Cybercrime

De strafrechtketen wil digitale misdaad niet alleen traditioneel benaderen

“Zes op de tien burgers maakt zich zorgen over de eigen online veiligheid. Acht op de tien is met een vorm van cybercrime in aanraking gekomen. Willekeurige personen en bedrijven wordt met één druk op de knop grote schade toegebracht door vaak onzichtbare daders. Schrikbarende statistieken die vragen om een stevige aanpak.”

Met die woorden opent procureur-generaal Gerrit van der Burg op 10 december de ‘oefenrechtbank cybercrime’. Daar houden OM, Politie en Rechtspraak online presentaties voor leden van de Tweede Kamercommissie Digitale Zaken.

Hoe schadelijk cybercrime kan uitpakken, horen de Kamerleden vervolgens van de Haagse officier van justitie Lodewijk van Zwieten. Hij presenteert een zaak die weliswaar fictief is, maar waarvan alle elementen zich in echte zaken hebben voorgedaan. Een zestienjarig meisje wordt met een seksueel getint filmpje van haar op Facebook afgeperst en pleegt zelfmoord. Wie is de afperser?

Stappen in een lang onderzoek

Het opsporingsteam begint bij het filmpje dat openbaar op Facebook staat. Maar omdat de beelden in strijd zijn met de gebruikersvoorwaarden heeft Facebook het filmpje inmiddels al verwijderd. Wel bevat de bewuste Facebookpagina waarop het filmpje stond nog nuttige informatie. De pagina is van een gebruiker die zich ‘SlickRick’ noemt. Helaas is niet de hele inhoud van die pagina te zien, want SlickRick heeft de pagina alleen zichtbaar gemaakt voor vrienden.

Wie is SlickRick? Met welke gegevens is hij bij Facebook bekend? Het opsporingsteam vraagt het op bij het Europese hoofdkantoor van Facebook in Ierland. Twee weken later ontvangt het opsporingsteam een telefoonnummer waarmee SlickRick zich heeft geregistreerd en een IP-adres vanwaar het account is aangemaakt.

Helaas: het telefoonnummer blijkt prepaid, uitgegeven door een Bulgaarse mobiele telecomaanbieder, en bij het aanschaffen van de simkaart hoefde de gebruiker zich niet te identificeren.

Het IP-adres waarmee het Facebookaccount is geregistreerd, leidt het team naar het netwerk van een Italiaanse telecomaanbieder. Die maakt gebruik van Carrier Grade NAT-technologie, waarbij meerdere gebruikers hetzelfde IP-adres krijgen toegewezen bij internetten. De aanbieder houdt niet bij welke internetbewegingen door welke gebruiker worden gemaakt. Het IP-adres van waar het Facebookaccount voor het laatst door de gebruiker is benaderd, maakt onderdeel uit van het zogenaamde TOR-netwerk. Daar komt het team voor nu ook niet verder mee. Van Zwieten: “Door de manier waarop bedrijven die deze diensten aanbieden zich hebben georganiseerd, loopt deze onderzoeksrichting dood.”

Het team wil ook informatie over het gebruik van de chatfunctionaliteit van Facebook. Dat kan niet via Ierland, maar moet via een rechtshulpverzoek aan de VS. Omdat daar voor het opvragen van chatberichten een huiszoekingsbevel nodig is, zal het antwoord zes tot twaalf maanden op zich laten wachten. Dat verzoek wordt weliswaar gedaan, maar in de tussentijd moet het opsporingsteam wel verder.

Via vrienden van het slachtoffer krijgt het team het bewuste filmpje aangeleverd op een USB-stick. De vrienden weten dat het slachtoffer een aantal weken geleden online met iemand ‘spannende gesprekken’ voerde. Enkele dagen geleden was er iets gebeurd, maar het slachtoffer wilde niet kwijt wat. De dag voor haar overlijden was ze overstuur.

Het opsporingsteam hoopt dat de metadata van het filmpje prijsgeven wanneer het is gemaakt en met welk apparaat. Opnieuw een tegenslag: bij het uploaden naar Facebook zijn alle originele metadata verwijderd.

Op het filmpje ziet het team dat het slachtoffer seksuele handelingen met zichzelf verricht. Maar zijn de beelden strafbaar? Dat hoeft niet. En zijn de beelden écht, nu het aantal deepfakes groeit? De officier verzoekt het NFI het beeldmateriaal te analyseren. Het NFI laat weten dat het enkele weken tot maanden kan duren voordat het team het resultaat kan verwachten.

Maar er liggen voor de korte termijn meer kansen voor het team, zoals de computer van het slachtoffer. Misschien staat het filmpje daarop of bevat het sporen van dat filmpje. Informatie is wellicht in de Cloud opgeslagen, bijvoorbeeld in webmailaccounts of op het Facebookaccount van het slachtoffer.

De ouders van het slachtoffer beschikken echter niet over de wachtwoorden van online accounts. Officier Van Zwieten: “We kunnen niet om dat wachtwoord heen, want Facebook geeft alleen wachtwoorden vrij aan de accounteigenaar.”

Op de computer treft het team software aan waarmee een derde de computer op afstand kan besturen. Deze Remote Access Tool (RAT) is waarschijnlijk gebruikt, zo geeft het register van de computer prijs. Toch zal ook hier tijdrovend NFI-onderzoek helderheid moeten verschaffen over wat exact met de RAT is gedaan.

Ondertussen duikt het team de Nederlandse politiesystemen in. Zijn er meer aangiftes van soortgelijke situaties waarin minderjarige meisjes werden afgeperst met seksueel getint beeldmateriaal? Dat blijkt inderdaad het geval en die vertellen meer over de werkwijze van SlickRick. Hij heeft slachtoffers verleid om seksueel getint beeldmateriaal van henzelf te maken en naar hem te sturen. Als dat is gebeurd, perst hij hen af: hij zal het beeldmateriaal naar familie en bekenden van het slachtoffer sturen, tenzij ze hem een bedrag in bitcoin betalen.

Op de computers van andere slachtoffers die willen meewerken, wordt dezelfde RAT aangetroffen.

Een slachtoffer geeft het team toegang tot haar bitcoinaccount, en wijst aan welke betaling aan SlickRick is gedaan. Zo achterhaalt het team de ‘tegenrekening’ van SlickRick. Het openbare logboek van bitcointransacties geeft dan zicht op tientallen transacties van vergelijkbare waarde naar SlickRick.

Op de Facebookpagina’s van de slachtoffers treft het team diverse chatberichten aan van SlickRick. In de chats vertelt SlickRick bovendien dat hij meisjes uit diverse landen om zijn vinger heeft gewonden en flink verdient aan zijn praktijken.

Daarop benadert het team Europol. Europol weet dan al dat de gebruikte RAT een bekend stuk malware is, dat in tientallen onderzoeken naar voren is gekomen. Dan blijkt ook dat de Poolse politie een onderzoek doet waarin deze RAT, het alias SlickRick én het bitcoinadres voorkomen. De Polen, die zelfs een undercovertraject draaien om in contact te komen met Slick- Rick, werken graag samen met het Nederlandse team, in opsporing én vervolging.

Dus volgt een coördinatiebijeenkomst bij Eurojust, waar collega’s van Europol aansluiten en de landen hun info delen. De Polen hebben in hun undercovertraject een internettap ingezet. Daaruit hebben zij een IP-adres vastgesteld, waarvan ze vermoeden dat het de computer is die SlickRick gebruikt. Het blijkt een Nederlands IP-adres.

Dan gaat het snel. Het Nederlandse team bevraagt het IP-adres bij een internetaanbieder in Nederland. Die geeft aan dat het om een huisaansluiting gaat van een gebruiker in het Drentse dorp Amerika. Op dat adres staat één persoon ingeschreven, de 28-jarige Engelsman Richard Hacking. De officier van justitie geeft toestemming tot aanhouding buiten heterdaad. Op vordering van de officier doorzoekt de rechter-commissaris de woning. Richard wordt ingerekend en een laptop en twee mobiele telefoons worden aangetroffen. Echter, Richard wil niet meewerken aan het ontgrendelen van zijn devices. De laptop wordt daarom overgebracht naar het NFI, om te proberen hem daar ontgrendeld te krijgen. Dat kan opnieuw een tijdrovende klus zijn.

De mobiele telefoons zijn vergrendeld, maar beveiligd met een biometrisch slot – een met gezichtsherkenning en de ander met een vingerafdrukscanner. De officier van justitie geeft toestemming om de telefoons te ontgrendelen, ook als daar enige dwang voor moet worden toegepast. De telefoons leveren het bewijs: Richard is SlickRick.

Misdrijf opgehelderd. Wel is het nog aan de officier om te bepalen welke strafbare feiten hij Richard ten laste legt, en in hoeverre alle buitenlandse zaken worden meegenomen in de vervolging.

Het is een heldere uiteenzetting, complimenteren de Kamerleden. “Maar wat een hoop onderzoek! En wat moet je bij het uitlopen van de onderzoeksrichtingen ook veel wachten,” reageert Hilde Palland (CDA).

‘Cybercrime as a service’

En die afperser, dat is dan nog maar één zaak, zegt hoofdoffi­cier Den Haag en OM-portefeuillehouder Cybercrime Michiel Zwinkels, als hij in de oefenrechtbank het stokje van Lodewijk van Zwieten overpakt. “Er zijn zo veel soorten cybercriminaliteit en we zien alleen het topje van de ijsberg, want de aangiftebereidheid is laag.”

Zwinkels somt op. Phishing, account take over-fraude, ddos-aanvallen, bulletproof hosting, ceo-fraude, criminele RAT’s, sextortion, betaalverzoekfraude, tech support scams, vriend-in-noodfraude, ransomware. Ransomware is een kolossaal probleem. In het Cybersecuritybeeld Nederland 2021 wordt deze gijzelsoftware een grote bedreiging voor de nationale veiligheid genoemd: er zijn incidenten in de zorg, bij de Rijksoverheid, het onderwijs, gemeenten of bedrijven in de voedselketen.

Jaren geleden waren digi-daders in drie overzichtelijke groepen in te delen. ‘Scriptkiddies’ op zolderkamertjes, georganiseerde criminaliteit en statelijke actoren. Tegenwoordig, weet hoofdocier Zwinkels, vinden die groepen elkaar steeds makkelijker. Op het internet bieden ze hun kennis en hackersgereedschap aan. De crimineel hoeft niet meer zelf van de hoed en de rand te weten, tegenwoordig bestelt hij ‘cybercrime as a service’.

Op Darknet wordt wat afgechat, iedereen maakt elkaar wijzer. Dat gaat als volgt, illustreert de hoofdofficier: 

“Hé, ik wil de klanten van bank X oplichten.” 

“O ja? Stuur eens een foto van hun website.” 

“Ik kan wel een panel bouwen voor een phishingactie.” 

“Hoi, ik beschik over een paar maillijsten voor zo’n aanval” 

“En dan weet ik nog wel een paar geldezels.” 

De ‘community’ van cybercriminelen is innovatief, groot en wereldwijd actief. Het OM moet optreden tegen individuele ‘Slick- Ricks’, maar voor Michiel Zwinkels is duidelijk “dat we niet meer traditioneel naar die criminaliteit moeten kijken”. Cybercrime schreeuwt om een bredere aanpak. Via publiek-private samenwerking moet het fenomeen worden bestreden en barrières worden opgeworpen. “Zoals via de ‘book of crime’-methode,” zegt Zwinkels. “Dan schrijf je volledig uit welke stappen criminelen allemaal moeten zetten voor een geslaagde aanval met ransomware. Als je dat alles helder hebt, kun je gericht barrières opwerpen. Nederland ís daar al goed in. Denk aan het offline halen van illegale online marktplaatsen, het uit de lucht halen van botnets, en verstoren van criminele VPN-diensten. Ook het taboe van slachtofferschap moeten we doorbreken. Burgers en bedrijven melden niet alles, doen amper aangifte en betalen nog te vaak losgeld. Zo houden ze het criminele verdienmodel in stand.”

Reacties Kamerleden

De Kamerleden luisteren geïnteresseerd. “Ontbreekt het aan goede wetgeving?”, wil Barbara Kathmann (PvdA) weten. Deels wel, antwoordt de hoofdofficier. “Zo is altijd van belang dat duidelijk is geregeld wat mag bij het delen van informatie. Verder is van belang dat regelgeving Européés is. Zoals bij het wegsluizen van cryptogeld. Wij zijn overigens niet tegen cryptocurrencies, maar wel voor een goed toezicht erop.”

“Wat is dan de rol van de banken?”, vraagt Michiel van Nispen (SP). Zwinkels: “Cybercriminaliteit draait vrijwel altijd om geld, daarom werken we samen met banken aan traceerbaarheid van betalingen. Er is een zekere spanning tussen gebruikersgemak en goede cybersecurity, maar ik moet wel zeggen dat de samenwerking met de banken hier goed is.”

“Welke mensen heb je nodig om slagkracht te krijgen?”, informeert Ingrid Michon (VVD). Zwinkels: “Allereerst: het strafrecht is niet dé oplossing, maar levert wel een bijdrage aan die oplossing. Dat vraagt om een verbreding van het profiel van onze mensen. Niet iedereen hoeft cyberofficier te worden. Wel moeten officieren van justitie en rechters cyberzaken begrijpen en juridisch kunnen ‘vertalen’. In de publiek-private samenwerking moeten we de benodigde kennis binnenhalen.”

Security kan niet zonder strafrecht, besluit Zwinkels. “Het kan niet zo zijn dat als je maar door de mazen van de cybersecurity bent geglipt, je strafrechtelijk niets meer te vrezen hebt. Ook in de strafrechtketen moet fors worden geïnvesteerd.”

Politie

Ook de politie doet al een tijd aan expertiseopbouw tegen cybercrime, zegt Theo van der Plas, programmadirecteur Digitalisering en Cybercrime bij de politie. Dat begon bij het landelijke Team High Tech Crime. Later kwamen er teams op regioniveaus. “En voor de komende tijd werken we aan voldoende kennis van cybercrime in de basisteams.”

Zoals niet elke politieman een cyberwonder hoeft te zijn, hoeft ook niet elke te werven cyberspecialist eerst een compléte politieopleiding te volgen. Er is behoefte aan data scientists die snel kunnen beginnen bij de politie. De politie moet breed actief kunnen zijn, zegt Van der Plas. Ze moet de balans bewaken tussen veiligheid en privacy. Ze moet verdachten kunnen aanhouden en ook doen aan preventie, verstoren en waarschuwen. Bijvoorbeeld via ‘stopgesprekken’ die een wijkagent voert om ‘first offenders’ te weerhouden een digitaal delict te plegen.

De politie moet innovatief zijn en haar kennis verbreden, versnellen en verdiepen. Ze moet inderdaad niet geïsoleerd naar het misdrijf kijken, bevestigt Van der Plas de woorden van Zwinkels. “Steeds meer burgers en bedrijven worden slachtoffer. Wie zijn dan die daders, de netwerken en wat is hun werkwijze. En welke ‘patronen’ ondergaan slachtoffers? Kunnen we met de kennis daarvan, herhaald slachtofferschap voorkomen?”

Rechtspraak

De Rechtspraak voelt dezelfde vraag als andere ketenpartners. In hoeverre moet je specialiseren? De gespecialiseerde Haagse Cyberkamer – de enige binnen de Rechtspraak in Nederland – ziet relatief veel cybercrimezaken, zegt Cyberkamer-raadsheer Jan-Willem van den Hurk. Maar voor de Rechtspraak als geheel komt het aantal nauwelijks boven de tweehonderdvijftig per jaar uit. “Soms zie je bij afzonderlijke rechtbanken cyber-clusters en soms is de houding dat elke rechter het moet kunnen.” Van den Hurk is voorstander van specialisatie. “Want cyberzaken worden zowel op technisch als op juridisch gebied als moeilijk ervaren en kennen bovendien veel variatie. Daarbij is er sprake van jonge wetgeving en moet je vaak pionieren. Dat pleit voor specialisatie.”  

Tegen het middaguur sluit procureur-generaal Gerrit van der Burg het kijkje in de keuken voor Kamerleden af. Het moet niet bij een kijkje blijven, blijkt uit zijn woorden. “We kunnen dit niet als passieve toeschouwer zien en laten gebeuren. Daarvoor is de economische en maatschappelijke schade te groot. We kunnen niet constateren dat een ontwikkeling leidt tot een bedreiging van de nationale veiligheid, zonder hiertegen maatregelen te nemen.”

Er moet veel gebeuren, zegt de PG. De weerbaarheid van burgers en bedrijven moet omhoog. “Maar preventie en tegenhouden is niet genoeg. Opsporing, vervolging en berechting van cybercriminelen moet worden geïntensiveerd.”