Internet Organised Threat Assessment 2019

Het Europol Cybercrime Center in Den Haag biedt elk jaar een mooi overzicht van actuele ontwikkelingen en bedreigingen op het gebied van cybercrime. Het ‘IOCTA rapport’ (.pdf) komt tot stand via enquêtes aan alle EU opsporingsautoriteiten en door input uit de private sector en wetenschap. Hier volgt een samenvatting van de zaken die mij het meest opvielen.

Ransomware grootste bedreiging op het gebied van cybercrime

Ransomware blijft de grootste bedreiging volgens het IOCTA 2019 rapport. De totale hoeveelheid aanvallen met ransomware is gedaald. Echter, de aanvallen zijn gerichter, winstgevender en schadelijker. Als voorbeeld wordt bijvoorbeeld een bedrijf genoemd waarbij het gijzelbedrag uit één miljoen euro bestond. Versies van de ransomwarefamilie ‘Dharma/CrySiS’, ‘ACCDFISA, ‘GlobeImposter’ en ‘Rapid’ kwamen veel in de rapportages van politiediensten voor. De private sector vreest dat naast normale ransomware ook de meer destructieve gijzelsoftware die ook ‘wiper-elementen’ bevatten; daarmee worden bestanden echt gewist of onherstelbaar beschadigd.

Zorgelijk zijn ook de ransomware-aanvallen op lokale overheden, die zich voornamelijk in de Verenigde Staten hebben voorgedaan. Zo lag de stad Atlanta in 2018 enige weken plat. In 2019 ging het al zo’n vijf steden in de VS, waaronder Baltimore en Florida. Dit vormt mogelijk een prelude voor steden Europa.

Handel in gestolen data

De handel in gestolen data betreft de twee-na-grootste dreiging volgens het Europol rapport. De data wordt het vaakst buitgemaakt door de aankoop van financiële gegevens, zoals creditcardgegevens, online bankiergegevens en gegegevens uit cryptocurrency portemonnees. De gegevens worden buitgemaakt via phishing, door lekken bij bedrijven, na grote hacks en door kwaadaardige software waarmee gegevens heimelijk worden verzameld. Deze gegevens worden verkocht op o.a. het dark web of gebruikt om fraude mee te plegen; bijvoorbeeld door er goederen mee te bestellen. Als voorbeeld worden in het rapport ook de veelvoorkomende aanvallen op uitwisselingskantoren voor cryptogeld (‘cryptocurrency exchanges’) genoemd. In 2018 is naar schatting 1 miljard in dollar wereldwijd aan cryptogeld gestolen, ook door statelijke actoren.

Logingegevens zijn minder makkelijk te besteden (‘monetisable’), maar mogelijk meer waard voor georganiseerde cybercrimegroepen. Interessant is het voorbeeld hoe zes verdachten in Engeland en Nederland zijn opgepakt voor ‘typosquatting’. Daarbij zetten criminelen nepwebsites waar mensen per ongeluk op kunnen bij het intypen van een URL. In dit geval leidde de website tot een nep bitcoinportemonnee. Door het overnemen van inloggevens kon de bitoinportemonnee geleegd worden en het virtuele geld worden overgemaakt naar de verdachten. Daarmee zou volgens Europol door de groep 24 miljoen euro zijn buitgemaakt.

Ddos-aanvallen

Ddos-aanvallen blijven een prominente dreiging als we het hebben over de ‘target cybercrime’ (criminaliteit waarbij computers en netwerk het doelwit zijn van de gedraging, wordt ook wel ‘cybercrime in enge zin’ genoemd). Ddos-aanvallen worden het meest gebruikt voor afpersing, maar ook aanvallen voor ideologische of politieke redenen kwamen veel voor. Financiële instellingen en overheden, zoals de politie, werden het vaakst onder vuur genomen. In het bijzonder voor banken vormen ddos-aanvallen een groot probleem, omdat het kan leiden tot het verstoren van de online bankierdiensten. De aanvallen zijn volgens Europol het vaak afkomstig van ‘low-capability actors’, die bijvoorbeeld gebruik maken van ‘exploit booters of stressers’.

Operation Power Off

In april 2018 hebben Nederlandse en Engelse opsporingsautoriteiten de illegale dienst ‘Webstresser.org’ offline gehaald. Webstresser was volgens Europol destijds een van de grootste marktplaatsen voor het huren van ddos-diensten met meer dan 150.000 klanten en de bron van meer dan 4 miljoen ddos-aanvallen.

Kinderporno

De hoeveelheid kinderpornografisch materiaal (ook wel genoemd: materiaal van kindermisbruik) op internet blijft volgens Europol stijgen. Kindermisbruikers werken vaak volgens dezelfde modus operandi: zij zoeken potentiele slachtoffers via sociale media, creëren een aantal nepprofielen waarbij zij zich als een leeftijdsgenoot voordoen en leggen contact. Nadat er een niveau van vertrouwen is gaan naar Whatsapp of apps als Viber om de gesprekken voor te zetten. Als – eerst op vrijwillige basis – seksueel materiaal is uitgewisseld zetten de kindermisbruikers de slachtoffers onder druk om meer materiaal te maken, bijvoorbeeld onder de dreiging het materiaal te openbaren.

Gecoördineerde actie tegen kindermisbruik, in samenspraak met de private sector en het gebruik van technologie zoals kunstmatige intelligentie, kan helpen tegen de bestrijding van materiaal van kindermisbruik en ook helpen in het verwerken van enorme hoeveelheden materiaal. Ter illustratie: in 2017 ontving Europol 44.000 verwijzingen met mogelijk kinderpornografisch materiaal van Amerikaanse internetdienstverleners (zoals Google en Microsoft). In 2018 waren dat er 190.000. Europol heft zelf een database met 46 miljoen afbeeldingen of video’s met geïdentificeerd kinderpornografisch materiaal. Nederland wordt expliciet in het rapport genoemd als de grootste hoster van kinderporno.

Het rapport signaleert verder dat (soms extreme) kinderpornografie wordt verspreid via exclusieve online forums. Het Europol rapport noemt bijvoorbeeld het forum ‘Elysium’, dat alleen bereikbaar was via Tor (op het darknet dus). Vier mannen runde het forum met meer dan 11.000 geregistreerde gebruikers over de hele wereld.

De auteurs waarschuwen dat het een ‘kwestie van tijd’ is tot ‘deepfakes’ met kinderporno voorkomen die worden gebruik voor het “personaliseren” van het materiaal. Dat kan problemen opleveren voor de vervolging en digitale bewijsproblemen.

Rol van het dark web en cybercrime

In het rapport is extra aandacht voor de rol van het ‘dark web’, als facilitator van online criminaliteit. Het rapport signaleert dat de markten veranderen in kleinere online drugsmarkt en ‘single-vendor’ shops, soms in een specifieke (d.w.z. niet-Engelse taal). De toegang tot online drugsmarkten via Tor blijft het meest populair, mogelijk vanwege de gebruikersvriendelijkheid.

xDedic marketplace

De xDedic markplaats wordt als voorbeeld genoemd in het rapport. In januari 2019 hebben Amerikaanse, Belgische en Oekraïense opsporingsautoriteiten de ‘xDecic’-marktplaats inbeslaggenomen. xDedic verkocht gehackte computers en gestolen persoonsgegevens. Het was actief op zowel het dark web als het clear web. De geïnfecteerde computers konen worden geselecteerd op criteria als prijs, geografische locatie en besturingssystemen. De marktplaats zou meer dan 60 miljoen euro in fraude hebben gefaciliteerd. (zie ook dit nieuwsbericht waarin wordt gesteld dat op de markplaats meer dan 70.000 servers in 170 landen werden aangeboden).

Daarnaast hebben opsporingsautoriteiten actie ondernomen tegen Wall Street Market, Valhalla en Bestmixer. Wall Street Market had toen volgens Europol 1.150.000 geregistreerde bezoekers en 5400 verkopers van drugs. Europol schat in dat in 2018 één miljard dollar aan virtueel geld op het dark web is besteed. Bitcoin blijft daarbij de meest populaire cryptocurrency.

Bitcoinmixer

In het rapport wordt ook aandacht besteed aan de spraakmakende FIOD-take down van ‘Bestmixer.io’ (zie ook het persbericht op de FIOD-website). In samenwerking met Europol en opsporingsautoriteiten in Luxemburg werd een operatie opgezet. Het was een van de drie grootste bitcoin mixingdiensten voor Bitcoin, Bitcoin Cash en Litecoin. De dienst startte in 2018 en had volgens Europol een omzet van ten minste 200 miljoen dollar (27.000 bitcoins) in één jaar (600.000 euro per jaar). Het is bovendien de eerste zaak waar – volgens een Kamerbrief van minister Grapperhaus van 12 juni 2019 – de hackbevoegdheid is ingezet!

Advies voor wetgeving en beleid

De laatste jaren geeft Europol enkele voorzichtige adviezen af voor de Europese wetgever. Het meest interessant vond ik dat Europol in dit rapport expliciet stelt dat een EU-raamwerk is vereist voor onderzoeken op het dark web. De coördinatie en standaardisatie van undercover online onderzoeken zijn vereist om dark web-onderzoeken te ‘deconflicteren’. Opnieuw wordt gesteld dat het huidige juridische instrumentatrium van rechtshulp in de EU (‘Mutual Legal Assistance’) onvoldoende is voor digitale opsporingsonderzoeken.

Cybercrime jurisprudentieoverzicht oktober 2019

Veroordeling voor infecteren van computers met malware

De rechtbank Rotterdam heeft op 10 september 2019 uitspraak (ECLI:NL:RBROT:2019:7259) gedaan over een malwarezaak. Veroordelingen voor de verspreiding of vervaardiging van kwaadaardige software (malware) komen relatief weinig voor, wellicht omdat de daders zich vaak in het buitenland bevinden. Het vonnis is interessant vanwege het feitencomplex en de technische details die worden vermeld.

De rechtbank Rotterdam veroordeelt de verdachte voor computervredebreuk (artikel 138ab Sr), oplichting (artikel 326 Sr), identiteitsfraude (artikel 231b Sr) en het voorhanden hebben van de malware (technisch hulpmiddel) en toegangscodes voor het plegen van computervredebreuk (artikel 139d lid 2 sub a Sr). De verdachte krijgt een straf opgelegd van twee jaar, waarvan zes maanden voorwaardelijk.

De verdachte heeft op grote schaal computers met malware geïnfecteerd, waardoor het mogelijk werd de computers ‘over te nemen’ en o.a. inloggegevens (gebruikersnamen en wachtwoorden) te verkrijgen. De verdachte maakte de infectie mogelijk door de slachtoffers te verleiding tot het klikken op een uitnodigende link op een website. Ook stuurde hij valse e-mails met daarin een link in naam van PostNL en Intrum Justitia. Bij het bezoeken van de website werden zeker tientallen computers met malware geïnfecteerd. De verdachte heeft vervolgens met overgenomen inloggevens ingelogd op de accounts van de slachtoffers om bijvoorbeeld bestellingen te plaatsen. Hij heeft ook toegang verkregen tot persoonlijke documenten, waaronder CV’s, kopieën paspoort en salarisspecificaties.  De verdachte heeft ook gegevens over de slachtoffers verkregen door een “simkaartwissel” aan te vragen, waarmee de voor het online overboeken vereiste TAN-codes werden ontvangen.

Op deze wijze werden ook ING en de betreffende telecomproviders opgelicht. De vorderingen van de banken van bijna 80.000 euro is door de rechtbank toegewezen. Het onderzoek is gaan lopen door aangifte van de ING, waarbij een verdacht IP-adres als bewijsmateriaal werd aangedragen. Via het Centraal Informatiepunt Onderzoeken Telecommunicatie (CIOT) is de tenaamstelling van het IP-adres achterhaald, wat leidde tot het adres waar ook de verdachte bleek te wonen. Bij de verdachte is een IP-tap gezet en digitaal onderzoek tijdens de doorzoeking van de woning van de verdachte uitgevoerd. Het vonnis vermeld dat daarbij is vastgesteld op welke wijze de verdachte de malware aanstuurde.

De verdediging stelde dat sprake was van een vormverzuim, omdat gebruik is gemaakt van informatie die afkomstig is uit een gelekte database. De rechtbank verwerpt dit verweer, omdat niet kan worden vastgesteld dat de ING de gegevens uit een gelekte database heeft verkregen of strafbarre feiten heeft begaan. Daar komt nog bij dat de gegevens die ING met behulp van de uitgelekte database heeft weten te achterhalen, geen doorslaggevende rol hebben gespeeld bij het identificeren van de verdachte.

Handel in PayPal-accounts op het darkweb

De rechtbank Rotterdam heeft op 8 juli 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:6548) voor de handel in gehackte PayPal-accounts. Het delict in artikel 139d Sr werd bewezen geacht.

De verdachte kocht de inloggegevens van gehackte accounts via de site ‘blackpass’. Vervolgens bood hij diezelfde accounts te koop aan op verschillende handelsplatformen op het dark web. De verdachte heeft ter zitting verklaard dat hij die gegevens na aankoop alleen nog naar het handelsplatform hoefde te kopiëren en dat de transacties daarna volledig geautomatiseerd werden afgehandeld door het handelsplatform. Uit het onderzoek is gebleken dat de verdachte meer dan 13.000 accounts heeft verkocht.

Mede vanwege de persoonlijke omstandigheden van de verdachte en zijn proceshouding wordt hem een voorwaardelijke gevangenisstraf van 2 maanden en een taakstraf van 174 uur opgelegd.

Kaartlezer is geen technisch hulpmiddel

Het Hof Den Haag heeft op 9 september 2019 een verdachte veroordeeld (ECLI:NL:GHDHA:2019:2426) tot 80 uur taakstraf voor computervredebreuk, oplichting (artikel 326 Sr) en het voorhanden tot het voorhanden hebben van een technisch hulpmiddel voor het plegen van computervredebreuk (artikel 139d lid 2 sub a Sr). De verdachte is zijn OV-chipkaart, een geautomatiseerd werk, binnengedrongen. Daarmee heeft hij vervolgens het saldo op OV-chipkaarten verhoogd tot nagenoeg het maximale bedrag dat bij een refund kon worden uitgekeerd. Daarmee heeft de verdachte oplichting en computervredebreuk gepleegd.

Het arrest is vooral interessant, omdat het hof oordeelt dat de kaartschrijver/kaartlezer waarmee het saldo kon worden verhoogd niet kan worden beschouwd als een technisch hulpmiddel in de zin van artikel 139d Sr. Het hof overweegt kortgezegd dat de kaartlezer een vrij verkrijgbaar elektronisch apparaat is, dat doorgaans wordt gebruikt voor het uitlezen en beschrijven van (onder meer) NFC chips. Niet blijkt uit de inrichting of de eigenschappen van de kaartschrijver/kaartlezer dat de producent heeft bedoeld een hulpmiddel te produceren dat hoofdzakelijk is ontworpen voor het begaan van de genoemde delicten. Evenmin blijkt dat de kaartschrijver/kaartlezer op enigerlei wijze voor dat doel is aangepast. Dit leidt tot het oordeel van het hof dat de kaartschrijver/kaartlezer – op zichzelf beschouwd – niet als technisch hulpmiddel in de zin van artikel 139d Sr kan worden aangemerkt.

De software waarmee OV-chipkaarten kunnen worden gemanipuleerd zijn wél te beschouwen als ‘technisch hulpmiddel’ in de zin van artikel 139d Sr. Het hof overweegt dat deze software immers specifiek is ontworpen om binnen te dringen in OV-chipkaarten, teneinde het saldo op OV-chipkaarten aan te kunnen passen en daarmee het plegen van computervredebreuk.

Veroordelingen voor kinderporno

Op 22 juli 2019 heeft de rechtbank Gelderland een ex-militair vrijgesproken (ECLI:NL:RBGEL:2019:3456) van het bezit van kinderpornografie. Na forensisch onderzoek werden 17 kinderpornografische afbeeldingen teruggevonden in de ‘Temporary Internet files’. De vier afbeeldingen uit de tenlastelegging werden gevonden in de ‘deleted files’. Deleted files zijn bestanden die zonder speciaal daartoe bestemde software niet meer eenvoudig door de gebruiker zijn te benaderen. Volgens vaste jurisprudentie kan ten aanzien van bestanden met kinderporno die aangemerkt zijn als ‘deleted’ dan ook niet het “bezit” in de zin van artikel 240b van het Wetboek van strafrecht worden aangenomen. Niet is gebleken dat verdachte beschikte over speciale software via welke de afbeeldingen voor hem toegankelijk waren.

De verdachte heeft op enig moment de bestanden op zijn computer gehad, maar ook op enig moment weer verwijderd. Uit de bewijsmiddelen kan echter niet worden herleid wanneer verdachte de afbeeldingen heeft gedownload, of wanneer hij deze heeft verwijderd. Dit leidt tot de conclusie dat niet bewezen kan worden dat verdachte de in de tenlastelegging genoemde afbeeldingen in de ten laste gelegde periode in zijn bezit heeft gehad. De militaire kamer heeft verdachte daarom vrijgesproken van het ten laste gelegde bezit, de verspreiding of het toegang verschaffen tot kinderpornografische afbeeldingen in de ten laste gelegde periode.

Op 10 september 2019 heeft de rechtbank Overijssel een 20-jarige man veroordeeld (ECLI:NL:RBOVE:2019:3214) tot twee jaar gevangenisstraf en tbs met dwangverpleging voor het seksueel misbruik van jonge meisjes en het maken, bezitten en verspreiden van kinderporno.

De verdachte heeft via het darkweb ‘een zeer omvangrijke hoeveelheid kinderporno’ verspreid. Daar komt nog bij dat verdachte zelf ook foto’s heeft vervaardigd en verspreid, waarmee hij een actieve rol heeft gespeeld bij het in standhouden van kinderpornografie. In lekentaal overweegt de rechtbank dat de verdachte “op zeer professionele wijze zich begaf op het internet en in de digitale wereld” (..) Hij heeft daarbij opgetreden als ‘admin/global/moderator/producer in de organisatiestructuur op het darkweb.’

In een hele droevige zaak is een (destijds) 13-jarige jongen veroordeeld voor 40 uur taakstraf (ECLI:NL:RBOVE:2019:3530) en een (destijds) 14-jarig meisje is veroordeeld (ECLI:NL:RBOVE:2019:3531) tot een voorwaardelijke taakstraf van 40 uur voor het verspreiden van een naaktfoto van een 14-jarige jongen uit Enschede. Het slachtoffer had een naaktfoto verstuurd via Snapchat dat gekoppeld was aan het e-mailaccount van de verdachte. De foto werd via WhatsApp verstuurd naar de medeverdachte. Zij heeft vervolgens de foto van het slachtoffer op haar Instagramaccount gezet en hem daarbij getagd. Toen de foto bekend werd heeft het slachtoffer zelfmoord gepleegd door vanaf grote hoogte van een kamer in een flat af te springen.

De officier van justitie had besloten niet vervolgen voor ‘dood door schuld’, omdat uit het politieonderzoek was gebleken dat beide verdachten geen strafrechtelijke verantwoordelijkheid voor de dood van het [slachtoffer kon worden verweten. Vanwege het voorhanden hebben van een naaktfoto is door de officier van justitie besloten dat verdachte en de medeverdachte een voorwaardelijk sepot zouden krijgen en een onderhoud ten parkette. Door een klachtprocedure wegens het niet instellen van vervolging (de ‘artikel 12-procedure’ kwam het tot toch tot een strafzaak.

De verdachten zijn uiteindelijk veroordeeld voor het verspreiden van kinderporno (omdat het slachtoffer minderjarig is) en belediging omdat het slachtoffer in zijn eer en goede naam is aangetast. De verdachte verdient volgens de rechtbank een onvoorwaardelijke taakstraf voor het delen van de foto. Bij de straftoemeting heeft de rechtbank er wel rekening mee gehouden dat de feiten hebben plaatsgevonden toen verdachte nog zeer jong was en hij de gevolgen niet goed heeft kunnen overzien.

Veroordeling voor het voor handen hebben van ‘jammers’

Het Hof Den Haag heeft op 25 augustus 2019 een verdachte vooroordeeld (ECLI:NL:GHDHA:2019:2385) voor het voorhanden hebben van ‘jammers’ (stoorzenders die telefoon- en internetverkeer plaatselijk onmogelijk maken). Aan één van de binnenwanden van de laadruimte van de bus waarin hennepafval werd vervoerd was een jammer bevestigd. In het dashboardkastje werd een identieke jammer gevonden. Dat is strafbaar op grond van artikel 350d jo 350c Sr. Er zijn hier niet zoveel uitspraken over, dus dat maakt de zaak interessant.

Het hof is ‘van oordeel dat jammers – die naar hun aard geen andere bestemming kennen dan het verstoren van telecommunicatie – in het criminele circuit worden gebruikt om ontdekking van criminele activiteiten te bemoeilijken. In dat licht bezien past het bij het door de verdachte vervoeren van het afval van een hennepkwekerij dat hij daarbij gebruik kon maken van jammers en dat die met dat doel zich in de door hem gebruikte bus bevonden.’ Het hof neemt daarbij in aanmerking dat de verdachte geen verklaring gegeven die de feiten konden ontzenuwen. De verdachte krijgt een taakstraf van 40 uur opgelegd.

Zoekwoorden voor vergiftiging en ‘find my iphone’ & voorbedachte rade

Het Hof Amsterdam heeft op 12 juli 2019 een verdachte veroordeeld (ECLI:NL:GHAMS:2019:2497) voor het medeplegen van moord en wegmaken van het stoffelijk overschot van het slachtoffer. Zoekwoorden op internet die zijn gevonden op de inbeslaggenomen tablet van de verdachte hebben (onder andere) geleid tot de bewezenverklaring van het vereiste ‘voorbedachte rade’.

De verdachte kreeg te maken met het slachtoffer wiens karakter door TIA’s was veranderd. Zij wilde onbezorgd haar verdere leven kunnen leiden en heeft – getuige haar zoekslagen op internet tussen 10 juni en 14 juli 2015 over dood door landbouwgif, nekslag en slaan – onderzocht hoe het slachtoffer van het leven kon worden beroofd. Daarna heeft de verdachte gezocht niet alleen gezocht naar methoden om iemand om het leven te brengen, maar bovendien aan haar zus gevraagd of zij iemand wist die tegen een beloning het slachtoffer van het leven kon beroven. Toen zij niemand konden vinden, hebben zij het slachtoffer door verstikking om het leven gebracht. De verdachte wordt veroordeeld tot 17,5 jaar gevangenisstraf.

Het Hof Amsterdam heeft daarnaast op 27 september 2019 ook een verdachte vooroordeeld (ECLI:NL:GHAMS:2019:3502) voor 16 jaar gevangenisstraf voor de moord op zijn vriendin door haar dood te schieten. De voorbedachte rade werd hier (onder andere) bewezen, omdat de inlogde op het Facebook-account van het slachtoffer en op de dag waarop zij om het leven werd gebracht haar iCloud-omgeving, waar hij  ‘find my iPhone’ en haar agenda gebruikte om te achterhalen waar het slachtoffer was. Het was bekend dat de verdachte dit deed, omdat hij was ingelogd op zijn Hotmailaccount.

Internetoplichting en gewoontewitwassen

De rechtbank Rotterdam heeft op 28 augustus 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:6965) voor 15 maanden gevangenisstraf (waarvan 5 voorwaardelijk), voor de oplichting van 414 personen. Hij heeft een webshop opgezet en zich als bonafide verkoper voorgedaan. De beloofde goederen zijn niet geleverd. Nu niet alle consumenten aangifte doen van internetfraude en van enige levering aan wie dan ook niet gebleken is, gaat de rechtbank er zonder meer van uit dat het gehele bedrag van € 200.400,01 ziet op door oplichting verkregen gelden.

In totaal is door de kopers meer dan 200.000 euro uit criminele herkomst gestort op twee bankrekeningen waarover verdachte de beschikking had. Door anderen is het geld steeds gepind. Ook heeft de verdachte geld van deze bankrekeningen doorgesluisd naar de medeverdachten. De gelden zijn, al dan niet na doorbetaling naar andere rekeningen, al dan niet met een versluierde omschrijving, grotendeels contant gemaakt. Door deze handelingen kon het delict witwassen worden bewezen.