De samenleving heeft zich in een tijdsbestek van twee à drie decennia in een rap tempo gedigitaliseerd. Zo zijn computers en de computertechnologie niet meer weg te denken uit onze huidige samenleving en levert het veel voordelen op. Dit heeft echter ook een keerzijde, want door de opkomst van deze “computertechnologie” zijn er ook nieuwe vormen van criminaliteit ontstaan waarbij het gebruik van geautomatiseerde werken en netwerken een aanzienlijke rol speelt. Dit heeft zowel gevolgen gehad voor de wetgeving als voor het optreden van de politie. Wat is nu de juiste aanpak voor deze nieuwe vormen van (computer)criminaliteit?
Door Fay van Zoggel
Allereerst is het van belang om te weten wat er precies wordt verstaan onder “computercriminaliteit”. Het gaat hierbij om het plegen van strafbare feiten met behulp van dan wel gericht op een geautomatiseerd werk.[1] Met andere woorden: een misdaad gepleegd met ICT dan wel gericht op ICT. Tegenwoordig worden veel mensen slachtoffer van computercriminaliteit, omdat zij onbewust grote hoeveelheden (gevoelige) informatie delen op het internet. Deze informatie is aantrekkelijk voor internetcriminelen, omdat het gebruikt kan worden voor verschillende fenomenen van computercriminaliteit. Te denken valt aan cryptofraude, grooming en ransomware.
Phishing
Een veelvoorkomend en bekend fenomeen is “phishing”. Het betekent letterlijk: Het vissen of hengelen naar inloggegevens en persoonsgegevens van (potentiële) slachtoffers. Echter, er komt veel meer bij kijken dan alleen dat. Phishing bestaat namelijk uit drie organisatorische lagen:
- De cybercrimine(e)l(en): de mensen die met hun computer strafbare feiten plegen.
- De ronselaar/facilitators/developers: degenen die alles rondom de phishing-actie regelen om het te kunnen laten slagen, zoals het ronselen van money-mules.
- Money-mules/katvangers/cashers/hengelaars: mensen die zijn geronseld en zich beschikbaar stellen om bijvoorbeeld hun bankrekening te laten gebruiken, goederen te laten bezorgen op hun adres, het buitgemaakte geld te pinnen en mensen die opgestuurde bankpassen uit de brievenbus “hengelen”.
Deze gelaagdheid zorgt ervoor dat de cybercrimineel zich zo goed mogelijk kan anonimiseren en dat de phishing-actie tot stand kan komen.[2] Tevens dient er informatie en kennis te worden verzameld over hoe een phishing-actie tot stand komt. Bovendien moet de internetcrimineel voorzien zijn van een aantal benodigdheden, zoals een computer, telefoon, internetverbinding, een mailserver en een nagebootste website van een betrouwbare instantie. Zodra alles is geïnstalleerd, kan de daadwerkelijke phishing-actie starten. Daarbij verzendt de cybercrimineel massaal e-mailberichten naar zijn potentiële slachtoffers met als doel om de gebruikers te verleiden om de vervalste website te bezoeken.
Zodra de gebruikers op de link hebben geklikt en hun gevoelige gegevens hebben ingevoerd, beschikt de cybercrimineel over deze gegevens.[3] Vervolgens kan hij binnendringen in de bankomgeving van zijn slachtoffers, waarbij er wordt gekeken of het slachtoffer nog andere rekeningen heeft waar gelden op staan en om eventueel de limieten te verhogen zodat er meer geld kan worden buitgemaakt. Vervolgens wordt dit buitgemaakte geld witgewassen. Meestal wordt het geld doorgesluisd naar rekeningen van zogenaamde money-mules.[4] Vervolgens kan de casher het geld opnemen bij een geldautomaat tegen een kleine vergoeding. Een andere manier om het geld wit te wassen is om bitcoins, waardekaarten en online luxegoederen te bestellen. Hieruit kan worden geconcludeerd dat de cybercrimineel vaak gebruikmaakt van en samenwerkt met andere mensen van de verschillende “lagen” die hierboven zijn genoemd.
Juridische benadering
Hierboven is kort uiteengezet wat de cybercrimineel nodig heeft bij een phishing-actie en hoe hij feitelijk te werk kan gaan. Daaruit blijkt dat de juridische benadering van phishing niet uit één strafbaar feit kan bestaan. Het bestaat zowel uit cybercrime delicten als klassieke delicten gepleegd door verschillende daders. Om welke delicten het gaat hangt af van de werkwijze, maar bij phishing is in beginsel altijd sprake van computervredebreuk in de zin van art. 138ab Sr. Het doel van de cybercrimineel is er namelijk op gericht om inloggegevens van slachtoffers te bemachtigen om zich vervolgens wederrechtelijk toegang te verschaffen tot de bankomgeving van het slachtoffer om vanuit daar bijvoorbeeld geld over te sluizen naar bankrekeningen van money-mules. Phishing in zijn geheel is dus in beginsel cybercrime in enge zin, maar de individuele gedragingen van verschillende subjecten die nodig zijn om de phishing-actie te laten slagen, hoeven dat niet te zijn. Denk bijvoorbeeld aan identiteitsfraude, oplichting en witwassen. Deze mix van cybercrime en klassieke delicten gepleegd door verschillende subjecten maakt de opsporing en vervolging vaak complex. Niettemin zijn de voornaamste juridische benaderingen die onder het fenomeen vallen misdrijven in de zin van art. 67 lid 1 Sv. Hierdoor zijn opsporingsambtenaren gerechtigd om bepaalde bevoegdheden in te zetten.
Opsporingsbevoegdheden
Zoals aangegeven bestaat phishing uit verschillende processtappen en delictsbepalingen. Bij elke stap worden er (digitale) sporen achtergelaten die van belang kunnen zijn bij de opsporing van money-mule tot cybercrimineel. Het opsporingsproces naar computergerichte en computer gerelateerde criminaliteit ziet er anders uit dan het klassieke opsporingsproces in de fysieke wereld.[5]
Bij het opsporen van money-mules, ronselaars en cybercriminelen, die de phishing-actie tot stand brengen, speelt voornamelijk de vluchtigheid van digitale gegevens een rol. Dat houdt in dat sommige digitale sporen verdwijnen door tijdsverloop. Een voorbeeld hiervan zijn camerabeelden bij pinautomaten die na vier weken automatisch worden verwijderd. Bij phishing komt het regelmatig voor dat het buitgemaakte geld wordt gepind door iemand die het vervolgens afgeeft aan de ronselaar of cybercrimineel. De beelden zijn daarom van groot belang in het opsporingsonderzoek, omdat ze kunnen leiden tot de identificatie van een verdachte. Die verdachte kan tevens als aanknopingspunt dienen voor nadere informatie over de ronselaar en misschien wel de cybercrimineel. Andere digitale sporen zijn bijvoorbeeld logbestanden van IP-adressen bij een bank of internetprovider, e-mailberichten, WhatsApp-berichten en GPS-locaties. Digitale sporen zijn te vinden op veel verschillende apparaten, systemen, netwerken en soms ook in enorme hoeveelheden.[6] Bovendien kan de verdachte op afstand sommige digitale sporen (permanent) verwijderen. Dit laat zien dat het verzamelen van (vluchtige) data gewenst is en van belang is bij phishing. Daarnaast is het vorderen van gegevens (die niet per se als vluchtig worden beschouwd) sowieso noodzakelijk om tot nadere opsporingsindicaties te komen in een phishing-zaak.
Om bewijs voor phishing te vergaren mag een opsporingsambtenaar echter niet zomaar handelingen verrichten, dit met het oog op het strafvorderlijk legaliteitsbeginsel. In art. 1 Sv staat namelijk: “Strafvordering heeft alleen plaats op de wijze bij de wet voorzien.”
Dit houdt in dat er een grondslag in de wet voorhanden moet zijn voor bewijsvergaringsactiviteiten van opsporingsambtenaren.[7] De grondslag in de wet volstaat in beginsel met art. 3 Politiewet (Polw) jo. art. 141–142 Sv. In art. 3 Polw staat dat de politie de taak heeft in ondergeschiktheid aan het bevoegd gezag en in overeenstemming met de geldende rechtsregels de rechtsorde daadwerkelijk te handhaven en hulp te verlenen aan hen die deze behoeven. Onder de ‘daadwerkelijke handhaving van de rechtsorde’ valt ook het opsporingsonderzoek. In art. 141-142 Sv staat wie er belast zijn met de opsporing van strafbare feiten. Daaronder vallen eveneens politieambtenaren en de officier van justitie.
Echter, voor het vorderen van gegevens is er een andere wettelijke voorziening vereist. Die is te vinden in Titel IVa, afdeling 8 Wetboek van Strafvordering (Wet BOB). De opsporingsbevoegdheden die van belang zijn om (vluchtige) gegevens veilig te stellen en informatie te verzamelen om tot nadere opsporingsindicaties te komen zijn onder andere vorderingen omtrent camerabeelden, identificerende gegevens (art. 126nc Sv), gebruiker-gegevens (art. 126na Sv), verkeersgegevens (art. 126n Sv), historische en toekomstige gegevens (art. 126nd Sv) en de vangnetbepaling (art. 126ng Sv) die geen betrekking mag hebben op communicatie-inhoudelijke gegevens.
Oplossing
De juiste aanpak is dan ook om zo snel mogelijk vluchtige data te verzamelen. De wet biedt hiertoe mogelijkheden voor opsporingsambtenaren, maar ook het slachtoffer kan een bijdrage leveren aan een snellere bewijsvergaring door zelf al (vluchtige) data veilig te stellen. Te denken valt aan de “valse” e-mailberichten, de afzenders van die e-mailberichten, de link van de malafide website, bankafschriften waarop het begunstigd bankrekeningnummer en de te naam gestelde van het begunstigde bankrekeningnummer staat en bovendien zo snel mogelijk aangifte doen.
Heb je een 7,5 of hoger behaald voor je masterscriptie of een scriptieprijs gewonnen en wil je je werk ook gieten in een gastartikel voor Het Rechtenstudentje? Mail dan naar redactie@hetrechtenstudentje.nl!
Fay van Zoggel haalde een 8.1 voor haar bachelorscriptie ‘Van Money Mule naar Cybercrimineel’ aan Juridische Hogeschool Avans & Fontys. Dit artikel betreft een ingekorte versie. In september 2020 zal ze beginnen aan de premaster Rechtsgeleerdheid aan Tilburg University.
VOETNOTEN
[1] Kamerstukken II 2015/16, 34372 nr. 3, p. 6.
[2] Cybercrime, november 2014, opsporingverzocht.avrotros.nl.
[3] Ir. Ing. J.J.C. Steevens RE, ‘Fraudepreventie tegen Phishing en Pharming’, compact.nl
[4] Iemand die tegen een kleine vergoeding zijn of haar bankpas en pincode afstaat, waarna het buitgemaakte geld op hun betaalrekening wordt overgeboekt.
[5] B.J. Koops & J.J. Oerlemans, Strafrecht en ICT, Den Haag: Sdu Uitgevers bv, derde druk, 2019, p. 117.
[6] ‘Digitale technologie (Forensische)’, forensischinstituut.nl.
[7] B.J. Koops & J.J. Oerlemans, Strafrecht en ICT, Den Haag: Sdu Uitgevers bv, derde druk, 2019, p. 119.