ veroordeeld

‘LizardSquad’ is de naam van een hackergroep die voornamelijk in 2014 ddos-aanvallen uitvoerde op gamingplatforms, zoals Xbox Live en PlayStation Network. Op 17 mei 2018 is een Nederlandse verdachte die door de rechtbank Den Haag veroordeeld (ECLI:NL:RBDHA:2018:5775) voor een taakstraf van 180 uur.

De verdachte is door de FBI geïdentificeerd op basis van onder meer een Skype-account waarvan telkens werd gebeld. Ook heeft de politie de gebruikersgegevens van het Twitteraccount achterhaald waar de verdachte gebruik van maakte. Het IP-adres was door KPN uitgegeven aan de internetaansluiting van de moeder van de verdachte. Zij woonden beiden op hetzelfde adres. Dat IP-adres was ook aan de dos-aanvallen te linken, omdat de verdachte daarmee zes keer verbinding maakte met een webserver waar een internettap op stond waarbij voor de ddos-aanvallen werd geadverteerd. De verdachte gaf aan dat hij de ‘support tickets’ voor de website behandelde en daarmee vragen van gebruikers heeft beantwoord. Voor deze bijdrage aan een criminele organisatie is hij veroordeeld voor deelname aan een criminele organisatie (art. 140 Sr). Daarnaast is de verdachte veroordeeld voor “phonebombing” (art. 285 Sr) en het plegen van ddos-aanvallen (art. 138b, art. 161sexies en art. 350a Sr)

Teruggave van bestanden aan kinderpornoverdachte?

Op 3 mei 2018 heeft het Hof Den Haag een interessant arrest (ECLI:NL:GHDHA:2018:1074) gewezen over de inbeslagname van computers en de omgang met de daarop opgeslagen gegevens. In deze zaak heeft een kinderpornoverdachte verzocht om een kopie te maken van een specifieke selectie van niet-strafbare gegevensbestanden. De computer van de verdachte is inbeslaggenomen en onttrokken aan het verkeer, omdat daar 9 kinderpornoafbeeldingen op gevonden waren. De verdachte biedt aan met een externe schijf naar het politiebureau te komen, om daar in ieder geval zijn jeugdfoto’s en -films te kopiëren.

De Advocaat-Generaal was van mening dat het formeel strafrecht geen ruimte laat tot deze selectie van bestanden als een computer in beslag is genomen en wordt onttrokken aan het verkeer. Het Hof Den Haag beslist echter dat de wetgever bij de totstandkoming van de regeling over de inbeslagname van voorwerpen de wetgever zich nog geen mening heeft kunnen vormen over dit vraagstuk. Uit EHRM-jurisprudentie (zie ook mijn artikel met Sofie Royer) leidt het Hof af dat een rechter wel degelijk kan een selectie kan (laten) maken van de gegevens op een inbeslaggenomen computer.

Als een verdachte gemotiveerd verzoekt om verstrekking van duidelijk omschreven gegevensbestanden dan dient een belangenafweging plaatsvinden. Die afweging gaat tussen de strafvorderlijke en maatschappelijke belangen bij onttrekking enerzijds en de persoonlijke belangen van de verdachte bij behoud c.q. verkrijging van de verzochte gegevensbestanden anderzijds. Op basis daarvan moet worden beslist of het onderzoek of het om wel of niet-strafbaar materiaal gaat bij de teruggave geen onevenredige inspanning voor de politie met zich meebrengt.

Miljoenen met bitcoins witgewassen

Op 30 mei 2018 heeft de rechtbank Rotterdam negen verdachten in het onderzoek ‘Ijsberg’ veroordeeld voor gevangenisstraffen tussen de zes maanden en zes jaar voor het witwassen van bitcoins en drugshandel. De verdachten waren bijna allemaal bitcoinshandelaren.

In de onderhavige zaak (ECLI:NL:RBROT:2018:4291) kwam de verdachte via een advertentie op localbitcoins.com in contact met bitcoin verkopende klanten. Vervolgens werd er afgesproken in een openbare gelegenheid, zoals Starbucks, waarna de bitcoins tegen contant geld werden door de verdachte werden gekocht. De bitcoins werden vrijwel onmiddellijk na de inkoop via de Bitcoin exchangebedrijf Kraken weer verkocht. De bedragen dat op de bankrekeningen werden ontvangen werden daarna grotendeels in contant opgenomen om nieuwe bitcoins aan te schaffen. Een van de verdachten heeft binnen twee jaar tijd via exchanges 1,5 miljoen euro ontvangen en 1,4 miljoen euro gepind.

De rechtbank vermoed witwassen omdat de bitcoinhandelaar anonimiteit biedt aan zijn klanten en een (onredelijk hoge) commissie rekent voor zijn diensten. Ook komen de verdachten niet met een verklaring voor de herkomst van de bitcoins. Onderzoek van de FIOD laat zien dat de bitcoinportemonnees van de door de verdachte genoemde klanten voor een groot deel – ruim meer dan 50% – werden gevoed uit darkweb-markten. De verdachte kreeg twee jaar gevangenisstraf opgelegd, waarvan 8 maanden voorwaardelijk.