Europol internet organised threat assessment 2018 (IOCTA)

Posted on op Oerlemansblog

Op 18 september 2018 heeft Europol een rapport (.pdf) over cybercrime uitgebracht. Het rapport biedt een mooi overzicht met gedetailleerde inzichten over de ontwikkeling van cybercrime. Het rapport is gebaseerd op rapporten van IT-beveiligingsbedrijven en zelfrapportage door opsporingsinstanties. In deze blog post zet ik de belangrijkste resultaten uit de ‘Internet Organised Crime Threat Assessment 2018’ op een rijtje.

1.         Ransomware is de no. 1 cybercrime-bedreiging

Ransomware is volgens Europol de nummer 1 dreiging op het gebied van cybercrime (in enge zin). Het heeft bovendien als dreiging van banking malware (waarmee frauduleuze betalingstransacties worden uitgevoerd) op het gebied van malware overgenomen. De meest voorkomende ransomware is Cerber, Cryptolocker, Crysis, Curve-Tor-Bitcoin Locker (CTBLocker), Dharme en Locky. Naar verluid verdienen de makers van Cerber-malware naar verwachting 200.000 euro per maand, door hun kwaadaardige software te licenseren aan anderen. Ransomware richt zich echter steeds vaker op specifieke organisaties.

Europol stelt vast dat na de NotPetya en Wannacry-aanval, initieel veel onzekerheid bestond over de motieven van de daders en typen daders. Omdat zowel cybercriminelen als ‘nation state actors’ gebruik maken van dezelfde technieken en tools is het lastiger de twee actoren te onderscheiden. Samenwerking tussen opsporingsinstanties, ‘Computer Incident Response Team’-teams en inlichtingendiensten is daarom volgens Europol noodzakelijk.

2.         Cryptomining malware en cryptojacking groeit

Opsporingsinstanties komen Bitcoin nog steeds het vaakst tegen in opsporingsonderzoeken naar cybercrime, hoewel meer anonieme cryptocurrencies, zoals Monero en ZCash, steeds populairder worden. Cryptocurrency uitwisselingskantoren (exchanges), mixing diensten en diensten die online portemonnees voor cryptocurrencies aanbieden worden ook steeds vaker het doelwit van afpersing en hacken. Witwassers maken ook vaker gebruik van gedecentraliseerde uitwisselingsdiensten die geen Know Your Customer beleid voeren, waarbij mensen bij elkaar komen om echt geld voor virtueel geld te wisselen. Cryptocurrencies die anonimiteit al ‘ingebakken hebben’, zullen volgens Europol mixing diensten overbodig maken. Europol merkt terecht op dat een kernvaardigheid zijn voor cybercrime-onderzoekers is om onderzoek te doen naar het misbruik van cryptocurrencies.

‘Cryptojacking’ wordt als nieuwe vorm van cybercrime gezien. Bij cryptojacking worden cryptocurrencies gedolven door gebruik te maken van de verwerkingcapaciteit van computers die aan het werk worden gezet door een javascript op websites. Daarbij wordt vooral het ‘CoinHive JavaScript miner’ gebruikt, waarmee Monero wordt gedolven. Cryptojacking is volgens Europol niet altijd strafbaar (ik kan zelf ook geen artikel uit het Wetboek van Strafrecht bedenken dat van toepassing is).

Europol wijst er op dat cryptojacking (virtueel) geld creëert en daarmee een motivatie vormt voor hackers om legitieme websites als doelwit aan te merken om van daar uit cryptojacking toe passen. Het hacken van website is uiteraard wel strafbaar (art. 138ab (lid 3 sub a?) Sr). Het gebruikt van mining malware is natuurlijk wel strafbaar (o.a. op grond van art. 138ab lid 3 sub a Sr en art. 350a lid 1 Sr) en kan het computersysteem van een slachtoffer plat leggen.

3.         Turbulentie en verplaatsing bij darknet markets

In 2017 zijn de populaire darknet markets ‘AlphaBay’, ‘Hansa’ en ‘RAMP’ offline gehaald. Ook zijn veel marktplaatsen uit zichzelf over de kop gegaan, bijvoorbeeld vanwege hacks en ‘exit scams’ van de eigenaren.

De ‘take downs’ door de politie hebben volgens Europol geleid tot de migratie van gebruikers naar bestaande of nieuwe markten, naar andere platformen (zoals I2P en Freenet) en gezamenlijke groepen of kanalen in versleutelde communicatie-apps.

4.        Groei van online misbruik via ‘live streaming’ diensten en sextortion

Materiaal met seksueel geweld tegen kinderen (o.a. kinderporno) wordt steeds minder vaak verspreid via peer-to-peerprogramma’s, zoals Gigatribe, BitTorrent en eDonkey en steeds meer via het darknet. In dat opzicht is het opvallend dat ik in (Nederlandse gepubliceerde) uitspraken over kinderporno wel lees over veroordelingen voor de verspreiding van kinderporno via Gigatribe, maar niet over de verspreiding via darknet forums.

Europol wijst daarbij ook op misbruik door gebruik ‘live streaming’-diensten via apps en chatkanalen, waarvoor soms ook wordt betaald via betalingsapps op de mobiele telefoon. Opgenomen materiaal wordt ook vaak gebruikt voor het afpersen van minderjarigen voor meer materiaal. Omdat kinderen vaak op jongere leeftijd op internet actief worden, kunnen ze ook op jongere leeftijd in contact komen met online zedendelinquenten en slachtoffer worden. Zowel internet service providers als betalingsdienstverleners moeten ook inspanningen verlenen om kindermisbruik tegen te gaan. Daarnaast doet Europol de nadrukkelijke (nieuwe) aanbeveling om hulpprogramma’s in te zetten voor daders, zodat deze hun driften beter leren beheersen.

5.         Ontwikkelingen in online fraude

West-Afrikaanse en andere fraudeurs passen meer geavanceerde aanvallen toe, waarbij ook zakelijke e-mail wordt compromitteert. Daarbij vinden meer gerichte aanvallen plaats, waarbij gedacht kan worden aan ‘CEO’-fraude (mails sturen uit naam van de CEO aan iemand in het bedrijf die betalingen uitvoert). Daarnaast maken ‘helpdeskfraude’, ‘advanced fee fraud’ en ‘romance scams’ nog steeds veel slachtoffers.

6.         Opsporing wordt lastiger door technische en juridische ontwikkelingen

Opvallend is ten slotte de waarschuwing van Europol dat juridische ontwikkelingen (in het bijzonder de AVG, waardoor de publieke toegang tot de WHOIS-database is afgesloten) en technische ontwikkelingen (zoals 5G zie dit ENISA rapport over 5G (.pdf)), het significant lastiger maken voor zowel publieke als private speurders om verdachten te attribueren en hun locatie te bepalen.

Europol is in het rapport stellig dat het vorderen van gegevens of het invullen van een ‘request form’ bij de registrars ondoenlijk werk oplevert voor opsporingsinstanties. 5G heeft als voordeel veel hogere snelheden en beveiliging dan 4G, maar als nadeel dat het lastiger is voor opsporingsinstanties om hier interceptie op uit te voeren en naar verluidt lastiger maakt om gebruikers van telecomdiensten te identificeren.

Cybercrime jurisprudentieoverzicht oktober 2017

Wraakporno op Facebook geplaatst

Op 18 oktober 2017 heeft het Hof Amsterdam een arrest gewezen (ECLI:NL:GHAMS:2017:4648) inzake smaadschrift en het verspreiden van afbeeldingen die de eerbaarheid schenden (art. 240 Sr).

In deze zaak had de verdachte een naaktfoto in een post op Facebook op het account van het slachtoffer geplaatst. Deze post in verschenen in de nieuwslijst van vrienden en volgers van het slachtoffer. Daarmee is volgens het Hof sprake van het toezenden van een afbeelding dat aanstotelijk is voor de eerbaarheid is, waarbij die afbeelding aan iemand wordt toegezondenals bedoeld in art. 240 Sr.

Het Hof acht het plaatsen van deze wraakporno ‘volstrekt onacceptabel’ gelet het ‘specifieke, eeuwige karakter van het internet’ en de ernstige gevolgen voor het slachtoffer wier naaktfoto openbaar is geworden. Ook is sprake van smaadschrift. Het Hof overweegt dat de eer of goede naam van het slachtoffer is aangetast door bij de naaktfoto de tekst te plaatsen: ‘app me voor meer’, met vermelding van het telefoonnummer van de aangeefster. Daarmee heeft de verdachte de aangeefster ervan beschuldigd (ten laste gelegd) een meisje te zijn dat bezig was met het werven van willekeurige personen om seksuele handelingen mee te verrichten.

Deze beschuldiging is naar haar aard aan te merken als een aanranding van iemands eer of goede naam. De verdachte krijgt een taakstraf opgelegd van 80 uur en een verplichting tot het betaling van een schadevergoeding van 2000 euro aan het slachtoffer voor geleden immateriële schade. Opvallend is dat in deze zaak geen computervredebreuk ten laste is gelegd, aangezien de post zonder toestemming via het account van het slachtoffer op Facebook is geplaatst.

Sexting en toegang tot kinderporno via Snapchat         

De militaire kamer van de Rechtbank Gelderland heeft op 30 oktober 2017 (ECLI:NL:RBGEL:2017:5674) een verdachte veroordeeld voor het aanbieden van schadelijke afbeeldingen aan iemand onder de zestien jaren en toegang tot kinderporno. De verdachte is een militair en scoutingleider en heeft seksueel contact gehad via Snapchat met een 13-jarige pupil.

Kenmerkend aan Snapchat is dat de berichten en verstuurde afbeeldingen na een paar seconden worden gewist. De rechtbank heeft daarom overwogen dat de verdachte de foto’s, gelet op de bijzondere eigenschappen van deze applicatie, niet in bezit heeft gehad of heeft verworven, maar zich wel met gebruikmaking van een geautomatiseerd werk en/of communicatiedienst de toegang tot de foto’s heeft verschaft.

Uit de bewijsmiddelen volgt ook niet dat verdachte de foto’s op een andere wijze heeft vastgelegd, bijvoorbeeld door hiervan een screenshot te maken. De verdachte wordt veroordeeld tot een taakstraf van 120 uur en een gevangenisstraf van 2 dagen met bijzondere voorwaarden.

Veroordeling tot poging tot verleiding, grooming en belaging via internet

Op 20 oktober 2017 heeft de Rechtbank Noord-Nederland een verdachte veroordeeld (ECLI:NL:RBNNE:2017:4022) tot een gevangenisstraf van één jaar en TBS met verpleging voor (poging tot) verleiding, grooming en belaging.

De verdachte heeft zich op Facebook voorgedaan als twee verschillende vijftienjarige meisjes en daarna getracht twee minderjarige jongens zover te krijgen dat zij seksueel getinte foto’s of filmpjes zouden maken en het materiaal naar hem toe te sturen. Hij heeft een van de jongens ook onder druk gezet om hem te ontmoeten. Verdachte heeft de jongens zeer dwingend en ook dreigend benaderd met een stortvloed aan oproepen, telefoontjes en chatgesprekken.

De uitspraak is ook van uit bewijstechnisch oogpunt interessant, omdat het digitaal onderzoek van de politie uitgebreid wordt beschreven. Zo wordt in de uitspraak beschreven dat de politie op Facebook onderzoek heeft gedaan en zag dat de profielfoto bij het account van de verdachte een koalabeer betrof. De politie heeft op Instagram het profiel van het slachtoffer bekeken en geconstateerd dat dit account werd gevolgd door het Instagramaccount met de dezelfde kaolabeer.

De politie heeft van Instagram de ip-adressen en geregistreerde e-mailadres verkregen van de accounts van de verdachte. Ook heeft de politie van Facebook het IP-adres ontvangen waarmee het account van de verdachte was aangemaakt. De politie heeft daarna van Ziggo BV de gebruikersgegevens bij het IP-adres opgevraagd en van daaruit de verdachte opgespoord.

Het verweer van de verdediging dat iemand anders achter het account zat slaagt niet, omdat gelet op het voorgaande deze stelling volgens de rechtbank onaannemelijk is. Bovendien is het bewijs niet alleen naar verdachtes internetverbinding te herleiden; daarnaast is ook gebruik gemaakt van verdachtes’ e-mailadres, telefoon en USB-stick.

Veroordeling computervredebreuk en creditcardoplichting

Op 8 november 2017 heeft Hof Amsterdam een verdachte veroordeeld (ECLI:NL:GHAMS:2017:4753) voor computervredebreuk, poging tot internetoplichting en het voorhanden hebben van een valselijk opgemaakt schrift.

De verdachte heeft ruim twee jaar lang websites gehackt en daarbij gebruik gemaakt van de WiFi van zijn buurvrouw via de gedeelde inloggegevens.

De verklaring van de verdachte dat hij niet wist hij van deze verbinding gebruik maken acht het Hof niet geloofwaardig, gezien de informaticaopleiding van de verdachte en zijn overige internetactiviteiten. Bovendien werd tijdens een huiszoeking op het scherm van de verdachte de volgende actieve programma’s te zien: Sendblaster Pro (software om massaal e-mails te versturen), Gre3NoX Exploit Scanner (software om zwakheden in websites op te sporen) en Havij (software om databases van websites te hacken door middel van SQL-injecties) en een website die erop was gericht gegevens met betrekking tot ICS af te vangen (te phishen).

De verdachte heeft met behulp van phishingapparatuur getracht op grote schaal creditcardgegevens te bemachtigen van ICS klanten door hun een e-mail te sturen (in totaal 132.260 e-mails) waarin hij zich voordeed als (medewerker van) ICS en waarin de klant werd gevraagd op een link te drukken die hen zou doorgeleiden naar een phishingwebsite. Ondanks dat bij de verdachte aangetroffen bestanden en papieren met creditcardnummers zijn aangetroffen, inclusief vervaldata en CVC codes, acht het Hof oplichting niet bewezen. De reden is dat volgens het Hof uit niets blijkt dat deze creditcardgegevens afkomstig zijn van ICS klanten, laat staan dat zij door ICS klanten naar de verdachte zijn verstuurd naar aanleiding van door hem verzonden phishing e-mails. Daarnaast heeft de verdachte een valselijk opgemaakt geschrift, te weten een jaaropgave, voorhanden gehad.

De verdachte krijgt daarvoor 2,5 jaar gevangenisstraf opgelegd, waarvan de helft voorwaardelijk. Het Hof vindt het daarbij, gelet op de bij de verdachte aanwezige kennis van computers en wegen om daarmee criminele activiteiten te ontplooien, in combinatie met zijn werk in de commerciële sector, van belang een deel van de gevangenisstraf voorwaardelijk op te leggen en een proeftijd van drie jaren vast te stellen als stok achter de deur.