Basisboek Cybercriminaliteit

In het najaar van 2019 staken enkele criminologiedocenten hun koppen bij elkaar en vatten het plan op een boek te schrijven over cybercriminaliteit ten behoeve van het onderwijs. Dat leidde uiteindelijk tot het Basisboek Cybercriminaliteit van Wytske van der Wagen, Marleen Weulen Kranenbarg en mijzelf. Ook hebben enkele andere auteurs aan het boek meegewerkt en vanuit hun eigen expertise een mooie bijdrage geleverd. Het boek is vanaf 29 oktober 2020 verkrijgbaar via de website van Boom Uitgevers (met hoofdstuk 1 als voorproefje) of te bestellen via bol.com (37,50 euro).

In ons onderwijs over Cybercriminaliteit merkten we dat steeds een samenraapsel van artikelen en andere stukken bij elkaar moesten zoeken. Een samenhangend, actueel en overzichtelijk verhaal ontbrak. Dat is voor ons het motief geweest dit boek te schrijven. Het boek (300+ pagina’s) biedt inzicht in de verschillende verschijningsvormen en kenmerken van cybercriminaliteit, strafbaarstellingen, daders, slachtoffers, onderzoeksmethoden voor het online domein, het opsporingsproces en mogelijke interventies.

Persoonlijk ben ik in mijn nopjes over het eindresultaat! Het boek verschaft een uitstekend overzicht van de wetenschappelijke kennis op criminologische en juridisch gebied over cybercriminaliteit. Hoofdstuk 3 en Hoofdstuk 7 – die ik zelf hoofdzakelijk heb geschreven (ook op basis van eerder werk) – verschijnen beiden over één jaar in open access.

De combinatie van (inleiding van) techniek, criminologie en rechten werkt heel goed en ik ga het zeker gebruiken in mijn eigen (gast)colleges en cursussen. Verder wordt het in ieder geval dit jaar al gebruikt voor onderwijs op verschillende universiteiten, zoals de Erasmus Universiteit, de Vrije Universiteit Amsterdam en de Universiteit Leiden. Ik ga het uiteraard ook promoten bij mijn collega’s aan de Universiteit Utrecht.

Feedback is altijd welkom, dus jullie kunnen mij daarover altijd mailen. Wie weet verschijnt er t.z.t. wel een tweede druk!

Cybercrime jurisprudentieoverzicht oktober 2020

Op 25 augustus 2020 heeft het Hof Den Haag een arrest (ECLI:NL:GHDHA:2020:1559) gewezen over voorhanden hebben van een technisch hulpmiddel (‘Razorscanner’), waarmee computermisdrijven als computervredebreuk kunnen worden gepleegd (artikel 139d lid 2 sub a jo art. 138ab Sr).

Op 5 april 2016 is de website van Razorscanner na een gecoördineerde politieactie via Europol offline gehaald. Zes verdachten, waaronder de maker van Razorscanner, werden gearresteerd. De beheerder van deze services is in dat onderzoek aangehouden en de server waarop de genoemde softwareproducten beschikbaar werden gesteld is in beslag genomen. Om Razorscanner te kunnen gebruiken kochten de gebruikers van de website “coins”. Daarmee kon de klant vervolgens een scan uitvoeren. Uit de uitgevoerde scan kon de gebruiker opmaken of een ontwikkeld virus “Fully UnDetectable” is, ofwel door geen enkel anti-virusprogramma zal worden herkend. De maker van Razorscanner garandeerde dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten werden doorgegeven. Het programma ‘Razorcrypter’ maakt het mogelijk om uitvoerbare computerbestanden tegen de ontdekking door anti-virusprogramma’s te beschermen. Dat is onder meer mogelijk door de computercode die Razorcrypter moet verpakken te “binden” oftewel vast te maken aan andere (legitieme) software, of door het programma aan een ander softwareprogramma te hangen, zo overweegt het Hof.  

Deze zaak gaat over een Nederlandse verdachte die ten laste werd gelegd de software ‘Razorscanner’ en ‘Razorcrypter’ voorhanden te hebben met het oogmerk computermisdrijven te plegen. Hij beschikte over een account bij de aanbieder daarvan en over voldoende coins om de services te gebruiken. Het Hof Den Haag stelt in een uitgebreide overweging vast dat de services Razorscanner en Razorcrypter op zichzelf genomen geen programma’s zijn die zelfstandig geschikt gemaakt of ontworpen zijn om computervredebreuk te plegen, ddos-aanvallen uit te voeren of gegevens af te tappen of op te nemen. Toch wordt de software aangemerkt als een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt en/of ontworpen is tot het plegen van computermisdrijven, met name omdat de programma’s cybercriminelen in staat stellen met meer succes computermisdrijven te plegen (“strafbaar is ook degene die zo’n computerprogramma koopt of verkoopt, is strafbaar indien die koop of verkoop plaatsvindt met het oogmerk dat met dat computerprogramma ook daadwerkelijk computervredebreuk zal worden gepleegd” (memorie van antwoord Wet computercriminaliteit II)).

Voor de strafbaarstelling is daarnaast vereist dat met het voorhanden hebben van het technisch hulpmiddel het oogmerk bestaat computermisdrijven zoals computervredebreuk te plegen. Het hof spreekt de verdachte vrij, omdat niet vastgesteld kon worden dat de verdachte met het voorhanden hebben van Razorscanner en Razorcrypter het oogmerk heeft gehad om computermisdrijven te plegen. Het Hof overweegt dat het bewijsmateriaal eerder steun geeft aan de verklaring van verdachte, dat hij zowel Razorscanner en Virustotal gebruikte om scans uit te voeren aan bestanden. Daarnaast bevat het strafdossier geen bewijs dat de verdachte daadwerkelijk malware beschikbaar heeft gesteld aan anderen, teneinde die anderen in staat te stellen computermisdrijven te plegen, noch dat hij dit zelf heeft gedaan. Het hof komt daarmee tot de conclusie dat er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht en spreekt hem daarom vrij.

Bestellen onder valse personalia geen computervredebreuk

De rechtbank Rotterdam heeft op 18 september 2020 een verdachte veroordeeld (ECLI:NL:RBROT:2020:8248) tot 180 dagen gevangenisstraf, waarvan 103 dagen voorwaardelijk en een taakstraf van 100 uur. De verdachte heeft samen met een medeverdachte VodafoneZiggo modems besteld, deze aangesloten en daarmee naar betaalde servicenummer gebeld.

De verdachte werd computervredebreuk ten laste gelegd, omdat zou zijn binnendrongen in de kabelmodems. De rechtbank spreekt de verdachte daarvan vrij, omdat niet op andere wijze toegang is verkregen en gebruik is gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. De rechtbank overweegt helaas niet waarom geen sprake is van het opzettelijk en wederrechtelijk onder een valse hoedanigheid of met valse sleutels binnendringen in de servers van de VodafoneZiggo, omdat daar mogelijk wel sprake van is en ook ten laste is gelegd. Zie ook de blog van Arnoud Engelfriet over deze zaak.

De verdachte wordt wel veroordeeld voor oplichting, waarbij de verdachte met de verkregen telefoonabonnementen aankopen heeft gedaan bij 090-nummers. Het betrof onder andere (bitcoin)vouchers en bel- en goktegoeden, die vervolgens werden omgezet naar (giraal) geld (o.a. via Skrill). In het huis van de verdachte en in een door haar partner gehuurde garagebox werden maar liefst 1161 modems aangetroffen. De gevorderde schadevergoeding van €575.489,61 (!) wordt niet-ontvankelijk verklaard, omdat ‘een volmacht of uittreksel van de Kamer van Koophandel ontbreekt’ waaruit kon blijken dat de persoon gemachtigd was door VodafoneZiggo voor het indienen van de vordering. Eventueel kan daarover wel nog een civielrechtelijke zaak worden aangespannen.

Veroordeling voor grootschalige phishing

Op 26 augustus 2020 heeft de rechtbank Midden-Nederland een aantal verdachten veroordeeld (ECLI:NL:RBMNE:2020:3467) voor grootschalige phishing. In deze zaak is de verdachte veroordeeld voor oplichting, verboden wapenbezit, het voorhanden hebben van software om computervredebreuk te plegen, computervredebreuk, (gewoonte)witwassen en diefstal. In totaal zijn 22 slachtoffers van de Rabobank, ING, ABN Amro en de Van Lanschot Bank benadeeld voor 170.000 euro. De slachtoffers kregen phishinglinks doorgestuurd per e-mail en sms. Daarbij werden slachtoffers doorgestuurd naar phishingwebsites. Daarna werd de ‘Mobiel Bankieren App’ geïnstalleerd op een telefoon die niet van aangevers was, waarna geldbedragen werden gepind of overgeboekt.

Uit de bewijsmiddelen is het IP-adres van de dader te linken aan het gelogde IP-adres bij transacties van slachtoffers. Het gaat daarbij onder andere om een te linken IP-adres in de iPhone van de verdachte en een chatbericht dat is gevonden op de laptop van de verdachte, waarin staat dat het desbetreffende IP-adres aan de verdachte toebehoord. Op de laptop van verdachte zijn verder verschillende afbeeldingen aangetroffen die zijn gemaakt met behulp van Gyazo, een screenshotprogramma. Eén van deze afbeeldingen toont een beheerpaneel van de domeinnaam mobielbevestigen.ml. De rechtbank leidt hieruit af dat verdachte deze website, door middel waarvan de gegevens van de aangevers zijn gephisht, kon beheren. Veelzeggend is verder het bewijs op de laptop bankrekeningnummers, pasnummers en adresgegeven van enkele van de aangevers.

In de onderhavige zaak verzorgde de verdachte voornamelijk het technische deel, d.w.z. het inrichten, hosten en beheren van websites, maar wordt ook veroordeeld voor het medeplegen van de andere strafbare feiten. De bijdrage van de verdachte was een noodzakelijke schakel – het phishing-deel – in het geheel aan handelingen waarmee de slachtoffers werden opgelicht. De verdachte krijgt een flinke gevangenisstraf opgelegd van vier jaar, waarvan één jaar voorwaardelijk.

Cybercrime jurisprudentieoverzicht augustus 2020

Veroordeling voor oplichting, computervredebreuk, witwassen en het voorhanden van malware

Op 26 juli 2020 heeft de rechtbank Zeeland-West-Brabant een verdachte veroordeeld (ECLI:NL:RBZWB:2020:2699) voor computervredebreuk, het voorhanden hebben van malware, deelname aan een criminele organisatie en oplichting.

De verdachte stuurde spamberichten (phishingberichten) naar slachtoffers met het doel hen om te leiden naar een nepwebsite van een bank voor het aanvragen van een nieuwe pinpas. De slachtoffers voerden hun rekeningnummer, pasnummer, pincode, telefoonnummer en e-mailadres in op de nepwebsite. Deze gegevens werden door de website automatisch doorgezonden naar een mededader. Met deze informatie werd een nieuwe mobiele telefoon geregistreerd voor en bankierapp.

Als dat niet mogelijk bleek, deelde de verdachte de gegevens met een andere mededader, zodat zij de betreffende klant kon bellen om het slachtoffer te overtuigen de registratie te voltooien. Na het scannen van de codes had de criminele organisatie de volledige controle over de rekening van het slachtoffer, alsmede over de daaraan gekoppelde rekeningnummers. Vanaf dat moment kon en werd er, zonder dat daarvoor een code hoefde te worden gescand, een nieuwe betaalpas aangevraagd. Deze betaalpas was nodig om het geld van de rekening van het slachtoffer door te boeken naar een andere rekening.

Via de mobiel bankieren app werden rekeningen van slachtoffers leeggehaald en werden diverse bestellingen gedaan bij webshops. In de woning en auto van verdachte zijn goederen in beslag genomen die afkomstig zijn van een aantal van de genoemde winkels. Ook zijn in de financiële gegevens van verdachte aanwijzingen gevonden voor aankopen bij webwinkels van een totaal van €108.513,81.

In de uitspraak staan enorm veel technische details vermeld. Bijvoorbeeld over hoe de zaak aan het rollen kwam door informatie in de e-mailheader die leidde naar een ‘vps-server’. De leverancier van de vps-server verstrekte vervolgens betaalinformatie van de verdachte over de verhuur van de server. Ook wordt vermeld dat op een inbeslaggenomen Macbook de programma’s “Arkei Stealer” en “Baldr” stonden. Beide programma’s betreffen ‘info stealers’ (een type malware), die van geïnfecteerde computers gebruikersnamen, wachtwoorden, creditcardnummers en andere gevoelige informatie proberen te achterhalen.

Op de inbeslaggenomen Macbook waren 1809 unieke Machine ID’s te zien, afkomstig van “Arkei Stealer”. Van vrijwel ieder besmette apparaat was een schermafdruk gemaakt en waren gebruikersnamen, wachtwoorden en andere identificerende gegevens te zien. De beheerstool om deze gegevens te beheren was ook aanwezig op de laptop.

Uitzonderlijk is nog de volgende overweging van de rechtbank: ‘ook nu realiseert de rechtbank zich dat verdachte het achterste van zijn tong niet heeft laten zien. De BlackBerry, van waaruit de server met malware werd aangestuurd, is immers op slot gebleven. Het vermoeden is dan ook dat ook hier de werkelijke schade (vele malen) groter is dan dat naar voren is gekomen in het dossier.’

De verdachte kreeg een – voor cybercrimezaken relatief zware – gevangenisstraf opgelegd van 3 jaar opgelegd gekregen, waarvan 12 maanden voorwaardelijk met een proeftijd van drie jaar. 

Veroordeling voor witwassen met bitcoins en verkoop van Netflixaccounts

Op 9 juni 2020 veroordeelde (ECLI:NL:RBOVE:2020:1960) de rechtbank Overijssel een verdachte voor (onder andere) schuldwitwassen en het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte krijgt een gevangenisstraf opgelegd van 7 maanden.

In de zaak is sprake een ‘text book’-typologie voor witwassen met virtuele valuta. De verdachte adverteerde namelijk op localbitcoins.com (cash voor Bitcoin) en in de advertentie stond onder meer:

“Afspreken kan bij de Mc Donalds of het station in Zwolle (Overijssel), gedurende de openingstijden van het restaurant.”

– “Ik handel alleen op Localbitcoins.com, geen uitzonderingen.”

– “Ik stel geen vragen over de reden van de transactie.”

De rechtbank noemt verder dat verbalisanten zagen dat de gehanteerde wisselcommissie door verdachte in oktober 2017 circa 17% bedroeg, terwijl de reguliere bitcoin exchanges maximaal 2% hanteren.

De rechtbank overweegt dat, nu de verdachte een substantieel hogere wisselcommissie hanteerde dan het door de reguliere ‘bitcoin exchangers’ gehanteerde tarief en zijn klanten bereid waren dit veel hogere tarief te betalen, de enige logische verklaring daarvoor is dat zijn klanten anoniem wilden blijven. De verdachte heeft zich daarmee schuldig gemaakt aan het schuldwitwassen van contante geldbedragen (in totaal circa 38.000 euro) en een hoeveelheid bitcoins. De rechtbank overweegt ook dat ‘omdat verdachte heeft geweigerd inzage te geven in zijn computers, niet bekend is of de volledige omvang van de witwasactiviteiten van verdachte inzichtelijk is geworden’.

De verdachte wordt ook veroordeeld voor het voorhanden hebben van een wachtwoord of toegangscode met het oogmerk computervredebreuk te plegen. De verdachte had namelijk duizenden gehackte Netflixaccounts verworven via een ‘darknet market’ (in de uitspraak wordt verwezen naar ‘Hansa Market’) en het downloaden van loginnamen en wachtwoorden via dumtext.com.

Overigens is met de inwerkingtreding van de Wet computercriminaliteit III in 2019 nu ook ‘heling van gegevens’ strafbaar gesteld in artikel 139g Sr. In een zaak met feiten als deze had mogelijk artikel 139g lid 1 sub a Sr ten laste kunnen worden gelegd:

“1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:

a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;”

Cybercrime jurisprudentieoverzicht april 2020

Veroordelingen voor criminele kinderporno-organisatie op het dark web

Enkele verdachten zijn in februari en maart 2020 veroordeeld voor het bezit en de verspreiding van kinderporno via chat websites op het dark web.

De rechtbank Rotterdam veroordeelde op 27 januari 2020 (ECLI:NL:RBROT:2020:501) een verdachte voor de deelname aan een criminele organisatie waarvoor hij beheerstaken heeft uitgevoerd en zodoende mede kinderporno heeft verspreid en aangeboden. Ook had de verdachte 11.354 afbeeldingen en 1.560 kinderpornovideo’s in zijn bezit. De overwegingen van de rechtbank over de deelname een criminele organisatie zijn interessant.

De rechtbank Rotterdam overweegt dat drie “chatsites” ‘als één organisatie kunnen en moeten worden beschouwd, omdat zij allen: “chatsites op het Darkweb’ waren, dezelfde modus operandi hadden, een gemeenschappelijk uitgangspunt hadden (onderling contact hebben met ‘liefhebbers van minderjarigen’) en dezelfde mogelijkheden boden (afbeeldingen aanbieden en beschikbaar stellen via een link), op hetzelfde script en dezelfde architectuur waren gebaseerd en de structuur en werkwijze op de sites overeen kwam. Daar komt nog bij dat de ‘beheersmatige handelingen op deze sites werden verricht door vrijwel dezelfde personen”.

De verdachte was tenminste twee jaar lang samen met andere personen actief als oprichter/beheerder, hoofdadministrator, moderator of administrator van de websites. Ook konden zij andere personen voordragen voor genoemde functies en konden leden worden gemonitord.

Uit de bewijsmiddelen blijkt dat er sprake was van een hiërarchie en structuur, omdat de moderators en administrators meer rechten en privileges hadden dan de geregistreerde gebruikers en de gasten en zij alleen toegang hadden tot bepaalde afgeschermde gedeeltes van de sites. Ook uit de hiervoor genoemde functies en rol- en taakverdeling blijkt van een georganiseerd verband. Daarom was er sprake van een criminele organisatie als bedoelt in art. 140 Sr, waar de verdachte deel van uit maakte. De verdachte wordt veroordeeld voor 3 jaar gevangenisstraf (waarvan één voorwaardelijk) en een proeftijd van drie jaar met bijzondere voorwaarden.

De rechtbank Overijssel veroordeelde op 3 maart 2020 (ECLI:NL:RBOVE:2020:913) een verdachte voor het gewoonte maken van het verspreiden van kinderporno via chatrooms, het bezit van kinderporno en de deelname aan criminele organisatie. De verdachte kwam volgens de uitspraak in beeld ‘nadat de Britse opsporingsautoriteiten berichtten dat voornoemd webadres werd gehost op het IP-adres van verdachte’. In de uitspraak van de rechtbank Overijssel zijn meer details over het onderzoek ’26Somerville’ te lezen. De verdachte in deze zaak was ‘hoofdadminstrator en hoster’ van twee chatrooms. Hij ‘promoveerde’ bezoekers bijvoorbeeld tot moderator als deze ‘langere tijd positief’ opvielen.

De ‘staff’ van de chatsites hadden verschillende rangen met eigen chatkanalen. Op die kanalen kon men makkelijker en vrijer praten, omdat buitenstaanders minder makkelijk konden meelezen. De leden hielden aantekeningen van vergaderingen; hetgeen achteraf bijdroeg aan het bewijs tegen de kinderpornogebruikers. De database van een chatroom met 185 gebruikersnamen met hun rang is tevens in beslag genomen. De chatroom werd door de verdachte gehost via een virtuele machine op zijn PC.

De rechtbank ging niet mee in het verweer dat het delen van tekst en links naar kinderporno geen verspreiding van kinderporno is. Ook de waarschuwing op de chatsites dat geen kinderporno mocht worden verspreid, overtuigde de rechters niet omdat uit ander bewijs was af te leiden dat het daadwerkelijk kinderporno is verspreid. Uit de uitspraak wordt niet duidelijk op welke wijze het bewijs verzameld, maar de politie kon blijkbaar vaststellen dat in één van de chatrooms bijvoorbeeld 2410 gedeelde afbeeldingen tussen 26 januari 2018 en 14 juni 2018 zijn gedeeld, waarvan er 298 afbeeldingen kinderpornografisch waren. Feitelijk was dus sprake van de verspreiding van kinderporno. Door slechts te volstaan met de enkele vermelding van het verbod op de pagina na het inlogscherm op [chatroom 3] en het handmatig – door moderators – laten controleren van afbeeldingen, heeft verdachte bewust de aanmerkelijke kans aanvaard dat toch kinderporno zou worden gedeeld op [chatroom 3], aldus de rechtbank.

De rechtbank acht daarom bewezen dat verdachte voorwaardelijk opzet had op het verspreiden, aanbieden, openlijk tentoonstellen, verwerven en in bezit hebben van kinderpornografische afbeeldingen, alsook op het toegang verschaffen tot kinderpornografische afbeeldingen. Ook op andere gegevensdragers werd bij de verdachte kinderporno gevonden. Interessant is bijvoorbeeld dat in een virtuele machine via de Browser ‘Internet Explorer’ of ‘Edge’ bestanden geopend waren met kinderpornografische namen. Door politie werden verder werden veertien bestandsnamen op kinderpornografische fora aangetroffen. De verdachte kreeg een gevangenisstraf opgelegd van drie jaar met bijzondere voorwaarden.  

Veroordeling voor webcamseks met Filipijns meisje

Op 24 maart 2020 heeft de Rechtbank Overijssel een verdachte veroordeeld (ECLI:NL:RBOVE:2020:1249) voor ontucht en het bezit van kinderporno. De verdachte is veroordeeld voor een voorwaardelijke gevangenisstraf van 18 maanden gevangenisstraf, een proeftijd van 3 jaar met voorwaarden en een taakstraf van 240 uur op.  

Deze zaak met ernstige feiten kwam aan het licht door een Belgische onderzoeksjournalist. De verdachte zou één van de mannen zijn die achter een webcam naar seksshow keek van aan minderjarige. De politie heeft daarop een doorzoeking gedaan en gegevensdragers in beslag genomen. Daarop is kinderporno aangetroffen, maar geen informatie waaruit bleek dat de verdachte zich bezighield met ‘live-streaming’ seksshows. Wel is een betaling via Western Union aan een slachtoffer gevonden. Later bleek dat de verdachte maandenlang chatgesprekken van seksuele aard heeft gevoerd met dit minderjarige slachtoffer.  

De rechtbank overweegt dat de verdachte met zijn gedragingen ervoor heeft gezorgd dat meisjes als het slachtoffer gedwongen blijven om deel uit te maken van een enorm winstgevend verdienmodel, waarbij jonge kinderen voor een webcam worden gezet om seksshows te doen voor volwassenen die daarvoor slechts een wifi verbinding en een laptop, en soms een paar euro, nodig hebben. De kinderen die deel uitmaken van dit soort internationale netwerken worden vanaf jonge leeftijd geseksualiseerd en krijgen niet waar elk kind ter wereld recht op heeft, namelijk een normale seksuele ontwikkeling. Dat verdachte zijn eigen dochter, van toen negen jaar jong, heeft betrokken in zijn seksueel getinte chatgesprekken met het slachtoffer, vindt de rechtbank zorgelijk.

In artikel 245 Sr is ontucht met een minderjarige strafbaar gesteld, waarbij sprake is van seksueel binnendringen in het lichaam. Van deze gedraging was volgens de rechtbank geen sprake, omdat het niet de verdachte maar twee meisjes in opdracht van de verdachte dat elders met zichzelf en/of elkaar deden. De motivatie waarom het artikel niet van toepassing is met een verwijzing naar het ‘Pollepel-arrest’ (ECLI:HR:2004:AQ0950) en literatuur is lastig te volgen en wellicht nog voor discussie vatbaar. Wel wordt aldus het plegen van ontuchtige handelingen via een ‘live-stream’ en bezit van kinderporno bewezen geacht.

Phishing van creditcardgegevens

De rechtbank Amsterdam heeft op 25 maart 2020 een bijzondere uitspraak (ECLI:NL:RBAMS:2020:1960 en ECLI:NL:RBAMS:2020:1961) gedaan over phishing met creditcardgegevens. Twee verdachten zijn veroordeeld tot een taakstraf vanwege oplichting. De uitspraak bevat interessante details over het opsporingsproces, maar bevat ook enkele slordigheden. Zou Amsterdam ook een ‘cyberkamer’ hebben ingeregeld voor cybercrimezaken? De kwaliteit van deze uitspraak laat te wensen over.

Het onderzoek ving aan met een melding van de onderzoeksafdeling fraudedetectie van International Card Services B.V. van mogelijke frauduleuze transacties. Kort daarop werden met de creditcard bestellingen via Mediamarkt gedaan. Na contact met het Openbaar Ministerie werd besloten om het pakket gecontroleerd te laten afleveren op het aangegeven adres. Geobserveerd wordt dat de verdachte het pakketje in ontvangst neemt en meeneemt naar haar woning. De politie treedt een half uur later binnen en treft verdachte en medeverdachte aan in haar slaapkamer samen met een geopende doos van de Mediamarkt. De doos met daarin een Macbook Pro is uit eerdergenoemde doos gehaald en op de pakbon staan de door Mediamarkt opgegeven bestelgegevens.

De verdediging voert aan dat niet voldoende bewezen is dat de verdachte het product heeft besteld en eist dat bijvoorbeeld DNA onderzoek op de laptop wordt gedaan. De rechtbank gaat daar in niet mee. De rechtbank stelt op basis van het bewijs vast dat de persoonlijke gegevens van de creditcardhouder via phishing zijn verkregen. Vervolgens is op de webportal van de creditcardmaatschappij ingelogd het telefoonnummer gewijzigd en zijn met de creditcard bestellingen geplaatst. Op de inbeslaggenomen laptops stonden e-mailaccounts open met diverse bestellingen op naam en rekening van creditcardhouders.

De rechtbank acht het voorhanden hebben van technische hulpmiddelen bewezen met het oogmerk om computervredebreuk bewezen, maar verwijst daarbij naar een verkeerd artikelnummer (138d Sr i.p.v. 139d lid 2 sub a Sr). Daarbij wordt uitgelegd:

“op beide laptops stonden diverse softwareprogramma’s, waaronder Sendblaster, waarmee bulk- email berichten kunnen worden verstuurd. Hierin trof men lijsten aan met duizenden e-mail adressen, verzonden phishing e-mail berichten naar onder meer banken en meerdere (templates) voor phishing berichten. Ook de op de laptops aanwezige programma’s Havij en Filezilla hebben bijgedragen aan de gepleegde computervredebreuk, te weten het binnendringen van Webportals. Ook zijn gegevens van cardhouders gewijzigd door frauduleus in te loggen op hun Webportals”.

 Het is technisch gezien natuurlijk lariekoek dat je kan binnendringen op een “Webportal”; dat doe je namelijk op de geautomatiseerde werken (de servers) van ICS. Het ligt voor de hand dat dan sprake is van binnendringen via een valse hoedanigheid (namelijk met het account van het slachtoffer), maar dat acht de rechtbank (met een minimale motivering) niet bewezen.

Grootschalige oplichting via Marktplaats

De rechtbank Midden-Nederland heeft op 6 maart 2020 een verdachte veroordeeld (ECLI:NL:RBMNE:2020:853) voor een flinke gevangenisstraf van 20 maanden, waarvan 8 voorwaardelijk en een proeftijd van drie jaar, voor phishing (oplichting), bedreiging en diefstal. In de uitspraak wordt uitvoerig de modus operandi van de criminelen besproken.

De rechtbank overweegt dat de verdachte samen met andere verdachten steeds dezelfde modus operandi (gebruikte werkwijze) aanhield. Een koper benaderde de aangever via Marktplaats of via het telefoonnummer van de aangever dat de koper via Marktplaats had verkregen. De koper liet de aangever, meestal via WhatsApp, weten dat hij het door de aangever aangeboden goed op Markplaats wilde kopen. De koper vroeg de aangever vervolgens om € 0,01 over te maken via een door hem toegestuurde betaallink en zei daarbij dat hij er op die manier zeker van kon zijn dat de aangever te vertrouwen was en hij niet opgelicht zou worden. Wanneer de aangevers de betaallink openden, zagen zij een website die qua uiterlijk overeenkwam met de website van hun eigen bank. De aangever vulde vervolgens enkele persoonlijke gegevens in om deze € 0,01 over te maken. Deze gegevens konden bestaan uit de gebruikersnaam en het wachtwoord van hun bankrekening, het bankpasnummer en de vervaldatum van de bankpas.

Deze website sloeg vervolgens de gegevens op, waarna de koper of een derde kon inloggen op de bankrekening van de aangever en transacties kon uitvoeren. In enkele gevallen werd een geldbedrag overgemaakt naar de bankrekening van een derde (een money mule) en in diverse andere gevallen verplaatste de koper een geldbedrag van de spaarrekening van de aangever naar diens betaalrekening. Hierbij werd gedaan alsof de koper een geldbedrag van zijn eigen rekening had overgemaakt naar de rekening van de aangever. In dit geval vertelde de koper de aangever dat hij per ongeluk een te groot geldbedrag had overgemaakt, waarna hij de aangever vroeg om het te veel overgemaakte geld terug te storten. Als de aangever voldeed aan dit verzoek, maakte de aangever in werkelijkheid zijn of haar eigen spaargeld over naar de koper.

Bij een deel van de aangevers is de voornoemde methode niet voltooid. Deze aangevers kregen op verschillende momenten in dit proces argwaan, werden door hun bank benaderd en gewaarschuwd voor verdachte transacties of wilden om andere redenen niet meer meewerken met de koper. Zodra de koper dit besefte, werd zijn communicatie vaak agressief jegens deze aangevers en probeerde hij ze onder bedreiging van geweld te dwingen mee te werken of een geldbedrag af te staan. De bedreigingen stonden in Whatsappjes op de inbeslaggenomen telefoons opgeslagen, zoals: [slachtoffer 4] :

“Ik steek je huis in de fik en ik steek jou kapot en ik kom van het kamp en ik steek jouw hond kapot en ik steek je vrouw neer, ik maak heel jouw familie kapot”

en daarbij het adres van die [slachtoffer 4] te noemen. Dit leverde natuurlijk het nodigde bewijs op voor het delict bedreiging.

De zaak kent ook een interessante overweging over de bewijsvoering. Het bewijs wordt zeer uitvoerig besproken, zoals verkeersgegevens van telefonie, betaalgegevens en WiFi-gegevens ter lokalisering van de verdachte. De verdachte voert aan dat de naam van een verdachte bekend moet zijn om historische verkeersgegevens van telefonie onder artikel 126nd Sv te vorderen. De rechtbank overweegt dat dit sinds het arrest van HR 22 maart 2005, ECLI:NL:HR:2005:AS4689 niet meer noodzakelijk is. Wel opmerkelijk is de overweging dat ‘phishing-websites’ als technische hulpmiddel worden gekwalificeerd met het oogmerk om computervredebreuk te plegen, terwijl later wordt gesproken over de ontwikkeling van phishing-software.

De verdachten zijn in dit traject op verschillende manieren betrokken geweest bij de phishing, terwijl deze elementen van oplichting door middel van computervredebreuk, na phishing-activiteiten met gebruik van specifiek ontwikkelde software in essentiële zin met elkaar samenhangen om tot oplichting via phishing-software te komen. Hieruit blijkt volgens de rechtbank dat beide verdachten voldoende hebben bijgedragen aan dit proces om als medeplegers te worden beschouwd.

De rechtbank Den Haag heeft op 6 maart 2020 eveneens een verdachte veroordeeld (ECLI:NL:RBDHA:2020:2595) tot 36 maanden waarvan 6 maanden voorwaardelijk met een proeftijd van twee jaren voor het op grote schaal medeplegen van identiteitsfraude, (marktplaats)oplichtingen, gewoontewitwassen en deelnemen aan een criminele organisatie. Ook zijn er meer dan 150 vorderingen van benadeelde partijen (gedeeltelijk) toegewezen. De uitgebreide uitspraak is van goede kwaliteit en interessant vanwege de besproken modus operandi van de criminelen en de bewijsvoering.

De rechtbank overweegt dat de oplichter (verkoper) via Whatsapp contact zocht met de koper in advertentie opgegeven mobiele nummer. In eerste instantie was ophalen en opsturen van het apparaat mogelijk. Echter als de koper koos voor ophalen werd het door de verkoper zo gedraaid dat het wel heel ver weg was en/of dat een afspraak niet mogelijk was. Vervolgens werd het vertrouwen van de koper gewonnen door het sturen van een (selfie met een) identiteitsbewijs en door het gebruik van een gelijkende profielfoto op WhatsApp. Na ontvangst van de betaling bleef de verkoper enige tijd bereikbaar voor de koper en kreeg de koper een valse track en trace code. Vervolgens was de verkoper niet meer bereikbaar. Geen van de kopers ontving het gekochte product. In bijna alle gevallen maakte de verkoper gebruik van de identiteit van kopers die bij een aankoop zelf waren opgelicht en hun identiteitsbewijs naar de verkoper hadden verstuurd. Dit alles leverde het delict identiteitsfraude  op.

Het geld werd overgemaakt naar rekeningen die kort daarvoor waren geopende door personen uit Oostbloklanden (waarvan 41 rekeningen bij de ING). Deze rekeningnummers werden korte tijd gebruikt en de daarop gestorte gelden werden gedurende de dagen dat de rekeningen actief waren, op een enkele uitzondering na, contant opgenomen bij geldautomaten en casino’s in Amsterdam. De verdachten wisselden vaak van Simkaart in hun mobiele telefoon. De geschreven aantekeningen  – om bij te houden met excuses waarom het pakket niet geleverd – leverde in de zaak een deel van het bewijs voor oplichting. De rechtbank overweegt dat de verdachte kiest om te zwijgen, maar het bovenstaande schreeuwt om een verklaring, zeker toen de verdachte bewijsmateriaal probeerde te vernietigen tijdens de inval van de politie.

Ten slotte is de bewijsvoering nog interessant over de netwerken waarmee verbinding is gemaakt (een WiFi-netwerk). Het netwerk had blijkbaar ‘twee unieke MAC-adressen’, waarbij “onderzoek in  openbare bronnen wees vervolgens uit dat deze MAC-adressen behoorden bij twee Blackberry telefoons. De historische locatiegegevens van deze MAC-adressen gaven GPS locatiecoördinaten [GPS locatie 1] , [GPS locatie 2] die, met een nauwkeurigheid van 150 meter, de [adres 1] – de straat waar de verdachte woont – aanwijzen als de plek waar deze netwerken zijn gebruikt”.

Hoewel de oplichtingen per persoon slechts bedragen van tussen 300-600 euro bedroegen, wordt bewezen geacht dat de verdachte – samen met anderen – in totaal voor een bedrag van 105.261,41 euro heeft opgelicht.

Hoofdstukken uit ‘Strafrecht en ICT’ in open access beschikbaar

In januari 2019 verscheen het boek ‘Strafrecht en ICT’ van Bert-Jaap Koops en mij. Het boek betreft een studieboek en naslagwerk. We hebben goede reacties uit de praktijk gekregen.

Nu de embargoperiode van Sdu voorbij is, mag ik de belangrijkste hoofdstukken online zetten. Hieronder staan de links met een indicatie van de inhoud.

Materieel strafrecht en ICT
Het hoofdstuk biedt een overzicht van de strafbepalingen, wetsgeschiedenis en jurisprudentie over computercriminaliteit. Het hoofdstuk heeft de volgende inhoud:

  • Computervredebreuk en wederrechtelijk overnemen van gegevens
  • Afluisteren, aftappen en opnemen van communicatie
  • Verstoring van computergegevens
  • Verstoring van computersystemen
  • Misbruik van technische hulpmiddelen
  • Klassieke vermogensdelicten
  • Valsheid in geschrifte
  • Oplichting
  • Computergerelateerde zedenmisdrijven
  • Uitingsdelicten
  • Auteursrechtschendingen
  • Blik op de toekomst

Formeel strafrecht en ICT
Dit hoofdstuk behandeld alle relevante opsporingsbevoegdheden die worden in gezet in opsporingsonderzoeken naar cybercrime. Dit is de inhoudsindicatie:

  • Het opsporingsonderzoek
  • Doorzoeking, inbeslagname en onderzoek van gegevens in computers
  • Het vorderen van gegevens
  • De telecommunicatietap
  • Direct afluisteren
  • Stelselmatige observatie en locatiebepaling
  • Hacken als opsporingsbevoegdheid
  • Vergaren van publiekelijk toegankelijke online gegevens
  • Online undercover opsporingsmethoden
  • Digitaal bewijs
  • Blik op de toekomst

Grensoverschrijdende digitale opsporing

Dit hoofdstuk gaat over jurisdictie, het Cybercrimeverdrag, andere belangrijke verdragen en de grensoverschrijdende toepassing van opsporingsbevoegdheden. De inhoud is als volgt:

  • Jurisdictie en rechtshulp
  • Het Cybercrimeverdrag en internationale samenwerking in digitale opsporing
  • Grensoverschrijdende toepassing van bevoegdheden  
  • U.S. Cloud Act
  • Tweede Protocol bij het Cybercrimeverdrag (concept
  • EU-voorstellen voor digitale bewijsgaring

Jurisprudentieoverzicht cybercrime februari 2020

Hoge Raad arrest over kaartlezers

De Hoge Raad heeft op 17 december 2019 een arrest (ECLI:NL:HR:2019:1973) gewezen over de vraag of een kaartlezer een geautomatiseerd werk (artikel 80sexies Sr) is. De zaak ging over een vorm van fraude waarbij gemanipuleerde ‘e.dentifiers’ in bankshops van een bank werden geplaatst. Daarmee werden vervolgens valse betaalpassen vervaardigd, waarmee in totaal meer dan € 1 miljoen contant is opgenomen bij pinautomaten.

De Hoge Raad overweegt herhaalt de relevante overwegingen uit ECLI:NL:HR:2013:BY9718 met betrekking tot het (oude) begrip ‘geautomatiseerd werk’ in artikel 80sexies Sr. De Hoge Raad overweegt dat de kaartlezer een geautomatiseerd werk is, omdat het een apparaat is die  authenticatie en uitwisseling van mede op rekeninggegevens en pincodes gebaseerde (challenge- en response)cijfercodes met het Internet Bankieren-systeem van de bank mogelijk maakt. Dat vindt plaats ten behoeve van digitale bancaire transacties. Zij maken daarmee deel uit van een systeem waarbij opslag, verwerking en overdracht van gegevens plaatsvindt (r.o. 3.5.3).

Oude vs nieuwe definitie geautomatiseerd werk

Het arrest gaat nog over de oude definitie van een geautomatiseerd werk. Het begrip is door de inwerkingtreding van de Wet computercriminaliteit III gewijzigd in:

“Onder geautomatiseerd werk wordt verstaan een apparaat of groep van onderling verbonden of samenhangende apparaten, waarvan er één of meer op basis van een programma automatisch computergegevens verwerken”.

Met dit nieuwe begrip wordt aangesloten uit de definitie uit het Cybercrimeverdrag. Hieronder vallen volgens de toelichting in ieder geval apparaten die gegevens verwerken en in verbinding staan met een netwerk. Gezien de verwerking van gegevens valt mijns inziens een kaartlezer ook onder dit nieuwe begrip van een geautomatiseerd werk.

Aftappen en opnemen van gegevens

Over aftappen en opnemen in de zin artikel 139c Sr overweegt de Hoge Raad dat uit de wetsgeschiedenis volgt dat de in art. 139c Sr opgenomen termen ‘aftapt’ en ‘opneemt’ zien op het onderscheppen en vastleggen van stromende gegevens, dat wil zeggen gegevens die in een proces zijn van verwerking en overdracht. Het vastleggen van opgeslagen gegevens valt niet aan te merken als aftappen of opnemen in de zin van art. 139c Sr, maar als het ‘overnemen’ van gegevens (r.o. 3.6.2).

De Hoge Raad gaat mee in het oordeel van het Hof dat sprake is van ‘afgetapte en opgenomen gegevens’, omdat actief werd ingegrepen tijdens het ‘vraag- en antwoordspel van de identificatiekaartlezer’ tijdens internetbankieren. Daarbij worden gegevens via de chip opgevraagd, die in reactie daarop worden overgedragen en via een PIN code worden onderschept (r.o. 3.6.3).

Livestream kan afbeelding zijn in de zin van art. 240b Sr

Op 10 december 2019 heeft de rechtbank West-Brabant-Zeeland een 66-jarige verdachte veroordeeld (ECLI:NL:RBZWB:2019:5546) tot drie jaar gevangenisstraf en TBS voor ontucht en de vervaardiging en verspreiding van kinderporno.

De “surrogaat opa” won het vertrouwen van een gezin droeg als oppas zorg voor een 12-jarige meisje. Met dit meisje heeft hij ontucht gepleegd en heeft hij beeldmateriaal vervaardigd. In 2000 is verdachte in Nederland ook al veroordeeld tot 30 maanden gevangenisstraf waarvan zes maanden voorwaardelijk voor soortgelijke feiten. In 2012 is verdachte in België veroordeeld tot 6 jaar gevangenisstraf voor verkrachting en aanranding van een minderjarige.

Het is een zaak met dramatische en trieste feiten, maar juridisch gezien wordt een belangrijke vraag gesteld. De verdachte heeft met zijn eigen telefoon en onder zijn eigen account een livestream van seksuele activiteiten en handelingen van het slachtoffer uitgezonden.

De rechtbank overweegt dat sprake is van een kinderpornografische ‘afbeelding’ in de in zin art. 240b Sr, omdat via een livestream mogelijk wordt gemaakt dat anderen een weergave van de werkelijke seksuele gedragingen van kinderen kunnen zien door middel van streamen en volgen. De verdediging voert aan dat geen sprake is van een afbeelding in de zin van 240 Sr, omdat geen sprake is van het vereiste van ‘enige duurzaamheid’. De rechtbank gaat daar niet in mee.

De rechtbank overweegt dat ‘een afbeelding in de zin van genoemd artikel is het weergeven van een werkelijkheid door middel van een technisch hulpmiddel waardoor deze werkelijkheid door (veel) anderen door middel van gebruik van techniek bekeken kan worden. Gelet op het doel en de strekking van genoemd artikel is ‘enige duurzaamheid’ geen vereiste om te kunnen spreken van een afbeelding in de zin van dit artikel’.

Veroordeling voor verspreiding kinderporno via GigaTribe

Op 11 december 2019 heeft het Hof Arnhem-Leeuwarden een verdachte veroordeeld (ECLI:NL:GHARL:2019:11285) tot 12 maanden gevangenisstraf voor de verspreiding van kinderporno via het peer-to-peer programma GigaTribe.

Net als in ECLI:NL:RBNNE:2017:2882 (zie ook mijn annotatie hierover) werd de zaak opgestart nadat Zwitserse autoriteiten via een undercover actie het account van een persoon hadden overgenomen en daarmee met de Nederlandse verdachte communiceerden over kinderporno. Tijdens het chatgesprek met de verdachte ontvingen de Zwitserse autoriteiten het wachtwoord van zijn versleutelde folder, waarin kinderporno bleek te staan. De Zwitserse ‘Cybercrime Coordination Unit’ deelden de informatie met de Nederlandse autoriteiten, die een onderzoek startten.

De verdediging voerde aan dat het Openbaar Ministerie niet-ontvankelijk moet worden verklaard voor het gebruik van bewijsmateriaal door de undercover acties van de Zwitserse autoriteiten.

Volgens het hof is er geen sprake van enig vormverzuim. Tijdens de doorzoeking van de woning van een verdachte is op een computer en USB-stick van de verdachte 1048 foto’s en 409 films aangetroffen met kinderpornografisch materiaal. Bovendien stonden op de laptop van de verdachte GigaTribe-chatgesprekken.

Mooi is ook de volgende overweging van het hof: ‘dat de verdachte de gebruiker is geweest van het account leidt het hof af uit de omstandigheid dat nagenoeg hetzelfde wachtwoord van dit account, staat vermeld op de onderlegger die de verbalisanten onder het toetsenbord van de verdachte hebben aangetroffen’. Ook kon het IP-adres worden teruggeleid tot de verdachte.

Veroordeling voor dreiging high school shooting via YouTube

Het hof Amsterdam heeft op 10 december 2019 een verdachte vrijgesproken (ECLI:NL:GHAMS:2019:461) van poging tot bedreiging. De minderjarige verdachte werd verweten op YouTube de volgende tekst te plaatsen:

“Fuck you man just when I was planning my school shooting you came out with motivational bs (this is actually no joke)”.

Het hof overweegt in hun vrijspraak dat in welke context de verdachte zijn bericht heeft geplaatst, namelijk op een groepspagina van een website en als reactie op een bericht van de beheerder. Niet is komen vast te staan dat er een potentiële groep bedreigden op de hoogte zijn geraakt van de bedreiging.

Daarbij komt dat de woorden in het bericht, mede gelet op de context waarin ze zijn gebruikt, een onvoldoende specifieke inhoud en een onvoldoende duidelijk dreigende strekking hebben om een strafbare bedreiging op te leveren. De geplaatste tekst bevat ook geen enkele verwijzing naar een bestaande school, noch naar een locatie waar een dergelijke shooting zou plaatsvinden.

Het hof is daarom van oordeel dat onvoldoende grond bestaat voor de conclusie dat door het bericht redelijke vrees kon ontstaan dat personen het leven zouden kunnen verliezen, zodat ook om die reden van een voltooide bedreiging geen sprake kon zijn. Het bericht kan om dezelfde redenen evenmin worden aangemerkt als een begin van uitvoering om een dergelijke vrees te doen ontstaan, zodat ook van een poging tot bedreiging geen sprake is.

Gevangenisstraffen voor grootschalige phishing

De rechtbank Midden-Nederland heeft op 11 december 2019 verschillende verdachten veroordeeld (o.a. ECLI:NL:RBMNE:2019:5885 t/m ECLI:NL:RBMNE:2019:5898) voor grootschalige phishing. Sommige verdachten kregen een gevangenisstraf opgelegd van 2 en 3 jaar. Ook moesten sommige verdachten geleden schade terugbetalen van rond de 150.000 euro.

De phishing ging in zijn werking door mails te sturen naar mensen die zogenaamd van banken afkomstig zijn. Vervolgens worden de rekeninghouders doorgestuurd naar websites die sprekend op die van de banken lijken. Later verstuurde de verdachte phishingmails waarin stond dat de rekeninghouder een nieuwe bankpas aan moest vragen en zijn inloggegevens moest invoeren.

De gegevens die de gedupeerden op de nepwebsite achter lieten, kwamen terecht in een mailbox waar de verdachte de inloggegevens van had. Op die manier konden de verdachten bij hun inlog- en bankgegevens en konden mededaders geld opnemen bij pinautomaten. De verdachten bestelden daarnaast spullen bij webwinkels en haalden de goederen vervolgens bij afhaalpunten op.

De verdachten maakten zich volgens de rechtbank, met ieder zijn eigen rol, op een uitgekookte manier schuldig aan meerdere diefstallen, oplichting, computervredebreuk (art. 138ab Sr), het ter beschikking stellen van software om computervredebreuk te plegen (art. 139d jo art. 138 ab Sr) en witwassen.

Veroordelingen voor phishing

Posted on 26/02/2018 op Oerlemansblog

Enkele recente uitspraken over phishing en computervredebreuk laten zien dat phishing-zaken complexer worden. Het betreft bovendien een combinatie van oplichting met computervredebreuk. De zaken zijn interessant om te lezen en verder te onderzoeken, omdat er interessante details in staan over de digitale bewijsvoering en de manier waarop de delicten zijn uitgevoerd.

Veroordeling door het Hof Amsterdam

Door het Hof Amsterdam is in november 2017 een verdachte veroordeeld voor het versturen van 132.260 phishing e-mails en het hacken van negen websites. Daarbij werd gebuikt gemaakt van de programma’s  ‘Gre3nox’ en ‘Havij’. Gre3nox wordt gebruikt om kwetsbaarheden in websites op te sporen en Havij om databases van websites te hacken door middel van SQL-injecties.

De verdachte richtte zich in zijn mails op gebruikers van de creditcardmaatschappij ICS, waarbij de inlogpagina van de dienstverlener werd nagemaakt om inloggegevens af te vangen. Gezien de op de laptop en de SD-kaart aangetroffen bestanden met betrekking tot phishingwebsites en de in de internetcache aangetroffen gegevens, vond het Hof het aannemelijk dat deze phishing e-mailberichten van de verdachte afkomstig waren.

Opvallend is overigens de vermelding dat de verdachte gebruik maakte van het internet van zijn buurvrouw, waardoor de politie op een dwaalspoor werd gezet.  De verdachte is veroordeeld voor 30 maanden gevangenisstraf, waarvan 15 maanden voorwaardelijk.

Veroordeling door de rechtbank Den Haag

Op 22 december 2017 zijn door de Rechtbank Den Haag verschillende verdachte veroordeeld voor computervredebreuk, diefstal en grootschalige oplichting van consumenten door elektronica aan te bieden via namaakwebshops. Op basis van anonieme tips en andere informatie zijn de verdachten op 18 mei 2015 door de politie aangemerkt als mogelijke plegers van dergelijke vormen van internetoplichting.

De verdachten hebben met gephishte gegevens ingelogd op Admarkt- en reguliere Marktplaatsaccounts en daarop andere advertenties geplaatst die verwezen naar namaakwebshops. Deze namaakwebshops waren afgeleid van webshops van bedrijven zoals BCC, Dixons, Simyo en Topprice. De namaakwebshops waren niet of nauwelijks van de echte webshops te onderscheiden. Soms waren adressen, telefoonnummers, BTW- en KvK-nummers van het reguliere bedrijf overgenomen en altijd bestond er een contactmogelijkheid via e-mail of door middel van een chatfunctionaliteit. De producten werden op professionele wijze gepresenteerd. Consumenten hadden nadat zij via een betrouwbaar ogende advertentie op Marktplaats werden doorgelinkt naar de namaakwebshop, dan ook niet door dat zij op een frauduleuze website waren beland.

De koopprijs van producten werd door consumenten betaald op een door verdachte opgegeven rekeningnummer, meestal via iDEAL of een andere betaaldienstverlener. De bestelde producten werden daarna niet geleverd en verdachte heeft ook nooit de intentie gehad die te leveren. Met twee anderen heeft verdachte zich schuldig gemaakt aan de hack van Scrypt.cc, met grote schade tot gevolg.

Het beroep van de raadsman van de verdachte op het ‘Smartphone-arrest’ van de Hoge Raad  slaagde in dit geval, omdat zich een ernstige privacy-inmenging heeft voorgedaan door het diepgravende onderzoek waarbij het hele privéleven van de verdachte bloot komt te liggen. Daarvoor is een machtiging van een rechter-commissaris noodzakelijk die niet aanwezig was. De Rechtbank Den Haag verbindt echter geen sanctie aan het vormverzuim.

Ook met betrekking tot gebezigde bewijsmiddelen is de zeer uitgebreide uitspraak van de Rechtbank Den Haag interessant. Den daarbij aan de vermelding van bijzondere opsporingsmiddelen, zoals een internettap, het vorderen van gebruikers- en verkeersgegevens bij Google, betalingen met het uitwisselingskantoor van cryptocurrencies ‘AnyCoin’ en informatie over de online betalingsdienst Skrill (die enige anonimiteit aan gebruikers biedt). Leesvoer voor zowel advocaten als cybercrimebestrijders lijkt mij!

Enkele veroordelingen voor phishing

Het Hof Amsterdam en de rechtbank Den Haag hebben in november en december enkele verdachten veroordeeld voor grootschalige phishing. Door het Hof Amsterdam is een verdachte veroordeeld (ECLI:NL:GHAMS:2017:4753) voor het versturen van 132.260 phishing e-mails en het hacken van 9 websites. Daarbij werd gebuikt gemaakt van de programma’s  ‘Gre3nox’, welk programma gebruikt wordt om kwetsbaarheden in websites op te sporen en ‘Havij’, welk programma gebruikt wordt om databases van websites te hacken door middel van SQL-injecties.

De verdachte richtte zich in zijn mails op gebruikers van de creditcardmaatschappij ICS, waarbij de inlogpagina van de dienstverlener werd nagemaakt om inloggegevens af te vangen. Gezien de op de laptop en de SD-kaart aangetroffen bestanden met betrekking tot phishingwebsites en de in de internetcache aangetroffen gegevens, vond het Hof het aannemelijk dat deze phishing e-mailberichten van de verdachte afkomstig waren. Opvallend is overigens de vermelding dat de verdachte gebruik maakte van het internet van zijn buurvrouw, waardoor de politie op een dwaalspoor werd gezet.  De verdachte is veroordeeld voor 30 maanden gevangenisstraf, waarvan 15 maanden voorwaardelijk.

Op 22 december 2017 zijn door de Rechtbank Den Haag verschillende verdachte veroordeeld voor computervredebreuk, diefstal en grootschalige oplichting van consumenten door elektronica aan te bieden via namaakwebshops. Op basis van anonieme tips en andere informatie zijn de verdachten op 18 mei 2015 door de politie aangemerkt als mogelijke plegers van dergelijke vormen van internetoplichting.

De verdachten hebben met gephishte gegevens ingelogd op Admarkt- en reguliere Marktplaatsaccounts en daarop andere advertenties geplaatst, die verwezen naar namaakwebshops. Deze namaakwebshops waren afgeleid van webshops van bedrijven zoals BCC, Dixons, Simyo en Topprice. De namaakwebshops waren niet of nauwelijks van de echte webshops te onderscheiden. Soms waren adressen, telefoonnummers, BTW- en KvK-nummers van het reguliere bedrijf overgenomen en altijd bestond er een contactmogelijkheid via e-mail of door middel van een chatfunctionaliteit. De producten werden op professionele wijze gepresenteerd. Consumenten hadden nadat zij via een betrouwbaar ogende advertentie op Marktplaats werden doorgelinkt naar de namaakwebshop, dan ook niet door dat zij op een frauduleuze website waren beland.

De koopprijs van producten werd door consumenten betaald op een door verdachte opgegeven rekeningnummer, meestal via iDEAL of een andere betaaldienstverlener. De bestelde producten werden daarna niet geleverd en verdachte heeft ook nooit de intentie gehad die te leveren. Met twee anderen heeft verdachte zich schuldig gemaakt aan de hack van Scrypt.cc, met grote schade tot gevolg.

Het beroep van de raadsman van de verdachte op het ‘Smartphone-arrest’ van de Hoge Raad (ECLI:NL:HR:2017:588) slaagde in dit geval, omdat zich een ernstige privacy-inmenging heeft voorgedaan door het diepgravende onderzoek waarbij het hele privéleven van de verdachte bloot komt te liggen. Daarvoor is een machtiging van een rechter-commissaris noodzakelijk. De Rechtbank verbindt echter geen sanctie aan het vormverzuim.

Ook met betrekking tot gebezigde bewijsmiddelen is de zeer uitgebreide uitspraak van de Rechtbank Den Haag interessant, vanwege de vermelding van bjzondere opsporingsmiddelen, zoals een internettap, het vorderen van gebruikers- en verkeersgegevens bij Google, betalingen met het uitwisselingskantoor van cryptocurrencies ‘AnyCoin’ en informatie over de online betalingsdienst Skrill (die enige anonimiteit aan gebruikers biedt). De medeverdachten zijn veroordeeld voor het medeplegen van feiten, zoals het verkrijgen van inloggegevens door middel van phishing en het fungeren als katvanger door betaalrekeningen beschikbaar te stellen.