Cybercrime overzicht mei-juli 2019

Hoge Raad over scans en computervredebreuk

De Hoge Raad heeft op 9 april 2019 een arrest gewezen over het vereiste van ‘binnendringen’ in ene geautomatiseerd werk (HR 9 april 2019, ECLI:NL:HR:2019:560). In het arrest maakt de Hoge Raad duidelijk dat het enkele gebruik van een scan-programma om kwetsbaarheden op een website te onderzoeken niet voldoende bewijs is om te spreken van ‘binnendringen’ in een deel van een geautomatiseerd werk. Er werd ook geen bewijs geleverd dat een geslaagde aanval door verdacht had plaatsgevonden, maar slechts dat het ‘niet ondenkbaar’ is geweest. Het arrest is niet verrassend of bijzonder interessant en daarom heb ik het geen uitgebreide bespreking gegeven.

Over ‘sivven’, ‘lebben’, ‘mapsen’, ‘nippen’ en ‘spa’

De rechtbank Zeeland-West-Brabant heeft op 17 mei 2019 verschillende verdachten veroordeeld (ECLI:NL:RBZWB:2019:2195) voor de grootschalige verspreiding van phishingmails uit naam van een bank (Rb. Zeeland-West-Brabant 17 mei 2019, ECLI:NL:RBZWB:2019:2195). Daarbij zijn gevangenisstraffen tot en met vijf jaar opgelegd voor het medeplegen van oplichting, computervredebreuk, diefstal en witwassen, allen meermalen gepleegd, deelname aan een criminele organisatie en valsheid in geschrifte. Het onderzoek heeft zich alleen gericht op klanten van één bank. De door de bank geschatte totale schade, veroorzaakt door verdachte en haar mededaders, wordt geschat op meer dan een miljoen euro. De uitspraak is lezenswaardig vanwege de feiten en overwegingen omtrent het digitale bewijs.

De verdachten uit het onderzoek ‘Vari/Willis’ gingen als volgt te werk. Uit naam van een bank werden spam e-mails naar slachtoffers verstuurd. In de mail werden slachtoffers opgeroepen een nieuwe pinpas aan te vragen. Dit proces duurde langzamer dan normaal. De slachtoffers werden gevraagd hun rekeningnummer, pasnummer, pincode, telefoonnummer en e-mailadres in te voeren. Die gegevens werden door de website automatisch doorgezonden naar de medeverdachte, waarmee een nieuwe mobiele telefoonnummer werd geregistreerd voor de Bankieren-app. Als  de slachtoffers vastliepen op de nepwebsite, belde de verdachte uit naam van de bank en leidde hen door het proces. Na het aanvragen van een nieuwe pinpas, werd de pinpas uit de brievenbus van het slachtoffer gevist. Daarna werd de rekening van het slachtoffer, met gebruikmaking van money mules, leeggehaald.

Het digitale bewijs is indrukwekkend, omdat verbindingen worden gemaakt met de gebruikersnamen van verschillende inbeslaggenomen telefoons (incl. back-ups van de telefoons op computers, gegevens uit een Skype-applicaties en gebruikersnamen en berichten uit Whatsappgroepen) en vorderingen bij onder andere ‘payment service providers’. De inhoud van de berichten met woorden als ‘sivven’, ‘lebben’, ‘mapsen’, ‘nippen’, en over een ‘nip’ en een ‘spa’ hebben als bewijs gediend, omdat volgens de rechtbank in het licht van dossier duidelijk is dat slechts sprake is van het ‘achterstevoren spellen van de woorden’ en ‘vissen’, ‘bellen’, ‘spammen’, ‘pinnen’, een ‘pincode’ en ‘pinpas’. Daarbij komt nog bij dat, waar er op de phishing website gevraagd wordt om een pasnummer en pincode in te voeren, deze gegevens worden doorgestuurd met “spanr’ en ‘nip’. Ook is interessant dat één van de verdachten is getraceerd door onderzoek aan de headergegevens in de e-mail die was verzonden. Daaruit kon het IP-adres van een ‘VPS server’ worden afgeleid. Van deze dienstverlener zijn klaarblijkelijk gebruikersgegevens zijn gevorderd. Ook is onder andere bewezen dat de verdachte phishingmails vanaf een server heeft verstuurd en op die server de phishing e-mails en phishingwebsites zijn gevonden.

Uit de uitspraak blijkt dat de opsporingsautoriteiten de telefoon van de verdachte lieten overgaan ten tijde van de aanhouding, zodat deze ‘open’ was. Hier is op aanvraag van de verdediging een proces-verbaal van opgemaakt. De rechtbank bindt geen consequenties aan dit vormverzuim en acht de doorzoeking op grond van 110 Sv voldoende voor het onderzoek aan de gegevensdragers, omdat de gegevensdragers alleen in beslag zijn genomen, waarna de gegevens op de gegevensdrager zijn onderzocht.

Veroordeling voor hacken en publiceren naaktfoto’s, maar geen smaadschrift

De rechtbank Amsterdam heeft op 12 februari 2019 een verdachte veroordeeld (ECLI:NL:RBAMS:2019:2124) voor computervredebreuk (Rb. Amsterdam 12 februari 2019, ECLI:NL:RBAMS:2019:2124). De verdachte heeft de computers van drie vrouwelijke slachtoffers van een studentenhuis binnengedrongen. De verdachte heeft een gevangenisstraf opgelegd gekregen van 60 dagen, waarvan 32 dagen voorwaardelijk en een proeftijd van twee jaar.

De verdachte heeft gebruik gemaakt van de computers na van één hen toestemming te hebben verkregen. De verdachte is daarbij echter verder gegaan dan tot waar de toestemming zich uitstrekte door foto’s van die computers af te halen en verder te gebruiken. De verdachte heeft op die manier computervredebreuk gepleegd met betrekking tot die computers.

De verdachte heeft vervolgens beeldmateriaal gekopieerd door middel van een USB-stick en het downloaden van foto’s van het social media-account. Vervolgens is het beeldmateriaal gekopieerd en zijn daarbij afbeeldingen gemanipuleerd. Daarvoor is gegevensmanipulatie (art. 350a Sr) ten laste gelegd. Hoewel de naam van het delict misschien passend lijkt is hier volgens de rechtbank geen sprake van. De verdachte heeft kopieën van de gegevens verwerkt, waarbij dus de originele gegevens zijn intact gebleven. Hierdoor niet wordt voldaan aan de delictsomschrijving. De verdachte wordt aldus vrijgesproken van dit ten laste gelegde feit.

Het bewerkte beeldmateriaal is daarna terecht gekomen op verschillende pornografische websites, waardoor het lijkt alsof aangeefsters zelf op die websites staan, met alle nare gevolgen van dien voor hun privé- en werkzame leven. De verdachte krijgt ontslag van alle rechtsvervolging voor het ten laste gelegde smaadschrift, omdat de tenlastelegging niet omschrijft wat de concrete gedraging is van de verdachte. Uit deze omschrijving blijkt immers niet wat er is afgebeeld op de gemanipuleerde foto’s en/of filmpjes van aangeefsters. Daarmee is ook niet duidelijk waaruit de aanranding van de eer of goede naam heeft bestaan.

Cybersecuritybeeld Nederland 2019 gepubliceerd

In juni 2019 is een nieuw ‘Cybersecuritybeeld Nederland’ (.pdf) gepubliceerd. Het cybersecuritybeeld is een product van het Nationaal Cyber Security Centrum en biedt inzicht in de dreigingen, belangen en weerbaarheid op het gebied van cybersecurity in relatie tot de nationale veiligheid. Hieronder volgt een opsomming van lezenswaardige elementen uit het rapport.

Dreiging statelijke actoren

In het cybersecuritybeeld wordt de dreiging door ‘statelijke actoren’ (voornamelijk spionage) gezien als de grootste dreiging op het gebied van cybersecurity. De omvang van de dreiging die uitgaat van statelijke actoren blijft groeien. Landen als China, Iran en Rusland hebben offensieve cyberprogramma’s gericht tegen Nederland. Dit betekent dat deze landen digitale middelen inzetten om geopolitieke en economische doelstellingen te bereiken ten koste van Nederlandse belangen.

Ook cybersabatoge door staten heeft plaatsgevonden. Als voorbeeld wordt de malware ‘GreyEnergy’ genoemd, waarmee Poolse energie- en transportbedrijven in 2018 zijn geïnfecteerd. In het verleden zorgde andere destructieve malware, zoals ‘Industroyer’, al voor verstoring van de energielevering in Oekraïne. De groep die GreyEnergy vermoedelijk heeft ontwikkeld, is door het Verenigd Koninkrijk toegeschreven aan Rusland. GreyEnergy wordt als opvolger gezien van ‘BlackEnergy’, een malwaretoolkit die in verband is gebracht met cyberaanvallen op het energienet van Oekraïne in 2015 en 2016. Ook het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) besteedde opnieuw aandacht aan cyberaanvallen op de Duitse energiesector. Duitse bedrijven in verschillende vitale sectoren zouden verscheidene malen doelwit zijn geweest van grootschalige digitale campagnes. Hierdoor hebben de aanvallers toegang verkregen tot het kantoornetwerk van verschillende bedrijven. Het vermoeden bestaat dat de aanvallers uit waren op het verkrijgen van een positie binnen het netwerk om deze op een later moment uit te buiten.

In het rapport staat heel duidelijk dat: “verreweg de grootste dreiging op het gebied van economische spionage is afkomstig van China”. Deze spionage wordt gevoed door Chinese economische beleidsplannen, zoals ‘Made in China 2025’ en de ‘Nieuwe Zijderoutes’, waarmee het land zijn economische en geopolitieke invloed kan vergroten. China zet een breed scala aan (heimelijke) middelen in die het verdienvermogen van Nederlandse bedrijven ondermijnen en die op termijn kunnen resulteren in economische en politieke afhankelijkheden. Een van deze middelen is (digitale) economische spionage.

Ten slotte hebben Nederlandse inlichtingendiensten waargenomen dat een aantal Nederlandse ambassades in het Midden-Oosten en Centraal-Azië in 2017 en 2018 doelwit zijn geweest van digitale aanvallen, uitgevoerd door een buitenlandse inlichtingendienst.

Cybercrime en dreigingen door overige actoren

Ook de dreiging van criminelen blijft groot, onder meer door de schaalbaarheid van cybercrime. In de rapportageperiode hebben DDoS-aanvallen ervoor gezorgd dat een aantal Nederlandse banken tijdelijk slecht bereikbaar waren. Ook  de Belastingdienst, de Douane en DigiD waren enkele keren slecht bereikbaar door digitale aanvallen.

In de rapportageperiode zijn geen substantiële aanvallen door hacktivisten tegen Nederland of Nederlandse belangen waargenomen. Scriptkiddies en cybervandalen hebben vooral verstorende aanvallen uitgevoerd op organisaties, meestal met DDoS-aanvallen. Net als vorig jaar lijken criminele actoren verder in te zetten op het creëren van botnets en het verspreiden van cryptominers. De opstellers van het rapport wijzen naar Microsoft die constateert dat besmettingen met ransomware en cryptominers, na een piek begin 2018, de afgelopen periode zijn teruggelopen, zowel wereldwijd als in Nederland. Bedrijven lijken beter voorbereid te zijn op het herstellen van informatie na een ransomwarebesmetting, waardoor er minder losgeld wordt betaald. De inzet van cryptominers lijkt met het teruglopen van de koers van diverse cryptocurrencies af te nemen.

Steeds vaker gegevens van websites met behulp van ‘formjacking’. In dat geval past de aanvaller een website aan zodat informatie die de bezoeker invult bij de aanvaller terechtkomt. Op deze wijze kunnen criminelen bijvoorbeeld creditcardnummers onderscheppen van gebruikers van webwinkels. Volgens het IT-beveiligingsbedrijf Symantec krijgen met name kleine en middelgrote detailhandel krijgt hiermee te maken. De dreiging van insiders is het afgelopen jaar afgenomen. Digitale aanvallen vanuit terroristen zijn ook dit jaar niet waargenomen. Terroristische groeperingen zijn meer gericht op het plegen van fysieke aanslagen.

Weerbaarheid Rijksoverheid

In het rapport wordt verder opgemerkt dat de weerbaarheid van de Rijksoverheid niet op orde is. De Algemene Rekenkamer gaf op Verantwoordingsdag in mei 2018 aan dat op het gebied van ict-beveiliging slechts twee van de elf ministeries hun zaken op orde hadden. De president van de Algemene Rekenkamer stelt dat ‘de politieke en ambtelijke top van ministeries meer aandacht moet geven aan ict-beveiliging’. De veiligheidsmaatregelen zijn niet allemaal uitgevoerd om waterkeringen beter te beveiligen.

In het rapport wordt voorzichtig afgevraagd of er voldoende prikkels bestaan bij de overheid, het bedrijfsleven en bij consumenten om cybersecurity serieus te nemen. Het rapport geeft een alarmerend beeld weer, maar – zoals ook het NRC bijvoorbeeld bericht – het belang van cybersecurity lijkt nog steeds niet helemaal in politiek Den Haag door te dringen.

Brief voortgang aanpak cybercrime gepubliceerd

Op 12 juni 2019 heeft minister Grapperhaus een Kamerbrief (.pdf) verstuurd over de aanpak van Cybercrime. In 2018 zijn dat volgens het CBS 299 reguliere en 43 complexe opsporingsonderzoeken gerealiseerd, waarbij de ambitie 310 respectievelijk 50 onderzoeken betrof. In de afgelopen jaren was steeds sprake van een stijgende lijn in het aantal opsporingsonderzoeken. Ook laten voorlopige cijfers een verhoogd aantal ophelderingen en registraties van verdachten van computervredebreuk zien. Het is verder interessant te lezen dat voor het eerste de nieuwe hackbevoegdheid uit artikel 126nba Sv is ingezet bij het ‘offline halen van één van de grootste online mixers voor cryptovaluta’.

In de Kamerbrief wordt een overzicht gegeven van de maatregelen die regering heeft genomen om cybercrime beter te bestrijden. Zo wordt geïnvesteerd in de opsporingsmogelijkheden van de politie, kennisontwikkeling binnen het Openbaar Ministerie, publieksvoorlichting en ondersteuning van het lokaal bestuur op het gebied van cybercrime.

De minister geeft aan dat wordt ingezet op een preventieve aanpak van online seksueel kindermisbruik. Zo wordt een expertmeeting voor professionals van scholen, (jeugd)zorg en de strafrechtketen gehouden om de aanpak van de negatieve effecten van sexting te verbeteren. Daarnaast wordt de aanpak van downloaders van kinderporno geïntensiveerd en is de publiek-private samenwerking versterkt om kinderpornografische content sneller van internet te laten verwijderen.

Ten slotte zet de minister in op een bestuursrechtelijke aanpak, om bedrijven die kinderporno niet accuraat verwijderen met een bestuursrechtelijk handhavingsinstrumentarium hiertoe te dwingen. In de Wet computercriminaliteit is nu juist het Take down-bevel in artikel 126p Sv geïntroduceerd voor die gevallen dat bedrijven niet vrijwillige meewerken aan het offline halen van illegaal materiaal. Ik ben benieuwd hoe het bovenstaande zich hiermee verhoudt, maar het kan goed zijn dat het parallelle trajecten zijn om kinderporno te bestrijden.

One thought on “Cybercrime overzicht mei-juli 2019

  1. Pingback: Cybercrime overzicht mei-juli 2019 | VL Nieuws

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.