“Facebookvrienden worden met de verdachte.” Over online undercover operaties op internet

In het themanummer van Justitiële Verkenningen over ‘De digitalisering van georganiseerde misdaad’ is ook mijn artikel over online undercover operaties verschenen. In het artikel (.pdf) leg ik uit wat online undercover operaties zo uniek en aantrekkelijk maken voor de opsporing en welke regels gelden voor de politiële undercover bevoegdheden.

In het kader van mijn proefschrift (‘Investigating Cybercrime’) heb ik mij al eerder met het onderwerp bezig gehouden. Door recente jurisprudentie over de accountovername en de breed uitgelichte online undercover operatie over de darknet market ‘Hansa’ vond ik het tijd hier nog een artikel over te schrijven. Het artikel is een uitvloeisel van een paper die ik had geschreven voor het NVC-congres van afgelopen zomer.

Wat online undercover operaties zo aantrekkelijk maakt voor de opsporing

In cybercrimezaken kunnen online undercoveroperaties een effectief opsporingsmiddel zijn om bewijs te verzamelen met een online handle als digitaal spoor, zoals een nickname, e-mailadres of profiel op sociale media. Onder de omstandigheid dat verdachten consistent gebruik maken van anonimiseringstechnieken die het IP-adres verhullen van het netwerk waar zij gebruik van maken, is de toepassing van online undercover opsporingsmethoden één van de weinige middelen om bewijs te verzamelen in opsporingsonderzoeken met betrekking tot cybercriminaliteit.

Een bijkomende voordeel van de online toepassing van undercover opsporingsbevoegdheden, is dat opsporingsambtenaren net zo anoniem kunnen communiceren als de betrokken van het opsporingsonderzoek, zonder (direct) lijflijk risico en zonder de bureaustoel te hoeven verlaten met een wereldwijd bereik van de opsporingsmethode. Bij een accountovername kunnen opsporingsambtenaren zelfs door de bril van een crimineel of een persoon met toegang tot besloten omgevingen meekijken en bewijs verzamelen voor een opsporingsonderzoek. In reguliere opsporingsonderzoeken (geen cybercrime) waarbij verdachten online actief zijn, biedt de toepassing van online undercoverbevoegdheden additionele mogelijkheden ten opzichte van de bevoegdheden die in de fysieke wereld kunnen worden toegepast.

‘BOB’ gaat digitaal

Dezelfde regels gelden voor de toepassing van undercover bevoegdheden als 20 jaar geleden, zoals die in de Wet bijzondere opsporingsbevoegdheden (Wet BOB) zijn geformuleerd. Toch is de context waarbinnen de bevoegdheden worden toegepast stevig verandert. Dat levert de vraag op of de huidige regeling nieuwe toepassingen nog “dekt”. In verband met het legaliteitsbeginsel staat namelijk in de wet welke indringende opsporingsmethoden opsporingsinstanties mogen gebruiken. Door de techniekonafhankelijke formulering van de bevoegdheden zijn de BOB-bevoegdheden prima toepasbaar in een online context. Mijn artikel laat zien aan welke toepassingen je in de hedendaagse gedigitaliseerde wereld moet denken.

Jurisdictie

Het wereldwijde bereik van online undercover opsporingsmethoden levert echter wel een flink jurisdictievraagstuk op. In het artikel ga ik daar kort op in. Daarbij herhaal ik het standpunt dat ik in mijn dissertatie heb ingenomen, namelijk dat unilaterale online opsporing onder dekmantel onder omstandigheden moet worden toegestaan. Daarbij denk ik in het bijzonder aan de situatie dat verdachten anonimiseringsmaatregelen nemen en de fysieke locatie van de verdachte redelijkerwijs niet kan worden vastgesteld. Het artikel sluit ik af met een betoog dat de stormachtige ontwikkeling van cybercriminaliteit en de noodzakelijke inzet van digitale opsporingsbevoegdheden om bewijs te verzamelen staten er toe dwingt om afspraken met elkaar te maken onder welke omstandigheden grensoverschrijdende online undercover operaties zijn toegestaan.

Makers en verspreiders van Coinvault veroordeeld

De ‘Coinvault-zaak’ (Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153) verdient nadere aandacht. Het betreft namelijk de eerste veroordeling voor ransomware in Nederland. Dat is de hoogste tijd, omdat ransomware al jaren één van de meest prevalente vormen is van cybercrime in enge zin. In deze blog ga ik eerst kort in op de feiten van de zaak. Daarna bespreek ik uitgebreider de ten laste gelegde feiten en welke andere delicten van toepassing kunnen zijn. Tot slot werp ik een korte toekomstblik op ransomware.

Veroordeling

De Rechtbank Rotterdam heeft op 26 juli 2018 twee jongemannen veroordeeld tot 240 uur taakstraf en een voorwaardelijke gevangenisstraf van twee jaar voor het besmetten van een groot aantal computers met zelfgemaakte ransomware. Het is een relatief lage gevangenisstraf in verhouding tot de ernst van de delicten. De verdachten hebben van november 2014 tot en met september 2015 computers besmet met zelfgemaakte ransomware van de variant ‘Coinvault’ en ‘Bitcryptor’. Deze ransomware is meer specifiek te kwalificeren als ‘cryptoware’, waarbij gegevens worden versleuteld. Zonder betaling in virtueel geld (in dit geval Bitcoin) en de ontvangst van de sleutel om gegevens weer toegankelijk te maken, is het zonder back-up in de meeste gevallen onmogelijk de gegevens terug te krijgen.

De feiten

In de uitspraak van de Rechtbank Rotterdam staat weinig informatie over het opsporingsproces, maar uit de mediaberichten over de zaak blijkt dat de verdachten de malware als ‘trojan’ hebben verspreid (zie bijvoorbeeld dit bericht in de Volkskrant en deze blog van McAfee). In dit geval was de kwaadaardige software vermomd als commerciële software en ‘sleutel-generatoren’ die in nieuwsgroepen gratis konden worden download. Nadat duizenden computers waren besmet activeerden de verdachten de cryptoware en eisten ze 250 euro in Bitcoin van hun slachtoffers. De computers stonden als zombiecomputers onder controle van hun command-and-control server. Bij het verbinding maken met de server maakten de verdachten echter geen gebruik van anonimiseringstechnieken (zoals Tor), waardoor het IP-adres terugverwees naar het adres van de abonneehouder (het ouderlijk huis van de verdachten). Dat leidde tot de arrestatie van de verdachten in een klein dorp nabij Amersfoort.

De tenlastelegging

De officier van justitie heeft artikel 138ab Sr, 350a Sr en 317 Sr (afpersing) ten laste gelegd. Het ligt het meest voor de hand het delict gegevensaantasting (art. 350a Sr) ten laste te leggen. Het artikel is ervoor gegoten, omdat het (onder andere) strafbaar stelt ‘het opzettelijk en wederrechtelijk veranderen, onbruikbaar maken of ontoegankelijk maken van gegevens’ met een maximale gevangenisstraf van twee jaren of een geldboete van de vierde categorie. De verdachten hebben gebruik gemaakt van een botnet, waardoor ook sprake is van een gekwalificeerde vorm van computervredebreuk in artikel 138ab lid 3 Sr (zie ook het Toxbot-arrest (ECLI:NL:HR:2011:BN9287)). Sinds mei 2015 is overigens ook artikel 138b Sr gewijzigd, waardoor een strafverzwaring naar een maximale gevangenisstraf van vijf jaar of een geldboete van de vierde categorie van toepassing indien met het plegen van het feit als omschreven in art. 350a Sr ‘ernstige schade’ wordt veroorzaakt. De memorie van toelichting definieert niet helder wat ‘ernstige schade’ behelst, maar ik neem aan dat hier ook de besmetting van duizenden computers met ransomware onder valt, zoals in casu het geval was.

Bijzondere aandacht verdient ook de tenlastelegging van afpersing (art. 317 Sr) in deze zaak. Het gaat hier om de uitoefening van dwang, om zichzelf wederrechtelijk te bevoordelen met geweld of de bedreiging met geweld, door ‘de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist’ (zoals staat omschreven in art. 317 lid 2 Sr). Daarvan is in deze zaak sprake, omdat de cryptoware de gegevens ontoegankelijk maakt, tenzij het losgeld wordt betaald in de vorm van Bitcoin (of het systeem op een andere manier met een sleutel kan worden ontsleuteld). De Rechtbank Rotterdam volstaat in haar (helaas zeer korte) bespreking van het artikel met: “de rechtbank is daarbij van oordeel dat het op deze wijze ontoegankelijk maken van bestanden gelijk is te stellen aan het begrip geweld als bedoeld in artikel 317 van het Wetboek van Strafrecht”.

Richtlijn Cybercrime strafvordering kan beter

De richtlijn Cybercrime strafvordering noemt de toepasbaarheid van het delict afpersing merkwaardig genoeg in zijn geheel niet. In plaats daarvan worden de artikelen 139d Sr (de plaatsing van malware), art. 326 Sr (oplichting) en art. 284 Sr (dwang) genoemd. De officier van justitie had inderdaad art. 139d lid 2 sub a Sr met verwijzing naar art. 138ab lid 3 Sr ten laste kunnen leggen. Dat zou beter tot uitdrukking doen komen dat de verdachten ook de vervaardiging van de Coinvault-malware wordt verweten. Op het eerste gezicht lijkt bij ransomware de ten laste legging van het delict ‘oplichting’ (art. 326 Sr) minder voor de hand te liggen. Voor oplichting is immers (onder andere) vereist dat iemand bijvoorbeeld na een ‘listige kunstgreep’ geld overmaakt. Met andere woorden wordt de betrokkene ‘er in geluisd’. Bij ransomware wordt simpelweg de computer van het slachtoffer gegijzeld en losgeld door een anonieme dader wordt geëist; daarbij lijkt van een ‘listige kunstgreep’ geen sprake. Voor de besmetting van de computer wordt soms wel een ‘listige kunstgreep’ gebruikt. In deze zaak hebben de verdachten bijvoorbeeld de computers besmet via onschuldig lijkende programma’s die via internet ter beschikking zijn gesteld, waarna de slachtoffers na besmetting van cryptoware bewogen worden geld over te maken. Eerder is oplichting wel ten laste gelegd en bewezen verklaard in het geval van ‘banking malware’. Ten slotte kan in de context van ransomware ook nog sprake zijn van het delict dwang (art. 284 Sr), omdat een persoon ‘door enige feitelijkheid’ (het versleutelen van een computer) een ander wederrechtelijk dwingt iets te doen (losgeld betalen) of te dulden (het versleuteld laten van de computer). Het voordeel van de hoge maximale gevangenisstraf bij art. 317 Sr is dat slachtoffers spreekrecht hebben en ook zware bijzondere opsporingsbevoegdheden mogen worden toegepast, zoals direct afluisteren (art. 126l Sv) en alle vormen van de hackbevoegdheid (art. 126nba Sv).

‘Geweld’ bij ransomware?

Met de opkomst van het Internet of Things raken steeds meer apparaten die autonome beslissingen kunnen nemen met het internet verbonden. Dat brengt bijvoorbeeld met zich mee dat mensen opgesloten kunnen raken in hun hotelkamer, omdat de kamerdeur met het elektronische slot niet meer functioneert na een ransomwarebesmetting. Het ontoegankelijk maken van een slimme auto met ransomware tegen losgeld voor een flink bedrag lijkt mij ook goed denkbaar. In deze gevallen ziet het vereiste ‘geweld’ bij afpersing mogelijk meer op het goed zelf in plaats van de opgeslagen gegevens op de computer. Toch lijkt het dat het geweld of de bedreiging van geweld zich daarbij meer richt op het gebruik van het goed, dan op het goed zelf; het omhulsul van het goed blijft ten slotte intact. Het is overigens ook denkbaar dat met ransomware het geweld of de bedreiging van geweld zich richt tegen een persoon. Als medische apparaten aan het lichaam (zoals een insulinepomp) of in het lichaam (zoals een pacemaker) verbonden zijn met een netwerk en op afstand ontoegankelijk wordt gemaakt, kan namelijk sprake van (de dreiging van) geweld jegens een persoon bij het gebruik van ransomware.

Strafrechtpraktijk nog onvoldoende voorbereid op ransomware

Los van deze theoretische bespiegeling over de strafbaarstelling van ransomware is van belang te realiseren dat de besmetting van ransomware op IoT-apparaten geen science fiction is. Ransomware is een groeiend probleem. De WannyCry-aanval heeft in mei 2017 ziekenhuizen in het Verenigd Koninkrijk, het spoorwegsysteem tussen Duitsland en de Russische Federatie, telecommunicatiebedrijven in Spanje en Portugal en Petrochemische bedrijven in China en Brazilië en autofabrikanten in Japan platgelegd. De Nederlandse samenleving zal zich moeten voorbereiden op deze vormen van cybercrime en maatregelen moeten treffen (niet alleen op het gebied van strafrecht). Daarnaast is nu al een tendens zichtbaar dat cybercriminelen de aanvallen gerichter worden uitgevoerd, zoals het besmetten van medische apparaten in ziekenhuizen, waarbij een veel groter bedrag wordt geëist: in de tienduizenden euro’s in plaats van die doorgaans 500 euro voor besmette PC’s. De strafrechtpraktijk lijkt hier nog onvoldoende op voorbereid.

Mijn noot met bijna gelijke tekst is verschenen in: Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, p. 281-291, m.nt. J.J. Oerlemans.

Over ethisch hacken: nieuwe leidraad ‘Coordinated Vulnerability Disclosure’ gepubliceerd

De leidraad ‘Coordinated Vulnerability Disclosure (CVD) is een aanscherping op de ‘leidraad responsible disclosure’ van het Nationaal Cyber Security Centrum uit 2013. Het doel van de richtlijn is om bij te dragen aan de veiligheid van ICT-systemen door kennis over kwetsbaarheden door ethische hackers te laten delen met de eigenaren van ICT-systemen, zodat deze de kwetsbaarheden kunnen verhelpen voordat deze actief misbruikt worden door derden. In de nieuwe richtlijn komt beter tot uiting dat er een gelijkwaardig gesprek moet zijn tussen de melder en de mogelijk kwetsbare organisatie.

In de afgelopen jaren hebben melders binnen de randvoorwaarden van coordinated vulnerability disclosure beleid van organisaties gewerkt. Toch kan tijdens het vinden van kwetsbaarheden de wet worden overtreden. In het kader van een CVD-overeenkomst kunnen organisatie en melder overeenkomen geen aangifte te doen (van in de eerste plaats computervredebreuk), zolang de melder binnen de randvoorwaarden van het beleid opereert. Eveneens kan worden afgesproken dat er geen civielrechtelijke stappen worden ondernomen, waarbij eventuele schade op de melder wordt verhaald.

Nadrukkelijker dan voorheen, staat nu in de richtlijn:

“Indien er wel aangifte wordt gedaan, is in Nederland het bestaan en naleven van CVD-beleid een relevante omstandigheid die de officier van justitie zal meenemen in zijn beslissing om al dan niet een strafrechtelijk onderzoek in te laten stellen en/of te vervolgen. In principe stellen Politie en Openbaar Ministerie (OM) geen strafrechtelijk onderzoek in, indien de melder zich klaarblijkelijk aan de regels uit het CVD-beleid van de betreffende organisatie heeft gehouden.”

Daarbij wordt naar twee uitspraken verwezen  (ECLI:NL:RBOBR:2013:BZ1157) en  ECLI:NL:RBDHA:2014:15611) en een beleidsbrief  waarin specifiek wordt ingegaan op de overwegingen bij de onderzoeks- en vervolgingsbeslissing. Net als in de uitspraken wordt daar in gegaan op de gebruikelijke overwegingen zoals het dienen van algemeen belang, of de melder niet onevenredig handelde (de proportionaliteitstoets) en niet een minder ingrijpende manier had kunnen handelen (de subsidiariteitstoets).

Het NCSC hanteert een standaardtermijn van 60 dagen tussen de melding en de publieke bekendmaking van de kwetsbaarheid. De omstandigheden van het geval kunnen nopen tot een langere of kortere termijn. In het CVD-beleid worden tips en voorbeelden gegeven. Daarbij wordt het CVD beleid over het gehele spectrum gebruikt, van het strenge CVD-beleid van Fox IT (slechts in een offline omgeving op voorgeselecteerde producten), naar het standaard beleid op ResponsibleDisclosure.nl tot het informele en ruimtehartige CVD-beleid van Bits of Freedom.

Recente zaak over ethisch hacken

Op 30 augustus 2018 heeft de Rechtbank Den Haag een 45-jarige IT-er veroordeeld (ECLI:NL:RBDHA:2018:10451) voor computervredebreuk, maar geen straf opgelegd. Op basis van art. 9a Sr kan een rechter daartoe overgaan, indien ‘de rechter dit raadzaam acht in verband met de geringe ernst van het feit, de persoonlijkheid van de dader of de omstandigheden waaronder het feit is begaan, dan wel die zich nadien hebben voorgedaan’. De rechtbank neemt daarbij in overweging dat hij geen kwade bedoelingen had, dat hij de gegevens uit de database niet voor eigen gewin heeft gebruikt en dat hij een maatschappelijk belang heeft gediend. In de uitspraak staan veel technische details en uitgebreide overwegingen van de rechtbank die voor de liefhebber interessant zijn. Het komt echter niet de leesbaarheid van de uitspraak ten goede. Daarom volgt hier onder een korte samenvatting.

De verdachte deed een beroep op de rechtvaardigingsgrond van het ‘algemeen belang’ door uit te leggen dat de hack op de site van de stichting was uitgevoerd om te laten zien dat de beveiliging ondermaats was. De hacker heeft simpelweg het robots.txt-bestand van de webserver opgevraagd waarbij na invoer van een geldig ID 80.000 donateursgegevens beschikbaar kwamen. In de gegevensset waren ook NAW-gegevens (naam, adres, woonplaats), bankrekeningnummers, e-mailadressen en opmerkingen over betaalgedrag van “vrienden” te vinden. Het script was niet met een wachtwoord beveiligd, maar dat is ook niet vereist om computervredebreuk te plegen. Wel overweegt de rechtbank dat sprake is van een kenbare drempel die de verdachte is overgegaan, enerzijds door het afschermen van pictura.php met het commando “disallow” op de website en anderzijds door bij opvraging daarvan de invoer van een geldig ID te vereisen.

Met behulp van ‘een vals signaal’ (zie art. 138ab lid 1 Sr) heet de hacker daarmee toegang verschaft tot de een geautomatiseerde werk (de webserver) en computervredebreuk gepleegd. Het beroep op de rechtvaardigingsgrond slaagde niet, omdat de verdachte niet proportioneel handelde door de hele database binnen te halen en ten onrechte meteen naar de media (bij Tweakers.net, De Volkskrant en Trouw via het online klokkenluidersplatform PubLeaks) is gestapt, in plaats van de betrokken organisatie zelf. De verdachte is overigens geïdentificeerd na onderzoek door Fox IT dat was ingehuurd om de hack te onderzoeken. Uit de logbestanden op de webserver bleek dat met een (niet-afgeschermd) IP-adres net voor de hack was ingelogd. Het IP-adres behoorde bij Ziggo en het opvragen van de gebruikersgegevens bij Ziggo heeft klaarblijkelijk tot de verdachte geleid.

Jurisprudentieoverzicht cybercrime – augustus-oktober 2018

Naar inmiddels goed gebruik heb ik weer een overzichtje gemaakt van opvallende jurisprudentie op het gebied van cybercrime. In het overzicht zit wederom een zaak over (grootschalige) drugshandel en witwassen met interessante bewijsoverwegingen. Daarop volgt een zaak over fraude met internetbankieren via de ING met leuke technische details, een zaak waarbij rechters hun visie geven op de (incidenteel terugkerende) vraag of het bezit van mangaporno strafbaar is en de (reeds in de media al breed uitgemeten) zaak over het hacken van een rioolinstallatie.

Drugshandel via het darkweb en witwassen

Op 18 september 2018 is een 32-jarige man uit Maastricht door de Rechtbank Overijssel veroordeeld (ECLI:NL:RBOVE:2018:3394) voor handel in hard- en softdrugs via het darkweb, witwassen via bitcoins en het bezit van hard- en softdrugs. Hij is veroordeeld tot een gevangenisstraf van vier jaar, waarvan één jaar voorwaardelijk met een proeftijd van drie jaar en bijzondere voorwaarden. Daarnaast moet hij 21.492,50 euro aan de Staat betalen als ontneming. Een medeverdachte in het onderzoek ‘26Maywood’ is tevens veroordeeld (ECLI:NL:RBOVE:2018:3395) tot een taakstraf van 240 uur en een voorwaardelijke gevangenisstraf met proefschrift, voor het witwassen van grote hoeveelheden bitcoins, met vermoedelijk een illegale herkomst, tegen contant geld.

De hoofdverdachte rekende een commissie van 10% voor het omzetten van de bitcoins tegen contant geld voor een totaalbedrag aan € 208.420,-. Hij had wetenschap dat de bitcoins onder meer afkomstig waren uit drugshandel. De verdachte handelde ook zelf in XTC en cocaïne via het darkweb en heeft deze XTC en cocaïne naar het buitenland per post verzonden.

Het bewijs is onder andere verzameld via een pseudokoop van de drugs, de analyses op de postpakketten en enveloppen, de analyse van bitcoin wallets op smartphones, foto’s op het scherm van de mobiele telefoon met daarop Whatsapp-gesprekken en onderzoek aan inbeslaggenomen laptops van de verdachte.

Veroordeling voor phishing

Op 25 september 2018 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2018:2488) voor computervredebreuk, oplichting, deelname aan een criminele organisatie en diefstal via een nepwebsite voor internetbankieren. De verdachte krijgt een gevangenisstraf opgelegd van 18 maanden, waarvan 7 maanden voorwaardelijk en een proeftijd van twee jaar.

De verdachten hebben een e-mail verstuurd naar slachtoffers, waarbij zij zich voordeden als de ING-bank. Via een hyperlink in deze e-mail werden de slachtoffers naar een “phishing-website” geleid. De website leek sterk op de officiële ING-webpagina, waarna de slachtoffers werd gevraagd om op deze pagina diverse persoonlijke (bank)gegevens in te vullen. Dankzij deze gegevens konden degenen achter dit “phishing” traject inloggen op de ING-internetbankier-omgeving van de aangevers en kennisnemen van onder meer de aard van de bankrekeningen (betaal- en/of spaarrekening) en de daarmee corresponderende saldogegevens van de betrokkenen. Het Hof overweegt in het arrest dat op dat moment sprake is van het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk, en daarom van het delict computervredebreuk (art. 138ab Sr).

De daders logden in op de rekeningen van de slachtoffers, waarbij het IP-adres werd vastgelegd van een Apple MacBook, waarvan later bleek dat de verdachten gebruik van maakten, met telkens dezelfde ‘User Agent’. Het IP-adres kon worden gekoppeld aan het (adres) waarop een verdachte tijdens de strafbare gedragingen verbleef. Interessant is dat de verdachte in dit geval geen toegang wilde geven tot zijn MacBook Pro dat was versleuteld met ‘FileVault’. Blijkbaar kon de politie geen toegang krijgen tot deze laptop van de verdachte, maar wel is bewezen dat de verdachte van dezelfde laptop gebruik maakte om de inloggegevens van de verdachten te vergaren. Dat is gebeurd door op listige wijze de wificode van slachtoffers te verkrijgen, waarbij vervolgens is ingelogd op de wifirouter van de slachtoffers. Vervolgens is met gebruikmaking van de inloggegevens van de slachtoffers ingelogd op de ING webserver en hier vandaan betalingen verricht ten laste van de aangevers. Het staat niet expliciet vermeld in de uitspraak, maar het is hoogstwaarschijnlijk voor de bewijsvoering ook digitaal forensisch onderzoek aan de wifi-routers uitgevoerd.

Volgens het Hof is ook sprake van deelname een criminele organisatie vanwege een gestructureerd samenwerkingsverband met een zekere duurzaamheid en continuïteit tussen de verdachte en anderen, die tot oogmerk had om door middel van “phishing” en oplichting de bankrekeningen van slachtoffers leeg te halen (diefstal).

Vrijspraak voor bezit van “manga-porno”

Op 31 augustus 2018 heeft de rechtbank Noord-Nederland (ECLI:NL:RBNNE:2018:3579) een verdachte vrijgesproken van computervredebreuk, dwang en bezit van kinderporno, maar veroordeeld voor 40 uur taakstraf vanwege het voorhanden hebben van een ‘Remote Access Trojan’ (RAT)-bestand (art. 139d Sr).

Uit de verklaring van de verdacht blijkt dat hij deze bestanden naar verschillende personen heeft verzonden met het oogmerk om computervredebreuk te plegen en om gegevens af te tappen, namelijk door het meekijken via een webcam. Het voorhanden hebben van RAT-bestanden met dit oogmerk acht de rechtbank daarom bewezen.

De uitspraak is echter vooral opvallend, omdat de officier van justitie het bezig van kinderporno ten laste had gelegd, mede vanwege het bezit van ‘manga’s’. Manga zijn cartoontekeningen die in een bepaalde Japanse stijl zijn gemaakt. De erotische vorm daarvan heet overigens ‘hentai’, waarbij dikwijls zogenaamd minderjarigen seksuele handelingen verrichten. De rechtbank heeft kennisgenomen van de cartoontekeningen die in de collectiescan zijn opgenomen. De rechtbank overweegt dat virtuele kinderpornografie strafbaar is, indien er sprake is van een realistische, niet van echt te onderscheiden afbeelding. De rechtbank is van oordeel dat de in de selectie opgenomen manga’s niet als realistisch zijn aan te merken, in welk geval deze niet van echte afbeeldingen te onderscheiden zouden zijn geweest. De rechtbank vindt ook dat met betrekking tot de overige afbeeldingen de (kennelijke) minderjarigheid, dan wel de seksuele strekking van de gedragingen, niet blijken. De rechtbank spreekt de verdachte daarom vrij van dit ernstige zedendelict.

Veroordeling voor hack rioolinstallatie

De rechtbank Midden-Nederland heeft op 13 september 2018 een verdachte veroordeeld (ECLI:NL:RBROT:2018:4380) voor het hacken van de rioolinstallatie van de gemeente Lopik. De verdachte heeft na het inloggen op de server van de rioolinstallatie een aanzienlijke hoeveelheid bestanden gewist. De rioolinstallatie kon daardoor enige tijd niet correct worden aangestuurd. Een paar maanden later heeft de verdachte via datzelfde programma rioolafsluiters dichtgezet en rioleringspompen aangezet en de daaropvolgende storingsmelding genegeerd, als gevolg waarvan ernstige schade aan de rioolinstallatie van de gemeente had kunnen ontstaan.

Bij een gedraging als deze kan een ‘gemeen gevaar voor het leveren van diensten’ ontstaan. Bij een rioolwatervoorziening is daarvan sprake, omdat het een dienst van algemene nutte is. Daarop kan artikel 161sexies onderdeel 1 Sr ten laste worden gelegd. Dat is een misdrijf waarop een maximale gevangenisstraf van zes jaar kan worden opgelegd. De technische bewijsoverwegingen uit de uitspraak zijn ook wel interessant. De verdachte werd overigens relatief eenvoudig geïdentificeerd via het niet-afgeschermde IP-adres van zijn computer waarmee hij met het Remote Desktop Protocol verbinding met de server maakte. De verbindingen werden gelogd, waardoor het IP-adres en de gebruikersnaam waarmee werd ingelogd zijn vastgelegd. Na het vorderen van de gebruikersgegevens en het identificeren van de vermoedelijke woning van de verdachte, werd in de woning van de man een briefje gevonden met gebruikersnamen en wachtwoorden waarmee is ingelogd. Bewijs werd ook geleverd aan de hand locatiegegevens van de mobiele telefoon van de verdachte en een internettap.

Bij het bepalen van de straf heeft de rechtbank rekening gehouden met straffen die in soortgelijke strafzaken worden opgelegd en met het feit dat de man ZZP’er is en een gezin met twee kinderen moet onderhouden. De verdachte krijgt – vergeleken met de ernst van het delict de mijns inziens milde – maximale taakstraf opgelegd gekregen van 240 uur.

Europol rapport over cybercrime uitgebracht (iOCTA 2018)

Op 18 september 2018 heeft Europol een rapport (.pdf) over cybercrime uitgebracht. Het rapport biedt een mooi overzicht met gedetailleerde inzichten over de ontwikkeling van cybercrime. Het rapport is gebaseerd op rapporten van IT-beveiligingsbedrijven en zelfrapportage door opsporingsinstanties. In deze blog post zet ik de belangrijkste resultaten uit de ‘Internet Organised Crime Threat Assessment 2018’ op een rijtje.

1.         Ransomware is de no. 1 cybercrime-bedreiging

Ransomware is volgens Europol de nummer 1 dreiging op het gebied van cybercrime (in enge zin). Het heeft bovendien als dreiging van banking malware (waarmee frauduleuze betalingstransacties worden uitgevoerd) op het gebied van malware overgenomen. De meest voorkomende ransomware is Cerber, Cryptolocker, Crysis, Curve-Tor-Bitcoin Locker (CTBLocker), Dharme en Locky. Naar verluid verdienen de makers van Cerber-malware naar verwachting 200.000 euro per maand, door hun kwaadaardige software te licenseren aan anderen. Ransomware richt zich echter steeds vaker op specifieke organisaties.

Europol stelt vast dat na de NotPetya en Wannacry-aanval, initieel veel onzekerheid bestond over de motieven van de daders en typen daders. Omdat zowel cybercriminelen als ‘nation state actors’ gebruik maken van dezelfde technieken en tools is het lastiger de twee actoren te onderscheiden. Samenwerking tussen opsporingsinstanties, ‘Computer Incident Response Team’-teams en inlichtingendiensten is daarom volgens Europol noodzakelijk.

2.         Cryptomining malware en cryptojacking groeit

Opsporingsinstanties komen Bitcoin nog steeds het vaakst tegen in opsporingsonderzoeken naar cybercrime, hoewel meer anonieme cryptocurrencies, zoals Monero en ZCash, steeds populairder worden. Cryptocurrency uitwisselingskantoren (exchanges), mixing diensten en diensten die online portemonnees voor cryptocurrencies aanbieden worden ook steeds vaker het doelwit van afpersing en hacken. Witwassers maken ook vaker gebruik van gedecentraliseerde uitwisselingsdiensten die geen Know Your Customer beleid voeren, waarbij mensen bij elkaar komen om echt geld voor virtueel geld te wisselen. Cryptocurrencies die anonimiteit al ‘ingebakken hebben’, zullen volgens Europol mixing diensten overbodig maken. Europol merkt terecht op dat een kernvaardigheid zijn voor cybercrime-onderzoekers is om onderzoek te doen naar het misbruik van cryptocurrencies.

‘Cryptojacking’ wordt als nieuwe vorm van cybercrime gezien. Bij cryptojacking worden cryptocurrencies gedolven door gebruik te maken van de verwerkingcapaciteit van computers die aan het werk worden gezet door een javascript op websites. Daarbij wordt vooral het ‘CoinHive JavaScript miner’ gebruikt, waarmee Monero wordt gedolven. Cryptojacking is volgens Europol niet altijd strafbaar (ik kan zelf ook geen artikel uit het Wetboek van Strafrecht bedenken dat van toepassing is).

Europol wijst er op dat cryptojacking (virtueel) geld creëert en daarmee een motivatie vormt voor hackers om legitieme websites als doelwit aan te merken om van daar uit cryptojacking toe passen. Het hacken van website is uiteraard wel strafbaar (art. 138ab (lid 3 sub a?) Sr). Het gebruikt van mining malware is natuurlijk wel strafbaar (o.a. op grond van art. 138ab lid 3 sub a Sr en art. 350a lid 1 Sr) en kan het computersysteem van een slachtoffer plat leggen.

3.         Turbulentie en verplaatsing bij darknet markets

In 2017 zijn de populaire darknet markets ‘AlphaBay’, ‘Hansa’ en ‘RAMP’ offline gehaald. Ook zijn veel marktplaatsen uit zichzelf over de kop gegaan, bijvoorbeeld vanwege hacks en ‘exit scams’ van de eigenaren.

De ‘take downs’ door de politie hebben volgens Europol geleid tot de migratie van gebruikers naar bestaande of nieuwe markten, naar andere platformen (zoals I2P en Freenet) en gezamenlijke groepen of kanalen in versleutelde communicatie-apps.

4.        Groei van online misbruik via ‘live streaming’ diensten en sextortion

Materiaal met seksueel geweld tegen kinderen (o.a. kinderporno) wordt steeds minder vaak verspreid via peer-to-peerprogramma’s, zoals Gigatribe, BitTorrent en eDonkey en steeds meer via het darknet. In dat opzicht is het opvallend dat ik in (Nederlandse gepubliceerde) uitspraken over kinderporno wel lees over veroordelingen voor de verspreiding van kinderporno via Gigatribe, maar niet over de verspreiding via darknet forums.

Europol wijst daarbij ook op misbruik door gebruik ‘live streaming’-diensten via apps en chatkanalen, waarvoor soms ook wordt betaald via betalingsapps op de mobiele telefoon. Opgenomen materiaal wordt ook vaak gebruikt voor het afpersen van minderjarigen voor meer materiaal. Omdat kinderen vaak op jongere leeftijd op internet actief worden, kunnen ze ook op jongere leeftijd in contact komen met online zedendelinquenten en slachtoffer worden. Zowel internet service providers als betalingsdienstverleners moeten ook inspanningen verlenen om kindermisbruik tegen te gaan. Daarnaast doet Europol de nadrukkelijke (nieuwe) aanbeveling om hulpprogramma’s in te zetten voor daders, zodat deze hun driften beter leren beheersen.

5.         Ontwikkelingen in online fraude

West-Afrikaanse en andere fraudeurs passen meer geavanceerde aanvallen toe, waarbij ook zakelijke e-mail wordt compromitteert. Daarbij vinden meer gerichte aanvallen plaats, waarbij gedacht kan worden aan ‘CEO’-fraude (mails sturen uit naam van de CEO aan iemand in het bedrijf die betalingen uitvoert). Daarnaast maken ‘helpdeskfraude’, ‘advanced fee fraud’ en ‘romance scams’ nog steeds veel slachtoffers.

6.         Opsporing wordt lastiger door technische en juridische ontwikkelingen

Opvallend is ten slotte de waarschuwing van Europol dat juridische ontwikkelingen (in het bijzonder de AVG, waardoor de publieke toegang tot de WHOIS-database is afgesloten) en technische ontwikkelingen (zoals 5G zie dit ENISA rapport over 5G (.pdf)), het significant lastiger maken voor zowel publieke als private speurders om verdachten te attribueren en hun locatie te bepalen.

Europol is in het rapport stellig dat het vorderen van gegevens of het invullen van een ‘request form’ bij de registrars ondoenlijk werk oplevert voor opsporingsinstanties. 5G heeft als voordeel veel hogere snelheden en beveiliging dan 4G, maar als nadeel dat het lastiger is voor opsporingsinstanties om hier interceptie op uit te voeren en naar verluidt lastiger maakt om gebruikers van telecomdiensten te identificeren.

Jurisprudentieoverzicht cybercrime mei-augustus

Zoals ik al vaker heb aangegeven blijf ik het bijzondere interpretatie en principieel onjuist vinden dat het bekijken van foto’s in een smartphone een ‘beperkte inbreuk op het recht op privacy’ zou opleveren. Onderstaand arrest bevestigd dat nog eens. Daarnaast zijn er enkele spraakmakende cybercrimezaken met een veroordeling voor het hacken van iCloud-accounts, een milde veroordeling voor het hacken van computers in de Rotterdamse haven en een veroordeling voor deelname aan een terroristische organisatie (het ‘United Cyber Caliphate’) en de verspreiding van zorgwekkende video’s.

HR: Het bekijken van foto’s is een ‘beperkte inbreuk op de persoonlijke levenssfeer’

Op 10 juli 2018 heeft de Hoge Raad een arrest gewezen ECLI:NL:HR:2018:1121 over de rechtmatigheid van onderzoek in een smartphone. Naar aanleiding van een verkeerscontrole is er verdenking ontstaan van overtreding van de Wegenverkeerswet en Opiumwet, waarna op grond van art. 94 Sv zijn smartphone in beslag is genomen en onderzocht. Daarbij zijn foto’s in de fotogalerij in de smartphone bekeken. De Hoge Raad herhaalt relevante overwegingen uit ECLI:NL:HR:2017:592 m.b.t. onderzoek aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken. Het onderzoek aan de telefoon is niet alleen noodzakelijk als proportioneel te noemen, volgens het Hof. Dit oordeel acht de Hoge Raad niet onjuist en is niet onbegrijpelijk. Het bericht bekijken van foto’s in de fotogalerij op een smartphone levert niet een meer dan beperkte inbreuk op de persoonlijke levenssfeer in de zin van art. 8 EVRM op.

Veroordeling voor hacken meer dan 500 iCloud-accounts

De rechtbank Amsterdam heeft op 8 augustus een verdachte veroordeeld (ECLI:NL:RBAMS:2018:5745) voor computervredebreuk, afdreiging en het bezit van kinderpornografie.

De verdachte heeft door het raden van antwoorden op beveiligingsvragen binnengedrongen in de iCloud-accounts van 524 slachtoffers. Daarna heeft de verdachte wachtwoorden op de iCloud account gewijzigd, zodat deze tijdelijk ontoegankelijk waren en vervolgens de backups van deze iCloud accounts gedownload. Uit gesprekken op KIK op de inbeslaggenomen computer van de verdachte volgt op welke wijze de verdachte de iCloudbackups heeft gehackt.

De motivatie van de verdachte was gelegen in het vinden “pikante” foto’s en video’s, bij voorkeur meisjes tussen de 12 en 15 jaar, die hij ‘wins’ noemde. In de iCloudbackups van slachtoffers stonden foto’s, Whatsapp historie, inloggegevens van ene e-mailaccount, dropbox-, DigiD- en ING-accounts. In andere back-up bevonden zich ook Snapchat gegevens. Dit laat zien wat voor een rijkdom aan gegevens hackers van iCloudaccount kunnen binnenhalen.

De verdachte is vrijgesproken voor voorhanden hebben van ‘Elcomsoft Phone Breaker’, omdat het programma niet is ontworpen (hoofdzakelijk geschikt is gemaakt) met het oogmerk computervredebreuk te plegen. Het programma kan ook voor legale doeleinden worden gebruikt. Wel is duidelijk dat het programma gebruikt om de iCloud-backups van slachtoffers te downloaden.

Één van de slachtoffers werd gedreigd naaktfoto’s van haar en haar vriend openbaar te maken, als zij niet aan het verzoek van de dader zou voldoen nog meer pikante foto’s en video’s te sturen. Het slachtoffer zag dat de laatste logins op haar e-mail account waren gedaan op het IP-adres in gebruik bij verdachte. In de map op de computer van de verdachte werden de foto’s teruggevonden, waarmee de afdreiging kon worden bewezen. In de woning van verdachte hebben twee doorzoekingen plaatsgevonden. Daarbij zijn op gegevensdragers in totaal 130.000 afbeeldingen met kinderpornografie aangetroffen.

De verdachte is veroordeeld voor 3 jaar gevangenisstraf, waarvan een jaar voorwaardelijk met een proeftijd van drie jaar. Ook moet de verdachte worden opgenomen in een kliniek om voor de duur van maximaal tien weken voor behandeling.

Veroordeling ‘Rotterdamse havenhacker’

De rechtbank Rotterdam heeft op 3 mei 2018 een verdachte veroordeeld (ECLI:NL:RBROT:2018:5141) voor computervredebreuk. De verdachte hackte zogenoemde ‘containerlijsten’ van de Rotterdamse haven en gaf deze door aan drugscriminelen. Deze lijsten werden gebruikt voor de invoer van verdovende middelen in de haven. De verdachte is veroordeeld voor 176 uur taakstraf. Ik vermoed dat dit nieuwsbericht ook over deze zaak gaat.

De verdachte is vrijgesproken van een technisch hulpmiddel (de programma’s ‘Metasploit’ en ‘Zenmap’) met het oogmerk computervredebreuk te plegen. Deze software worden als ‘penetration testing’ tools gebruikt. Naar het oordeel van de rechtbank biedt het dossier ‘slechts aanwijzingen’ dat de software is gebruikt bij het plegen van de misdrijven. Niet kan worden vastgesteld dat zij voor dit doeleinde ‘hoofdzakelijk geschikt zijn gemaakt of ontworpen’, zoals art. 139d lid 2 sub a Sr vereist. Wel is hij veroordeelt voor het voorhanden hebben van het programma Medusa, Hydra en RWW Attack, waarmee hij het netwerkverkeer van het draadloze toegangspunt heeft afgeluisterd en opgenomen, waardoor een beveiligingswachtwoord kon worden achterhaald.

De inbeslaggenomen Macbook Pro van de verdachte was versleuteld, maar kon met behulp van ‘recovery key’ op de iPhone van de verdachte worden ontsleuteld. Gegevens op de Macbook en weinig verhullende Whatsapp gesprekken (zoals “Heb de login server van [naam bedrijf 3] gevonden” en “Nu nog gebruikersnamen en wachtwoorden vinden”) leverden het benodigde bewijs op voor computervredebreuk (art. 138ab Sr).

Veroordeling voor maken en verspreiden van terroristische video’s

De Rechtbank Rotterdam heeft op 13 maart 2018 een minderjarige verdachte veroordeeld (ECLI:NL:RBROT:2018:5367) voor deelname aan een terroristische organisatie en het maken en verspreiden van ernstige opruiende video’s. Het onderzoek ‘26Brookhaven’ ving aan met (i) informatie uit de opsporingsautoriteiten in de Verenigde Staten, (ii) een ambtsbericht van de AIVD van 9 juni 2017 en (iii) een digitale melding bij de politie Midden Nederland op 8 mei 2017. De verdachte is op 15 juni 2017 aangehouden, waarbij het bewijs van bovenstaande video’s op zijn laptop werd gevonden, alsmede contact met een hoge leidinggevende bij IS en het ‘United Cyber Caliphate’.

De video’s bestonden uit gewelddadige IS films, maar ook ander materiaal zoals een videoclip over een aanslag op Utrecht Centraal en een brandende Domtoren ‘met begeleidende onheilspellende teksten’. Ook heeft de verdachte een video gemaakt, waarin executies te zien zijn en waarin een zogenaamde kill-list wordt gedeeld: het betreft een lijst van 8000 mensen, met daarbij een oproep mensen te doden. De verdachte heeft deze video via Telegram gedeeld met United Cyber Caliphate, maar ook op YouTube geplaatst. De verdachte heeft verder samen met een persoon in Zweden een video gemaakt waarin de ‘Counter Terrorism’-directeur werd bedreigd, ook in deze video was een executie te zien, welke video op de computer van verdachte werd aangetroffen.

Op de verdachte is het jeugdstrafrecht toegepast. Hij is veroordeeld voor 181 dagen jeugddetentie en een voorwaardelijke gevangenisstraf van zes maanden met bijzondere voorwaarden.

Voorhanden hebben van software met het oogmerk computervredebreuk te plegen

De Rotterdamse hackerzaak en iCloudaccount hacks laten zien dat ook het voorhanden hebben van programma’s met het oogmerk computervredebreuk te plegen strafbaar kan zijn. IT-beveiligingsonderzoekers zijn soms bezorgd over de vraag of hun normale pentest-tools zoals Metasploit ook illegaal zijn, maar die worden gebruikt om volgens afspraak (waardoor de strafbaarheid (‘wederrechtelijkheid’) vervalt) computers binnen te dringen. Er is dan geen oogmerk computervredebreuk te plegen en dus niet strafbaar.

Art. 139d lid 2 sub a Sr schrijft ook voor het moet gaan om software dat ‘hoofdzakelijk geschikt is gemaakt’ om (o.a.) computervredebreuk te plegen. Op dit punt waren de rechtbanken er niet van overtuigd, voor zover de software (in deze zaken Metasploit, Zenmap en Elcomsoft Phone Breaker) ook voor legale doeleinden kan worden gebruikt. Wel is de Rotterdamse havenhacker veroordeeld voor het bezit (‘voorhanden hebben’) van de programma’s Medusa, Hydra en RWW Attack, waarbij de rechtbank de overtuiging had dat die wel hoofdzakelijk geschikt zijn gemaakt om strafbare feiten te plegen (namelijk het aftappen van netwerkverkeer teneinde een beveiligingswachtwoord te achterhalen).

Er is niet zoveel jurisprudentie over dit delict en deze zaken zijn alleen daarom al interessant. Ik vraag mij ook af hoe het zich verhoudt (en of dat er überhaupt een relatie heeft) met bijvoorbeeld het voorhanden hebben van versnijdingsmiddelen bij drugs die ook voor legale doeleinden kunnen worden gebruikt. Suggesties of gedachtes hierover per e-mail zijn uiteraard welkom!

Wet computercriminaliteit III aangenomen

De Wet computercriminaliteit III is vandaag (26 juni 2018) ook door de Eerste Kamer aangenomen! De wet kan nu op korte termijn (voor het zomerreces?) gepubliceerd worden in het Staatsblad en van kracht worden.

In mei 2013 berichtte ik voor het eerst over de conceptversie van de Wet computercriminaliteit III en in het najaar van 2017 schreef ik een overzichtsartikel (.pdf) over het wetsvoorstel. Sindsdien is het wetsvoorstel slechts op detailpunten gewijzigd. Deze wet is – zoals zoveel wetten – niet perfect. Toch ben ik blij dat de wet is aangenomen en een noodzakelijke update van het Wetboek van Strafrecht en Strafvordering wordt doorgevoerd.

Toezeggingen op het laatste moment

In het nadere memorie van antwoord voor de Eerste Kamer bevestigt minister Grapperhaus dat de Wet computercriminaliteit III na twee jaar wordt geëvalueerd. Jaarlijks zullen statistieken van het gebruik van binnendringingssoftware openbaar gemaakt worden. De vele regels die nu van toepassing zijn op het gebruik van ‘binnendringingssoftware’ noopt ook tot de vraag of de wetgeving nog wel werkbaar is. Ook deze vraag wordt in de evaluatie meegenomen.

Een wijziging aan het wetsvoorstel dat wordt meegenomen is dat de logginsplicht in het besluit met betrekking tot de uitvoering van de hackbevoegdheid is uitgebreid naar voorbereidende fase van het onderzoek: het binnendringen in het geautomatiseerde werk. De logging bestaat onder meer uit het (automatisch) vastleggen van het beeldscherm en de toetsaanslagen van de opsporingsambtenaar van een technisch team, de communicatie tussen de technische infrastructuur van de politie en het geautomatiseerde werk, de gebruikte scripts, softwareversies en het journaal van de opsporingsambtenaar.

Toezicht achteraf

Tijdens het wetstraject is door diverse auteurs en maatschappelijke organisaties kritiek geuit op de toezicht achteraf op de uitvoering van de nieuwe hackbevoegdheid. Grapperhaus legt uit dat ondanks deze kritiek het toezicht belegd blijft bij de Inspectie Justitie en Veiligheid. Dit toezicht ziet vooral op het nakomen van de vele voorgeschreven procedures van de hackbevoegdheid, maar niet op de rechtmatigheid van de inzet, waaronder de proportionaliteit van de inzet van het middel. “Magistratelijk toezicht”, naast het toezicht vooraf, wordt niet als nodig en als ‘passend in het systeem’ gezien. Toch heeft de minister tijdens de behandeling van de wet in de Eerste Kamer toegezegd in de evaluatie te toetsen of het stelsel van systeemtoezicht op de hackbevoegdheid voldoende is.

Cybercrimezaken april-juni 2018

Dit jaar kom ik steeds meer strafzaken te maken die te maken hebben met cybercrime. Het wordt zo langzamerhand een uitdaging alles bij te houden. Ik heb een selectie gemaakt van de zaken van de afgelopen drie maanden en hieronder op een rijtje gezet.

Uitspraak over het gebruik van PGP berichten

De Amsterdamse topcrimineel Naoufal ‘Noffel’ F. is door de Rechtbank Amsterdam op 19 april 2018 veroordeeld (ECLI:NL:RBAMS:2018:2504) tot 18 jaar gevangenisstraf. De zaak is voor deze rubriek relevant, omdat de politie en het Openbaar Ministerie voor de bewijsvoering gebruik hebben gemaakt van grootschalige data-analyse technieken op een server met PGP-berichten die met speciale Blackberry’s werden verstuurd. De Rechtbank acht het gebruik van deze gegevens toelaatbaar. Het Openbaar Ministerie heeft de gegevens op de server op een rechtmatige manier via rechtshulp van Canada verkregen met een bevel op grond van artikel 126ng lid 2 Sv (het vorderen van opgeslagen gegevens bij elektronische communicatieaanbieders). De gegevens zijn bovendien op een rechtmatige manier geanalyseerd door het NFI met het geavanceerde ‘Hansken-systeem’.

De rechters stellen vast dat de onderzoekers zich bij de analyse niet hebben gehouden aan het vooraf opgezette zoekplan en dat er extra steekwoorden zijn gebruikt om tot bewijs te komen. Er worden geen sancties verbonden aan dit vormverzuim. Het Openbaar Ministerie is volgens de rechtbank voldoende zorgvuldig geweest met de geheimhoudercommunicatie, alhoewel het niet de geïdentificeerde geheimhoudercommunicatie terstond heeft vernietigd.

Arrest gewezen in Jumbo afpersing zaak

Op 20 april 2018 heeft het Hof Arnhem-Leeuwarden arrest gewezen (Hof Arnhem-Leeuwarden 20 april 2018, ECLI:NL:GHARL:2018:3737) in de ‘Jumbo-afpersingszaak’. De bedreiger plaatste in 2015 explosieven Jumbo-supermarktketen, waarvan één explosief is afgegaan. Voor het versturen van de mailberichten maakte hij gebruik van het Tor-netwerk en een proxydienst (freeproxy.net). Ook verstuurde hij een bombrief. Daarbij werden 2000 bitcoins als losgeld geëist. De verdachte is geïdentificeerd aan de van DNA-materiaal op de postzegel van een bombrief. Ook was de user-agent in de dreigmail overeenkomstig de user-agent in de TOR-browser op de in beslag genomen computer. Hij is in hoger beroep veroordeeld tot 10 jaar gevangenisstraf.

Hacker van BN-ers veroordeeld

Op 16 mei 2018 is door de Rechtbank Amsterdam een verdachte veroordeeld (ECLI:NL:RBAMS:2018:3297) voor het hacken van de o.a. de ‘online accounts’ van bekende Nederlanders. De hacker bleek amateuristisch te werk te gaan, omdat er steeds werd ingelogd op de accounts door een iPhone vanaf een IP-adres dat stond geregistreerd op het woonadres van de verdachte. Met de daaropvolgende doorzoeking is de verdachte geïdentificeerd en is het benodigde bewijsmateriaal op computers in beslag genomen. De verdachte is veroordeeld tot één jaar gevangenisstraf, waarvan zes maanden voorwaardelijk en een proeftijd van drie jaar. 

Lid van beruchte ‘LizardSquad’ veroordeeld

‘LizardSquad’ is de naam van een hackergroep die voornamelijk in 2014 ddos-aanvallen uitvoerde op gamingplatforms, zoals Xbox Live en PlayStation Network. Op 17 mei 2018 is een Nederlandse verdachte die door de rechtbank Den Haag veroordeeld (ECLI:NL:RBDHA:2018:5775) voor een taakstraf van 180 uur.

De verdachte is door de FBI geïdentificeerd op basis van onder meer een Skype-account waarvan telkens werd gebeld. Ook heeft de politie de gebruikersgegevens van het Twitteraccount achterhaald waar de verdachte gebruik van maakte. Het IP-adres was door KPN uitgegeven aan de internetaansluiting van de moeder van de verdachte. Zij woonden beiden op hetzelfde adres. Dat IP-adres was ook aan de dos-aanvallen te linken, omdat de verdachte daarmee zes keer verbinding maakte met een webserver waar een internettap op stond waarbij voor de ddos-aanvallen werd geadverteerd. De verdachte gaf aan dat hij de ‘support tickets’ voor de website behandelde en daarmee vragen van gebruikers heeft beantwoord. Voor deze bijdrage aan een criminele organisatie is hij veroordeeld voor deelname aan een criminele organisatie (art. 140 Sr). Daarnaast is de verdachte veroordeeld voor “phonebombing” (art. 285 Sr) en het plegen van ddos-aanvallen (art. 138b, art. 161sexies en art. 350a Sr)

Teruggave van bestanden aan kinderpornoverdachte?

Op 3 mei 2018 heeft het Hof Den Haag een interessant arrest (ECLI:NL:GHDHA:2018:1074) gewezen over de inbeslagname van computers en de omgang met de daarop opgeslagen gegevens. In deze zaak heeft een kinderpornoverdachte verzocht om een kopie te maken van een specifieke selectie van niet-strafbare gegevensbestanden. De computer van de verdachte is inbeslaggenomen en onttrokken aan het verkeer, omdat daar 9 kinderpornoafbeeldingen op gevonden waren. De verdachte biedt aan met een externe schijf naar het politiebureau te komen, om daar in ieder geval zijn jeugdfoto’s en -films te kopiëren.

De Advocaat-Generaal was van mening dat het formeel strafrecht geen ruimte laat tot deze selectie van bestanden als een computer in beslag is genomen en wordt onttrokken aan het verkeer. Het Hof Den Haag beslist echter dat de wetgever bij de totstandkoming van de regeling over de inbeslagname van voorwerpen de wetgever zich nog geen mening heeft kunnen vormen over dit vraagstuk. Uit EHRM-jurisprudentie (zie ook mijn artikel met Sofie Royer) leidt het Hof af dat een rechter wel degelijk kan een selectie kan (laten) maken van de gegevens op een inbeslaggenomen computer.

Als een verdachte gemotiveerd verzoekt om verstrekking van duidelijk omschreven gegevensbestanden dan dient een belangenafweging plaatsvinden. Die afweging gaat tussen de strafvorderlijke en maatschappelijke belangen bij onttrekking enerzijds en de persoonlijke belangen van de verdachte bij behoud c.q. verkrijging van de verzochte gegevensbestanden anderzijds. Op basis daarvan moet worden beslist of het onderzoek of het om wel of niet-strafbaar materiaal gaat bij de teruggave geen onevenredige inspanning voor de politie met zich meebrengt.

Miljoenen met bitcoins witgewassen

Op 30 mei 2018 heeft de rechtbank Rotterdam negen verdachten in het onderzoek ‘Ijsberg’ veroordeeld voor gevangenisstraffen tussen de zes maanden en zes jaar voor het witwassen van bitcoins en drugshandel. De verdachten waren bijna allemaal bitcoinshandelaren.

In de onderhavige zaak (ECLI:NL:RBROT:2018:4291) kwam de verdachte via een advertentie op localbitcoins.com in contact met bitcoin verkopende klanten. Vervolgens werd er afgesproken in een openbare gelegenheid, zoals Starbucks, waarna de bitcoins tegen contant geld werden door de verdachte werden gekocht. De bitcoins werden vrijwel onmiddellijk na de inkoop via de Bitcoin exchangebedrijf Kraken weer verkocht. De bedragen dat op de bankrekeningen werden ontvangen werden daarna grotendeels in contant opgenomen om nieuwe bitcoins aan te schaffen. Een van de verdachten heeft binnen twee jaar tijd via exchanges 1,5 miljoen euro ontvangen en 1,4 miljoen euro gepind.

De rechtbank vermoed witwassen omdat de bitcoinhandelaar anonimiteit biedt aan zijn klanten en een (onredelijk hoge) commissie rekent voor zijn diensten. Ook komen de verdachten niet met een verklaring voor de herkomst van de bitcoins. Onderzoek van de FIOD laat zien dat de bitcoinportemonnees van de door de verdachte genoemde klanten voor een groot deel – ruim meer dan 50% – werden gevoed uit darkweb-markten. De verdachte kreeg twee jaar gevangenisstraf opgelegd, waarvan 8 maanden voorwaardelijk.

Digitaal bewijs in niet-cybercrime zaken

Ook in niet-cybercrime zaken kan digitaal bewijs een cruciale rol spelen. Neem bijvoorbeeld deze zaak van de rechtbank Limburg op 28 maart 2018.

In deze zaak is de verdachte veroordeeld tot 18 jaar gevangenisstraf voor moord op zijn vrouw. De rechtbank verhaald dat “terwijl zij nietsvermoedend in haar keuken een sigaret draaide, de verdachte haar van achteren heeft vastgegrepen en door een verwurging/nekklem om het leven heeft gebracht”. In deze zaak heeft digitaal bewijs op de telefoon van de verdachte een prominente rol gespeeld bij het bewijzen van de vereiste voorbedachte rade bij moord. Ook speelde DNA-bewijs een belangrijke rol bij de veroordeling.

Uit het digitaal forensisch onderzoek op apparaten van van de verdachte is gebleken dat de verdachte onder andere op de volgende veelzeggende zoektermen heeft gezocht:

“- dodelijk gif op 29 september 2015 (20:58 uur);

– nek breken op 4 oktober 2015 (21:33 uur);

– overlijden voor definitieve echtscheiding op 4 oktober 2015 (22:17 uur);

– dodelijke kruiden op 7 oktober 2015 (01:17 uur);

– vergiften op 7 oktober 2015 (02:02 uur);

– dodelijke wurggreep op 13 oktober 2015 (23:45 uur);

– wurggreep politie op 25 oktober 2015 (01:26 uur);

– wurggreep op 26 oktober 2015 (00:24 uur);

– nekklem op 6 november 2015 (14:32 uur)”

Ook heeft de politie door onderzoek te doen op de router van de verdachte vastgesteld dat de verdachte op 4 oktober heeft gezocht op de zoekterm ‘gebroken-nek-opslag-dood (om 19.38.20 uur)’. De verdachte heeft bekend dat hij op die zoektermen heeft gezocht (zij het met volgens hem een andere reden).

De rechtbank neemt de zoektermen mee in de bewijsvoering, omdat het slachtoffer kort na de zoekopdrachten is overleden. De rechtbank achtte de verklaringen van de verdachte niet aannemelijk.

In een heel ander soort zaak speelde digitaal bewijs ook een opzienbarende rol. Op 13 maart 2018 is een verdachte door de rechtbank Limburg veroordeeld voor brandstichting, woninginbraken en diefstal  in Maastricht.

In dit geval speelde de telefoon van de verdachte een cruciale rol. Naar eigen zeggen had de verdachte deze telefoon altijd bij zich. Kort na de brandstichting, op 23 juni 2016 om 01.56 uur, maakte de telefoon die de verdachte verbinding met een WiFi-netwerk van een woning in de buurt. Dit plaatst de verdachte vlakbij de locatie en tijd van de brandstichting. Samen met ander bewijs waren de rechters overtuigd van de schuld van de verdachte.

Deze laatste zaak deed mij denken aan het aangehaalde voorbeeld van Hans Henseler over potentiële rol van digitaal bewijs (zie ook dit artikel ‘Verraden door je iPhone’ in Trouw) in bijvoorbeeld inbraakzaken. Ik ben benieuwd welke voorbeelden van digitaal bewijs in nabije toekomst de revue zullen passeren! Ik houd het in ieder geval in de gaten!

De accountovername als opsporingsmethode

Mag het account van een persoon worden overgenomen in een opsporingsonderzoek naar andere verdachten? Deze vraag staat centraal in mijn annotatie (.pdf) bij een uitspraak van de Rb. Noord-Holland op 22 juli 2017, ECLI:NL:RBNNE:2017:2882.

Feiten

In deze kinderpornozaak hebben Zwitserse opsporingsdiensten het account van een verdachte overgenomen. Het account was aangemaakt op GigaTribe, een peer-to-peer netwerk via welke mensen bestanden kunnen uitwisselen. Het werkt alleen als een contactpersoon is toegevoegd, dus het is eigenlijk een zogenoemd ‘friend-to-friend’ netwerk. Over dit netwerk wordt dus ook kinderporno uitgewisseld. In dit geval was blijkbaar een Nederlander als contactpersoon toegevoegd. Een Zwitserse opsporingsambtenaar chatte met de verdachte en de Nederlandse verdachte wisselde tientallen bestanden met kinderporno uit.

Het bewijs van bezit en verspreiding van kinderporno en de beschikbare gegevens over de Nederlandse verdachte werden overgedragen aan de Nederlandse politie die een eigen opsporingsonderzoek startte. Dit leidde tot vervolging en uiteindelijk een veroordeling van 181 dagen gevangenisstraf, waarvan 180 voorwaardelijk, met een proeftijd van drie jaar en een taakstraf van 200 uur.

Grondslag voor overnemen van account in Nederland?

In mijn noot betoog ik dat het overnemen van een account van persoon ook onder Nederlands recht mogelijk is, voorzover de betrokkene daaraan meewerkt. Binnen een opsporingsonderzoek is de grondslag hiervoor de bijzondere opsporingsbevoegdheid van stelselmatige informatie-inwinning. Als van te voren al duidelijk is dat met de accountovername onderdeel wordt gemaakt van een criminele organisatie, dan ligt de bijzondere opsporingsbevoegdheid van infiltratie voor de hand. Bij infiltratie, waarvoor ook toestemming van een bijzondere toetsingscommissie bij het Openbaar Ministerie moet worden verkregen, is het ook mogelijk vooraf afgestemde strafbare feiten te plegen. In een kinderpornozaak als deze ligt daarom de toepassing van de bijzondere opsporingsbevoegdheid infiltratie voor de hand.

Geen onvrijwillige accountovername

Het is volgens mij niet mogelijk zonder toestemming het account van een persoon over te nemen om bewijs te verzamelen in een opsporingsonderzoek. Dat zou neerkomen op de toepassing van hacken als opsporingsbevoegdheid. Het voorgestelde artikel voor de hackbevoegdheid, artikel 126nba Sv, verwijst bovendien niet naar stelselmatige informatie-inwinning of infiltratie als mogelijke toepassing nadat op afstand toegang is verschaft tot een computer waar een verdachte gebruik van maakt.

Nu is het afwachten op een zaak waar deze opsporingsmethode ook in Nederland wordt ingezet. Overigens zou het Openbaar Ministerie naar mijn mening nu al duidelijk moeten maken of – en onder welke voorwaarden – een indringende opsporingsmethode als deze mag worden ingezet. Dat geeft richting aan de officier van justitie die leiding moet geven aan een opsporingsonderzoek en de opsporingsambtenaren die het moeten uitvoeren. Daarnaast biedt het de maatschappij de benodigde duidelijkheid over de wetgeving dat van toepassing is voor digitale opsporingsmethoden. Dit biedt rechtszekerheid en is een essentieel onderdeel van het leven in een rechtsstaat.