Cybercrime jurisprudentieoverzicht september 2021

Veroordeling op basis van bewijs uit Sky ECC

Op 19 augustus 2021 heeft de rechtbank Amsterdam een van de eerste verdachten veroordeeld (ECLI:NL:RBAMS:2021:4320) (mede) op basis van de berichten die zijn veilig gesteld van de ‘cryptochat-app’ ‘Sky ECC’. In een operatie van Belgische, Franse en Nederlandse opsporingsinstanties in maart 2021 zijn honderden miljoenen berichten van ongeveer 70.000 Sky ECC-gebruikers onderschept. Deze berichten worden onderzocht op strafbare feiten, waarna opsporingsonderzoeken worden opgestart. Volgens Europol waren veel personen naar Sky ECC overgestapt na de EncroChat operatie in 2020. Wereldwijd maakten 170.000 personen gebruik van de tool, waarbij 3 miljoen berichten per dag tussen gebruikers werden verstuurd. Ongeveer 20 procent van de klanten komen volgens Europol uit België en Nederland. De servers van de elektronische communicatiedienst stonden in de Europese Unie.

In het onderzoek ‘26Chesham’ staat de uitvoer van cocaïne centraal. Het opsporingsonderzoek 26Chesham is gestart naar aanleiding van informatie afkomstig uit het onderzoek ‘26Argus’. 26Argus betreft het onderzoek naar een berichtenapp Sky ECC. Het bedrijf installeerde versleutelingssoftware op iPhones, Google Pixels, Blackberry’s en Nokia’s. Het berichtenverkeer liep via servers in Frankrijk en Canada. De rechtbank overweegt verder dat de CEO en werknemers van Sky Global in de Verenigde Staten zijn aangeklaagd wegens het opzettelijk faciliteren van criminele organisaties. In het onderzoek 26Argus worden chats van de gebruikers van deze software en cryptotelefoons op basis van vooraf door de rechters-commissaris in dat onderzoek goedgekeurde trefwoorden onderzocht.

De verdediging voert aan dat sprake is van vormverzuimen, omdat de officier van justitie heeft nagelaten tijdig de essentiële stukken te overleggen die nodig zijn om te kunnen toetsen of het gebruik van informatie uit het onderzoek 26Argus rechtmatig is geweest. Op deze wijze wordt de verdediging ervan weerhouden de verdediging effectief uit te kunnen voeren, waardoor de rechten van verdachte worden geschonden. De rechtbank overweegt dat – omdat verdachte zelf heeft verklaard dat hij niet actief gebruik heeft gemaakt van zijn Sky ECC-telefoon en dat hij daarop geen berichten heeft gezien – ‘het de rechtbank niet duidelijk wat het vermeende vormverzuim voor nadelige gevolgen voor de verdachte heeft gehad’. De verweren slagen daarom niet.

De rechtbank neemt de aanwezigheid van ‘encrypted telefoons’ bij alle vier de verdachten in aanmerking. Volgens de rechtbank is ‘het is een feit van algemene bekendheid dat criminelen met zulke telefoons over de uitvoering van strafbare feiten communiceren, omdat de daarmee verzonden versleutelde berichten moeilijk te onderscheppen zijn’. Gebleken is dat ‘aan de Sky-id van [naam 1] op 8 maart 2021 een bericht is gestuurd met het adres waar hij vlak daarna door [verdachte] is opgehaald en naar de loods is gebracht’. Dat ook over het transport is gecommuniceerd met encrypted telefoons blijkt ‘uit het bericht dat op de Sky ECC-telefoon van [naam 1] is aangetroffen, betreffende het adres waar hij op 8 maart [verdachte] zou ontmoeten’.

De rechtbank acht bewezen het medeplegen van een poging tot uitvoer van 125 kilogram cocaïne op 8 maart 2021 te Cruquius alsmede het medeplegen van het opzettelijk aanwezig hebben van die cocaïne op diezelfde dag bewezen. De verdachte in deze zaak krijgt een gevangenisstraf opgelegd van 5 jaar. 

Beslissing inzake inzet bevoegdheden EncroChat

Ik heb mijn cybercrime jurisprudentieoverzicht al meerdere keren strafzaken besproken (zie hier, hier en hier) die voortvloeien uit de EncroChat-operatie, waarbij miljoenen berichten zijn verzameld en geanalyseerd door politie en justitie. Uit deze operatie komen nog steeds strafzaken uit voort, waarvan in deze rubriek er één wordt uitgelicht, omdat het een nieuwe ontwikkeling betreft.

De rechtbank Den Haag besliste op 25 augustus 2021 over onderzoekwensen in verband met EncroChat (ECLI:NL:RBDHA:2021:9368). Het meest relevante onderdeel van de beslissing is het onderdeel over de verstrekking van (ook onderliggende gegevens) bij de machtiging van de rechter-commissaris voor het gebruik van EncroChat-gegevens voor strafzaken.

De verdediging voert aan dat de officier van justitie inmiddels de machtiging van de rechter-commissaris d.d. 27 maart 2020 bij de stukken heeft gevoegd, voorzien van een begeleidende brief van het OM d.d. 7 juli 2021. De voeging heeft plaatsgevonden op grond van de volgende overweging die door diverse rechtbanken (in vrijwel gelijkluidende zin) is gebruikt:

Het feit dat de rechter-commissaris diverse voorwaarden heeft gesteld aan het gebruik van de dataset 26Lemont voor andere opsporingsonderzoeken, doet vermoeden dat de rechter-commissaris belangen van de gebruikers heeft afgewogen tegen de relevante opsporingsbelangen en daarbij aan de vereisten van subsidiariteit en proportionaliteit heeft getoetst. De rechtbank kan dit op basis van de nu verkregen stukken echter niet nagaan. Zowel de verdediging als de rechtbank beschikt slechts over het dictum van de 126uba-machtiging en niet over de inhoudelijke afwegingen van de rechter-commissaris om tot verlening van de machtiging over te gaan. De rechtbank wil op dit punt nader worden geïnformeerd.

De rechtbanken willen dus vooral geïnformeerd worden over de afweging die de rechter-commissaris bij het opstellen van de voorwaarden voor het gebruik van de dataset heeft gemaakt met betrekking tot de belangen van de gebruikers en welke toets hij ten aanzien van de subsidiariteit en proportionaliteit heeft aangelegd.

De verdediging heeft echter nog een ander punt naar voren gebracht, namelijk het gebruik van de bevoegdheid van artikel 126uba Sv. De rechter-commissaris constateert dat de machtiging niet alle door de verdediging opgeworpen vragen lijkt te beantwoorden. De (deels gezwarte) machtiging bevat bijvoorbeeld niet (expliciet/zichtbaar) alle onderdelen van het bevel, zoals is voorgeschreven in artikel 126uba lid 3 juncto 126nba lid 4 Sv. In de machtiging wordt wel verwezen naar de vordering (p. 5: “machtigt (…) overeenkomstig de vordering”), processen-verbaal van de politie en een brief van de officier van justitie, maar deze stukken zijn niet gevoegd. Naar het oordeel van de rechter-commissaris moet de verdediging in de gelegenheid worden gesteld een rechtmatigheidstoets uit te voeren naar het gebruik/de verwerking van deze data met het oog op een eventueel verweer daaromtrent. Daarvoor kan niet worden volstaan met de machtiging, ook de andere daaraan gerelateerde stukken – zoals de vordering, de onderliggende processen-verbaal, de genoemde brief en het/de op de machtiging gevolgde bevel(en) (verzoek 1) – zullen moeten worden verstrekt. Datzelfde geldt voor de verlengingen (verzoek 2).

De rechter-commissaris ziet onder ogen dat het voegen van al deze stukken (in hun geheel) gevoelig ligt. Zo staat in de begeleidende brief bij het verstrekken van de machtiging beschreven dat het respecteren van het staatsgeheim van Frankrijk meebrengt dat door de zaaksofficieren van 26Lemont is besloten om de passages in de beschikking die op dat deel betrekking hebben, zwart te maken.

De rechter-commissaris is van oordeel dat de afweging welke stukken (en welke delen daaruit) wel en niet gevoegd kunnen worden, niet (uitsluitend) bij het OM moet liggen. De rechter- commissaris verwijst daarvoor naar artikel 149b Sv: als de officier van justitie vanwege belangen als vermeld in artikel 187d lid 1 Sv, zoals een zwaarwegend opsporingsbelang, de voeging van bepaalde stukken of gedeelten daarvan bij de processtukken achterwege wil laten, behoeft hij daartoe een schriftelijke machtiging van de rechter-commissaris.

Gelet op het voorgaande zal de rechter-commissaris beslissen dat de verzoeken 1 en 2 zullen worden toegewezen en dat de betreffende 126uba-machtiging en de daaraan gerelateerde stukken in beginsel volledig en ongezwart bij de processtukken dienen te worden gevoegd. Wel staat daarbij de weg van artikel 149b Sv open. De rechter-commissaris kan op vordering van de officier van justitie een machtiging verlenen om bepaalde stukken niet te voegen of onderdelen daaruit te ‘zwarten’. Anders dan de rechtbank kan de rechter-commissaris wel kennisnemen van de volledige inhoud van de stukken. Voor de goede orde merkt de rechter-commissaris op dat deze beslissing ook geldt voor de 126uba- machtiging die inmiddels al deels gezwart door het OM bij de stukken is gevoegd. Deze machtiging zal in beginsel ongezwart moeten worden gevoegd, tenzij de rechter-commissaris een machtiging voor het zwarten van bepaalde delen heeft verleend. De rechtbank is het hier mee eens.

Veroordeling voor professionele sextortion

Op 28 juli 2021 heeft de rechtbank Den Haag een uitspraak gewezen in een opvallende ‘sextortion-zaak’ (ECLI:NL:RBDHA:2021:8203). De verdachte wordt veroordeeld voor deelname aan een criminele organisatie (art. 140 Sr) die tot oogmerk had het plegen van oplichting (art. 326 Sr), afdreiging (art. 318 Sr) en gewoontewitwassen (art. 420ter Sr). Op sociale media is een groot aantal slachtoffers met gebruik van nepaccounts gelokt en vervolgens benaderd met – tegen betaling – het aanbod van een ontmoeting met een vrouw voor een seksdate of naaktfoto’s van een vrouw. De politie heeft 39 slachtoffers geïdentificeerd die ingegaan zijn op dit aanbod en/of een naaktfoto hebben gestuurd van zichzelf.

Uit de bewijsmiddelen leidt de rechtbank af dat steeds op min of meer dezelfde manier te werk werd gegaan. Een mogelijk slachtoffer (door de verdachten ook wel aangeduid als ‘clannies’) werd op internet of via sociale media met gebruikmaking van nepaccounts tegen betaling een afspraak of (naakt)foto’s aangeboden. Uit verklaringen van meerdere verdachten is duidelijk geworden dat dit bekend stond als ‘schetsen’. Na betaling bleef de afspraak of het beeldmateriaal uit. Het slachtoffer werd na betaling onder druk gezet om meer te betalen onder dreiging van openbaarmaking van de contacten tussen het slachtoffer en het betreffende account. Ook werd slachtoffers gevraagd een naaktfoto van zichzelf te sturen. Wanneer slachtoffers aan dat verzoek voldeden, werd vervolgens gedreigd de foto te verspreiden onder familie en vrienden, tenzij er zou worden betaald. (Soms bleef het overigens niet bij dreiging). Om de bedreigingen kracht bij te zetten, werden slachtoffers vaak benaderd op verschillende van hun sociale media. De slachtoffers ontvingen, om de gevraagde betalingen te kunnen verrichten, vaak opeenvolgende betaalverzoeken, al dan niet via ‘Tikkie’, vanaf rekeningen van een of meer personen. Het geld dat met deze praktijken werd verkregen, werd over verschillende rekeningen verspreid en vervolgens contant opgenomen of doorgeboekt.

Over bovenstaande feiten en omstandigheden is door de verdediging geen verweer gevoerd. De rechtbank stelt vast dat de handelingen die gepaard gingen met de hierboven beschreven werkwijze een behoorlijke mate van samenwerking en coördinatie vereisten, te weten het maken en promoten van nepaccounts, het contact leggen met en informatie verzamelen over potentiële slachtoffers, het sturen en ontvangen van foto’s, het sturen van betaalverzoeken vanaf verschillende bankrekeningen waarbij vaak gebruik werd gemaakt van dezelfde codes/afkortingen, en het opnemen van (grote) contante bedragen na al dan niet losse overboekingen. Uit de werkwijze blijkt ook van een zekere rolverdeling binnen de organisatie als afdreiger/oplichter en geldezel/bank, welke rollen de diverse leden afwisselend vervulden. Samen met de onderlinge verbanden tussen de incidenten en de verdachten, duidt dit alles naar het oordeel van de rechtbank op een samenwerkingsverband met een zekere duurzaamheid en structuur. De organisatie legde een duidelijke stelselmatigheid aan de dag gelet op de organisatiegraad van het handelen en het grote aantal slachtoffers.

De rechtbank is op basis van de bewijsmiddelen in onderlinge samenhang bezien van oordeel dat er sprake is geweest van een criminele organisatie, waarvan het oogmerk was het plegen van afdreiging, oplichting en gewoontewitwassen.

Het merendeel van de in het onderzoek geïdentificeerde slachtoffers was minderjarig ten tijde van de misdrijven. Veel van hen hebben tegenover de politie verklaard over vaak langdurige gevoelens van angst die de feiten bij hen teweeg hadden gebracht. De daders hebben de slachtoffers misleid en bedreigd en gevoelens van schaamte en angst maximaal uitgebuit om hen zoveel mogelijk geld afhandig te maken. Gebleken is dat slachtoffers uit schaamte en/of angst nauwelijks op eigen initiatief aangifte doen van dergelijke afdreigingen en oplichtingen. Dat de verdachte heeft deelgenomen aan een organisatie die zozeer gericht was op winstbejag ten koste van de slachtoffers rechtvaardigt volgens de rechtbank op zichzelf al een forse straf. Tegelijkertijd houdt de rechtbank ook rekening met de (zeer) jonge leeftijd van de verdachte (15 jaar) ten tijde van de bewezenverklaarde feiten. De rechtbank heeft bij de bepaling van de op te leggen straf ook meegewogen dat sprake is van overschrijding van de redelijke termijn, terwijl het – omvangrijke – opsporingsonderzoek naar deze ernstige verdenkingen al in januari 2020 was afgerond. De verdachte wordt voor het onvoorwaardelijke deel van zijn straf veroordeeld tot de tijd die de verdachte in voorlopige hechtenis heeft doorgebracht.

Heimelijk filmen van seksuele handelingen

Op 23 augustus 2021 heeft de rechtbank Amsterdam een 51-jarige man veroordeeld (ECLI:NL:RBAMS:2021:4470) tot 10 maanden gevangenisstraf (waarvan 4 voorwaardelijk) voor het heimelijk maken van opnamen in de slaapkamer van een woning waar hij als schoonmaker werkte. Dit vond plaats via het hacken van een router met verkregen inloggegevens van het WiFi-netwerk en het plaatsen van een IP-camera gericht op een bed. De verdachte wordt veroordeeld voor computervredebreuk, het plaatsen van afluisterapparatuur en het opzettelijk en wederrechtelijk vervaardigen van en het ter beschikking hebben van afbeeldingen van seksuele aard van de aangeefster en haar vriend.

Op grond van het dossier en de verklaring van verdachte stelt de rechtbank vast dat verdachte een camera in de kamer van aangeefster heeft geplaatst en deze heeft verbonden met het wifi-netwerk. Om toegang te krijgen tot het wifi-netwerk heeft verdachte het wifi-wachtwoord gebruikt dat hij van aangeefster had gekregen om via internet muziek te kunnen luisteren. Omdat de verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt, is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.

Op de SD-kaart in de IP-camera zijn filmpjes aangetroffen waarop te zien is dat aangeefster en haar vriend seksuele handelingen verrichten. De rechtbank overweegt dat aangeefster en haar vriend geen toestemming hebben gegeven voor het plaatsen van de camera en het filmen. Gelet op de bedoeling van verdachte met het ophangen van de camera acht de rechtbank de verklaring van verdachte dat het niet zijn bedoeling was om filmpjes op te slaan niet aannemelijk. Hierbij speelt tevens mee dat verdachte een grote hoeveelheid filmpjes heeft opgeslagen op verschillende gegevensdragers en hij ter terechtzitting heeft verklaard geïnteresseerd te zijn in “voyeur”-filmpjes van internet en dat hij deze vaak opslaat. Op grond van het voorgaande acht de rechtbank dan ook bewezen dat verdachte opzettelijk en wederrechtelijk videobeelden heeft vervaardigd waarop te zien is dat aangeefster en haar vriend seksuele handelingen verrichten. De verdediging heeft zich op het standpunt gesteld dat verdachte geen beschikking heeft gehad over de SD-kaart in de camera, omdat die zich in de woning van aangeefster bevond. De rechtbank verwerpt dit verweer. Hoewel de camera met daarin de SD-kaart zich in de woning van aangeefster bevond, had verdachte daar – tot het moment van de ontdekking van de camera – wel degelijk beschikkingsmacht over.

Het openbaar ministerie verweet de verdachte ook dat hij grote hoeveelheid filmpjes van onbekende personen heeft gemaakt, op dezelfde manier gemaakt als de filmpjes van de aangeefster. De filmpjes zijn allemaal gemaakt met een IP-camera en hebben het bed als centraal punt in beeld. De rechtbank vindt het echter niet bewezen dat verdachte foto’s of beelden heeft opgenomen in een Bed & Breakfast en dat hij de beschikking heeft gehad over die beelden terwijl hij wist of redelijkerwijs moest vermoeden dat die beelden wederrechtelijk waren opgenomen (artikel 139h Sr). De verdachte wordt daarvan vrijgesproken, omdat niet bekend is wie de personen zijn die zijn gefilmd, of het filmen zonder hun toestemming heeft plaatsgevonden (er zijn geen aangiftes gedaan) en waar de beelden zijn opgenomen. Ook is niet komen vast te staan dat verdachte degene is die een camera heeft opgehangen en de betreffende personen heeft gefilmd. Al met al bevindt zich in het dossier te weinig informatie over deze beelden om tot een bewezenverklaring van het ten laste gelegde te komen. De rechtbank kan op basis van het dossier niet vaststellen dat de beelden wederrechtelijk zijn vervaardigd.

De verdachte wordt veroordeeld voor en de vergoeding van 190 euro materiële en 1000 euro immateriële schade.

Veroordeling voor ontwikkelen van betaalomgeving voor phishing

Op 2 juli 2021 heeft het Hof Arnhem-Leeuwarden een verdachte veroordeeld (ECLI:NL:GHARL:2021:6521) voor voorbereidingshandelingen gericht op het plegen van computervredebreuk. De verdachte heeft een niet van echt te onderscheiden betaalomgeving ontwikkeld en deze omgeving aan andere personen verstrekt om phishing-activiteiten mogelijk te maken. Daarmee heeft de verdachte een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van computervredebreuk (art. 139d Sr jo 138ab Sr).

Slachtoffers werden gevraagd 1 cent over te maken om (zogenaamd) de betrouwbaarheid van te controleren. Hierbij werd de betaalomgeving van de verdachte gebruikt, waarheen de slachtoffers werden geleid.

De verdachte is inmiddels werkzaam in de ICT-branche en lijkt volgens de rechtbank ‘op meerdere terreinen – hij heeft werk, een vaste relatie en een kind – zijn leven in de goede richting ter hand te hebben genomen’. Ook is de redelijke termijn van de berechting van deze zaak overschreden. Een en ander brengt het hof ertoe een de verdachte te veroordelen tot een gevangenisstraf van 20 maanden, waarvan 10 maanden voorwaardelijk en een proeftijd van 3 jaar.

WhatsApp-fraude

Op 23 juli 2021 heeft de rechtbank Rotterdam een minderjarige verdachte veroordeeld (ECLI:NL:RBROT:2021:7807) voor oplichting (WhatsApp- en Tikkie-fraude), het medeplegen van computervredebreuk, verboden vuurwapenbezit en gewoontewitwassen.

De werkwijze was als volgt. De verdachten beschikten over een telefoonnummer van een WhatsApp-gebruiker. De verdachten vroegen een verificatiecode voor het account dat zij over wilde nemen. Deze code werd vervolgens door WhatsApp via sms verstuurd naar de gebruiker van dat telefoonnummer. Vervolgens stuurden de verdachten aan deze gebruiker een bericht met het verzoek om de verificatiecode door te sturen. Dit bericht werd verzonden namens iemand uit de contactenlijst van het beoogde slachtoffer, van wie zij al eerder het account hadden overgenomen. Op die manier lijkt het voor het beoogde slachtoffer alsof hij of zij het verzoek krijgt van een bekende. Na het ontvangen van de verificatiecode voerden de verdachten deze code in en kregen zij op deze manier toegang tot het WhatsApp-account van het slachtoffer. Daarna stuurden zij iedereen uit de contactenlijst van het slachtoffer een bericht met de vraag of zij geld konden lenen. Zij namen daarmee WhatsApp-accounts van willekeurige personen over en benaderden via die WhatsApp-accounts vrienden en familieleden van die personen. Het oorspronkelijke, echte, account werd geblokkeerd en de verdachten deden zich voor als de persoon van wie het WhatsApp-account was. Zij meldden aan de vrienden en familieleden van die persoon dat zij dringend financiële hulp nodig hadden. Veelgebruikte excuses daarbij waren dat het om een spoedgeval ging en dat zij even niet bij hun spaargeld konden.

Als de vrienden en familieleden bereid waren om te helpen, kregen zij van de verdachten een Tikkie-betaalverzoek toegestuurd. Als daar een bevestigend antwoord op kwam, werd een Tikkie betaalverzoek voor het genoemde bedrag gestuurd. Deze betalingen kwamen terecht op bankrekeningen van geldezels. De ontvangen bedragen werden zo snel mogelijk opgenomen bij de pinautomaat. Op die manier werden de contacten van het overgenomen WhatsApp-account opgelicht en werd veel geld verdiend.

Voor de bewijsvoering zijn betaalverzoeken na oplichting van de slachtoffers op de mobiele telefoons van de verdachte en (onder andere) het IP-adres van de woning van de verdachte op die dag op de internetbankieren-omgeving van vier van de vijf begunstigde bankrekeningnummers ingelogd. De rechtbank achtte in deze zaak de oplichting van dertien slachtoffers en tweemaal computervredebreuk bewezen. De rechtbank ging ervan uit dat dit slechts het topje van de ijsberg is geweest en dat er door de verdachte en zijn medeverdachte meer slachtoffers zijn gemaakt. Op basis van de verklaring ter zitting van de verdachte zelf, waaruit volgt dat hij 20% van het bedrag ontving dat op basis van een Tikkie betaalverzoek werd overgemaakt en dat hij in totaal €20.000,- zou hebben verdiend met de door hem gepleegde WhatsApp-fraude, hebben hij en zijn medeverdachte hun slachtoffers in ieder geval voor een totaalbedrag van €100.000,- benadeeld. Uitgaande van de gemiddelde bedragen die de slachtoffers in de ten laste gelegde feiten hebben overgemaakt, gaat het daarmee bij de oplichting alleen al om meer dan honderd slachtoffers. Naast de WhatsApp-fraude heeft de verdachte zich ook schuldig gemaakt aan het witwassen van grote contante geldbedragen van in totaal ruim €75.000,- en luxe schoenen. Tot slot heeft de verdachte op zijn slaapkamer een vuurwapen en kogelpatronen voorhanden gehad.

De minderjarige verdachte is veroordeeld voor 282 dagen jeugddetentie waarvan 180 dagen voorwaardelijk, een werkstraf van 180 uur, en een proeftijd van 2 jaar met bijzondere voorwaarden.  

Daarnaast heeft de rechtbank Overijssel op 9 augustus 2021 een verdachte veroordeeld (ECLI:NL:RBOVE:2021:3149) voor oplichting. De man maakte samen met zijn mededaders in 1,5 jaar tijd zo’n 18 slachtoffers. Het begon met oplichting via WhatsApp en Marktplaats, uiteindelijk deed hij zich zelfs voor als fraudebestrijder bij een bank. De groep koos vooral slachtoffers met een hogere leeftijd uit.

Hij ging daarbij als volgt te werk. Hij benaderde slachtoffers en won het vertrouwen door zich voor te doen als dochter van de aangeefster. Vervolgens werd haar verzocht om geld over te maken voor de aanschaf van een nieuwe telefoon en laptop. Dit geld kwam terecht op een bankrekening waarover verdachte de beschikking had. Ook heeft hij mensen via Markplaats opgelicht, door zich als potentiële koper voor te doen en ‘ter verificatie’ een phisinglink te sturen. Daardoor werden de slachtoffers overgehaald tot het afgeven van inloggegevens van hun internetbankierenaccounts, waarna er bedragen van hun bankrekeningen werden afgehaald. Om deze vorm van oplichting mogelijk te maken heeft verdachte geldezels geronseld. Daarna werd de oplichting door verdachte en diens medeverdachten nog geavanceerder, stelselmatiger en grootschaliger uitgevoerd. Verdachte belde zijn slachtoffers, die bewust werden uitgekozen vanwege hun hogere leeftijd, volgens een vaststaand script en deed zich voor als een medewerker van de fraude afdeling van de bank waar het slachtoffer bankierde. Verdachte ontfutselde zijn slachtoffers op die manier codes om te kunnen inloggen op het internetbankierenaccount van zijn slachtoffers. Verdachte en zijn medeverdachten waren dan in staat om alle aan dit account gekoppelde rekeningen te beheren. Het afgeboekte geld werd vaak meteen overgeboekt naar een tussenrekening, vermoedelijk om cryptovaluta aan te schaffen. Soms werden meerdere slachtoffers op één dag gebeld. Een enkele keer werd dertig keer door een aangeefster een bedrag afgeboekt tot een bedrag van maar liefst € 28.795,00. De verdachte heeft volgens de rechtbank eraan bijgedragen dat het vertrouwen van de vijftien veelal oudere slachtoffers op grove wijze is geschaad en heeft misbruik gemaakt van zijn slachtoffers enkel en alleen ten behoeve van zijn eigen financiële gewin. Dit soort digitale oplichtingspraktijken hebben tot gevolg dat mensen minder vertrouwen hebben in elektronisch bankieren. De rechtbank rekent dat verdachte zwaar aan.

Gezien de ernst van de gepleegde feiten en de lange periode waarin deze hebben plaatsgevonden, kan naar het oordeel van de rechtbank niet anders worden gereageerd dan met het opleggen van een onvoorwaardelijke gevangenisstraf van aanmerkelijke duur, ondanks dat verdachte deels wordt vrijgesproken van hetgeen hem ten laste is gelegd. De verdachte is veroordeeld tot een gevangenisstraf van 30 maanden waarvan 10 maanden voorwaardelijk met een proeftijd van 3 jaar en bijzondere voorwaarden.

Europol internet organised threat assessment 2018 (IOCTA)

Posted on op Oerlemansblog

Op 18 september 2018 heeft Europol een rapport (.pdf) over cybercrime uitgebracht. Het rapport biedt een mooi overzicht met gedetailleerde inzichten over de ontwikkeling van cybercrime. Het rapport is gebaseerd op rapporten van IT-beveiligingsbedrijven en zelfrapportage door opsporingsinstanties. In deze blog post zet ik de belangrijkste resultaten uit de ‘Internet Organised Crime Threat Assessment 2018’ op een rijtje.

1.         Ransomware is de no. 1 cybercrime-bedreiging

Ransomware is volgens Europol de nummer 1 dreiging op het gebied van cybercrime (in enge zin). Het heeft bovendien als dreiging van banking malware (waarmee frauduleuze betalingstransacties worden uitgevoerd) op het gebied van malware overgenomen. De meest voorkomende ransomware is Cerber, Cryptolocker, Crysis, Curve-Tor-Bitcoin Locker (CTBLocker), Dharme en Locky. Naar verluid verdienen de makers van Cerber-malware naar verwachting 200.000 euro per maand, door hun kwaadaardige software te licenseren aan anderen. Ransomware richt zich echter steeds vaker op specifieke organisaties.

Europol stelt vast dat na de NotPetya en Wannacry-aanval, initieel veel onzekerheid bestond over de motieven van de daders en typen daders. Omdat zowel cybercriminelen als ‘nation state actors’ gebruik maken van dezelfde technieken en tools is het lastiger de twee actoren te onderscheiden. Samenwerking tussen opsporingsinstanties, ‘Computer Incident Response Team’-teams en inlichtingendiensten is daarom volgens Europol noodzakelijk.

2.         Cryptomining malware en cryptojacking groeit

Opsporingsinstanties komen Bitcoin nog steeds het vaakst tegen in opsporingsonderzoeken naar cybercrime, hoewel meer anonieme cryptocurrencies, zoals Monero en ZCash, steeds populairder worden. Cryptocurrency uitwisselingskantoren (exchanges), mixing diensten en diensten die online portemonnees voor cryptocurrencies aanbieden worden ook steeds vaker het doelwit van afpersing en hacken. Witwassers maken ook vaker gebruik van gedecentraliseerde uitwisselingsdiensten die geen Know Your Customer beleid voeren, waarbij mensen bij elkaar komen om echt geld voor virtueel geld te wisselen. Cryptocurrencies die anonimiteit al ‘ingebakken hebben’, zullen volgens Europol mixing diensten overbodig maken. Europol merkt terecht op dat een kernvaardigheid zijn voor cybercrime-onderzoekers is om onderzoek te doen naar het misbruik van cryptocurrencies.

‘Cryptojacking’ wordt als nieuwe vorm van cybercrime gezien. Bij cryptojacking worden cryptocurrencies gedolven door gebruik te maken van de verwerkingcapaciteit van computers die aan het werk worden gezet door een javascript op websites. Daarbij wordt vooral het ‘CoinHive JavaScript miner’ gebruikt, waarmee Monero wordt gedolven. Cryptojacking is volgens Europol niet altijd strafbaar (ik kan zelf ook geen artikel uit het Wetboek van Strafrecht bedenken dat van toepassing is).

Europol wijst er op dat cryptojacking (virtueel) geld creëert en daarmee een motivatie vormt voor hackers om legitieme websites als doelwit aan te merken om van daar uit cryptojacking toe passen. Het hacken van website is uiteraard wel strafbaar (art. 138ab (lid 3 sub a?) Sr). Het gebruikt van mining malware is natuurlijk wel strafbaar (o.a. op grond van art. 138ab lid 3 sub a Sr en art. 350a lid 1 Sr) en kan het computersysteem van een slachtoffer plat leggen.

3.         Turbulentie en verplaatsing bij darknet markets

In 2017 zijn de populaire darknet markets ‘AlphaBay’, ‘Hansa’ en ‘RAMP’ offline gehaald. Ook zijn veel marktplaatsen uit zichzelf over de kop gegaan, bijvoorbeeld vanwege hacks en ‘exit scams’ van de eigenaren.

De ‘take downs’ door de politie hebben volgens Europol geleid tot de migratie van gebruikers naar bestaande of nieuwe markten, naar andere platformen (zoals I2P en Freenet) en gezamenlijke groepen of kanalen in versleutelde communicatie-apps.

4.        Groei van online misbruik via ‘live streaming’ diensten en sextortion

Materiaal met seksueel geweld tegen kinderen (o.a. kinderporno) wordt steeds minder vaak verspreid via peer-to-peerprogramma’s, zoals Gigatribe, BitTorrent en eDonkey en steeds meer via het darknet. In dat opzicht is het opvallend dat ik in (Nederlandse gepubliceerde) uitspraken over kinderporno wel lees over veroordelingen voor de verspreiding van kinderporno via Gigatribe, maar niet over de verspreiding via darknet forums.

Europol wijst daarbij ook op misbruik door gebruik ‘live streaming’-diensten via apps en chatkanalen, waarvoor soms ook wordt betaald via betalingsapps op de mobiele telefoon. Opgenomen materiaal wordt ook vaak gebruikt voor het afpersen van minderjarigen voor meer materiaal. Omdat kinderen vaak op jongere leeftijd op internet actief worden, kunnen ze ook op jongere leeftijd in contact komen met online zedendelinquenten en slachtoffer worden. Zowel internet service providers als betalingsdienstverleners moeten ook inspanningen verlenen om kindermisbruik tegen te gaan. Daarnaast doet Europol de nadrukkelijke (nieuwe) aanbeveling om hulpprogramma’s in te zetten voor daders, zodat deze hun driften beter leren beheersen.

5.         Ontwikkelingen in online fraude

West-Afrikaanse en andere fraudeurs passen meer geavanceerde aanvallen toe, waarbij ook zakelijke e-mail wordt compromitteert. Daarbij vinden meer gerichte aanvallen plaats, waarbij gedacht kan worden aan ‘CEO’-fraude (mails sturen uit naam van de CEO aan iemand in het bedrijf die betalingen uitvoert). Daarnaast maken ‘helpdeskfraude’, ‘advanced fee fraud’ en ‘romance scams’ nog steeds veel slachtoffers.

6.         Opsporing wordt lastiger door technische en juridische ontwikkelingen

Opvallend is ten slotte de waarschuwing van Europol dat juridische ontwikkelingen (in het bijzonder de AVG, waardoor de publieke toegang tot de WHOIS-database is afgesloten) en technische ontwikkelingen (zoals 5G zie dit ENISA rapport over 5G (.pdf)), het significant lastiger maken voor zowel publieke als private speurders om verdachten te attribueren en hun locatie te bepalen.

Europol is in het rapport stellig dat het vorderen van gegevens of het invullen van een ‘request form’ bij de registrars ondoenlijk werk oplevert voor opsporingsinstanties. 5G heeft als voordeel veel hogere snelheden en beveiliging dan 4G, maar als nadeel dat het lastiger is voor opsporingsinstanties om hier interceptie op uit te voeren en naar verluidt lastiger maakt om gebruikers van telecomdiensten te identificeren.

Cybercrime jurisprudentieoverzicht oktober 2017

Wraakporno op Facebook geplaatst

Op 18 oktober 2017 heeft het Hof Amsterdam een arrest gewezen (ECLI:NL:GHAMS:2017:4648) inzake smaadschrift en het verspreiden van afbeeldingen die de eerbaarheid schenden (art. 240 Sr).

In deze zaak had de verdachte een naaktfoto in een post op Facebook op het account van het slachtoffer geplaatst. Deze post in verschenen in de nieuwslijst van vrienden en volgers van het slachtoffer. Daarmee is volgens het Hof sprake van het toezenden van een afbeelding dat aanstotelijk is voor de eerbaarheid is, waarbij die afbeelding aan iemand wordt toegezondenals bedoeld in art. 240 Sr.

Het Hof acht het plaatsen van deze wraakporno ‘volstrekt onacceptabel’ gelet het ‘specifieke, eeuwige karakter van het internet’ en de ernstige gevolgen voor het slachtoffer wier naaktfoto openbaar is geworden. Ook is sprake van smaadschrift. Het Hof overweegt dat de eer of goede naam van het slachtoffer is aangetast door bij de naaktfoto de tekst te plaatsen: ‘app me voor meer’, met vermelding van het telefoonnummer van de aangeefster. Daarmee heeft de verdachte de aangeefster ervan beschuldigd (ten laste gelegd) een meisje te zijn dat bezig was met het werven van willekeurige personen om seksuele handelingen mee te verrichten.

Deze beschuldiging is naar haar aard aan te merken als een aanranding van iemands eer of goede naam. De verdachte krijgt een taakstraf opgelegd van 80 uur en een verplichting tot het betaling van een schadevergoeding van 2000 euro aan het slachtoffer voor geleden immateriële schade. Opvallend is dat in deze zaak geen computervredebreuk ten laste is gelegd, aangezien de post zonder toestemming via het account van het slachtoffer op Facebook is geplaatst.

Sexting en toegang tot kinderporno via Snapchat         

De militaire kamer van de Rechtbank Gelderland heeft op 30 oktober 2017 (ECLI:NL:RBGEL:2017:5674) een verdachte veroordeeld voor het aanbieden van schadelijke afbeeldingen aan iemand onder de zestien jaren en toegang tot kinderporno. De verdachte is een militair en scoutingleider en heeft seksueel contact gehad via Snapchat met een 13-jarige pupil.

Kenmerkend aan Snapchat is dat de berichten en verstuurde afbeeldingen na een paar seconden worden gewist. De rechtbank heeft daarom overwogen dat de verdachte de foto’s, gelet op de bijzondere eigenschappen van deze applicatie, niet in bezit heeft gehad of heeft verworven, maar zich wel met gebruikmaking van een geautomatiseerd werk en/of communicatiedienst de toegang tot de foto’s heeft verschaft.

Uit de bewijsmiddelen volgt ook niet dat verdachte de foto’s op een andere wijze heeft vastgelegd, bijvoorbeeld door hiervan een screenshot te maken. De verdachte wordt veroordeeld tot een taakstraf van 120 uur en een gevangenisstraf van 2 dagen met bijzondere voorwaarden.

Veroordeling tot poging tot verleiding, grooming en belaging via internet

Op 20 oktober 2017 heeft de Rechtbank Noord-Nederland een verdachte veroordeeld (ECLI:NL:RBNNE:2017:4022) tot een gevangenisstraf van één jaar en TBS met verpleging voor (poging tot) verleiding, grooming en belaging.

De verdachte heeft zich op Facebook voorgedaan als twee verschillende vijftienjarige meisjes en daarna getracht twee minderjarige jongens zover te krijgen dat zij seksueel getinte foto’s of filmpjes zouden maken en het materiaal naar hem toe te sturen. Hij heeft een van de jongens ook onder druk gezet om hem te ontmoeten. Verdachte heeft de jongens zeer dwingend en ook dreigend benaderd met een stortvloed aan oproepen, telefoontjes en chatgesprekken.

De uitspraak is ook van uit bewijstechnisch oogpunt interessant, omdat het digitaal onderzoek van de politie uitgebreid wordt beschreven. Zo wordt in de uitspraak beschreven dat de politie op Facebook onderzoek heeft gedaan en zag dat de profielfoto bij het account van de verdachte een koalabeer betrof. De politie heeft op Instagram het profiel van het slachtoffer bekeken en geconstateerd dat dit account werd gevolgd door het Instagramaccount met de dezelfde kaolabeer.

De politie heeft van Instagram de ip-adressen en geregistreerde e-mailadres verkregen van de accounts van de verdachte. Ook heeft de politie van Facebook het IP-adres ontvangen waarmee het account van de verdachte was aangemaakt. De politie heeft daarna van Ziggo BV de gebruikersgegevens bij het IP-adres opgevraagd en van daaruit de verdachte opgespoord.

Het verweer van de verdediging dat iemand anders achter het account zat slaagt niet, omdat gelet op het voorgaande deze stelling volgens de rechtbank onaannemelijk is. Bovendien is het bewijs niet alleen naar verdachtes internetverbinding te herleiden; daarnaast is ook gebruik gemaakt van verdachtes’ e-mailadres, telefoon en USB-stick.

Veroordeling computervredebreuk en creditcardoplichting

Op 8 november 2017 heeft Hof Amsterdam een verdachte veroordeeld (ECLI:NL:GHAMS:2017:4753) voor computervredebreuk, poging tot internetoplichting en het voorhanden hebben van een valselijk opgemaakt schrift.

De verdachte heeft ruim twee jaar lang websites gehackt en daarbij gebruik gemaakt van de WiFi van zijn buurvrouw via de gedeelde inloggegevens.

De verklaring van de verdachte dat hij niet wist hij van deze verbinding gebruik maken acht het Hof niet geloofwaardig, gezien de informaticaopleiding van de verdachte en zijn overige internetactiviteiten. Bovendien werd tijdens een huiszoeking op het scherm van de verdachte de volgende actieve programma’s te zien: Sendblaster Pro (software om massaal e-mails te versturen), Gre3NoX Exploit Scanner (software om zwakheden in websites op te sporen) en Havij (software om databases van websites te hacken door middel van SQL-injecties) en een website die erop was gericht gegevens met betrekking tot ICS af te vangen (te phishen).

De verdachte heeft met behulp van phishingapparatuur getracht op grote schaal creditcardgegevens te bemachtigen van ICS klanten door hun een e-mail te sturen (in totaal 132.260 e-mails) waarin hij zich voordeed als (medewerker van) ICS en waarin de klant werd gevraagd op een link te drukken die hen zou doorgeleiden naar een phishingwebsite. Ondanks dat bij de verdachte aangetroffen bestanden en papieren met creditcardnummers zijn aangetroffen, inclusief vervaldata en CVC codes, acht het Hof oplichting niet bewezen. De reden is dat volgens het Hof uit niets blijkt dat deze creditcardgegevens afkomstig zijn van ICS klanten, laat staan dat zij door ICS klanten naar de verdachte zijn verstuurd naar aanleiding van door hem verzonden phishing e-mails. Daarnaast heeft de verdachte een valselijk opgemaakt geschrift, te weten een jaaropgave, voorhanden gehad.

De verdachte krijgt daarvoor 2,5 jaar gevangenisstraf opgelegd, waarvan de helft voorwaardelijk. Het Hof vindt het daarbij, gelet op de bij de verdachte aanwezige kennis van computers en wegen om daarmee criminele activiteiten te ontplooien, in combinatie met zijn werk in de commerciële sector, van belang een deel van de gevangenisstraf voorwaardelijk op te leggen en een proeftijd van drie jaren vast te stellen als stok achter de deur.