Jurisprudentieoverzicht cybercrime – december-februari 2019

Hieronder volgt weer een overzicht van cybercrimezaken in de maanden december-februari die mij zijn bijgebleven. Het waren te veel zaken om allemaal een plek te geven, dus ik heb een selectie gemaakt. Daarbij heb ik dit keer extra gelet op zaken die interessante vragen met zich meebrengen op het gebied van strafvordering.

Inloggen op accounts met de credentials van een verdachte?

In de rechtspraak is een interessante discussie op gang gekomen over de vraag of opsporingsambtenaren na de inbeslagname van een gegevensdrager achteraf mogen inloggen op een account. In dat geval zijn de credentials (inlognaam en wachtwoord) rechtmatig verkregen.

In twee gevallen is over de beslissing van de rechter-commissaris een beschikking gepubliceerd. In de eerste beschikking keurde de rechter-commissaris de aanvraag tot inloggen niet goed, omdat artikel 126ng lid 2 Sv ziet op het vorderen van opgeslagen gegevens bij een elektronische communicatiedienstaanbieder en niet op een zoeking en overnemen van gegevens op afstand. In de tweede (recente) beschikking gaf de rechter-commissaris wél een machtiging – na tussenkomst van de officier van justitie – aan een opsporingsambtenaar om in te loggen op de verschillende e-mailadressen en datingsites.  De rechter-commissaris achtte zich, op grond van artikel 181 Sv, bevoegd om deze beslissing te nemen, hoewel ook wordt opgemerkt dat de wet (nog) niet voorziet in een specifieke bevoegdheid om in te loggen op e-mailadressen en websites en gegevens vast te leggen. De Rechtbank Den Haag overweegt ten eerste dat het verschil tussen een vordering tot de gegevens en het inloggen en overnemen van gegevens op afstand ‘niet wezenlijk’ is, omdat het om dezelfde soort gegevens gaat. Ten tweede is het inloggen op de e-mailadressen en websites met vooraf beschikbare gebruikersnamen en wachtwoorden een eenvoudige en weinig risicovolle wijze van binnendringen in een geautomatiseerd werk. Ten derde is de inbreuk voor de betrokkene niet groter bij het inloggen en vastleggen van gegevens dan bij het vorderen van gegevens bij de aanbieder.

In het licht van deze tweede beschikking is ook het arrest van het Hof Den Haag van 19 december 2018 zeer lezenswaardig. Hierbij heeft de politie met toestemming van de rechter-commissaris op het politiebureau de inhoud van de mailbox van het Hotmail-account en een Gmail account (1001 e-mails) van de verdachte gekopieerd (8643 e-mails).   Kortgezegd overweegt op grond van de regeling van de netwerkzoeking geen zoeking achteraf en op afstand mag plaatsvinden. De advocaat-generaal vindt dit door de beugel kunnen op grond van de regeling van de netwerzoeking in art. 125j Sv. Het Hof overweegt kort gezegd dat de netwerkzoeking gekoppeld aan de doorzoeking van een plaats ter vastlegging van gegevens (zoals ook gewoon letterlijk in de wet staat, zou ik daaraan willen toevoegen). Het Hof Den Haag overweegt dat de netwerkzoeking daarmee los staat van de inbeslagnemingsbevoegdheden, in die zin dat niet kan worden gezegd dat de bevoegdheid tot inbeslagneming reeds de bevoegdheid tot het doen van een netwerkzoeking impliceert. Ook hierin ligt een argument besloten voor het oordeel dat de netwerkzoeking niet pas na de feitelijke inbeslagname van een gegevensdrager (alsnog) mag worden toegepast, en derhalve op een later moment en op een andere locatie, zoals in casu wel is gebeurd. Een ruime uitleg van art. 125j Sv waarmee achteraf met de credentials van de verdachte mag worden ingelogd gaat de rechtsvormende taak van de rechter te buiten volgens het hof.

Het arrest is daarnaast interessant vanwege de ten laste gelegde feiten (drieweg-phishing (per mail, nagemaakte website en malware)) en de overwegingen omtrent het hackverweer (zie ook hieronder). Over het arrest heb ik een annotatie geschreven die over een tijd in Computerrecht verschijnt.

Overzichtsarrest hackverweer van Hof Den Haag

Het Hof Den Haag wijdt in haar arrest van 19 december 2018 (ECLI:NL:GHDHA:2018:3528) dezelfde overwegingen aan het “hackverweer” als in de bovengenoemde zaak. Het hackverweer wordt dikwijls in cybercrimezaken gebruikt, waarbij de verdediging stelt dat niet de verdachte maar iemand anders via de gehackte computer van de verdachte de feiten is begaan. De overwegingen hierover van het hof zijn daarom heel belangrijk en stelt een nieuwe norm m.b.t. het hackverweer. Ik vind het wel jammer dat het allemaal nogal juridisch met veel tussenzinnen is geschreven, waardoor het arrest lastiger leesbaar wordt. Ook het aantal factoren waarmee rekening moet worden gehouden en alle uitzonderingen maakt het allemaal niet eenvoudig, maar wel volledig zullen we maar zeggen. In dit bericht vat ik de omgang met het verweer samen.

Deze vrij oude zaak ging over het bezit en verspreiding van kinderpornografische afbeeldingen via het peer-to-peer netwerk ‘eDonkey2000’. In een map zijn kinderpornografische afbeeldingen gevonden en uit de zoektermen kon worden afgeleid dat is gezocht naar kinderporno.

Het Hof stelt voorop dat bij de beoordeling van het hackverweer als maatstaf dient te worden aangelegd of – alle feiten en omstandigheden in ogenschouw nemende – dit verweer al dan niet in meer of mindere mate aannemelijk is geworden (zie HR 16 maart 2010, ECLI:NL:HR:2010:BK3359). Het is aan de verdachte om die feiten en omstandigheden aan te voeren. Volgens vaste jurisprudentie mag de rechter, naast de weerlegging in de bewijsmotivering, ook de onwaarschijnlijkheid, onaannemelijkheid en/of de ongeloofwaardigheid van alternatieve scenario’s in zijn oordeelsvorming betrekken. Volgens het Hof mag de rechter er, behoudens sterke aanwijzingen voor het tegendeel, ervan uitgaan dat op een computer (of in een beveiligde online omgeving) aangetroffen gedownloade of gekopieerde bestanden daarop zijn geplaatst door de gebruiker van die computer. Ook mag de rechter er, behoudens sterke aanwijzingen voor het tegendeel, ervan uitgaan dat wanneer uit nadere (meta)data blijkt dat bepaalde websites of bepaalde bestanden zijn geopend, die handelingen zijn verricht door de gebruiker van die computer.

Het enkele feit dat op een computer sporen zijn aangetroffen van malware betekent nog niet noodzakelijkerwijs dat dit een aannemelijke verklaring vormt voor de aanwezigheid van bepaalde (digitale) delictsporen, zoals opgeslagen browser- of communicatieactiviteiten en kinderpornografische afbeeldingen. Het is niet vereist dat kan worden uitgesloten dat een bepaalde computer is “gehackt”. Kortom, de theoretische mogelijkheid dat de betreffende computer is gehackt, zonder dat daarbij tevens een specifieke relatie wordt gelegd met de feiten uit de betreffende zaak en het daarin verrichtte (digitaal-forensische) onderzoek, is in de regel op zichzelf onvoldoende voor de conclusie dat de computer is gehackt. Het Hof noemt de volgende factoren die bij het hackverweer in ogenschouw kunnen worden genomen:

  1. het al dan niet aantreffen van (sporen van) hackingsoftware of zogenaamde remote access tools, en van het ongeautoriseerde gebruik door derden daarvan, op de betreffende computer;
  2. het niveau van fysieke en digitale bescherming van de computer tegen gebruik door derden/(digitaal) binnendringen.
  3. de aan- dan wel afwezigheid van digitale sporen (en/of andere feiten en omstandigheden) waaruit, bijvoorbeeld vanwege de inhoud, kan worden afgeleid wie (ook) op of omstreeks het moment van plegen van de strafbare gedragingen de gebruiker van de computer was. Bij onderzoek kan bijvoorbeeld blijken dat vanaf de computer zeer kort voor of na de strafbare handelingen ook communicatie (email, chats) is gevoerd, waarvan de inhoud een relatie heeft met de verdachte (dan wel een bepaalde derde) of dat gegevens zich op bestandslocaties bevinden die redelijkerwijs alleen bekend of toegankelijk waren voor de verdachte;
  4. de mate waarin, en het moment waarop, de verdachte medewerking heeft verleend aan eventueel nader onderzoek naar zijn verweer. Hierbij kan gedacht wordt aan het al dan niet (tijdig) verstrekken door de verdachte van bijvoorbeeld wachtwoorden en toegangscodes, welke nodig zijn voor het verrichten van (nader) digitaal- forensisch onderzoek;
  5. andere feiten en omstandigheden die wijzen op een bijzondere (inhoudelijke) betrokkenheid van de verdachte of een derde bij de op of via de betreffende computer gepleegde gedragingen, zoals fysieke sporen (bijv. afbeeldingen of valse credit cards) die bij de verdachte of derden zijn aangetroffen en die een relatie hebben met de op de computer aangetroffen digitaal-forensische sporen (bijv. digitale kinderpornografie; gephishte credit card gegevens);
  6. getuigenverklaringen omtrent het gebruik van de betreffende computer door verdachte dan wel door derden;
  7. de aan- dan wel afwezigheid van een motief voor derden om in de computer van de verdachte binnen te dringen.

Het arrest is ook lezenswaardig vanwege het uitgebreide digitaal forensisch onderzoek dat is gedaan en de motiveringen daaromtrent. Ondanks dat er malware op de computer van de verdachte is gevonden blijkt uit forensisch onderzoek dat  het niet waarschijnlijk is dat een derde de feiten heeft begaan. Daartegenover staat dat de verdachte enkele minuten voor gedragingen met kinderpornografisch materiaal de computer heeft gebruikt voor zijn werk. Enkele minuten na de gedragingen met kinderpornografisch materiaal wordt door de verdachte gebruik gemaakt van Microsoft Outlook om persoonlijke e-mail te bekijken en in de tussenliggende periode gebruik gemaakt van de internetpagina sexdatingstad.nl met een account dat op basis van de vanaf zijn betaalrekening betaalde credits aan de verdachte kan worden toegeschreven.

De verdachte wordt veroordeelt tot een gevangenisstraf voor de duur van 24 maanden, waarvan 15 voorwaardelijk en een proeftijd van twee jaar. De apparaten waarmee de feiten zijn begaan (een PC, externe harde schijf en router) zijn verbeurd verklaard.

Gedwongen ontgrendeling smartphone niet in strijd met nemo-tenetur beginsel

De Rechtbank Noord-Holland heeft op 14 december 2018 een verdachte veroordeeld (ECLI:NL:RBNHO:2018:11578) voor drugssmokkel (cocaïne) via Schiphol. De zaak is interessant, omdat de Koninklijke Marechaussee (Kmar) de verdachte onder de dreiging van dwang zijn pincode heeft laten afgeven om een smartphone te ontgrendelen voor nader onderzoek aan de telefoon.

De raadsman van de verdachte betoogt dat het onderzoek aan de telefoon van de verdachte onrechtmatig is geweest. De verdachte heeft de pincode van zijn telefoon niet vrijwillig gegeven, maar onder dreiging van fysieke dwang. De Kmar dreigde immers onder dwang de vingerafdruk van verdachte te gebruiken om zijn telefoon te ontgrendelen. ‘Enkel om het uitoefenen van fysieke dwang te voorkomen heeft verdachte de pincode van zijn telefoon gegeven. Nu de pincode van de telefoon is verkregen als gevolg van het uitoefenen van ongeoorloofde pressie, is er sprake van handelen in strijd met het nemo tenetur beginsel en dient dit als onherstelbaar vormverzuim te worden beschouwd’, zo betoogt raadman. Het nemo tenetur beginsel is het beginsel dat een verdachte niet hoeft mee te werken aan zijn eigen veroordeling (afgeleid van het recht op een eerlijk proces uit art. 6 EVRM). Het noemen van de pincode zou dan worden beschouwd als een verklaring, waarvan de code en resultaten van het onderzoek door het vormverzuim niet zou kunnen worden gebruikt als bewijs. De rechtbank stelt ook dat de verdachte niet in volledige vrijwilligheid zijn pincode heeft gegeven.

Naar het oordeel van de rechtbank is echter niet gehandeld in strijd met het nemo tenetur beginsel en was de Kmar bevoegd om – met toestemming van de officier van justitie – onder dwang de vingerafdruk af te nemen van verdachte teneinde de smartphone te ontgrendelen. Een dergelijk bevel is vergelijkbaar met het (onder dwang) afnemen van vingerafdrukken voor opsporingsonderzoek. Het gaat om biometrisch materiaal dat onafhankelijk van de wil van verdachte bestaat en zonder zijn medewerking zou kunnen worden verkregen. De rechtbank neemt bij haar oordeel in aanmerking dat er een zwaarwegend belang bestond om de telefoon te ontgrendelen (nu verdachte werd opgehouden voor een ernstig strafbaar feit) en de inbreuk op de lichamelijke integriteit gering is. Volgens de rechtbank is geen sprake van een vormverzuim.

De rechtbank Den Haag kwam op 12 maart 2018 overigens tot een vergelijkbaar oordeel (ECLI:NL:RBDHA:2018:2983). Daar ging het om een kindontvoeringszaak en nam de rechtbank in overweging dat snel moest worden gehandeld en de dwang niet disproportioneel werd geacht.

Ik vermoed dat het laatste woord over het gedwongen ontgrendelen van smartphones nog niet is gezegd..

Aydin C. ook in hoger beroep veroordeeld

Op 14 december 2018 heeft het Hof Amsterdam de ‘webcamafperser’ Aydin C. in hoger beroep veroordeeld (ECLI:NL:GHAMS:2018:4620) voor o.a. computervredebreuk (art. 138ab Sr), bezit van kinderpornografisch materiaal (art. 240b Sr), aanranding (art. 246 Sr), afdreiging (art. 318 Sr) en oplichting (art. 326 Sr). Over de zaak in eerste aanleg heb ik een annotatie geschreven. Daar ga ik vooral in op de vraag of er een wettelijk grondslag bestaat voor de software waarmee toetsaanslagen en screenshots van de computer van de verdachte zijn vastgelegd.

In hoger beroep wordt het gebruik van software ook legitiem geacht. Wat mij in het hoger beroep vooral opvalt is dat het Hof het verzoek van de verdediging om het digitale bewijsmateriaal wel erg eenvoudig ter zijde schuift. De verdediging verzoekt:

“Het gaat hierbij om verzoeken die betrekking hebben op de (tot op heden) geweigerde inzage in de forensische kopieën van alle gegevensdragers, inzage in alle opnamen/resultaten van de ingezette keylogger en inzage in de WE-logs en VPN-logs, nader onderzoek naar de “verdwijning” van de keylogger van een van de computers van de verdachte, nader onderzoek door een deskundige van het installatieproces van de keylogger, verstrekking van alle IP-taps, onderzoek (door een deskundige) van de Facebookrapporten en verstrekking van niet eerder vrijgegeven gedeelten van die rapporten, nader onderzoek (door een deskundige) van de OVC-opnamen, verstrekking van de Skype-gegevens van alle D’s, verstrekking van informatie over de Britse undercoveroperatie en nader onderzoek naar vormverzuimen voorafgaande aan de aanhouding van de verdachte.”

Bijna geïrriteerd overweegt Hof Amsterdam dat in eerste aanleg de verdediging al kennis heeft kunnen nemen van de processen-verbaal, aanvullende vragen heeft kunnen stellen en een verklaring heeft gekregen van een projectleider Keuringsdienst van de Landelijke Eenheid. De verzoeken van de verdediging ziet het hof als een ‘fishing expedition’. Bovendien zou het bewijs niet hoofdzakelijk steunen op het gebruik van de software. De rechters vinden het dus niet nodig aan verdere verzoeken van de verdediging te voldoen. De zaak is – ook in hoger beroep – lezenswaardig en nadere bestudering waard vanwege het digitale bewijs dat wordt vermeld en de overwegingen van het hof.

Zonder de zaak verder te bestuderen en te duiken in het recht van de verdediging om digitaal bewijs te kunnen toetsen, kan ik niet zeggen of het hof een juiste beslissing heeft genomen. Het is wel helder dat hierbij vaker vragen worden gesteld door advocaten, zoals bijvoorbeeld in dit artikel over digitaal bewijs. De politie en het Openbaar Ministerie willen natuurlijk niet dat de naam en precieze werking van de software naar buiten komt (laat staan de broncode), omdat criminelen hier eventueel hun gedrag op kunnen aanpassen (al zie ik op het eerste gezicht nog niet voor mij op welke manier). Het gaat met andere woorden om de bescherming van hun modus operandi. Maar misschien zijn er wat tussenvarianten mogelijk. In de eerste PGP-zaak mocht de verdediging bijvoorbeeld wel zien hoe de software ‘Hansken’ van het NFI werkt door achter een computer te zitten waarop de software draaide. Ook kan worden gedacht aan een toets door een onafhankelijk deskundige, zoals ik ook in mijn noot in eerste aanleg heb opgemerkt.

De discussie over het toetsen van digitaal bewijs zal de komende jaren steeds belangrijker worden, omdat ik verwacht dat digitaal bewijs een steeds prominentere rol in strafzaken zal innemen (ook in niet-cybercrime zaken) en het gebruik van software met nog meer functionaliteiten zal toenemen vanwege de hackbevoegdheid die na de inwerkingtreding van de Wet computercriminaliteit III mag worden ingezet.

Hof Amsterdam acht het doorzoeken van PGP-telefoon ‘niet-stelselmatig’

Het Hof Amsterdam heeft op 14 december 2018 een verdachte in hoger beroep veroordeeld (ECLI:NL:GHAMS:2018:4610) voor het medeplegen van moord. De verdachte krijgt een gevangenisstraf opgelegd van 20 jaar. De zaak vermeld ik kort, omdat het laat zien wat voor een uiteenlopende jurisprudentie en onduidelijke norm volgt op het smartphone arrest van de Hoge Raad. Dat arrest van de Hoge Raad brengt met zich mee dat een bevel van een officier van justitie of een machtiging van een rechter-commissaris noodzakelijk is als het onderzoek stelselmatig van aard wordt en een meer dan geringe inbreuk op de persoonlijke levenssfeer van de verdachte met zich meebrengt.

In deze zaak waren de PGP-telefoons van drie verdachten in beslag genomen, waarop het Nederlands Forensisch Insituut (NFI) de telefoon heeft geopend en het opsporingsteam de inhoud heeft onderzocht. De raadsman van de verdachte betoogt dat het onderzoek aan de lijst met contactpersonen, berichten die zijn verstuurd met de applicatie ‘Pretty Good Privacy’ (PGP) en notities via de applicatie ‘MemoPad’ op het Blackberry-toetsel onrechtmatig is geweest, omdat het onderzoek stelselmatig zou zijn geweest, terwijl het toestel door opsporingsambtenaren in beslag is genomen en daarop onderzoek is gedaan op grond van art. 94 Sv jo 95 en 96 Sv.

Het Hof overweegt dat met de kennisname van tekstberichten en notitie niet een min of meer volledig beeld van bepaalde aspecten van het privéleven van de verdachte is verkregen. De kennisname van de contactpersonen, berichten en notities op de telefoon zou slechts een zeer beperkte inbreuk op de persoonlijke levenssfeer opleveren. En de gegevens bevatten volgens het Hof niet zodanige informatie dat een min of meer volledig beeld is verkregen van bepaalde aspecten van het persoonlijk leven van de verdachte, ook niet indien deze data en de inhoud van de berichten in onderlinge samenhang worden beschouwd.

Drugshandel via het darkweb, wapenbezit en witwassen

Tot slot nog een mooie zaak over drugshandel via darknet markets, cryptocurrencies en witwassen. Vooral de wijze waarop de digitale opsporing heeft plaatsgevonden is mooi om te lezen in deze zaak.

De rechtbank Overijssel heeft op 15 januari 2019 een verdachte veroordeeld voor drugshandel via het darkweb, wapenbezit en witwassen. De verdachte en medeverdachten verkochten XTC en LSD aan op darknet markets. De pakketjes met drugs werden per post gestuurd naar Frankrijk, Zwitserland en de VS.

De telefoon van verdachte werd afgeluisterd en daaruit bleek dat verdachte zich bezig hield met het overmaken van geld en met Bitcoin-transacties en dat hij drugs had laten testen bij Jellinek. In de zaak werden medewerkers van Team Werken Onder Dekmantel (WOD) ingezet om (waarschijnlijk) binnen een infiltratietraject in het onderzoek ‘26Pecan’ de verdachte te ontmoeten en in totaal 71,72 Bitcoins (destijds € 61.335,00) om te wisselen voor contant geld. Uit analyse van de door verdachte gebruikte bitcoinadressen bleek dat het merendeel daarvan rechtstreeks gevoed werd door bitcoins afkomstig van darknet markets, waaronder de populaire marktplaatsen ‘Hansa Market’, ‘Dream Market’ en ‘Valhalla’. Verdachte gaf tijdens de ontmoetingen met de medewerker van het team WOD aan dat de bitcoins afkomstig waren uit de verkoop van drugs via het dark web en dat hij ervoor zorgde dat de bitcoins werden omgezet naar geld en dat ‘de jongens’ hun drugsvoorraad kregen zodat ‘die jongens’ dit weer konden verkopen op de ‘black markets’.

Daarop werd een pseudokoop van de aangeboden drugs gedaan en werd na betaling met bitcoins een envelop met 5 gram cocaïne geleverd. Hierop vonden er doorzoekingen plaats in de woningen van de verdachte en medeverdachten. Daar werd onder andere drugs, verpakkingsmateriaal voor het versturen van pakketjes, en een schatmijn aan informatie op een USB-stick gevonden. Daarop stond een voorraad- dan wel een verkooplijst van verdovende middelen naar verschillende (internationale) adressen, een recovery code voor een bitcoin wallet, diverse wachtwoorden, gebruikersnamen en vendornamen. Ook werd een recovery-sheet met daarop 24 woorden aangetroffen bovenop een kledingkast in een slaapkamer van de verdachte. Deze 24 woorden vormden samen een zogenaamde ‘seed’ van een “Nano Ledger”. Na het invoeren van de betreffende seed kreeg het onderzoeksteam de beschikking over 21,06581383 bitcoins afkomstig indirect of direct van darknet markets.

Toen de politie de doorzoeking uitvoerde zat de verdachte – niet geheel toevallig vermoed ik – achter zijn laptop terwijl hij met zijn alias was ingelogd op Dream Market. De laptop was voorzien van het besturingssysteem ‘Tails’, dat de rechtbank beschrijft als een besturingssysteem dat geen sporen nalaat en volledig versleuteld is. Op de laptop bevond zich een tekstbestand maandag.txt met daarin adressen, het tekstbestand dep.txt met daarin inloggegevens van een ‘vendor’, een tekstbestand wws.txt met daarin wachtwoorden en pincodes voor de vendor. Ook werden er PGP sleutels aangetroffen op de laptop van verdachte. Ten slotte zijn na een netwerkzoeking twee bitcoinwallets gevonden en is op het account op Dream Market een tegoed van 0,08746 bitcoin en 3,2573 Monero gevonden.

De verdachte is veroordeeld voor drugssmokkel, het bezit van wapens en drugs, en witwassen. De verdachte krijgt een gevangenisstraf van 20 maanden opgelegd.

Nieuw boek: Strafrecht en ICT

Vanaf nu is het boek Strafrecht en ICT beschikbaar! Het boek betreft een studieboek en naslagwerk over cybercriminaliteit.

In het boek bundelen Bert-Jaap Koops en ik onze krachten en updaten wij het boek ‘Strafrecht en ICT’ uit 2007 (destijds uitgebracht onder de redactie van Bert-Jaap Koops).

Materieel strafrecht en ICT
Wij behandelen in hoofdstuk 2 van het boek uitvoerig de strafbepalingen, wetsgeschiedenis en jurisprudentie over computercriminaliteit in enge zin (met delicten als computervredebreuk, de verspreiding van kwaadaardige software (malware) en ddos-aanvallen) en computercriminaliteit in brede zin (met delicten als fraude, oplichting en online zedendelicten). Vergeleken met de tweede druk uit 2007 is er meer jurisprudentie beschikbaar, waardoor de bepalingen beter zijn uitgekristalliseerd. Ook zijn er delicten bijgekomen of aangepast, onder andere vanwege de Wet computercriminaliteit III, zoals heling van gegevens en sextortion.

Formeel strafrecht en ICT
Hoofdstuk 3 gaat over formeel strafrecht en ICT. Het hoofdstuk behandeld alle relevante opsporingsbevoegdheden die worden in gezet in opsporingsonderzoeken naar cybercriminaliteit. Het gaat daarbij bijvoorbeeld om de Wet vorderen gegevens, de Wet bijzondere opsporingsbevoegdheden en de bepalingen omtrent de doorzoeking van plaatsen en inbeslagname van computers. Ook de hackbevoegdheid en de take down-bevoegdheid uit de Wet computercriminaliteit III komen uiteraard aan bod. Zowel in het hoofdstuk over het materieel strafrecht als het hoofdstuk over het formeel strafrecht kijken we enige tijd vooruit en spreken we enkele toekomstverwachtingen over het vakgebied uit.

Grensoverschrijdende digitale opsporing

Het laatste hoofdstuk van het boek gaat over grensoverschrijdende digitale opsporing. Ik mijn hoofdstuk bouw ik voort op mijn werk uit mijn proefschrift, Tekst en Commentaar en nieuwe jurisprudentie. In het hoofdstuk ga ik onder andere in op de grensoverschrijdende toepassing van het vorderen van gegevens, undercover bevoegdheden en de hackbevoegdheid.

Het is een genoegen geweest samen met Bert-Jaap Koops aan het boek te werken. Kennis die ik niet kwijt kon in mijn proefschrift of andere publicaties heeft nu een plek gekregen in het boek. Het boek is nadrukkelijk niet alleen als studieboek geschreven, maar ook als naslagwerk voor wetenschap en praktijk. Het boek heeft hopelijk veel waarde voor juristen die zich in de praktijk bezighouden met cybercriminaliteit en voor juristen die meer willen weten over cybercriminaliteit.

Jurisprudentieoverzicht Cybercrime oktober-december 2018

Jurisprudentieoverzicht Cybercrime oktober-december 2018

De Rechtbank Groningen en Den Haag en het parket Noord-Holland hebben in november en december 2018 een themazitting cybercrime gehouden. Daarop volgende ook enige media-aandacht.

Wat een goed initiatief! Door dit soort themazittingen krijgen rechters en andere betrokken organisaties in de strafrechtketen meer ervaring met cybercrime. Het laat ook zien dat cybercrime een veel voorkomende vorm van criminaliteit is, dat ook via het reguliere strafrecht moet worden aangepakt (zeker voor zover het gaat om gedigitaliseerde criminaliteit (cybercrime in brede zin)).

Hieronder volgt een overzicht van cybercrimezaken die in mij in de afgelopen maanden opgevallen. Daarbij geef ik dit keer ook speciaal aandacht aan de digitale bewijsvoering in deze zaken (voor zover relevant).

1.     Aankoop van semtex via AlphaBay

De Rechtbank Amsterdam heeft op 23 augustus 2018 een man veroordeeld voor het bezit van vuurwapens. De zaak is echter vooral interessant vanwege de verweren van de raadsman van de verdachte.

De advocaat voert in deze zaak ter verdediging aan dat sprake was van uitlokking, omdat het dossier sterke aanwijzingen bevat dat de FBI zelf actief heeft geprobeerd om (nep)semtex te verkopen en hiertoe afspraken met de verdachte heeft gemaakt. De rechtbank verwerpt het verweer en legt uit dat van uitlokking pas sprake is als de verdachte door het handelen van de FBI tot andere handelingen is gebracht dan die waarop zijn opzet al was gericht. Hiervoor zijn geen aanwijzingen in het dossier. Interessant is ook de overweging:

“Hoewel de rechtbank net als de verdediging best wil aannemen dat de FBI als pseudo-verkoper van de semtex heeft gefungeerd, is daarmee niet zonder meer aannemelijk dat de FBI de koper ‘[naam]’ heeft gebracht tot handelen waar zijn opzet niet reeds op was gericht. In de beperkte informatie die de FBI heeft doorgegeven staat immers vermeld dat het onderzoek ermee is gestart dat deze [naam] op AlphaBay een verzoek had geplaatst om onder meer semtex te kopen. Ook de overige informatie van de zijde van de FBI wijst niet op het wekken van de interesse van [naam] voor het kopen van semtex.”

Ook merkt de rechtbank nog op dat ‘is gesteld noch gebleken’, dat het openbaar ministerie enige rol had bij of invloed had op het handelen van de FBI. Het bewijs uit het buitenland mag daarom worden gebruikt in het strafproces.

De verdachte wordt vrijgesproken van het medeplegen van voorbereiding van moord, doodslag, diefstal met geweld of brandstichting, omdat niet met voldoende bepaaldheid is gebleken welk crimineel doel verdachte met dat pakketje voor ogen had. Voor het bewijs dat de ten laste gelegde voorwerpen ‘bestemd waren tot het begaan van dat misdrijf’moeten namelijk ook de contouren van het (feitelijk) te plegen misdrijf blijken. In deze zaak ontbraken de contouren van het feitelijk te plegen misdrijf en kon dit niet door de officier van justitie worden aangetoond. De rechtbank verwijst hier naar het arrest HR 28 januari 2014, ECLI:NL:HR:2014:179. De verdachte wordt tot drie maanden gevangenisstraf veroordeeld voor het illegale bezit van vuurwapens.

2.     Afdreiging na reactie op advertenties sekswebsites

De Rechtbank Amsterdam heeft op 12 november 2018 een aantal verdachten veroordeeld voor het medeplegen van afdreiging en gewoontewitwassen door misbruik van advertenties op sekswebsites.

De zaken in het onderzoek ‘13Malone’ richten zich tegen zeven verdachten. De verdachten pleegden afdreiging door mannen die reageerden op de door hen geplaatste advertenties te chanteren. Er is geen sprake van het delict ‘afdreiging’, om dat de verdachten niet voldoende concrete bedreigingen met geweld naar de slachtoffers hebben gestuurd.

De verdachte ging met zes medeverdachten als volgt te werk. De verdachten plaatsen een seksadvertentie op de websites speurders.nl, kinky.nl en sexjobs.nl. Nadat een slachtoffer heeft gereageerd op een seksadvertentie wordt met deze persoon contact gelegd door iemand die zich voordoet als een vrouw/prostituee. Er volgt een uitwisseling van seksueel getinte berichten en er wordt soms om een naaktfoto van het slachtoffer gevraagd waar zowel het hoofd als het geslachtsdeel van de man op staat. Intussen worden er – vermoedelijk aan de hand van het telefoonnummer van het slachtoffer via Facebook – namen van het slachtoffer en personen uit zijn omgeving achterhaald.

Dan veranderen de verdachten de berichten van toon en komt ‘de pooier’ aan het woord. Het slachtoffer moet geld betalen om bekendmaking van zijn ‘schaamtevolle’ gedrag aan de met naam genoemde personen uit zijn omgeving te voorkomen. De slachtoffers ‘moeten er van leren dit niet meer te doen’. De slachtoffers moeten vervolgens geld overmaken naar een bankrekeningnummer waarbij vaak dezelfde tenaamstelling wordt genoemd. Het geld moet door het slachtoffer snel worden overgemaakt en er moet een screenshot als bewijs van de betaling worden verzonden. Het bedrag dat op de rekening wordt gestort wordt daarna snel in cash opgenomen. De verdachten hebben de ontvangen bedragen daarmee ook witgewassen. Een aantal verdachten zijn slechts veroordeeld voor het witwassen, omdat hun betrokkenheid bij de afdreiging niet kon worden bewezen. Als slachtoffers hebben betaald, worden zij gedwongen steeds opnieuw te betalen. De bedreigingen houden overigens uiteindelijk op als de slachtoffers niet betalen of daarmee stoppen.

Interessant is ook dat de rechtbank opmerkt dat er vanwege de lage aangiftebereidheid van het delict waarschijnlijk veel meer zaken spelen, waar deze modus operandi van de criminelen wordt gebruikt. Op de mobiele telefoon van één van de verdachten stonden 4780 seksgerelateerde berichten uit de periode van 1 tot 11 december 2016. Dat vormt volgens de rechtbank mogelijk een aanwijzing voor de daadwerkelijke omvang van de criminele praktijken van de verdachten. Ook stonden honderden verdachte transacties op de bankrekeningen van de verdachten van in totaal ruim € 56.000, waarvan slechts een klein deel aan de acht aangevers is te linken. De rechtbank beschouwt de acht beschikbare aangiftes als één feitencomplex. In onderlinge samenhang bezien, blijkt uit de bewijsmiddelen dat er diverse dwarsverbanden zijn als het gaat om gebruikte IP-adressen, gebruikersaccounts, telefoonnummers en bankrekeningen. Die onderlinge verwevenheid vormt één feitencomplex. Daarbij wordt in de zaken weliswaar een wisselende combinatie gebruikt van telefoonnummers, e-mailadressen, de bankrekeningnummers van verdachten en/of IP-adressen, maar vindt de afdreiging veelal in dezelfde bewoordingen plaats.

Met betrekking tot de bewijsvoering is relevant dat de politie onderzoek heeft gedaan bij de exploitant van de site Kinky.nl. De website-exploitant heeft in de eigen systemen gezocht op de gebruikte telefoonnummers en bankrekeningnummers in verschillende combinaties. Bij navraag blijkt dat op de rekeningen van de verdachten meer dan 10.000 euro aan verdachte transacties is te vinden. De verdachte transacties zijn betalingen waarbij de betaler geen bekende relatie heeft met de houder van de bankrekening. Verder is hierbij relevant de frequentie van de bijschrijvingen op de betreffende rekening en de omschrijving die daarbij staat vermeld. Uit onderzoek bij de exploitant van sexjobs.nl heeft de politie twee IP-adressen kunnen afleiding die op naam van de verdachten staan.

Tijdens een huiszoeking zijn de mobiele telefoons van de verdachte in beslag genomen. Op deze telefoons stond het (veelzeggende bewijsmateriaal) van ‘een groot aantal voor verdachten belastende berichten, seksadvertenties, screenshots van bankoverschrijvingen en (naakt)foto’s’. Op de telefoon van een andere verdachte zijn screenshots aangetroffen van diverse profielen en de contactenlijsten van deze profielen afkomstig van Facebook. Verder is gebleken dat meerdere van de telefoonnummers gebruikt zijn in de telefoons van de medeverdachten. Op de telefoon van één van de verdachten zijn onder andere de gebruikersaccounts voor de websites kinky.nl en sexjobs.nl aangetroffen.

De verdachte in de ondergenoemde zaak is minderjarig en wordt veroordeeld tot 300 dagen jeugddetentie (waarvan 233 voorwaardelijk). Ook krijgt hij een taakstraf van 200 uur opgelegd en moet hij een schadevergoeding betalen.

3.     Sextortion van minderjarige meisjes

Het Hof Den Haag heeft op 1 november 2018 arrest gewezen in een sextortion-zaak. Door middel van een bekende modus operandi deed de online zedendelinquent zich voor als een scout van een modellenbureau. De verdachte zocht via sociale media contact met de meisjes, met de vraag of zij foto’s wilde sturen. Als bevestiging dat zij benaderd waren door het modellenbureau), werd er een e-mail gestuurd met een e-mailadres van het modellenbureau.

De meisjes hebben van zichzelf foto’s verstuurd naar een de verdachte die gebruik maakte van het pseudoniem ‘Manisha’, waarbij sommige meisjes ook naaktfoto’s versturden. De verdachte eiste meer naakfoto’s van de slachtoffer onder dreiging van het publiceren (‘exposen’) van de naakfoto’s via een instagramaccount. Ook dwong hij sommige slachtoffers de app ‘Snapchat’ te installeren op hun mobiele telefoons. Via Snapchat zijn normaliter foto’s en video’s na enkele seconden niet meer zichtbaar. Diverse aangeefsters dachten daardoor ook dat zij bij verzending van foto’s weinig risico op verdere verspreiding liepen. De verdachte gebruikte echter een specifieke applicatie (‘Mobizen’) waarmee hij deze foto’s en video’s wel direct vanaf het scherm van zijn smartphone kon opslaan. Op de inbeslaggenomen gegevensdragers van de verdachte is tevens een grote hoeveelheid kinderporno gevonden.

De verdachte is veroordeeld tot 250 dagen jeugddetentie en een bijzondere maatregel met controle door jeugdreclassering, onder meer wegens het bezit van kinderporno, oplichting, en afpersing.

De zaak is in het bijzonder ook interessant vanwege de uitgebreide digitale bewijsvoering. De politie heeft op 2 juni 2016 een e-mail gestuurd aan één van de vermelde e-mailadressen in de aangifte van sextortion naar ‘Manisha’. Of de politie de e-mail onder dekmantel heeft gestuurd en een bijzondere opsporingsbevoegdheid heeft ingezet blijft onduidelijk door de summiere informatie die hierover wordt verschaft. Nadat de verdachte de e-mail heeft geopend, werd het IP-adres van de verdachte zichtbaar voor de opsporingsambtenaren. Het IP-adres kon worden gekoppeld aan het woonadres van de verdachte. Hetzelfde IP-adres heeft de verdachte gebruikt bij het aanmaken van het Instagramaccount van ‘Manisha’ ook toe aan het woonadres van de verdachte. Bovendien behoorde het telefoonnummer dat bij het aanmaken van het Instagramaccount is opgegeven tevens toe aan de verdachte. Het telefoonnummer behoorde toe aan de inbeslaggenomen telefoon van de verdachte, waarmee is ingelogd op het instagramaccount.

Uit het onderzoek naar de inbeslaggenomen telefoon is gebleken dat mailapplicatie geconfigureerd was voor de eigenaar van het modellenbureau. Daaruit blijkt dat de verdachte over de mailaccounts van het modellenbureau kon beschikken en uit naam daarvan e-mails on uitsturen. Enkele naaktfoto’s en snapchatberichten met de slachtoffers zijn tevens op de inbeslaggenomen mobiele telefoon gevonden. Ten slotte blijkt uit digitaal onderzoek naar de internetgeschiedenis dat de verdachte meerdere sites bezocht en zoektermen gebruikt die te relateren zijn aan het modellenbureau en de scouts van het modellenbureau.

4.     Oplichting via Whatsapp

De Consumentenbond en Fraudehelpdesk waarschuwen voor een toename van fraude via Whatsapp. Daarbij doen de oplichter zich voor als de zoon of dochter van een slachtoffer met het verzoek om geld over te maken. Dit doen zij vaak op geraffineerde wijze, waarbij eerst via een app weten een ‘nieuw telefoonnummer’ te hebben, compleet met profielfoto van de persoon van wie ze de identiteit gebruiken. Deze foto hebben ze van social media gehaald, evenals informatie over familierelaties en hoe mensen elkaar aanspreken. Vervolgens vragen ze om een betaling voor een openstaande rekening.

De rechtbank Midden-Nederland heeft op 4 oktober 2018 twee verdachten voor oplichting met een vergelijkbare werkwijze veroordeeld. De verdachten hebben zich op WhatsApp voorgedaan als iemand anders. De 19-jarige man zocht begin dit jaar via de berichtendienst contact met een 85-jarige man. De verdachte deed zich voor als de dochter van het slachtoffer en vroeg hem om in totaal ruim 2.300 euro over te maken. Het slachtoffer dacht echt met zijn dochter te appen. De 21-jarige Utrechter heeft zich op een soortgelijke manier schuldig gemaakt aan oplichting. Hij stuurde in september 2017 een WhatsApp-bericht naar een 71-jarige vrouw en deed zich voor als haar dochter. In het gesprek vroeg hij meerdere keren aan het slachtoffer om geld over te maken. In totaal heeft de vrouw ruim drieduizend euro overgemaakt.

De 21-jarige man is veroordeeld tot een gevangenisstraf van 18 maanden, waarvan 6 maanden voorwaardelijk. De 19-jarige man is veroordeeld tot een gevangenisstraf van 16 maanden, waarvan 6 maanden voorwaardelijk. Daarnaast moeten ze ongeveer 10000 euro aan schade vergoeden.

5.     Klonen van modems VodafoneZiggo

De Rechtbank Rotterdam heeft op 11 oktober 2018 een aantal verdachte veroordeeld die in georganiseerd verband de modems van Vodafone Ziggo hebben gekloond. In het onderzoek ‘26Cicero’ is de verdenking gerezen dat in Nederland in georganiseerd verband op illegale wijze (met gebruikmaking van speciaal daartoe ontwikkelde software) modems van betalende klanten van Ziggo werden uitgelezen en gekloond. Het onderzoek ving aan naar aanleiding van informatie van de Canadese politie. De unieke modemgegevens van honderden betalende klanten van Ziggo zijn met behulp van malware gekopieerd en geplaatst op andere modems. Tegen betaling van een eenmalig bedrag van zo’n € 150,- konden de afnemers van de gekloonde modems gratis internetten zolang de betalende klant wiens modem was gekloond een abonnement had.

De verdachte kloonde de modems en installeerde die bij zijn afnemers. De modems kocht hij in bij een medeverdachte die bij Ziggo werkte. Een andere medeverdachte, die via een onderaannemer in dienst was bij Ziggo, installeerde de gekloonde modems als de Ziggo-straatkast moest worden geopend om de internetverbinding mogelijk te maken.

De rechtbank overweegt dat het gevaarlijk is dat gekloonde modems ook kunnen worden gebruikt om kwaadaardige aanvallen op bedrijven uit te voeren of om persoonlijke informatie van derden te achterhalen. De veiligheid en integriteit van de infrastructuur kan daarmee ernstig in gevaar komen. De geschetste potentiële gevaren hebben zich in deze zaak niet voorgedaan. Wel heeft de verdachte hinder en schade veroorzaakt voor met name Ziggo en heeft hij door het witwassen van zo’n € 20.000,- volgens de rechtbank de integriteit van het financiële en economische verkeer aangetast.

De verdachte wordt veroordeeld voor medeplegen van gekwalificeerde computervredebreuk, het voorhanden hebben malware, gewoontewitwassen en listiglijk gebruik maken van een telecommunicatiedienst (326c Sr). Wel volgt vrijspraak voor het medeplegen van vervaardigen van malware, nu niet kan worden bewezen dat verdachte als medepleger een bijdrage heeft geleverd aan de ontwikkeling van de ‘1337suite’. De verdachte wordt veroordeeld tot een gevangenisstraf voor de duur van vijftien maanden opleggen, waarvan twaalf maanden voorwaardelijk met een proeftijd van drie jaar. Tevens moet de verdachte een taakstraf uitvoeren van 180 uur. De straf was aanzienlijk lager dan de eis van de officier van justitie.

“Facebookvrienden worden met de verdachte.” Over online undercover operaties op internet

In het themanummer van Justitiële Verkenningen over ‘De digitalisering van georganiseerde misdaad’ is ook mijn artikel over online undercover operaties verschenen. In het artikel (.pdf) leg ik uit wat online undercover operaties zo uniek en aantrekkelijk maken voor de opsporing en welke regels gelden voor de politiële undercover bevoegdheden.

In het kader van mijn proefschrift (‘Investigating Cybercrime’) heb ik mij al eerder met het onderwerp bezig gehouden. Door recente jurisprudentie over de accountovername en de breed uitgelichte online undercover operatie over de darknet market ‘Hansa’ vond ik het tijd hier nog een artikel over te schrijven. Het artikel is een uitvloeisel van een paper die ik had geschreven voor het NVC-congres van afgelopen zomer.

Wat online undercover operaties zo aantrekkelijk maakt voor de opsporing

In cybercrimezaken kunnen online undercoveroperaties een effectief opsporingsmiddel zijn om bewijs te verzamelen met een online handle als digitaal spoor, zoals een nickname, e-mailadres of profiel op sociale media. Onder de omstandigheid dat verdachten consistent gebruik maken van anonimiseringstechnieken die het IP-adres verhullen van het netwerk waar zij gebruik van maken, is de toepassing van online undercover opsporingsmethoden één van de weinige middelen om bewijs te verzamelen in opsporingsonderzoeken met betrekking tot cybercriminaliteit.

Een bijkomende voordeel van de online toepassing van undercover opsporingsbevoegdheden, is dat opsporingsambtenaren net zo anoniem kunnen communiceren als de betrokken van het opsporingsonderzoek, zonder (direct) lijflijk risico en zonder de bureaustoel te hoeven verlaten met een wereldwijd bereik van de opsporingsmethode. Bij een accountovername kunnen opsporingsambtenaren zelfs door de bril van een crimineel of een persoon met toegang tot besloten omgevingen meekijken en bewijs verzamelen voor een opsporingsonderzoek. In reguliere opsporingsonderzoeken (geen cybercrime) waarbij verdachten online actief zijn, biedt de toepassing van online undercoverbevoegdheden additionele mogelijkheden ten opzichte van de bevoegdheden die in de fysieke wereld kunnen worden toegepast.

‘BOB’ gaat digitaal

Dezelfde regels gelden voor de toepassing van undercover bevoegdheden als 20 jaar geleden, zoals die in de Wet bijzondere opsporingsbevoegdheden (Wet BOB) zijn geformuleerd. Toch is de context waarbinnen de bevoegdheden worden toegepast stevig verandert. Dat levert de vraag op of de huidige regeling nieuwe toepassingen nog “dekt”. In verband met het legaliteitsbeginsel staat namelijk in de wet welke indringende opsporingsmethoden opsporingsinstanties mogen gebruiken. Door de techniekonafhankelijke formulering van de bevoegdheden zijn de BOB-bevoegdheden prima toepasbaar in een online context. Mijn artikel laat zien aan welke toepassingen je in de hedendaagse gedigitaliseerde wereld moet denken.

Jurisdictie

Het wereldwijde bereik van online undercover opsporingsmethoden levert echter wel een flink jurisdictievraagstuk op. In het artikel ga ik daar kort op in. Daarbij herhaal ik het standpunt dat ik in mijn dissertatie heb ingenomen, namelijk dat unilaterale online opsporing onder dekmantel onder omstandigheden moet worden toegestaan. Daarbij denk ik in het bijzonder aan de situatie dat verdachten anonimiseringsmaatregelen nemen en de fysieke locatie van de verdachte redelijkerwijs niet kan worden vastgesteld. Het artikel sluit ik af met een betoog dat de stormachtige ontwikkeling van cybercriminaliteit en de noodzakelijke inzet van digitale opsporingsbevoegdheden om bewijs te verzamelen staten er toe dwingt om afspraken met elkaar te maken onder welke omstandigheden grensoverschrijdende online undercover operaties zijn toegestaan.

Makers en verspreiders van Coinvault veroordeeld

De ‘Coinvault-zaak’ (Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153) verdient nadere aandacht. Het betreft namelijk de eerste veroordeling voor ransomware in Nederland. Dat is de hoogste tijd, omdat ransomware al jaren één van de meest prevalente vormen is van cybercrime in enge zin. In deze blog ga ik eerst kort in op de feiten van de zaak. Daarna bespreek ik uitgebreider de ten laste gelegde feiten en welke andere delicten van toepassing kunnen zijn. Tot slot werp ik een korte toekomstblik op ransomware.

Veroordeling

De Rechtbank Rotterdam heeft op 26 juli 2018 twee jongemannen veroordeeld tot 240 uur taakstraf en een voorwaardelijke gevangenisstraf van twee jaar voor het besmetten van een groot aantal computers met zelfgemaakte ransomware. Het is een relatief lage gevangenisstraf in verhouding tot de ernst van de delicten. De verdachten hebben van november 2014 tot en met september 2015 computers besmet met zelfgemaakte ransomware van de variant ‘Coinvault’ en ‘Bitcryptor’. Deze ransomware is meer specifiek te kwalificeren als ‘cryptoware’, waarbij gegevens worden versleuteld. Zonder betaling in virtueel geld (in dit geval Bitcoin) en de ontvangst van de sleutel om gegevens weer toegankelijk te maken, is het zonder back-up in de meeste gevallen onmogelijk de gegevens terug te krijgen.

De feiten

In de uitspraak van de Rechtbank Rotterdam staat weinig informatie over het opsporingsproces, maar uit de mediaberichten over de zaak blijkt dat de verdachten de malware als ‘trojan’ hebben verspreid (zie bijvoorbeeld dit bericht in de Volkskrant en deze blog van McAfee). In dit geval was de kwaadaardige software vermomd als commerciële software en ‘sleutel-generatoren’ die in nieuwsgroepen gratis konden worden download. Nadat duizenden computers waren besmet activeerden de verdachten de cryptoware en eisten ze 250 euro in Bitcoin van hun slachtoffers. De computers stonden als zombiecomputers onder controle van hun command-and-control server. Bij het verbinding maken met de server maakten de verdachten echter geen gebruik van anonimiseringstechnieken (zoals Tor), waardoor het IP-adres terugverwees naar het adres van de abonneehouder (het ouderlijk huis van de verdachten). Dat leidde tot de arrestatie van de verdachten in een klein dorp nabij Amersfoort.

De tenlastelegging

De officier van justitie heeft artikel 138ab Sr, 350a Sr en 317 Sr (afpersing) ten laste gelegd. Het ligt het meest voor de hand het delict gegevensaantasting (art. 350a Sr) ten laste te leggen. Het artikel is ervoor gegoten, omdat het (onder andere) strafbaar stelt ‘het opzettelijk en wederrechtelijk veranderen, onbruikbaar maken of ontoegankelijk maken van gegevens’ met een maximale gevangenisstraf van twee jaren of een geldboete van de vierde categorie. De verdachten hebben gebruik gemaakt van een botnet, waardoor ook sprake is van een gekwalificeerde vorm van computervredebreuk in artikel 138ab lid 3 Sr (zie ook het Toxbot-arrest (ECLI:NL:HR:2011:BN9287)). Sinds mei 2015 is overigens ook artikel 138b Sr gewijzigd, waardoor een strafverzwaring naar een maximale gevangenisstraf van vijf jaar of een geldboete van de vierde categorie van toepassing indien met het plegen van het feit als omschreven in art. 350a Sr ‘ernstige schade’ wordt veroorzaakt. De memorie van toelichting definieert niet helder wat ‘ernstige schade’ behelst, maar ik neem aan dat hier ook de besmetting van duizenden computers met ransomware onder valt, zoals in casu het geval was.

Bijzondere aandacht verdient ook de tenlastelegging van afpersing (art. 317 Sr) in deze zaak. Het gaat hier om de uitoefening van dwang, om zichzelf wederrechtelijk te bevoordelen met geweld of de bedreiging met geweld, door ‘de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist’ (zoals staat omschreven in art. 317 lid 2 Sr). Daarvan is in deze zaak sprake, omdat de cryptoware de gegevens ontoegankelijk maakt, tenzij het losgeld wordt betaald in de vorm van Bitcoin (of het systeem op een andere manier met een sleutel kan worden ontsleuteld). De Rechtbank Rotterdam volstaat in haar (helaas zeer korte) bespreking van het artikel met: “de rechtbank is daarbij van oordeel dat het op deze wijze ontoegankelijk maken van bestanden gelijk is te stellen aan het begrip geweld als bedoeld in artikel 317 van het Wetboek van Strafrecht”.

Richtlijn Cybercrime strafvordering kan beter

De richtlijn Cybercrime strafvordering noemt de toepasbaarheid van het delict afpersing merkwaardig genoeg in zijn geheel niet. In plaats daarvan worden de artikelen 139d Sr (de plaatsing van malware), art. 326 Sr (oplichting) en art. 284 Sr (dwang) genoemd. De officier van justitie had inderdaad art. 139d lid 2 sub a Sr met verwijzing naar art. 138ab lid 3 Sr ten laste kunnen leggen. Dat zou beter tot uitdrukking doen komen dat de verdachten ook de vervaardiging van de Coinvault-malware wordt verweten. Op het eerste gezicht lijkt bij ransomware de ten laste legging van het delict ‘oplichting’ (art. 326 Sr) minder voor de hand te liggen. Voor oplichting is immers (onder andere) vereist dat iemand bijvoorbeeld na een ‘listige kunstgreep’ geld overmaakt. Met andere woorden wordt de betrokkene ‘er in geluisd’. Bij ransomware wordt simpelweg de computer van het slachtoffer gegijzeld en losgeld door een anonieme dader wordt geëist; daarbij lijkt van een ‘listige kunstgreep’ geen sprake. Voor de besmetting van de computer wordt soms wel een ‘listige kunstgreep’ gebruikt. In deze zaak hebben de verdachten bijvoorbeeld de computers besmet via onschuldig lijkende programma’s die via internet ter beschikking zijn gesteld, waarna de slachtoffers na besmetting van cryptoware bewogen worden geld over te maken. Eerder is oplichting wel ten laste gelegd en bewezen verklaard in het geval van ‘banking malware’. Ten slotte kan in de context van ransomware ook nog sprake zijn van het delict dwang (art. 284 Sr), omdat een persoon ‘door enige feitelijkheid’ (het versleutelen van een computer) een ander wederrechtelijk dwingt iets te doen (losgeld betalen) of te dulden (het versleuteld laten van de computer). Het voordeel van de hoge maximale gevangenisstraf bij art. 317 Sr is dat slachtoffers spreekrecht hebben en ook zware bijzondere opsporingsbevoegdheden mogen worden toegepast, zoals direct afluisteren (art. 126l Sv) en alle vormen van de hackbevoegdheid (art. 126nba Sv).

‘Geweld’ bij ransomware?

Met de opkomst van het Internet of Things raken steeds meer apparaten die autonome beslissingen kunnen nemen met het internet verbonden. Dat brengt bijvoorbeeld met zich mee dat mensen opgesloten kunnen raken in hun hotelkamer, omdat de kamerdeur met het elektronische slot niet meer functioneert na een ransomwarebesmetting. Het ontoegankelijk maken van een slimme auto met ransomware tegen losgeld voor een flink bedrag lijkt mij ook goed denkbaar. In deze gevallen ziet het vereiste ‘geweld’ bij afpersing mogelijk meer op het goed zelf in plaats van de opgeslagen gegevens op de computer. Toch lijkt het dat het geweld of de bedreiging van geweld zich daarbij meer richt op het gebruik van het goed, dan op het goed zelf; het omhulsul van het goed blijft ten slotte intact. Het is overigens ook denkbaar dat met ransomware het geweld of de bedreiging van geweld zich richt tegen een persoon. Als medische apparaten aan het lichaam (zoals een insulinepomp) of in het lichaam (zoals een pacemaker) verbonden zijn met een netwerk en op afstand ontoegankelijk wordt gemaakt, kan namelijk sprake van (de dreiging van) geweld jegens een persoon bij het gebruik van ransomware.

Strafrechtpraktijk nog onvoldoende voorbereid op ransomware

Los van deze theoretische bespiegeling over de strafbaarstelling van ransomware is van belang te realiseren dat de besmetting van ransomware op IoT-apparaten geen science fiction is. Ransomware is een groeiend probleem. De WannyCry-aanval heeft in mei 2017 ziekenhuizen in het Verenigd Koninkrijk, het spoorwegsysteem tussen Duitsland en de Russische Federatie, telecommunicatiebedrijven in Spanje en Portugal en Petrochemische bedrijven in China en Brazilië en autofabrikanten in Japan platgelegd. De Nederlandse samenleving zal zich moeten voorbereiden op deze vormen van cybercrime en maatregelen moeten treffen (niet alleen op het gebied van strafrecht). Daarnaast is nu al een tendens zichtbaar dat cybercriminelen de aanvallen gerichter worden uitgevoerd, zoals het besmetten van medische apparaten in ziekenhuizen, waarbij een veel groter bedrag wordt geëist: in de tienduizenden euro’s in plaats van die doorgaans 500 euro voor besmette PC’s. De strafrechtpraktijk lijkt hier nog onvoldoende op voorbereid.

Mijn noot met bijna gelijke tekst is verschenen in: Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153, Computerrecht 2018/210, p. 281-291, m.nt. J.J. Oerlemans.

Over ethisch hacken: nieuwe leidraad ‘Coordinated Vulnerability Disclosure’ gepubliceerd

De leidraad ‘Coordinated Vulnerability Disclosure (CVD) is een aanscherping op de ‘leidraad responsible disclosure’ van het Nationaal Cyber Security Centrum uit 2013. Het doel van de richtlijn is om bij te dragen aan de veiligheid van ICT-systemen door kennis over kwetsbaarheden door ethische hackers te laten delen met de eigenaren van ICT-systemen, zodat deze de kwetsbaarheden kunnen verhelpen voordat deze actief misbruikt worden door derden. In de nieuwe richtlijn komt beter tot uiting dat er een gelijkwaardig gesprek moet zijn tussen de melder en de mogelijk kwetsbare organisatie.

In de afgelopen jaren hebben melders binnen de randvoorwaarden van coordinated vulnerability disclosure beleid van organisaties gewerkt. Toch kan tijdens het vinden van kwetsbaarheden de wet worden overtreden. In het kader van een CVD-overeenkomst kunnen organisatie en melder overeenkomen geen aangifte te doen (van in de eerste plaats computervredebreuk), zolang de melder binnen de randvoorwaarden van het beleid opereert. Eveneens kan worden afgesproken dat er geen civielrechtelijke stappen worden ondernomen, waarbij eventuele schade op de melder wordt verhaald.

Nadrukkelijker dan voorheen, staat nu in de richtlijn:

“Indien er wel aangifte wordt gedaan, is in Nederland het bestaan en naleven van CVD-beleid een relevante omstandigheid die de officier van justitie zal meenemen in zijn beslissing om al dan niet een strafrechtelijk onderzoek in te laten stellen en/of te vervolgen. In principe stellen Politie en Openbaar Ministerie (OM) geen strafrechtelijk onderzoek in, indien de melder zich klaarblijkelijk aan de regels uit het CVD-beleid van de betreffende organisatie heeft gehouden.”

Daarbij wordt naar twee uitspraken verwezen  (ECLI:NL:RBOBR:2013:BZ1157) en  ECLI:NL:RBDHA:2014:15611) en een beleidsbrief  waarin specifiek wordt ingegaan op de overwegingen bij de onderzoeks- en vervolgingsbeslissing. Net als in de uitspraken wordt daar in gegaan op de gebruikelijke overwegingen zoals het dienen van algemeen belang, of de melder niet onevenredig handelde (de proportionaliteitstoets) en niet een minder ingrijpende manier had kunnen handelen (de subsidiariteitstoets).

Het NCSC hanteert een standaardtermijn van 60 dagen tussen de melding en de publieke bekendmaking van de kwetsbaarheid. De omstandigheden van het geval kunnen nopen tot een langere of kortere termijn. In het CVD-beleid worden tips en voorbeelden gegeven. Daarbij wordt het CVD beleid over het gehele spectrum gebruikt, van het strenge CVD-beleid van Fox IT (slechts in een offline omgeving op voorgeselecteerde producten), naar het standaard beleid op ResponsibleDisclosure.nl tot het informele en ruimtehartige CVD-beleid van Bits of Freedom.

Recente zaak over ethisch hacken

Op 30 augustus 2018 heeft de Rechtbank Den Haag een 45-jarige IT-er veroordeeld (ECLI:NL:RBDHA:2018:10451) voor computervredebreuk, maar geen straf opgelegd. Op basis van art. 9a Sr kan een rechter daartoe overgaan, indien ‘de rechter dit raadzaam acht in verband met de geringe ernst van het feit, de persoonlijkheid van de dader of de omstandigheden waaronder het feit is begaan, dan wel die zich nadien hebben voorgedaan’. De rechtbank neemt daarbij in overweging dat hij geen kwade bedoelingen had, dat hij de gegevens uit de database niet voor eigen gewin heeft gebruikt en dat hij een maatschappelijk belang heeft gediend. In de uitspraak staan veel technische details en uitgebreide overwegingen van de rechtbank die voor de liefhebber interessant zijn. Het komt echter niet de leesbaarheid van de uitspraak ten goede. Daarom volgt hier onder een korte samenvatting.

De verdachte deed een beroep op de rechtvaardigingsgrond van het ‘algemeen belang’ door uit te leggen dat de hack op de site van de stichting was uitgevoerd om te laten zien dat de beveiliging ondermaats was. De hacker heeft simpelweg het robots.txt-bestand van de webserver opgevraagd waarbij na invoer van een geldig ID 80.000 donateursgegevens beschikbaar kwamen. In de gegevensset waren ook NAW-gegevens (naam, adres, woonplaats), bankrekeningnummers, e-mailadressen en opmerkingen over betaalgedrag van “vrienden” te vinden. Het script was niet met een wachtwoord beveiligd, maar dat is ook niet vereist om computervredebreuk te plegen. Wel overweegt de rechtbank dat sprake is van een kenbare drempel die de verdachte is overgegaan, enerzijds door het afschermen van pictura.php met het commando “disallow” op de website en anderzijds door bij opvraging daarvan de invoer van een geldig ID te vereisen.

Met behulp van ‘een vals signaal’ (zie art. 138ab lid 1 Sr) heet de hacker daarmee toegang verschaft tot de een geautomatiseerde werk (de webserver) en computervredebreuk gepleegd. Het beroep op de rechtvaardigingsgrond slaagde niet, omdat de verdachte niet proportioneel handelde door de hele database binnen te halen en ten onrechte meteen naar de media (bij Tweakers.net, De Volkskrant en Trouw via het online klokkenluidersplatform PubLeaks) is gestapt, in plaats van de betrokken organisatie zelf. De verdachte is overigens geïdentificeerd na onderzoek door Fox IT dat was ingehuurd om de hack te onderzoeken. Uit de logbestanden op de webserver bleek dat met een (niet-afgeschermd) IP-adres net voor de hack was ingelogd. Het IP-adres behoorde bij Ziggo en het opvragen van de gebruikersgegevens bij Ziggo heeft klaarblijkelijk tot de verdachte geleid.

Jurisprudentieoverzicht cybercrime – augustus-oktober 2018

Naar inmiddels goed gebruik heb ik weer een overzichtje gemaakt van opvallende jurisprudentie op het gebied van cybercrime. In het overzicht zit wederom een zaak over (grootschalige) drugshandel en witwassen met interessante bewijsoverwegingen. Daarop volgt een zaak over fraude met internetbankieren via de ING met leuke technische details, een zaak waarbij rechters hun visie geven op de (incidenteel terugkerende) vraag of het bezit van mangaporno strafbaar is en de (reeds in de media al breed uitgemeten) zaak over het hacken van een rioolinstallatie.

Drugshandel via het darkweb en witwassen

Op 18 september 2018 is een 32-jarige man uit Maastricht door de Rechtbank Overijssel veroordeeld (ECLI:NL:RBOVE:2018:3394) voor handel in hard- en softdrugs via het darkweb, witwassen via bitcoins en het bezit van hard- en softdrugs. Hij is veroordeeld tot een gevangenisstraf van vier jaar, waarvan één jaar voorwaardelijk met een proeftijd van drie jaar en bijzondere voorwaarden. Daarnaast moet hij 21.492,50 euro aan de Staat betalen als ontneming. Een medeverdachte in het onderzoek ‘26Maywood’ is tevens veroordeeld (ECLI:NL:RBOVE:2018:3395) tot een taakstraf van 240 uur en een voorwaardelijke gevangenisstraf met proefschrift, voor het witwassen van grote hoeveelheden bitcoins, met vermoedelijk een illegale herkomst, tegen contant geld.

De hoofdverdachte rekende een commissie van 10% voor het omzetten van de bitcoins tegen contant geld voor een totaalbedrag aan € 208.420,-. Hij had wetenschap dat de bitcoins onder meer afkomstig waren uit drugshandel. De verdachte handelde ook zelf in XTC en cocaïne via het darkweb en heeft deze XTC en cocaïne naar het buitenland per post verzonden.

Het bewijs is onder andere verzameld via een pseudokoop van de drugs, de analyses op de postpakketten en enveloppen, de analyse van bitcoin wallets op smartphones, foto’s op het scherm van de mobiele telefoon met daarop Whatsapp-gesprekken en onderzoek aan inbeslaggenomen laptops van de verdachte.

Veroordeling voor phishing

Op 25 september 2018 heeft het Hof Den Haag een verdachte veroordeeld (ECLI:NL:GHDHA:2018:2488) voor computervredebreuk, oplichting, deelname aan een criminele organisatie en diefstal via een nepwebsite voor internetbankieren. De verdachte krijgt een gevangenisstraf opgelegd van 18 maanden, waarvan 7 maanden voorwaardelijk en een proeftijd van twee jaar.

De verdachten hebben een e-mail verstuurd naar slachtoffers, waarbij zij zich voordeden als de ING-bank. Via een hyperlink in deze e-mail werden de slachtoffers naar een “phishing-website” geleid. De website leek sterk op de officiële ING-webpagina, waarna de slachtoffers werd gevraagd om op deze pagina diverse persoonlijke (bank)gegevens in te vullen. Dankzij deze gegevens konden degenen achter dit “phishing” traject inloggen op de ING-internetbankier-omgeving van de aangevers en kennisnemen van onder meer de aard van de bankrekeningen (betaal- en/of spaarrekening) en de daarmee corresponderende saldogegevens van de betrokkenen. Het Hof overweegt in het arrest dat op dat moment sprake is van het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk, en daarom van het delict computervredebreuk (art. 138ab Sr).

De daders logden in op de rekeningen van de slachtoffers, waarbij het IP-adres werd vastgelegd van een Apple MacBook, waarvan later bleek dat de verdachten gebruik van maakten, met telkens dezelfde ‘User Agent’. Het IP-adres kon worden gekoppeld aan het (adres) waarop een verdachte tijdens de strafbare gedragingen verbleef. Interessant is dat de verdachte in dit geval geen toegang wilde geven tot zijn MacBook Pro dat was versleuteld met ‘FileVault’. Blijkbaar kon de politie geen toegang krijgen tot deze laptop van de verdachte, maar wel is bewezen dat de verdachte van dezelfde laptop gebruik maakte om de inloggegevens van de verdachten te vergaren. Dat is gebeurd door op listige wijze de wificode van slachtoffers te verkrijgen, waarbij vervolgens is ingelogd op de wifirouter van de slachtoffers. Vervolgens is met gebruikmaking van de inloggegevens van de slachtoffers ingelogd op de ING webserver en hier vandaan betalingen verricht ten laste van de aangevers. Het staat niet expliciet vermeld in de uitspraak, maar het is hoogstwaarschijnlijk voor de bewijsvoering ook digitaal forensisch onderzoek aan de wifi-routers uitgevoerd.

Volgens het Hof is ook sprake van deelname een criminele organisatie vanwege een gestructureerd samenwerkingsverband met een zekere duurzaamheid en continuïteit tussen de verdachte en anderen, die tot oogmerk had om door middel van “phishing” en oplichting de bankrekeningen van slachtoffers leeg te halen (diefstal).

Vrijspraak voor bezit van “manga-porno”

Op 31 augustus 2018 heeft de rechtbank Noord-Nederland (ECLI:NL:RBNNE:2018:3579) een verdachte vrijgesproken van computervredebreuk, dwang en bezit van kinderporno, maar veroordeeld voor 40 uur taakstraf vanwege het voorhanden hebben van een ‘Remote Access Trojan’ (RAT)-bestand (art. 139d Sr).

Uit de verklaring van de verdacht blijkt dat hij deze bestanden naar verschillende personen heeft verzonden met het oogmerk om computervredebreuk te plegen en om gegevens af te tappen, namelijk door het meekijken via een webcam. Het voorhanden hebben van RAT-bestanden met dit oogmerk acht de rechtbank daarom bewezen.

De uitspraak is echter vooral opvallend, omdat de officier van justitie het bezig van kinderporno ten laste had gelegd, mede vanwege het bezit van ‘manga’s’. Manga zijn cartoontekeningen die in een bepaalde Japanse stijl zijn gemaakt. De erotische vorm daarvan heet overigens ‘hentai’, waarbij dikwijls zogenaamd minderjarigen seksuele handelingen verrichten. De rechtbank heeft kennisgenomen van de cartoontekeningen die in de collectiescan zijn opgenomen. De rechtbank overweegt dat virtuele kinderpornografie strafbaar is, indien er sprake is van een realistische, niet van echt te onderscheiden afbeelding. De rechtbank is van oordeel dat de in de selectie opgenomen manga’s niet als realistisch zijn aan te merken, in welk geval deze niet van echte afbeeldingen te onderscheiden zouden zijn geweest. De rechtbank vindt ook dat met betrekking tot de overige afbeeldingen de (kennelijke) minderjarigheid, dan wel de seksuele strekking van de gedragingen, niet blijken. De rechtbank spreekt de verdachte daarom vrij van dit ernstige zedendelict.

Veroordeling voor hack rioolinstallatie

De rechtbank Midden-Nederland heeft op 13 september 2018 een verdachte veroordeeld (ECLI:NL:RBROT:2018:4380) voor het hacken van de rioolinstallatie van de gemeente Lopik. De verdachte heeft na het inloggen op de server van de rioolinstallatie een aanzienlijke hoeveelheid bestanden gewist. De rioolinstallatie kon daardoor enige tijd niet correct worden aangestuurd. Een paar maanden later heeft de verdachte via datzelfde programma rioolafsluiters dichtgezet en rioleringspompen aangezet en de daaropvolgende storingsmelding genegeerd, als gevolg waarvan ernstige schade aan de rioolinstallatie van de gemeente had kunnen ontstaan.

Bij een gedraging als deze kan een ‘gemeen gevaar voor het leveren van diensten’ ontstaan. Bij een rioolwatervoorziening is daarvan sprake, omdat het een dienst van algemene nutte is. Daarop kan artikel 161sexies onderdeel 1 Sr ten laste worden gelegd. Dat is een misdrijf waarop een maximale gevangenisstraf van zes jaar kan worden opgelegd. De technische bewijsoverwegingen uit de uitspraak zijn ook wel interessant. De verdachte werd overigens relatief eenvoudig geïdentificeerd via het niet-afgeschermde IP-adres van zijn computer waarmee hij met het Remote Desktop Protocol verbinding met de server maakte. De verbindingen werden gelogd, waardoor het IP-adres en de gebruikersnaam waarmee werd ingelogd zijn vastgelegd. Na het vorderen van de gebruikersgegevens en het identificeren van de vermoedelijke woning van de verdachte, werd in de woning van de man een briefje gevonden met gebruikersnamen en wachtwoorden waarmee is ingelogd. Bewijs werd ook geleverd aan de hand locatiegegevens van de mobiele telefoon van de verdachte en een internettap.

Bij het bepalen van de straf heeft de rechtbank rekening gehouden met straffen die in soortgelijke strafzaken worden opgelegd en met het feit dat de man ZZP’er is en een gezin met twee kinderen moet onderhouden. De verdachte krijgt – vergeleken met de ernst van het delict de mijns inziens milde – maximale taakstraf opgelegd gekregen van 240 uur.

Europol rapport over cybercrime uitgebracht (iOCTA 2018)

Op 18 september 2018 heeft Europol een rapport (.pdf) over cybercrime uitgebracht. Het rapport biedt een mooi overzicht met gedetailleerde inzichten over de ontwikkeling van cybercrime. Het rapport is gebaseerd op rapporten van IT-beveiligingsbedrijven en zelfrapportage door opsporingsinstanties. In deze blog post zet ik de belangrijkste resultaten uit de ‘Internet Organised Crime Threat Assessment 2018’ op een rijtje.

1.         Ransomware is de no. 1 cybercrime-bedreiging

Ransomware is volgens Europol de nummer 1 dreiging op het gebied van cybercrime (in enge zin). Het heeft bovendien als dreiging van banking malware (waarmee frauduleuze betalingstransacties worden uitgevoerd) op het gebied van malware overgenomen. De meest voorkomende ransomware is Cerber, Cryptolocker, Crysis, Curve-Tor-Bitcoin Locker (CTBLocker), Dharme en Locky. Naar verluid verdienen de makers van Cerber-malware naar verwachting 200.000 euro per maand, door hun kwaadaardige software te licenseren aan anderen. Ransomware richt zich echter steeds vaker op specifieke organisaties.

Europol stelt vast dat na de NotPetya en Wannacry-aanval, initieel veel onzekerheid bestond over de motieven van de daders en typen daders. Omdat zowel cybercriminelen als ‘nation state actors’ gebruik maken van dezelfde technieken en tools is het lastiger de twee actoren te onderscheiden. Samenwerking tussen opsporingsinstanties, ‘Computer Incident Response Team’-teams en inlichtingendiensten is daarom volgens Europol noodzakelijk.

2.         Cryptomining malware en cryptojacking groeit

Opsporingsinstanties komen Bitcoin nog steeds het vaakst tegen in opsporingsonderzoeken naar cybercrime, hoewel meer anonieme cryptocurrencies, zoals Monero en ZCash, steeds populairder worden. Cryptocurrency uitwisselingskantoren (exchanges), mixing diensten en diensten die online portemonnees voor cryptocurrencies aanbieden worden ook steeds vaker het doelwit van afpersing en hacken. Witwassers maken ook vaker gebruik van gedecentraliseerde uitwisselingsdiensten die geen Know Your Customer beleid voeren, waarbij mensen bij elkaar komen om echt geld voor virtueel geld te wisselen. Cryptocurrencies die anonimiteit al ‘ingebakken hebben’, zullen volgens Europol mixing diensten overbodig maken. Europol merkt terecht op dat een kernvaardigheid zijn voor cybercrime-onderzoekers is om onderzoek te doen naar het misbruik van cryptocurrencies.

‘Cryptojacking’ wordt als nieuwe vorm van cybercrime gezien. Bij cryptojacking worden cryptocurrencies gedolven door gebruik te maken van de verwerkingcapaciteit van computers die aan het werk worden gezet door een javascript op websites. Daarbij wordt vooral het ‘CoinHive JavaScript miner’ gebruikt, waarmee Monero wordt gedolven. Cryptojacking is volgens Europol niet altijd strafbaar (ik kan zelf ook geen artikel uit het Wetboek van Strafrecht bedenken dat van toepassing is).

Europol wijst er op dat cryptojacking (virtueel) geld creëert en daarmee een motivatie vormt voor hackers om legitieme websites als doelwit aan te merken om van daar uit cryptojacking toe passen. Het hacken van website is uiteraard wel strafbaar (art. 138ab (lid 3 sub a?) Sr). Het gebruikt van mining malware is natuurlijk wel strafbaar (o.a. op grond van art. 138ab lid 3 sub a Sr en art. 350a lid 1 Sr) en kan het computersysteem van een slachtoffer plat leggen.

3.         Turbulentie en verplaatsing bij darknet markets

In 2017 zijn de populaire darknet markets ‘AlphaBay’, ‘Hansa’ en ‘RAMP’ offline gehaald. Ook zijn veel marktplaatsen uit zichzelf over de kop gegaan, bijvoorbeeld vanwege hacks en ‘exit scams’ van de eigenaren.

De ‘take downs’ door de politie hebben volgens Europol geleid tot de migratie van gebruikers naar bestaande of nieuwe markten, naar andere platformen (zoals I2P en Freenet) en gezamenlijke groepen of kanalen in versleutelde communicatie-apps.

4.        Groei van online misbruik via ‘live streaming’ diensten en sextortion

Materiaal met seksueel geweld tegen kinderen (o.a. kinderporno) wordt steeds minder vaak verspreid via peer-to-peerprogramma’s, zoals Gigatribe, BitTorrent en eDonkey en steeds meer via het darknet. In dat opzicht is het opvallend dat ik in (Nederlandse gepubliceerde) uitspraken over kinderporno wel lees over veroordelingen voor de verspreiding van kinderporno via Gigatribe, maar niet over de verspreiding via darknet forums.

Europol wijst daarbij ook op misbruik door gebruik ‘live streaming’-diensten via apps en chatkanalen, waarvoor soms ook wordt betaald via betalingsapps op de mobiele telefoon. Opgenomen materiaal wordt ook vaak gebruikt voor het afpersen van minderjarigen voor meer materiaal. Omdat kinderen vaak op jongere leeftijd op internet actief worden, kunnen ze ook op jongere leeftijd in contact komen met online zedendelinquenten en slachtoffer worden. Zowel internet service providers als betalingsdienstverleners moeten ook inspanningen verlenen om kindermisbruik tegen te gaan. Daarnaast doet Europol de nadrukkelijke (nieuwe) aanbeveling om hulpprogramma’s in te zetten voor daders, zodat deze hun driften beter leren beheersen.

5.         Ontwikkelingen in online fraude

West-Afrikaanse en andere fraudeurs passen meer geavanceerde aanvallen toe, waarbij ook zakelijke e-mail wordt compromitteert. Daarbij vinden meer gerichte aanvallen plaats, waarbij gedacht kan worden aan ‘CEO’-fraude (mails sturen uit naam van de CEO aan iemand in het bedrijf die betalingen uitvoert). Daarnaast maken ‘helpdeskfraude’, ‘advanced fee fraud’ en ‘romance scams’ nog steeds veel slachtoffers.

6.         Opsporing wordt lastiger door technische en juridische ontwikkelingen

Opvallend is ten slotte de waarschuwing van Europol dat juridische ontwikkelingen (in het bijzonder de AVG, waardoor de publieke toegang tot de WHOIS-database is afgesloten) en technische ontwikkelingen (zoals 5G zie dit ENISA rapport over 5G (.pdf)), het significant lastiger maken voor zowel publieke als private speurders om verdachten te attribueren en hun locatie te bepalen.

Europol is in het rapport stellig dat het vorderen van gegevens of het invullen van een ‘request form’ bij de registrars ondoenlijk werk oplevert voor opsporingsinstanties. 5G heeft als voordeel veel hogere snelheden en beveiliging dan 4G, maar als nadeel dat het lastiger is voor opsporingsinstanties om hier interceptie op uit te voeren en naar verluidt lastiger maakt om gebruikers van telecomdiensten te identificeren.

Jurisprudentieoverzicht cybercrime mei-augustus

Zoals ik al vaker heb aangegeven blijf ik het bijzondere interpretatie en principieel onjuist vinden dat het bekijken van foto’s in een smartphone een ‘beperkte inbreuk op het recht op privacy’ zou opleveren. Onderstaand arrest bevestigd dat nog eens. Daarnaast zijn er enkele spraakmakende cybercrimezaken met een veroordeling voor het hacken van iCloud-accounts, een milde veroordeling voor het hacken van computers in de Rotterdamse haven en een veroordeling voor deelname aan een terroristische organisatie (het ‘United Cyber Caliphate’) en de verspreiding van zorgwekkende video’s.

HR: Het bekijken van foto’s is een ‘beperkte inbreuk op de persoonlijke levenssfeer’

Op 10 juli 2018 heeft de Hoge Raad een arrest gewezen ECLI:NL:HR:2018:1121 over de rechtmatigheid van onderzoek in een smartphone. Naar aanleiding van een verkeerscontrole is er verdenking ontstaan van overtreding van de Wegenverkeerswet en Opiumwet, waarna op grond van art. 94 Sv zijn smartphone in beslag is genomen en onderzocht. Daarbij zijn foto’s in de fotogalerij in de smartphone bekeken. De Hoge Raad herhaalt relevante overwegingen uit ECLI:NL:HR:2017:592 m.b.t. onderzoek aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken. Het onderzoek aan de telefoon is niet alleen noodzakelijk als proportioneel te noemen, volgens het Hof. Dit oordeel acht de Hoge Raad niet onjuist en is niet onbegrijpelijk. Het bericht bekijken van foto’s in de fotogalerij op een smartphone levert niet een meer dan beperkte inbreuk op de persoonlijke levenssfeer in de zin van art. 8 EVRM op.

Veroordeling voor hacken meer dan 500 iCloud-accounts

De rechtbank Amsterdam heeft op 8 augustus een verdachte veroordeeld (ECLI:NL:RBAMS:2018:5745) voor computervredebreuk, afdreiging en het bezit van kinderpornografie.

De verdachte heeft door het raden van antwoorden op beveiligingsvragen binnengedrongen in de iCloud-accounts van 524 slachtoffers. Daarna heeft de verdachte wachtwoorden op de iCloud account gewijzigd, zodat deze tijdelijk ontoegankelijk waren en vervolgens de backups van deze iCloud accounts gedownload. Uit gesprekken op KIK op de inbeslaggenomen computer van de verdachte volgt op welke wijze de verdachte de iCloudbackups heeft gehackt.

De motivatie van de verdachte was gelegen in het vinden “pikante” foto’s en video’s, bij voorkeur meisjes tussen de 12 en 15 jaar, die hij ‘wins’ noemde. In de iCloudbackups van slachtoffers stonden foto’s, Whatsapp historie, inloggegevens van ene e-mailaccount, dropbox-, DigiD- en ING-accounts. In andere back-up bevonden zich ook Snapchat gegevens. Dit laat zien wat voor een rijkdom aan gegevens hackers van iCloudaccount kunnen binnenhalen.

De verdachte is vrijgesproken voor voorhanden hebben van ‘Elcomsoft Phone Breaker’, omdat het programma niet is ontworpen (hoofdzakelijk geschikt is gemaakt) met het oogmerk computervredebreuk te plegen. Het programma kan ook voor legale doeleinden worden gebruikt. Wel is duidelijk dat het programma gebruikt om de iCloud-backups van slachtoffers te downloaden.

Één van de slachtoffers werd gedreigd naaktfoto’s van haar en haar vriend openbaar te maken, als zij niet aan het verzoek van de dader zou voldoen nog meer pikante foto’s en video’s te sturen. Het slachtoffer zag dat de laatste logins op haar e-mail account waren gedaan op het IP-adres in gebruik bij verdachte. In de map op de computer van de verdachte werden de foto’s teruggevonden, waarmee de afdreiging kon worden bewezen. In de woning van verdachte hebben twee doorzoekingen plaatsgevonden. Daarbij zijn op gegevensdragers in totaal 130.000 afbeeldingen met kinderpornografie aangetroffen.

De verdachte is veroordeeld voor 3 jaar gevangenisstraf, waarvan een jaar voorwaardelijk met een proeftijd van drie jaar. Ook moet de verdachte worden opgenomen in een kliniek om voor de duur van maximaal tien weken voor behandeling.

Veroordeling ‘Rotterdamse havenhacker’

De rechtbank Rotterdam heeft op 3 mei 2018 een verdachte veroordeeld (ECLI:NL:RBROT:2018:5141) voor computervredebreuk. De verdachte hackte zogenoemde ‘containerlijsten’ van de Rotterdamse haven en gaf deze door aan drugscriminelen. Deze lijsten werden gebruikt voor de invoer van verdovende middelen in de haven. De verdachte is veroordeeld voor 176 uur taakstraf. Ik vermoed dat dit nieuwsbericht ook over deze zaak gaat.

De verdachte is vrijgesproken van een technisch hulpmiddel (de programma’s ‘Metasploit’ en ‘Zenmap’) met het oogmerk computervredebreuk te plegen. Deze software worden als ‘penetration testing’ tools gebruikt. Naar het oordeel van de rechtbank biedt het dossier ‘slechts aanwijzingen’ dat de software is gebruikt bij het plegen van de misdrijven. Niet kan worden vastgesteld dat zij voor dit doeleinde ‘hoofdzakelijk geschikt zijn gemaakt of ontworpen’, zoals art. 139d lid 2 sub a Sr vereist. Wel is hij veroordeelt voor het voorhanden hebben van het programma Medusa, Hydra en RWW Attack, waarmee hij het netwerkverkeer van het draadloze toegangspunt heeft afgeluisterd en opgenomen, waardoor een beveiligingswachtwoord kon worden achterhaald.

De inbeslaggenomen Macbook Pro van de verdachte was versleuteld, maar kon met behulp van ‘recovery key’ op de iPhone van de verdachte worden ontsleuteld. Gegevens op de Macbook en weinig verhullende Whatsapp gesprekken (zoals “Heb de login server van [naam bedrijf 3] gevonden” en “Nu nog gebruikersnamen en wachtwoorden vinden”) leverden het benodigde bewijs op voor computervredebreuk (art. 138ab Sr).

Veroordeling voor maken en verspreiden van terroristische video’s

De Rechtbank Rotterdam heeft op 13 maart 2018 een minderjarige verdachte veroordeeld (ECLI:NL:RBROT:2018:5367) voor deelname aan een terroristische organisatie en het maken en verspreiden van ernstige opruiende video’s. Het onderzoek ‘26Brookhaven’ ving aan met (i) informatie uit de opsporingsautoriteiten in de Verenigde Staten, (ii) een ambtsbericht van de AIVD van 9 juni 2017 en (iii) een digitale melding bij de politie Midden Nederland op 8 mei 2017. De verdachte is op 15 juni 2017 aangehouden, waarbij het bewijs van bovenstaande video’s op zijn laptop werd gevonden, alsmede contact met een hoge leidinggevende bij IS en het ‘United Cyber Caliphate’.

De video’s bestonden uit gewelddadige IS films, maar ook ander materiaal zoals een videoclip over een aanslag op Utrecht Centraal en een brandende Domtoren ‘met begeleidende onheilspellende teksten’. Ook heeft de verdachte een video gemaakt, waarin executies te zien zijn en waarin een zogenaamde kill-list wordt gedeeld: het betreft een lijst van 8000 mensen, met daarbij een oproep mensen te doden. De verdachte heeft deze video via Telegram gedeeld met United Cyber Caliphate, maar ook op YouTube geplaatst. De verdachte heeft verder samen met een persoon in Zweden een video gemaakt waarin de ‘Counter Terrorism’-directeur werd bedreigd, ook in deze video was een executie te zien, welke video op de computer van verdachte werd aangetroffen.

Op de verdachte is het jeugdstrafrecht toegepast. Hij is veroordeeld voor 181 dagen jeugddetentie en een voorwaardelijke gevangenisstraf van zes maanden met bijzondere voorwaarden.

Voorhanden hebben van software met het oogmerk computervredebreuk te plegen

De Rotterdamse hackerzaak en iCloudaccount hacks laten zien dat ook het voorhanden hebben van programma’s met het oogmerk computervredebreuk te plegen strafbaar kan zijn. IT-beveiligingsonderzoekers zijn soms bezorgd over de vraag of hun normale pentest-tools zoals Metasploit ook illegaal zijn, maar die worden gebruikt om volgens afspraak (waardoor de strafbaarheid (‘wederrechtelijkheid’) vervalt) computers binnen te dringen. Er is dan geen oogmerk computervredebreuk te plegen en dus niet strafbaar.

Art. 139d lid 2 sub a Sr schrijft ook voor het moet gaan om software dat ‘hoofdzakelijk geschikt is gemaakt’ om (o.a.) computervredebreuk te plegen. Op dit punt waren de rechtbanken er niet van overtuigd, voor zover de software (in deze zaken Metasploit, Zenmap en Elcomsoft Phone Breaker) ook voor legale doeleinden kan worden gebruikt. Wel is de Rotterdamse havenhacker veroordeeld voor het bezit (‘voorhanden hebben’) van de programma’s Medusa, Hydra en RWW Attack, waarbij de rechtbank de overtuiging had dat die wel hoofdzakelijk geschikt zijn gemaakt om strafbare feiten te plegen (namelijk het aftappen van netwerkverkeer teneinde een beveiligingswachtwoord te achterhalen).

Er is niet zoveel jurisprudentie over dit delict en deze zaken zijn alleen daarom al interessant. Ik vraag mij ook af hoe het zich verhoudt (en of dat er überhaupt een relatie heeft) met bijvoorbeeld het voorhanden hebben van versnijdingsmiddelen bij drugs die ook voor legale doeleinden kunnen worden gebruikt. Suggesties of gedachtes hierover per e-mail zijn uiteraard welkom!

Wet computercriminaliteit III aangenomen

De Wet computercriminaliteit III is vandaag (26 juni 2018) ook door de Eerste Kamer aangenomen! De wet is op 21 september 2018 in het Staatsblad gepubliceerd (Stb. 2018, nr. 322) en treed op 1 maart 2019 in werking (Stb. 2019, nr. 67).

In mei 2013 berichtte ik voor het eerst over de conceptversie van de Wet computercriminaliteit III en in het najaar van 2017 schreef ik een overzichtsartikel (.pdf) over het wetsvoorstel. Sindsdien is het wetsvoorstel slechts op detailpunten gewijzigd. Deze wet is – zoals zoveel wetten – niet perfect. Toch ben ik blij dat de wet is aangenomen en een noodzakelijke update van het Wetboek van Strafrecht en Strafvordering wordt doorgevoerd.

Toezeggingen op het laatste moment

In het nadere memorie van antwoord voor de Eerste Kamer bevestigt minister Grapperhaus dat de Wet computercriminaliteit III na twee jaar wordt geëvalueerd. Jaarlijks zullen statistieken van het gebruik van binnendringingssoftware openbaar gemaakt worden. De vele regels die nu van toepassing zijn op het gebruik van ‘binnendringingssoftware’ noopt ook tot de vraag of de wetgeving nog wel werkbaar is. Ook deze vraag wordt in de evaluatie meegenomen.

Een wijziging aan het wetsvoorstel dat wordt meegenomen is dat de logginsplicht in het besluit met betrekking tot de uitvoering van de hackbevoegdheid is uitgebreid naar voorbereidende fase van het onderzoek: het binnendringen in het geautomatiseerde werk. De logging bestaat onder meer uit het (automatisch) vastleggen van het beeldscherm en de toetsaanslagen van de opsporingsambtenaar van een technisch team, de communicatie tussen de technische infrastructuur van de politie en het geautomatiseerde werk, de gebruikte scripts, softwareversies en het journaal van de opsporingsambtenaar.

Toezicht achteraf

Tijdens het wetstraject is door diverse auteurs en maatschappelijke organisaties kritiek geuit op de toezicht achteraf op de uitvoering van de nieuwe hackbevoegdheid. Grapperhaus legt uit dat ondanks deze kritiek het toezicht belegd blijft bij de Inspectie Justitie en Veiligheid. Dit toezicht ziet vooral op het nakomen van de vele voorgeschreven procedures van de hackbevoegdheid, maar niet op de rechtmatigheid van de inzet, waaronder de proportionaliteit van de inzet van het middel. “Magistratelijk toezicht”, naast het toezicht vooraf, wordt niet als nodig en als ‘passend in het systeem’ gezien. Toch heeft de minister tijdens de behandeling van de wet in de Eerste Kamer toegezegd in de evaluatie te toetsen of het stelsel van systeemtoezicht op de hackbevoegdheid voldoende is.