Tekst Pieter Vermaas
Foto Loes Spruijt-van der Meer
In hun Cyberweek steekt parket Amsterdam van alles op
Cybercriminaliteit wordt niet meer alleen door nerds gepleegd. Dus moet et opsporen en vervolgen ervan ook geen aparte tak van sport zijn. Het hele Amsterdamse parket werd bijgeschoold tijdens de Cyberweek. “OM’ers gaan al wat steviger in hun schoenen staan.”
“Laat deze zaak een boodschap zijn aan dit soort hackers: je kunt misschien slim zijn, veel data binnen halen en veel geld verdienen, je kunt heel voorzichtig zijn en je sporen verbergen. Maar iedereen maakt ergens een fout. En de opsporing zal zijn best doen die fout te vinden. Het kan kort duren, het kan lang duren, maar elke dag kan de dag zijn dat de politie aan je deur komt, dat je wordt aangehouden en dat je je uiteindelijk moet verantwoorden bij de rechter.”
Zelfbewust requireerden Amsterdamse zaaksofficieren in oktober 2023 in de rechtszaal, als finale van strafrechtelijk onderzoek Kandaman. Daarmee gaven ze een boodschap af die hun zaak oversteeg: Is het OM kansloos tegen online opererende, onzichtbare en onaanraakbare cybercriminelen? Mooi niet!
In onderzoek-Kandaman kreeg het Amsterdamse OM een 21-jarige jongeman veroordeeld die zich vanuit een appartement in Zandvoort bezondigde aan computervredebreuk, verspreiden van ransomware, afdreiging, afpersing, heling van niet-openbare persoonsgegevens en witwassen. De zaak was gestart na aangiftes van gehackte bedrijven die hun gestolen gegevens konden terugkrijgen door diep in de buidel te tasten voor de cybercrimineel. Betaalden ze niet? Dan zette de crimineel op een forum zijn gestolen gegevens te koop. En soms werden de gegevens tegelijk met de afdreiging te koop gezet om de druk op te voeren. Als slachtoffers wel betaalden, werden gegevens achteraf soms alsnog te koop gezet.
Na een lang onderzoek wist het rechercheteam de identiteit van de op het forum postende verdachte te achterhalen uit de ruwe data van een opgespoorde server in Duitsland. Vervolgens plaatste het team een telefoon- en IP-tap, zette het een observatieteam in, drong het heimelijk een smartphone van een medeverdachte binnen, wist het team de toetsaanslagen op de desktopcomputer van de 21-jarige verdachte af te vangen, en nam het heimelijk het geluid op in de computerkamer van de verdachte zodat aan de opgevangen toetsaanslagen te horen was wanneer de verdachte actief was. Met die informatie wist het team de verdachte aan te houden op het moment dat hij achter zijn ontsleutelde computer aan het werk was. Zo kreeg het team toegang tot servers met daarop databases met miljoenen gestolen persoonsgegevens en toegang tot tonnen aan wederrechtelijk verkregen cryptovaluta.
De zaak leidde uiteindelijk tot een veroordeling van vier jaar celstraf waarvan een jaar voorwaardelijk.
Tijdens de eind november gehouden Cyberweek op parket Amsterdam geven cyberofficieren Maarten van der Vlught en Christel Nij Bijvanck presentaties over de cyber-onderzoeken van hun parket, waaronder de zaak Kandaman. Die presentaties moeten het voor alle Amsterdamse OM’ers duidelijk maken: samen met de politie kán het OM complexe cyberzaken tot een goed einde brengen. En als het dáár kan, kan het ook in kleinere zaken.
Omslag
Niet dat alles in cyberland al hosanna is. Lang niet alle aangiftes van gedigitaliseerde criminaliteit monden uit in afgeronde strafdossiers met verdachten, blijkt in de cursus ‘Cyber101’ die Sule Kara en Tarik Abd el Wareth diezelfde ochtend op het parket geven. Kara is coördinerend onderzoeksjurist van het cluster digitale criminaliteit; Abd el Wareth is binnen het team Persoonsgerichte Aanpak (PGA) onderzoekssecretaris én taakaccenthouder cybercrime.
Maar somber, dat is de toon tijdens de Cyberweek allerminst. Hun parket is juist bezig met een omslag, stellen Kara en Abd el Wareth. “Weliswaar maakt cybercrime en gedigitaliseerde criminaliteit juristen die gebaande paden willen volgen wat nerveus,” zegt Sule Kara, “want ze moeten het bij cybercrime doen met nieuwe wetsartikelen, kwalificaties en tenlasteleggingen, terwijl er nog amper jurisprudentie is.”
“Met name de wat oudere OM’ers,” vult Tarik Abd el Wareth aan, “zeggen het lastig te vinden om mee te gaan met de digitale ontwikkeling. Gelukkig merk ik dat juist zij nu degenen zijn die positief reageren op deze cyberweek. Hun angst verdwijnt en ze lijken al wat steviger in hun schoenen te staan.”
Tenlastelegging
Tijdens de cursus presenteert het duo voorbeelden van cybercrime en gedigitaliseerde criminaliteit. Cybercrime (zoals hacking, phishing, Ddos-aanvalen, defacing en ransomware) is criminaliteit waarbij een geautomatiseerd werk het doel is. Gedigitaliseerde criminaliteit (zoals vriend-in-noodfraude, marktplaatsoplichting en sextortion) is criminaliteit waarbij een geautomatiseerd werk het middel is. In de praktijk, zeggen Kara en Abd el Wareth, kan ook van beide sprake zijn. “Zo is bij phishing het hacken van bankrekeningen cybercrime, maar de diefstal van het geld is gedigitaliseerde criminaliteit.”
Met een muisklik verschijnt op het scherm achter het duo de casus ‘Bankhelpdeskfraude’:
Meneer Jansen wordt gebeld door een crimineel die zich voordoet als vriendelijke bankmedewerker die meneer Jansen vertelt dat er cybercrime was gepleegd met zijn rekening. De crimineel laat meneer Jansen een programma downloaden waarna de crimineel even later kan meekijken. Zo kan de crimineel bankgegevens van meneer Jansen overnemen en hem geld afhandig maken.
“Wat zijn hier de strafbare feiten?” vragen Sule Kara en Tarek Abd el Wareth. Even later geven zij het antwoord. “Bellen onder valse hoedanigheid (artikel 326 Sr). Toegang verkrijgen tot de server van de bank, hacken dus (artikel 138ab Sr). Het geld wegsluizen (artikel 311 Sr). Het geld laten verdwijnen, dus witwassen (artikel 420bis Sr). Het via valsheid met een leadslijst en een belscript ontfutselen van gegevens van het slachtoffer (artikel 234 Sr).”
Zet vooral de juiste strafbare feiten op je tenlastelegging en doe dat correct, is het advies van de twee. “In het verleden is weleens ‘computervredebreuk op een emailaccount’ van een persoon ten laste gelegd,” zegt Sule Kara. “Dat klopt niet en dat leidt onverbiddelijk tot vrijspraak. Bij computervredebreuk moet het altijd gaan om een geautomatiseerd werk waarop wordt binnengedrongen, een apparáát dus.”
Tarik Abd el Wareth geeft nog een voorbeeld. “Op een tenlastelegging stond ooit dat er was ingebroken op een bank-app, maar er had moeten staan: ingebroken op een bank-app die draait op een server van ING.”
Zet voldoende feiten op de tenlastelegging, adviseren ze. “Bij phishing is sprake van oplichting, computervredebreuk en witwassen. Vaak wordt het witwassen vergeten of niet belangrijk genoeg geacht. OM’ers kunnen redeneren: ‘Ik heb nu al zoveel feiten op de tenlastelegging staan. Dan zet ik daar niet ook nog eens die computervredebreuk waar ik nog helemaal geen ervaring mee heb, bij.’ Maar juist die computervredebreuk maakt dat het niet gedigitaliseerde criminaliteit betreft, maar het ernstigere cybercrime. Dus voeg waar mogelijk óók een cybercrimefeit en witwassen toe, dan maak je een mooi plaatje van de crimineel.”
Naast een goede juridische kwalificatie, zeggen de twee na afloop van de cursus, is het ook van belang om bij strafbare feiten de goede ‘maatschappelijke classificatie’ te registreren. Sule Kara: “Daarmee krijg je een duidelijk beeld van de fenomenen, en het heeft ook gevolgen voor wat er in de justitiële documentatie van een veroordeelde terechtkomt.” “Goed labelen is belangrijk,” beaamt Tarik Abd el Wareth die woorden. “Er zijn nu plannen om ‘cyber’ ook op te nemen in de instroomcriteria voor de Top600 waar ons Team PGA veel mee werkt. Maar dan moet wél dat cyberlabeltje erop zijn gezet,anders kan iemand niet instromen.”
OMVANG, DELICTEN, SLACHTOFFERS
Aankoopfraude en hacken maken de meeste slachtoffers onder Nederlanders van 15 jaar en ouder (resp. 5,6% en 4,6%). Voor aankoopfraude zijn dat 826.000 mensen, voor hacken komt dat neer op 678.000 mensen.
Vrouwen en mannen worden even vaak slachtoffer van online criminaliteit. Jongeren worden naar verhouding het meest slachtoffer van online criminaliteit, ouderen het minst. Jongeren worden vaker slachtoffer van online bedreiging en intimidatie en hacken, terwijl ouderen vaker slachtoffer worden van verschillende vormen van phishing.
Grote bedrijven worden naar verhouding het meest getroffen door ransomware. Vier procent van die bedrijven met meer dan 250 werknemers werd in 2021 doelwit van deze gijzelsoftware.
Slachtoffers van online criminaliteit geven aan meer emotionele of psychische problemen dan financiële problemen te ervaren van cybercrime: ze verliezen hun vertrouwen en voelen zich onveiliger.
Lucratief
Cybercriminelen zijn niet meer louter de nerds op zolderkamers, zegt Tarik Abd el Wareth. “Ook de straatcrimineel houdt zich ermee bezig. Omdat het lucratief is. Dus moeten we binnen het OM ook niet alleen de nerds op dit werk zetten, iedereen moet dit kunnen. Ook buiten het OM. De afpakcijfers van ons Team PGA zijn redelijk laag zijn, terwijl we weten dat veel jongens zich bezighouden met phishing, en het gestolen geld in cryptovaluta pompen. Maar ik merk dat de recherche zelden onderzoekt of er op de telefoons van die jongeren crypto-apps staan. Daar valt best veel te winnen.”
“Cyber doen we allemaal,” is de boodschap van Sule Kara. “Iedereen moet de basis beheersen, daar dragen we graag aan bij. Maar het is natuurlijk wel mooi dat ons parket ook in die complexe Kandaman-zaak succes boekte. Dat geeft de uitstraling dat we dat ook aankunnen.” Iedereen heeft iets aan kennis over online criminaliteit. Teamleiders, officieren, maar ook administratief medewerkers die bijzondere opsporingsaanvragen behandelen. Daarom was het aanbod van presentaties breed. Van een laagdrempelig, maar intens verhaal van een slachtoffer tot een presentatie over crypto-valuta. Voor ieder wat wils. Dat hoofdofficier René de Beukelaer de Cyberweek, die gelardeerd werd met een pubquiz en afsluitende borrel, opende onderstreepte het belang dat het parket eraan hecht.
Amsterdam, en ook Rotterdam, hebben de toon gezet voor de rest van de parketten die in 2024 inspiratiedagen voor alle medewerkers organiseren.
Grabbelton
Ook in de complexe zaken is er veel te winnen, stellen officieren Van der Vlught en Nij Bijvanck. Hun informatiepositie is nog niet goed genoeg, vinden ze. “We hebben soms het gevoel dat we bij de keuze van onderzoeken grabbelen in een ton zonder te weten wie de grote spelers zijn. Het onderzoek-Kandaman is zonder meer een zaak van de buitencategorie, maar of de verdachte ook een buitencategorie cybercrimineel is? We weten het niet precies.”
Van der Vlught en Nij Bijvanck onderschrijven de boodschap van Kara en Abd el Wareth: alle OM’ers moeten de cyberbasis beheersen. Ze gebruiken een wielermetafoor: cyber-OM’ers rijden voorop in het OM-peloton om het gaatje naar de vluchters, de cybercriminelen, te verkleinen; maar het hele peloton moet mee. Zij beschouwen zichzelf ook niet als een select groepje OM-nerds die als enigen het digitale abracadabra beheersen. “Nee, het draaien van cybercrime-onderzoeken is niets meer dan gewoon je werk doen,” zegt Van der Vlught. “Cybercrimezaken ga je dus te lijf op de gebruikelijke manier: gewoon met strafvordering.”
Daarbij moet je als officier goed luisteren naar technisch vaardige rechercheurs, zegt Nij Bijvanck. “Probeer echt te begrijpen wat er gebeurt. Start niet rücksichtslos je onderzoek, maar achterhaal hoe de criminelen werken. Die rechercheurs weten vaak wél waar je de benodigde informatie kunt achterhalen.”
Betalen
Opsporing en vervolging moeten nog stappen zetten, zeggen de twee officieren. Vaak moet er gepionierd worden, en er zullen ook dingen mislukken. Accepteer dat, zegt Van der Vlught. “Veeg de scherven bij elkaar – en dóór. Samen val je en samen moet je weer opstaan.”
Daarbij begrijpen ze dat bedrijven die met ransomware worden afgeperst, er soms voor kiezen te betalen. Maar als uitgangspunt luidt hun devies: doe het niet. Van der Vlught en Bijvanck: “Door te betalen financier je criminelen om volgende slachtoffers gaan maken. Er is geen garantie dat de criminelen die zeggen ‘Als je betaalt, komt het weer goed’, hun woord houden. Zij hebben juist weinig ethisch besef en redeneren: wie uit angst betaalt, doet dat een tweede keer ook nog wel. Criminelen die over jouw databestanden beschikken, kunnen die nog steeds aan anderen verkopen, en we zien ook dat dat gebeurt.”
In de wet staan op het stelen van gegévens lagere straffen dan op het stelen van goederen. Van der Vlught: “Je kunt je afvragen of dat nog van deze tijd is. Want een fysieke inbraak is één fysieke inbraak, maar met een hack kun je één of honderd miljoen slachtoffers maken.” Nij Bijvanck: “Het lijkt dan alsof de ernst van cybercrime wordt miskend. Wie goed geïnformeerd is, weet dat er een hele wereld van cybercrime is waarin van alles verhandeld wordt.”
De twee officieren tonen goede zin om de aanpak van cybercrime naar een hoger plan te brengen. Hun wens is dat steeds meer collega’s dat werk mooi gaan vinden. Nij Bijvanck: “Ik vind het in elk geval heel interessant, want in dit werk zijn mijn oogkleppen nog meer afgegaan: digitale criminaliteit is in veel gevallen nog veel heftiger dan fysieke criminaliteit.”
Van der Vlught: “Of ik het zelf leuk werk vind? Razend leuk!”