Cybercrime jurisprudentieoverzicht – oktober 2019

Posted on 17/10/2019 op Oerlemansblog

Veroordeling voor infecteren van computers met malware

De rechtbank Rotterdam heeft op 10 september 2019 uitspraak (ECLI:NL:RBROT:2019:7259) gedaan over een malwarezaak. Veroordelingen voor de verspreiding of vervaardiging van kwaadaardige software (malware) komen relatief weinig voor, wellicht omdat de daders zich vaak in het buitenland bevinden. Het vonnis is interessant vanwege het feitencomplex en de technische details die worden vermeld.

De rechtbank Rotterdam veroordeelt de verdachte voor computervredebreuk (artikel 138ab Sr), oplichting (artikel 326 Sr), identiteitsfraude (artikel 231b Sr) en het voorhanden hebben van de malware (technisch hulpmiddel) en toegangscodes voor het plegen van computervredebreuk (artikel 139d lid 2 sub a Sr). De verdachte krijgt een straf opgelegd van twee jaar, waarvan zes maanden voorwaardelijk.

De verdachte heeft op grote schaal computers met malware geïnfecteerd, waardoor het mogelijk werd de computers ‘over te nemen’ en o.a. inloggegevens (gebruikersnamen en wachtwoorden) te verkrijgen. De verdachte maakte de infectie mogelijk door de slachtoffers te verleiding tot het klikken op een uitnodigende link op een website. Ook stuurde hij valse e-mails met daarin een link in naam van PostNL en Intrum Justitia. Bij het bezoeken van de website werden zeker tientallen computers met malware geïnfecteerd. De verdachte heeft vervolgens met overgenomen inloggevens ingelogd op de accounts van de slachtoffers om bijvoorbeeld bestellingen te plaatsen. Hij heeft ook toegang verkregen tot persoonlijke documenten, waaronder CV’s, kopieën paspoort en salarisspecificaties.  De verdachte heeft ook gegevens over de slachtoffers verkregen door een “simkaartwissel” aan te vragen, waarmee de voor het online overboeken vereiste TAN-codes werden ontvangen.

Op deze wijze werden ook ING en de betreffende telecomproviders opgelicht. De vorderingen van de banken van bijna 80.000 euro is door de rechtbank toegewezen. Het onderzoek is gaan lopen door aangifte van de ING, waarbij een verdacht IP-adres als bewijsmateriaal werd aangedragen. Via het Centraal Informatiepunt Onderzoeken Telecommunicatie (CIOT) is de tenaamstelling van het IP-adres achterhaald, wat leidde tot het adres waar ook de verdachte bleek te wonen. Bij de verdachte is een IP-tap gezet en digitaal onderzoek tijdens de doorzoeking van de woning van de verdachte uitgevoerd. Het vonnis vermeld dat daarbij is vastgesteld op welke wijze de verdachte de malware aanstuurde.

De verdediging stelde dat sprake was van een vormverzuim, omdat gebruik is gemaakt van informatie die afkomstig is uit een gelekte database. De rechtbank verwerpt dit verweer, omdat niet kan worden vastgesteld dat de ING de gegevens uit een gelekte database heeft verkregen of strafbare feiten heeft begaan. Daar komt nog bij dat de gegevens die ING met behulp van de uitgelekte database heeft weten te achterhalen, geen doorslaggevende rol hebben gespeeld bij het identificeren van de verdachte.

Handel in PayPal-accounts op het darkweb

De rechtbank Rotterdam heeft op 8 juli 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:6548) voor de handel in gehackte PayPal-accounts. Het delict in artikel 139d Sr werd bewezen geacht.

De verdachte kocht de inloggegevens van gehackte accounts via de site ‘blackpass’. Vervolgens bood hij diezelfde accounts te koop aan op verschillende handelsplatformen op het dark web. De verdachte heeft ter zitting verklaard dat hij die gegevens na aankoop alleen nog naar het handelsplatform hoefde te kopiëren en dat de transacties daarna volledig geautomatiseerd werden afgehandeld door het handelsplatform. Uit het onderzoek is gebleken dat de verdachte meer dan 13.000 accounts heeft verkocht.

Mede vanwege de persoonlijke omstandigheden van de verdachte en zijn proceshouding wordt hem een voorwaardelijke gevangenisstraf van 2 maanden en een taakstraf van 174 uur opgelegd.

Kaartlezer is geen technisch hulpmiddel

Het Hof Den Haag heeft op 9 september 2019 een verdachte veroordeeld (ECLI:NL:GHDHA:2019:2426) tot 80 uur taakstraf voor computervredebreuk, oplichting (artikel 326 Sr) en het voorhanden tot het voorhanden hebben van een technisch hulpmiddel voor het plegen van computervredebreuk (artikel 139d lid 2 sub a Sr). De verdachte is zijn OV-chipkaart, een geautomatiseerd werk, binnengedrongen. Daarmee heeft hij vervolgens het saldo op OV-chipkaarten verhoogd tot nagenoeg het maximale bedrag dat bij een refund kon worden uitgekeerd. Daarmee heeft de verdachte oplichting en computervredebreuk gepleegd.

Het arrest is vooral interessant, omdat het hof oordeelt dat de kaartschrijver/kaartlezer waarmee het saldo kon worden verhoogd niet kan worden beschouwd als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van de genoemde delicten. Evenmin blijkt dat de kaartschrijver/kaartlezer op enigerlei wijze voor dat doel is aangepast. Dit leidt tot het oordeel van het hof dat de kaartschrijver/kaartlezer – op zichzelf beschouwd – niet als technisch hulpmiddel in de zin van artikel 139d Sr kan worden aangemerkt.

De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Veroordelingen voor kinderporno

Op 22 juli 2019 heeft de rechtbank Gelderland een ex-militair vrijgesproken (ECLI:NL:RBGEL:2019:3456) van het bezit van kinderpornografie. Na forensisch onderzoek werden 17 kinderpornografische afbeeldingen teruggevonden in de ‘Temporary Internet files’. De vier afbeeldingen uit de tenlastelegging werden gevonden in de ‘deleted files’. Deleted files zijn bestanden die zonder speciaal daartoe bestemde software niet meer eenvoudig door de gebruiker zijn te benaderen. Volgens vaste jurisprudentie kan ten aanzien van bestanden met kinderporno die aangemerkt zijn als ‘deleted’ dan ook niet het “bezit” in de zin van artikel 240b van het Wetboek van strafrecht worden aangenomen. Niet is gebleken dat verdachte beschikte over speciale software via welke de afbeeldingen voor hem toegankelijk waren.

De verdachte heeft op enig moment de bestanden op zijn computer gehad, maar ook op enig moment weer verwijderd. Uit de bewijsmiddelen kan echter niet worden herleid wanneer verdachte de afbeeldingen heeft gedownload, of wanneer hij deze heeft verwijderd. Dit leidt tot de conclusie dat niet bewezen kan worden dat verdachte de in de tenlastelegging genoemde afbeeldingen in de ten laste gelegde periode in zijn bezit heeft gehad. De militaire kamer heeft verdachte daarom vrijgesproken van het ten laste gelegde bezit, de verspreiding of het toegang verschaffen tot kinderpornografische afbeeldingen in de ten laste gelegde periode.

Op 10 september 2019 heeft de rechtbank Overijssel een 20-jarige man veroordeeld (ECLI:NL:RBOVE:2019:3214) tot twee jaar gevangenisstraf en tbs met dwangverpleging voor het seksueel misbruik van jonge meisjes en het maken, bezitten en verspreiden van kinderporno.

De verdachte heeft via het darkweb ‘een zeer omvangrijke hoeveelheid kinderporno’ verspreid. Daar komt nog bij dat verdachte zelf ook foto’s heeft vervaardigd en verspreid, waarmee hij een actieve rol heeft gespeeld bij het in standhouden van kinderpornografie. In lekentaal overweegt de rechtbank dat de verdachte “op zeer professionele wijze zich begaf op het internet en in de digitale wereld” (..) Hij heeft daarbij opgetreden als ‘admin/global/moderator/producer in de organisatiestructuur op het darkweb.’

In een hele droevige zaak is een (destijds) 13-jarige jongen veroordeeld voor 40 uur taakstraf (ECLI:NL:RBOVE:2019:3530) en een (destijds) 14-jarig meisje is veroordeeld (ECLI:NL:RBOVE:2019:3531) tot een voorwaardelijke taakstraf van 40 uur voor het verspreiden van een naaktfoto van een 14-jarige jongen uit Enschede. Het slachtoffer had een naaktfoto verstuurd via Snapchat dat gekoppeld was aan het e-mailaccount van de verdachte. De foto werd via WhatsApp verstuurd naar de medeverdachte. Zij heeft vervolgens de foto van het slachtoffer op haar Instagramaccount gezet en hem daarbij getagd. Toen de foto bekend werd heeft het slachtoffer zelfmoord gepleegd door vanaf grote hoogte van een kamer in een flat af te springen.

De officier van justitie had besloten niet vervolgen voor ‘dood door schuld’, omdat uit het politieonderzoek was gebleken dat beide verdachten geen strafrechtelijke verantwoordelijkheid voor de dood van het [slachtoffer kon worden verweten. Vanwege het voorhanden hebben van een naaktfoto is door de officier van justitie besloten dat verdachte en de medeverdachte een voorwaardelijk sepot zouden krijgen en een onderhoud ten parkette. Door een klachtprocedure wegens het niet instellen van vervolging (de ‘artikel 12-procedure’ kwam het tot toch tot een strafzaak.

De verdachten zijn uiteindelijk veroordeeld voor het verspreiden van kinderporno (omdat het slachtoffer minderjarig is) en belediging omdat het slachtoffer in zijn eer en goede naam is aangetast. De verdachte verdient volgens de rechtbank een onvoorwaardelijke taakstraf voor het delen van de foto. Bij de straftoemeting heeft de rechtbank er wel rekening mee gehouden dat de feiten hebben plaatsgevonden toen verdachte nog zeer jong was en hij de gevolgen niet goed heeft kunnen overzien.

Veroordeling voor het voor handen hebben van ‘jammers’

Het Hof Den Haag heeft op 25 augustus 2019 een verdachte vooroordeeld (ECLI:NL:GHDHA:2019:2385) voor het voorhanden hebben van ‘jammers’ (stoorzenders die telefoon- en internetverkeer plaatselijk onmogelijk maken). Aan één van de binnenwanden van de laadruimte van de bus waarin hennepafval werd vervoerd was een jammer bevestigd. In het dashboardkastje werd een identieke jammer gevonden. Dat is strafbaar op grond van artikel 350d jo 350c Sr. Er zijn hier niet zoveel uitspraken over, dus dat maakt de zaak interessant.

Het hof is ‘van oordeel dat jammers – die naar hun aard geen andere bestemming kennen dan het verstoren van telecommunicatie – in het criminele circuit worden gebruikt om ontdekking van criminele activiteiten te bemoeilijken. In dat licht bezien past het bij het door de verdachte vervoeren van het afval van een hennepkwekerij dat hij daarbij gebruik kon maken van jammers en dat die met dat doel zich in de door hem gebruikte bus bevonden.’ Het hof neemt daarbij in aanmerking dat de verdachte geen verklaring gegeven die de feiten konden ontzenuwen. De verdachte krijgt een taakstraf van 40 uur opgelegd.

Zoekwoorden voor vergiftiging en ‘find my iphone’ & voorbedachte rade

Het Hof Amsterdam heeft op 12 juli 2019 een verdachte veroordeeld (ECLI:NL:GHAMS:2019:2497) voor het medeplegen van moord en wegmaken van het stoffelijk overschot van het slachtoffer. Zoekwoorden op internet die zijn gevonden op de inbeslaggenomen tablet van de verdachte hebben (onder andere) geleid tot de bewezenverklaring van het vereiste ‘voorbedachte rade’.

De verdachte kreeg te maken met het slachtoffer wiens karakter door TIA’s was veranderd. Zij wilde onbezorgd haar verdere leven kunnen leiden en heeft – getuige haar zoekslagen op internet tussen 10 juni en 14 juli 2015 over dood door landbouwgif, nekslag en slaan – onderzocht hoe het slachtoffer van het leven kon worden beroofd. Daarna heeft de verdachte gezocht niet alleen gezocht naar methoden om iemand om het leven te brengen, maar bovendien aan haar zus gevraagd of zij iemand wist die tegen een beloning het slachtoffer van het leven kon beroven. Toen zij niemand konden vinden, hebben zij het slachtoffer door verstikking om het leven gebracht. De verdachte wordt veroordeeld tot 17,5 jaar gevangenisstraf.

Het Hof Amsterdam heeft daarnaast op 27 september 2019 ook een verdachte vooroordeeld (ECLI:NL:GHAMS:2019:3502) voor 16 jaar gevangenisstraf voor de moord op zijn vriendin door haar dood te schieten. De voorbedachte rade werd hier (onder andere) bewezen, omdat de inlogde op het Facebook-account van het slachtoffer en op de dag waarop zij om het leven werd gebracht haar iCloud-omgeving, waar hij  ‘find my iPhone’ en haar agenda gebruikte om te achterhalen waar het slachtoffer was. Het was bekend dat de verdachte dit deed, omdat hij was ingelogd op zijn Hotmailaccount.

Internetoplichting en gewoontewitwassen

De rechtbank Rotterdam heeft op 28 augustus 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:6965) voor 15 maanden gevangenisstraf (waarvan 5 voorwaardelijk), voor de oplichting van 414 personen. Hij heeft een webshop opgezet en zich als bonafide verkoper voorgedaan. De beloofde goederen zijn niet geleverd. Nu niet alle consumenten aangifte doen van internetfraude en van enige levering aan wie dan ook niet gebleken is, gaat de rechtbank er zonder meer van uit dat het gehele bedrag van € 200.400,01 ziet op door oplichting verkregen gelden.

In totaal is door de kopers meer dan 200.000 euro uit criminele herkomst gestort op twee bankrekeningen waarover verdachte de beschikking had. Door anderen is het geld steeds gepind. Ook heeft de verdachte geld van deze bankrekeningen doorgesluisd naar de medeverdachten. De gelden zijn, al dan niet na doorbetaling naar andere rekeningen, al dan niet met een versluierde omschrijving, grotendeels contant gemaakt. Door deze handelingen kon het delict witwassen worden bewezen.

Cybercrime jurisprudentieoverzicht – december 2018

Posted on 14/12/2018 op Oerlemansblog

De Rechtbank Groningen en Den Haag en het parket Noord-Holland hebben in november en december 2018 een themazitting cybercrime gehouden. Daarop volgende ook enige media-aandacht.

Wat een goed initiatief! Door dit soort themazittingen krijgen rechters en andere betrokken organisaties in de strafrechtketen meer ervaring met cybercrime. Het laat ook zien dat cybercrime een veel voorkomende vorm van criminaliteit is, dat ook via het reguliere strafrecht moet worden aangepakt (zeker voor zover het gaat om gedigitaliseerde criminaliteit (cybercrime in brede zin)).

Hieronder volgt een overzicht van cybercrimezaken die in mij in de afgelopen maanden opgevallen. Daarbij geef ik dit keer ook speciaal aandacht aan de digitale bewijsvoering in deze zaken (voor zover relevant).

1.     Aankoop van semtex via AlphaBay

De Rechtbank Amsterdam heeft op 23 augustus 2018 een man veroordeeld voor het bezit van vuurwapens. De zaak is echter vooral interessant vanwege de verweren van de raadsman van de verdachte.

De advocaat voert in deze zaak ter verdediging aan dat sprake was van uitlokking, omdat het dossier sterke aanwijzingen bevat dat de FBI zelf actief heeft geprobeerd om (nep)semtex te verkopen en hiertoe afspraken met de verdachte heeft gemaakt. De rechtbank verwerpt het verweer en legt uit dat van uitlokking pas sprake is als de verdachte door het handelen van de FBI tot andere handelingen is gebracht dan die waarop zijn opzet al was gericht. Hiervoor zijn geen aanwijzingen in het dossier. Interessant is ook de overweging:

“Hoewel de rechtbank net als de verdediging best wil aannemen dat de FBI als pseudo-verkoper van de semtex heeft gefungeerd, is daarmee niet zonder meer aannemelijk dat de FBI de koper ‘[naam]’ heeft gebracht tot handelen waar zijn opzet niet reeds op was gericht. In de beperkte informatie die de FBI heeft doorgegeven staat immers vermeld dat het onderzoek ermee is gestart dat deze [naam] op AlphaBay een verzoek had geplaatst om onder meer semtex te kopen. Ook de overige informatie van de zijde van de FBI wijst niet op het wekken van de interesse van [naam] voor het kopen van semtex.”

Ook merkt de rechtbank nog op dat ‘is gesteld noch gebleken’, dat het openbaar ministerie enige rol had bij of invloed had op het handelen van de FBI. Het bewijs uit het buitenland mag daarom worden gebruikt in het strafproces.

De verdachte wordt vrijgesproken van het medeplegen van voorbereiding van moord, doodslag, diefstal met geweld of brandstichting, omdat niet met voldoende bepaaldheid is gebleken welk crimineel doel verdachte met dat pakketje voor ogen had. Voor het bewijs dat de ten laste gelegde voorwerpen ‘bestemd waren tot het begaan van dat misdrijf’moeten namelijk ook de contouren van het (feitelijk) te plegen misdrijf blijken. In deze zaak ontbraken de contouren van het feitelijk te plegen misdrijf en kon dit niet door de officier van justitie worden aangetoond. De rechtbank verwijst hier naar het arrest HR 28 januari 2014, ECLI:NL:HR:2014:179. De verdachte wordt tot drie maanden gevangenisstraf veroordeeld voor het illegale bezit van vuurwapens.

2.     Afdreiging na reactie op advertenties sekswebsites

De Rechtbank Amsterdam heeft op 12 november 2018 een aantal verdachten veroordeeld voor het medeplegen van afdreiging en gewoontewitwassen door misbruik van advertenties op sekswebsites.

De zaken in het onderzoek ‘13Malone’ richten zich tegen zeven verdachten. De verdachten pleegden afdreiging door mannen die reageerden op de door hen geplaatste advertenties te chanteren. Er is geen sprake van het delict ‘afdreiging’, om dat de verdachten niet voldoende concrete bedreigingen met geweld naar de slachtoffers hebben gestuurd.

De verdachte ging met zes medeverdachten als volgt te werk. De verdachten plaatsen een seksadvertentie op de websites speurders.nl, kinky.nl en sexjobs.nl. Nadat een slachtoffer heeft gereageerd op een seksadvertentie wordt met deze persoon contact gelegd door iemand die zich voordoet als een vrouw/prostituee. Er volgt een uitwisseling van seksueel getinte berichten en er wordt soms om een naaktfoto van het slachtoffer gevraagd waar zowel het hoofd als het geslachtsdeel van de man op staat. Intussen worden er – vermoedelijk aan de hand van het telefoonnummer van het slachtoffer via Facebook – namen van het slachtoffer en personen uit zijn omgeving achterhaald.

Dan veranderen de verdachten de berichten van toon en komt ‘de pooier’ aan het woord. Het slachtoffer moet geld betalen om bekendmaking van zijn ‘schaamtevolle’ gedrag aan de met naam genoemde personen uit zijn omgeving te voorkomen. De slachtoffers ‘moeten er van leren dit niet meer te doen’. De slachtoffers moeten vervolgens geld overmaken naar een bankrekeningnummer waarbij vaak dezelfde tenaamstelling wordt genoemd. Het geld moet door het slachtoffer snel worden overgemaakt en er moet een screenshot als bewijs van de betaling worden verzonden. Het bedrag dat op de rekening wordt gestort wordt daarna snel in cash opgenomen. De verdachten hebben de ontvangen bedragen daarmee ook witgewassen. Een aantal verdachten zijn slechts veroordeeld voor het witwassen, omdat hun betrokkenheid bij de afdreiging niet kon worden bewezen. Als slachtoffers hebben betaald, worden zij gedwongen steeds opnieuw te betalen. De bedreigingen houden overigens uiteindelijk op als de slachtoffers niet betalen of daarmee stoppen.

Interessant is ook dat de rechtbank opmerkt dat er vanwege de lage aangiftebereidheid van het delict waarschijnlijk veel meer zaken spelen, waar deze modus operandi van de criminelen wordt gebruikt. Op de mobiele telefoon van één van de verdachten stonden 4780 seksgerelateerde berichten uit de periode van 1 tot 11 december 2016. Dat vormt volgens de rechtbank mogelijk een aanwijzing voor de daadwerkelijke omvang van de criminele praktijken van de verdachten. Ook stonden honderden verdachte transacties op de bankrekeningen van de verdachten van in totaal ruim € 56.000, waarvan slechts een klein deel aan de acht aangevers is te linken. De rechtbank beschouwt de acht beschikbare aangiftes als één feitencomplex. In onderlinge samenhang bezien, blijkt uit de bewijsmiddelen dat er diverse dwarsverbanden zijn als het gaat om gebruikte IP-adressen, gebruikersaccounts, telefoonnummers en bankrekeningen. Die onderlinge verwevenheid vormt één feitencomplex. Daarbij wordt in de zaken weliswaar een wisselende combinatie gebruikt van telefoonnummers, e-mailadressen, de bankrekeningnummers van verdachten en/of IP-adressen, maar vindt de afdreiging veelal in dezelfde bewoordingen plaats.

Met betrekking tot de bewijsvoering is relevant dat de politie onderzoek heeft gedaan bij de exploitant van de site Kinky.nl. De website-exploitant heeft in de eigen systemen gezocht op de gebruikte telefoonnummers en bankrekeningnummers in verschillende combinaties. Bij navraag blijkt dat op de rekeningen van de verdachten meer dan 10.000 euro aan verdachte transacties is te vinden. De verdachte transacties zijn betalingen waarbij de betaler geen bekende relatie heeft met de houder van de bankrekening. Verder is hierbij relevant de frequentie van de bijschrijvingen op de betreffende rekening en de omschrijving die daarbij staat vermeld. Uit onderzoek bij de exploitant van sexjobs.nl heeft de politie twee IP-adressen kunnen afleiding die op naam van de verdachten staan.

Tijdens een huiszoeking zijn de mobiele telefoons van de verdachte in beslag genomen. Op deze telefoons stond het (veelzeggende bewijsmateriaal) van ‘een groot aantal voor verdachten belastende berichten, seksadvertenties, screenshots van bankoverschrijvingen en (naakt)foto’s’. Op de telefoon van een andere verdachte zijn screenshots aangetroffen van diverse profielen en de contactenlijsten van deze profielen afkomstig van Facebook. Verder is gebleken dat meerdere van de telefoonnummers gebruikt zijn in de telefoons van de medeverdachten. Op de telefoon van één van de verdachten zijn onder andere de gebruikersaccounts voor de websites kinky.nl en sexjobs.nl aangetroffen.

De verdachte in de ondergenoemde zaak is minderjarig en wordt veroordeeld tot 300 dagen jeugddetentie (waarvan 233 voorwaardelijk). Ook krijgt hij een taakstraf van 200 uur opgelegd en moet hij een schadevergoeding betalen.

3.     Sextortion van minderjarige meisjes

Het Hof Den Haag heeft op 1 november 2018 arrest gewezen in een sextortion-zaak. Door middel van een bekende modus operandi deed de online zedendelinquent zich voor als een scout van een modellenbureau. De verdachte zocht via sociale media contact met de meisjes, met de vraag of zij foto’s wilde sturen. Als bevestiging dat zij benaderd waren door het modellenbureau), werd er een e-mail gestuurd met een e-mailadres van het modellenbureau.

De meisjes hebben van zichzelf foto’s verstuurd naar een de verdachte die gebruik maakte van het pseudoniem ‘Manisha’, waarbij sommige meisjes ook naaktfoto’s versturden. De verdachte eiste meer naakfoto’s van de slachtoffer onder dreiging van het publiceren (‘exposen’) van de naakfoto’s via een instagramaccount. Ook dwong hij sommige slachtoffers de app ‘Snapchat’ te installeren op hun mobiele telefoons. Via Snapchat zijn normaliter foto’s en video’s na enkele seconden niet meer zichtbaar. Diverse aangeefsters dachten daardoor ook dat zij bij verzending van foto’s weinig risico op verdere verspreiding liepen. De verdachte gebruikte echter een specifieke applicatie (‘Mobizen’) waarmee hij deze foto’s en video’s wel direct vanaf het scherm van zijn smartphone kon opslaan. Op de inbeslaggenomen gegevensdragers van de verdachte is tevens een grote hoeveelheid kinderporno gevonden.

De verdachte is veroordeeld tot 250 dagen jeugddetentie en een bijzondere maatregel met controle door jeugdreclassering, onder meer wegens het bezit van kinderporno, oplichting, en afpersing.

De zaak is in het bijzonder ook interessant vanwege de uitgebreide digitale bewijsvoering. De politie heeft op 2 juni 2016 een e-mail gestuurd aan één van de vermelde e-mailadressen in de aangifte van sextortion naar ‘Manisha’. Of de politie de e-mail onder dekmantel heeft gestuurd en een bijzondere opsporingsbevoegdheid heeft ingezet blijft onduidelijk door de summiere informatie die hierover wordt verschaft. Nadat de verdachte de e-mail heeft geopend, werd het IP-adres van de verdachte zichtbaar voor de opsporingsambtenaren. Het IP-adres kon worden gekoppeld aan het woonadres van de verdachte. Hetzelfde IP-adres heeft de verdachte gebruikt bij het aanmaken van het Instagramaccount van ‘Manisha’ ook toe aan het woonadres van de verdachte. Bovendien behoorde het telefoonnummer dat bij het aanmaken van het Instagramaccount is opgegeven tevens toe aan de verdachte. Het telefoonnummer behoorde toe aan de inbeslaggenomen telefoon van de verdachte, waarmee is ingelogd op het instagramaccount.

Uit het onderzoek naar de inbeslaggenomen telefoon is gebleken dat mailapplicatie geconfigureerd was voor de eigenaar van het modellenbureau. Daaruit blijkt dat de verdachte over de mailaccounts van het modellenbureau kon beschikken en uit naam daarvan e-mails on uitsturen. Enkele naaktfoto’s en snapchatberichten met de slachtoffers zijn tevens op de inbeslaggenomen mobiele telefoon gevonden. Ten slotte blijkt uit digitaal onderzoek naar de internetgeschiedenis dat de verdachte meerdere sites bezocht en zoektermen gebruikt die te relateren zijn aan het modellenbureau en de scouts van het modellenbureau.

4.     Oplichting via Whatsapp

De Consumentenbond en Fraudehelpdesk waarschuwen voor een toename van fraude via Whatsapp. Daarbij doen de oplichter zich voor als de zoon of dochter van een slachtoffer met het verzoek om geld over te maken. Dit doen zij vaak op geraffineerde wijze, waarbij eerst via een app weten een ‘nieuw telefoonnummer’ te hebben, compleet met profielfoto van de persoon van wie ze de identiteit gebruiken. Deze foto hebben ze van social media gehaald, evenals informatie over familierelaties en hoe mensen elkaar aanspreken. Vervolgens vragen ze om een betaling voor een openstaande rekening.

De rechtbank Midden-Nederland heeft op 4 oktober 2018 twee verdachten voor oplichting met een vergelijkbare werkwijze veroordeeld. De verdachten hebben zich op WhatsApp voorgedaan als iemand anders. De 19-jarige man zocht begin dit jaar via de berichtendienst contact met een 85-jarige man. De verdachte deed zich voor als de dochter van het slachtoffer en vroeg hem om in totaal ruim 2.300 euro over te maken. Het slachtoffer dacht echt met zijn dochter te appen. De 21-jarige Utrechter heeft zich op een soortgelijke manier schuldig gemaakt aan oplichting. Hij stuurde in september 2017 een WhatsApp-bericht naar een 71-jarige vrouw en deed zich voor als haar dochter. In het gesprek vroeg hij meerdere keren aan het slachtoffer om geld over te maken. In totaal heeft de vrouw ruim drieduizend euro overgemaakt.

De 21-jarige man is veroordeeld tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk. De 19-jarige man is veroordeeld tot een gevangenisstraf van 16 maanden, waarvan 6 maanden voorwaardelijk. Daarnaast moeten ze ongeveer 10000 euro aan schade vergoeden.

5.     Klonen van modems VodafoneZiggo

De Rechtbank Rotterdam heeft op 11 oktober 2018 een aantal verdachte veroordeeld die in georganiseerd verband de modems van Vodafone Ziggo hebben gekloond. In het onderzoek ‘26Cicero’ is de verdenking gerezen dat in Nederland in georganiseerd verband op illegale wijze (met gebruikmaking van speciaal daartoe ontwikkelde software) modems van betalende klanten van Ziggo werden uitgelezen en gekloond. Het onderzoek ving aan naar aanleiding van informatie van de Canadese politie. De unieke modemgegevens van honderden betalende klanten van Ziggo zijn met behulp van malware gekopieerd en geplaatst op andere modems. Tegen betaling van een eenmalig bedrag van zo’n € 150,- konden de afnemers van de gekloonde modems gratis internetten zolang de betalende klant wiens modem was gekloond een abonnement had.

De verdachte kloonde de modems en installeerde die bij zijn afnemers. De modems kocht hij in bij een medeverdachte die bij Ziggo werkte. Een andere medeverdachte, die via een onderaannemer in dienst was bij Ziggo, installeerde de gekloonde modems als de Ziggo-straatkast moest worden geopend om de internetverbinding mogelijk te maken.

De rechtbank overweegt dat het gevaarlijk is dat gekloonde modems ook kunnen worden gebruikt om kwaadaardige aanvallen op bedrijven uit te voeren of om persoonlijke informatie van derden te achterhalen. De veiligheid en integriteit van de infrastructuur kan daarmee ernstig in gevaar komen. De geschetste potentiële gevaren hebben zich in deze zaak niet voorgedaan. Wel heeft de verdachte hinder en schade veroorzaakt voor met name Ziggo en heeft hij door het witwassen van zo’n € 20.000,- volgens de rechtbank de integriteit van het financiële en economische verkeer aangetast.

De verdachte wordt veroordeeld voor medeplegen van gekwalificeerde computervredebreuk, het voorhanden hebben malware, gewoontewitwassen en listiglijk gebruik maken van een telecommunicatiedienst (326c Sr). Wel volgt vrijspraak voor het medeplegen van vervaardigen van malware, nu niet kan worden bewezen dat verdachte als medepleger een bijdrage heeft geleverd aan de ontwikkeling van de ‘1337suite’. De verdachte wordt veroordeeld tot een gevangenisstraf voor de duur van vijftien maanden opleggen, waarvan twaalf maanden voorwaardelijk met een proeftijd van drie jaar. Tevens moet de verdachte een taakstraf uitvoeren van 180 uur. De straf was aanzienlijk lager dan de eis van de officier van justitie.

Veroordeling bankingmalware (NjRAT)

Op 5 september 2017 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2017:2519) voor het gebruik van banking malware. In de informatieve uitspraak wordt de werking van de malware uitgebreid omschreven.

De verdachte heeft samen met zijn mededader(s) een paar maanden in 2015 via een aantal spamruns onschuldig ogende e-mails verstuurd naar duizenden ontvangers, waarbij de verdachte en zijn mededader(s) het hadden voorzien op bedrijven. Deze e-mails bevatten een bijlage in de vorm van een gemanipuleerd Word-bestand. Zodra een ontvanger dit Word-bestand opende, werd automatisch malware op de computer van de betreffende ontvanger geïnstalleerd. De malware, njRAT genaamd, is een ‘Remote Access/Administration Tool’, waarmee op afstand toegang tot computers kan worden verkregen.

Eenmaal geïnfecteerd meldden de besmette computers zich aan op het beheerderspaneel dat op de computer van de verdachte geïnstalleerd was. Op dat moment was het voor de verdachte of zijn mededader(s) mogelijk om mee te kijken op het computerscherm van het slachtoffer en kon de verdachte of zijn mededader(s) ook de controle over de muis en het toetsenbord overnemen. Ook hield de RAT bij welke toetsaanslagen er allemaal op het toetsenbord van de besmette computer werden gemaakt. Op deze wijze verkregen de verdachte en zijn mededader(s) wachtwoorden en andere inloggegevens waarmee zij konden inloggen op de [bank]-internetbankieromgevingen van bedrijven.

Witwassen

Vervolgens veranderden de verdachte en zijn mededader(s) de bankrekeningnummers met betrekking tot betaalopdrachten in het kader van o.a. loonuitbetalingen, die in de [bank]-internetbankieromgeving klaarstonden om te worden verwerkt. Door het veranderen van de bankrekeningnummers zorgden zij ervoor dat de gelden niet op de bankrekeningen van de rechthebbenden terechtkwamen, maar op de bankrekeningen van money mules, die door de verdachte en zijn mededader(s) waren geworven. Daarna werd geld door de verdachte en zijn mededader(s) vanaf die bankrekeningen opgenomen en gecasht.

De verdachte vervulde in dit geheel vooral een technische rol. Hij zorgde onder meer voor de benodigde malware, het infecteren van de computers en hield de besmette computers door middel van het beheerderspaneel in de gaten. De medeverdachte [medeverdachte] veranderde de gegevens in de [bank]-internetbankieromgeving en zorgde ervoor dat het geld werd gecasht.

Bewijsoverwegingen

Na zijn arrestatie heeft de verdachte uitgebreide bekennende verklaringen afgelegd, waarin hij in detail de configuratie van de computer heeft beschreven waarop het beheerderspaneel stond en die op het moment van zijn aanhouding in verbinding stond met een van de besmette computers. De verdachte zat op dat moment ook achter die computer. Deze verklaringen van de verdachte vinden volgens het Hof Den Haag bevestiging in objectieve onderzoeksgegevens, zoals het onderzoek aan de in de woning van de verdachte in beslag genomen computer en in afgeluisterde telefoongesprekken die de verdachte met anderen heeft gevoerd. Het hof ging dan ook niet mee met het argument van de raadsman dat de verklaringen onbetrouwbaar waren. Ook de verdediging dat er sprake zou zijn van een alternatief scenario moet volgens het Hof Den Haag vanwege als het bewijs als ‘ronduit ongeloofwaardig’ moet worden geacht.

Veroordeling

De verdachte wordt veroordeeld voor computervredebreuk, witwassen en valsheid in geschrifte. De verdachte moet ongeveer 36.000 euro aan schadevergoeding betalen en kreeg een onvoorwaardelijke gevangenisstraf van 30 maanden opgelegd. Bij het opleggen van de straf is rekening gehouden dat de bewezenverklaarde feiten in een relatief korte periode zijn gepleegd en dat er – in vergelijking met andere banking malware-zaken – geen sprake is geweest van ‘een voor de betrouwbaarheid en continuïteit van het digitale betalingsverkeer in bredere zin zeer bedreigende werkwijze’.

Gebruik van policeware in de Aydin C.-zaak

Posted on 17/07/2017 on Oerlemansblog

Vorige week heb ik mijn noot gepubliceerd die ik heb beschreven over de Aydin C.-zaak. De zaak is veelvuldig in het nieuws geweest vanwege de tragische afloop van Amanda Todd, nadat zij werd gechanteerd door Aydin C. met webcamopnamen. De rechtbank Amsterdam veroordeelt Aydin voor meer dan 10 jaar gevangenisstraf voor kinderporno en (poging tot) aanranding met betrekking tot 34 meisjes en één man voor afdreiging.

Vanuit juridisch oogpunt vond ik het echter interessanter hoe de rechtbank is omgegaan met het gebruik van een softwarematige keylogger bij de bewijsgaring in deze zaak. Dergelijke ‘monitoringssoftware’ wordt ook wel ‘policeware’ genoemd.

Mag een keylogger nu wel of niet worden gebruikt?

Al tijdens het verloop van de zaak kwam via de media naar buiten de politie een ‘keylogger’ had ingezet om bewijsmateriaal te verzamelen. Een keylogger registreert toetsaanslagen waardoor communicatie, maar ook inlognamen en wachtwoorden, kan worden afgevangen om nader te onderzoeken. Een keylogger kan zowel hardwarematig zijn als softwarematig.

Eerder had ik ook al in een interview aangegeven dat het gebruik van een hardwarematige keylogger volgens mij door de beugel kan. De wetgever heeft al 20 jaar geleden in de memorie van toelichting van de Wet bijzondere opsporingsbevoegdheden (Wet BOB) (p. 35-37) voldoende duidelijk gemaakt dat onder de bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv) het gebruik van een apparaatje (een ‘bug’), dat ook toetsaanslagen kan registreren, is toegestaan.

Mag policeware worden gebruikt?

De vraag is lastiger te beantwoorden of het gebruik van een softwarematige keylogger is toegestaan. De tekst van de wet zelf sluit niet uit dat software wordt gebruik bij de toepassing van de bijzondere opsporingsbevoegdheid van direct afluisteren. Gesproken wordt over een ‘technisch hulpmiddel’, dat tevens uit software kan bestaan. Dat is ook af te leiden uit het Besluit technische hulpmiddelen. Eerder heb ik betoogd dat de software in ieder geval niet door middel van een ‘hack’ kan worden geplaatst, omdat daarmee een geheel andere privacyinbreuk plaatsvindt dan wanneer een bug fysiek in een woning of andere plek wordt geplaatst zoals bij ‘direct afluisteren’ gebruikelijk is. De wet zou dan niet meer voorzienbaar zijn.

Het is echter de vraag of de software ook andere functionaliteiten mag hebben dan het afluisteren van communicatie, het registreren van toetsaanslagen en het registreren van muisklikken. Hoewel het vonnis moeilijk leesbaar is, wordt interessante informatie gegeven over het gebruik van dergelijke software door de politie. Zo wordt onder andere gesteld dat via een softwarepakket ‘vinkjes’ kunnen worden aangezet om van bepaalde functionaliteiten van de afluistersoftware gebruik te maken. Uit het vonnis van de rechtbank blijkt ook dat gebruik is gemaakt van een screenshotfunctionaliteit. Is deze toepassing dan nog voorzienbaar is op basis van bestaande wetgeving?

Pas als de Wet computercriminaliteit III door de Eerste Kamer wordt aangenomen en de wet van kracht wordt, mag een softwarematige keylogger met andere functionaliteiten (waaronder ook het maken van screenshots, het vastleggen van identificerende gegevens, het aanzetten van een camera, en eventueel het aanzetten van een GPS-signaal) worden gebruikt. Deze software mag dan ook op afstand via een hack worden geïnstalleerd op de computer van de verdachte op basis van de voorgestelde nieuwe hackbevoegdheid in artikel 126nba Sv.

Mogelijkheden voor de verdediging

De verdediging voerde tal van verweren in de Aydin C.-zaak. In mijn noot heb ik aandacht besteed aan de mogelijkheid van de verdediging om tijdens de zitting na te gaan welke functionaliteiten van de software precies gebruik is gemaakt. Ik begrijp het standpunt van de politie en het Openbaar Ministerie dat het type software – of zelfs de broncode – niet wordt vrijgegeven aan de verdediging. Daarmee breng je namelijk het toekomstig gebruik van de software in strafzaken door opsporingsinstanties in gevaar. De verdediging moet echter wel de mogelijkheid hebben om het gebruik van de software achteraf – desnoods tijdens de zitting – te controleren. Nagegaan moet worden of niet meer functionaliteiten van de software zijn gebruikt dan de officier van justitie als het goed is in zijn bevel voor inzet van de bevoegdheid heeft aangegeven. In deze zaak werd het verweer geadresseerd door één deskundige van te politie te horen, waarbij ik de zorg om onafhankelijkheid goed begrijp.

Als de Wet computercriminaliteit III wordt aangenomen kan de verdediging het gebruik van de software beter controleren. De verdediging kan de rechter verzoeken tot nader onderzoek van de gelogde gegevens. De rechter kan dit ook overigens ook ambtshalve beslissen. Staatssecretaris Dijkhoff heeft in de nota naar aanleiding van het verslag aangegeven dat dit mogelijk is. Daarnaast wordt de waarborg ingebouwd dat de Inspectie Veiligheid en Justitie het gebruik van de software bij de politie controleren. Dit zijn twee zeer welkome waarborgen ten opzichte van de bestaande situatie.