Verkenning Cybercrime in Nederland 2009
E.R. Leukfeldt M.M.L. Domenie W.Ph. Stol
September 2009
Verkenning Cybercrime in Nederland 2009
NHL Hogeschool, Lectoraat Cybersafety Open Universiteit, Politiestudies CyREN – Cybersafety Research and Education Network (www.cybersafety.nl)
Voorwoord Criminaliteitsbestrijding vereist kennis over aard en omvang van de criminaliteit. Dat geldt ook voor de bestrijding van cybercrime. Bij herhaling wordt echter geconstateerd, ook door politie en justitie zelf, dat politie en justitie de ontwikkelingen op dat vlak maar moeizaam kunnen bijbenen. Er is sprake van een (aanzienlijk) kennistekort. De Dienst Nationale Recherche (DNR) van het Korps La ndelijke Politiediensten (KLPD) nam daarom het initiatief tot dit onderzoek. Deze Verkenning Cybercrime in Nederland 2009 (VCN2009) moet bijdragen aan het kennisniveau van politie en justitie. Het onderzoek biedt nieuwe inzichten. Nog niet eerder werden op grote schaal politiedossiers inzake cybercrime geanalyseerd. Maar met dit onderzoek is het laatste woord niet gezegd, het onderzoek is verkennend van aard en gaat over vijf verschillende cybercrimes. Er zal meer onderzoek nodig zijn om zicht te krijgen op de omvang van de verschillende cybercrimes (slachtofferenquêtes met name) en om de ins en outs van de verschillende cybercrimes beter te doorgronden (verdiepende studies). Een onderzoek als dit kan alleen tot stand komen dankzij de medewerking van velen. Om te beginnen bedanken we de medewerkers van het korps Friesland voor de gastvrijheid en medewerking tijdens het onderzoek. In het bijzonder denken we hierbij aan Roel Bijlsma (Groepschef Team Informatie), Faranak Afshari Naderi en Willem Kemper, beiden werkzaam bij de infodesk in Friesland. Daarnaast bedanken we Leen Prins en Richard Beijersbergen van Henegouwen, beiden werkzaam als adviseur expertise bij de Dienst Internationale Politie Informatie (IPOL) van het KLPD en bedanken we de medewerkers van DNR van het KLPD, in het bijzonder Sander Huisman. Zij voorzagen onze teksten steeds van waardevol commentaar. Verder noemen we Jelmer de Jong, Dennis Lubbers, Klaas van der Pol, Pamela Rengers en Sander Veenstra die als student-assistenten hebben meegewerkt aan de analyse van de dossiers. Zonder hun inzet hadden we dit onderzoek niet kunnen voltooien. Ten slotte bedanken we Marika Toutenhoofd-Visser, onderzoeker aan het lectoraat Cybersafety van de NHL, voor haar bijdrage tijdens de opzet en start van dit onderzoek. We zijn hen allen dan ook zeer erkentelijk voor hun inzet. Leeswijzer Hoofdstuk één bevat de methodologische verantwoording. Tevens presenteren we op deze plaats de definitie van cybercrime die we in dit onderzoek hanteren. In hoofdstuk twee tot en met zes gaan we achtereenvolgens dieper in op de cybercrimes hacken, e- fraude, cyberafpersen, kinderporno en haatzaaien. De hoofdstukken zijn zo opgebouwd dat ze afzonderlijk van elkaar te lezen zijn. Wie bijvoorbeeld alleen iets wil lezen over e- fraude hoeft niet eerst het hoofdstuk over hacken te lezen. Hierdoor is het echter onoverkomelijk dat er dubbelingen in de hoofdstukken zitten. Zo behandelen we bijvoorbeeld in ieder hoofdstuk de selectieprocedure van de betreffende dossiers. In hoofdstuk zeven voegen we de uitkomsten uit de dossierstudie van de verschillende cybercrimes samen en schetsen we de verschillen, overeenkomsten en verbanden. Daarmee beantwoorden we de in het eerste hoofdstuk gestelde onderzoeksvragen. Hoofdstuk acht bevat de conclusies en aanbevelingen. Wie alleen van de strekking van het onderzoek op de hoogte wil raken, kan de samenvatting lezen. Wie (daarna) snel kennis wil nemen van de belangrijkste conclusies en aanbevelingen, raden we aan hoofdstuk zeven en acht als samenvatting te gebruiken. Voor wie zich juist verder in de materie wil verdiepen verwijzen we naar de bijlagen na het laatste hoofdstuk, waarin verschillende criminele technieken staan uitgewerkt. Rutger Leukfeldt Miranda Domenie Wouter Stol
i
Inhoud Voorwoord.................................................................................................................................. i Samenvatting ............................................................................................................................. 1 Summary ................................................................................................................................. 11 1. Inleiding en verantwoording ............................................................................................. 20 1.1 Aanleiding tot dit onderzoek .......................................................................................... 20 1.2 Onderwerp en doel van onderzoek ................................................................................. 20 1.3 Onderzoeksvragen.......................................................................................................... 21 1.4 Methodologische verantwoording .................................................................................. 22 2. Hacken................................................................................................................................. 30 2.1 Inleiding.......................................................................................................................... 30 2.2 Strafbaarstelling.............................................................................................................. 30 2.3 Verschijningsvormen: soorten hackers........................................................................... 36 2.4 Verbanden van hacken met andere crimes ..................................................................... 40 2.5 Daderkenmerken uit de literatuur ................................................................................... 46 2.6 Verdachtenkenmerken uit de dossierstudie .................................................................... 50 2.7 Slachtoffers van hacken.................................................................................................. 60 2.8 Omvang .......................................................................................................................... 64 2.9 Trends ............................................................................................................................. 66 2.10 Resumé ......................................................................................................................... 68 3. E-fraude ............................................................................................................................... 70 3.1 Inleiding.......................................................................................................................... 70 3.2 Strafbaarstelling.............................................................................................................. 71 3.3 Verschijningsvormen: soorten e-fraude ......................................................................... 74 3.4 Verbanden van e- fraude met andere crimes ................................................................... 75 3.5 Daderkenmerken uit de literatuur ................................................................................... 80 3.6 Verdachtenkenmerken uit de dossierstudie .................................................................... 85 3.7 Slachtoffers van e-fraude................................................................................................ 93 3.8 Omvang .......................................................................................................................... 96 3.9 Trends ............................................................................................................................. 98 3.10 Resumé ......................................................................................................................... 99 4. Cyberafpersen................................................................................................................... 102 4.1 Inleiding........................................................................................................................ 102 4.2 Strafbaarstelling............................................................................................................ 102 4.3 Verschijningsvormen cyberafpersen............................................................................ 104 4.4 Verbanden van cyberafpersen met andere crimes ........................................................ 105 4.5 Verdachtenkenmerken uit de dossierstudie .................................................................. 110 4.6 Slachtoffers van cyberafpersen..................................................................................... 113 4.7 Omvang ........................................................................................................................ 113 4.8 Trends ........................................................................................................................... 115 4.9 Resumé ......................................................................................................................... 116 5. Kinderporno ...................................................................................................................... 118 5.1 Inleiding........................................................................................................................ 118 5.2 Strafbaarstelling............................................................................................................ 118 5.3 Verspreidingsvormen ................................................................................................... 120 5.4 Verbanden van kinderporno met andere crimes ........................................................... 124 ii
5.5 Daderkenmerken uit de literatuur ................................................................................. 129 5.6 Verdachtenkenmerken uit de dossierstudie .................................................................. 132 5.7 Slachtoffers van kinderporno ....................................................................................... 142 5.8 Omvang ........................................................................................................................ 142 5.9 Trends ........................................................................................................................... 144 5.10 Resumé ....................................................................................................................... 145 6. Haatzaaien......................................................................................................................... 147 6.1 Inleiding........................................................................................................................ 147 6.2 Strafbaarstelling............................................................................................................ 149 6.3 Verspreidingsvormen ................................................................................................... 153 6.4 Verbanden..................................................................................................................... 155 6.5 Daderkenmerken uit de literatuur ................................................................................. 159 6.6 Verdachtenkenmerken uit de dossierstudie .................................................................. 162 6.7 Slachtoffers van haatzaaien.......................................................................................... 168 6.8 Omvang ........................................................................................................................ 168 6.9 Trends ........................................................................................................................... 170 6.10 Resumé ....................................................................................................................... 170 7. Cybercrime in Nederland: overeenkomsten en verschillen.......................................... 172 7.1 Inleiding........................................................................................................................ 172 7.2 De aard van cybercrime in Nederland (verbanden met andere delicten) ..................... 172 7.3 Verdachtenkenmerken uit de dossierstudie .................................................................. 179 7.4 Omvang ........................................................................................................................ 192 8. Conclusies en aanbevelingen ........................................................................................... 199 8.1 Conclusies..................................................................................................................... 199 8.2 Aanbevelingen.............................................................................................................. 207 Literatuur.............................................................................................................................. 210 Afkortingen........................................................................................................................... 221 Bijlage 1: Social engineering ................................................................................................ 223 Bijlage 2: Spoofing ................................................................................................................ 225 Bijlage 3: Botnet ................................................................................................................... 228 Bijlage 4: Distributed Denial of Service attacks ................................................................ 233 Bijlage 5: Defacing ................................................................................................................ 238 Bijlage 6: IFrame injectie .................................................................................................... 241 Bijlage 7: Cross site scripting .............................................................................................. 244 Bijlage 8: Spyware ................................................................................................................ 246 Bijlage 9: Phishing ................................................................................................................ 251 Bijlage 10: Analysekader dossierstudie .............................................................................. 263 Bijlage 11: Slachtofferenquête onder internettende Friezen............................................ 272
iii
Samenvatting Inleiding Dit onderzoek gaat over cybercrime. De Nederlandse overheid geeft aan de opsporing en bestrijding van cybercrime prioriteit en neemt verschillende juridische en organisatorische maatregelen. Het nemen van maatregelen vereist kennis over aard en omvang van de criminaliteit. Bij herhaling wordt echter geconstateerd, ook door politie en justitie zelf, dat politie en justitie de ontwikkelingen aangaande cybercrime maar moeizaam kunnen bijbenen. Er is sprake van een (aanzienlijk) kennistekort. De Dienst Nationale Recherche (DNR) van het Korps Landelijke Politiediensten (KLPD) nam daarom het initiatief tot dit onderzoek. Deze Verkenning Cybercrime in Nederland 2009 moet bijdragen aan het kennisniveau van politie en justitie. In dit onderzoek hanteren wij cybercrime als overkoepelend begrip voor alle vormen van criminaliteit waarbij ICT een wezenlijke rol speelt in de realisatie van het delict. Niet iedere vorm van cybercrime kan in dit onderzoek worden opgenomen, daarvoor is de lijst met cybercrimes te lang. De volgende vormen van cybercrime komen aan bod: hacken, e- fraude, cyberafpersen, kinderpornografie en haatzaaien. We selecteerden deze vijf omdat ze van alle cybercrimes de ernstigste maatschappelijke problemen zijn en (dus) de meeste aandacht krijgen van politie en justitie. Het onderzoek moet uiteindelijk bijdragen aan de bestrijding van cybercrime. Het dichterbij gelegen doel is het bieden van inzicht in de ernst van de voor de politie meest relevante verschijningsvormen van cybercrime. Om de ernst van een cybercrime te bepalen stelden we vier hoofdvragen op. (1) Wat is de aard van de cybercrimes? (2) Wat is er bekend over de daders? (3) Wat is de omvang van de cybercrimes? (4) Wat is de maatschappelijke impact van de cybercrimes? Methoden van onderzoek Om deze onderzoeksvragen te beantwoorden voerden we allereerst een internationale literatuurstudie uit, alsook een media-analyse, een webresearch en een documentenanalyse. Voor de literatuurstudie raadpleegden we mediatheken en zochten we naar boeken, artikelen, rapporten en andere relevante publicaties. De media-analyse omvatte een analyse van berichten over cybercrime in landelijke dagbladen uit Nederland in 2006 en 2007. Dit leverde niet alleen informatie over cybercrimes op, maar ook over bijvoorbeeld onderzoeksrapporten, politieacties en sleutelpersonen. De webresearch omvatte een zoektocht op internet naar informatie over cybercrime, onderzoeksrapporten en sleutelpersonen. De documentenanalyse hield in dat we beleids- en visiedocumenten omtrent de bestrijding van cybercrime doornamen. Het hoofddeel van het onderzoek bestond uit een analyse van politiedossiers. In totaal analyseerden we 665 dossiers, waaronder 139 hackendossiers, 314 e-fraudedossiers, 13 cyberafpersingdossiers, 159 kinderpornodossiers en 40 haatzaaidossiers. Hacken Hacken is het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk en is strafbaar gesteld in artikel 138a lid 1 van het Wetboek van Strafrecht (computervredebreuk). Aan hacken gerelateerde artikelen zijn het na het binnendringen overnemen, aftappen of opnemen van gegevens (art. 138a lid 2 Sr), het opzettelijk of door schuld veroorzaken van een stoornis in een systeem (resp. art. 161sexies Sr en 161 septies Sr), het opzettelijk of door schuld vernielen van gegevens (resp. art. 350a Sr en 350b Sr), het aftappen en/of opnemen van gegevens (art. 139c Sr) en het plaatsen van opname-, aftap- c.q. afluisterapparatuur (art. 139d Sr). In de literatuur worden hackers op verschillende manieren onderscheiden, onder meer op basis van verschillende primaire motivaties zoals verwerven van kennis, persoonlijke uit-
1
daging, macht en financieel gewin. Er is echter geen empirische onderbouwing voor de gehanteerde categorieën. Uit onze dossierstudie komt niet het beeld met allerlei verschillende categorieën hackers naar voren. Eerder dan duidelijke categorieën zien we een bont geze lschap, hoewel wel een paar hoofdlijnen zijn te noemen. Uit de politiedossiers blijkt dat hacken vooral een zaak is van in Nederland geboren mannen onder de 45 jaar. Zelden plegen zij hun delict in georganiseerd verband, in de ove rgrote meerderheid van de zaken is er niet meer dan één verdachte. Vaak ligt het hacken in de relationele sfeer; verdachte en slachtoffer zijn bijvoorbeeld ex-geliefden, jaloerse echtgenoten of schoolvrienden, maar het kan ook gaan om (gewezen) zakelijke relaties. De primaire motivatie van de verdachte is dan ook vaak wraak, maar ook zagen we andere drijfveren zoals nieuwsgierigheid en financieel gewin. De meeste verdachten uit de hackendossiers hebben geen antecedenten, hoewel ze wel significant meer antecedenten hebben dan de gemiddelde Nederla nder. Verdachten maken gebruik van verschillende criminele technieken. Alhoewel het in de meeste dossiers onduidelijk blijft welke technieken er precies gebruikt worden, houden ve rdachten in hackzaken zich in ieder geval bezig met het defacen van websites, het installeren van keyloggers, het maken van phishing websites en social engineering. Botnets, DDoSaanvallen, sniffing en spoofing komt zelden voor in de politiedossiers. Voor de opsporing wellicht de belangrijkste bevinding is dat in eenvijfde tot een kwart van de politiedossiers de hack gepleegd wordt va nuit het buitenland, zowel binnen als buiten Europa. Hacken is niet vaak een op zichzelf staand delict. Alles bijeen genomen toont hacken een verband met (1) cybercrime in enge zin (het kopiëren of vernielen van gegevens of het vernielen of verstoren van een computersysteem); (2) vermogenscriminaliteit (oplichting, fraude, diefstal, afpersing, verduistering); (3) interpersoonlijke conflicten (smaad, bedreiging, belediging, stalking, aanranding). Hacken is primair gericht op persoonlijke belangen (financieel voordeel of het beslechten van een conflict) en niet op maatschappelijke ontwrichting of algemene gevaarzetting. Het gaat veelal om redelijk alledaagse zaken, waarbij schijnbaar alledaagse mensen elkaar dwars zitten. Hacken is tot op zekere hoogte gedemocratiseerd: hacken is geen exclusief domein meer van wizzkids maar wordt ook bedreven door mensen die niet zo technisch zijn onderlegd. Over de absolute omvang van hacken valt niet veel met zekerheid te zeggen. Het maakt maar een zeer klein deel uit van de bij de politie geregistreerde criminaliteit. De resultaten uit een slachtofferonderzoek in Friesland, wijzen op een substantieel dark number. Uit de (internationale) literatuur over cybercrime en informatiebeveiliging blijkt dat vooral bedrijven geregeld slachtoffer zijn van (pogingen tot) binnendringen in computersystemen. Over slachtofferschap onder burgers is minder bekend. E-fraude Fraude staat niet onder die noemer in het Wetboek van Strafrecht; meestal is sprake van oplichting (art. 326 Sr) en/of valsheid in geschriftgeschrift (art. 225 Sr). E- fraude is bedrog met als oogmerk het behalen van financieel gewin waarbij ICT essentieel is voor de uitvoering. Verschijningsvormen van e- fraude die we in de literatuur tegenkwamen zijn: ha ndel in valse goederen, valse financiële transacties, waaronder veilingfraude en voorschotfraude, en marktmanipulatie. E- fraude kan gepleegd worden met of zonder identiteitsmisbruik. Ident iteitsmisbruik is het aannemen van een andere dan de eigen digitale identiteit, met het oogmerk daarmee oneigenlijk financieel voordeel te behalen. Aan identiteitsmisbruik gaat weer vooraf het maken van de valse identiteit. Dat kan door identiteitsdie fstal (het stelen van een identiteit van een bestaand persoon), identiteitscreatie (het creëren van een fictieve identiteit) en ident iteitsdelegatie (het overnemen van een identiteit van een bestaand persoon met diens toestemming). In de literatuur is de verwachting dat e-fraude met identiteitsmisbruik de komende ja-
2
ren grote aantallen slachtoffers zal maken en forse financiële schade zal aanric hten. Daarnaast wordt voorschotfraude als een concrete dreiging gezien. Uit de analyse van politiedossiers volgt op diverse onderdelen een ander beeld dan uit de literatuur. De meeste dossiers uit de dossierstudie gaan niet over voorschotfraude en ident iteitsdiefstal maar over oplichtingen via verkoopsites. E- fraude heeft in de regel geen verbanden met andere (cyber)crimes. Voor zover dat wel het geval is, zijn er verbanden met diefstal van identiteitsgegevens (vooral digitaal maar ook niet-digitaal) en soms ook met hacken. Deze delicten zijn dan een middel om te komen tot de e- fraude. E-fraudeurs werken in de meeste gevallen alleen en er is, op een enkel dossier na, geen sprake van georganiseerde criminaliteit. Financieel gewin is blijkens de dossiers het centrale motief. Het gaat bij e- fraude over het geheel genomen om vrij eenvoudige zaken: de dader plaatst een advertentie, maakt een website of verstrekt anderszins informatie die het slachtoffer moet verleiden tot het betalen voor bepaalde goederen of diensten – die vervolgens niet worden geleverd. Kortom, de meeste e- fraudes zijn geen technische hoogstandjes. Daders van e-fraude putten uit een vrij beperkt repertoire aan technieken. In bijna alle gevallen is sprake van social engineering. Enkele keren was sprake van phishing. Geregeld gaat het in de dossiers om e- fraude met identiteitsmisbruik. Hoewel in de literatuur nogal eens aandacht wordt gevraagd voor samenwerkende fraudebendes (Nigerian scam, skimming) is het gros van de fraudes die we in onze dossiers tegenkwamen het werk van vrij eenvoudig opererende oplichters. Dat e-fraudeurs zouden beschikken over bovengemiddelde technische inzichten en vaardigheden, zoals in de literatuur wordt beweerd, is ook niet bepaald iets wat uit ons onderzoek naar voren komt. Over de verdachten weten we dat zij meestal in Nederland zijn geboren, dat zij meestal opereren vanuit Nederland, dat het meestal gaat om mannen en dat de nadruk ligt op de leeftijdsgroep van 18-35 jaar. E-fraude is niet iets voor de leeftijdsgroep van 12-18 jaar en ook niet zozeer voor personen ouder dan 35. Kennelijk zijn personen in de leeftijd van 18-34 jaar optimaal uitgerust voor e- fraude: ze zijn oud genoeg om voldoende sociaal vaardig te zijn voor social engineering en jong genoeg om zich handig te kunnen bewegen in cyberspace. Verdachten zijn veel vaker dan gemiddeld werkloos, ze wonen daarentegen minder vaak dan gemiddeld in een eenpersoonshuishouden. Ze bevinden zich dus niet in een maatschappelijk isolement wat betreft hun woonsituatie, maar wel wat betreft hun arbeidspositie. Het ontbreken van een inkomen uit arbeid zou een (gedeeltelijke) verklaring kunnen zijn voor financieel gewin als hoofdmotief. Een analyse over justitiële antecedenten wijst er op dat verdachten van e- fraude ook andere delicten plegen en dus een breder crimineel repertoire hebben dan alleen fraude. Dat kan wellicht worden verklaard uit de bevinding dat de meeste verdachten man zijn en relatief jong – en dus behoren tot de groep van personen die relatief vaak delicten plegen. Fraude komt zo’n tien maal vaker voor in de politiedossiers dan hacken. We weten uit eigen onderzoek dat 2,2 procent van 1.246 ondervraagde Friezen slachtoffer was van e- fraude in de afgelopen twee jaar. Slechts één van de slachtoffers deed aangifte (3,6%). Dat wijst op een hoog dark number. Cyberafpersen Afpersen is het verkrijgen van wederrechtelijk voordeel door dreiging of geweld. We spreken van cyberafpersing indien ICT essentieel is voor de uitvoering van het delict. In de literatuur worden verschillende verschijningsvormen genoemd. (1) Dreiging: het dreigen met het pla tleggen van websites of netwerken. (2) Beschadiging en verstoring: het beschadigen van essentiële gegevens en het verstoren van industriële productiesystemen (3) Shaming: het publiekelijk maken van gevoelige informatie. (4) Protectie: het aanbieden van ‘bescherming’ tegen bijvoorbeeld DDoS-aanvallen. Deze vier kunnen in combinatie voorkomen.
3
In het Wetboek van Strafrecht is afpersing strafbaar gesteld in artikel 317 Sr (afpersing). Ook artikelen 318 Sr (afdreiging) en 285 Sr (bedreiging) kunnen van toepassing zijn. Er zal voor het uitvoeren van de criminele technieken veelal moeten worden ingebroken in computersystemen, strafbaar gesteld in artikel 138a Sr. Indien er opzettelijk dan wel door schuld een geautomatiseerd werk wordt vernield, zijn de artikelen 161sexies en 161septies Sr van toepassing. De artikelen 350a en 350b Sr zijn van toepassing indien er gegevens worden ve rnield. We vonden over de periode 2003-2007 slechts 13 dossiers over cyberafpersen. Voor zover we een verband met andere criminaliteit vonden, is cyberafpersing een vervolg op eerdere bedreigingen. Verdachten persen slachtoffers af door te dreigen met het openbaar maken van gevoelige informatie over het slachtoffer. De gevoelige informatie heeft vaak te maken met kinderpornografie. Slachtoffers hebben kinderporno op hun computer en worden daarmee afgeperst, of verdachten zetten minderjarige slachtoffers onder druk om naaktfoto’s van zichzelf op te sturen (en gebruiken die weer om het slachtoffer af te persen). Op verschillende momenten in de analyse zagen we een verband tussen cyberafpersen en delicten die verband houden met relaties en/of seksualiteit. Behalve de reeds genoemde kinderporno passeerden ook de revu: relatieproblemen, stalking en aanranding. Een en ander wekt de suggestie dat cyberafpersen verband houdt met zedendelinquentie dan wel zedendelinquenten. Het geringe aantal dossiers laat geen stellige conclusies toe, maar deze aanwijzing in de richting van een verband tussen jeugd, zedendelinquentie en afpersing, is een aandachtspunt voor nader onderzoek. In de literatuur vinden we weinig over daderkenmerken van cyberafpersers. Volgens het KLPD is er sprake van een samenwerking tussen computercriminelen uit West-Europese landen en georganiseerde groepen criminelen uit Rusland en Oost-Europa. Hackers worden op internet geworven op grond van hun deskundigheid en ingehuurd. Het KLPD heeft dan het afpersen van bedrijven voor ogen. Dit zien we niet terug in de dossierstudie. De verdachten opereren alleen en er is geen sprake van criminele samenwerkingsverbanden. De verdachten zijn opvallend vaak jong (onder de 21). Ze maken geen gebruik van criminele technieken. Een voorbereidingshandeling is het verzamelen van gevoelige informatie over het slachtoffer. Dat is steeds een individu, geen bedrijf. We hebben te weinig informatie om nadere uitspraken over slachtoffers te doen. Slachtofferonderzoek onder bedrijven in Amerika en Australië wijst er op dat een substantieel percentage van bedrijven (16-33%) slachtoffer was van cyberafpersen. Over slachtofferschap onder burgers vonden we in de literatuur geen informatie. De 13 cyberafpersendossiers die we vonden in de periode 2003-2007, hebben allemaal betrekking op individuele slachtoffers, niet op bedrijven. Dat cyberafpersen onder bedrijven toch niet onbekend is in Nederland weten we ook, want in de hackendossiers vonden we één zo’n zaak. In dat geval werd een DDoS-aanval ingezet om een bedrijf af te persen. In een onderzoek naar het werkaanbod inzake cybercrime in twee korpsen, vonden we over 2007 geen aangiften van cyberafpersing. De conclusie over de omvang van cyberafpersen moet zijn dat het zeer weinig voorkomt of dat de aangiftebereidheid uiterst laag is, of beide. Door het geringe aantal aangiften wordt cyberafpersing, specifiek afpersing met behulp van een DDoS-aanval, in het Nationale Dreigingsbeeld niet als concrete dreiging gezien. Volgens andere bronnen zal het aantal cyberafpersingen in de toekomst toenemen omdat steeds meer bedrijven afhankelijk zijn van internet en de voor een afpersing benodigde technieken eenvoudig beschikbaar zijn. Een empirische onderbouwing bij deze verwachting is echter niet aanwezig.
4
Kinderporno Kinderpornografie is in Nederland strafbaar gesteld in artikel 240b van het Wetboek van Strafrecht, dat kinderporno definieert als een afbeelding van een seksuele gedraging, waarbij iemand die kennelijk de leeftijd van achttien jaar nog niet heeft bereikt, is betrokken of schijnbaar betrokken. De ratio van artikel 240b Sr is dat jongeren beschermd moeten worden tegen gedragingen en uitingen die hen kunnen aanmoedigen of verleiden om deel te nemen aan seksueel verkeer, en tegen gedragingen en uitingen die bijdragen aan een subcultuur die seksueel misbruik van kinderen bevo rdert. Uit de cijfers van het Meldpunt Kinderporno, gecombineerd met eerder onderzoek naar kinderpornografie op internet kunnen we afleiden dat kinderporno op internet op ve rschillende manieren wordt verspreid: via spam, websites, peer-to-peer netwerken, virtuele harde schijven, nieuwsgroepen en chat. De wijze van verspreiding is aan verandering onderhevig; deels omdat er voortdurend nieuwe technische mogelijkheden ontstaan en deels omdat de aanbieders van kinderporno reageren op repressieve maatregelen. In de literatuur zijn onder de volwassen daders twee duidelijke groepen te ondersche iden die zich bezig houden met de verspreiding van kinderpornografisch materiaal: de commerciële groep met als oogmerk financieel gewin en de ‘liefhebbers’ met als primaire motivatie het verkrijgen van meer kinderpornografisch materiaal. De handel en productie in kinderporno is volgens enkele bronnen in toenemende mate een bezigheid van georganiseerde groepen geworden. Kinderporno is een lucratieve business waarmee veel geld te verdienen is. In de literatuur zien we vijf categorieën daders: vervaardigers en handelaren, verzamelaars, reizigers, groomers/chatters en minderjarige daders. Uit onze dossierstudie blijkt dat de Nederlandse verdachten geen onderdeel uitmaken van professionele criminele samenwerkingsverbanden. In de dossiers is een aantal keer terug te zien dat er grootschalige internationale onderzoeken zijn naar websites die professioneel gerund worden. De Nederlandse ve rdachten zijn afnemers (downloaders) van deze websites. Van de vijf categorieën uit de literatuur zien we in de dossiers in ieder geval de categorie ve rzamelaars en groomers/chatters terug. We zien in de dossiers ook dat er handelaren actief zijn, die waren echter geen onderwerp van onderzoek van de Nederlandse politie. De cybercrime kinderporno kent weinig verbanden met andere (cyber)crimes. Als er al een verband is, dan is dat met een ander delict in de zedensfeer, met name met het in bezit hebben van kinderporno anders dan op ICT en soms met het vervaardigen van kinderporno. Ook proberen verdachten bijvoorbeeld minderjarigen te groomen, of slachtoffers aan te randen door te dreigen met het publiekelijk maken van gevoelige informatie (bijvoorbeeld naaktfoto’s). In de meeste dossiers is sprake van één verdachte. Dat zijn dan meestal in Nederland geboren mannen, overwegend uit de leeftijdsgroep 18 - 55 jaar. De meest genoemde primaire motivatie om het delict te plegen is nieuwsgierigheid. De verdachten die nieuwsgierigheid aangaven als motivatie zoeken, naar eigen zeggen, niet uit een gevestigde pedofiele voorkeur maar vertonen grensverkennend gedrag. Nader onderzoek naar achtergronden, omstandigheden en drijfveren zou gericht moeten zijn op de vraag of de misdrijven van deze groep nieuwsgierigen wellicht te voorkomen zijn met normbevestigende of gelegenheidsbeperkende maatregelen. De verdachten in de kinderpornodossiers wonen niet vaker dan gemiddeld in een eenpersoonshuishouden, wel zijn ze vaker dan gemiddeld werkloos. De meeste verdachten hebben een MBO- of HBO-opleidingsniveau. Daarmee wijken ze niet af van de gemiddelde Nederlander. Er is ook een groep jonge verdachten die van (andere) minderjarigen kinderpornografische opnamen maken en verspreiden. Iets meer dan de helft van de verdachten heeft een of meer antecedenten. Dat is significant meer dan de gemiddelde Nederlander. Nader onderzoek zal moeten aantonen in hoeve rre dit verschil wordt veroorzaakt doordat kinderpornoverdachten bijna allemaal man zijn en
5
jonger dan de gemiddelde Nederlander – en dus behoren tot de groep personen (jonge mannen) die bovengemiddeld veel delicten plegen. Relatief veel verdachten hebben een verme lding in de hoofdgroepen ‘gewelddadig seksueel’ en ‘overig seksueel’ (resp. 2,4 en 8,3%). Personen die verdacht worden van het in bezit hebben en/of verspreiden van kinderpornografische afbeeldingen, maken zich kennelijk vaker dan gemiddeld ook schuldig aan andere zedendelicten. Nader onderzoek zal moeten uitwijzen hoe overtreding van artikel 240b Sr precies samenhangt met het al dan niet plegen van andere delicten uit de zedelijkheidswetgeving. Ons onderzoek wijst op het bestaan van in elk geval twee te onderscheiden groepen verdachten: een grote groep personen (53,4%) die zonder dat zij een gevestigde pedofiele voorkeur (zeggen te) hebben kinderporno downloaden (grensverkennend gedrag, nieuwsgierigheid) en een verhoudingsgewijs kleine groep van personen die niet alleen kinderpornografische afbeeldingen in bezit heeft, maar die ook andere zedendelicten pleegt. Naar beide groepen zou nader onderzoek moeten worden gedaan om beter zicht te krijgen op kenmerken van deze personen en op mogelijke maatregelen. Er is een nieuwe groep kinderpornoverspreiders: de minderjarigen. Bijna een kwart van de verdachten in de kinderpornodossiers is jonger dan 24 jaar (en van die groep is 35% jonger dan 18 jaar). Dit is te verklaren doordat minderjarige jongeren, al dan niet vrijwillig, seksueel getinte foto’s en video’s van zichzelf en/of elkaar maken. Indien dergelijke content verspreid wordt via internet (door de verdachte zelf, of door een klasgenoot of kennis) is er sprake van de verspreiding van kinderpornografie in de zin van artikel 240b Sr. Een trend is dat kinderporno verdwijnt naar minder opzichtige delen van internet, waar de informatie moeilijker is te observeren en waar het dus ook moeilijker is om bewijsmateriaal te verzamelen. Verder valt te verwachten dat door nieuwe technologische ontwikkelingen (zoals in animatietools, versleuteltechnieken en betaalsystemen) de productie en verspreiding van kinderpornografie zullen blijven veranderen. Haatzaaien Haatzaaien staat niet als zodanig in het Wetboek van Strafrecht, ook anderszins is er in Nederland geen algemeen geaccepteerde definitie. In dit onderzoek verstaan we onder de cybercrime haatzaaien het (aanzetten tot) opzettelijk beledigen of discrimineren van bepaalde groeperingen, zonder een bijdrage te leveren aan het publieke debat, waarbij ICT essentieel is voor de uitvoering. Haatzaaien staat dan wel niet als zodanig in het Wetboek van Strafrecht, er kan wel een aantal artikelen worden onderscheiden dat van toepassing is, zoals artikel 147 en 147a Sr (godslastering) en de discriminatieartikelen (art. 137c, d, e, f en g Sr). Vo lgens de Hoge Raad vervalt de strafbaarheid bij discriminatoire uitlatingen indien deze bijdragen aan het maatschappelijke debat. Ook kan artikel 131 Sr (opruiing) van toepassing zijn. Uit de cijfers van het Meldpunt Discriminatie Internet (MDI) kunnen we afleiden dat haatzaaiende content in ieder geval wordt verspreid middels spam (e- mail), websites, peer-2peer netwerken, nieuwsgroepen en chat. We weten niet precies welk aandeel van de haatzaaiende content op internet wordt verspreid via welke route, we weten wel dat de wijze waarop de verspreiding loopt aan verandering onderhevig is. Zo zijn er tegenwoordig bijna geen me ldingen meer over nieuwsgroepen maar wel over weblogs, websites en webfora. Volgens de literatuur gaat het merendeel van de meldingen over haatzaaiende of discriminerende uitingen over Nederlandse sites. Daders van haatzaaien opereren in groepen, die middels websites en chatkanalen discrimineren en oproepen tot geweld, en in informele ne twerken op internet. Ze doen hun haatuitingen op discussiefora en weblogs. Er worden vier motieven onderscheiden; voor de lol (verveling, spanning en opwinding), als waarschuwingssignaal (verdachten voelen zich bedreigd door nieuwkomers en willen hun territorium verdedigen), als vergeldingsactie (veelal in de context van maatschappelijke spanningen) en als missie (door extremisten die overtuigd zijn van hun gelijk).
6
Het merendeel van de haatzaaidossiers toont geen verband met andere vormen van (cyber)criminaliteit. Soms is er een verband met hacken of smaad, maar over het geheel genomen geldt dat verdachten van haatzaaien geen criminele generalisten zijn. De dossierstudie bevestigt dat het merendeel van de delicten vanuit Nederland gepleegd wordt. Uit de dossiers volgt ook dat geen sprake is van georganiseerde criminaliteit. Verdachten opereren veelal alleen. In een aantal dossiers hebben verdachten berichten gepost op een extremistische website, maar pleegden zij het delict als individu. De meeste verdachten zijn man, jong en geboren in Nederland. Qua leeftijd ligt de nadruk op de groep 12-17 jaar. In het geval van de minderjarige verdachten zien we dat het vaak gaat om een impulsieve reactie in de vorm van een haatzaaiende post op een website. De primaire motivatie is meestal wraak, verwerven van status of zichzelf bewijzen. Ook zagen we ideologische en nationalistische motieven. Verdachten van haatzaaien hebben vaker antecedenten dan de gemiddelde Nederlander. Dat wordt ve rmoedelijk veroorzaakt doordat het overwegend gaat om jonge mannen – en die plegen nu eenmaal relatief veel delicten. Nader onderzoek zou daarover meer zekerheid kunnen bieden. De politieregistratie systemen bevatten weinig dossiers inzake de cybercrime haatzaaien. In 2002-2007 vonden we er 40. In een onderzoek naar cybercrime in de dossiers van twee korpsen werd geen enkel dossier haatzaaien aangetroffen. Van Stokkom e.a. (2007) concluderen dat de meeste strafbare uitingen op internet ongemoeid worden gelaten en dat politiestatistieken weinig bruikbaar zijn doordat er geen goede landelijke dataverzameling en opsporing van haatzaaiende uitingen en incidenten is. Het MDI ontving in 2007 1.078 meldingen, maar de meeste daarvan kwamen niet voor de rechter. Ondanks het lage aantal aangiften spreken Van Stokkom e.a. (2007:16) van een ‘haatepidemie’ op internet. Radicalisme lokt volgens deze auteurs contraradicalisme uit; moslims en niet- moslims kunnen hierdoor in een zichzelf versterkende spiraal van wederzijds wantrouwen en vijandigheid terechtkomen, aldus deze auteurs. Op basis van de dossierstudie kunnen we dit echter niet onderbouwen. Er worden simpelweg te weinig aangiften van haatzaaien gedaan. Bij haatzaaien is maatschappelijk relevant om te weten ‘uit welke hoek de wind waait’. We hebben niet systematisch bijgehouden op welk deel van de bevolking de verdachten het voorzien hadden (dus of verdachten bijvoorbeeld met name rechts-extremisten zijn of juist fundamentalistische moslims). Wel maakten we van elk dossier een korte samenvatting. Uit deze samenvattingen blijkt dat het in de meeste dossiers gaat over verdachten met rechtsextremistische ideeën en het met name voorzien hebben op ‘de buitenlanders’ en ‘de allochtonen’. Verder doen verdachten in een aantal dossiers antisemitische uitspraken en in enkele dossiers werden homoseksuelen gediscrimineerd. Cybercrime in Nederland: overeenkomsten en verschillen 1 Alles bijeen genomen is te zien dat e- fraude, kinderporno en haatzaaien criminaliteitsvormen zijn die weinig verbanden hebben met andere vormen van criminaliteit. Alleen hacken heeft duidelijke verbanden met andere criminaliteitsvormen. Hacken kan dan ook gezien worden als een middel om andere criminaliteit te plegen. De analyses wijzen er op dat we niet alleen te maken hebben met verschillende cybercrimes met relatief weinig dwarsverbanden maar ook met verschillende dadergroepen die elkaar wellicht maar weinig overlappen. Over de verdachten zien we op hoofdlijnen namelijk het volgende: − Een verdachte van cybercrime is waarschijnlijk van het mannelijke geslacht en moet ve rmoedelijk worden gezocht in de leeftijdsgroepen tussen 12 en 45 jaar. Kinderporno is een uitzondering: een verdachte daarvan is bijna zeker van het mannelijke geslacht, maar over de leeftijd valt juist minder met zekerheid te zeggen. 1
Van cyberafpersen vonden we te weinig dossiers om een vergelijking met de andere cybercrimes uit deze studie te kunnen maken, die laten dan ook verder buiten beschouwing.
7
− Daders van cybercrime plegen hun delict zelden in georganiseerd verband. Toch komt georganiseerde cybercrime wel voor bij e- fraude en kinderporno. − Verdachte en slachtoffer in hackendossiers zijn vaak bekenden van elkaar; bij e-fraude en kinderporno is dat doorgaans juist niet het geval. − De motivatie van hacken-verdachten ligt geregeld in de relationele sfeer. De primaire motivatie van e- fraudeurs is in de regel financieel gewin, verdachten in de kinderpornodossiers hebben vaker nieuwsgierigheid en verslaving/seksuele behoefte als motivatie. Verdachten in haatzaaidossiers hebben uiteenlopende motieven, meestal is het wraak of gaat het om ideologische/nationalistische motieven. Op het totaal aan cybercrimes in de politiedossiers speelt georganiseerde criminaliteit hoegenaamd geen rol. Maar dat is bij offline criminaliteit ook het geval: verreweg de meeste delicten maken geen onderdeel uit van georganiseerde criminaliteit. Omdat georganiseerde criminaliteit maatschappelijke structuren kan aantasten (denk aan vermenging tussen boven- en onderwereld, witwassen, bezit van onroerend goed, corruptie) verdient het, net als in onderzoek naar offline criminaliteit, aparte aandacht. Er is dan ook nader onderzoek vereist naar georganiseerde cybercriminaliteit. Over de absolute omvang van cybercrime in Nederland valt niet veel met zekerheid te zeggen. Het maakt maar een zeer klein deel uit van de bij de politie geregistreerde criminaliteit. De resultaten uit een slachtofferonderzoek in Friesland, wijzen op een substantieel dark number. Om deze kennisleemte op te vullen is een landelijk slachtofferonderzoek nodig. Diezelfde kennisleemte zorgt ervoor dat over de maatschappelijke impact op basis van politiedossiers niet eenvoudig iets stelligs is te zeggen. Het belangrijkste gemis is dat de dossiers weinig zeggen over de mate waarin de verschillende delicten voorkomen. Dat cybercrimes de persoonlijke levenssfeer kunnen aantasten en dat mensen na een e- fraude niet altijd even veel vertrouwen meer hebben in e-commerce was te verwachten. Dat dergelijke effecten zich voordoen zagen we wel terug in de dossiers maar in welke mate dat het geval is, kunnen we daaruit niet afleiden. Daarvoor zijn politiedossiers niet geschikt. Conclusies De belangrijkste conclusie uit dit onderzoek is dat cybercrime van het volk is. Bij aanvang van dit onderzoek zagen we op basis van literatuur, de media en beleidsdocumenten een beeld van high-tech cybercriminelen die vanuit het buitenland opereren in georganiseerde groepen en op grote schaal slachtoffers maken. Dit beeld verdient te worden genuanceerd. Uit onze dossiers blijkt juist dat er veel ‘kleine delicten’ gepleegd worden door min of meer alledaagse verdachten die individueel opereren. Op basis van de dossierstudie lijkt het plausibel om te veronderstellen dat cybercrime dezelfde structuur heeft als klassieke (offline) criminaliteit. Ook bij de klassieke criminaliteit is er immers sprake van een grote groep daders die relatief kleine delicten (zoals diefstallen en inbraken) plegen op min of meer individuele basis en is er sprake van een aantal groeperingen dat zich bezig houdt met georganiseerde criminaliteit. Georganiseerde groepen hebben dus niet het monopolie op cybercrime. Cybercrime is van iedereen. Dat cybercrime van het volk is, heeft implicaties voor politiebeleid en leidt tot de conclusie dat kennis en kunde op het gebied van cybercrime korpsbreed aanwezig moet zijn: iedere agent moet beschikken over enige basiskennis inzake cybercrime. Er is immers een groeiende kans dat agenten in klassieke zaken te maken krijgen met een cybercrime-aspect, denk bijvoorbeeld aan iemand die gestalkt wordt en van wie het e- mail account wordt gekraakt. Daarnaast blijkt dat cybercrime niet alleen gepleegd wordt door georganiseerde groeperingen uit het buitenland. De bestrijding van cybercrime moet dan ook niet alleen het domein zijn van specialistische teams (zoals nu overwegend het geval is).
8
Een andere conclusie die implicaties heeft voor politiebeleid is dat bijna een kwart van de hacken-verdachten en bijna vijftien procent van de e-fraude verdachten opereert vanuit het buitenland. Dat is niet verrassend, ook in de literatuur wordt cybercrime als een mondiaal probleem gezien. Cybercrime is dus een probleem dat lang niet altijd bij de landsgrenzen ophoudt. Het werkaanbod van de politie internationaliseert daardoor. Van oudsher waren internationaal opererende daders in de regel onderdeel van een georganiseerde dadergroep (denk bijvoorbeeld aan drugs- en mensensmokkel). Internationaal opererende daders kwamen bij de politie dan terecht bij specialistische teams. Bij cybercrime zijn het nu ook kleinere criminelen die internationaal opereren. Ook niet-specialistische teams in alle politieregio’s krijgen nu dus te maken met internationaal opererende daders. De cybercrimes e-fraude, kinderporno en haatzaaien staan op zichzelf en hebben weinig verbanden met andere vormen van criminaliteit. Verdachten van deze cybercrimes zijn geen criminele generalisten maar beperken zich tot hun type cybercrime, zij het dat zij daarbij soms aanpalende delicten plegen (bijvoorbeeld de bezitter van digitale kinderporno die ook kinderporno vervaardigt). In tegenstelling tot de andere cybercrimes uit onze studie staat hacken juist niet op zichzelf. Hacken heeft verbanden met een groot aantal andere vormen van criminaliteit en is veelal een middel om andere delicten te plegen. Uit de dossierstudie blijkt dat de hackenzaken een combinatie zijn van cybercrime in enge zin (waarbij computers of computergegevens het doelwit zijn), vermogenscriminaliteit en intermenselijke conflicten. In de literatuur wordt vaak geclaimd dat motieven van hackers verschoven zijn van hacking for fame naar hacking for fortune. Cybercriminelen zouden steeds meer geïnteresseerd raken in financieel gewin. Een empirische onderbouwing bij deze uitspraken hebben we echter niet kunnen vinden. De motieven van hackers in onze dossiers variëren juist, van bijvoorbeeld wraak, nieuwsgierigheid en financieel gewin. Er is dus wel een groep hackers die delicten pleegt voor het geld, maar een andere ontwikkeling lijkt dominanter: de democratisering van hacken (hacken is niet langer voorbehouden aan vergevorderde computeraars) en de daarbij horende motieven die in de relationele sfeer liggen (we zien dan ex-geliefden of jongeren die elkaar dwars zitten door gevoelige informatie openbaar te maken of elkaar zwart te maken). Er is, kortom, blijkens onze dossierstudie geen sprake van een eendimensionale ve rschuiving van hacking for fame naar hacking for fortune, de verschuiving is meerzijdig, vooral omdat hacken steeds meer van het volk is geworden. Opmerkelijk daarbij is de opkomst van hacking for revenge. Cybercrimeverdachten zijn in de regel in Nederland geboren mannen onder de vijfenveertig jaar. De verdeling tussen mannen en vrouwen in de cybercrime dossiers wijkt significant af van de verdeling van de Nederlandse bevolking. Dit geldt in het bijzonder voor kinderporno, dat is een echt mannendelict. Bij twee typen cybercrime wijkt het percentage mannelijke verdachten significant af van ‘de gemiddelde verdachte’ in HKS. Bij kinderporno is het percentage mannen groter. Bij e- fraude is het percentage mannen juist kleiner (p<0,01). Het plegen van bedrog via advertenties op online veilingsites is een delict waaraan relatief veel vrouwen zich schuldig maken: ruim een kwart van de e- fraude-verdachten is vrouw. Het is onbekend hoeveel burgers en bedrijven er in Nederland slachtoffer zijn van cybercrime. Slachtofferonderzoek ontbreekt. Uit onze dossierstudie blijkt dat met name individuen aangifte van cybercrime doen. Zowel mannen als vrouwen uit alle leeftijdsklassen wo rden slachtoffer (waarbij vermeld moet worden dat mannen in de regel vaker slachtoffer zijn en dat de leeftijdscategorie 55+ ondervertegenwoordigd is). We vonden slechts een paar bedrijven die slachtoffer zijn geworden en aangifte deden. Van alle door de politie in Hollands-Midden en Zuid-Holland-Zuid geregistreerde meldingen en aangiften in 2007 betreft minder dan 1 procent cybercrime. Cijfers over politieregistraties zeggen echter niet veel over het daadwerkelijke aantal slachtoffers. Slechts een deel van alle delicten wordt aangegeven of gemeld. De aangiftebereidheid ligt bij cybercrime
9
lager dan bij klassieke criminaliteitsvormen. Om iets te kunnen zeggen over het dark number voerden we een onderzoek uit onder 1.246 internettende Friezen. We zagen een aangiftebereidheid van 3,6 procent, gerekend over 56 slachtoffers van verschillende soorten cybercrime. Dat is significant lager dan het gemiddelde van 36 procent in 2008 voor alle delicten in de Integrale Veiligheidsmonitor (IVM) (Voorheen de Veiligheidsmonitor Rijk) (p<0,01). De aangiftebereidheid bij slachtoffers van cybercrime is dus laag, het dark number hoog. Hoe groot de aangiftebereidheid bij bedrijven is weten we niet. Aanbevelingen Er is erg weinig bekend over de omvang van cybercrime. Het geregistreerde aantal aangiften en meldingen lijkt erg laag. Met name bedrijven doen geen aangifte. We weten echter hoegenaamd niets over de aangiftebereidheid en het daadwerkelijke slachtofferschap. Slachtoffe renquêtes zijn nodig om beter inzicht te krijgen in de aard, omvang en aangiftebereidheid van cybercrime. Uit de politiedossiers is weinig af te leiden over daders, terwijl kennis over daders belangrijke aanwijzingen kan geven in de opsporing (daderprofilering), inzicht kan geven in preventiemogelijkheden en zicht kan bieden op mogelijkheden tot vroegsignalering. Meer kennis over daders vergt daderonderzoek. Indien de politie wil werken aan daderprofilering voor cybercrimes, dient zij ook informatie over aangehouden verdachten (beter) te registreren. Uit de dossierstudie komt een beeld naar voren dat cybercriminaliteit meestal gepleegd wordt door verdachten die relatief zelfstandig werken en geen verbanden hebben met georganiseerde misdaad. Dat wil niet zeggen dat georganiseerde criminele groeperingen zich niet bezighouden met cybercrime; net zoals in de offline wereld worden de meeste (kleine) delicten gepleegd door een grote groep verdachten en een klein deel van de criminaliteit wordt (systematisch) gepleegd door georganiseerde groeperingen. In de politiedossiers staat over georganiseerde cybercrime hoegenaamd geen informatie. Om daarover meer te weten te komen is speciaal daarop gericht onderzoek nodig. We analyseerden 665 politiedossiers. We weten echter niet welke zaken zijn doorgestuurd naar het OM en of uiteindelijk verdachten veroordeeld zijn. Vervolgonderzoek is nodig om zicht te krijgen op dat proces in de strafrechtketen en op knelpunten die zich in dat proces voordoen. We concludeerden dat politie in de volle breedte van de organisatie vaker te maken zal krijgen met cybercrime. Zij moet zich dus de kennis eigen maken om daarmee adequaat om te gaan.
10
Summary Introduction This study concerns cybercrime. The Dutch government gives priority to tracking and fighting cybercrime, and takes several legal and organisational measures. Taking measures requires knowledge concerning the nature and scope of this crime. However, it has been repeatedly established, also by the police and the judiciary themselves, that it is difficult for the police and the judiciary to keep up with the developments. There is a (substantial) lack of knowledge. The Dienst Nationale Recherche (DNR, Dutch criminal investigation department) of the Korps Landelijke Politiediensten (KLPD, Dutch national police services) therefore took the initiative for this research. This Study Cybercrime in The Netherlands 2009 should contribute to the knowledge level of the police and judiciary. In this study, we use the term cybercrime as the umbrella concept for all forms of crime in which ICT plays an essential role in the realisation of the offence. Not every form of cybercrime can be included in the study, the list of cybercrimes is simply too long. The fo llowing cybercrimes are addressed: hacking, e-fraud, cyber extortion, child pornography and hate sowing. These five were selected because of all cybercrimes, they constitute the most serious social problems, and (so) they receive the most attention from police and judiciary. Eventually, the study should contribute to the combat of cybercrime. A closer objective is to offer insight in the severity of the manifestations of cybercrime that are most relevant to the police. In order to determine the severity of cybercrime, we have composed four research questions. (1) What is the nature of the cybercrimes? (2) What do we know about the offenders? (3) What is the scope of the cybercrimes? (4) What is the social impact of the cybercrimes? Research Methods In order to answer these research questions, we first performed an internationa l literature study, a media analysis, as well as a web research and document analysis. For the international literature study, we consulted multimedia centres, and looked for books, articles, reports and other relevant publications. The media analysis cons isted of an analysis of reports about cybercrime in daily newspapers from The Netherlands in 2006 and 2007. This yielded information, not only about cybercrimes, but also for example about research reports, police actions and key persons. The web research consisted of an internet search for information about cybercrime, research reports and key persons. The document analysis meant that we studied policy and visionary documents concerning the combat of cybercrime. The main part of the study consisted of an analysis of police files. In total, we analyzed 665 files, among which 139 hacking files, 314 e- fraud files, 13 cyber extortion files, 159 child pornography files and 40 hate sowing files. Hacking Hacking is the deliberate and illegal entering into a comp uterized work, which was penalized in article 138a section 1 of the Dutch Criminal Code (electronic break- in). Hacking-related articles are copying, tapping or recording of data after entering (article 138a section 2 Sr), the deliberate or by fault causing of a disturbance in the system (articles 161 under paragraph six Sr and 161 under paragraph seven Sr, respectively), the deliberate of by fault destroying of data (article 350a Sr and 350b Sr, respectively), tapping and/or recording of data (article 139c Sr) and placing of recording, tapping and/or monitoring equipment (article 139d Sr). In literature, hackers are distinguished in various ways, among others on the basis of various primary motivations, such as acquiring knowledge, personal challenge, power and fi11
nancial profit. However, there does not seem to be any empirical foundation for the categories used. The image of various different categories of hackers does not emerge from our file study. Rather than clear-cut categories, the picture of a varied group of people emerges, although a few main characteristics can be denominated. The police files show that hacking seems to be primarily something for men under the age 45 who were born in The Netherlands. They seldomly commit their crimes in an orga nised setting, in the majority of the cases there is no more than one suspect. Hacking is often done in connection with relationships; suspect and victim are for instance ex- lovers, jealous husbands or school friends, but (former) business associates can also be involved. The primary motivation of the suspect is often revenge, but we have also seen other motivations, such as curiosity and financial profit. Most suspects from the hacking files do not have any antecedents, although they do have significantly more antecedents than the average Dutchman or woman. Suspects use various criminal techniques. Although most files are unclear about the precise techniques used, suspects in hacking-cases definitely use defacing web sites, installing keyloggers, making phishing web sites and social engineering. Botnets, DDoS-attacks, sniffing and spoofing seldomly occur in police files. The fact that in one- fifth to one quarter of the police files the hack is performed from abroad, within as well as outside Europe, seems to be the most important finding with regard to police investigation. Hacking is usually not an isolated offence. All in all, hacking is found to be connected with (1) cybercrime in the narrow sense (copying or destroying data or destroying or disturbing a comp uter system); (2) crimes against property (swindling, fraud, theft, extortion, embezzlement); (3) inter-personal conflicts (slander, threat, insult, stalking, assault). Hacking is primarily aimed at personal interests (financial profit, settling a conflict) and not at social disruption or general menacing. The issues are mainly rather ordinary, in which apparently ordinary people frustrate each other. Up to a point, hacking is democratized: it is no longer the exclusive domain of whizzkids, but it is also committed by people who are less well- versed in the technique. It is impossible to be precise about the exact scope of hacking. It is only a very small part of the crime registered by the police. The results from a victim study in Friesland, a Dutch county, show a substantial dark number. From (international) literature about cybercrime and information security we know that especially companies seem to be a frequent victim of (attempted) entrance in computer systems. Victims among individuals are less known. E-fraud Fraud is not listed as such in the Dutch Criminal Code; usually swindling (art. 326 Sr) and/or forgery are concerned (art. 225 Sr). E- fraud is fraud aimed at financial profit and for the execution of which ICT is essential. The manifestations of e-fraud we encountered in literature are: trade in false goods, false financial transactions, among which auction fraud and deposit fraud, and market manipulation. E- fraud can be committed with or without identity abuse. Identity abuse is assuming an other identity than the own digital identity, with the objective to obtain improper financial profit. The making of the false identity precedes the identity abuse. This can be done by identity theft (stealing the identity of an existing person), identity creation (creating a fictive identity) and identity delegation (assuming the identity of an existing person with his/her permission). In literature, the expectation is expressed that in the coming years e-fraud with identity abuse will make many victims and do much financial harm. In addition, deposit fraud is also seen as a concrete threat. In various parts, a different picture emerges from the analysis of the police files than from literature. Most files from the file study do not deal with Nigerian Scams (419-fraud) and identity theft, but with swindle through sales sites. E- fraud generally does not have any
12
connections with other (cyber) crimes. And where it does, there are connections with the theft of identity data (especially digital, but also non-digital) and sometimes also with hacking. These offences are then a means to commit the e-fraud. E-fraudsters usually work alone, and there is no organised crime involved, with the exception of a few files. According to the files, financial profit is the central motive. In general, e-fraud concerns fairly simple cases: the perpetrator places an advert or makes a website or gives information in an other way to seduce the victim to pay for certain goods or services – which are subsequently never delivered. In short, most e-fraud cases are no technical fireworks. Perpetrators of e- fraud draw from a limited stock of techniques. There is social engineering in nearly every case. A few times phishing was used. The files with e- fraud frequently involve identity abuse. Although in literature attention is drawn quite often to cooperating fraud gangs (Nigerian scam, skimming), the major part of the frauds we found in our files was the work of swindlers that operate fairly simply. The image that e- frauds have above-average technical insights and skills, as literature claims, is not at all substantiated by our study. Of the suspects we know that they are usually born in The Netherlands, that they usually operate from The Netherlands, and that they are usually men, and from the age- group of 18-35 years. E- fraud is not something for the age group of 12-18 years, nor for persons older than 35. Apparently, persons between 18 and 34 years old have the optimal e- fraud equipment: they are old enough to have sufficient social skills fo r social engineering and young enough to be able to nimbly move about in cyberspace. Suspects are more often than average unemployed, but they live less often than average in a single household. So, with regard to their living arrangements they are not socially isolated, but they are with regard to their employment position. The lack of income from labour could be a (partial) explanation for the main motivation of financial profit. An analysis of legal antecedents shows that the e-fraud suspects also commit other offences, and so that they have a more extensive criminal repertoire than just fraud. This can also be explained from the fact most suspects are male and relatively young - and so they belong to the group of persons that commit offences relatively often. E-fraud features ten times more frequently in police files than hacking. From our own research we know that 2.2 per cent of 1,246 interviewed inhabitants of Friesland have been the victim of e- fraud in the past two years. Only one victim pressed cha rges (3,6%). This ind icates a high dark number. Cyber extortion With extortion is meant obtaining unlawful advantage due to threat or violence. We use the term cyber extortion when ICT is essential for the execution of the crime. Various manifestations are mentioned in literature: (1) Threat: threatening to paralyse websites or networks. (2) Damage and disruption: damaging essential data and disturbance of industrial production systems. (3) Shaming: publicising sensitive information (4) Protection: offering ‘protection’ from for instance DDoS-attacks. These four manifestations may occur in any combination. The Dutch Criminal Code penalizes extortion in article 317 Sr (extortion). Also, articles 318 Sr (threatening) and 285 Sr (menacing) may apply. For the execution of these criminal techniques breaking into computer systems will usually be required, which is penalized in article 138a Sr. In case a computerized work is deliberately or by fault destroyed, the articles 161 under paragraph six en 161 under paragraph seven Sr apply. Articles 350a and 350b Sr apply in case of destruction of data. We only found 13 files about cyber extortion over the period 2003-2007. Insofar as a connection with other crimes could be established, cyber extortion seems to be a continuation of earlier threats. Suspects extort victims by threatening to publicize sensitive information about the victim. The sensitive information is usually related to child pornography. Victims
13
have child pornography on their computers and are blackmailed because of that, or suspects put pressure on minor victims to send nude photos of themselves (and these are then used to blackmail the victim). At various moments during the analysis we assessed a connection between cyber extortion and offences related to relationships and/or sexuality. Apart from the above- mentioned child pornography, the following issues were found: relational problems, stalking and assault. One thing with the other implies that cyber extortion is related to sex crimes and/or sex offe nders. The limited number of files does not allow for any bold conclusions, but this indication of a connection between youth, sex crimes and extortion is an area for further investigation. Literature does not give us much information about the offender characteristics of cyber extortioners. According to the KLPD there seems to be a cooperation between computer criminals from Western European countries, and organised groups of criminals from Russia and Eastern Europe. Hackers are recruited and engaged via the internet on the basis of their skills. The KLPD refers to the extortion of companies. This cannot be found in the file study. The suspects operate alone, and there are no criminal cooperations. Remarkably often the suspects are young (under 21 years). They do not use any criminal techniques. Collecting sens itive information about the victim is a preparatory act. The victim is always an individual, not a company. We do not have sufficient information to be able to pronounce upon the victims. Victim research among companies in the United States and Australia indicates that a substantial percentage of the companies (16-33%) has been the victim of cyber extortion. We have not found any information in literature about victims among civilians. The 13 cyber extortion files we found concerning the period 2003-2007 all relate to individual victims, not companies. The fact that cyber extortion is no unfamiliar issue in The Netherlands we also know, because we have found one such case among the hacking files. In that case a DDoSattack was deployed to blackmail a company. A study into the caseload of cybercrimes in two police forces, did not yield any report of cyber extortion in 2007. A conclusion with regard to the scope of cyber extortion should therefore be that it is not very common or that the readiness to report it is very low, or both. Due to the limited number of reports, cyber extortion, specifically in combination with a DDoS attack, is not viewed as a concrete threat in the Dutch National Threat Assessment. According to other sources, the number of cyber extortions will increase in the future, because more and more companies are dependent on the internet, and the techniques required for extortion are easily available. Any empirical foundation for this claim is however not present. Child pornography Child pornography is penalized in The Netherlands in article 240bof the Criminal Code, which defines child pornography as the depiction of a sexual act, in which someone who apparently has not yet reached the age of eighteen years, is involved or seemingly involved. The ratio of article 240b Sr is that young people should be protected against actions and expressions that may encourage or seduce them to participate in sexual intercourse, and against actions and expressions that contribute to a sub-culture that promotes the sexual abuse of children. From figures of the Meldpunt Kinderporno (complaints centre child pornography), combined with earlier research into child pornography on the internet, we can deduce that child pornography on the internet is distributed in different ways: through spam, websites, peer-to-peer networks, virtual hard disks, news groups and chat. The method of distribution is subject to change; partly because new techniques are created continually, and partly because the suppliers of child pornography react to repressive measures. In literature two clear groups can be discerned among the adults who participate in the distribution of child pornographic material: the commercial group who aims at financial profit
14
and the ‘enthusiasts’ whose primary motivation is to obtain more child pornographic material. The trade and production of child pornography increasingly seems to have become a business of organised groups, according to some sources. Child pornography is a lucrative business in which much money can be made. In literature we see five categories of offenders: makers and dealers, collectors, travellers, groomers/chatters and minor perpetrators (as sex offender). Our file study shows that Dutch suspects are not part of a professional criminal cooperation. Large-scale international researches into websites that are managed professionally occur a few times in the files. The Dutch suspects are customers (downloaders) of these websites. Of the five categories that appeared in literature, in the files we found at least the categories collectors and groomers/chatters. We also see in the files that dealers are active, but they are not a subject of research by the Dutch police. The cybercrime child pornography has little connections with other (cyber) crimes. If any, another sex offence, especially the possession of child pornography other than by ICT and sometimes the manufacture of child pornography, seem to be the only ones. Suspects also try to groom minors, for instance, or to assault victims by threatening to publicize sensitive information (e.g. nude photos). In most files there is only one suspect. These are mostly indigene men, mainly from the age group 18 - 55 years. The most- mentioned primary motivation to commit the offence is curiosity. Suspects who mentioned curiosity as motivation, say they are not searching because of an established paedophile inclination, but they want to explore their boundaries. Further research into backgrounds, circumstances and motivations should be aimed at the question whether the offences of this group of sightseers could be prevented with measures that confirm the norm or restrict opportunities. Child pornography suspects do not live in one-person households more often than average, but they are unemployed more often than average. Most suspects either have MBO (intermediate vocational education) or HBO (higher vocational education). So far, they do not differ from the average Dutchman. There is also a group of young suspects who make child pornographic pictures of (other) minors, and distribute them. Just over half of the suspects has one or more antecedents. This is significantly more than the average Dutchman has. Further research will have to show the extent to which this difference is caused by the fact that child pornography suspects are nearly all men, and that they are younger than the average Dutchman – and so belong to the group of persons (young men) that commit more crimes than average. Relatively many suspects have a record in the main categories ‘violent sexual’ and ‘other sexual’ (respectively 2,4 and 8,3%). Individuals suspected of possessing and/or distributing child pornographic pictures, apparently also commit other sex offences more often than average. Further research will have to show whether and how offences against article 240b Sr exactly connects to committing other sex-related crimes, if any. Our research indicates the existence of at least two discernable groups of suspects: a large group of individuals (53,4%) who download child pornography without having (they claim) an established paedophile inclination (exploratory behaviour, curiosity), and a relatively small group of individuals who do not only possess child pornography but also commit other sex offences. Both groups should be investigated further, in order to obtain a clearer insight in the characteristics of these persons and possible measures. There is a new group of child pornography distributors: the minors. Almost a quarter of the suspects in child pornography files is younger than 24 years (and of that group 35% is younger than 18 years). This can be explained by the fact that minor youngsters, whether vo luntarily or not, make sexual photos and videos of themselves and/or each other. When this content is distributed via the internet (by the suspect him/herself, a classmate or acquaintance) it is a matter of distribution of child pornography according to article 240b Sr.
15
It is a trend that child pornography disappears to less conspicuous parts of the internet, where the information is more difficult to monitor, and so where it is also more difficult to collect evidence. It is also to be expected that new technological developments (such as animation tools, encrypting techniques and payment systems) will keep on changing the production of child pornography. Hate sowing Hate sowing as such is not in the Dutch Criminal Code, and there is also no generally accepted definition of hate sowing in The Netherlands. In this study, the cybercrime hate sowing refers to (inciting) deliberately, insulting or discriminating certain groups, without contributing to the public debate, in which ICT is essential for the execution. Hate sowing may not be as such in the Criminal Code, there are a number of articles applicable, such as article 147 and 147a Sr (blasphemy) and the discrimination articles (art. 137c, d, e, f and g Sr). According to the Supreme Court, punishability is terminated for discriminating expressions if they contribute to the social debate. Article 131 Sr (agitation) may also apply. From the figures of the Meldpunt Discriminatie Internet (MDI, complaints centre discrimination internet) we can deduce that hate sowing content is in any case distributed via spam (e- mail), websites, peer-2-peer networks, news groups and chat. We do not know exactly which part of the hate sowing content is distributed via which route, but we do know that the method of distribution is subject to change. For instance, there are hardly any reports about news groups any more, but there are reports of weblogs, websites and web forums. According to literature, the major part of the reports is about hate sowing or discriminating expressions about Dutch sites. Hate sowing offenders operate in groups, that discriminate and call on to violence through websites and chat channels, and also in informal ne tworks on the internet. They express their hate on discussion forums and weblogs. Four motives are discerned: fun (boredom, suspense and excitement), as a warning signal (suspects feel threatened by newcomers and want to defend their territory), as act of retaliation (mostly in the context of social tension) and as mission (by extremists that are convinced of their own right). The majority of the hate sowing files does not sho w any connection with other forms of (cyber) crime. There sometimes is a connection with hacking or slander, but on the whole suspects of hate sowing do not seem to be criminal generalists. The file study confirms that the majority of the crimes are committed from The Netherlands. The files also show that there is no question of organised crime. Suspects mainly operate alone. In a number of files suspects have posted messages on an extremist website, but they committed the offence as an individual. Most suspects are male, young and born in The Netherlands. With regard to age, the focus is on the group of 12-17 years. In case of minors suspects, we see that it often concerns an impulsive reaction, in the form of a hate sowing post on a website. Revenge, acquiring status or proving oneself are usually the primary motivations. We have also seen ideological or nationalistic motives. Suspects of hate sowing more often have antecedents than the ave rage Dutchman. This is probably caused by the fact that predominantly young men are involved – and they simply commit relatively many offences. Further research would be able to give more certainty about that. Police registration does not contain many files regarding the cybercrime hate sowing. We have found 40 files over the period 2002-2007. Not a single hate sowing file was found during the cybercrime study in the files of two police forces. Van Stokkom e.a. (2007) conclude that most punishable expressions on the internet are left alone, and police statistics are not very usable because there is no proper national data collection and detection of hate sowing expressions and incidents. The MDI received 1.078 reports in 2007, but the majority was never brought to court. Despite the limited number of charges, Van Stokkom e.a. (2007:16)
16
speak of a ‘hate epidemic’ on the internet. According to these authors, radicalism provokes counter-radicalism; muslims and non- muslims may end up in a self-sustaining spiral of mutual mistrust and hostility. However, on the basis of the literature study we cannot underpin this. Hate sowing is simply not reported often enough. With hate sowing, it is socially relevant to know ‘how the land lies’. We have not systematically recorded which part of the population the suspects had been aiming for (so, whether suspects are mainly right-extremist, or rather fundamentalistic muslims). We have made a short summary of each file. These summaries show that most files deal with suspects with right-wing extremist ideas, who mainly aim for ‘the foreigners’ and ‘the immigrants’. Suspects also make anti-Semitic remarks in a few files, and in some files homosexuals were discriminated. Cybercrime in the Netherlands: similarities and differences2 All in all, e- fraud, child pornography and hate sowing are seen to be crime forms with little connection with other types of criminality. Only hacking seems to have clear connections with other crime forms. Hacking can be seen as a means to commit an other crime. The analyses indicate that we are not only dealing with va rious cybercrimes with relatively few connections, but also with various groups of offenders that probably overlap only very little. The suspects can be outlined as follows: − A suspect of cybercrime is probably male, and will probably be found in the age group of 12 – 45 years. Child pornography is an exception: a suspect of this is almost certain male, but it is impossible to be certain about his age. − Cybercrime offenders rarely commit their crimes in an organised setting. However, orga nised crime is found with e-fraud and child pornography. − Suspect and victim are often acquaintances in hacking files, but this is not the case with efraud and child pornography. − The motivation of hacking suspects is often found in relationships. The primary motivation of e-frauds is usually financial profit, suspects in child pornography cases more often have curiosity and addiction/sexual need as motivation. The motivation in hate sowing files is various, it is usually revenge, or ideological/nationalist motives are concerned. On the total number of cybercrimes in the police files, organised crime hardly plays a role. But that is also the case with offline crime: the majority of the offences is no part of organised crime. But because organised crime can affect social structures (e.g. blending of upper- and underworld, laundering, possession of real estate, corruption) it deserves, just like research in offline crime, separate attention. And so, research into organised cybercrime is required. We cannot be definite about the absolute scope of cybercrime in The Netherlands. It is only a very small part of the criminality registered with the police. The results from a victim study in Friesland indicates a substantial dark number. A national victim study will be necessary in order to fill this knowledge gap. That same knowledge gap makes it very difficult to say anything definite about the social impact on the basis of the police files. The most important deficiency is that the files do not give much information about the level of frequency of the various offences. It was to be expected that cybercrimes affect the personal privacy, and also the fact that people do not have much confidence in e-commerce anymore after they have been a victim of e- fraud is also hardly a surprise. We could find the occurrence of these effects in the files, but the extent to which this is the case we could not deduce. Police files are unsuitable for that. 2
We have not been able to find sufficient files on cyber extortion to be able to make a comparison with other cybercrimes in the study, and so this will be ignored.
17
Conclusions The most important conclusion from this research is that cybercrime is of the people. When we started this study, the literature, media and policy documents gave us a picture of hightech cyber criminals who operate from abroad in organised groups, making large-scale victims. But this image should be modified. Our files show that many ‘small offences’ are committed by more or less ordinary suspects that operate individually. On the basis of the file study is seems plausible to assume that cybercrime has the same structure as classical (offline) crime. After all, with classical crime there is also a large group of offenders who commit relatively small offences (like burglary and theft) on a more or less individual basis, and there are a few groups that commit organised crime. So, organised groups do not monopolize cybercrime. Cybercrime belongs to everybody. The fact that cybercrime is of the people does have implications for police policy and will lead to the conclusion that knowledge and skills in the field of cybercrime should be widely available in the force: every police agent should have some basic knowledge of cybercrime. After all, there is an increasing chance that officers will have to deal with a cybercrime aspect in a classical case, e.g. someone is stalked and his/her e- mail account is hacked. In addition, cybercrime appears to be committed not only by organised groups abroad. That is why the fight of cybercrime should not only be the domain of specialist teams (as is usually the case now). An other conclusion which has implications for police policy is that almost a quarter of the hacking suspects, and almost fifteen per cent of the e- fraud suspects operate from abroad. This is not surprising, also in literature cybercrime is regarded a global problem. So, cybercrime is a problem that does not always stop at the border. This internationalizes the work of the police. Traditionally, internationally operating offenders were usually part of an organised group of offenders (for example, drug smuggling and frontier running). Internationally operating offenders would end up with specialist teams of the police. In case of cybercrimes, smaller criminals now also cooperate internationally. Non-specialist teams in all police districts will now also have to deal with internationally operating offenders. The cybercrimes e-fraud, child pornography and hate sowing are isolated, and have few connections with other forms of criminality. Suspects of these cybercrimes are no criminal generalists, but limit themselves to their type of cybercrime, although they sometimes do commit related crimes (for example, the owner of digital child pornography also manufactures child pornography). Contrary to the other cybercrimes in our study, hacking is not isolated. Hacking has connections with a large number of other crime forms, and it is usually a means to commit other crimes. The file study shows that the hacking cases are a combination of cybercrime in the restricted sense (computers or computer data are the target), offences against property and inter-human conflicts. In literature it is often claimed that the motives of hackers shifted from ‘hacking for fame’ to ‘hacking for fortune’. Cyber criminals would become more interested in financial profit. However, we have not been able to find an empirical foundation for these statements. The motivations of the hackers in our files varied, for example revenge, curiosity and financial profit. So, there is a group of hackers that commits offences for money, but an other development seems to be more dominant: the democratization of hacking (hacking is no longer reserved for advanced computerers) and the corresponding motives which are related to relationships (we then see ex- lovers or youngsters frustrating each other by publicizing sensitive information or blackening each other’s reputation). In short, in our study the re is no unilateral shift of hacking for fame to hacking for fortune, the shift is multilateral, especially because hacking has become more and more of the people. The rise of hacking for revenge can be called remarkable in that respect.
18
Cybercrime suspects are usually born in The Netherlands, male and under 45 years of age. The division between men and women in the cybercrime files differs significantly from the division within the Dutch population. This specifically applies to child pornography, which is a real male offence. For two types of cybercrime the percentage of male suspects differs significantly from the ‘average suspect’ in HKS. With child pornography the percentage of men is larger. With e- fraud the percentage of men is smaller (p<0,01). Women commit relatively many frauds with adverts on online auction sites: over a quarter of the e- fraud suspects is female. We do not know how many civilians and companies are the victim of cybercrime. There is no victim research. Our file study shows that mainly individuals report a crime with the police. Men and women from all age groups may become the victim (it should be noted that men are generally more often a victim, and that the age category of 55+ is underrepresented). We only found a few companies tha t had become a victim and reported the crime. Of all registered reports and charges in 2007 by the police in Hollands-Midden and Zuid-Holland-Zuid, less than 1 per cent concerns cybercrime. But figures on police reports do not say much about the actual number of victims. Only a part of all offences are reported or charged. The readiness to report crimes is lower for cybercrimes than for classical crimes. To be able to comment on the dark number we carried out a survey among 1.246 internetting inhabitants of Friesland. We found a readiness to report of 3,6 per cent, over 56 victims of various types of cybercrime. This is significantly lower than the average of 36 per cent in 2008 for all offences in the Integrale Veiligheidsmonitor (IVM, Integral Safety Monitor, previously called State Safety Monitor) (p<0,01). The readiness to report is low for victims of cybercrime, the dark number is high. We do not know how big the readiness to report is for companies. Recommendations Very little is known about the scope of cybercrime. The registered number of reports and records seems very low. Especially companies do not report the crime. But we know hardly anything about the readiness to report nor about the actual victimship. Victim surveys are required to obtain a better insight in the nature, scope and readiness to report cybercrime. We can deduce little about the offenders from the police files, while knowledge about the offenders may give important clues for the detection (offender profiling), may give insight in prevention possibilities and may offer possibilities for early signalling. More knowledge about offenders requires offender research. If the police are willing to work on offender profiling for cybercrimes, they should also register the information about apprehended suspects (better). From the file study a picture emerges that cybercrime is usually committed by suspects that operate relatively independently and who have no connections with organised crime. This does not mean that organised criminal groups are not involved in cybercrime; like in the offline world most (small) offences are committed by a large group of suspects and a small part of the crime is (systematically) committed by organised groups. There is no info rmation in the police files about organised cybercrime. In order to obtain more information about that, special targeted research is needed. We analysed 665 police files. But we do not know which files were sent to the public prosecutor, nor whether the suspects were eventually convicted. Additional research is needed to gain insight in that process in the chain of criminal justice, and the bottlenecks occurring in that process. We concluded that the police as a whole will come across cybercrime more often. They will have to familiarize themselves with the knowledge to be able to deal with that adequately.
19
1. Inleiding en verantwoording 1.1 Aanleiding tot dit onderzoek Internet biedt mensen communicatie- en handelingsmogelijkheden die zij daarvoor niet hadden. Zij maken daarvan volop gebruik, ook voor criminele doeleinden. Het gebruik van internet bij het plegen van delicten is al lang niet meer nieuw (Akdeniz, 1996; Duncan, 1997; Durkin 1997; Van Eecke, 1997; Boerstra, 1997; Grabosky en Smith, 1998). Te verwachten is dat de met internet verweven criminaliteit de komende jaren toeneemt (CPB, 2004). De Nederlandse overheid geeft aan de opsporing en bestrijding van cybercrime prioriteit en neemt verschillende juridische en organisatorische maatregelen. Voorbeelden hiervan zijn aanpassingen in wetgeving door de inwerkingtreding van de Wet op Computercriminaliteit-II in 2006, het in 2006 instellen van de Nationale Infrastructuur ter bestrijding van CyberCrime (NICC), de oprichting van een Meldpunt Cybercrime, de oprichting van het Team High Tech Crime (THTC) bij het KLPD, de ondertekening van het Verdrag van Lanzarote in 2007 (met afspraken over strafbaarstelling van Grooming en van het zich bewust toegang ve rschaffen tot kinderporno, respectievelijk artikel 20 en 23 van het Verdrag), het instellen en verder ontwikkelen van internetfilters tegen kinderpornografie, de verdere ontwikkeling van notice and take down-procedures (NTD) en het Programma Aanpak Cybercrime (PAC) van de Raad van Hoofdcommissarissen. Criminaliteitsbestrijding vereist kennis over aard en omvang van de criminaliteit, in dit geval cybercrime. Bij herhaling wordt echter geconstateerd, ook door politie en justitie zelf, dat politie en justitie de ontwikkelingen maar moeizaam kunnen bijbenen. Groot probleem is gebrek aan kennis over wat zich op internet precies afspeelt met betrekking tot criminaliteit en hoe dat kan worden opgespoord (Stol e.a. 1999; PWC 2001; LPDO 2003; Griffith, 2005; Lünnemann e.a., 2006; Van der Hulst en Neve, 2008). Dat is een ongewenste situatie. Wil de politie haar taak op het vlak van cybercrime goed vervullen, dan dient zij zich een goede informatiepositie te verwerven aangaande die criminaliteit en de daders ervan. Deze volgorde (eerst een goede informatiepositie creëren, dan keuzen maken in criminaliteitsbestrijding) is een centraal uitgangspunt in informatiegestuurde politie - IGP (Van Panhuis, 2008). In deze benadering is het uitvoeren van wetenschappelijk onderzoek naar bepaalde criminaliteitsvormen een eerste stap in criminaliteitsbestrijding. Onderhavig verslag bevat zo’n analyse betreffende cybercrime: de Verkenning Cybercrime in Nederland 2009 (VCN2009). 1.2 Onderwerp en doel van onderzoek Onderwerp Dit onderzoek gaat over cybercrime. Daarvan zijn verschillende definities in omloop (bv. PAC, 2008a, 2008b; Van der Hulst en Neve, 2008; Sey e.a., 2008). In dit onderzoek hanteren wij cybercrime als overkoepelend begrip voor alle vormen van criminaliteit waarbij ICT een wezenlijke rol speelt in de realisatie van het delict. We onderscheiden vervolgens twee subcategorieën. Voor delicten waarbij ICT zowel instrument als doelwit is, hanteren we de term ‘cybercrime in enge zin’. Voorbeelden zijn hacken en de verspreiding van virussen. In de tweede subcategorie, ‘cybercrime in ruime zin’, vallen delicten waarbij ICT van wezenlijk belang is voor de uitvoering, maar waarbij ICT geen doelwit is (zie figuur 1.1).
20
Figuur 1.1: Definitie van cybercrime
Uitwerking
Categorie
Cybercrime: alle vormen van criminaliteit waarbij ICT een wezenlijke rol speelt Cybercrime in enge zin
Cybercrime in ruime zin
Criminele activiteiten waarbij ICT zowel instrument als doelwit is
Criminele activiteiten waarbij de inzet van ICT als instrument van wezenlijk belang is voor het plegen van het delict en waarbij ICT niet het doelwit is
De vraag is wanneer ICT van wezenlijk belang is voor het plegen van het delict en wanneer ICT alleen als ‘een hulpmiddel’ is gebruikt en we dus niet spreken van cybercrime (bijvoorbeeld de inbreker die met Google-maps een vluchtroute uitstippelt). Het model in figuur 1.1 is theoretisch en de grenzen tussen de categorieën kunnen alleen duidelijk worden gemaakt aan de hand van empirisch materiaal. Een voorbeeld van een delict dat valt onder de categorie cybercrime in ruime zin is oplichting via online verkoopsites. Op de website verkoopt de oplichter spullen maar levert deze nooit aan de afnemers. Zonder de online veilingwebsite zou het delict niet op deze wijze gepleegd kunnen worden. Er is echter geen sprake van cybercrime indien een bedrijf via een huis-aan-huis blad klanten oplicht en deze praktijken bijhoudt in een schaduwboekhouding op een van de bedrijfscomputers. Het delict kon in dit geval ook net zo gepleegd worden zonder gebruik van de genoemde ICT. Uit dit voorbeeld blijkt al dat het eenvoud ig is een casus te verzinnen die moeilijk is in te delen. Wie vanachter het bureau een sluitende definitie voor cybercrime wil opstellen, heeft dan ook een lastige taak. Voor wie vertrekt vanuit de criminaliteit die zich in de samenleving voordoet, is het echter niet bijzo nder ingewikkeld om te beoordelen wat als cybercrime kan worden aangemerkt. Het is deze empirische, of zo men wil maatschappijgeoriënteerde, benadering die wij in deze studie vo lgen. Doel van onderzoek Het onderzoek moet uiteindelijk bijdragen aan de bestrijding van cybercrime. Het dichterbij gelegen doel is het bieden van inzicht in de voor de politie meest relevante verschijningsvo rmen van cybercrime. 1.3 Onderzoeksvragen De vier hoofdvragen in dit onderzoek luiden: 1. Wat is de aard van de cybercrimes? 2. Wat is bekend over de daders? 3. Wat is de omvang van de cybercrimes? 4. Wat is de maatschappelijke impact van de cybercrimes? De hoofdvragen werken we als volgt uit in subvragen: 1. Wat is de aard van de cybercrimes? a. Welke verschijningsvormen heeft de cybercrime? b. Hoe gaan daders te werk (Modus Operandi)? c. Is sprake van zware/georganiseerde criminaliteit?
21
d. Zijn er dwarsverbanden tussen de cybercrimes? 2. Wat is bekend over de verdachten/daders (profilering)? a. Wat zijn persoonskenmerken van de verdachte/dader? b. Wat is de sociale achtergrond van de verdachte/dader? c. Is de verdachte/dader betrokken bij andere vormen van cybercrime? d. Is de verdachte/dader betrokken bij vormen van criminaliteit anders dan cybercrime? e. Werkt de verdachte/dader in groepsverband of als individu? f. Uit welk land pleegt de verdachte/dader de vorm van cybercrime in Nederland? g. Heeft de cybercrime een nationaal of internationaal karakter? 3. Wat is de omvang van de cybercrimes? a. Hoeveel zaken van deze soort bevatten de politieregistraties? b. Wat is over de omvang bekend in de literatuur? c. Hoe breed is het daderschap verspreid (is het een specialisme of wordt het door iedereen gepleegd?) 4. Wat is de maatschappelijke impact van de cybercrimes? a. Wie zijn slachtoffers van deze cybercrime? b. Wat is de schade voor de slachtoffers? c. In welke verhouding zijn individuen en bedrijven het slachtoffer? 1.4 Methodologische verantwoording Verkennend onderzoek Dit onderzoek is een verkenning naar aard en omvang van cybercrime in Nederland. Onderzoek naar aard en omva ng van een bepaald criminaliteitsterrein wordt bij de politie ook wel ‘criminaliteitsbeeldanalyse’ (CBA) genoemd. ‘Een Criminaliteitsbeeldanalyse heeft een strategisch doel en wordt gewoonlijk omschreven als een criminaliteitsanalyse die inzicht geeft in een bepaalde vorm of vormen van criminaliteit in een bepaald geografisch gebied’ (Meesters en Niemeijer, 2000:294). Van Panhuis, docent aan de Politieacademie, definieert criminaliteitsanalyse als ‘het door analyses inzichtelijk maken van criminaliteits- en onveiligheidsproblemen ten behoeve van de aanpak ervan.’ Een Criminaliteitsbeeldanalyse is dan ‘een gestandaardiseerd overzicht van aard en omvang van bepaalde criminaliteit in een bepaald gebied’ (Van Panhuis, 2008:224,229). Op het gebied van cybercrime bestaat echter nog geen standaard, zoals wel het geval is voor een CBA-Jeugd. We zullen het hier dus zonder zo’n voorgeschreven structuur moeten doen. Moerland en Mooij stellen dat een criminaliteitsanalyse is gebaseerd op door de politie geregistreerde criminaliteitsgegevens (2000:46). Minnebo omschrijft criminaliteitsanalyse echter als: ‘het beoordelen van het geheel aan beschikbare informatie op betekenis voor de voorkoming en bestrijding van criminaliteit, met als doel vertaling van het uit die informatie te verkrijgen inzicht naar praktische aanbevelingen voor beleidsontwikkeling en de planning en uitvoering van concrete preventieve acties en opsporingsactiviteiten’ (2007:17 – onze cursivering). Minnebo beperkt zich daarmee niet tot politieregistraties. Die benadering nemen we over. Juist omdat over cybercrime nog zo weinig is bekend, is het immers van belang om niet uitsluitend naar de door de politie geregistreerde gegevens te kijken. We bouwen in deze verkenning dan ook voort op hetgeen in de nationale en internationale literatuur reeds bekend is over cybercrime. We voegen daaraan toe een systematische analyse over politiedossiers. Een dergelijke analyse ontbrak tot nu toe in Nederland. Wat de vraag naar daders betreft, sluit ons onderzoek aan bij het werk van Van der Hulst en Neve
22
(2008). Hun studie vermeldt wat in de literatuur bekend is over daders van cybercrime. Analyse op basis van politiedossiers voegt daaraan een nieuwe dimensie toe. Keuze voor cybercrimes Niet iedere verschijningsvorm van cybercrime kan in dit onderzoek worden opgenomen, daarvoor is de lijst met cybercrimes te lang (bv. Van der Hulst en Neve, 2008). De onderzoeksvraag is gericht op de voor de politie meest relevante cybercrimes. We richten ons derhalve op cybercrimes die als belangrijke maatschappelijke problemen gezien kunnen worden (aannemende dat die crimes dan dus ook voor de politie relevant zijn) en/of voor politie en justitie hoge prioriteit genieten. Afgaande op politie- en justitie prioriteiten staan in elk geval twee uitingsdelicten in de top qua maatschappelijke ernst: het verspreiden van kinderpornografie (art. 240b Sr) en ‘radicale en terroristische uitingen’ (www.meldpuntcybercrime.nl). Het Meldpunt Cybercrime (MCC) geeft op haar website geen duidelijke definitie van ‘radicale en terroristische uitingen’, maar schrijft daaronder te verstaan ‘het oproepen tot het plegen van geweld’, ‘dreigen met op mensenlevens gericht geweld’, ‘extremistische filmpjes of geluidsfragmenten’ en bedreiging ‘van bepaalde mensen of instanties’. We sluiten met ons onderzoek aan bij het in dit verband gangbare begrip ‘haatzaaien’ (hate crimes). In termen van delictsomschrijvingen dient men dan te denken aan: godslastering (art. 147 en 147a Sr), belediging van een bevo lkingsgroep (art. 137c Sr), discriminatoire uitlatingen (art. 137d-g Sr) en opruiing (art. 131 Sr). Een derde cybercrime die prioriteit bij de politie heeft is cyberafpersing, dit is één van de aandachtsgebieden van het Team High Tech Crime van het KLPD. Afpersingen van grote internationale organisaties, nutsbedrijven en overheidsinstellingen kunnen grote schade aan de vitale infrastructuur aanrichten. Daarnaast kunnen consumenten het vertrouwen verliezen in bedrijven die worden afgeperst. Afpersing is strafbaar gesteld in de artikelen 317 Sr (afpersing) en 318 Sr (afdreiging). Daarnaast zal er bij cyberafpersing doorgaans sprake zijn van computervredebreuk (art. 138a Sr) en niet zelden ook van het onbruikbaar maken van digitale gegevens (art. 350a Sr). Een cruciaal maatschappelijk probleem is identiteitsmisbruik. Criminelen die hun identiteit effectief weten te verhullen, zijn immers moeilijk vatbaar voor overheidsingrijpen (vgl. Foucault, 1975). Identiteitsmisbruik staat niet als zo danig in het Wetboek van Strafrecht. Er kan sprake zijn van strafbare feiten voor het verkrijgen van de identiteit (bijvoorbeeld computervredebreuk, art. 138a Sr), we spreken dan van identiteitsdiefstal, en er kan sprake zijn van strafbare feiten bij het gebruik maken van de valse identiteit (bijvoorbeeld oplichting; art. 326 Sr). E-fraude bedreigt het vertrouwen in e-commerce. Naast de directe financiële schade van de slachtoffers heeft e- fraude (en in het bijzonder de criminele technieken phishing en spyware) een aantal neveneffecten: verminderde productiecapaciteit, hogere kosten voor technische ondersteuning, diefstal van gevoelige bedrijfsinformatie en het verlies van ve rtrouwen van de consument in bedrijven (Hackworth, 2005). Fraude staat niet onder die noemer in het Wetboek van Strafrecht. Meestal is sprake van oplichting (art. 326 Sr) en/of valsheid in geschriftgeschrift (art. 225 Sr), maar ook kunnen diefstal (art. 310 Sr), verduistering (art. 321 Sr) en heling (art. 416 Sr) of een combinatie van deze delicten aan de orde zijn. Bij fraude in e-commerce is ook nogal eens sprake van computervredebreuk (art. 138a Sr) of van opzettelijk wederrechtelijk wijzigen van computergegevens (art. 350a Sr). Hacken zouden we, net als identiteitsmisbruik, kunnen opvatten als een basisdelict, omdat het voor de dader openingen biedt naar andere criminaliteitsvormen. Een zelfstand ige maatschappelijke prioriteit is het aanpakken van hacken niet, maar omdat het een basisdelict is in het veld van cybercrime, krijgt hacken onze aandacht.
23
Als centrale problemen op het gebied van cybercrime zijn op dit moment dus aan te merken: verspreiden van kinderpornografie, haatzaaien, cyberafpersen, identiteitsmisbruik en e-fraude. Het basisdelict bij cybercrime is, naast identiteitsmisbruik, hacken. Kinderporno en radicale uitingen (haatzaaien) liggen momenteel maatschappelijk het gevoeligst; met kinderporno als het minst omstreden probleem van die twee (over wat strafbare kinderporno is bestaat minder discussie dan over wat strafbare radicale uitingen zijn). Het in de vorige alinea geschetste beeld is door de jaren heen vrij constant, met dien verstande dat haatzaaien pas een werkelijk gevoelig maatschappelijk probleem is geworden na de aanslagen in New York en Washington op 11 september 2001 en de moord op Theo van Gogh op 2 november 2004. De hoge prioriteit voor het bestrijden van kinderporno op internet is een constante door de jaren heen, hetgeen ook is terug te zien in diverse internationale ve rdragen (Stol e.a. 1999, Stol 2004). De aandacht voor cyberafpersen is in dit onderzoek vooral ingebracht vanwege de prioriteit die het KLPD-team High Tech Crime daaraan geeft. In dit onderzoek behandelen we dan ook de volgende cybercrimes: hacken, e- fraude (inclusief identiteitsmisbruik), cyberafpersen, kinderporno en haatzaaien. Methoden van onderzoek De volgende methoden van onderzoek zijn gebruikt: - Media-analyse. Het onderzoek is gestart met een media-analyse. Via de LexisNexis databank zijn de landelijke dagbladen uit Nederland op berichten over cybercrime in 2006 en 2007 bekeken. Dit leverde niet alleen informatie over cybercrimes op, maar ook over bijvoorbeeld onderzoeksrapporten, politieacties en sleutelpersonen. - Webresearch. We zochten op internet naar informatie over cybercrime, onderzoeksrapporten en sleutelpersonen. Door het onderwerp van dit onderzoek is deze methode geschikt gebleken om sleutelfiguren en onderzoeksrapporten voor een groot deel te vinden via internet; rapporten op het gebied van ICT worden vaak digitaal aangeboden en besproken. - Documentenanalyse. We namen beleids- en visiedocumenten omtrent de bestrijding van cybercrime door. - Literatuurstudie. Via mediatheken zochten we boeken, artikelen, rapporten en andere relevante publicaties. - Dossieranalyse. We analyseerden politiedossiers inzake cybercrime. Uitgangspunt van de dossieranalyse was om per cybercrime 200 dossiers te bestuderen. Dat hebben we niet gehaald. In een paar gevallen (afpersen en haatzaaien) bevatte de politieregistratie niet zoveel zaken. Verder vielen na een eerste inhoudelijke beoordeling nog dossiers uit de selectie omdat bijvoorbeeld een aangifte ontbrak of het toch geen cybercrime betrof. In totaal zijn 665 dossiers in de analyse opgenomen (tabel 7.1). Speciale aandacht gaat uit naar werkwijze en kenmerken van verdachten. De dossiers zijn geanalyseerd aan de hand van een door ons ontwikkeld protocol (bijlage 10). De dossieranalyse lichten we hieronder nader toe. Selecteren van dossiers Alle dossiers zijn geselecteerd met behulp van BlueView, een programma waarmee landelijk alle basisprocessens ystemen van de politie kunnen worden bevraagd. Doordat de cybercrimes uit dit onderzoek niet onder één omschrijving vallen (het gaat immers om uiteenlopende delicten zoals hacken, fraude en haatzaaien) is besloten om de dossiers met behulp van sleutelwoorden te selecteren. Daarnaast hebben we getracht om de dossiers over zoveel mogelijk politieregio’s te spreiden, teneinde een landelijk beeld te krijgen. We stelden een set sleutelwoorden op waaraan de dossiers moesten voldoen. Het doel was om dossiers te analyseren die
24
zo recent mogelijk waren. 3 Uit de eerste tests bleek dat in de dossiers uit 2008 onvoldoende informatie over de daad en de verdachten stond. Zaken liepen nog of waren nog niet opgepakt. Daarom zijn de meest recente dossiers die we selecteerden uit 2007. Uit de resultaten van de eerste selectie met sleutelwoorden exporteerde een infodeskmedewerker met behulp van BlueView dossiers die relevant leken. Dit gebeurde na het lezen van de korte samenva tting die BlueView van het dossier weergeeft (een paar regels uit het dossier waarin de betreffende zoektermen voorkomen) en aan de hand van de omschrijving waaronder de cybercrime stond (delicten die bijvoorbeeld onder ‘alcoholcontrole’ stonden vielen buiten deze eerste selectie). Op een stand-alone computer (een computer die niet op het netwerk van de politie en niet op internet is aangesloten) heeft één van de onderzoekers vervolgens de dossiers gescreend en bekeken of het daadwerkelijk leek te gaan om het type zaken waarnaar we op zoek waren. Vervolgens heeft deze onderzoeker de dossiers die relevant leken in een apart document gezet. Deze dossiers zijn door vijf student-assistenten met behulp van het door de onderzoekers ontwikkelde protocol geanalyseerd, waarbij opnieuw zaken afvielen omdat bijvoorbeeld in die fase alsnog bleek dat het geen cybercrime betrof. Tot zover de algemene werkwijze. Hierna bespreken we het proces van de selectie per cybercrime. Dossiers hacken. De dossiers voor de cybercrime hacken hebben we geselecteerd via de zoeksleutel: ‘hack*’. Daarbij werd aangegeven dat de pleegdatum in 2007 moest liggen. Alle dossiers waarin het woord ‘hack’ staat, of waarin ‘hack’ het eerste deel van het woord vormt, worden op deze manier geselecteerd. De infodeskmedewerker exporteerde na een eerste scan 300 dossiers en de onderzoeker selecteerde hieruit 199 zaken. Na een uitgebreidere inhoudelijke analyse door student-assistenten bleek dat er 175 bruikbare en 24 onbruikbare dossiers waren (respectievelijk 87,9 en 12,1 procent). Dossiers e-fraude. De dossiers voor de cybercrime e- fraude hebben we geselecteerd via de zoeksleutel: ‘(internet AND fraude) OR (internetfraude)’. Daarbij werd aangegeven dat de pleegdatum in 2007 of 2006 moest liggen. De infodeskmedewerker exporteerde vervolgens na een eerste scan 600 dossiers en de onderzoeker selecteerde hieruit 418 relevante zaken. Na de uitgebreidere analyse door de student-assistenten bleek dat er in totaal 314 bruikbare en 104 onbruikbare dossier waren (respectievelijk 75,1 en 24,9 procent). Dossiers cyberafpersen. De dossiers voor cyberafpersen hebben we geselecteerd via de zoeksleutel: ‘(afpers* OR afdreig* OR chant*) AND internet’. Omdat we te weinig dossiers vonden in 2007, herhaalden we deze zoeksleutel voor de jaren 2003 tot en met 2006. Ook is gezocht met de zoeksleutel ‘bedreig* AND internet’. Deze zoekslag leverde echter te veel dossiers op die niets met cybercrime of cyberafpersen te maken hadden. Veel dossiers gaan bijvoorbeeld over bedreigingen met geweld via MSN (dus zonder afpersen) of over zaken waarin een slachtoffer van een bedreiging aangeeft de verdachte te kennen via internet. De infodeskmedewerker exporteerde uit de resultaten van de eerste zoekslag 300 dossiers en de onderzoeker selecteerde hieruit 57 relevante zaken. Na de uitgebreidere analyse door student-assistenten bleek dat 13 dossiers bruikbaar en 44 onbruikbaar waren (respectievelijk 22,8 en 77,2 procent). Dossiers kinderporno. De dossiers voor de cybercrime kinderporno selecteerden we via de zoeksleutel: ‘kinderporn*’. Alle dossiers waarin het woord ‘kinderporno’ voorkomt, of waarin ‘kinderporn’ het eerste deel van een woord is (bijvoorbeeld kinderpornografie) vallen 3
Het was niet mogelijk om een representatieve steekproef te trekken. Onbekend is hoeveel cybercrime-dossiers er in de politiesystemen staan en hoe deze delicten door politiemensen zijn ‘weggeschreven’. Daarom is besloten om de eerste 200 dossiers die voldeden aan onze zoeksleutel te analyseren. Inmiddels zijn deze zoeksleutels verbeterd en is er meer inzicht in het registratiegedrag van politiemedewerkers inzake cybercrime en over de aard en omvang van het geregistreerde werkaanbod cybercrime bij de Nederlandse politie (zie Toutenhoofd-Visser e.a., 2009; Domenie e.a. 2009).
25
op deze manier in de selectie. Daarbij werd aangegeven dat de pleegdatum in 2007 moest liggen. De infodeskmedewerker exporteerde na een eerste scan 300 dossiers en de onderzoeker selecteerde hieruit 200 relevante zaken. Na analyse door student-assistenten bleek dat er 159 bruikbare en 41 onbruikbare dossiers waren (respectievelijk 79,5 en 20,5 procent). Dossiers haatzaaien. De dossiers voor de cybercrime haatzaaien hebben we gesele cteerd via de zoeksleutel: (‘haatzaai*’ OR ‘discrimin* OR oprui* OR godslast*) AND (internet)’. Omdat we te weinig relevante dossiers vonden in 2007, is deze zoeksleutel herhaald in de jaren 2003 tot en met 2006. De infodeskmedewerker exporteerde na een eerste scan 200 dossiers en de onderzoeker selecteerde hieruit 119 relevante zaken. Na de uitgebreidere inhoudelijke analyse door student-assistenten bleek dat 40 dossiers bruikbaar en 79 onbruikbaar waren (respectievelijk 33,6 en 66,4 procent). MO-beschrijvingen in dossiers Om iets te zeggen over de modus operandi, hebben we een analyse gemaakt van de MO zoals die door politiemedewerkers in het politiedossier is vastgelegd. Politiemedewerkers kunnen een MO-beschrijving maken door MO-elementen te kiezen uit een vaste lijst van honderden MO-elementen. Bovendien kunnen ze zelf een MO-element invoeren. De totale MObeschrijving zoals wij die aantroffen bestaat uit een serie door politiemedewerkers ingevoerde MO-elementen. Het resultaat van het invoerwerk van politiemedewerkers is dan bijvoorbeeld: ‘winkel pin/geldautomaat hacken (inbreken in computer) communicatie apparatuur’, ‘woning tussen geld aanbieden’ of ‘woning bejaarde persoon advertentie als eigenaar aanbieden internet gift geen bruikbare sporen’. Om tot een overzicht te komen hebben we uit dergelijke totale MO-beschrijvingen de terugkerende elementen geselecteerd en op grond daarvan een overzicht gemaakt. Elementen die zeer weinig voorkwamen lieten we buiten beschouwing. In de tabellen met MObeschrijvingen staat bijvoorbeeld het element ‘hacken’. De daarbij genoemde frequentie verwijst dan naar het aantal keren dat dat element voorkwam in de door ons aangetroffen MObeschrijvingen. Opvragen van antecedenten Van verdachten en slachtoffers (aangevers) in de dossiers vroegen we de antecedenten op. We vroegen eerst of en zo ja in welke van de standaardhoofdgroepen van delicten zij staan ve rmeld. Dat geeft een globale indruk. Daarna vroegen we of ze antecedenten hebben voor artikelen die in de buurt komen van de cybercrimes uit deze VCN2009. We beogen zo enig zicht te krijgen op de mate waarin daders zich specialiseren in een bepaald type delict en op dat specifieke terrein in herhaling vallen. Ook hopen we zo nog weer enig zicht te krijgen op dwarsverbanden tussen de verschillende criminaliteitsvormen. De standaardhoofdgroepen zijn: − gewelddadig seksueel, − overig seksueel, − geweld tegen personen, − vermogen met geweld, − vermogen zonder geweld, − vernieling / openbare orde, − verkeer, − drugs, − overige.
26
Daarna vroegen we in verband met de cybercrimes in deze studie antecedenten op voor de volgende artikelen:4 - Hacken. Alleen voor hacken kunnen we eenduidig vaststellen dat een verdachte daarvoor antecedenten heeft omdat voor hacken een specifiek artikel in het Wetboek voor Strafrecht is opgenomen, namelijk artikel 138a (computervredebreuk). Daarnaast kijken we in verband met hacken ook naar antecedenten voor vernieling van gegevens (350a en 350b Sr) het veroorzaken van een stoornis in een systeem (161sexies en 161septies Sr) en voor het aftappen van gegevens of het plaatsen van aftapapparatuur (139c en 139d Sr). - Fraude. In verband met fraude hebben we antecedenten opgevraagd voor het vervalsen van een betaalpas of waardekaart (232 Sr), oplichting (326 Sr) en voor valsheid in geschrift (225 Sr). - Afpersen. In verband met afpersen vroegen we antecedenten op voor afpersing (317 Sr) en afdreiging (318 Sr). - Kinderporno. Hiervoor vroegen we antecedenten op voor het kinderpornoartikel 240b Sr. Net als hacken heeft kinderporno een specifiek artikel in het Wetboek van Strafrecht, alleen is bij een antecedent voor 240b Sr nog niet zeker of het een cybercrime betreft. - Haatzaaien. In dit verband vroegen we naar antecedenten voor godslastering (147 Sr; we zochten niet op 147a Sr), opruiing (131 Sr) en artikelen inzake discriminatoire uitingen (137c-g Sr). Bij het opvragen van antecedenten en het analyseren van de resultaten daarvan, stuitten we op een onvoorziene complicatie. We selecteerden dossiers uit 2007 en indien nodig ouder, en niet uit 2008. We wilden daarmee voorkomen dat we dossiers zouden selecteren met weinig informatie over verdachten omdat de politie nog niet genoeg tijd had gehad die zaak in onderzoek te nemen en een verdachte te verhoren. De keerzijde van werken met dossiers van wat oudere datum is dat de politie de zaak al kan hebben behandeld, een verdachte kan hebben verhoord en hebben ingevoerd in HKS. Aldus bestaat de mogelijkheid dat we bij het opvragen van antecedenten ons eigen dossier als antecedent retour kregen. Dat probleem had kunnen worden ondervangen door bij elk antecedent ook de datum op te vragen, maar onze onderzoeksopzet voorzag daarin niet omdat we de politiemensen die het navragen uitvoerden daarmee niet wilden belasten. Dat doet afbreuk aan de waarde van de analyse voor wat betreft de mate waarin een verdachte recidiveert voor hetzelfde delict, zeker wanneer de selectie van dossiers veel zaken van oudere datum bevat. We hebben de antecedentenanalyse niet uit de rapportage geschrapt omdat de analyse toch tot op zekere hoogte informatief blijft, met name in het geval we geen antecedenten vonden of antecedenten vonden voor andere soorten delicten dan die in het dossier dat ons vertrekpunt was. Schoningstermijn antecedenten In HKS worden alleen antecedenten voor misdrijven geregistreerd, niet voor overtredingen. HKS schoont geen antecedenten, maar schoont personen. Dat wil zeggen dat alle antecedenten van een persoon blijven staan, totdat de schoningstermijn van het jongste antecedent ve rlopen is. Voor elk wetsartikel is een HKS-schoningstermijn bepaald. Voor zware misdrijven geldt een termijn van 30 jaar (bijvoorbeeld moord, doodslag en ve rkrachting), voor de andere misdrijven geldt een schoningstermijn van 15 jaar of van 6 jaar (bijvoorbeeld voor belediging). Daarnaast zijn er volgens HKS-medewerkers uitzonderingen. De antecedenten vroegen we op bij de dienst IPOL van het KLPD. Deze dienst heeft sinds 1996 de beschikking over een bestand met ge gevens uit HKS. Deze database wordt ge4
De artikelen staan beschreven in de hoofdstukken over de betreffende cybercrimes (hoofdstuk 2 tot en met 6, steeds paragraaf 2).
27
bruikt voor analysedoeleinden, niet voor operationele doeleinden. In 1996 is IPOL gestart met de personen die toen in HKS waren opgenomen. Elk jaar vult IPOL deze database aan met de personen en antecedenten die in het dan afgelopen jaar aan HKS zijn toegevoegd. In tege nstelling tot het operationele HKS wordt de IPOL-database niet geschoond. Personen van wie de verschoningstermijn is verstreken worden dus wel verwijderd uit het HKS voor operationele doeleinden maar niet uit de IPOL-database voor analysedoeleinden. Een aantal verdachten kan in ons onderzoek daarom als persoon met een antecedent naar voren zijn komen, terwijl de wettelijke schoningstermijn voor het operationele HKS al verstreken is. Herhaald dader- en slachtofferschap Op diverse plaatsen in het rapport zijn persoonsgegevens en antecedenten van verdachten en slachtoffers (aangevers) aan de orde. Enkele keren kwam een persoon meerdere keren voor, bijvoorbeeld een persoon die verdachte was in meerdere dossiers. In die gevallen hebben we die persoon maar één keer in de analyse opgenomen. Beperkingen van de methoden De vraag naar de omvang van cybercrimes is lastig te beantwoorden op basis van literatuurof dossierresearch. Hoeveel cybercrimes we terugvinden in politiedossiers is niet alleen afhankelijk van het aantal gepleegde delicten maar mede, en misschien wel vooral, afhankelijk van het aangiftegedrag van burgers en het registratiegedrag van de politie. Wat in Nederland ontbreekt, is een slachtofferenquête gericht op cybercrime. We hebben elders onderzocht wat het minimale aantal cybercrimes is dat voorkomt in de politieregistratiesystemen (Domenie e.a., 2009). Die gegevens gebruiken we samen met de bevindingen uit deze VCN2009 om in de navolgende hoofdstukken iets te zeggen over de mate waarin de verschillende cybercrimes voorkomen. We kunnen geen absolute aantallen noemen, ook niet bij benadering, maar wel, zij het met de nodige voorzichtigheid, iets zeggen over de onderlinge verhoudingen: welke cybercrime vaak en welke minder vaak voorkomt. Ook bij het opstellen van daderkenmerken willen we een kanttekening plaatsen. Er is bijvoorbeeld nog weinig wetenschappelijk onderzoek gedaan naar de grondslagen van gedragsmatige daderprofilering (zie bijvoorbeeld Van Ruth, 2008). Daarnaast hangt de praktische waarde van een dergelijk profiel af van de accuratesse van het profiel en de mate waarin de kenmerken die in het profiel staan, gebruikt kunnen worden tijdens de opsporing. De hypothesen betreffende de onbekende dader moeten zoveel mogelijk overeenkomen met de karakteristieken van de echte dader; of dit klopt is echter op voorhand niet te zeggen (Van Ruth, 2008). Zeker bij cybercriminaliteit is het opstellen van daderkenmerken die kunnen bijdragen aan de opsporing moeilijk, juist omdat er nog zo weinig over daders bekend is. Slechts bij een klein deel van de verschillende cybercrimes zijn daders gearresteerd en is er enig inzicht in hun kenmerken (Van der Hulst en Neve, 2008). Het ontbreekt dan ook aan gevalideerde instrumenten waarmee op basis van gedragswetenschappelijk onderzoek subcategorieën van daders van cybercrime kunnen worden onderscheiden (Rogers e.a., 2006b). Op grond van de bevindingen uit de literatuur hebben Van der Hulst en Neve (2008) geïnventariseerd wat er globaal bekend is over de daders van verschillende verschijningsvormen van cybercrime. De onderzoekers geven slechts aanwijzingen van mogelijke daderkenmerken die, voor het ontwikkelen van concrete daderprofielen, nog aan wetenschappelijke toetsing en evaluatie aan de (politie)praktijk bloot moeten worden gesteld. Er is volgens de onderzoekers nadrukkelijk slechts sprake van een summiere aanzet tot de ontwikkeling van risicoprofielen. Op basis van voortschrijdend inzicht en aanvullend onderzoek za l op langere termijn een nadere verfijning en uitbreiding op de gepresenteerde beschrijvingen noodzakelijk zijn. We presenteren bij elke cybercrime de daderkenmerken die Van der Hulst en Neve in dat verband noemen en vergelijken deze met de bevindingen uit onze dossierstudie.
28
Gebruik van gegevens uit politieregisters (dossieranalyse) Tijdens de periode waarin we de dossierstudie uitvoerden (december 2007 tot december 2008) vond een wetswijziging plaats betreffende het gebruik van gegevens uit politieregisters. Voor 1 januari 2008 was dit geregeld in de Wet Politieregisters (WPolR) en het Besluit Politieregisters (BPolR), vanaf 1 januari 2008 zijn de Wet Politiegegevens en het Besluit Politiegegevens van kracht. Omdat de dossierstudie plaats vond in de tweede helft van 2008 hebben we in dit onderzoek alleen te maken met de Wet Politiegegevens. Voor dit onderzoek kregen we van de minister van Justitie, conform artikel 22 van de Wet Politiegegevens, toestemming tot het inzien van politieregisters. Dit deel van het onderzoek is uitgevoerd vanuit het regiokorps Friesland.
29
2. Hacken 2.1 Inleiding Conform artikel 138a Sr (computervredebreuk) definiëren wij hacken als het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk. Uit de literatuur is af te leiden dat een hackpoging doorgaans voldoet aan drie criteria: het is ongeoorloofd, eenvoudig maar doordacht, en het getuigt van een hoge mate van technische onderlegdheid en expertise (Van Geest, 2006, Van der Hulst en Neve, 2008). De term hacken in combinatie met technologie stamt uit de jaren zestig van de 20ste eeuw. Het was een positieve beschrijving van iemand die bekwaam is in het ontwikkelen van elegante, creatieve en effectieve oplossingen voor technische problemen (Yar, 2006). Hacken was toen het innovatieve gebruik van technologie. De hackersgemeenschap die gevormd werd in de jaren zestig en zeventig had een eigen ethiek, beïnvloed door de sociale en politieke bewegingen in die tijd. Deze ethiek benadrukte het recht om vrijelijk informatie en kennis te vergaren. Deze hackers waren veelal bezig met het uit nieuwsgierigheid ‘onderzoeken’ van andermans computersystemen. Gevonden informatie werd gedeeld met anderen. Het beschadigen van systemen tijdens de zoektocht werd beschouwd als incompetent en onethisch (Stol e.a., 1999; Yar, 2006). In de literatuur wordt het verschil beschreven tussen hacking en cracking, zie bijvoorbeeld Rogers (2000) en Van Geest (2006). De term hacking wordt dan voornamelijk gebruikt voor mensen die met bonafide bedoelingen de beveiliging van een systeem doorbreken om zo veiligheidslekken aan te tonen. De term cracking daarentegen staat voor gelijksoortige activiteiten, maar dan uitgevoerd met kwade bedoelingen en doorgaans met vernieling als gevolg. Vaak wordt tussen hacking en cracking geen echt onderscheid gemaakt, niet in de laatste plaats omdat het verschil tussen hackers en crackers in de praktijk niet scherp is (Stol e.a., 1999; Van Geest, 2006). In dit onderzoek maken we een dergelijk onderscheid ook niet en gebruiken we enkel de term hacken. Er zijn verschillende technieken om te hacken, van het raden van wachtwoorden tot het uitbuiten van beveiligingslekken in software (Van der Hulst en Neve, 2008). Het is vaak niet mogelijk om in één keer de hoogste rechten te verkrijgen in een systeem (Ianelli en Hackworth, 2005). Een hacker zal derhalve gaandeweg steeds meer rechten trachten te ve rwerven, gebruikmakend van verschillende zwaktes in de beveiliging. In dit hoofdstuk behandelen we eerst de strafbaarstelling en verschijningsvormen van hacken (respectievelijk paragraaf 2.2 en 2.3). Vervolgens beschrijven we de verbanden die deze cybercrime heeft met andere vormen van (cyber)criminaliteit (2.4), behandelen we kenmerken van daders op basis van de literatuur (2.5) en kenmerken van verdachten op basis van politiedossiers (2.6). In paragraaf 2.7 gaan we dieper in op de slachtoffers. In paragraaf 2.8 kijken we naar de omvang van deze cybercrime, in 2.9 komen trends in hacken aan bod en in 2.10 volgt een resumé van dit hoofdstuk. 2.2 Strafbaarstelling Sinds de invoering van de Wet Computercriminaliteit I, in maart 1993, valt hacken in Nederland onder de werking van het strafrecht. Bij het strafbaar stellen van hacken is aansluiting gezocht bij artikel 138 Sr, huisvredebreuk (Dijkstra, 2008). Artikel 138a Sr stelt het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk strafbaar (zie figuur 2.1).
30
Figuur 2.1: Artikel 138a Sr: computervredebreuk of hacken (i.w.tr. 01-09-2006) 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging, b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of d. door het aannemen van een valse hoedanigheid. 2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt. 3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk; b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.
Volgens artikel 138a Sr moet sprake zijn van het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of een deel daarvan. Tot aan de wetswijziging in 2006 (Wet Computercriminaliteit II) luidde de redactie ‘opzettelijk wederrechtelijk’ – zonder ‘en’ ertussen. In die oude redactie moest de opzet dus zijn gericht op de wederrechtelijkheid. In de huidige redactie is dat niet langer een vereiste. De opzet moet zijn gericht op het binnendringen en het binnendringen moet wederrechtelijk zijn. Alleen iemand die per ongeluk in andermans computersysteem verzeild raakt, is volgens de huidige redactie niet strafbaar. Voor de laatste wetswijziging moest de eigenaar zijn computer beveiligd hebben, maar met de invoering van de Wet Computercriminaliteit II is het niet langer noodzakelijk dat een beveiliging wordt doorbroken of omzeild (vgl. Dijkstra, 2008). Van ‘binnendringen’ is volgens de wet in ieder geval sprake indien de toegang tot het systeem wordt verworven: (a) door het doorbreken van een beveiliging, (b) door een technische ingreep, (c) met behulp van valse signalen of een valse sleutel, of (d) door het aannemen van een valse hoedanigheid. De woorden ‘in ieder geval’ geven aan dat de opsomming niet als limitatief is bedoeld. De wetgever heeft daarmee de mogelijkheid open willen laten dat ook wanneer niet één van eerder genoemde kunstgrepen is toegepast er toch sprake kan zijn van computervredebreuk (vgl. Dijkstra 2008). Alles met elkaar lijkt de wetgever te willen zeggen dat sprake is van hacken indien iemand opzettelijk een computersysteem binnengaat waartoe hij niet is gerechtigd. Een hacker kan nadat hij is binnengedrongen nog andere onwettige handelingen ve rrichten. Hij kan bijvoorbeeld gegevens overnemen en voor zichzelf of een ander vastleggen. In dat geval is sprake van een misdrijf op grond van artikel 138a lid 2 Sr (zie figuur 2.1). Een hacker kan ook opzettelijk dan wel door schuld een geautomatiseerd werk vernielen. In dat geval kunnen de artikelen 161sexies en 161septies Sr van toepassing zijn (respectievelijk figuur 2.2 en 2.3). Deze laatste twee artikelen zijn gericht op strafbaarstelling van het in gevaar brengen van de algemene veiligheid.
31
Figuur 2.2: Artikel 161sexies Sr: opzettelijk veroorzaken van stoornis in de gang of in de werking van een geautomatiseerd werk of werk voor de telecommunicatie (i.w.tr. 01-09-2006) 1. Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft: 1°. met gevangenisstraf van ten hoogste een jaar of geldboete van de vijfde categorie, indien daardoor wederrechtelijk verhindering of bemoeilijking van de opslag, verwerking of overdracht van gegevens ten algemene nutte of stoornis in een openbaar telecommunicatienetwerk of in de uitvoering van een openbare telecommunicatiedienst, ontstaat; 2°. met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie, indien daarvan gemeen gevaar voor goederen of voor de verlening van diensten te duchten is; 3°. met gevangenisstraf van ten hoogste negen jaren of geldboete van de vijfde categorie, indien daarvan levensgevaar voor een ander te duchten is; 4°. met gevangenisstraf van ten hoogste vijftien jaren of geldboete van de vijfde categorie, indien daarvan levensgevaar voor een ander te duchten is en het feit iemand s dood ten gevolge heeft. 2. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vijfde categorie wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in het eerste lid wordt gepleegd: a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden verkregen tot een geautomatiseerd werk of een deel daarvan, verkoopt, verwerft, verspreidt of anderszins ter beschikking stelt of voorha nden heeft.
Artikel 161sexies Sr is gebaseerd op artikel 161 Sr, dat het vernielen, onbruikbaar maken of beschadigen van een waterkering, waterlozing, gas- of waterleiding of riolering strafbaar stelt (Dijkstra, 2008). Artikel 161sexies Sr stelt strafbaar het opzettelijk vernielen, verstoren of onbruikbaar maken van computers en/of computernetwerken alsook het verijdelen van veiligheidsmaatregelen, voor zover er naar aanleiding van die daad één van de volgende gevolgen optreedt: - verhindering of bemoeilijking van de opslag, verwerking of overdracht van gegevens ten algemene nutte of stoornis in een openbaar telecommunicatienetwerk of in de uitvoering van een openbare telecommunicatiedienst; - gemeen gevaar voor goederen of voor de verlening van die nsten; - levensgevaar voor een ander; - levensgevaar voor een ander en iemands dood. De term opzettelijk geeft volgens Van Geest (2006) aan dat de wil van de dader gericht moet zijn op het veroorzaken van stoornis in de gang of in de werking van een geautomatiseerd werk. De strafbaarstelling is gebaseerd op het optreden van een van de gevolgen. De strafmaat hangt af van welk gevolg er sprake is. Heeft het gevolg betrekking op ‘overdracht van gege-
32
vens ten algemene nutte’ dan betekent dit dat het gaat om werken die de samenleving ten dienste staan, zoals het systeem voor digitale aangifte bij de belastingdienst. Een dader kan behalve opzettelijk ook door schuld een stoornis in de gang of in de werking van een geautomatiseerd werk veroorzaken. Dit is strafbaar volgens artikel 161septies Sr (figuur 2.3).
Figuur 2.3: Artikel 161septies Sr: stoornis in de gang of in de werking in een geautomatiseerd werk of werk voor telecommunicatie door schuld (i.w.tr. 01-02-2006) Hij aan wiens schuld te wijten is dat enig geautomatiseerd werk of enig werk voor telecommunicatie wordt vernield, beschadigd of onbruikbaar gemaakt, dat stoornis in de gang of in de werking van zodanig werk ontstaat, of dat een ten opzichte van zodanig werk genomen veiligheidsmaatregel wordt verijdeld, wordt gestraft: 1°. met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie, indien daardoor verhindering of bemoeilijking van de opslag, verwerking of overdracht van gegevens ten algemenen nutte, stoornis in een openbaar telecommunicatienetwerk of in de uitvoering van een openbare telecommunicatiedienst, of ge meen gevaar voor goederen of voor de verlening van diensten ontstaat; 2°. met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie, indien daardoor levensgevaar voor een ander ontstaat; 3°. met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie, indien het feit iemands dood ten gevolge heeft.
In artikel 161septies Sr is sprake van schuld en niet van opzet. De strafmaat is dan ook lager. Ook artikel 161septies Sr is gericht op de gevolgen van de daad. Op twee punten heeft de wetgever het oog op andersoortige gevolgen dan in artikel 161sexies Sr. In artikel 161sexies Sr luidt de tekst in lid 1 onder 2° en 3° dat de strafbaarheid intreedt indien het betreffende gevolg te duchten is. In artikel 161septies Sr luidt de tekst bij de overeenkomstige gevolgen dat strafbaarheid ontstaat indien deze gevolgen ook daadwerkelijk zijn opgetreden. Niet alleen is dus de strafmaat lager, ook heeft de wetgever de lat voor strafbaarheid op die twee punten hoger gelegd. Indien een hacker, nadat hij is binnengedrongen, opzettelijk gegevens vernielt, is artikel 350a lid 2 Sr van toepassing (figuur 2.4). Dat artikel betreft het opzettelijk en wederrechtelijk veranderen, wissen, onbruikbaar maken of ontoegankelijk maken van gege vens. Ook gaat het over het ter beschikking stellen of verspreiden van gegevens die schade kunnen aanrichten in een geautomatiseerd werk, zoals een computervirus. Artikel 350a Sr gaat uit van opzet. Gegevens kunnen echter ook worden vernield zonder dat de opzet van de dader daarop is gericht. Als na het binnendringen in een geautomatiseerd werk door schuld gegevens wo rden vernield, kan artikel 350b Sr van toepassing zijn (figuur 2.5). Voor dat artikel is dan wel vereist dat de vernieling van gegevens ernstige schade tot gevolg heeft. Ook hier zien we dat de wetgever indien geen sprake is van opzet maar van schuld de lat voor strafbaarheid hoger heeft gelegd en dat de maximum straf lager is. Voor schuld aan de verspreiding van virussen (350b lid 2 Sr) ligt de lat voor strafbaarheid niet hoger, wel is de maximum straf lager.
33
Figuur 2.4: Artikel 350a Sr: opzettelijke vernieling van gegevens (i.w.tr. 01-09-2006) 1. Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk maakt, dan wel andere gegevens daaraan toevoegt, wordt gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie. 2. Hij die het feit, bedoeld in het eerste lid, pleegt na door tussenkomst van een openbaar telecommunicatienetwerk, wederrechtelijk in een geautomatiseerd werk te zijn binnengedrongen en daar ernstige schade met betrekking tot die gegevens veroorzaakt, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie. 3. Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. 4. Niet strafbaar is degeen die het feit, bedoeld in het derde lid, pleegt met het oogmerk om schade als gevolg van deze gegevens te beperken.
Figuur 2.5: Artikel 350b Sr: vernieling van gegevens door schuld (i.w.tr. 01-09-2006) 1. Hij aan wiens schuld te wijten is dat gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, wederrechtelijk worden veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt, dan wel dat andere gegevens daaraan worden toegevoegd, wordt, indien daardoor ernstige schade met betrekking tot die gegevens wordt veroorzaakt, gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie. 2. Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.
Een hacker kan nadat hij is binnengedrongen behalve gegevens vernielen ook gegevens aftappen of opnemen. Als dat opzettelijk gebeurt, kan artikel 139c Sr van toepassing zijn (figuur 2.6). Dit artikel stelt zowel het aftappen van een telefoon als van een computernetwerk strafbaar. Meestal zal een hacker die gegevens wil aftappen of opnemen, daarvoor een programmaatje installeren, zoals spyware of een keylogger. In dat geval is artikel 139d Sr van toepassing. Dat artikel heeft het oog op een persoon die een technisch hulpmiddel op een computer installeert met het oogmerk dat daardoor wederrechtelijk gegevens worden afgeluisterd, afgetapt of opgenomen (figuur 2.7). De gedachte achter artikel 139c en 139d Sr is dat de ove rdracht van gegevens die plaatsvindt via een openbaar elektronisch communicatienetwerk, inclusief de daarop aangesloten randapparatuur, tegen onrechtmatige aantasting moet zijn beschermd (vgl. Van Geest, 2006). Met de herziening van de tekst van artikel 139d Sr, op 1 september 2006, is onder de werking van dat artikel ook gebracht het vervaardigen, in bezit hebben en verspreiden van een technisch hulpmiddel dat hoofdzakelijk geschikt is voor het plegen van een misdrijf als bedoeld in artikel 138a Sr eerste lid (hacken), in artikel 138b Sr (toegang tot een geautomatiseerd werk belemmeren) of artikel 139c Sr (aftappen/opnemen). Vereiste is wel dat het ve rvaardigen geschiedt met het oogmerk dat met dat technische hulpmiddel een zodanig delict wordt gepleegd. Kortom, wie een keylogger of andere malware maakt, in bezit heeft of ve r-
34
spreidt met het oogmerk dat daarmee een van de genoemde misdrijven wordt gepleegd, is strafbaar. Vereist is niet het oogmerk dat de verdachte dat misdrijf zelf zou plegen. Wie een technisch hulpmiddel in bezit heeft dat geschikt is om bijvoorbeeld een computer te hacken, met het oogmerk dat dat hulpmiddel ook inderdaad daarvoor wordt gebruikt, is strafbaar vo lgens artikel 139d, lid 2 onder a. Met de genoemde herziening is ook onder de werking van artikel 139d gebracht het verwerven, voor handen hebben of verspreiden van een wachtwoord, code of daarmee vergelijkbaar gegeven, waarmee toegang tot een geautomatiseerd werk kan worden verkregen – indien dat gepaard gaat met het oogmerk om een van de in de vorige alinea genoemde delicten te plegen (hacken, toegang tot een geautomatiseerd werk belemmeren, tappen/opnemen). Zie artikel 139d Sr, lid 2 onder b (figuur 2.7). Iemand die van een ander een wachtwoord ontfutselt (‘verwerven’, bijvoorbeeld door social engineering) met de bedoeling om diens computer te hacken, is dus strafbaar. Het bezitten en/of bekend maken van dergelijke informatie is strafbaar gesteld middels artikel 139e Sr (figuur 2.8). In feite zijn in de artikelen 139d Sr en 139e Sr dus nu ook voorbereidingshandelingen voor hacken strafbaar gesteld.
Figuur 2.6: Artikel 139c Sr: het aftappen en/of opnemen van gegevens (i.w.tr. 01-09-2006) 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk. 2. Het eerste lid is niet van toepassing op het aftappen of opnemen: − 1°. van door middel van een radio-ontvangapparaat ontvangen gegevens, tenzij om de ontvangst mogelijk te maken een bijzondere inspanning is geleverd of een niet toegestane ontvanginrichting is gebruikt. − 2°. door of in opdracht van de gerechtigde tot een voor de telecommunicatie gebezigde aansluiting, behoudens in geval van kennelijk misbruik; − 3°. ten behoeve van de goede werking van een openbaar telecommunicatienetwerk, ten behoeve van de strafvordering, dan wel ter uitvoering van de Wet op de inlichtingen- en veiligheidsdiensten 2002.
Figuur 2.7: Artikel 139d Sr: plaatsen van opname-, aftap- c.q. afluisterapparatuur (i.w.tr. 0109-2006) 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die met het oogmerk dat daardoor een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegeve nsverwerking door een geautomatiseerd werk wederrechtelijk wordt afgeluisterd, afgetapt of opgenomen, een technisch hulpmiddel op een bepaalde plaats aanwezig doet zijn. 2. Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138a, eerste lid, 138b of 139c wordt gepleegd: − a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of − b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, ve rkoopt, verwerft, verspreidt of anderszins ter beschikking stelt of voorhanden heeft. 35
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft hij die het in het tweede lid bedoelde feit pleegt terwijl zijn oogmerk is gericht op een misdrijf als bedoeld in artikel 138a, tweede of derde lid.
Figuur 2.8: Artikel 139e Sr: bezitten en bekend maken van wederrechtelijk verkregen gegevens (i.w.tr.01-09-2006) Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft: 1°. hij die de beschikking heeft over een voorwerp waarop, naar hij weet of redelijkerwijs moet vermoeden, gegevens zijn vastgelegd die door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk zijn verkregen; 2°. hij die gegevens die hij door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk heeft verkregen of die, naar hij weet of redelijkerwijs moet ve rmoeden, ten gevolge van zulk afluisteren, aftappen of opnemen te zijner kennis zijn gekomen, opzettelijk aan een ander bekend maakt; 3°. hij die een voorwerp als omschreven onder 1° opzettelijk ter beschikking stelt van een ander.
Kortom, als het gaat om hacken is niet alleen de computervredebreuk (het binnendringen) als zodanig strafbaar, maar ook zijn strafbaar diverse handelingen die voorafgaan aan de hack, zoals het in bezit hebben van software of wachtwoorden die zijn bedoeld om te hacken. Ook zijn strafbaar diverse handelingen die een hacker kan verrichten nadat hij in een systeem is binnengedrongen, zoals het vernielen van gegevens, het plaatsen van een keylogger of he t aftappen van gegevens. 2.3 Verschijningsvormen: soorten hackers We kunnen verschillende vormen van hacken onderscheiden door te kijken naar de wijze waarop de hack is uitgevoerd of door te kijken naar het type dader. Dat laatste is vrij gangbaar in de literatuur. Hackers worden dan onderscheiden in verschillende typen, zoals old guard hackers, script kiddies, crackers, hacktivisten, et cetera. De manier waarop de hack technisch gezien wordt gepleegd, zoals met gebruik van social engineering, keylogger of password cracker, bepaalt dan niet in welke groep een hack wordt ingedeeld, maar is onderdeel van de modus operandi (MO) van de daders binnen een bepaalde groep. In deze paragraaf hanteren wij ook primair de indeling naar soorten hackers, niet in de laatste plaats omdat dergelijke indelingen in de literatuur een grote rol spelen en we de resultaten uit onze analyse over politiedossiers willen vergelijken met indelingen uit de literatuur. Voor criminaliteitsbestrijding is niet alleen van belang om te weten met wat voor type dader men te maken heeft, en wat zijn motieven zijn, maar ook is het zaak om op de hoogte te zijn van criminele technieken. Zowel voor een goede preventie als opsporing is van belang om te weten hoe cybercriminelen te werk gaan. Vandaar dat we ook aandacht besteden aan de modus operandi van de daders. In de literatuur worden hackers op verschillende manieren onderscheiden. We beginnen met een onderscheid op basis van Europol (2003) en Dasselaar (2005). Daarna kijken we naar de hackertaxonomie van Rogers (2000) en de indeling van McAfee (2006). Ten slotte vergelijken we de verschillende indelingen. In welke mate de indelingen die we hier presente-
36
ren van oorsprong zijn gebaseerd op empirisch onderzoeksmateriaal, en indien dat het geval is op welk materiaal dan precies, hebben we niet met zekerheid kunnen vaststellen.
Figuur 2.8: Black hats, white hats en andere hackers (naar Europol, 2003 en Dasselaar, 2005) –
– – – – –
White hats. Personen die hun technische vaardigheden voor legitieme doelen inzetten. Dergelijke hackers houden zich doorgaans aan de wet en gebruiken de technologie voor constructieve doeleinden5 . Black hats. Ook wel crackers genoemd. Gebruiken kennis en vaardigheden voor illegale doeleinden. Grey hats. Hackers die vallen tussen de eerst twee groepen. Een voorbeeld is een hacker die inbreekt in een computer om de beveiliging te testen. Hacktivisten. Politiek of sociaal geëngageerd en maken gebruik van ICT om hun doelen te verwezenlijken. Script kiddies. Gebruiken technieken die door anderen zijn ontwikkeld. Hebben zelf weinig technische kennis en kunnen door hun onkunde veel schade veroorzaken. Politieke of religieuze extremisten. Gebruiken ICT voor het plegen van terroristische daden.
Het simpelste onderscheid dat kan worden gemaakt is tussen slechte en goede hackers, tussen black hats en white hats. Een iets genuanceerder onderscheid maakt Gelderblom (2004) met zijn driedeling: hacker, cracker en scriptkiddie. Daarmee doelt hij op goeden, kwaden en meelopers. Bij Europol (2003) en Dasselaar (2005) zien we nog weer andere typen (figuur 2.8), in totaal zes. Rogers (2000, 2001, 2006) maakt in zijn ‘hackertaxonomie’ gebruik van negen categorieën. Hij heeft deze taxonomie gebaseerd op verschillende studies 6 die onderscheid maakten tussen soorten hackers (figuur 2.9).
Figuur 2.9: Hackertaxonomie van Rogers (2000, 2001, 2006) (naar Van der Hulst en Neve, 2008) – – – – – – –
Novice of newbies. Gebrek aan technische kennis, kunnen niet programmeren. Maken gebruik van toolkits. Hebben flinke dadendrang. Cyberpunks. Kunnen zelf programmeren; kennis over programmeren en computersystemen is beperkt. Internals. Ontevreden (ex)-werknemers met een goede technische kennis. Petty thiefs. Hacken om lucratieve, criminele mogelijkheden. De klassieke crimineel. Slachtoffers zijn online winkels en naïeve eindgebruikers. Old guard hackers. Gedreven door de intellectuele uitdaging. Virus writers of coders. Schrijven scripts en geautomatiseerde tools die door anderen worden gebruikt. Fungeren als mentor voor nieuwelingen. Professional criminals. Onderwereldfiguren met kennis van de laatste snufjes die niet uit zijn op roem of reputatie.
5
Overigens is een hacker die zich aan de wet houdt volgens onze definitie geen hacker. Hacken is immers strafbaar. Voor 1993 was dit wel mogelijk: als je toen inbrak in een systeem en niets stal of vernielde, was dat niet strafbaar. 6 Landreth, 1985, Hollinger, 1988, Chantler, 1996, Power, 1998, Parker, 1998, Adamski, 1999, Post, 1996, Post e.a., 1998, Shaw e.a., 1998.
37
–
–
Information warriors. Vermengen politieke met criminele activiteiten en hebben als werk besturingssystemen van vitale infrastructuren te bewaken of die van anderen aan te kunnen vallen (mogelijk afkomstig van opgeheven intelligence-organisaties uit het Oostblok). Political Activists. Houden zich bezig met hacktivism.
Ook de taxonomie van Rogers kent categorieën die vallen onder de goeden (old guard hackers), de kwaden (professional criminals en information warriors) en de meelopers (novice of newbies). Maar Rogers beschrijft ook tussencategorieën. Zo zijn er vandalen die hacken om dingen kapot te maken (cyberpunks), zijn er kleine criminelen die alleen geld willen verdienen (petty thiefs) en zijn er hackers die ondersteunend werk leveren aan andere criminelen (virus writers of coders). Daarnaast maakt Rogers een aparte categorie voor ontevreden (ex) werknemers die uit zijn op wraak (internals) en is er een categorie met een duidelijk politiek oogmerk (political activists). De categorieën hoeven elkaar overigens niet uit te sluiten: er is overlap denkbaar (Van der Hulst en Neve, 2008). De praktijk is immers altijd complexer en diverser dan een model doet vermoeden. Een andere indeling is die van McAfee (2006). Volgens dit bedrijf variëren cybercriminelen tegenwoordig van amateurs met beperkte programmeervaardigheden die vertrouwen op de voorgeprogrammeerde scripts om hun attacks uit te voeren, tot goed opgeleide professionele criminelen die over de nieuwste middelen beschikken (figuur 2.10). McAfee onderscheidt minder categorieën dan Rogers. Ook hier komt een grof onderscheid tussen goed, kwaad en meelopers terug. De goeden zijn volgen McAfee de innovators. Het motief van deze groep is de uitdaging; dit type komt overeen met de old guard hacker van Rogers. De slechten zijn de georganiseerde cybergangsters, met als motief financieel gewin. Verder zijn er volgens McAfee twee groepen meelopers die ze lf weinig tot geen technische vaardigheden hebben (de amateur roemzoekers en copycatters). Ten slotte zien we ook hier de groep ontevreden (ex)werknemers (de ingewijden).
Figuur 2.10: Categorieën volgens McAfee (2006) –
–
–
–
–
Innovators. Een groep die zijn tijd besteedt aan het zoeken van gaten in systemen of het verkennen van nieuwe omgevingen om te zien of ze gevoelig zijn voor valse codes. Doen het voor de uitdaging. De gevarenfactor van deze groep is laag. Deze elitegroep vormt volgens McAfee slechts twee procent van de hacking en malware auteurs. Amateur roemzoeker. Nieuwelingen op het gebied van computercriminaliteit, met beperkte computervaardigheden en programmeercapaciteiten. Op zoek naar mediaaandacht, gebruiken kant en klare tools en trucs. De gevarenfactor is matig: het gevaar van deze groep is dat er aanvallen worden uitgevoerd zonder dat de daders echt begrijpen waarmee ze bezig zijn. Copycatters. Wannabe hackers en malware auteurs. Groep die de formules van anderen kopieert om beroemd te worden (dankzij de ‘status’ van de ‘cybercriminele gemeenschap’). Gefocust op herhalen van eenvoudige aanvallen en niet het ontwikkelen van iets nieuws. Gevarenfactor is matig. Ingewijden. Ontevreden ex-werknemers, contractanten en consultants. Wraak of kleine diefstal. Maken gebruik van slechte beveiliging of van de privileges die voortvloeien uit de positie binnen de werkplek. Gevarenfactor is hoog doordat dit een groeiende groep is waarbij de technische beveiligingsmaatregelen minder effectief zijn). Georganiseerde cybergangsters. Zeer gemotiveerde en goed georganiseerde cyberoplich-
38
ters. Beperkte groep, maar met aanzienlijke macht. Breken in op kwetsbare computers voor winstbejag. Het hart is een hechte kern van leiders die probeert te profiteren door alle mogelijke manieren uit te buiten en zich te omringen met menselijke en computermiddelen om dit te kunnen doen. De gevarenfactor is hoog.
In figuur 2.11 plaatsen we de zojuist behandelde categorieën van Europol (2003), Dasselaar (2003), Rogers (2000, 2001, 2006) en McAfee (2006) naast elkaar.
Figuur 2.11: De verschillende categorieën hackers naast elkaar Rogers (2000, 2001, 2006) Novice of newbies Cyberpunks Internal Petty thiefs Old guard hackers Virus writers of coders Professionals criminals Information warriors Political Activists
McAfee (2006) Copycatters Amateur roemzoeker Ingewijden
Europol (2003), Dasselaar (2005) Script kiddies Black hat Black hat White hat
Innovators Georganiseerde cybergangsters
Hacktivist / politiek-religieuze extremisten
Er zijn in de indelingen enkele hoofdlijnen aan te wijzen want een aantal categorieën komt steeds terug. (1) De eerste twee categorieën van Rogers, ‘novice and newbies’ en ‘cyberpunks’ zijn te vergelijken met ‘copycatters’ en amateur roemzoekers’ en de ‘script kiddies’ en voor een deel ook de ‘black hats’. Deze hackers worden gekenmerkt door een gebrek aan technische kennis. Ze moeten het hebben van het kopiëren van de scripts van anderen. In deze groep vinden we als het ware de nog wat onkundige hackers die bezig zijn hun mogelijkheden te ve rkennen en hun kennis uit te breiden, en zich daarbij niet al te veel zorgen maken om mogelijke schade die dat voor anderen oplevert. (2) De ‘internals’ van Rogers zijn vergelijkbaar met de ‘ingewijden’ van McAfee. Beide groepen worden beschreven als (ex-)werknemers met wraakgevoelens. (3) De Rogers-categorie ‘petty thiefs’ is deels te vergelijken met de ‘black hats’ van Europol en Dasselaar. Het gaat om hackers die optreden als kleine criminelen (of om kleine criminelen die zich digitale technieken hebben eigen gemaakt). (4) De old guard hackers zijn gelijk aan de innovators en white hats, de groep wordt gedreven door intellectuele uitdaging en nieuwsgierigheid. De hackers in deze groep zijn waarschijnlijk degenen die nog het meeste op hebben met oude hackerswaarden zoals vrijheid van informatie en het voorkomen van vernielingen. (5) De ‘professional criminals’ van Rogers komen overeen met de ‘georganiseerde cybergangsters’. Het gaat om groepen georganiseerde criminelen. ‘Virus writers of coders’ kunnen worden ingehuurd door deze georganiseerde cybercriminelen. Deze twee groepen zijn dus met elkaar verbonden, en zijn beide verweven met georganiseerde criminaliteit. (6) Als laatste hoofdlijn zien we de politiek gemotiveerde hackers: ‘information warriors’ en ‘political activists’. Hackers die zich inzetten voor politieke doelen of zelfs cyber warfare zijn geen denkbeeldige dreiging. Dat werd duidelijk bij aanval van Russische hackers op Estland in 2007 (NRC-Handelsblad 22/05/2007 en Trouw 12/05/2007) en op Georgië in 2008,
39
en het grote aantal defacements van websites met politieke pamfletten (NRC-NEXT 22/08/2006, NRC Handelsblad 22/08/2006). We willen met dit overzicht niet nog weer een nieuwe indeling creëren. Het gaat ons om het benoemen van de hoofdlijnen uit de literatuur. We zien dan dat zes groepen steeds op de een of andere wijze terugkeren: beginnelingen en ‘rotzooitrappers’, (ex-)werknemers, hackers oude stijl, kleine criminelen, criminelen in georganiseerd verband, en politiek gemotiveerde hackers. Op elke indeling is wel wat af te dingen. Om te beginnen is niet echt duidelijk hoe sterk de empirische basis is onder de indelingen en waaruit die basis dan exact bestaat. Verder zijn de grenzen tussen de verschillende groepen theoretisch gezien al niet waterdicht, in de praktijk zijn er waarschijnlijk nauwelijks hackers die voortdurend binnen één hokje opereren. Dat roept de vraag op of dergelijke indelingen wellicht meer zeggen over ‘soorten hacks’ dan over ‘soorten hackers’. In de paragrafen 2.5 en 2.6 gaan we nader in op daderkenmerken. We kijken nu eerst naar verbanden van hacken met andere vormen van (cyber)criminaliteit. 2.4 Verbanden van hacken met andere crimes Inleiding: over de analyse In deze paragraaf gaan we op basis van de dossierstudie in op de verbanden die hacken heeft met de andere vormen van cybercrime. We bekijken eerst onder welke titel de politie de hackendossiers heeft geregistreerd (‘gemuteerd’). Daarna beschrijven we de verbanden met andere (cyber)criminaliteit die we zelf tijdens de nadere analyse in de tekst van de dossiers tege nkwamen. Ten slotte bekijken we welke wetsartikelen de politie aan het dossier heeft toegekend. Als aan het dossier behalve artikel 138a Sr (hacken) bijvoorbeeld ook artikel 318 Sr (afdreiging) is gekoppeld, wijst dat op een verband tussen deze twee delicten. Mogelijk was de hack in dat geval de weg waarlangs de dader het slachtoffer afdreigde. 7 De dossiers We selecteerden in eerste aanleg 199 hackendossiers (zie ook par. 1.4). Na een inhoudelijke analyse door student-assistenten bleek dat er daarvan 175 bruikbaar waren. Van de 24 onbruikbare dossiers bleken 13 dossiers geen cybercrime, 2 dossiers bleken een melding, maar geen aangifte en 9 dossiers vielen af om andere redenen (de aangifte ontbrak of er stonden alleen een paar losse mutaties in het dossier). Van de 175 bruikbare dossiers analyseerden we er 151.8 Van deze 151 hadden er 139 daadwerkelijk betrekking op hacken. In de overige 12 dossiers was sprake van een andere vorm van cybercrime. Deze 139 dossiers vormen de basis voor onze analyse. Onder welke titel (‘beschrijving’) staat het dossier geregistreerd Een eerste manier om te bepalen welke verschijningsvormen hacken heeft en of er dwarsve rbanden zijn met andere cybercrimes is het analyseren van de titels of de ‘beschrijvingen’ waaronder de dossiers in de politiesystemen zijn geregistreerd. Ter toelichting het volgende. 7
Artikel 318 Sr luidt: 1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. 2. Dit misdrijf wordt niet vervolgd dan op klacht van hem tegen wie het gepleegd is. 8 De hackendossiers hebben we als eerste geanalyseerd. Door voortschrijdend inzicht zijn de hackendossiers een tweede keer geanalyseerd (onder andere om te kijken of en hoevaak er sprake is van identiteitsmisbruik). Door problemen met synchronisatie tussen de twee databestanden van de 1e en 2e analyse, zijn 24 dossiers niet meegenomen in de tweede, uiteindelijke analyse.
40
We selecteerden de dossiers niet op de titel waaronder het dossier in de politieadministratie is opgenomen. We selecteerden op de inhoud van het dossier. Welke titel of ‘beschrijving’ de behandelend agent aan het betreffende dossier geeft, zegt iets over hoe die agent naar de zaak kijkt: wat voor hem of haar de essentie van deze zaak is. De agent moet tijdens het registreren de ‘beschrijving’ kiezen uit een vaste lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen. Van de 139 dossiers staan er 118 in BPS, 18 in Xpol en 3 in Genesys (tabel 2.1).
Tabel 2.1: Titels (‘beschrijving’) waaronder de 139 hackendossiers zijn geregistreerd Beschrijving BPS Computercriminaliteit Oplichting / bedrog Diefstal / verduistering Overige (stalking, kinderporno, huisvredebreuk) Totaal XPOL Computercriminaliteit Oplichting / bedrog Diefstal / verduistering Overige (bedreiging, vernieling overige) Totaal GENESYS Computervredebreuk Overige (overige informatie) Totaal TOTAAL Computercriminaliteit / computervredebreuk Oplichting / bedrog Diefstal / verduistering Overige Totaal
n
%
86 18 6 8 118
72,9 15,3 5,1 6,8 100,1
13 2 1 2 18
72,2 11,1 5,6 11,1 100,0
2 1 3
66,7 33,3 100,0
101 20 7 11 139
72,7 14,4 5,0 7,9 100,0
We maken in eerste aanleg onderscheid tussen de drie basisprocessensystemen omdat de registratiesystematiek in deze drie niet identiek is. Daarna voegen we de systemen samen (‘totaal’ in tabel 2.1) door overeenkomstige beschrijvingen samen te nemen. Over het totaal gezien staan de meeste dossiers (72,7%) geregistreerd onder de titel ‘computercriminaliteit’. Een andere groep (19,4%) staat onder een titel die verwijst naar vermogenscriminaliteit, te weten oplichting/bedrog of diefstal/verduistering. Dan is er nog een restgroep (7,9%) met verschillende beschrijvingen zoals stalking, kinderporno en bedreiging. De dossiers waarin sprake was van hacken en die zijn geregistreerd onder een andere beschrijving dan ‘computercriminaliteit’ hadden in de ogen van de agenten vooral te maken met hetgeen waarnaar die beschrijving verwijst. Als hacken met wat anders in verband staat, is dat blijkens deze analyse met vermogenscriminaliteit, vooral oplichting en bedrog. Maar niet zelden heeft hacken ook te maken met andere wandaden. In casus 2.1 staat een beschrijving van een aangifte die in BPS gemuteerd staat onder ‘diefstal overige goederen’. In dit dossier is sprake van een mogelijke hack waarna virtuele spullen uit een virtuele wereld zijn gestolen.
41
Casus 2.1: Virtuele diefstal met behulp van hacken Van aangever zijn goederen gestolen uit een virtuele wereld op internet. Deze virtuele wereld heet Habbo Hotel. Aangever heeft deze goederen verkregen middels het overmaken van geld via SMS berichten. (…) ‘Ik speel sinds 16 februari 2005 op Habbo Hotel. Dit is een virtueel hotel op internet. Ik heb via mijn hotmail een account aangemaakt bij Habbo Hotel. Hierin heb ik al mijn persoonlijke gegevens achtergelaten.’ ‘Ik ben bij Habbo Hotel begonnen met een poppetje en daarna ben ik begonnen met het aankleden van dit poppetje. Ik heb hierna steeds gebeld of een SMS gestuurd en nadat ik dit had gedaan kon ik nieuwe dingen kopen op Habbo Hotel. Ik had bij Habbo Hotel een waarde opgebouwd van 25.000 credits wat dus ongeveer een waarde zou zijn van 4.000 euro als ik gebeld zou hebben en een waarde van ongeveer 4.583 euro als ik SMS zou hebben ve rstuurd.’ ‘Toen ik op [datum] inlogde zag ik dat mijn kamers op Habbo Hotel leeg waren. Ik zag dat mijn meubels waren verdwenen. De meubels die ik had, onder andere een paarse ijsmachine, waren veel waard. Ik weet dat voor deze ijsmachine in het illegale circuit ongeveer 900 euro wordt geboden. Ik had ook twee gouden draken en daar wordt ook ongeveer 200 euro per stuk voor geboden. Ik had ook heel veel gras en daar wordt ongeveer 400 euro voor geboden.’
Het is in deze zaak niet duidelijk op welke wijze de dader toegang heeft verkregen tot de virtuele hotelkamer van het slachtoffer, mogelijk zijn de inloggegevens via phishing van het slachtoffer verkregen of is er ingebroken op het e-mail account van het slachtoffer. Vervo lgens is de dader zonder toestemming ingelogd op het account van het slachtoffer (hacken), vervolgens heeft de dader virtuele meubelen weggenomen en deze mogelijk verkocht in het illegale circuit. Er is in dat geval naast hacken ook sprake van de cybercrime diefstal en mogelijk heling. Hacken is in dit geval een middel geweest om andere criminaliteit te plegen. Verbanden blijkens de inhoudsanalyse Tabel 2.2 geeft een overzicht van de verbanden tussen hacken en andere criminaliteitsvo rmen, zoals we die zagen in de dossiertekst. Die tabel heeft betrekking op de 139 dossiers; elk dossier kan meerdere verbanden met een ander delict bevatten. We stellen in deze analyse vast of sprake is van een verband en zo ja met welk ander delict. Een andere kwestie is de volgordelijkheid: een verband tussen hacken en identiteitsdiefstal bijvoorbeeld kan betekenen dat eerst een identiteit is gestolen en dat met die identiteit vervolgens de hack is gepleegd, ook kan het verband inhouden dat eerst het systeem is gehackt en dat vervolgens de identiteitsgegevens zijn gestolen. In 114 van de 139 dossiers hacken (82,0%) vonden we een of meer verbanden met andere vormen van criminaliteit, in totaal 251 verbanden, gemiddeld 1,8 per dossier. In 40 van de 139 dossiers vonden we één of meerdere verbanden met een cybercrime uit deze studie (28,8%) en in 80 van de 139 dossiers (57,6%) vonden we één of meerdere verbanden met een andere cybercrime. In 76 dossiers (54,7%) is er in totaal 120 keer sprake van het vernietigen of beschadigen van digitale gegevens en/of het zonder toestemming kopiëren van digitale gegevens. Be ide delicten volgen op het hacken. Er dient immers eerst te worden ingebroken voordat digitale gegevens kunnen worden gekopieerd of vernietigd (casus 2.5). Doel van een hack is dan bijvoorbeeld het verwijderen of kopiëren van foto’s of e- mails. In 36 dossiers (25,9%) vonden we een verbinding tussen hacken en e- fraude. Casus 2.2 bevat een voorbeeld daarvan. In 32 dossiers is er sprake van identiteitsdiefstal. Dat sprake
42
is van identiteitsdiefstal wil niet zeggen dat er dus ook sprake is van e- fraude. Een hack kan zijn gericht op het verkrijgen van iemands identiteitsgegevens, zonder dat meteen die gegevens worden gebruikt voor een fraude. In niet meer dan zes dossiers is er zowel sprake van efraude als identiteitsdiefstal. In 24 dossiers (17,3%) vonden we een verband tussen hacken en smaad (casus 2.3). Hacken is in die zaken een middel: er wordt ingebroken op persoonlijke pagina’s, op sociale netwerksites of MSN, of e-mail accounts worden gekraakt. Vervolgens verspreidt de verdachte smadelijke teksten over het slachtoffer. In 16 dossiers is sprake van het dreigen met geweld via ICT en in 3 dossiers zagen we (poging tot) aanranding / schennis van de eerbaarheid. In twee van deze drie dossiers wordt gedreigd met het verspreiden van smaad via internet (casus 2.4) en in één dossier wordt het slachtoffer via ICT met geweld bedreigd om tot aanranding / schennis van de eerbaarheid te komen. In 12 dossiers is er naast hacken sprake van één of meerdere vormen van klassieke criminaliteit (8,6%). In 8 gevallen betreft dat stalking, in 3 gevallen bedreiging met geweld en in de overige gevallen afpersing/afdreiging, huisvredebreuk en het vervaardigen van kinderporno zonder ICT. Tabel 2.2: Verbanden in de 139 dossiers hacken met andere criminaliteit 9 Andere (cyber)crime waarmee een verband is Cybercrimes in deze studie E-fraude Cyberafpersen Kinderporno Haatzaaien Overige cybercrimes Vernietigen / beschadigen van gegevens Zonder toestemming kopiëren digitale gegevens Smaad Identiteitsdiefstal Bedreiging met geweld Poging tot aanranding / schennis van de eerbaarheid Off-line criminaliteit Stalking Bedreiging met geweld Afpersen/afdreigen Vervaardigen kinderporno Huisvredebreuk Geen verband met andere (cyber)crime
n 40 36 3 1 1 80 69 51 24 32 16 3 12 8 3 1 1 1 25
10
% van 139 28,8 25,9 2,2 0,7 0,7 57,6 49,6 36,7 17,3 23,0 11,5 2,2 8,6 5,8 2,2 0,7 0,7 0,7 18,0
Deze analyse laat zien dat hacken in veel ge vallen geen op zichzelf staand delict is. Geregeld is in hackendossiers ook sprake van het vernietigen of beschadigen van gegevens. Dat kan het einddoel zijn van de hack, maar is dat zeker niet altijd. Verder zien we verbanden met nog
9
We bepaalden de verschillende vormen van (cyber)criminaliteit in de hackendossiers op basis van de definities die we vooraf opstelden (zie het analysekader in bijlage 10) en niet op de wetsartikelen die in de dossiers zijn opgenomen. 10 Doordat in één dossier zowel verbanden met cybercrimes uit deze studie als overige (cyber)crimes voor kunnen komen is het totaal meer dan 100%.
43
weer andere delicten, vooral e- fraude (25,9%), identiteitsdiefstal (23,0%), smaad (17,3%) en bedreiging (11,5%). 11 Op hoofdlijnen gezien heeft hacken dus vooral een verband met: − vernietigen/kopiëren van gegevens (cybercrime in enge zin) (54,7%); − fraude en identiteitsdiefstal (winstbejag) (44,6%); − smaad, bedreiging, aanranding, stalking (interpersoonlijke conflicten) (24,5%).
Casus 2.2: Hacken en e-fraude ‘Op [datum] kwam ik erachter dat ik niet meer op mijn hotmail kon. Ik zou mij aanmelden bij hotmail, met mijn e-mail adres en mijn wachtwoord. Ik kreeg hier gelijk een foutmelding van. Ik heb het een aantal keren geprobeerd. Vervolgens heb ik contact gezocht met Hotmail. Toen kreeg ik een lijst toegestuurd met allemaal vragen. Dat waren vragen over: wachtwoorden, contactpersonen, msn naam, mijn eigen IP adres. Door al deze vragen kreeg ik een beetje een naar gevoel. Ik heb alle vragen wel beantwoord.’ ‘Ik kreeg op [datum] een reactie op de vragenlijst die ik in moest vullen. Hier stond in dat hotmail akkoord ging met de door mij ingevulde vragenlijst. Vervolgens kon ik een nieuw wachtwoord invullen en kon ik weer inloggen op mijn hotmail. Op het moment dat ik mijn hotmail bekeek zag ik allemaal veranderingen. Ik zag veel mailtjes van E-bay, waarvan ik de afkomst niet kende. Al die mailtjes, die in de map verzonden items stonden waren in het Engels.’ ‘Op [datum], omstreeks 10.00 uur kreeg ik een mail van ene [naam]. Ik ken deze man niet. Ik kreeg een mail van hem dat hij geld had over gemaakt en dat hij dat via internetbankieren had gedaan. Het ging om LCD tv’s ter waarde van 640 euro. Dit vond ik zo raar, ik wist hier niets van. Ik heb meneer een mail terug gestuurd dat ik had gezien dat hij de hoogste bieder was op een product. Ik heb hem gemaild dat er vermoedelijk iemand anders onder mijn naam dingen te koop heeft aangeboden en ik heb hem verteld dat ik aangifte zou doen.’
Casus 2.3: Hacken en cybersmaad ‘Ik doe hierbij aangifte van hacking, ofwel computervredebreuk. Onbevoegden zijn namelijk via een telecommunicatieverbinding in mijn comp utersysteem binnengedrongen. Met behulp van beveiligingssoftware ontdekte ik dat een onbevoegd persoon vanaf [datum] omstreeks 08:56 uur in mijn computersysteem was doorgedrongen. Tijdens de hack zijn geen bestanden vernield, maar wel heeft men wijzigingen aangebracht op mijn Hyvessite. Tevens doe ik aangifte cq klacht van smaad. Iemand heeft een e- mailbericht onder mijn naam verstuurd waarin feitelijke onwaarheden staan vermeld. Ik voelde mij hierdoor erg in mijn goede eer en of goede naam aangerand.’
Casus 2.4: Hacken en aanranding / schennis van de eerbaarheid ‘Ik zat achter de computer op MSN. Ik kreeg toen het verzoek op het scherm om te MSN-en met diegene waar ik de avond van te voren ook op de computer contact mee had gehad. Ik heb toen met hem berichten uitgewisseld. Hij vroeg mij om de webcam aan te zetten. Ik wilde dit eerste niet. Hij berichtte mij toen, dat als ik de webcam niet zou aanzetten hij mij zou hacken. Hij wilde ook dat ik zou strippen voor de webcam. Ik wilde dit niet. Later merkte ik 11
Het gaat niet om elkaar uitsluitende categorieën. Er zijn dossiers met een verband naar verschillende delicten.
44
dat ik gehacked was. Ik kon namelijk niet meer op mijn eigen MSN. Later werd dit, het gehacked zijn, bevestigd door vriendinnen van mij. Mijn vriendinnen berichtte mij dat ik op MSN een heel andere taal gebruikte. Dit gebeurde op momenten dat ik zelf niet aan het MSN-en was. Ik bemerkte ook, dat ik niet meer op de mail van hotmail kwam. De hacker kan ook in al mijn mailtjes kijken. Er zijn best wel persoonlijke mailtjes bij. Ik vind dit echt heel vervelend.’ De hacker berichtte SO (slachtoffer), dat zij haar wachtwoord terug kon krijgen als zij nu haar webcam zou aanzetten en zich zou uitkleden.
Welke wetsartikelen heeft de politie aan het dossier gekoppeld Een dossier heeft vaste invoervelden voor het vermelden van de van toepassing zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel opnemen. In 19 dossiers staan geen wetsartikelen (13,7%). Van de overige 120 dossiers stelden we vast welke wetsartikelen de politie daar heeft vermeld. In totaal zijn 177 wetsartikelen aan deze dossiers gekoppeld, gemiddeld 1,5 per dossier. Het meest voorkomende wetsartikel is artikel 138a Sr (computervredebreuk / kopiëren van gegevens). Dit artikel komt in 93 van de 120 dossiers voor (77,5%). Artikel 350a Sr (ve rnieling computergegevens) zagen we in 26 dossiers (21,7%), gevolgd door oplichting (13,3%) en bedreiging (7,5%) (tabel 2.3). Tabel 2.3: Wetsartikelen in 120 hackendossiers 12 Artikel
Omschrijving
n
138a Sr 350a Sr 326 Sr 285 Sr 267 Sr 310 Sr 311 Sr 266 Sr 317 Sr 350b Sr 225 Sr 139c Sr
Computervredebreuk / kopiëren van gegevens Vernieling computergegevens Oplichting Bedreiging Belediging van bijzondere organen en functionarissen Diefstal Diefstal onder verzwarende omstandigheden Eenvoudige belediging Afpersing Vernieling computergegevens door schuld Valsheid in geschrift Aftappen en/of opnemen van gegevens via telecommunicatie
Totaal * is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten
93 26 16 9 8 8 7 3 2 2 2 1
% van 120 77,5 21,7 13,3 7,5 6,7 6,7 5,8 2,5 1,7 1,7 1,7 0,8
177
*
Op hoofdlijnen zien we langs deze weg een verband met: − cybercrimes waarbij computers of computergegevens het doelwit zijn, ofwel cybercrime in enge zin (138a Sr 13 , 350a Sr, 350b Sr, 139c Sr) (74,1%) − vermogenscriminaliteit (oplichting, vormen van diefstal, afpersing) (21,6%); 14 − intermenselijke conflicten (bedreiging, vormen van belediging, ) (12,9%). 12
In één dossier kunnen meerdere artikelen voorkomen. We weten niet zeker of politiemensen met ‘138a Sr’ het oog hadden op lid 1 (hacken) of lid 2 (vervolgdelicten zoals het overnemen/kopiëren van gegevens). 14 Valsheid in geschrift hebben we niet hiertoe gerekend omdat dit delict ook kan plaats vinden zonder winstoogmerk. 13
45
Samengevat We zochten in de hackendossiers op drie manieren naar dwarsverbanden tussen hacken en andere delicten: 1. we keken onder welke titel of beschrijving politiemensen het dossier registreerden; 2. we bestuurden de inhoud van de dossiers; 3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde. Alles bijeen genomen toont hacken een verband met, in die volgorde: − kopiëren, vernielen of aftappen van gegevens, ofwel cybercrime in enge zin (138a lid 2 Sr, 350a Sr, 350b Sr, 139c Sr); − vermogenscriminaliteit (oplichting, fraude, diefstal, afpersing, verduistering); − interpersoonlijke conflicten (smaad, bedreiging, belediging, aanranding, stalking). De artikelen 161sexies en 161septies Sr (resp. figuur 2.2 en 2.3) spelen in de analyse geen rol. Die artikelen betreffen het verstoren van ‘ICT ten algemene nutte’ of het verstoren van openbare telecommunicatie, en het veroorzaken van maatschappelijk gevaar. De hackenzaken die we in de dossiers aantroffen hebben kennelijk niet een directe uitwerking op de samenleving in bredere zin, maar zijn kennelijk gericht op het behalen van een persoonlijk voordeel (ve rmogenscriminaliteit) of op het beslechten van een persoonlijk conflict. Met andere woorden: hacken is niet gericht op maatschappelijke ontwrichting of algemene gevaarzetting, maar op de verwezenlijking van individuele belangen. Het gaat veelal om redelijk alledaagse zaken, waarbij schijnbaar alledaagse mensen elkaar dwars zitten. Over die mensen gaan de volgende paragrafen. 2.5 Daderkenmerken uit de literatuur De daderkenmerken van hackers beschrijven we in deze paragraaf aan de hand van de literatuur, met name de recente en uitgebreide studie naar daderkenmerken van Van der Hulst en Neve (2008). In paragraaf 2.6 behandelen we vervolgens de resultaten uit onze dossieranalyse en vergelijken we de resultaten daaruit met de literatuur. We brengen hier in herinnering de kanttekingen die we in het eerste hoofdstuk plaatsten bij het opstellen van daderkenmerken (par. 1.4 onder ‘beperkingen van de methoden’). Uit de literatuurstudie van Van der Hulst en Neve (2008) blijkt dat er geen algemeen profiel van ‘de’ hacker ge geven kan worden. Een hackpoging is blijkens de literatuur doorgaans eenvoudig maar doordacht en het getuigt van een hoge mate van technische onderlegdheid en expertise van de dader (Van Geest, 2006, Van der Hulst en Neve, 2008). Als primaire motivatie worden behoefte aan kennis en persoonlijke uitdaging genoemd, maar bijvoorbeeld ook macht en financieel gewin (zie figuur 2.12). De ‘echte’ hackers waren van oorsprong vooral gericht op het aantonen van veiligheidslekken in systemen (old guard hackers). Hoe moeilijker de klus, hoe meer status men verwierf wanneer men erin slaagde ‘binnen te komen’. Er bestaat een hackerscultuur met eigen regels en gebruiken, een specifieke statushiërarchie, specifieke taal, normen en symbolen (Turgeman-Oldschmidt, 2005). Binnen de hackersgemeenschap delen de leden van de groep een sociale identiteit die volgens Jordan en Taylor (1998) gebaseerd is op zes indicatoren (ook aangehaald door Van der Werf, 2003 en Van der Hulst en Neve, 2008): – plezier in technologie en het onverwachtse, innovatieve gebruik ervan; – een spanningsveld tussen geheimhouding (uit handen blijven van de opsporing) en publiciteit (informatie delen om erkenning te krijgen); – anonimiteit (de werkelijke ‘offline’ identiteit wordt verborgen gehouden); – fluïditeit (een informele cultuur waar men soms wel en soms niet bij hoort);
46
– –
masculiene en vrouwonvriendelijke attitudes; voortdurende expliciete reflectie op de motivatie van het hacken (verslavende werking, nieuwsgierigheid, sensatie, macht, erkenning, en de dienstverlenende functie van het ontdekken van gaten in de beveiliging).
We zagen in paragraaf 2.3 dat er in de literatuur meer soorten hackers worden onderscheiden dan alleen deze old guard hackers. De studie van Van der Hulst en Neve (2008) was speciaal gericht op het in kaart brengen van daderkenmerken, voor zover bekend in de literatuur. Zij zien in de literatuur globaal een drietal dadertypen: - De jeugdige crimineel. Hackers zijn volgens enkele onderzoeken man en tussen de 12 en 28 jaar (Turgeman- Goldschmidt, 2005; Yar, 2005b). Yar (2005b) spreekt daarom over hacken als een vorm van jeugdcriminaliteit. Turgeman-Goldschmidt (2005) concludeerde op basis van 54 ongestructureerde diepteinterviews met hackers dat de lol, sensatie en uitdaging vaak het motief is. Van der Werf (2003) vindt in haar onderzoek hackers die ve rgeleken kunnen worden met vandalistische jongeren ‘…die in de fysieke wereld bushokjes slopen of rotzooi trappen op het schoolplein’ (Van der Werf, 2003:28). - De ideologische hacker. De meeste hackers zijn intelligente mensen met een expliciete behoefte aan kennisverrijking (Casey, 2002). De voorlopige onderzoeksbevindingen uit het lopende Hacker’s Profiling Project (Biancuzzi, 2006; Chiesa en Ducci, 2006, aangehaald in Van der Hulst en Neve, 2008) beschrijven hackers als intelligente mensen met een expliciete behoefte aan kennis, persoonlijke uitdaging en macht en een sterk gevoel voor burgervrijheid. - De financieel gemotiveerde hacker. Hackers zijn volgens Van der Hulst en Neve (2008) in toenemende mate financieel gemotiveerd en hun daden zijn gerelateerd aan andere ve rschijningsvormen van cybercrime. Het zijn summiere typeringen. De drie dadertypen die Van der Hulst en Neve beschrijven, doen denken aan wat we aan het slot van paragraaf 2.3 noemden de beginnelingen en rotzooitrappers, hackers oude stijl, en de criminelen. Figuur 2.12 bevat de daderkenmerken van hackers zoals Van der Hulst en Neven die weergeven op basis van hun literatuurstudie, volgens de in hun publicatie gehanteerde systematiek.
Figuur 2.12: Daderkenmerken hackers (naar Van der Hulst en Neve, 2008) Sociaal-demografische kenmerken: Variabel (technische) kennis en vaardigheden: Variabel Primaire motivatie: Als een manier van leven (lol, sensatie, uitdaging). Behoefte aan kennis en persoonlijke uitdaging. Macht (aandacht voor politieke/sociale problemen). Indruk maken op vrienden. Financieel gewin. Sociaal psychologisch profiel: Intelligent, creatief en vastbesloten. Sterk gevoel voor burge rvrijheid. Criminele carrière: Onbekend
In hun inventarisatie van literatuur op het gebied van cybercrime hebben Van der Hulst en Neve de daderkenmerken zoals beschreven door Rogers (2000, 2001, 2006), Casey (2002), Furnell (2002), Morris (2004) en Nykodym e.a. (2005) ondergebracht bij de verschillende typen hackers die door Rogers worden onderscheiden. Volgens Van der Hulst en Neve is deze indeling op dit moment ‘de meest uitgebreide categorisatie van hackers waarin uiteenlopende
47
inzichten over hackers zijn geïntegreerd’ (2008:108). In figuur 2.13 staat daarvan een beknopt overzicht.
Figuur 2.13: Daderkenmerken van de negen door Rogers onderscheiden categorieën hackers (Van der Hulst en Neven, 2008) NV CP IT PT OG VW PC IW PA Sociale demografie Leeftijd 12 – 30 X X X Leeftijd 30 + X X Middenklassenfamilie X Slechts schoolprestaties X Goed opgeleid X X X Ontevreden (ex-)werknemer X Technisch beroep X X Primaire motivatie Sensatie (media aandacht) X X X Status (zichzelf bewijzen) X X X Financieel gewin X X X X X X Wraak X X X X X X Kwaadaardigheid / vandalisme X X X X Macht X X (Intellectuele) uitdaging X X X X X Nieuwsgierigheid X Nationalistisch X (Politiek) ideologisch X X X Criminele carrière Crimineel verleden X X Georganiseerde misdaad X Verschijningsvorm cybercrime DDoS-aanvallen X Malware/Trojaanse paarden X X Spamming X Defacing X (Identiteits)fraude X X X Bedrijfsinformatiesystemen X Creditcardfraude X Spionage X X X Legenda: NV=Novice, CP=Cyberpunks, IT=Internal, PT=Petty thiefs, OG=Old guard hacker, VW=Virus writers, PC=Professional criminal, IW=Information warrior, PA=Political activist
Zo’n indeling kan de suggestie wekken dat kenmerken vrij precies zijn te verbinden met bepaalde typen hackers. Zoals Van der Hulst en Neve zelf ook aangeven is dat natuurlijk geenszins het geval. Zoals we zagen in paragraaf 2.3 is de indeling in de negen groepen van Rogers al arbitrair. Het exact van elkaar onderscheiden van de groepen door het toekennen van een unieke set kenmerken aan iedere groep, is een nog hachelijker kwestie. Eerder zouden we ons zo’n schema van groepen en kenmerken moeten voorstellen als een vlekkenkaart die accenten markeert. Dat is in zekere zin de benadering die Rogers zelf ook (2006) kiest. Hij vertrekt vanuit vier primaire motieven van hackers: - wraak: gericht op personen, organisaties, landen en werelddelen. - financieel gewin: hebzucht en persoonlijk financieel gewin. - nieuwsgierigheid: kennis, sensatie, intellectuele uitdaging. - roem: media-aandacht, opschepperij, volksheld. 48
Deze motieven kunnen, aldus Rogers, worden gekoppeld aan de mate van expertise van elke categorie. De novices of newbies (NV) hebben een lage expertise en handelen uit nieuwsgierigheid, wraak, roem of financieel gewin. De cyberpunks (CP) hebben een redelijke expertise en zijn voornamelijk uit op roem. Internals (IT) hebben een redelijk hoge expertise en zijn uit op wraak en in mindere mate financieel gewin. De petty thiefs (PT) hebben ook een redelijk hoge expertise maar zijn alleen uit op financieel gewin. Old guard hackers (OG) hebben een hoge expertise en handelen vooral uit nieuwsgierigheid. Virus writers of coders (VW) hebben ook een hoge expertise, maar handelen naast de nieuwsgierigheid toch voornamelijk uit wraak. Professional criminals (PC) hebben een hoge mate van expertise en zijn uit op financ ieel gewin. Ze staan recht tegenover de old guard hackers, die ook een hoge mate van expertise hebben maar totaal niet uit zijn op financieel gewin. Ook information warriors (IW) hebben een hoge mate van expertise, maar zij hebben als belangrijkste motieven financieel gewin en wraak. De political activists (PA) hebben eveeneens een hoge expertise, maar voor hen geldt roem als hoofdmotief en in mindere mate financieel gewin.
Figuur 2.14: Het hacker circumplex van Rogers (2006) expertise
IW PC IT PT
Wraak
VW
Financieel NV
expertise
expertise Roem
Nieuwsgierigheid OG
PA
CP
expertise
Rogers (2006) heeft deze kenmerken in een circumplex gezet (figuur 2.14). Door een gebrek aan datamateriaal is het model van Rogers echter hypothetisch en is een nadere empirische toetsing en ontwikkeling vereist (Van der Hulst en Neve, 2008). Het circumplex is verdeeld in vier parten: de primaire motieven. De mate van technische expertise is af te lezen van de assen, hoe verder naar buiten hoe hoger de expertise. Het circumplex laat zien hoe de verschillende categorieën van hackers zich ten opzichte van elkaar verhouden. Het is bijvoorbeeld duidelijk te zien dat old guard hackers (OG) en de professional criminals (PC) lijnrecht tege n-
49
over elkaar staan, terwijl de petty thiefs (PT) weer dichter bij de professional criminals (PC) staan. Volgens Rogers (2006) vormt het circumplex een basisinstrument voor het in kaart brengen van daderprofielen. Op grond van verschuivingen in motivatie en vaardigheden zijn volgens Rogers ook criminele carrières van hackers in kaart te brengen via het circumplex. Zoals we eerder in de methodische verantwoording van dit onderzoek schetsten, is er nog weinig wetenschappelijk onderzoek gedaan naar de grondslagen van gedragsmatige daderprofileringen. Het opstellen van daderprofielen die gebaseerd zijn op weinig empirisch materiaal is dus een ronduit hachelijke onderneming. Onze bevinding dat hacken sterk verweven is met allerlei andere delicten, roept ook nog eens de vraag op wanneer we moeten spreken van een hacker. Is bijvoorbeeld een hacker die iemand bedreigt een hacker – met dus een hackersprofiel – of is het een geweldpleger die hackt (en dus een persoon met een door andere criminologen voor geweldplegers ontwikkeld daderprofiel). Dergelijke kwesties benadrukken nog eens hoe dun het ijs is waarop daderprofilering hier is gebaseerd. Wellicht een benadering met betere kansen voor de rechtshandhaving is om niet ‘soorten hackers’ maar ‘soorten hacks’ in de analyse centraal te stellen. De kans dat men een bepaalde daad eenduidig kan classificeren lijkt groter dan de kans dat men een hacker kan classificeren als een persoon die uitsluitend een bepaalde soort hacks uitvoert. Vertrekken vanuit de daad sluit aan bij de gangbare denk- en werkwijze van politie en justitie: het vertrekpunt is immers steeds een daad (aangifte) en de vraag is vervolgens wie voor die daad als verdachte in aanmerking komt. 2.6 Verdachtenkenmerken uit de dossierstudie In deze paragraaf laten we zien wat voor kenmerken de verdachten hebben die wij aantroffen in de hackendossiers. Aan bod komen de modus operandi, persoonskenmerken, sociale achtergrond en antecedenten van de verdachten van hacken. De modus operandi Om iets te zeggen over de modus operandi bij hacken, hebben we (1) een analyse gemaakt van de MO zoals die door politiemedewerkers in het politiedossier is vastgelegd, (2) gekeken naar gebruikte criminele technieken en voorbereidingshandelingen die in het dossier worden genoemd, (3) vastgesteld vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al dan niet samenwerkende verdachten in het dossier staan vermeld. (1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen kunnen bij het registreren van een delict een of meer MO’s kiezen uit een vaste lijst. Die lijst verschilt enigszins per basisprocessensysteem. Daarnaast kunnen politiemensen zelf een MO invoeren. Tabel 2.4 bevat het resultaat van de analyse. Verschillende keren (20 maal) staat bij de MO in het dossier ‘onbekend’ en ook diverse keren (10 maal) is er niets ingevuld. In 109 dossiers hebben politiemensen wel iets ingevuld over de MO. Daarover gaat deze analyse. In 99 dossiers uit BPS staat een beschrijving van de MO. De meest voorkomende beschrijvingen zijn ‘computer’ en ‘hacken’ (tabel 2.4). Veelal staat er ‘hacken (inbreken op computer)’ of ‘computer’ in combinatie met een type woning, bijvoorbeeld ‘tussenwoning’, ‘bejaardenwoning’ of ‘woning hoek’. Het is niet eenvoudig in te zien waarom kennis omtrent het type woning waar de gehackte computer staat, zou helpen bij het vinden van de dader. (Dat is immers de gedachte achter het registreren van de MO: dat het de politie helpt om een nieuwe misdaad te koppelen aan een bij de politie reeds bekende dader waarvan zij weet dat die dader vooral een/die bepaalde MO gebruikt.) Vermoedelijk vullen politiemensen bij hackendossiers het type woning in omdat ze nu eenmaal gewend zijn dat in te vullen bij woninginbraken.
50
Tabel 2.4 MO-beschrijvingen in 109 hackendossiers 15 MO beschrijving n %* In BPS (N=99) Computer 97 98,0 Hacken 97 98,0 Woning 42 42,4 Vervalsen 6 6,1 Bedreigen 2 2,0 Inbreken 65 65,7 In XPOL (N=10) Computer 5 50,0 Hacken 1 10,0 Vervalsen 3 30,0 Bedreigen 2 20,0 In GENESYS (N=0) TOTAAL (n=109) Computer 102 93,6 Hacken 98 89,9 Woning 42 38,5 Vervalsen 9 8,3 Bedreigen 4 3,9 Inbreken 65 63,7 * Het totaal is niet gelijk aan 100 omdat in een dossier meerdere MO’s kunnen zijn geregistreerd. Daarnaast hebben we MO-beschrijvingen die niet vaak voorkomen niet in de tabel opgenomen, zie ook de methodische verantwoording in hoofdstuk 1.
MO’s die veel voorkomen in de hackendossiers zijn: computer, hacken, inbreken en woning. Ook vervalsen komt enkele keren voor. Onduidelijk is overigens of de politiemensen daarmee doelen op de manier waarop de hack is gepleegd (hacken door iets te vervalsen) of op het resultaat van de hack (hacken om iets te vervalsen, bijvoorbeeld voor een fraude). Alles met elkaar leert deze analyse ons niets over de werkwijze van hackers. (2) Bij de nadere inhoudelijke analyse, legden we vast of het dossier informatie beva tte over het gebruik van criminele technieken. 16 We beperken ons hier tot de in bijlage 1 tot en met 9 opgenomen criminele technieken. Er doen zich nu drie situaties voor: het dossier bevat geen informatie daarover, het dossier toont dat een criminele techniek is gebruikt maar onduidelijk is welke of uit het dossier is op te maken welke criminele techniek is gebruikt. In 86 van de 139 dossiers vonden we informatie over het gebruik van criminele technieken. In de overige 53 dossiers konden we niet vaststellen of er technieken zijn gebruikt. Van 60 van de 86 dossiers waarin informatie over het gebruik van criminele technieken stond, weten we wel dat een criminele techniek is gebruikt, maar we vonden geen informatie over welke dat precies was (de gebruikersnaam en het wachtwoord van het slachtoffer werden bijvoorbeeld gebruikt om in een computer in te breken, maar onbekend bleef op welke manier deze inloggegevens verkregen zijn, bijvoorbeeld door social engineering, een keylogger of phishing). Van 26 dossiers weten we welke techniek in die zaak gebruikt is. In totaal troffen we in die 26 dossiers 39 technieken aan. Tabel 2.5 toont een overzicht van de 26 dossiers met informatie over het gebruik van criminele technieken.
15 16
Per dossier zijn meerdere MO’s mogelijk. Bijlagen 1 tot en met 9 bevatten een overzicht van criminele technieken.
51
Tabel 2.5 Criminele technieken in 26 hackendossiers 17 Criminele techniek
Aantal
% van 26 Defacing (bijlage 5) 16 61,5 Keylogger (bijlage 8) 6 23,1 Phishing (bijlage 9) 5 19,2 Spoofing (bijlage 2) 4 15,4 Social engineering (bijlage 1) 2 8,3 Ddos (bijlage 4) 2 8,3 Botnets (bijlage 3) 2 8,3 I-frame injection (bijlage 6) 1 3,8 Spyware (bijlage 8) 1 3,8 Totaal 26 * *: Het totaal is niet gelijk aan 100 omdat in een dossier meerdere technieken kunnen zijn vermeld
De namen van de criminele technieken kwamen meestal niet letterlijk in het dossier voor. Uit de beschrijving in het dossier leidden we dan af van wat voor techniek sprake was. De meeste van de technieken die we in de literatuur tegen kwamen, zien we langs deze weg in de praktijk terug. Alleen bijlage 7 (Cross Site Scripting) komt niet terug in de dossiers. De meest gebruikte techniek is defacing (veranderen van een website). Defacen is een strafbare daad die volgt na de hack. In de literatuur zagen we dat defacen als techniek niet meer in zwang zou zijn omdat hacken tegenwoordig niet is gericht op het veranderen van een website om vervolgens op te scheppen over de hack (paragraaf 2.9). Hackers zouden hun inbraak juist geheim houden om vervolgens bijvoorbeeld onopgemerkt een botnet te vormen of een vermogensdelict te plegen. In de zaken waarmee de politie wordt geconfronteerd, speelt defacing wel een belangrijke rol. Een verklaring hiervoor kan zijn dat de defacing in de meeste dossiers betrekking had op het wijzigen van pagina’s op sociale netwerksite zoals hyves. Doel van de defacing is dan niet opscheppen over de hack of financieel gewin, maar ligt in de relationele sfeer (bijvoorbeeld het plaatsen van smadelijke teksten door een ex-partner). Een andere verklaring zou kunnen zijn dat slachtoffers vaak pas na een defacing merken dat hun computer is gehackt. De defacing is zo gezien een factor die mede bepaalt dat de zaak in de politiedossiers terecht komt. Ook kan het zijn dat defacing werkelijk vaker voorkomt dan experts in de literatuur doen vermoeden omdat de experts vooral hun aandacht richten op de technisch gezien ingewikkelder zaken die door een leek niet worden opgemerkt. Daarbij kan een rol spelen dat het voor beveiligingsexperts uit bedrijfsvoeringoogpunt aantrekkelijker is om te zeggen dat je als gebruiker niet merkt dat je computer is gehackt, dan om te zeggen dat je een hack meestal wel opmerkt. Dit lijkt ons een punt voor nader onderzoek. Een andere bevinding die niet strookt met hetgeen we vaak horen van beveiligingsexperts is de geringe prevalentie van social engineering. Een bekende wijsheid in informatiebeveiliging luidt dat de mens de zwakste schakel is in de beveiliging. Wij zien dat in tabel 2.5 niet terug. Mogelijk schamen slachtoffers zich er voor dat zij in een social engineering opzetje zijn getrapt en doen zij geheel geen aangifte of vermelden zij hun ‘dommigheid’ niet, of mogelijk zijn slachtoffers van social engineering zich er niet van bewust dat zij informatie aan een verkeerde persoon hebben afgegeven. Vanuit het oogpunt van informatiebeveiliging is dit een punt dat nader onderzoek verdient.
17
Per dossier kunnen meerdere criminele technieken gebruikt worden.
52
Casus 2.5: Defacing website ‘Ik doe aangifte van het opzettelijk en wederrechtelijk verwijderen en aanpassen van gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, worden verwerkt of overgedragen. Ik ben van beroep consultant en daarbij maak ik gebruik van een eigen internetsite. Op [datum] heeft een onbekend persoon mijn internetsite gehackt en daarbij gegevens veranderd en verwijderd. Dit heeft twee dagen geduurd waarna de onbekende al mijn gegevens heeft verwijderd.’ ‘Dit heeft geleid tot imagoschade en financiële schade. Ik heb namelijk mijn internetsite moeten laten repareren. Omdat er nu op mijn site te lezen is dat ik gehackt ben, heb ik schade geleden omdat ik daardoor een inkomstenderving heb geleden.’
Casus 2.6: Hacken, DDoS-aanval en cyberafpersen ‘Ik doe hierbij aangifte van hacking, oftewel computervredebreuk. Onbevoegden zijn namelijk via een telecommunicatieverbinding in mijn website binnengedrongen. Er worden kennelijk signalen naar het geautomatiseerde werk verzonden waardoor de server het niet meer aankan en de sites ontoegankelijk worden voor de gebruikers.’ ‘In ben werkzaam bij [bedrijf]. Dit bedrijf is aangesloten op een server. Deze server is gedurende de laatste 5 a 6 maanden meerdere malen aangevallen door de dader en hierdoor is er schade aangebracht aan het bedrijf. Sinds [datum] worden er dagelijks aanvallen uitgevoerd en daardoor zijn de genoemde sites gedurende meerdere uren en soms dagen niet meer bereikbaar. Hierdoor is er inmiddels een geschatte schadepost van 40.000 dollar. Deze schade komt voort uit het feit dat er diverse bedrijven welke adverteren op onze sites hun contracten hebben opgezegd doordat onze sites niet meer toegankelijk zijn. En door het feit dat klanten geen muziek konden downloaden en geen spullen konden kopen.’ ‘Tijdens de aanvallen zijn er bestanden vernield en had de dader toegang tot privacygevoelige gegevens, vertrouwelijke gegevens en bedrijfsgeheimen. Ik ben in oktober/no vember 2007 door de vermoedelijke dader een aantal malen gebeld. [VE] heeft hij mij verteld dat hij ervoor zou zorgen dat de sites gedownd zouden worden. Hij wilde geld van mij zien en ook heeft hij aangegeven dat hij een positie wilde in de chatroom. Hij vertelde erbij dat hij dit deed in opdracht van anderen en hij hier zelf geld voor kreeg.’
In casus 2.5 en 2.6 is te zien hoe daders criminele technieken inzetten. In deze gevallen zien we ook dat er sprake is van voorbereiding. Een verdachte moet zich immers eerst oriënteren op een slachtoffer, moet zwakke plekken in de beveiliging van bijvoorbeeld een website vinden en moet geschikte software zoeken of maken om de criminele techniek uit te kunnen voeren. In 28 dossiers was sprake van voorbereidingshandelingen door de verdachte. Voorbereidingshandelingen om te kunnen hacken zijn bijvoorbeeld het schrijven of downloaden van een programma dat misbruik maakt van zwaktes in een computersysteem, of het verzamelen van zoveel mogelijk gegevens over een slachtoffer om zo achter zijn of haar wachtwoorden te komen (zie casus 2.7). In de overige dossiers vonden we geen informatie die wees op voorbereidingshandelingen. Dat wil natuurlijk niet zeggen dat de verdachte geen voorbereidingsha ndelingen heeft getroffen.
53
Casus 2.7: Voorbereidingshandeling: hacken en het plaatsen van een phishing website ‘Op [datum] bleek, toen onze werknemers wilden inloggen, dat dit niet mogelijk was. Nadat wij contact hadden gezocht met onze ICT-verlener bleek dat de internetverbinding van onze server met het net verbroken had, daar er was geconstateerd dat er een zogenaamde "phishing website" op onze server geïnstalleerd was. Het bleek, dat middels een wachtwoordzoeker via het internet toegang was verkregen tot onze server. Het bleek, dat onze vorige ICT- verlener een systeembeheerder met de inlog en wachtwoord "backup" had aangemaakt. Door onbekenden was vervolgens een "phishing website" van de [naam] bank in Madrid geïnstalleerd.’
Hacken moet altijd worden voorbereid, maar hacken is in de meeste dossiers op zichzelf ook weer een voorbereiding om andere criminaliteit te plegen. Zo wordt van een aantal slachtoffers de e- mail gekraakt om toegang te krijgen tot persoonlijke informatie. Deze informatie werd gebruikt om (te dreigen met) het openbaar maken van smadelijke informatie over het slachtoffer (zie casus 2.3). Of de informatie werd gebruikt voor een volgende stap: het hacken van een account op een verkoopwebsite. Via het gekraakte account kan de verdachte dan weer spullen verkopen. In andere gevallen heeft de verdachte op ongeautoriseerde wijze toegang verkregen tot een website en op die manier persoonsgegevens van gebruikers verkregen. In twee dossiers maakte de hacker zelf een programma om in te breken op een computer, in de andere zaken is het onduidelijk wat de computervaardigheden van de criminelen zijn. Kortom, de inhoudelijke analyse levert aanzienlijk meer informatie over de MO op dan de analyse over de voorgestructureerde MO-tabellen. In de dossiers waarin we weten welke criminele techniek gebruikt is (18,7%), gebruiken verdachten een grote verscheidenheid aan criminele technieken, vooral defacing zagen we vaak (61,5%) – een activiteit die volgt op een hack. Deze bevinding is opmerkelijk omdat de literatuur vermeldt dat hackers tegenwoordig juist niet bekend willen maken dat zij een computer hebben gehackt, om vervo lgens de gehackte computer te kunnen misbruiken. Wellicht komen we dergelijke zaken weinig in de politiedossiers tegen omdat het slachtoffer dan niet weet dat zijn of haar computer is gehackt. Social engineering kwam weinig voor. Weinig, als we in aanmerking nemen dat beveiligingsexperts geregeld zeggen dat de mens de zwakste schakel is. Een vervolg op deze VCN2009 zou kunnen zijn een verdieping in het gebruik van criminele technieken, mede middels zaakreconstructies via slachtoffer- en daderinterviews. (3) We zochten ook naar informatie over vanuit welk land de dader opereerde. In 60 gevallen bevatte het dossier informatie daarover. In 46 van die gevallen (76,7 procent) opereerde de dader vanuit Nederland, in de overige 14 vanuit een ander land (23,3 procent). Het gaat dan om andere EU- landen, te weten Polen (2 maal), Duitsland, Frankrijk, Engeland en Spanje, maar vermoedelijk zijn ook delicten gepleegd vanuit Amerika (2 maal), China, Rusland en Turkije. Hoewel dus de meeste daders opereren vanuit Nederland, wordt ook bijna een kwart van deze criminaliteit gepleegd van over de grens. We hebben daarover hier geen cijfers paraat, maar zeer waarschijnlijk krijgt de politie bij offline criminaliteit in veel minder dan 23,3 procent van de zaken te maken met een vanuit het buitenland opererende dader. Als de politie willekeurig hackenzaken in behandeling neemt, leidt bijna een kwart van de zaken tot opsporingsactiviteiten tot over de grens. De vraag dringt zich op of de politie daarop berekend is. (4) We keken ook naar hoeveel verdachten er in een dossier voorkwamen. In 74 dossiers troffen we geen verdachte aan. Van 65 dossiers weten we het aantal verdachten, in totaal noteerden we 80 verdachten, als volgt over de dossiers verdeeld: − in 54 dossiers 1 verdachte (83,1%); − in 9 dossiers 2 verdachten (13,8%);
54
− in 1 dossier 3 verdachten (1,5%); − in 1 dossier 5 verdachten (1,5%). In drie dossiers (4,6%) zijn verdachten onderdeel van een criminele groep, hetgeen wil zeggen dat ze elkaar kennen en samenwerken; in 2 dossiers (3,1%) is er sprake van georganiseerde criminaliteit. Het ging in die gevallen om grote fraudezaken waarbij de politie vermoedde dat die door georganiseerde groepen vanuit Rusland werden gepleegd. Hacken is dus blijkens onze dossierstudie vooral een delict dat wordt gepleegd buiten criminele georganiseerde verbanden. Over de MO’s weten we nu dat daders van hacken een verscheidenheid aan criminele technieken inzetten, dat defacing veel voorkomt en social engineering weinig, in beide gevallen is dat in afwijking van wat we weten uit de literatuur en van beveiligingsexperts. Het gebruik van criminele technieken is derhalve een punt voor nader onderzoek, bij voorkeur met gebruik van slachtoffer- en daderinterviews. Voor de politie is dat relevant omdat kennis omtrent gebruikte MO’s kan helpen in de opsporing. In de overgrote meerderheid van de zaken (83,1%) is sprake van slechts één verdachte. In twee dossiers (6,7%) was sprake van georganiseerde criminaliteit waarbij de hackers uit waren op fraude en opereerden vanuit Rusland. Ook in diverse andere gevallen opereerden daders vanuit het buitenland, in totaal in bijna een kwart van de zaken (23,3%). Omdat we ons baseren op politiedossiers is nog maar de vraag in hoeverre de vorige alinea de werkelijkheid correct weergeeft. Wel kunnen we concluderen dat voor zover de politie te maken krijgt met hacken, zij wordt geconfronteerd met een verscheidenheid aan criminele technieken en met een relatief groot aantal zaken die worden gepleegd vanuit het buitenland. Dat maakt politiewerk complex en roept de vraag op in welke mate de politie in staat is het werkaanbod succesvol in behandeling te nemen. Ten einde zicht te krijgen op hindernissen in het werk van politie en justitie, zou onderzoek gedaan dienen te worden naar hoeveel hackenzaken uiteindelijk door het OM voor de rechter worden gebracht en met welk resultaat. Persoonskenmerken Van de 80 verdachten weten we va n 51 het geboorteland. Van hen zijn er 45 in Nederland geboren (88,2 procent) en 6 daarbuiten (tabel 2.5). De verdachten die niet in Nederland geboren zijn, zijn afkomstig uit Duitsland, België, Engeland, Rusland, Joegoslavië en Marokko (2).
Tabel 2.6: Geboorteland van 51 verdachten Geboorteland Nederland Ander Europees land Buiten Europa Totaal
n 45 4 2 51
% 88,2 7,8 3,9 99,9
Van 63 verdachten weten we geslacht (tabel 2.7). Het gaat om 50 mannen en 13 vrouwen (resp. 79,4 en 20,6 procent). Het percentage mannen onder hacken-verdachten wijkt niet significant af van het overeenkomstige percentage voor Nederlandse verdachten. Wel is het percentage mannen onder hacken-verdachten groter dan het overeenkomstige percentage voor de Nederlandse bevolking (p<0,01).
55
Tabel 2.7: Geslacht van 63 verdachten Verdachten hacken Nederlandse verdachten# Nederlandse bevolking## Geslacht n % n % n % Man 50 * 79,4 202.698 * 82,9 8.157.074 49,5 Vrouw 13 * 20,6 41.777 * 17,1 8.329.513 50,5 Totaal 63 100,0 244.475 100,0 16.486.587 100,0 # Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008); ## Bron: www.cbs.nl, peiljaar 2009. * Significant verschil met Nederlandse bevolking (p<0,01).
Van 47 verdachten weten we de leeftijd. De jongste is 13 en de oudste 60 jaar oud (zie tabel 2.8). De verschillen in tabel 2.8 tussen hacken-verdachten en Nederlandse verdachten zijn niet significant. Dat wil zeggen dat verdachten voor hacken gemiddeld even jong of oud zijn als verdachten voor andere vormen van criminaliteit. Hacken is dus niet speciaal iets voor jongere criminelen (hetgeen zou kunnen worden verwacht omdat het over cybercrime gaat). Hacken is, net als andere criminaliteit, wel iets voor de groep personen jonger dan 45 jaar. In die categorie valt 85,1 procent van de verdachten voor hacken. Van de Nederlandse bevolking valt slechts 51,6 procent in de categorie personen jonger dan 45 jaar (p<0,01). Verdachten van hacken zijn daarmee, net als verdachten van andere criminaliteit, jonger dan de gemiddelde Nederlander.
Tabel 2.8: Leeftijdsopbouw van 47 verdachten hacken, vergeleken met Nederlandse verdachten en de Nederlandse bevolking Verdachten hacken Nederlandse verdachten# Nederlandse bevolking## Leeftijdscategorie n % n % n % 12 – 17 jaar 10 * 21,3 35.161 * 14,4 1.204.964 8,6 18 – 24 jaar 10 * 21,3 59.990 * 24,6 1.358.686 9,7 25 – 34 jaar 8 17,0 53.137 * 21,8 2.057.625 14,7 35 – 44 jaar 12 25,5 48.045 * 19,7 2.605.300 18,6 45 – 54 jaar 5 10,6 28.595 * 11,7 2.367.997 16,9 55 – 65 jaar 2 4,3 13.214 * 5,4 2.035.580 14,5 65 jaar en ouder 0 * 0,0 5.527 * 2,3 2.368.352 16,9 Totaal 47 100,0 243.669 99,9 13.998.504 99,9 # Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008). ## Bron: www.cbs.nl, peiljaar 2007. * Significant verschil met Nederlandse bevolking (p<0,01). NB: Personen onder de 12 jaar hebben we niet meegenomen o mdat deze niet in HKS staan.
Op hoofdlijnen kunnen we concluderen dat hacken vooral een zaak is voor mannen onder de vijfenveertig – zoals de meeste criminaliteit. Sociale achtergrond Op basis van de dossiers kunnen we weinig zeggen over de sociale achtergrond van de ve rdachten. Daarvoor staat er te weinig in de politiedossiers over bijvoorbeeld de woonsituatie, het opleidingsniveau en de arbeidssituatie. Vermeldenswaard is wellicht dat 12 van de ve rdachten werkzaam zijn in de IT-sector. We kunnen op basis van de dossiers evenwel verder niets zeggen over de technische of computervaardigheden van de verdachten.
56
Antecedenten18 Van 45 verdachten hadden we voldoende persoonsgegevens voor het natrekken van antecedenten. We vroegen op in welke hoofdgroepen van delicten zij staan vermeld (tabel 2.9) en voor welke artikelen die (mogelijk) verband houden met de cybercrimes uit deze VCN2009 zij antecedenten hebben (tabel 2.10). 19 In totaal hebben 14 van deze 45 verdachten (31,1%) een of meerdere antecedenten in een hoofdgroep (tabel 2.9). Elke vermelding in een hoofdgroep kan weer meerdere antecedenten inhouden. De vermeldingen zijn verspreid over de verschillende hoofdgroepen. De meeste vermeldingen vallen onder de hoofdgroepen ‘geweld tegen personen’ en ‘vernieling openbare orde’. Andere hoofdgroepen waarin relatief veel antecedenten voorkomen zijn ‘vermogen zonder geweld’ en ‘verkeer’ (tabel 2.9). Dat zijn de hoofdgroepen waar ook alle Nederlanders met antecedenten het meest fr equent scoren. Op grond van deze indeling en deze cijfers kunnen we concluderen dat hackers geen ander antecedentenprofiel hebben dan de gemiddelde Nederlander maar dat zij wel significant meer antecedenten hebben, bij alle hoofdgroepen behalve voor vermogensdelicten met geweld.
Tabel 2.9:Antecedenten van 45 verdachten van hacken en van Nederlanders van 12 jaar en ouder (n=14 mlj.): vermeldingen per hoofdgroep Hoofdgroep
Verdachten hacken n % van 45
Gewelddadig seksueel 1 Overig seksueel 1 Geweld tegen personen 8 Vermogen met geweld 0 Vermogen zonder geweld 6 Vernieling / openbare orde 8 Verkeer 5 Drugs 2 Overige 3 Eén of meer van bovenstaan14 de hoofdgroepen *: significant verschil met ‘Nederlanders 12+’ (p<0,01)
* 2,2 * 2,2 * 17,8 0,0 * 13,3 * 17,8 * 11,1 * 4,4 * 6,7 * 31,1
20
Nederlanders 12+ n % van 13.998.504 1.896 0,014 2.400 0,017 64.914 0,464 6.622 0,047 67.689 0,484 49.379 0,353 62.756 0,448 19.132 0,137 23.811 1,170 2.444.475 1,746
Van de 14 verdachten met antecedenten hebben 5 verdachten in totaal 6 antecedenten voor artikelen die (mogelijk) verband houden met de cybercrimes in deze VCN2009: 4 maal voor hacken en 2 maal voor oplichting (tabel 2.10). Van de 45 verdachten van hacken heeft dus 8,9 procent een antecedent voor dat delict. Hoewel alle hackendossiers stammen uit 2007, weten we niet zeker dat alle antecedenten verwijzen naar eerdere zaken dan de dossiers in onze analyse. 21 Hoe dan ook, verreweg de meeste hackers hebben geen antecedenten voor hacken. Als 18
Een toelichting op deze analyse staat in paragraaf 1.4. Dat zijn de volgende artikelen uit het Wetboek van Strafrecht: 138a, 350a, 350b, 161sexies, 161septies, 139c, 139d, 232, 326, 225, 240b, 147, 131, 137c, 137d, 137e, 137f, 137g. Deze artikelen staan uitgebreid beschreven in de hoofdstukken over de individuele cybercrimes (hoofdstuk 2 tot en met 6, steeds paragraaf 2). 20 De percentages berekenden we als volgt: In 2007 waren er 13.998.504 Nederlanders van 12 jaar en ouder (www.cbs.nl). We houden 12+ aan omdat onze verdachten ook allemaal 12 jaar en ouder zijn. We weten per hoofdgroep het aantal mensen dat in HKS geregistreerd staan (zie Prins, 2008). Op die manier berekenden we het percentage Nederlanders met antecedenten. 21 Zie ook paragraaf 1.4, subparagraaf ‘opvragen van antecedenten’. 19
57
we ook nog in aanmerking nemen dat mogelijk enkele van de gevonden antecedenten voor hacken betrekking hebben op de dossiers in dit onderzoek, en het dus niet om nog weer andere zaken gaat, moeten we concluderen dat hackers zelden recidiveren voor hacken. Mogelijk speelt daarbij een rol dat politie en justitie niet vaak met succes een zaak voor de rechter brengen – maar daarover verschaft deze VCN2009 geen informatie. De twee antecedenten voor oplichting weerspiegelen de eerder gevonden relatie tussen hacken en vermogenscriminaliteit.
Tabel 2.10: Antecedenten van verdachten van hacken voor artikelen die (mogelijk) verband houden met de cybercrimes in deze VCN2009 Aantal verdachten met antecedenten hacken Aantal antecedenten voor 138a Sr (computervredebreuk) Aantal verdachten met antecedenten mogelijk i.r.t. fraude Aantal antecedenten voor 326 Sr (oplichting) Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien
4 4 2 2 0 0 0
Relatie verdachte-slachtoffer Van 58 verdachten weten we de relatie met het slachtoffer (tabel 2.11). In de meeste gevallen waren verdachte en slachtoffer geen onbekenden van elkaar (86,2%). De relatie was veelal een zakelijke (32,8%), of verdachte en slachtoffers waren ex-partners (24,1%) of kennissen (24,1%).
Tabel 2.11: Relatie tussen 58 verdachten en hun slachtoffers Relatie verdachte en slachtoffer Familie Partner Ex-partner (getrouwd, langdurige relatie) Ex-partner (verkering, kortstondige relatie) Kennis Zakelijk ((ex-)werknemer, zakenrelatie, klant) Zakelijk (student) Onbekende Totaal
n 2 1 7 7 14 12 7 8 58
% 3,4 1,7 12,1 12,1 24,1 20,7 12,1 13,8 100,1
Van 33 verdachten hebben we op basis van de tekst in het dossier de primaire motivatie kunnen vaststellen. Van 12 van hen was de motivatie wraak en van 10 nieuwsgierigheid. Andere motieven waren financieel gewin (4), status (3), overige (3) 22 (zie casus 2.8) en aandacht (1).
22
Het betrof 2 maal een rechtszaak van ex-partners (zie ook casus 2.8) en 1 maal stalking door een verdachte die ‘geestelijk in de war was’.
58
Casus 2.8: Hacken in de relationele sfeer ‘Ik was getrouwd met VE1. Op [datum] ben ik officieel gescheiden van VE1. Na de sche iding komt het proces van boedelscheiding en alimentatie toewijzing naar de kinderen van mijn kant uit en van VE1. Vanaf [datum] is mij opgevallen dat er privé gegevens van mij bekend waren bij VE1.’ ‘Ik had een brief ontvangen van mijn buren met een belastende verklaring voor de rechtbank. Deze [papieren] brief had ik persoonlijk ontvangen op een andere locatie omdat ik geen argwaan wilde wekken. Op [datum] heb ik de brief gedigitaliseerd, opgeslagen op mijn laptop en via een draadloos netwerk verstuurd naar mijn advocaat. Op [datum] belde mijn buren mij op en vertelde dat VE1 verhaal was komen halen over de verklaringen. Het ging om informatie afkomstig uit de door mij verstuurde mail. Daarnaast zijn e- mails uit de mailbox van mij gewist en had VE1 kennis van nog meer vertrouwelijke informatie over mij. Ik vermoed dat mijn ex-partner mogelijk de toegang tot mijn laptop heeft verkregen, mogelijk door een hacker. De reden dat mijn ex-partner dit zou doen of het belang dat ze hierbij heeft is dat ze op deze wijze de rechtsgang zou kunnen manipuleren door mijn belastende verklaringen of mailwisselingen door te spelen aan SO’s (slachtoffers) advocaat.’
Uit de analyse van de relatie tussen de verdachte en het slachtoffer blijkt dat verdachte en slachtoffer vaak bekenden zijn van elkaar, ofwel zakelijk ofwel privé. De primaire motivatie ligt geregeld in de relationele sfeer. Bij 12 van de 33 verdachten (36,4%) is wraak de motivatie tot het delict. We zien bijvoorbeeld ex- geliefden of klasgenoten die elkaar zwart maken door gevoelige informatie openbaar te maken. In twee zaken ging het om een verdachte die de ex-partner in de gaten wilde ho uden. Conclusies Uit de literatuur kunnen we opmaken dat het moeilijk is om een algemeen daderprofiel van hackers op te stellen. Dit komt mede doordat verschillende categorieën hackers worden onderscheiden, welke niet strikt van elkaar te scheiden zijn. De persoonskenmerken en primaire motivatie kunnen, volgens de literatuur, verschillen per subcategorie. Een hackpoging is blijkens de literatuur doorgaans eenvoudig maar doordacht en het getuigt van een hoge mate van technische onderlegdheid en expertise van de dader (Van Geest, 2006, Van der Hulst en Neve, 2008). Als primaire motivatie worden behoefte aan kennis, persoonlijke uitdaging, financieel gewin, wraak, nieuwsgierigheid en roem genoemd (Van der Hulst en Neve, 2008; Rogers, 2001, 2006). Van der Hulst en Neve (2008) onderscheiden drie dadertypen. (1) De jeugdige crimineel, waarbij hacking een vorm van jeugdcriminaliteit is. (2) De ideologische hacker met een sterk gevoel voor burgervrijheid, hoge mate van intelligentie en een expliciete behoefte aan kennis, persoonlijke uitdaging en macht. (3) De financieel gemotiveerde hacker. Uit de dossierstudie komt niet zozeer een beeld met verschillende, duidelijke categorieën hackers naar voren. Op hoofdlijnen zien we dat hacken vooral een zaak is van in Nederland geboren mannen onder de vijfenveertig. Ze hebben doorgaans geen antecedenten, ook niet voor hacken. Zij plegen hun delict zelden in georganiseerd verband. Over de sociale achtergrond van de verdachte (woonsituatie, opleiding, etc.) vonden we nauwelijks gegevens. Bijna een kwart van de verdachten opereert vanuit het buitenland. Dat betekent voor de politie een extra hindernis in de opsporing. Verder zagen we dat veel hackzaken in de relationele sfeer liggen (bijvoorbeeld ex- geliefden, jaloerse echtgenoten of schoolvrienden). Verdachte en slachtoffer kennen elkaar meestal. Als primaire motivatie kwamen we vooral tegen wraak,
59
nieuwsgierigheid en financieel gewin. Onduidelijk is of, zoals in de literatuur wordt beweerd, verdachten een hoge mate van technische onderlegdheid hebben. Zeker is wel dat lang niet alle verdachten technisch onderlegd zijn. Verdachten maken gebruik van verschillende criminele technieken, zoals defacing, keylogging, phishing en social engineering. Botnets, DDoSaanvallen, sniffing en spoofing kwamen we zelden tegen. Daarnaast schrijven of downloaden verdachten programma’s om mee te hacken en zoeken ze zoveel mogelijk gegevens van slachtoffers om wachtwoorden te achterhalen. Het repertoire aan hackerstechnieken klinkt imposant maar wellicht is het begrip ‘technisch onderlegd’ aan enige herwaardering toe. We zagen dat defacen de meest gebruikte criminele techniek is. Bij een persoon die een computer hackt en vervolgens een website defaced, moeten we niet, in elk geval niet altijd, meteen denken aan een wizzkid die dankzij een hoge mate van technische begaafdheid zijn hack kan verrichten en vervolgens de betreffende website door een eigen ontwerp vervangt, maar moeten we bijvoorbeeld ook denken aan iemand die stiekem inlogt op andermans account en dan daar wat dingen wijzigt (zoals in een Hyves-profiel). Hacken, zo volgt uit ons onderzoek, is niet enkel het werk van high tech computeraars maar ook van meer alledaagse individuen. Deels heeft dat te maken met een verruiming van wetgeving en dus met wat onder hacken is te verstaan. Sinds de invoering van de Wet Computercriminaliteit II is het voor hacken niet langer noodzakelijk dat een beveiliging wordt doorbroken of omzeild. Dat hacken alledaagser is geworden heeft vermoedelijk ook te maken met de mate waarin mensen in onze samenleving vertrouwd zijn geraakt met de virtuele wereld. Voor jonge mensen, opgegroeid met cyberspace, is het rommelen met andermans account of profiel niet per se een technisch hoogstandje. We beargumenteren hiermee niet dat hacken geen zaak meer is van gevorderde computeraars, ons onderzoek wijst er echter wel op dat hacken tot op zekere hoogte is gedemocratiseerd: geen exclusief domein meer is van wizzkids maar ook wordt bedreven door mensen die niet zo technisch zijn onderlegd. 2.7 Slachtoffers van hacken Inleiding In de literatuur is nog weinig bekend over de slachtoffers van cybercrime. Het in kaart brengen van slachtoffers was in deze VCN2009 geen hoofddoel, maar de (summiere) gegevens die zijn verkregen uit de analyse van politiedossiers willen we niet negeren; ook zij zeggen mogelijk iets over de werk- en denkwijze van de verdachten. In de 139 hackendossiers vonden we gegevens van 104 natuurlijke personen (74,8%) en 35 bedrijven (25,2%) die aangifte deden. Per dossier is er per definitie maar één slachtoffer. Indien een verdachte meerdere slachtoffers heeft gemaakt, moet immers ieder slachtoffer aangifte doen. Over de 35 bedrijven hebben we weinig informatie. Van 30 bedrijven weten we het vestigingsland. De meeste daarvan zijn in Nederland gevestigd (26, dus 86,7%), twee bedrijven zijn zowel in Polen als in Nederland gevestigd. Daarnaast bevat de analyse een bedrijf dat is gevestigd in Noorwegen en een dat is gevestigd in Afghanistan. Verder weten we iets van de geschatte materiële schade die bedrijven opliepen. Dat behandelen we met de materiële schade van natuurlijke personen (tabel 2.14). Onderstaande analyse gaat verder alleen over de 104 natuurlijke personen die slachtoffer zijn. Persoonskenmerken Van die 104 personen weten we van 96 het geboorteland. Van deze 96 zijn er 83 geboren in Nederland (86,5%) en 13 elders (13,5%). Die dertien zijn geboren in Engeland (2), Frankrijk, Denemarken, Zwitserland, Bosnië Herzegovina, Iran (2), Dominicaanse Republiek, Indonesië en Marokko.
60
Van 99 slachtoffers weten we het geslacht. Onder hen zijn 60 mannen (60,6%) (tabel 2.12). Dat is een significant hoger percentage dan het percentage manne n onder de Nederlandse bevolking (p<0,01). Het verschil met het percentage mannen onder de verdachten van hacken is niet significant voor p<0,01.
Tabel 2.12: Geslacht van 99 slachtoffers van hacken Slachtoffers hacken Verdachten hacken Geslacht n % n % Man 63 * 63,6 50 79,4 Vrouw 36 * 36,4 13 20,6 Totaal 99 100,0 63 100,0 # Bron: www.cbs.nl, peiljaar 2009. * Significant verschil met Nederlandse bevolking (p<0,01)
Nederlandse bevolking# n % 8.157.074 49,5 8.329.513 50,5 16.486.587 100,0
Van 98 slachtoffers weten we de leeftijd. Die varieert van 13 tot 66 jaar. Net als bij de ve rdachten zien we ook hier een nadruk op de groep van personen tot 45 jaar (tabel 2.13). Van de verdachten valt 85,1 procent in die groep, van de slachtoffers van hacken doet dat 78,4 procent. Dat verschil is niet significant. Ook voor het overige zijn in tabel 2.13 geen verschillen tussen de percentages van slachtoffers en verdachten. Van de Nederlandse bevolking van 12 jaar en ouder valt 51,6 procent in de categorie personen tot 45 jaar. Voor slachtoffers van hacken was dat 78,4 procent, en daarmee zijn zij significant jonger dan het Nederlands gemiddelde (p<0,01). Vooral slachtoffers in de leeftijdscategorie 18-24 jaar zijn oververtegenwoordigd. Personen van 65 jaar en ouder zijn juist ondervertegenwoordigd (p<0,01). Kortom, vergeleken met de leeftijdsopbouw van de Nederlandse bevolking ligt niet alleen bij verdachten het accent op de jongere leeftijdsgroepen, ook bij de slachtoffers is dat het geval.
Tabel 2.13: Leeftijdsopbouw van 98 slachtoffers hacken, vergeleken met verdachten van hacken en de Nederlandse bevolking Slachtoffers hacken Verdachten hacken Nederlandse bevolking# Leeftijdscategorie n % n % n % 12 – 17 jaar 11 11,2 10 * 21,3 120.4964 8,6 18 – 24 jaar 22 * 22,4 10 * 21,3 1.358.686 9,7 25 – 34 jaar 22 22,4 8 17,0 2.057.625 14,7 35 – 44 jaar 22 22,4 12 25,5 2.605.300 18,6 45 – 54 jaar 12 12,2 5 10,6 2.367.997 16,9 55 – 65 jaar 8 8,2 2 4,3 2.035.580 14,5 65 jaar en ouder 1 * 1,0 0 * 0,0 2.368.352 16,9 Totaal 98 100,0 47 100,0 13.998.504 99,9 # Bron: www.cbs.nl, peiljaar 2007. * Significant verschil met Nederlandse bevolking NB: Personen onder de 12 jaar hebben we niet meegenomen o mdat deze niet in HKS staan.
61
Sociale achtergrond Op basis van de dossiers kunnen we niets zinvols zeggen over de sociale achtergrond van de slachtoffers; hierover staat te weinig in de politiedossiers. Ook is onbekend of het slachtoffer vaker slachtoffer was van cybercrime en wat zijn of haar technische vaardigheden zijn. Antecedenten Van de 137 slachtoffers hebben er 28 (20,4%) een of meer vermeldingen in een hoofdgroep, in totaal 52 vermeldingen. De vermeldingen vallen vooral binnen de hoofdgroepen ‘geweld tegen personen’ en ‘vernieling openbare orde’. Andere hoofdgroepen waarin relatief veel antecedenten voorkomen zijn ‘vermogen zonder geweld’ en ‘verkeer’ (tabel 2.14). Het patroon is vergelijkbaar met dat van verdachten van hacken en met dat van de gemiddelde Nederlander. Er zijn geen significante verschillen in percentages tussen slachtoffers en verdachten. Wel zijn bij de meeste hoofdgroepen de percentages voor de slachtoffers significant hoger dan de overeenkomstige percentages voor alle Nederlanders van twaalf jaar en ouder. Slachtoffers van hacken komen dus qua antecedenten meer overeen met verdachten van hacken dan met ‘de gemiddelde Nederlander’. Van de verdachten heeft 31,1 procent een of meer antecedenten, van de slachtoffers is dat 20,4 procent, en van de Nederlandse bevo lking van 12 jaar en ouder is dat 1,7 procent. Deze bevinding leidt, enigszins populair uitgedrukt, tot de conclusie dat slachtoffers van hacken een even crimineel verleden hebben als hun kwelgeesten. Een mogelijke verklaring daarvoor is dat het bij slachtoffers net als bij daders vaak gaat om personen die relatief jong zijn en vaak van het mannelijke geslacht. Slachtoffers behoren dus net als de daders tot de groep personen (jonge mannen) die relatief veel criminaliteit pleegt. Of dat het hoge percentage antecedenten bij slachtoffers voldoende ve rklaart, is een aandachtspunt voor nader onderzoek.
Tabel 2.14: Antecedenten van 93 slachtoffers van hacken, 45 verdachten van hacken en van Nederlanders van 12 jaar en ouder (n=14 mlj.): vermeldingen per hoofdgroep Soort antecedent (hoofdgroep)*
Slachtoffers hacken N % 0 0,0 0 0,0 11 * 11,8 1 * 1,1 6 * 6,5 6 * 6,5 4 * 4,3 1 * 1,1 7 * 7,5 19 * 20,4
Gewelddadig seksueel Overig seksueel Geweld tegen personen Vermogen met geweld Vermogen zonder geweld Vernieling / openbare orde Verkeer Drugs Overige Eén of meer van bovenstaande hoofdgroepen #: een persoon kan in meerdere categorieën voorkomen. *: significant verschil met ‘Nederlanders 12+’ (p<0,01)
Verdachten hacken N % 1 * 2,2 1 * 2,2 8 * 17,8 0 0,0 6 * 13,3 8 * 17,8 5 * 11,1 2 * 4,4 3 * 6,7 14 * 31,1
Nederlanders N 1.896 2.400 64.914 6.622 67.689 49.379 62.756 19.132 23.811 2.444.475
12+
23
% 0,014 0,017 0,464 0,047 0,484 0,353 0,448 0,137 1,170 1,746
Van de 93 slachtoffers waren er twee (2,2%) met antecedenten voor artikelen die verband (kunnen) houden met de cybercrimes in deze VCN2009: één slachtoffer heeft een antecedent 23
De percentages berekenden we als volgt: In 2007 waren er 13.998.504 Nederlanders van 12 jaar en ouder (www.cbs.nl). We houden 12+ aan omdat onze verdachten ook allemaal 12 jaar en ouder zijn. We weten per hoofdgroep het aantal mensen dat in HKS geregistreerd staan (zie Prins, 2008). Op die manier berekenden we het percentage Nederlanders met antecedenten.
62
voor artikel 326 Sr (oplichting) en één slachtoffer een antecedent voor een artikel dat verband houdt met haatzaaien (tabel 2.15). We weten niet of het gaat om cybercrimes.
Tabel 2.15 Antecedenten van 2 slachtoffers van hacken voor artikelen die (mogelijk) verband houden met de cybercrimes in deze VCN2009 Aantal slachtoffers met antecedenten hacken Aantal verdachten met antecedenten mogelijk i.r.t. fraude Artikel 326 Sr (oplichting) Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien Artikel 137f Sr (deelname of steunen van discriminatie)
0 1 1 0 0 1 1
Schade We vonden in 31 dossiers informatie over de materiële schade van natuurlijke personen (n=104). De schade in een zaak ligt steeds tussen de 50 en 16.960 euro. De totale schade in die 31 dossiers is 71.220 euro, met dus een gemiddelde schade van ongeveer 2.300 euro per dossier of slachtoffer (tabel 2.16). In 15 dossiers gaf het bedrijf dat slachtoffer was aan dat er materiële schade was (n=35). Van tien van die bedrijven weten we de hoogte van de schade die ze opgaven: tussen de 200 en 90.000 euro. De totale schade is 161.300, met een gemiddelde van ongeveer 16.000 per bedrijf (tabel 2.15).
Tabel 2.16 Schade van 31 individuen en 10 bedrijven Hoogte schade 1 – 100 100 – 500 500 – 1.000 1000 – 10.000 10.000 of meer Totaal
individuen 6 12 4 7 2 31
bedrijven 0 1 1 5 3 10
Wat we over immateriële schade tegenkwamen is dat individuele slachtoffers zich soms aangetast voelen hun persoonlijke levenssfeer en/of bang zijn voor imagoschade (vanwege het vrijkomen van gevoelige informatie). Voor bedrijven kan de schade bestaan uit vernielde bestanden, het opnieuw moeten beveiligen van een netwerk en imagoschade. Willen we iets zeggen over de maatschappelijke schade dan moeten we tevens iets weten over de prevalentie van hacken. Daarover gaat de volgende paragraaf. Voor de ‘schadebeleving’ (en de aangiftebereidheid) is tevens een relevante factor of een slachtoffer verzekerd is tegen een dergelijke verliespost, net zoals iemand verzekerd kan zijn tegen woninginbraak of autodiefstal. Voor zover wij na konden gaan, bestaat er geen verzekering voor schade door computerinbraak 24 . 24
We checkten dit op 12 mei 2008 bij Achmea, Aegon, Ditzo, ING, Nationale Nederlanden en Univé. Het blijkt dat het bij enkele verzekeringsmaatschappijen wel mogelijk is om digitale bestanden te verzekeren, maar we konden niet achterhalen of dit ook voor schade door een computerinbraak geldt.
63
2.8 Omvang Inleiding Om enig zicht te krijgen op de omvang van de cybercrime hacken, namen we een steekproef van meldingen en aangiften om te zien in hoeveel gevallen er in de politieregistratie sprake is van hacken (Domenie e.a., 2009). Ook hielden we een slachtofferenquête onder internetters in Friesland. Daarnaast hebben we in de literatuur gekeken naar cijfers over de criminele technieken die gebruikt worden om te hacken. Uit de politieregistratie We onderzochten in de korpsen Hollands-Midden en Zuid-Holland-Zuid welke deel van het bij de politie geregistreerde werkaanbod cybercrime betreft (Domenie e.a., 2009). Van alle in deze regio’s in 2007 geregistreerde zaken betreft tussen de 0,3 en 0,9 procent cybercrime. Een klein deel van de dossiers inzake cybercrime betreft hacken: in Ho llands-Midden was dat 6,9 en in Zuid-Holland-Zuid 4,3 procent (in een steekproef van 10 procent van alle dossiers uit 2007). Hackendossiers maken dus slechts een fractie uit van het totaal bij de politie geregistreerde zaken (ruw geschat op basis van bovenstaande gegevens: zo’n 5% van 0,6%, is 0,03%). Deze dossierstudie in twee korpsen geeft zicht op de omvang van de door de politie geregistreerde cybercrime. Daaruit is echter bezwaarlijk iets af te leiden over hoe vaak die vorm van criminaliteit werkelijk voorkomt. Uit de slachtofferenquête onder burgers We hielden in november 2008 (via vraaghetdevries.nl) een steekproef onder Friese interne tgebruikers (zie bijlage 11). In totaal zijn 1.246 Friese internetgebruikers ondervraagd. Daarvan geven 65 respondenten (5,2%) aan wel eens het slachtoffer te zijn geworden van een (poging) tot hacken. Meer dan de helft daarvan (34, ofwel 2,7%) zegt dat de laatste keer in 2007 of 2008 was. Eén van de 65 slachtoffers deed aangifte (1,5%). De reden dat slachtoffers geen aangifte doen is meestal omdat ze het delict niet zwaar genoeg vonden (bijvoorbeeld te weinig schade), omdat ze niet wisten dat er aangifte gedaan kon worden of omdat ze zelf de beveiliging van de computer verbeterden. Zoals te verwachten was, zijn mensen vaker slachtoffer van hacken dan blijkt uit de politieregistratie. Dat is niet vreemd met zo’n laag aangiftepercentage. Het was een enquête met bescheiden omvang en uitsluitend gehouden onder interne ttende inwoners van Friesland, dus moeten we voorzichtig zijn met het generaliseren van de uitkomsten. Uit de literatuur In de literatuur is weinig bekend over de omvang van hacken. Voor het bepalen van de omvang kijken we daarom naar de cijfers van criminele technieken die bij deze cybercrime gebruikt worden. De cijfers over de omvang van de verschillende criminele technieken worden uitvoerig behandeld in bijlage 1 tot en met 9. In deze paragraaf geven we een korte schets. - Botnets. Uit onderzoek onder bedrijven in Amerika door het Computer Security Institute (2007) blijkt dat 21 procent van de bevraagde organisaties geïnfecteerde computers in hun netwerk hadden die behoorden tot een botnet. Ander onderzoek, uit Australië, geeft een soortgelijk beeld, 30 procent van de bedrijven heeft geïnfecteerde computers in hun ne twerk (CSO magazine 2006). Tussen 1 januari 2006 en 30 juni 2006 registreerde Symantec wereldwijd 52.771 actieve computers die tot een botnet behoorden. Geïnfecteerde computers die minstens één keer actief waren tijdens de periode van de meting worden door Symantec ‘distinct bot- infected computer’ genoemd. In de meetperiode tussen 1 januari 2007
64
-
-
-
-
-
en 30 juni 2007 waren er 5.029.309 van dergelijke computers. De omvang is in beide gevallen een vermindering van 17 procent ten opzichte van 2006 (Symantec, 2007). Defacing. Uit onderzoek van Bednarski (2004) naar afpersingen in Amerikaanse bedrijven tot 10.000 medewerkers blijkt dat van de bedrijven die slachtoffer geweest zijn van cyberafpersing (17% van de respondenten) er in 19 procent van de gevallen gedreigd werd met defacing. Vergelijkbare cijfers zien we in slachtofferenquêtes die onder bedrijven zijn gehouden in Australië en Amerika. Uit Australische cijfers (Auscert, 2006) blijkt dat zeven procent van de respondenten te maken heeft gehad met defacing van de website van de organisatie. Cijfers uit Amerika geven eenzelfde beeld. Uit de CSI Survey 2007 (Comp uter Security Institute, 2007) blijkt dat tien procent van de respondenten te maken heeft gehad met defacing en uit de E-Crime Watch Survey (CSO magazine 2006) blijkt dat 24 procent van de respondenten slachtoffer is geweest van defacing. Iframe-injecties. Het is op dit moment niet duidelijk in welke mate IFrame- injecties gebruikt worden als criminele techniek. Een voorbeeld van het massaal injecteren zien we in het begin van 2008. Verschillende bronnen25 constateren dat er aanvallen worden uitgevoerd op ho nderdduizenden websites. DDoS-aanvallen. Er zijn verschillende cijfers bekend over DDoS-aanvallen. Uit een Nederlands onderzoek uit 2005 (Den Hartog en Kouwenhoven, 2005) blijkt dat 12,7 procent van de ondervraagde bedrijven in de afgelopen zes maanden slachtoffer is geweest van een DDoS-aanval. In de ECrime Watch Survey (CSO magazine, 2006, 2007) blijkt dat 36 procent van de bedrijven hiervan slachtoffer was in 2006. In 2007 is dit aantal zelfs opgelopen tot 49 procent. Uit een grote Amerikaanse survey (CSI Survey, 2007) geeft 25 procent van de respondenten aan het afgelopen jaar slachtoffer te zijn geweest van een dergelijke aanval. Dertien procent van de ondervraagde bedrijven in Australië heeft in 2006 financieel verlies geleden door een DDoS-aanval (Auscert, 2006). In 2005 was dit veertien procent en in 2004 twintig procent. Spyware. Verschillende bronnen laten zien dat een aanzienlijk deel van de computers besmet is met spyware. De OPTA geeft in haar jaarverslag over 2007 aan dat steeds meer internetgebruikers last hebben van ongewenste en vaak kwaadaardige software; in toenemende mate worden consumenten het slachtoffer van spyware. In een Amerikaans onderzoek uit 2005 (America Online e.a., 2005), gehouden onder internetgebruikers, geeft 46 procent van de respondenten aan dat de computer spyware bevat. Na een scan op spyware door de onderzoekers blijkt dat 61 procent van de respondenten spyware op hun computers hebben. De CSO survey onder bedrijven (CSO magazine e.a., 2007) laat een zelfde beeld zien als het onderzoek van America Online e.a. (2005). Meer dan de helft van de respondenten (52%) die de afgelopen twaalf maanden een of meerdere aanvallen op hun netwerk hadden gehad (66%) zegt spyware op hun systemen te hebben. In een andere survey onder bedrijven zegt 32 procent van de respondenten, die de afgelopen maanden een aanval op het bedrijfsnetwerk hadden gehad, spyware op hun systemen te hebben (Computer Security Institute, 2007). Phishing. Volgens de cijfers van de Anti Phishing Working Group blijkt dat het aantal unieke phising-emails tussen januari 2007 en januari 2008 min of meer gelijk blijft over de maanden (APWG, 2008). Uit cijfers van het Internet Crime Complaint Centre (IC3, een samenwerking in de VS tussen de Federal Bureau of Investigation (FBI), de National White Collar Crime Center (NW3C) en de Bureau of Justice Assistance (BJA)) blijkt dat van de gemelde e-fraude zes procent van die klachten betrekking had op identiteitsdiefstal (IC3, 2008b). Uit de cijfers van de APWG blijkt dat het aantal phishing website weliswaar sinds december 2007 is afgenomen, maar het aantal klachten over dergelijke sites juist is
25
www.computerwold.com, ddanchev.blogspot.com en www.symantec.com/enterprise/security_response/weblog
65
toegenomen. Ook het aantal unieke keyloggers nam toe met 1,4 procent ten opzichte van oktober 2007. Verder blijkt dat in de meeste gevallen (92,4 procent) de financiële sector doelwit is van phishers (APWG, 2008). Het is niet mogelijk om aan de hand van deze cijfers een beeld te schetsen van de omvang van hacken. Verschillende bronnen geven aan dat een groot deel van de computers geïnfecteerd is met spyware en de cijfers hierover lopen uiteen van 33 procent (Computer Security Institute, 2007) tot meer dan 60 procent (America Online e.a., 2005). Over IFrame injecties zijn geen cijfers bekend, maar verschillende bronnen26 constateren wel dat er aanvallen (pogingen tot hacken) worden uitgevoerd op honderdduizenden websites. Bij deze cijfers kan worden opgemerkt dat ze in diverse gevallen worden geproduceerd door organisaties die zelf een zeker belang hebben bij informatiebeve iliging. Conclusie Over de absolute omvang van hacken valt niet veel met zekerheid te zeggen. Het maakt maar een zeer klein deel uit van de bij de politie geregistreerde criminaliteit. De resultaten uit een slachtofferonderzoek in Friesland, wijzen op een substantieel dark number. Uit de (internationale) literatuur over cybercrime en informatiebeveiliging blijkt dat vooral bedrijven geregeld tot zeer geregeld slachtoffer zijn van (pogingen tot) binnendringen in computersystemen. 2.9 Trends Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie is een momentopname en daaruit kunnen we geen trends afleiden. In paragraaf 2.4 was aan de orde dat hacken verbanden heeft met de andere vormen van cybercrime en dat hackers gebruik maken van verschillende criminele technieken. We bespreken hier kort de trends in deze criminele technieken, in bijlage 1 tot en met 9 staan de trends per criminele techniek uitgebreid beschreven. De trends zijn niet gebaseerd op empirische onderzoeken, maar berusten op uitspraken van experts. - Volgens het KLPD zal de komende jaren door social engineering steeds meer ingespeeld worden op sociale evenementen en op persoonlijke interesses (Websense, 2007, KLPD/DNR, 2007a, Symantec, 2007c). Phishing mails worden bijvoorbeeld toegespitst op een WK voetbal of grote rampen om een gebruiker op die manier over te halen naar een bepaalde website te gaan om op die website de persoonlijke gegevens van de slachtoffers te ontfutselen. - Ook de meer technische varianten van phishing (pharming, spy-phishing; zie bijlage 9) zullen in frequentie toenemen, aldus het KLPD (2008). - In het Nationaal Dreigingsbeeld 2008 benoemt het KLPD (2008) phishing als een voorwaardelijke dreiging in de komende jaren. Met ‘voorwaardelijk’ bedoelt het KLPD dat er momenteel geen sprake is van een dreiging maar dat in de toekomst een dreiging kan ontstaan onder invloed van bepaalde ‘criminaliteitsrelevante factoren’. Zolang de beveiliging van computersystemen in Nederla nd in vergelijking met andere landen goed op orde is, is er volgens het KLPD geen concrete dreiging te verwachten. Daders zullen hun praktijken dan uitoefenen in landen waar de beveiliging minder goed is geregeld. - Virussen en trojaanse paarden worden, volgens Symantec (2007) door computercriminelen steeds meer op maat gemaakt met als specifiek doel het aanleggen van botnets die ve rvolgens te huur zijn voor spammers of criminele organisaties (MessageLabs, 2005). Doordat cybercriminelen hun aanvalsstrategieën veranderen (kleinere, minder makkelijk 26
www.computerwold.com, ddanchev.blogspot.com en www.symantec.com/enterprise/security_response/weblog
66
-
-
-
-
-
op te sporen botnets) is er een afname te zien in het aantal computers in een botnet (Simpson, 2008, Symantec 2007, 2006a, 2006b). Omdat de motieven voor defacing eerder in de hoek van haat en politiek of opscheppen liggen en niet in de hoek van geld verdienen is geen sprake van een echte groeimarkt (KLPD/DNR, 2007a). De trend van het afgelopen jaar was juist om het uiterlijk van de website met rust te laten en te proberen door te dringen tot de informatie achter de website dan wel de website als springplank te gebruiken om bezoekers te besmetten (bijvoorbeeld middels een IFrame injectie). In ons onderzoek is defacing overigens de meest gebruikte criminele techniek (paragraaf 2.6). Dat betekent dat defacing (nog steeds) relatief vaak voorkomt, tegelijk kan het inderdaad zo zijn dat defacing bij een bepaalde groep cybercriminelen aan populariteit aan het inboeten is. We zagen in de dossiers immers dat de defacing vaak in de relationele sfeer gebruikt wordt. We houden het voor mogelijk dat de aandacht van de Dienst Nationale Recherche vooral uitgaat naar ontwikkelingen in het veld van (financieel gemotiveerde) ‘beroepshackers’ en dat de meer alledaagse hacks waarmee de politie volgens ons dossieronderzoek veelal te maken krijgt, buiten haar blikveld vallen. Het gebruik van IFrame- injecties is het afgelopen jaar sterk gestegen. Precieze cijfers zijn niet voorhanden, maar nieuwere malware als Storm Worm en MPack maken volop gebruik van deze technologie (KLPD/DNR 2007a). Hamada, een onderzoeker van Symantec, zegt op het securityblog van Symantec (www.symantec.com) dat er in het verleden met name de low-profile sites het doel waren van IFrame-aanvallen. Bij de laatste aanva llen waren echter ook veel high-profile websites het doelwit (veelbezochte websites van grote bedrijven die door de bezoekers worden vertrouwd). Doordat er steeds meer mensen gebruik maken van internet wordt de impact van DDoSaanvallen steeds groter (Rogers, 2004). Volgens Govcert worden dergelijke aanvallen tegenwoordig steeds meer uitgevoerd met als doel afpersing of protest tegen een organisatie of standpunt (Govcert.nl, 2005). Daarnaast kunnen ze gezien worden als de backbone, de infrastructuur, van cybercriminaliteit (Govcert, 2007). In onze benadering is een DDoSaanval een criminele techniek, waaraan in veel gevallen hacken vooraf gaat. Hacken is dan eerder de backbone van internetcriminaliteit dan DDoS-aanvallen – we komen daar op terug in hoofdstuk 7. Bij spyware is volgens Hackworth een doorontwikkeling te zien; spyware treedt tege nwoordig pas in werking bij bepaalde sleutelwoorden en spyware kan bijvoorbeeld zijn geintegreerd in programma’s die voor een gebruiker legitiem lijken (Hackworth, 2005). Cybercriminelen ontwikkelen de malware bijvoorbeeld op manieren waardoor de detectie van de digitale handtekeningen van die malware (bijvoorbeeld een virus) steeds moeilijker wordt (Computer Security Institute, 2007). Verwacht wordt dat het gebruik van keyloggers en spyware om toegang te krijgen tot geheime informatie een lucratieve misdaad wordt die in de toekomst op grotere schaal door criminelen zal worden ontdekt (McAfee, 2006, aangehaald in Van der Hulst en Neve, 2008). Identiteitsdiefstal door phishing wordt volgens Van der Hulst en Neve beschouwd als een van de snelst groeiende vormen van niet- gewelddadige criminaliteit (Van der Hulst en Neve, 2008; Rogers, 2006; Boerman en Mooij, 2006). Computercriminelen zijn constant bezig met het innoveren van hun aanvalstechnieken (Watson e.a., 2005) en zij verzinnen steeds nieuwe manieren om hun phishingaanvallen succesvol te laten zijn (Govcert.nl, 2007). Verder richten cybercriminelen zich volgens Finjan (2007) steeds meer op Web2.0 toepassingen.
Een algemene trend is dat de verschillende criminele technieken constant worden doorontwikkeld en worden aangepast aan onder meer ontwikkelingen in beveiliging. Daarbij maken
67
cybercriminelen, aldus de literatuur, steeds meer gebruik van social engineering om de kans op succes van een aanval te verhogen. (Een nadruk op social engineering zien wij in onze dossierstudie overigens niet terug – paragraaf 2.6, maar dat kan komen doordat het gebruik van social engineering niet in de dossiers terecht komt). 2.10 Resumé Hacken is het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk en strafbaar gesteld in artikel 138a lid 1 Sr (computervredebreuk). Aan hacken gerelateerde delictsomschrijvingen zijn het na het binnendringen overnemen, aftappen of opnemen van gegevens (138a lid 2 Sr), het opzettelijk of door schuld veroorzaken van een stoornis in een systeem (resp. 161sexies Sr en 161 septies Sr), het opzettelijk of door schuld vernielen van gegevens (resp. 350a Sr en 350b Sr), het aftappen en/of opnemen van gegevens (139c Sr) en het plaatsen van opname-, aftap- dan wel afluisterapparatuur (139d Sr). Er zijn verschillende technieken om te hacken, van het raden van wachtwoorden tot het uitbuiten van beveiligingslekken in software (Van der Hulst en Neve, 2008). Het is een hacker vaak niet mogelijk om in één keer de hoogste rechten te verkrijgen in het systeem (Ianelli en Hackworth, 2005). Hij zal derhalve gaandeweg steeds meer rechten trachten te ve rwerven, gebruikmakend van verschillende zwaktes in de beveiliging van systemen. In de literatuur worden hackers op verschillende manier onderscheiden, onder meer op basis van verschillende primaire motivaties zoals verwerven van kennis, persoonlijke uitdaging, macht en financieel gewin (Van der Hulst en Neve, 2008). Er is echter geen empirische onderbouwing voor de geha nteerde categorieën. Uit onze dossierstudie komt niet het complexe beeld met allerlei verschillende categorieën hackers naar voren. Eerder dan duidelijke categorieën zien we een bont gezelschap, hoewel wel een paar hoofdlijnen zijn te noemen. Uit de politiedossiers blijkt dat hacken vooral een zaak is van in Nederland geboren mannen onder de 45 jaar. Zelden plegen zij hun delict in georganiseerd verband, in de ove rgrote meerderheid van de zaken is er niet meer dan één verdachte. Op basis van de dossiers kunnen we weinig zeggen over de sociale achtergrond van de verdachten. Vaak ligt het hacken in de relationele sfeer; verdachte en slachtoffer zijn bijvoorbeeld ex- geliefden, jaloerse echtgenoten of schoolvrienden, maar het kan ook gaan om (gewezen) zakelijke relaties. De primaire motivatie van de verdachte is dan ook vaak wraak, maar ook zagen we andere drij fveren zoals nieuwsgierigheid en financieel gewin. De meeste verdachten uit de hackendossiers hebben geen antecedenten, hoewel ze wel significant meer antecedenten hebben dan de gemiddelde Nederla nder. Verdachten maken gebruik van verschillende criminele technieken. Alhoewel het in de meeste dossiers onduidelijk blijft welke technieken er precies gebruikt worden, houden ve rdachten in hackzaken zich in ieder geval bezig met het defacen van websites, het installeren van keyloggers, phishing websites en social engineering. Botnets, DDoS-aanvallen, sniffing en spoofing komt zelden voor in de politiedossiers. Voor de opsporing wellicht de belangrijkste bevinding is dat in eenvijfde tot een kwart van de politiedossiers de hack gepleegd wordt vanuit het buitenland, zowel binnen als buiten Europa. Hacken is niet vaak een op zichzelf staand delict. Alles bijeen genomen toont hacken een verband met: − kopiëren of vernielen van gegevens danwel het vernielen of verstoren van een computersysteem, ofwel cybercrime in enge zin – dus waarbij ICT het doelwit is (138a lid 2 Sr, 350a Sr, 350b Sr, 139c Sr); − vermogenscriminaliteit (oplichting, fraude, diefstal, afpersing, verduistering); − interpersoonlijke conflicten (smaad, bedreiging, belediging, stalking, aanranding).
68
We zagen geen verband tussen hacken en het verstoren van ‘ICT ten algemene nutte’ of het verstoren van openbare telecommunicatie, en het veroorzaken van maatschappelijk gevaar (art. 161sexies en 161septies Sr, resp. figuur 2.2 en 2.3). Hacken is primair gericht op persoonlijke belangen: financieel voordeel (vermogenscriminaliteit) of het beslechten van een conflict. Hacken heeft kennelijk niet een directe uitwerking op de samenleving in bredere zin, maar is kennelijk gericht op het behalen van een persoonlijk voordeel (vermogenscriminaliteit) of op het beslechten van een persoonlijk conflict. Met andere woorden: hacken is niet gericht op maatschappelijke ontwrichting of algemene gevaarzetting, maar op de verwezenlijking van individuele belangen. Het gaat veelal om redelijk alledaagse zaken, waarbij schijnbaar alledaagse mensen elkaar dwars zitten. Voor jonge mensen, opgegroeid met cyberspace, is het rommelen met andermans account of profiel niet per se een technisch hoogstandje. Ons onderzoek wijst er op dat hacken tot op zekere hoogte is gedemocratiseerd: hacken is geen exclusief domein meer van wizzkids maar wordt ook bedreven door mensen die niet zo technisch zijn onderlegd. Slachtoffers zijn net als verdachten relatief vaak van het mannelijk geslacht en ze behoren relatief vaak tot de leeftijdsgroep tot 45 jaar. De slachtoffers hebben een antecedentenpatroon dat overeenkomt met dat van de daders, zowel qua omvang als qua spreiding over de hoofdgroepen van delicten. Wellicht komt dat doordat slachtoffers net als daders relatief vaak jong zijn en van het mannelijke geslacht. Zij behoren dus net als de daders tot de groep personen (jonge mannen) die relatief veel criminaliteit pleegt. Of dat het hoge percentage antecedenten bij slachtoffers voldoende verklaart, is een aandachtspunt voor nader onderzoek. Over de absolute omvang van hacken valt niet veel met zekerheid te zeggen. Het maakt maar een zeer klein deel uit van de bij de politie geregistreerde criminaliteit. De resultaten uit een slachtofferonderzoek in Friesland, wijzen op een substantieel dark number. Uit de (internationale) literatuur over cybercrime en informatiebeveiliging blijkt dat vooral bedrijven geregeld slachtoffer zijn van (pogingen tot) binnendringen in computersystemen. Over slachtofferschap onder burgers is minder bekend. Volgens de literatuur worden criminele technieken constant doorontwikkeld en aangepast aan beveiligingsmaatregelen. Ook maken cybercriminelen, aldus de literatuur, steeds meer gebruik van social engineering om de kans op succes van een criminele techniek te ve rhogen (zie ook bijlage 1). In ons onderzoek zien we juist opvallend weinig social engineering. Defacing is in de dossiers de meest gebruikte criminele techniek. Volgens de literatuur zou deze techniek op zijn retour zijn. In het Nationaal Dreigingsbeeld 2008 (KLPD, 2008) is hacken geen issue. Phishing is dat wel, maar wordt niet gezien als een bedreiging zolang de beveiliging van computersystemen in Nederland zich maar gunstig verhoudt tot die in andere landen. We benoemden enkele onderwerpen die in aanmerking komen voor nader onderzoek, in het bijzonder: − Het gebruik van criminele technieken. Hackers zetten een verscheidenheid aan criminele technieken in. Defacing komt veel voor en social engineering weinig. In beide gevallen is dat in afwijking van wat we weten uit de literatuur en van beveiligingsexperts. Voor de politie is adequate kennis omtrent criminele technieken (MO’s) relevant omdat dergelijke kennis kan helpen in de opsporing. − Behandeling van zaken. De politie wordt geconfronteerd met een verscheidenheid aan criminele technieken en met een groot aantal verdachten dat opereert vanuit het buitenland. Dat roept de vraag op of de politie voldoende in staat is het werkaanbod succesvol in behandeling te nemen. Om zicht te krijgen op hindernissen in het werk van politie en justitie, zou onderzoek gedaan dienen te worden naar hoeveel hackenzaken uiteindelijk voor de rechter worden gebracht en met welk resultaat.
69
3. E-fraude 3.1 Inleiding De essentie van fraude is steeds dezelfde: mensen eigenen zich middels bedrog geld of ve rmogensbestanddelen toe waarop ze geen recht hebben en tasten daardoor de rechten van anderen aan. Er zijn verschillende begrippen in omloop om de cybervorm van fraude te beschrijven, zoals fraude in e-commerce en internetfraude. Van der Hulst en Neve (2008) zien internetfraude als allerlei soorten fraude- en oplichtingpraktijken waarbij gebruik wordt gemaakt van ‘online services’. ‘Bij deze vorm van fraude wordt het internet gebruikt om op oneigenlijke wijze gelden, goederen en diensten te verkrijgen zonder daarvoor te betalen of tegenprestaties te leveren’ (Van der Hulst en Neve, 2008:31). Bij internetfraude wordt al snel gedacht aan oplichtingen via verkoopsites op internet zoals marktplaats en e-bay. Wij gebruiken de term ‘e-fraude’ als overkoepelende term. E- fraude is bedrog met als oogmerk het behalen van financieel gewin, waarbij ICT essentieel is voor de uitvoering. Een belangrijk aspect van fraude, en ook e- fraude, is dat daders nogal eens gebruik maken van een andere dan hun eigen identiteit. Dit noemen we identiteitsmisbruik. Zo onderscheiden we twee hoofdvormen van e- fraude: met en zonder identiteitsmisbruik. De verschijningsvormen werken we verder uit in paragraaf 3.3. E-commerce is een snel groeiende sector waarin veel geld omgaat. Met zijn laagdrempelige toegang en wereldwijde bereik biedt het internet vele mogelijkheden tot het aanbieden en afnemen van diensten en producten. Nederland behoort qua intensiteit van internetgebruik tot de Europese top en het gebruik neemt nog steeds toe. Het volume van het internetverkeer is in de achter ons liggende jaren spectaculair gestegen en wordt versterkt door de verspreiding van breedband. In 2007 hebben ruim acht van de tien Nederlandse huishoudens interne ttoegang, driekwart heeft een breedbandaansluiting. Daarnaast is circa tachtig procent van de bedrijven in 2006 op internet ‘aanwezig’ in de vorm van een website. Cijfers van het CBS laten zien dat steeds meer consumenten in Nederland goederen online kopen of bestellen. In 2007 zijn er 7,5 miljoen mensen die via internet wel eens producten hebben gekocht. In 2002 was dat half zoveel (CBS, 2008). De economische sector is steeds afhankelijker geworden van online zakenverkeer. Internet maakt tegenwoordig onderdeel uit van wat wel wordt genoemd de vitale infrastructuur voor economische processen (Helmus e.a., 2006; KLPD/DNRI, 2004). Ook in criminele kringen is het besef ontstaan dat, met de nieuwe communicatiediensten en de toegenomen interconnectiviteit, kwetsbaarheden zijn ontstaan die gebruikt kunnen worden voor criminele doeleinden en dat daarmee veel geld te verdienen valt (Helmus e.a., 2006; Molenaar, 2007; NHTCC/NPAC, 2006a). Het gebruik van internet bij het plegen van delicten is al lang niet meer nieuw (Akdeniz, 1996; Duncan, 1997, Durkin 1997, Van Eecke, 1997, Boerstra, 1997; Grabosky en Smith, 1998). In de literatuur wordt melding gemaakt van een verschuiving in de motieven van cybercriminelen. Zij zouden steeds meer financieel gemotiveerd zijn geraakt en er zou sprake zijn van een trend van ‘hacking for fame’ naar ‘hacking for fortune’ (Boerman en Mooij, 2006:22) – en dan is e- fraude een van de mogelijkheden. Volgens het Nationaal Dreigingsbeeld 2008 van het KLPD, dat gaat over dreigingen door georganiseerde criminaliteit, is wat cybercrime betreft voorschotfraude de enige concrete dreiging voor de komende jaren. Dat e- fraude een steeds groter probleem wordt, kan ook worden opgemaakt uit de CSI survey 2007. Een van de belangrijkste conclusies uit deze slachtofferenquête onder Amerikaanse bedrijven is dat internetfraude in 2007 voor meer ve rlies heeft gezorgd dan virusaanvallen (Computer Security Institute, 2007). In dit hoofdstuk behandelen we eerst de strafbaarstelling en verschijningsvormen van e-fraude (respectievelijk paragraaf 3.2 en 3.3). Vervolgens beschrijven we de verbanden die deze cybercrime heeft met andere vormen van (cyber)criminaliteit (paragraaf 3.4), behand elen we de daderkenmerken uit de literatuur (3.5), de kenmerken van verdachten uit de dossiers
70
(3.6) en gaan we dieper in op de slachtoffers van deze cybercrime (3.7). In 3.8 kijken we naar de omvang van e-fraude. Ten slotte komen in 3.9 de trends van e-fraude aan bod en in 3.10 volgt een resumé van dit hoofdstuk. 3.2 Strafbaarstelling Fraude of e- fraude heeft in Nederland geen eigen bepaling in de strafwet. Fraude is bedrog met als oogmerk financieel gewin. Artikel 326 Sr (oplichting) stelt het wederrechtelijk bevoordelen middels bedrog strafbaar (figuur 3.1).
Figuur 3.1: Artikel 326 Sr: oplichting, (i.w.tr. 01-02-2006) Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kuns tgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het ter beschikking stellen van gegevens met geldswaarde in het handelsve rkeer, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
Ook artikel 225 Sr (valsheid in geschrift, figuur 3.2) kan een belangrijke rol spelen bij efraude. Het gaat bij e-fraude immers vaak om het gebruiken van valse of vervalste geschriftn (De Vries, e.a., 2007). Een verschijningsvorm van e- fraude die onder valsheid in geschrift kan worden gebracht, is e-fraude met identiteitsmisbruik. Valsheid in geschrift kan volgens De Vries e.a. in relatie staan met cybercrime. ‘Het invoeren van valse gegevens in geautomatiseerde bestanden kan valsheid in geschrift opleveren, maar ook oplichting of diefstal met een valse sleutel, indien het computersysteem op zich ongemoeid wordt gelaten’ (De Vries e.a., 2007:211). In dit geval spreekt men ook wel van inputmanip ulatie. Indien ware gegevens door een automatische bewerking worden omgezet in onware gegevens (art. 350a Sr; onbevoegd computergegevens veranderen, figuur 2.4), is er volgens De Vries e.a. geen sprake van valsheid in geschrift maar van vernieling van computergegevens of hacking of computervredebreuk (Postma en Sackers, 2000; De Vries, e.a., 2007).
Figuur 3.2: Artikel 225 Sr: valsheid in geschrift (i.w.tr. 10-08-2004) 1. Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie. 2. Met dezelfde straf wordt gestraft hij die opzettelijk gebruik maakt van het valse of ve rvalste geschrift als ware het echt en onvervalst dan wel opzettelijk zodanig geschrift aflevert of voorhanden heeft, terwijl hij weet of redelijkerwijs moet vermoeden dat dit geschrift bestemd is voor zodanig gebruik. 3. Indien een feit, omschreven in het eerste of tweede lid, wordt gepleegd met het oogmerk om een terroristisch misdrijf voor te bereiden of gemakkelijk te maken, wordt de op het feit gestelde gevangenisstraf met een derde verhoogd.
71
Het vervalsen van kaarten die bestemd zijn voor het verrichten of verkrijgen van betalingen of andere prestaties langs geautomatiseerde weg, is strafbaar gesteld in artikel 232 Sr (figuur 3.2a). Dat artikel is van toepassing bij creditcardfraude en skimming.
Figuur 3.2a: Artikel 232 Sr: vervalsen van betaal- of waardekaart (i.w.tr. 01-09-2006) 1. Hij die opzettelijk een betaalpas, waardekaart, enige andere voor het publiek beschikbare kaart of een voor het publiek beschikbare drager van identiteitsgegevens, bestemd voor het verrichten of verkrijgen van betalingen of andere prestaties langs geautomatiseerde weg, valselijk opmaakt of vervalst, met het oogmerk zichzelf of een ander te bevoordelen, wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie. 2. Met dezelfde straf wordt gestraft hij die opzettelijk gebruik maakt van de valse of vervalste pas of kaart als ware deze echt en onvervalst, dan wel opzettelijk zodanige pas of kaart aflevert, voorhanden heeft, ontvangt, zich verschaft, vervoert, verkoopt of overdraagt, terwijl hij weet of redelijkerwijs moet vermoeden dat de pas of kaart bestemd is voor zodanig gebruik.
Ook diefstal, verduistering en heling zullen vaak ten grondslag liggen aan e- fraude (respectievelijk figuur 3.3, 3.4 en 3.5). Hierbij kan gedacht worden aan het stelen en helen of verduisteren van voorwerpen zoals betaalpassen, identiteitsbewijzen en post die voor identiteitsfraude interessante informatie (zoals activeringscodes en pincodes) bevat. Diefstal is vaak ook een belangrijke vervolghandeling van identiteitsmisbruik: na voorbereidende handelingen kan bijvoorbeeld geld van een (internet)bankrekening worden gehaald (De Vries, e.a., 2007).
Figuur 3.3: Artikel 310 Sr: diefstal (i.w.tr. 01-05-1984) Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan diefstal, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie.
Figuur 3.4: Artikel 321 Sr: verduistering (i.w.tr. 01-05-1984) Hij die opzettelijk enig goed dat geheel of ten dele aan een ander toebehoort en dat hij anders dan door misdrijf onder zich heeft, wederrechtelijk zich toeëigent, wordt, als schuldig aan verduistering, gestraft met gevangenisstraf van ten hoogste drie jaren of geldboete van de vijfde categorie.
Figuur 3.5: Artikel 416 Sr: heling (i.w.tr. 01-02-1992) 1.
Als schuldig aan opzetheling wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie: a. hij die een goed verwerft, voorhanden heeft of overdraagt, dan wel een persoonlijk recht op of een zakelijk recht ten aanzien van een goed vestigt of overdraagt, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van het goed dan wel het vestigen van het recht wist dat het een door misdrijf verkregen goed betrof; b. hij die opzettelijk uit winstbejag een door misdrijf verkregen goed voorhanden heeft 72
2.
of overdraagt, dan wel een persoonlijk recht op of zakelijk recht ten aanzien van een door misdrijf verkregen goed overdraagt. Met dezelfde straf wordt gestraft hij die opzettelijk uit de opbrengst van enig door misdrijf verkregen goed voordeel trekt.
Een andere kwestie is of diefstal van identiteit en identiteitsgegevens, anders dan documenten waarop die gegevens staan, mogelijk is. In de VS wordt wel gesproken van identiteitsdiefstal. Dat is volgens juristen in Nederland als juridische kwalificatie moeilijk denkbaar. De Vries e.a. (2007) geven aan dat een identiteit niet als ‘goed’ in de zin van artikel 310 Sr (diefstal), 321 Sr (verduistering) of 416 Sr e.v. (heling) kan worden beschouwd. Voor wat betreft ident iteitsgegevens kan men aanvoeren dat dat anders ligt omdat gegevens volgens artikel 80quinquies Sr een weergave vormen, ‘geschikt voor overdracht’. 27 Volgens De Vries e.a. is dat echter niet het geval: de wetgever heeft het begrip ‘gegevens’ duidelijk willen ondersche iden van het begrip ‘goed’ in de zin van diefstal en verduistering. ‘Gegevens missen de weze nlijke eigenschappen om degene die de feitelijke macht erover heeft, deze noodzakelijkerwijs te laten verliezen, zodra een ander zich de feitelijke macht erover verschaft. Zij kunnen dus niet worden gestolen, verduistert of geheeld. Een bankpas en pincode worden ook wel gezien als een “valse sleutel”, wat een strafverzwarende omstandigheid bij diefstal oplevert’ (De Vries e.a., 2007:219). E- fraude met behulp van identiteitsmisbruik zal daarom vaak neerkomen op oplichting. Phishing is een voorbeeld van oplichting als middel voor identiteitsmisbruik (De Vries e.a., 2007). ‘Na een succesvolle phishing, kunnen de oplichters een vervolggedraging begaan, die opnieuw als oplichting kan worden gekwalificeerd. Met de ‘gephishte’ creditcardgegevens kunnen zij zich immers voordoen als de rechtmatige creditcardhouder en bijvoorbeeld goederen bestellen. Zo kunnen zij ook met de accountgegevens bankrekeningen leeghalen etc.’ (De Vries e.a., 2007:222). Wanneer persoonlijke gegevens worden verkregen na het binnendringen van een computersysteem, is de dader strafbaar op grond van artikel 138a lid 2 Sr (na een hack gegevens overnemen, aftappen of opnemen). Op het aftappen van informatie (door bijvoorbeeld spyware) zijn de artikelen 139c en 139d Sr van toepassing (zie figuur 2.6 en 2.7). Het in bezit hebben van dergelijke gegevens en het bekend maken daarvan aan anderen, is strafbaar volgens artikel 139e Sr (figuur 2.8). Het beschikken over de identiteitsgegevens van een ander of het beschikken over fictieve identiteitsgegevens is op zichzelf niet altijd strafbaar. Strafbaarheid kan aan de orde zijn bij het verwerven van andermans identiteitsgegevens, bijvoorbeeld als de dader andermans computer hackt om de gegevens te achterhalen. Als de identiteitsgegevens zijn verkregen door gegevens in een computersysteem af te tappen (139c Sr) dan is het bezit en het aan anderen kenbaar maken van die gegevens ook strafbaar (139e Sr). Strafbaar is ook het voorhanden hebben van een vervalste betaal- of waardekaart (232 lid 2 Sr). Strafbaarheid kan ook aan de orde zijn bij het gebruiken van de identiteitsgegevens van een ander, bijvoorbeeld als dat gebruik onderdeel is van een e- fraude. ‘Identiteitsmisbruik’ is geen delict, het ‘iemand bewegen tot afgifte van enige goed door het aannemen van een valse naam of een valse hoedanigheid’ is wel een delict en valt onder oplichting (art. 326 Sr). Indien er opzettelijk dan wel door schuld een geautomatiseerd werk wordt vernield zijn de artikelen 161sexies en 161septies Sr van toepassing. Indien er gegevens worden ve rnield is artikel 350a of 350b Sr van toepassing. Zie voor een uitgebreide beschrijving van de27
Artikel 80quinquies Sr luidt: “Onder gegevens wordt verstaan iedere weergave van feiten, begrippen of instructies, op een overeengekomen wijze, geschikt voor overdracht, interpretatie of verwerking door personen of geautomatiseerde werken.” (i.w.tr. 01-09-2006).
73
ze artikelen hoofdstuk twee. Het bemachtigen van deze persoonlijke gegevens door spoofing of phishing valt onder artikel 326 Sr (oplichting). 3.3 Verschijningsvormen: soorten e-fraude E-fraude kan gepleegd worden met of zonder behulp van identiteitsmisbruik. Identiteitsmisbruik is altijd populair geweest onder criminelen; door de identiteit van iemand anders aan te nemen, kan de crimineel zijn eigen identiteit verhullen en daarmee de opsporing bemoeilijken (Ollmann, 2004). In de literatuur wordt vaak gesproken over identiteitsfraude, al dan niet in combinatie met identiteitsdiefstal, identiteitscriminaliteit, documentfraude, verandering van identiteit, verandering van identiteit met crimineel oogmerk, identiteitsdiefstal met betrekking tot strafblad en identiteitsroof (Binder en Gill, 2005, Finch, 2007, De Vries e.a., 2007). De term identiteitsfraude is echter verwarrend. Je fraudeert de identiteit niet maar vervalst hem, en vervolgens pleeg je fraude met een valse identiteit. De fraude draait niet om de valse identiteit, maar om de winstgevende oplichting. In deze VCN2009 hanteren we daarom de term identiteitsvervalsing voor het aannemen van een andere dan de eigen digitale identiteit. Ident iteitsmisbruik is vervolgens het illegaal gebruiken van de aangemaakte/aangenomen ident iteit. In navolging van De Vries e.a. (2007) onderscheiden wij de volgende verschijningsvo rmen van identiteitsvervalsing: - Identiteitsdiefstal: het stelen van een identiteit van een bestaand persoon. Dit kan middels het stelen van digitale persoonsgegevens (bijvoorbeeld door phishing of het gebruik van spyware) of door social engineering. - Identiteitscreatie: het creëren van een fictieve identiteit. - Identiteitsdelegatie: het overnemen van een identiteit van een bestaand persoon met diens toestemming. Kenmerkend voor fraude met identiteitsmisbruik is dat het slachtoffer er vaak pas achterkomt dat die methode is gebruikt wanneer het te laat is, bijvoorbeeld doordat geld van zijn rekening is verdwenen of doordat hij een rekening krijgt voor hem onbekende producten. Fraude met gebruikmaking van valse identiteiten is volgens het KLPD een snel groeiende vorm van cybercrime (KLPD-DNR, 2007a). Op internet wordt vaak genoegen genomen met een minder betrouwbare vorm van identificatie dan in de ‘echte wereld’, en dat schept mogelijkheden. E-fraude heeft verschillende verschijningsvormen die steeds met of zonder identiteitsmisbruik kunnen worden gepleegd. Verschijningsvormen van e-fraude die veel in de literatuur genoemd wo rden zijn: – Handel in valse goederen. Handelen in valse goederen op of via het internet zoals het geval is bij merkvervalsing, het illegaal kopiëren en illegaal uitwisselen en verkopen van auteursrechtelijk beschermd materiaal zoals video’s, muziek en software (KLPD-DNR, 2007a). – Valse financiële transacties. Foute of valse financiële transacties zoals het plegen van fraude op internetwinkels of veiling- of verkoopsites, fraude met internetbetalingen (bancaire transacties), het verzoek tot het verrichten van dubieuze investeringen of betalingen (advance fee fraud, Nigerian scams, lottery scams). Bij deze vorm van fraude wordt het internet gebruikt om op oneigenlijke wijze gelden, goederen en diensten te verkrijgen zonder daarvoor te betalen of tegenprestaties te leveren (Morris, 2004). Twee verschijningsvormen moeten afzonderlijk worden genoemd omdat ze een eigen ‘status’ hebben verworven in het veld van cybercrime: - Veilingfraude of marktplaatsfraude. In veel gevallen gaat het bij valse financiële transacties volgens Van der Hulst en Neve om online ve ilingfraude. Hiervan is sprake wanneer mensen goederen of diensten kopen via het internet (bijvoorbeeld valse online reisbureaus en valse mode- en fotobureausites) en vooruit betalen voor te leveren
74
-
diensten maar deze niet krijgen (of van veel slechtere kwaliteit dan waarvoor men heeft betaald), of wanneer de prijs van een artikel door de eigenaar kunstmatig wordt opgehoogd (Europol, 2003; Ta ylor e.a., 2006). - Voorschotfraude. Ook voorschotfraude is een aparte verschijningsvorm geworden, omdat het redelijk frequent voorkomt, omdat het gaat om georganiseerde criminaliteit en misschien nog wel vooral vanwege de bijzondere oplichtersverhalen die met deze vorm gepaard gaan (oplichters die fantasierijke verhalen opdissen over een fortuin dat in een ver land kan vrijkomen als het slachtoffer maar bereid is om eerst te helpen met het oplo ssen van enkele financiële hindernissen). Bij de voorschotfraude is sprake van grootschalige oplichtingpraktijken waarbij mensen voor grote bedragen worden opgelicht door ze voorschotten te laten betalen (Van der Hulst en Neve, 2008). Er zijn internationaal gezien honderden varianten (zie voor een overzicht Schoenmakers e.a., 2009). Doorgaans wordt de slachtoffers een groot geldbedrag in het vooruitzicht gesteld (bijvoorbeeld van een erfenis, loterij of een investering) maar om dat te krijgen moet het slachtoffer wel eerst een geldbedrag (voorschot) betalen. Marktmanipulatie. De handel met voorkennis en het manipuleren van aandelenprijzen door het verspreiden van (onjuiste) informatie en geruchten (bijvoorbeeld over mogelijke overnames of interne problemen binnen organisaties) in chatrooms, internetforums en via e-mail (spamming) (Van Amersfoort e.a., 2002, aangehaald in Van der Hulst en Neve, 2008). Het manipuleren van aandelenkoersen staat ook wel bekend als ‘pump ’n dump-’ of ‘trash and cash-’ oplichting (Morris, 2004). Door het verspreiden van dergelijke info rmatie of geruchten kan via aandelen- en optiehandel met voorkennis veel winst worden behaald, soms ook door afpersing. In Nederland is bijvoorbeeld een zaak bekend van een Nederlandse man die in 2006 op beleggersforums allerlei informatie over een Brits bedrijf verspreidde waarmee hij koersdalingen veroorzaakte. Vervolgens heeft hij onder dreiging van het voortzetten van zijn lastercampagne via internet het bedrijf via e- mail, fax en telefoongesprekken afgeperst. De man eiste onder andere aandelen van het bedrijf (Netkwesties, 8 mei 2006, aangehaald in Van der Hulst en Neve, 2008).
3.4 Verbanden van e-fraude met andere crimes Inleiding In deze paragraaf gaan we in op verbanden van e- fraude met andere vormen van cybercrime. Dit doen we op basis van de dossierstudie. We volgen dezelfde systematiek als bij hacken. We bekijken eerst onder welke titel de politie de hackendossiers heeft geregistreerd. Daarna beschrijven we de verbanden met andere (cyber)criminaliteit die we zelf tijdens de nadere analyse in de tekst van de dossiers tegenkwamen. Ten slotte bekijken we welke wetsartikelen de politie aan het dossier heeft toegekend. Als aan het dossier behalve artikel 326 Sr (oplichting) bijvoorbeeld ook artikel 138a Sr (computervredebreuk) is gekoppeld, wijst dat op een verband tussen deze twee delicten. Mogelijk was de hack in dat geval de weg waarlangs de dader het slachtoffer oplichtte. De dossiers We selecteerden op basis van sleutelwoorden 600 dossiers (voor de selectiemethode zie de methodische verantwoording in hoofdstuk 1). Na een eerste scan hielden we 418 relevante dossiers over. Na een uitgebreidere inhoudelijke analyse bleek dat daarvan 86 stuks onbruikbaar waren omdat het dossier te summier was of geen cybercrime betrof: 35 dossiers bevatten alleen een melding en geen aangifte; 14 dossiers betroffen geen cybercrime; 37 dossiers vielen af om een andere reden (bijvoorbeeld omdat ze te weinig informatie bevatten om de zaak te analyseren, of omdat de aangifte werd ingetrokken omdat de op marktplaats bestelde spul-
75
len toch geleverd werden). Er resteren aldus 332 cybercrimedossiers met een aangifte en vo ldoende informatie om het dossier te analyseren. In 18 gevallen daarvan was er echter sprake van een andere vorm van cybercrime dan e-fraude. Zo bleven 314 bruikbare dossiers e- fraude over. Die dienen als basis voor onze analyse. Onder welke titel (‘beschrijving’) staat het dossier geregistreerd Een eerste manier om te bepalen welke verschijningsvormen e-fraude heeft en of er dwarsverbanden zijn met andere cybercrimes is het analyseren van de titels of beschrijvingen waaronder de dossiers e- fraude in de politiesystemen zijn geregistreerd. Ter toelichting het vo lgende. We selecteerden de dossiers niet op de titel waaronder het dossier in de politieadministratie is opgenomen. We selecteerden op de inhoud van het dossier. Welke titel of ‘beschrijving’ de behandelend agent aan het betreffende dossier geeft, zegt iets over hoe die agent naar de zaak kijkt: wat voor hem of haar de essentie van deze zaak is. De agent moet tijdens het registreren de ‘beschrijving’ kiezen uit een vaste lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen. Van de 314 dossiers staan er 207 in BPS, 89 in Xpol en 18 in Genesys (tabel 3.1). We maken in eerste aanleg onderscheid tussen de drie basisprocessensystemen omdat de registratiesystematiek in deze drie niet identiek is. Daarna voegen we de systemen samen (‘totaal’ in tabel 3.1) door overeenkomstige beschrijvingen samen te nemen.
Tabel 3.1: Titels (‘beschrijving’) waaronder de 314 e-fraudedossiers zijn geregistreerd Beschrijving BPS Oplichting / overige fraude / bedrog / flessentrekkerij Computercriminaliteit Overige (diefstal uit woning, int. rechtshulpverzoek) Totaal XPOL Oplichting / overige fraude / oplichting milieu Overige (overige diefstallen / rechtshulpverzoek buitenland) Totaal GENESYS Oplichting / overige fraude Overige (verhoor ander korps) Totaal TOTAAL Oplichting / overige fraude / bedrog / flessentrekkerij Computercriminaliteit Overige Totaal
n
%
197 3 5 205
95,2 1,4 2,4 100,0
84 5 89
94,4 5,6 100,0
17 1 18
94,4 5,6 100,0
298 3 11 312
95,5 1,0 3,5 100,0
Bijna alle fraudedossiers (95,5%) zijn door de behandelende politiemensen ingedeeld onder fraude gerelateerde omschrijvingen. Een enkele keer luidt de titel ‘verhoor voor ander korps’ of ‘internationaal rechtshulpverzoek’ en ook die duiden niet op een verband van e-fraude met een ander soort delict. Slechts een enkele keer duidt de titel ‘diefstal in woning’ er op dat in het dossier ook nog een ander delict dan fraude aan de orde is. 28 Uit het registratie gedrag van politiemensen kunnen we afleiden dat de cybercrime e-fraude weinig verbanden met andere cybercrimes heeft. Een voorbeeld van een e-fraude zaak zonder verband met een andere de-
28
Een andere mogelijkheid is nog dat sprake is van een registratiefout.
76
lictsoort staat in casus 3.1. Wellicht heeft de verdachte een fictieve identiteit gecreëerd om het slachtoffer op te lichten (een vorm van identiteitsmisbruik), maar zeker weten we dat niet. Casus 3.1: E-fraude Ik doe aangifte van oplichting. Doordat de verdachte een valse naam/valse hoedanigheid aannam, dan wel gebruik maakte van listige kunstgrepen/samenweefsel van verdichtsels, werd ik bewogen tot afgifte van geld/goed. Als ik zou hebben geweten, dat de verdachte een valse naam/valse hoedanigheid had aangenomen, dan wel gebruik maakte van listige kuns tgrepen/samenweefsel van verdichtsels, dan zou ik niet tot afgifte zijn overgegaan. De oplichting vond als volgt plaats: Op internet werd via Marktplaats vanaf [datum] een [product] aangeboden. De vraagprijs was 120 euro. Ik had wel belang bij het product. Ik heb een mail gestuurd dat ik akkoord ging. Ik heb toen geld over gemaakt naar [VE1]. Er werd mij gemaild dat ik een track-andtrace code zou krijgen. Die heb ik nooit gehad. Latere correspondentie leverde alleen maar excuses op. De adverteerder deed voorkomen of dat hij in België woonde, maar dat is vo lgens mij helemaal niet waar. Het bestelde goed is niet geleverd. Ik vind dat ik ben opgelicht, temeer omdat de [product] later opnieuw op internet werd aangeboden.
Verbanden blijkens de inhoudsanalyse Tabel 3.2 geeft een overzicht van de verbanden tussen e- fraude en andere criminaliteitsvo rmen. Die tabel heeft betrekking op 314 dossiers; elk dossier kan meerdere verbanden met een ander delict bevatten. Tabel 3.2: Verbanden in de 314 dossiers e-fraude met andere criminaliteit 29 Andere (cyber)crime waarmee een verband is Cybercrimes in deze studie Hacken Cyberafpersen Kinderporno Haatzaaien Overige cybercrimes Identiteitsdiefstal Off-line criminaliteit Identiteitsdiefstal Onbekend Geen verband met andere (cyber)crime
n 11 10 1 0 0 51 51 9 7 2 247
30
% van 314 3,5 3,2 0,3 0,0 0,0 16,2 16,2 2,9 2,2 0,6 78,7
In de meeste dossiers (78,7%) vonden we geen verband met een andere criminaliteitsvorm. Casus 3.1 is illustratief voor dergelijke dossiers: de verdachte biedt producten aan via een verkoopsite, het slachtoffer en de verdachte komen een prijs overeen, het slachtoffer betaalt maar krijgt het bestelde goed niet. 29
We selecteerden de verschillende vormen van (cyber)criminaliteit in de dossiers e-fraude op basis van de definities die we vooraf opstelden (zie het analysekader in bijlage 10) en niet op de wetsartikelen die in de dossiers zijn opgenomen. 30 Doordat in één dossier zowel verbanden met cybercrimes uit deze studie als overige (cyber)crimes voor kunnen komen is het totaal meer dan 100%.
77
In de 314 dossiers e- fraude vonden we 67 dossiers (21,3%) met een of meer ve rbanden met andere (cyber)crimes (tabel 3.2), in totaal 71 verbanden, gemiddeld 0,2 per dossier. In 51 dossiers (16,2%) is er naast e-fraude sprake van identiteitsdiefstal en in 10 dossiers (3,2%) is er naast e-fraude sprake van hacken (zie casus 3.2). De identiteit van het slachtoffer werd in al die gevallen via ICT verkregen (er werden bijvoorbeeld onder valse voorwendselen persoonlijke gegevens uit e- mailwisselingen verkregen of er was sprake van phishing) en misbruikt om mensen mee op te lichten. Daarnaast is er in 7 dossiers (2,2%) ook sprake van identiteitsdiefstal zonder gebruik van ICT (het gaat dan om bankafschriften en andere persoonlijke documenten die door de daders zijn misbruikt om een fictieve identiteit te maken en mensen op te lichten).
Casus 3.2: E-fraude met behulp van hacken Op [datum] kwam ik er achter dat een ander persoon dan ik via internet een broek besteld had bij [bedrijf] op mijn account. Hierop ging ik verder kijken in mijn mail en kwam tot de conclusie dat er iemand mijn mailaccount gekraakt heeft. Er heeft iemand met gegevens uit mijn mailaccount ingelogd op de site van [bedrijf] en heeft daar bestellingen geplaatst op mijn naam maar met een ander afleveradres. Op het afleveradres staat echter niemand ingeschreven. De postbesteller heeft een afhaalbriefje in de brievenbus gedaan en VE heeft blijkbaar met dit briefje de bestelling opgehaald op het postkantoor. Van deze bestelling heb ik geen e- mailverkeer in mijn mailaccount terug kunnen vinden terwijl [bedrijf] toch minimaal één maar waarschijnlijk twee mailtjes ter bevestiging stuurt naar het e- mailadres van de besteller. Hieruit blijkt dus dat iemand anders dan ikzelf in mijn mailaccount kan om deze mailtjes te lezen en te verwijderen.
De meeste e-fraude zaken hebben dus geen verbanden met andere vormen van criminaliteit en als er verbanden zijn dan is dat met identiteitsdiefstal (19,1%), voorafgaand aan het plegen van de fraude, en/of hacken (3,2%), hetgeen ook ten dienste staat aan de fraude. Welke wetsartikelen heeft de politie aan het dossier gekoppeld Een dossier heeft vaste invoervelden voor het vermelden van de van toepassing zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel opnemen. In 63 van de 314 dossiers staan geen wetsartikelen (20,1%). Van de overige 251 dossiers stelden we vast welke wetsartikelen de politie daar heeft vermeld. Het meest voorkomende wetsartikel is 326 Sr (oplichting). Dit komt in 96,0 procent van de dossiers voor. Andere herhaaldelijk voorkomende wetsartikelen zijn 225 Sr (valsheid in geschrift, 6,0%), artikel 310 Sr (diefstal, 4,8%) en artikel 311 Sr (diefstal onder verzwarende omstandigheden, 4,0%) (zie tabel 3.3). Kortom, in e- fraude dossiers staan overwegend wetsartikelen genoemd die te maken hebben met oplichting, valsheid in geschrift en diefstal. Cybercrime-artikelen 138a Sr (computervredebreuk, overnemen van gegevens) en 139c Sr (aftappen/opnemen gegevens) komen samen slechts drie keer voor (1,0%). Artikel 232 Sr (skimmen) komt in niet meer dan 0,8 procent van de fraudegevallen voor. Meestal gaat het bij e- fraude kennelijk om eenvoudig bedrog zonder de technische voorbereiding die skimmen vergt.
78
Tabel 3.3: Wetsartikelen in 251 e-fraudedossiers 31 Artikel
Omschrijving
326 Sr 225 Sr 310 Sr 311 Sr 45 Sr 321 Sr 138a Sr 232 Sr 139c Sr 261 Sr 285 Sr 329 Sr 137e Sr 262 Sr 48 Sr 47 Sr
Oplichting Valsheid in geschrift Diefstal Diefstal onder verzwarende omstandigheden Poging tot misdrijf Verduistering Computervredebreuk Valse betaalpas of waardekaart Aftappen en/of opnemen van gegevens Smaad Bedreiging Bedrog bij verkoop Verspreiding discriminatie uitlating Laster Medeplichtig aan een misdrijf Dader van een strafbaar feit
Totaal *: is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten
n
% van 251
241 15 12 10 7 5 2 2 1 1 1 1 1 1 1 1
96,0 6,0 4,8 4,0 2,8 2.0 0,8 0,8 0,4 0,4 0,4 0,4 0,4 0,4 0,4 0,4
302
*
Bij de inhoudsanalyse vonden we in 51 dossiers een verband met identiteitsdiefstal met gebruik van ICT (16,2%). Dat verband vinden we niet terug als we kijken naar de wetsartikelen die de politie bij het dossier heeft opgenomen. Aan de op zichzelf al strafbare voorbereidingshandelingen die een fraudeur pleegt als hij identiteitsgegevens van het slachtoffer bemachtigd, besteedt de politie dus kennelijk geen aandacht in het opsporingsproces. Het meer technische deel van de strafbare daad laat de politie aldus buiten beschouwing en zij beperkt zich tot de fraude an sich. Wellicht speelt hier een rol dat de politiemensen die de zaak behandelen (en de Officieren van Justitie die leiding geven aan het opsporingsproces) zich te weinig vertrouwd voelen met diefstal van identiteitsgegevens via ICT (art. 138a lid 2, 139c, 139d en 139e Sr) en zich wel vertrouwd voelen met oplichting en valsheid in geschrift (art. 326 en 225 Sr). Mogelijk speelt gebrek aan kennis over de ICT-kant van een delict hierbij een rol (vgl. Toutenhoofd e.a., 2009). Samengevat We zochten in de e-fraudedossiers op drie manieren naar dwarsverbanden tussen hacken en andere delicten. 1. we keken onder welke titel of beschrijving politiemensen het dossier registreerden; 2. we bestudeerden de inhoud van de dossiers; 3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde. Uit de analyse komt naar voren dat e- fraude in de regel geen verbanden heeft met andere (cyber)crimes. Voor zover dat wel het geval is, zijn er verbanden met diefstal van identiteitsgegevens (vooral digitaal maar ook niet-digitaal) en soms ook met hacken. Deze delicten zijn dan een middel om te komen tot de e- fraude. Het is niet ondenkbaar dat hacken en diefstal van identiteitsgegevens vaker ten grondslag liggen aan e- fraude dan we kunnen opmaken uit 31
In één dossiers kunnen meerdere artikelen voorkomen.
79
de dossiers. Slachtoffers weten immers niet altijd dat ze gehackt zijn en of (en waar en hoe) hun identiteit gestolen is. De politie lijkt ook niet op zoek naar de meer technische strafbare feiten die de verdachte pleegde om tot de uiteindelijke fraude te komen. Alles met elkaar komt e- fraude overwegend naar voren als een nogal op zichzelf staande criminaliteitsvorm, of, zo men wil, een misdrijf waarheen wel voorbereidingshandelingen leiden maar van waar geen lijnen lopen naar andere criminaliteit. 3.5 Daderkenmerken uit de literatuur Inleiding De daderkenmerken van e-fraudeurs beschrijven we in deze paragraaf aan de hand van de literatuur. In paragraaf 3.6 behandelen we vervolgens de resultaten uit onze dossieranalyse en vergelijken we die resultaten met die uit de literatuur. We brengen hier in herinnering de kanttekingen die we in het eerste hoofdstuk plaatsten bij het opstellen van daderkenmerken (par. 1.4 onder ‘beperkingen van de methoden’). Hierna beschrijven we eerst de daderkenmerken van voorschotfraude. Daarna gaan we in op fraude meer in het algemeen. We onderscheiden daarbij verder geen subcategorieën omdat daarvoor te weinig over daders bekend is. Voorschotfraude Bij voorschotfraude gaat het volgens Van der Hulst en Neve (2008) om professionele daders die in groepsverband opereren, deel uitmaken van een wereldwijd (crimineel) netwerk, en veelal afkomstig zijn en/of aangestuurd worden uit Nigeria. Het staat daarom ook bekend als de ‘Nigerian scam’ of ‘419- fraude’ (naar artikel 4.1.9 van het Nigeriaanse Wetboek van Strafrecht). Uit onderzoek van Schoenmakers e.a. (2009) blijkt dat dergelijke scam’s al sinds de jaren tachtig van de vorige eeuw worden uitgevoerd (toen nog per brief). Met de technologische ontwikkelingen zijn oplichters later gebruik gaan maken van fax en e- mail. West–Afrikaanse criminele netwerken worden in het Nationale Dreigingsbeeld 2008 (NDB2008) oms chreven als flexibele netwerken, bestaande uit losse cellen die zich ook schuldig maken aan vele andere vormen van criminaliteit (Boerman e.a., 2008). In Amsterdam Zuidoost wonen volgens het NDB2008 relatief veel Nederlanders van Nigeriaanse afkomst, die een aantrekkelijk sociaal netwerk vormen voor de vaak illegaal in Nederland verblijvende oplichters. In Amsterdam waren volgens Van der Werf (2003) in 2002 zo’n zes à zeven georganiseerde groepen actief die zich, naast fraude, ook bezighielden met onder meer vrouwenhandel, verdovende middelen en geweldsmisdrijven. Uit het onderzoek van Van der Hulst en Neve (2008) blijkt dat er gaandeweg steeds meer bekend wordt over daders. Schoenmakers e.a. (2009:90) concluderen echter dat ‘er in Nederland opvallen weinig wetenschappelijke kennis [is] over de Nigeriaanse gemeenschap, waarbinnen de fraudeurs verblijven’. Volgens Van der Hulst en Neve (2008) gaat het om georganiseerde misdaad. De meeste daders hebben een strafblad (op het gebied van oplichting en fraude) en de recidive is hoog: men begint na een veroordeling gewoon opnieuw, desnoods in een ander land (Cops, 2007b). De oplichters maken veelvuldig gebruik van vervalste en gestolen (persoons)documenten en worden tevens verdacht van witwassen (Cops, 2007b; KLPD, juni 2007; OM, 26 september 2006). Verder laten Van der Hulst en Neve zien dat de gearresteerden overwegend mannen zijn tussen de 18 en 48 jaar die opereren in groepjes van 4 tot 21 personen en die van West-Afrikaanse afkomst zijn. 32 Schoenmakers e.a. (2009) concluderen dat Nigeriaanse 419-fraudeurs die zich op buitenlanders richten veelal jonge mannen zijn. Er 32
Volgens experts van het KLPD (aangehaald is Schoenmakers e.a. 2009) bestaan dergelijke netwerken uit zo’n acht tot tien personen, maar merken respondenten uit de Nigeriaanse gemeenschap op dat er in werkelijkheid wel honderden ‘cellen’ betrokken kunnen zijn. Het is dus onduidelijk wat de werkelijke omvang van deze netwerken is.
80
zijn echter ook oudere daders die al sinds de jaren 80 bezig zijn met dergelijke oplichtingen (de ‘oude rotten in het vak’). Dit zijn, aldus nog steeds Schoenmakers e.a., de topfiguren in de fraudenetwerken en zijn te plaatsen in het rijtje van militaire dictators, corrupte politici en corrupte bank- en oliefunctionarissen (Smith, 2007, aangehaald in Schoenmakers e.a., 2009). Sinds fraude in 1999 in Nigeria hard wordt aangepakt wijken daders volgens Schoenmakers e.a. (2009) uit naar andere West-Afrikaanse landen, zoals Ghana, Ivoorkust en Burkina Faso en opereren zij vanuit steden met een grote Nigeriaanse gemeenschap (zoals Amsterdam of Londen) en maken zij gebruik van bijvoorbeeld internetcafés of een gehuurd kantoor. Groeperingen werken met name vanuit Nederland, Spanje en Engeland, maar ook uit andere WestEuropese landen (Schoenmakers e.a., 2009). Verder zijn de leden volgens het NDB2008 vaak bekenden of familie van elkaar en werken zij voor een korte periode intensief samen (Boerman, 2008). Voor de insiders is het netwerk waarin de daders zich bevinden overzichtelijk en kent iedereen elkaar. Criminele netwerken wisselen dan ook met groot gemak van samenstelling. Deze losse structuur is blijkens het Boerman (2008) en Schoenmakers e.a. (2009) kenmerkend voor West–Afrikaanse criminele netwerken en zorgt ervoor dat de fraudeurs snel kunnen inspelen op veranderende situaties. Corpelijn (2008, aangehaald in Schoenmaker e.a., 2009) concludeert dat de 419- fraude uit verschillende delictfasen bestaat. In iedere fase zouden daders technieken gebruiken om slachtoffers te manipuleren (social engineering, zie bijlage 1). Er bestaan volgens Corpelijn (2008) vier fasen die werken als een trechter: gaandeweg vallen steeds meer slachtoffers af en een kleine groep blijft over die voor het grote geld zorgt. De vier fasen zijn (naar Corpelijn, 2008): - (1) De informatiefase. Daders maken op vriendelijke en zakelijk toon contact met de slachtoffers. Via e- mail, maar ook post wordt het vertrouwen van het slachtoffer gewo nnen. - (2) De interactiefase. Slechts een klein deel van de mensen die een e- mail krijgt reageert daarop. Herinneringsmails moeten er voor zorgen dat het slachtoffer overtuigd wordt om deel te nemen aan de scam. Slachtoffers moeten persoonlijke informatie opsturen om de transactie te laten slagen. - (3) De transactiefase. Er wordt een verzoek gedaan om een voorschot te betalen, bijvoorbeeld in verband met administratiekosten. Op dit moment begint de scam pas echt. Het slachtoffer wordt steeds verzocht om bedragen te betalen voor nieuwe onvoorziene kosten. Soms vinden zelfs face-to- face ontmoetingen plaats waarbij het slachtoffer een koffer met vals geld krijgt. - (4) De slotfase. De transactiefase loopt door totdat het slachtoffer beseft dat hij of zij is opgelicht. De looptijd van een scam kan volgens Schoenmakers e,a, (2009) behoorlijk lang zijn en de bovengenoemde fasen variëren doordat per scam de opzet, slachtoffer, situatie en omgeving anders zijn. De werkwijze van de 419-fraudeurs gaat volgens Schoenmakers e.a. (2009) hand in hand met identiteitsmisbruik en de onzichtbaarheid van de werkwijze is dan ook een grote succesfactor. Er wordt volgens de onderzoekers gebruik gemaakt van hulpmiddelen zoals prepaidtelefoons, VoiP, internet en valse documenten. Het NDB2008 vermeldt dat er in de periode tussen 1 oktober 2006 en 1 november 2007 175 meldingen van voorschotfraude zijn binnengekomen (Boerman, 2008). Zowel Boerma n (2008) als Schoenmakers e.a. (2009) komen tot de conclusie dat groeperingen die in Nederland actief waren, zich met name richtten op potentiële slachtoffers uit de Verenigde Staten en het Verenigd Koninkrijk (zie ook Schoenmakers e.a., 2009). Daarentegen worden volgens het NDB2008 Nederlandse burgers vaak slachtoffer van in het buitenland opererende oplichters. Schoenmakers e.a. (2009) wijzen erop dat met name Nigerianen zelf het slachtoffer worden
81
van de oplichtingen. Volgens deze auteurs zijn de Nederlandse slachtoffers meestal hoogopgeleid. Volgens Corpelijn (2008) worden op verschillende manieren slachtoffers gemaakt: daders spelen in op de emotie en empathie van het slachtoffer (het geld van een ernstige zieke veilig stellen of geld uit een corrupt land wegsluizen) op hebzucht (deze mensen raken ve rblind door de mogelijk om snel veel geld te verdienen) en onwetendheid (slachtoffers laten zich meeslepen door onwetendheid over dergelijke oplichtingen in combinatie met het geloof in de goedheid van de mens). Tot slot speelt de situationele factor een rol: alle slachtoffers zijn om een bepaalde reden, bijvoorbeeld ontslag, financiële problemen of het verlies van een dierbare, ontvankelijk voor het aanbod dat gemaakt wordt. In figuur 3.6 staan de daderkenmerken van voorschotfraude zoals die bekend zijn in de literatuur, volgens Van der Hulst en Neve (2008). Figuur 3.6: Daderkenmerken voorschotfraude (Van der Hulst en Neve, 2008) Sociaal-demografische kenmerken: man, tussen de 18 en 48 jaar, afkomstig uit WestAfrika (Nigeria, Soedan, Liberia) (sommigen illegaal) (Technische) kennis en vaardigheden: beperkte ICT-expertise, professioneel Primaire motivatie: financieel gewin Sociaal-psychologisch profiel: gebrek aan schuldbesef Criminele carrière: hoge recidive (oplichting en fraude), internationale connecties (georganiseerde misdaad)
Overige e-fraude In de literatuur zijn weinig of geen specifieke daderkenmerken bekend van e-fraudeurs. Het trendrapport van IC3 over meldingen van fraude in de Verenigde Staten in 2007 geeft een zeer beperkt beeld van daderkenmerken. Bij 42 procent van de meldingen is het geslacht van de dader bekend. In driekwart van die meldingen was de dader een man. De meeste daders plegen het delict vanuit de VS (63,2%). Andere landen van waaruit veel delicten worden gepleegd zijn het Verenigd Koninkrijk (15,3%), Nigeria (5,7%) en Canada (5,6%)33 (IC3, 2008). We kunnen hier op twee manieren naar kijken. Wanneer we vertrekken vanuit het mondiale karakter van internet, kan men het opvallend vinden dat nog steeds de meeste gemelde geva llen van fraude in Amerika afkomstig zijn uit het eigen land. Een verklaring hiervoor kan zijn dat de meeste meldingen betrekking hadden op het niet leveren van bestelde goederen van online veilingen. Wellicht wordt er met name gebruik gemaakt van online veilingsites die afkomstig zijn uit het eigen land (IC3, 2008). Wanneer we vertrekken vanuit opsporingsperspectief, moeten we constateren dat in 36,8 procent van de e-fraudes de dader opereert vanuit een ander land dan waar het slachtoffer woont – een ander land dus dan waar de betrokken opsporingsautoriteiten bevoegd zijn. Uit de literatuurinventarisatie van Van der Hulst en Neve (2008) blijkt verder dat er ook nog weinig bekend is over personen die zich toeleggen op fraude met identiteitsmisbruik. De Nationale en Bovenregionale Recherche hebben maar een beperkt aantal opsporingsonderzoeken gedaan naar zaken waarbij identiteitsmisbruik aan de orde was (KLPD, DNRI, 2007c). In de literatuur wordt geregeld naar voren gebracht dat personen die zich bezig houden met ident iteitsmisbruik hackers zijn die de overstap maakten van hackersidealen naar computercriminaliteit voor financieel gewin (bv. Boerman en Mooij, 2006). Ook uit de internationale literatuur komt volgens Van der Hulst en Neve (2008) financieel gewin naar voren als het motief van identiteitsmisbruik. Andere auteurs wijzen er op dat fraude met gebruikmaking van een valse 33
IC3 geeft alleen een top tien van landen waaruit oplichtingen gepleegd zijn. Naast de hier genoemde landen zijn dat: Roemenie (1,5%), Italië (1,3%), Spanje (0,9%), Zuid-Afrika (0,8%), Rusland (0,8%) en Ghana (0,7%).
82
identiteit steeds meer het werkterrein is van criminelen die zich voorheen bezighielden met drugshandel. Volgens Newman en McNally (2005) zorgen de grote opbrengsten en geringe pakkans ervoor dat e- fraude voor de opportunistische kanszoeker aantrekkelijker is dan de handel in drugs. Ook Copes en Vieraitis (2007) concluderen dat de primaire motivatie van daders is het op relatief eenvoudige manier snel geld verdienen. Copes en Vieraitis interviewden voor hun studie naar de denkwijze van daders van identiteitsdiefstal 59 gedetineerde daders in de VS 34 . Zij constateren dat er geen sprake is van een homogene dadergroep. Niettemin noemen ze als daderkenmerken: werkende middenklasse, strafblad (bijvoorbeeld fraude, drugs), manipulatief sterk, technische vaardigheden en kennis van systemen (zoals van banken en andere financiële instellingen). Een deel van de daders had de voor de fraude vereiste kennis vergaard tijdens het werk: bijvoorbeeld bij een hypotheekinstelling, overheidsdienst of een ander bedrijf dat toegang biedt tot persoonlijke gegevens zoals creditcardnummers (banken, warenhuizen). Doordat er nog weinig zicht is op de daderkenmerken van cybercriminelen die zich bezig houden met identiteitsmisbruik is het lastig te bepalen of zij werken in georganiseerde groepen (Van der Hulst en Neve, 2008, KLPD/DNR, 2007a, Gordon en Ford, 2006). In figuur 3.7 staan de daderkenmerken die Van der Hulst en Neve (2008) opdeden uit verschillende bronnen.
Figuur 3.7: Daderkenmerken e-fraude met identiteitsmisbruik (Van der Hulst en Neve, 2008) Sociaal-demografische kenmerken: werkende middenklasse. (Technische) kennis en vaardigheden: professionele hacker als dienstverlener. Is technisch vaardig. Werkt in groepsverband en/of op huurbasis. Maakt gebruik van botnets en nepwebsites. Hebben kennis van systemen van banken (soms in relatie tot arbeidsverleden). Primaire motivatie: financieel gewin (grote opbrengsten, geringe waargenomen pakkans). Sociaal-psychologisch profiel: manipulatief. Criminele carrière: Strafblad (fraude, drugs). Voorheen mogelijk drugshandel.
De FBI publiceerde over de handelswijzen van een groep cybercriminelen die wordt beschuldigd van phishing (met als doel identiteitsdiefstal, -vervalsing en - misbruik) (FBI, 2008b). Hierbij waren drie typen daders betrokken: de suppliers/leveranciers die informatie aanleveren, de cashiers/kassiers die de info rmatie gebruiken om bijvoorbeeld creditkaarten te verva lsen en de runners, die de creditkaarten testen. Hierna volgt een weergave van een phishingaanval zoals beschreven door de FBI: − Vanuit Roemenië werd door een groep computercriminelen door phishing (in de vorm van het versturen van enorme hoeveelheden spam) credit- en debitaccounts en persoonlijke informatie verkregen. Deze criminelen waren de leveranciers (suppliers). − De leveranciers verstuurden de verkregen informatie via chatkanalen en e- mail door naar hun partners in de Verenigde Staten: de cashiers (kassiers). − Door gebruik te maken van geavanceerde, maar makkelijk beschikbare, software maakten de kassiers onder andere hun eigen creditkaarten. De informatie die afkomstig was van de
34
Daders werden geselecteerd op basis van een veroordeling op artikel ‘18 U.S.C. 1028, which is the federal statute for identity theft’(Copes en Vieraitis, 2007).
83
leveranciers (de groep uit Roemenië) werd hiervoor gebruikt. Op deze manier kon toegang worden verkregen tot grote geldbedragen. − Runners werden gebruikt om de gemaakte kaarten te testen. Kleine geldbedragen werden gepind en de saldi bekeken. De kaarten die ‘cashable’ waren, werden verder misbruikt. − De kassiers sturen een percentage van de winsten naar de leveranciers. Op Ha.ckers.org lezen we een vergelijkbare weergave van een phishing-aanval (Ha.ckers.org, 2006). Ook hier worden drie typen criminelen beschreven die deelnemen aan een phishing aanval: de spammer, de hacker en de carder. − De spammer zorgt voor het verkrijgen van e- mail adressen en het versturen van grote hoeveelheden phishing- mails. Hiervoor worden gehackte systemen (bijvoorbeeld botnets) gebruikt. − De hacker zoekt naar websites die kunnen worden gehackt. De hacker betaalt de spammer voor de e- mailadressen en om de spam te versturen. Het is de bedoeling dat de slachtoffers door het aanklikken van een link op de gehackte website komen, waarna de hacker zich toega ng verschaft tot persoonlijke informatie. Zoals in hoofdstuk 3 duidelijk werd, kan een computercrimineel op meerdere manieren aan dergelijke informatie komen, van het uitvoeren van een cross-site scripting aanval of IFrame injectie tot het installeren van spyware of het uitvoeren van een man- in-the- middle attack door het kopiëren van legitieme websites. − Een ‘carder’ koopt de gestolen informatie van de hacker en zet deze op lege creditkaarten en kan de kaarten gebruiken om geld te pinnen. Carding is het jargon van cybercriminelen voor creditcardfraude. De ontwikkeling van carding volgde de snelle opkomst van online winkelen op de voet (KLPD/DNR, 2007a). Carding bestaat dan ook voor een groot deel bij de gratie van gegevens die verkregen zijn van online winkels, meestal middels inbraak in hun klantendatabase. Een ‘full cc’, zoals dat volgens het KLPD in de cardingwereld heet, bestaat uit een creditcardnummer plus de overige gegevens: geldigheidsdatum, verificatienummer op de achterkant, naam van de houder, en zoveel mogelijk overige gegevens. Behalve in de fysieke wereld worden creditcardgegevens ook op het internet veelvuldig ge(mis)bruikt. In de eerste plaats natuurlijk om goederen te kopen. Ook het huren van servers die tijdelijk gebruikt worden voor malafide doeleinden vindt meestal plaats met gestolen creditcardgegevens, dit om het spoor naar de daders te verhullen (KLPD/DNR, 2007a). Samenvatting en conclusie Daders van e- fraude zijn niet eenvoudig te typeren. Volgens de literatuur is voor deze daders financieel gewin een (of de) drijfveer, maar dat brengt ons natuurlijk niet werkelijk veel ve rder. Daders die zich toeleggen op fraude met identiteitsmisbruik beschikken over het geheel genomen over bovengemiddelde technische inzichten en vaardigheden, want die zijn nuttig voor het langs technische weg verwerven van persoonsgegevens. Ook kunnen ze beschikken over kennis van betaalsystemen, bijvoorbeeld door hun arbeidsverleden. Fraude vindt ook plaats in georganiseerd verband. Het bekendste en vanwege politieonderzoek tevens goed gedocumenteerde voorbeeld daarvan is de voorschotfraude door daders met een connectie in West-Afrikaanse landen, in het bijzonder Nigeria (‘Nigerian scam’). De FBI documenteerde hoe creditcardfraude (‘carding’) wordt gepleegd door een crimineel samenwerkingsverband. Frauderen is volgens de literatuur voor de daders geen eenmalige zaak: niet zelden hebben zij antecedenten voor fraude, maar ook wel voor drugshandel.
84
3.6 Verdachtenkenmerken uit de dossierstudie In deze paragraaf beschrijve n we de resultaten van de dossieranalyse. Aan bod komen de modus operandi, persoonskenmerken, sociale achtergrond en antecedenten van de verdachten van e- fraude. De modus operandi Om de modus operandi bij e-fraude te beschrijven hebben we (1) een analyse gemaakt van de MO zoals die door politiemedewerkers in het politiedossier is vastgelegd en (2) gekeken naar gebruikte criminele technieken en voorbereidingshandelingen die in het dossier worden genoemd, (3) vastgesteld vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al dan niet samenwerkende verdachten in het dossier staan vermeld. (1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen kunnen bij het registreren van een delict een of meer MO’s kiezen uit een vaste lijst. Die lijst verschilt enigszins per basisprocessensysteem. Daarnaast kunnen politiemensen zelf een MO invoeren. Niet altijd is een MO ingevuld: in 84 dossiers is dat niet het geval en in 230 dossiers wel. De MO’s die bij die 230 dossiers voorkomen zijn ‘computer’, ‘woning’, ‘valse naam/hoedanigheid’, ‘advertentie’ en ‘internet’ (tabel 3.4). Deze MO’s geven de globale aard van e- fraude weer: het merendeel van de zaken gaat over het wel betalen maar niet leveren, of wel leveren maar niet betalen van goederen bij verkoopsites (zie casus 3.1). Over de werkwijze van de daders worden we langs deze weg niet veel wijzer. Tabel 3.4: MO-beschrijvingen in 230 e-fraudedossiers 35 MO beschrijving n %* In BPS (n=189) Computer 91 48,1 Woning 79 41,8 Valse naam/hoedanigheid 42 22,2 Advertentie 38 20,1 Internet 18 9,5 In XPOL (n=40) Valse naam/hoedanigheid 14 35,0 Computer 5 12,5 Advertentie 3 7,5 Woning 2 5,0 In GENESYS (n=1) Valse naam/hoedanigheid 1 100,0 TOTAAL (n=230) Computer 96 41,7 Woning 81 35,2 Valse naam/hoedanigheid 57 24,8 Advertentie 41 17,8 Internet 18 7,8 * Het totaal is niet gelijk aan 100 omdat in een dossier meerdere MO’s kunnen zijn geregistreerd. Daarnaast hebben we MO-beschrijvingen die niet vaak voorkomen niet in de tabel opgenomen, zie ook de methodische verantwoording in hoofdstuk 1.
(2) Bij de nadere inhoudelijke analyse, legden we vast of het dossier informatie bevatte over het gebruik van criminele technieken. We beperken ons hier tot die welke in bijlage 1 tot en 35
Per dossier zijn meerdere MO’s mogelijk.
85
met 9 staan behandeld. In 43 dossiers (13,7%) konden we vaststellen dat één of meerdere criminele technieken zijn gebruikt, maar niet altijd konden we bepalen welke. In 34 gevallen vonden we daarover wel informatie. Het ging in 32 van de 34 gevallen (94,1%) om social engineering: het overtuigen van een gebruiker om iets te doen wat hij/zij normaal niet zou doen (KLPD/DNR, 2007a). In 2 dossiers (5,9%) was sprake van phishing (zie casus 3.3). Criminelen ontfutselden in deze zaken via een nepwebsite de inloggegevens van het slachtoffer en pleegden met deze gegevens e- fraude. Het is uiteraard denkbaar dat cybercriminelen deze techniek inzetten zonder dat het slachtoffer merkt dat zijn/haar gegevens worden ontfutseld. Dan kan het slachtoffer daarvan geen melding maken en is sprake van onderrapportage. Voor zover we het gebruik van technieken hebben kunnen vaststellen, gaat het bij efraude dus om social engineering. Vaak bestaat de fraude er uit dat het slachtoffer wordt ‘overgehaald’ om bepaalde goederen te betalen alvorens ze geleverd worden. In de meeste zaken van e- fraude maken verdachten gebruik van advertenties op verkoopsites. In deze advertenties maken zij dan gebruik van valse identiteiten (gecreëerd of gestolen), KvK-nummers en andere informatie om afnemers voor hun ‘goederen’ te krijgen. Ook was er in een aantal zaken een professionele bedrijfswebsite opgezet waardoor slachtoffers dachten dat ze met een legitiem bedrijf te maken hadden. In al deze advertenties en websites is sprake van social engineering: het slachtoffer moet door een bepaalde voorstelling van zaken worden gebracht tot het door de dader gewenste gedrag. Casus 3.1 bevat een voorbeeld daarvan. Het slachtoffer verklaart immers: ‘Als ik zou hebben geweten, dat de verdachte een valse naam/valse hoedanigheid had aangenomen, dan wel gebruik maakte van listige kunstgrepen/samenweefsel van verdichtsels, dan zou ik niet tot afgifte zijn overgegaan’. 36 Bij 296 van de 314 dossiers hebben we kunnen vaststellen of de e- fraude gepleegd werd met identiteitsmisbruik. Dat was in 87 van die 296 dossiers het geval (29,4%). Identiteitsmisbruik is dus geen uitzondering.
Casus 3.3: E-fraude met behulp van phishing Ik doe aangifte van oplichting, fraude dan wel diefstal. Ongeveer 14 dagen geleden, [datum] heb ik ingelogd op de site van mijn bank om van mijn girorekening diverse overschrijvingen te doen via internet. Ik merkte dat ik niet met mijn gewone gebruikersnaam en wachtwoord in kon loggen op de site van mijn bank. Ik heb toen via de site een nieuw wachtwoord aan moeten vragen omdat ik niet meer in kon loggen. Toen ik na ongeveer een week nog niks had gehoord van mijn wachtwoord en gebruikersnaam heb ik gebeld met een medewerker van de bank. Ik hoorde hem zeggen dat ik dat gewoon via de internetsite van mijn bank moest doen. Ik heb dit vervolgens gelijk diezelfde dag nog gedaan en ik kreeg gisteren met de post inderdaad mijn gebruikersnaam en wachtwoord. Vervolgens ben ik vanmorgen met de aan mij verstrekte gebruikersnaam en wachtwoord ingelogd om onze girorekening te raadplegen. Ik zag toen dat er op [datum] een overschrijving had plaatsgevonden met een bedrag van E 25000,-. Ik heb zelf nooit daartoe de opdracht gegeven. Sterker nog de ove rschrijving heeft plaatsgevonden in de tijd dat ik zelf niet in kon loggen op de site van mijn bank om overschrijvingen via internet te doen.
Net als met de criminele technieken is het moeilijk te bepalen wanneer de verdachten wel of geen voorbereidingshandelingen hebben getroffen. In veel e- fraude dossiers staat weinig informatie over de verdachte. In 71 dossiers was er sprake van voorbereidingshandelingen. Het ging in die dossiers 39 keer (54,9%) om het maken en plaatsen van een advertentie op een 36
Dit zijn uiteraard niet de woorden van de verdachte. Een proces-verbaal bevat een ‘politievertaling’ van wat de verdachte verklaart, zo ook hier.
86
verkoopsite, al dan niet in combinatie met het creëren van een valse identiteit en het openen van een rekening waarop het geld kon worden gestort. In 13 dossiers (18,3%) creëerden de verdachten een website en e- mail adres om mensen op te lichten. De website was zo opgezet dat slachtoffers dachten dat he t om een legitiem bedrijf ging. In 2 andere dossiers verstuurde de verdachte echt lijkende e- mails (bijvoorbeeld met reclame of aanbiedingen). In 1 dossier verstuurde de verdachte mails om persoonlijke informatie (waaronder inloggegevens van een Pay Pal account) te verkrijgen. In 4 dossiers is een valse identiteit gecreëerd. In 2 dossiers hadden de verdachten eerst creditcardgegevens gestolen, om daarmee vervolgens aankopen te doen via internet. In de overige 10 dossiers werden uiteenlopende voorbereidingshandelingen gedaan, of was onbekend waaruit de handelingen precies bestonden. (3) Van 166 van de 314 e-fraude dossiers weten we vanuit welk land het delict is gepleegd. In 142 van die dossiers (85,5%) opereerde de dader(s) vanuit Nederland en in 24 gevallen (14,5%) vanuit het buitenland (bv. casus 3.4). De meeste van deze delicten werden gepleegd vanuit andere Europese landen: Duitsland (5), Engeland (3), België (2), Italië (2), Oostenrijk (1) en Roemenië (1). De overige e- fraudes werden gepleegd vanuit Nigeria (3) en Thailand (1). Zes keer was onbekend uit welke buitenland het delict precies gepleegd werd.
Casus 3.4: E-fraude vanuit het buitenland Ik doe aangifte van oplichting middels internetfraude. […] Ik begon om 19:00 uur te surfen op het web. Ik was op zoek naar een bestand. Ik kwam via Windows terecht bij een site waar het mogelijk was een bestand te downloaden. Op de site was een zogeheten SPAM-virus aanwezig dat mij vertelde dat ik de miljoenste bezoeker van de site was en dat ik een prijs gewonne n had. Ik moest contact opnemen met een telefoonnummer in de Verenigde Staten. Ik deed dit en ik kreeg daar een mannelijk persoon aan de telefoon die zei genaamd te zijn VE1. Ik hoorde dat VE1 mij vertelde dat ik gewonnen had en of ik mijn prijzen wilde weten. De gewonnen prijzen bestonden uit een 11-daagse reis door Amerika met vier personen ter waarde van 8000 dollar. Ik werd een beetje sceptisch door het verhaal en ik vertelde hem dat het te goed was om waar te zijn. Hierdoor kreeg ik zijn manager aan de telefoon. De manager kwam heel ove rtuigend op mij over wat betreft de gewonnen prijs en ik zag geen reden om haar te wantrouwen. De manager vertelde mij vervolgens dat er wel kosten aan verbonden waren. Ze deed dit tussen neus en lippen door. De kosten bedroegen 898 dollar en waren bestemd voor mijn aandeel in de kosten van de reis. […] Ik heb haar daarop gegeven waar ze om vroeg. Ze vroeg aan mij mijn creditcard nummer om de 898 dollar van mijn creditcard af te schrijven. Tijdens een tweede gesprek werd mij verteld dat er ook een 5-daagse reis naar Mexico in begrepen zat. Er was mij echter hierover in het eerste gesprek niets over verteld. Ik was dan ook benieuwd hoe het nu zat en ik werd hierdoor ook argwanend en belde met het opgegeven nummer van de klantenservice. De mevrouw vertelde mij dat ik niet in haar systeem stond en dat ik vandaag terug moest bellen. Dit was het moment dat ik nog meer argwaan kreeg en ik belde met een vriendin om het bovenstaande verhaal voor te leggen. Ze vertelde mij dat het wel eens een oplichting kon zijn.
In casus 3.4 is onbekend uit welk land het delict gepleegd is. De verdachten spraken weliswaar Engels en er werd gebruik gemaakt van een telefoonnummer in de VS, maar uit het dossiers bleek niet uit welke land ze afkomstig waren of waar het bedrijf gevestigd was. De casus is een voorbeeld van hoe criminelen kunnen samenwerken, er zijn meerdere verdachten bezig één slachtoffer op te lichten. 87
(4) In 97 van de 314 dossiers troffen we geen verdachte aan, of was het onbekend of er een verdachte was (30,9%). Van 217 dossiers weten we dat er één of meerdere verdachten waren. In totaal noteerden we in die 217 dossiers 280 verdachten, als volgt over de dossiers verdeeld: − in 177 dossiers 1 verdachte (81,6%); − in 26 dossiers 2 verdachten (12,0%); − in 9 dossiers 3 verdachten (4,1%); − in 3 dossiers 4 verdachten (1,4%); − in 1 dossiers 5 verdachten (0,0%); − in 1 dossiers 7 verdachten (0,0%). In 7 dossiers (2,2%) is het delict mogelijk gepleegd in georganiseerd verband. Het ging bijvoorbeeld om een groep verdachten die via een door hen opgezet nepbedrijf op internet adve rteerden met spullen (in dit geval elektronika) en deze na betaling door het slachtoffer niet leverden. Ook kwamen we voorbeelden van voorschotfraude tegen waarbij het slachtoffer werd voorgehouden een prijs te hebben gewonnen. Er moest echter eerst een geldbedrag aan de organisatie worden betaald alvorens de prijs in ontvangst kon worden genomen. Over de MO’s weten we nu dat daders van e- fraude putten uit een vrij beperkt repertoire aan technieken. In bijna alle gevallen (94,1%) is sprake van social engineering. Enkele keren was sprake van phishing. Geregeld (in 29,4% van de zaken) is sprake van e-fraude met identiteitsmisbruik. Het gaat bij e- fraude over het geheel genomen om vrij eenvoudige zaken: de dader plaatst een advertentie of maakt een website of verstrekt anderszins informatie die het slachtoffer moet verleiden tot het betalen voor bepaalde goederen of diensten – die vervolgens niet worden geleverd. In 14,5 procent van de gevallen opereert de dader vanuit het buitenland. In de overgrote meerderheid van de zaken (81,6%) is sprake van slechte één ve rdachte. In 7 dossiers (2,2%) konden we vaststellen dat het delict in georganiseerd verband gepleegd werd. Hoewel in de literatuur nogal eens aandacht wordt gevraagd voor samenwerkende fraudebendes (Nigerian scam, skimming) is het gros van de zaken werk van vrij eenvoudig opererende oplichters. Persoonskenmerken Van 213 van de 421 verdachten weten we het geboorteland (tabel 3.5): 189 van hen zijn in Nederland geboren (88,7%) en 24 daarbuiten (11,3%). Twee verdachten zijn geboren in Duitsland, de overige verdachten buiten Europa.
Tabel 3.5: Geboorteland van 213 verdachten Geboorteland Nederland Ander Europees land Buiten Europa Totaal
n 194 2 22 213
% 88,7 0,9 10.3 99,9
Van 218 verdachten weten we het geslacht. Het gaat om 160 mannen (73,4%) en 58 vrouwen (26,6%). Net als bij hacken is globaal genomen driekwart van de verdachten man (tabel 3.6). Het percentage mannen bij e- fraude is significant groter dan het percentage mannen van de Nederlandse bevolking maar significant kleiner dan het percentage mannen van alle verdachten in HKS (73,4 tegen 82,9; p<0,01). Vergelijken we het percentage mannen bij e-fraude met
88
het percentage mannen van verdachten die in HKS staan in de hoofdgroep ‘vermogen zonder geweld’, dan zien we geen significant verschil. 37 Het percentage mannen binnen de efraudedossiers komt dus overeen met het percentage mannen binnen de groep HKSverdachten in de categorie ‘vermogen zonder geweld’. Zo gezien wijken verdachten van efraude niet af van het algemene patroon.
Tabel 3.6: Geslacht van 218 verdachten Verdachten e-fraude Nederlandse verdachten# Nederlandse bevolking## Geslacht n % n % n % Man 160 * 73,4 202.698 82,9 8.157.074 49,5 Vrouw 58 * 26,6 41.777 17,1 8.329.513 50,5 Totaal 218 100,0 244.475 100,0 16.486.587 100,0 # Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008). ## Bron: www.cbs.nl, peiljaar 2009. * Significant verschil met Nederlandse verdachten en met Nederlandse bevolking (p<0,01).
Van 194 verdachten weten we de leeftijd, de jongste is 15 en de oudste is 73 jaar oud. Veel verdachten vallen in de leeftijdcategorie 18-24 jaar en 25-34 jaar (tabel 3.7). Op hoofdlijnen gezien is e-fraude meer dan andere delicten een zaak voor personen tussen de 18 en 35 jaar. Die groep is oververtegenwoordigd ten opzichte van de Nederlandse verdachten in HKS en van verdachten in de hoofdgroep ‘vermogen zonder geweld’ 38 (Prins, 2008) (p<0,01). De groep verdachten in de leeftijdscategorie 12 tot 18 jaar is juist ondervertegenwoordigd in de efraude dossiers.
Tabel 3.7: Leeftijdsopbouw van 194 verdachten e-fraude, vergeleken met Nederlandse verdachten en Nederlanders van 12 jaar en ouder Verdachten e-fraude Nederlandse verdachten# Nederlandse bevolking## Leeftijdscategorie n % n % n % 12 – 17 jaar 10 ? 5,2 35.161 * 14,4 120.4964 8,6 18 – 24 jaar 89 ? * 45,9 59.990 * 24,6 1.358.686 9,7 25 – 34 jaar 64 ? * 33,0 53.137 * 21,8 2.057.625 14,7 35 – 44 jaar 20 ? * 10,3 48.045 * 19,7 2.605.300 18,6 45 – 54 jaar 9 ? * 4,6 28.595 * 11,7 2.367.997 16,9 55 – 65 jaar 1 ? * 0,5 13.214 * 5,4 2.035.580 14,5 65 jaar en ouder 1 * 0,5 5.527 * 2,3 2.368.352 16,9 Totaal 194 100,0 243.669 99,9 13.998.504 99,9 # Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008). ## Bron: www.cbs.nl, peiljaar 2009. * Significant verschil met Nederlandse bevolking (p<0,01). ? Significant verschil met Nederlandse verdachten (p<0,01). NB: personen onder de 12 jaar hebben we niet meegenomen omdat deze ook niet in HKS staan.
We vermoeden dat hier het volgende aan de hand is. Anders dan offline vermogensdelicten zonder geweld (denk aan bromfietsdiefstal, winkeldiefstal) is e-fraude niet iets voor de allerjongste daders. Wellicht hebben ze daarvoor nog niet de vaardigheden. Ze beschikken ongetwijfeld over de vereiste computervaardigheden maar niet over de sociale vaardigheden die 37 38
In die hoofdgroep staan 67.689 personen, waarvan 50.684 mannen (74,9%) en 17.005 vrouwen (25,1%). Die hoofdgroep omvat overigens ook de verdachten voor e-fraude.
89
nodig zijn om een ander te manipuleren, aan te zetten tot een foute aankoop. E- fraude is in het bijzonder iets voor personen in de leeftijd van 18-34 jaar. De groep personen van 35 jaar en ouder omvat bij e-fraude nog maar 15,9 procent en bij ‘vermogen zonder geweld’ in het algemeen 34,2 procent (het verschil is significant, p<0,01). Wellicht verklaart het feit dat het gaat om een cybercrime, de naar verhouding geringe omvang van de groep oudere verdachten. We zouden kunnen zeggen dat personen in de leeftijd van 18-34 jaar optimaal zijn uitgerust voor e-fraude: ze zijn oud genoeg om voldoende sociaal vaardig te zijn voor social engineering en jong genoeg om zich handig te kunne n bewegen in cyberspace. Sociale achtergrond Van 58 verdachten is de woonsituatie bekend: 27 zijn samenwonend (46,6%), 19 inwonend (32,8%) en 12 alleenwonend (20,7%). Dat wil zeggen dat 79,4 procent van de 58 verdachten waarover we gegevens hebben in een meerpersoonshuishouden woont en 20,7 procent in een eenpersoonshuishouden. Landelijke gezien bestaan de Nederlandse huishoudens voor 35,5 procent uit eenpersoonshuishoudens (www.cbs.nl; peiljaar 2008). Het verschil tussen deze 35,5 en 20,7 procent is significant (p<0,01). 39 Dat wijst er in elk geval op dat verdachten van e-fraude niet in alle opzichten verkeren in een geïsoleerde sociale positie, ze maken juist vaker dan gemiddeld deel uit van een meerpersoonshuisho uden. Van 48 verdachten kennen we de arbeidssituatie: 18 zijn werkend, 25 zijn werkloos, 4 zijn studerend en 1 is arbeidsongeschikt. De studerenden en de arbeidsongeschikte behoren niet tot de beroepsbevolking. Aldus hebben we 43 verdachten die behoren tot de beroepsbevolking en daarvan is 58,1 procent werkloos. Het landelijke werkloosheidspercentage is 3,9 van de beroepsbevolking (www.cbs.nl; peiljaar 2008). Het verschil tussen deze 58,1 en 3,9 procent is significant (p<0,01). Verdachten van e-fraude zijn beduidend vaker werkloos dan gemiddeld. Ze bevinden zich niet in een maatschappelijk isolement wat hun woonsituatie betreft, maar des te meer wat hun arbeidspositie aangaat. Het ontbreken van een inkomen uit arbeid zou een (gedeeltelijke) verklaring kunnen zijn voor het plegen van fraude voor financieel gewin. We kunnen op basis van de dossiers niets zeggen over het opleidingsniveau, de technische vaardigheden of computervaardigheden van de verdachten. Antecedenten Van 138 verdachten hadden we voldoende gegevens (voornaam, achternaam en geboortedatum) om hun antecedenten te laten natrekken. We hebben opgevraagd in welke hoofdgroepen van delicten (tabel 3.5) zij staan vermeld en voor welke artikelen die verband houden met de cybercrimes uit deze VCN2009 zij antecedenten hebben. 40 In totaal hebben 104 van deze 138 verdachten (75,4%) een of meerdere vermeldingen in een hoofdgroep, alles met elkaar 291 vermeldingen (tabel 3.7). Elke vermelding kan weer meerdere antecedenten inhouden. De vermeldingen zijn verspreid over de verschillende hoofdgroepen. Eenderde van de vermeldingen (33,0%) valt onder de hoofdgroep ‘vermogen zonder geweld’. Andere hoofdgroepen die frequent voorkomen zijn ‘vernieling/openbare orde’, ‘geweld tegen personen’ en ‘verkeer’ (tabel 3.8).
39
Z-score voor proporties, zie Loether en McTavish (1980) Zie ook paragraaf 1.4. Dat zijn de volgende artikelen uit het Wetboek van Strafrecht: 138a, 350a, 350b, 161sexies, 161septies, 139c, 139d, 232, 326, 225, 240b, 147, 131, 137c, 137d, 137e, 137f, 137g. Deze artikelen staan uitgebreid beschreven in de hoofdstukken over de individuele cybercrimes (hoofdstuk 2 tot en met 6, steeds paragraaf 2). 40
90
Tabel 3.8: Antecedenten van 138 verdachten van e-fraude en van Nederlanders van 12 jaar en ouder (n=14 mlj.): vermeldingen per hoofdgroep Hoofdgroep
Verdachten e-fraude n % van 138
Gewelddadig seksueel 2 Overig seksueel 3 Geweld tegen personen 39 Vermogen met geweld 18 Vermogen zonder geweld 96 Vernieling / openbare orde 42 Verkeer 35 Drugs 15 Ove rige 41 Eén of meer van bovenstaan104 de hoofdgroepen *: significant verschil met ‘Nederlanders 12+’ (p<0,01).
* 1,4 * 2,2 * 28,3 * 13,0 * 69,6 * 30,4 * 33,7 * 10,9 * 29,7 * 75,4
41
Nederlanders 12+ n % van 13.998.504 1.896 0,014 2.400 0,017 64.914 0,464 6.622 0,047 67.689 0,484 49.379 0,353 62.756 0,448 19.132 0,137 23.811 1,170 2.444.475 1,746
Bij de verdachten van e-fraude ligt de nadruk op dezelfde hoofdgroepen als bij de groep ‘alle Nederlanders van 12 jaar en ouder’, hoewel bij de fraudeurs wel een extra nadruk ligt op ‘vermogen zonder geweld’. Fraudeurs hebben in alle hoofdgroepen significant meer antecedenten dan de gemiddelde Nederlander. Vermoedelijk heeft dat te maken met het feit dat de groep e-fraudeurs bestaat uit jonge mannen (zij plegen vaker delicten dan gemiddeld). Om daarover meer te weten te komen, zouden we een steekproef uit de bevolking moeten nemen die in elk geval qua leeftijd en geslacht overeenkomt met onze groep verdachten voor efraude. Een andere verklaring voor het hoge percentage antecedenten, en dan met name het hoge percentage in de groep ‘vermogen zonder geweld’, is vermoedelijk dat we de dossiers efraude niet alleen selecteerden uit 2007 maar ook uit 2006. We mogen derhalve verwachten dat een deel van de antecedenten in de hoofdgroep ‘vermogen zonder geweld’ bestaat uit de zaken uit ons eigen onderzoek (we kregen dan ons eigen dossier terug als antecedent, zie ook paragraaf 1.4). Dit antecedentenvraagstuk verdient aandacht in nader onderzoek. Van de 104 verdachten met antecedenten hebben 82 verdachten samen 100 antecedenten voor artikelen die (mogelijk) verband houden met de cybercrimes in deze VCN2009 (tabel 3.9). De meeste verdachten (76) hebben antecedenten gerelateerd aan fraude. Het gaat in de meeste gevallen (71) om artikel 326 Sr (oplichting) en daarna om artikel 225 Sr (valsheid in geschrift) (23). Dan hebben nog 6 verdachten een antecedent voor artikel 317 Sr (afpersing). We weten bij deze delicten niet of het gaat om cybercrimes. Ook hier geldt weer dat het voor een deel kan gaan om antecedenten vanwege de zaken die deel uitmaakten van ons onderzoek.
41
De percentages berekenden we als volgt: In 2007 waren er 13.998.504 Nederlanders van 12 jaar en ouder (www.cbs.nl). We houden 12+ aan omdat onze verdachten ook allemaal 12 jaar en ouder zijn. We weten per hoofdgroep het aantal mensen dat in HKS geregistreerd staat (Prins, 2008). Op die manier berekenden we het percentage Nederlanders met antecedenten.
91
Tabel 3.9: Antecedenten van verdachten van e-fraude voor artikelen die (mogelijk) verband houden met de cybercrimes in deze VCN2009 Aantal verdachten met antecedenten hacken Aantal verdachten met antecedenten mogelijk i.r.t. fraude Aantal antecedenten voor 326 Sr (oplichting) Aantal antecedenten voor 225 Sr (valsheid in geschrift) Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen Aantal antecedenten voor 317 Sr (afpersing) Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien
0 76 71 23 6 6 0 0
De antecedentenanalyse wijst er op dat verdachten van e- fraude ook andere delicten plegen en dus een breder crimineel repertoire hebben dan alleen de fraude. Immers, ze hebben ook frequent antecedenten in andere hoofdgroepen zoals ‘geweld/openbare orde’, ‘geweld tegen personen’ en ‘verkeer’. 42 Wat cybercrime betreft lijken de e- fraudeurs wel redelijk specialistisch: we zien geen antecedenten voor hacken, haatzaaien of kinderporno, wel een paar keer voor afpersing – ook een vermogensdelict dat draait om het verwerven van geld door het manipuleren van het slachtoffer. Relatie verdachte-slachtoffer Van 128 verdachten weten we de relatie met het slachtoffer. Slechts 9 verdachten kenden het slachtoffer (tabel 3.10). In de meeste gevallen waren verdachte en slachtoffer, in tegenstelling tot hackendossiers, dus onbekenden van elkaar (93,0%).
Tabel 3.10: Relatie tussen 128 verdachten en slachtoffers Relatie verdachte en slachtoffer Familie Partner Ex-partner (getrouwd, langdurige relatie) Ex-partner (verkering, kortstondige relatie) Kennis Zakelijk ((ex-)werknemer, zakenrelatie, klant) Zakelijk (student) Onbekende Totaal
n 2 7 0 0 0 0 0 119 128
% 1,6 5,5 0,0 0,0 0,0 0,0 0,0 93,0 100,1
Ook de primaire motivatie van verdachten zegt ons iets over de relatie van de verdachte en het slachtoffer. Van 98 verdachten weten we de primaire motivatie: financieel gewin. Gezien de aard van het delict (fraude) is dat natuurlijk niet vreemd. In andere gevallen is de primaire motivatie onbekend, of claimen de verdachten onschuldig te zijn. Conclusies Volgens de literatuur is voor e- fraudeurs financieel gewin een/de drijfveer. Niet zelden hebben daders antecedenten voor fraude. Verder zijn weinig of geen specifieke daderkenmerken beschreven van e- fraudeurs in het algemeen. Daders die zich toeleggen op fraude met ident i42
Dat kan te maken hebben met het gegeven dat e-fraude-verdachten vooral jonge mannen zijn, en dus behoren tot een groep die relatief veel criminaliteit pleegt.
92
teitsmisbruik beschikken over het geheel genomen over bovengemiddelde technische inzichten en vaardigheden, nodig voor het langs technische weg verwerven van persoonsgegevens. Voorschotfraude wordt vaak gepleegd door West-Afrikanen. Zij werken dan in georganiseerd verband. Van criminele samenwerking is ook sprake bij ‘carding’. Criminele technieken die in verband met e- fraude worden genoemd zijn social engineering, phishing, botnets, i- frame injecties, cross site scripting en spyware. Uit de dossiers volgt op onderdelen een ander beeld. De meeste dossiers uit de dossierstudie gaan niet over voorschotfraude en identiteitsdiefstal, maar over oplichtingen via verkoopsites. Verdachten werken dan meestal alleen en er is, op een enkel dossier na, geen sprake van georganiseerde criminaliteit. Financieel gewin is het motief en verdachte en slachtoffer kennen elkaar in de regel niet. Daders van e- fraude putten uit een vrij beperkt repertoire aan technieken. In bijna alle gevallen is sprake van social engineering. Enkele keren was sprake van phishing. Geregeld is ook sprake van e- fraude met identiteitsmisbruik. Ook werden persoonsgegevens van derden gebruikt om anderen op hun naam op te lichten. Het gaat bij e-fraude over het geheel ge nomen om vrij eenvoudige zaken: de dader plaatst een advertentie of maakt een website of ve rstrekt anderszins informatie die het slachtoffer moet verleiden tot het betalen voor bepaalde goederen of diensten – die vervolgens niet worden geleverd. Kortom, de meeste e-fraudes zijn geen technische hoogstandjes. Hoewel in de literatuur nogal eens aandacht wordt gevraagd voor samenwerkende fraudebendes (Nigerian scam, skimming) is het gros van de fraudes het werk van vrij eenvoudig opererende oplichters. Dat e- fraudeurs zouden beschikken over bovengemiddelde technische inzichten en vaardigheden, zoals in de literatuur wordt beweerd, is ook niet bepaald iets wat uit ons onderzoek naar voren komt. De antecedentenanalyse wijst er op dat verdachten van e-fraude ook andere delicten plegen en dus een breder crimineel repertoire hebben dan alleen de fraude. Een verklaring daarvoor kan zijn dat e- fraude- verdachten vooral jonge mannen zijn, en dus behoren tot een groep die relatief veel criminaliteit pleegt Wat cybercrime betreft lijken de e- fraudeurs wel redelijk specialistisch: we zien geen antecedenten voor hacken, haatzaaien of kinderporno, wel een paar keer voor afpersing – ook een vermogensdelict dat draait om het verwerven van geld door het manipuleren van het slachtoffer. Over de verdachten weten we verder dat zij meestal in Nederland zijn geboren (88,7%), dat zij meestal opereren vanuit Nederland (85,5%), dat het meestal gaat om ma nnen (73,4%) en dat de nadruk ligt op de leeftijdsgroep van 18-34 jaar (78,9%). E-fraude is niet iets voor de leeftijdsgroep van 12-18 jaar en ook niet zozeer voor personen ouder dan 35. Kennelijk zijn personen in de leeftijd van 18-34 jaar optimaal uitgerust voor e-fraude: ze zijn oud genoeg om voldoende sociaal vaardig te zijn voor social engineering en jong genoeg om zich handig te kunnen bewegen in cyberspace. Verdachten zijn veel vaker dan gemiddeld werkloos, ze wonen daarentegen minder vaak dan gemiddeld in een eenpersoonshuishouden. Ze bevinden zich dus niet in een maatschappelijk isolement wat betreft hun woonsituatie, maar wel wat betreft hun arbeidspositie. Het ontbreken van een inkomen uit arbeid zou een (gedeeltelijke) verklaring kunnen zijn voor financieel gewin als hoofdmotief van de verdachten. 3.7 Slachtoffers van e-fraude Inleiding In de literatuur vinden we weinig informatie over de slachtoffers van e-fraude. Het in kaart brengen van slachtoffers was in deze VCN2009 geen hoofddoel, maar de (summiere) gegevens die zijn verkregen uit de analyse van politiedossiers willen we niet negeren; ook zij ze ggen mogelijk iets over de werk- en denkwijze van de verdachten.
93
Van de 314 dossiers e-fraude zijn in ieder geval 17 bedrijven slachtoffer. In de andere 297 dossiers staan individuele slachtoffers (natuurlijke personen). Per dossier kan er maar één slachtoffer zijn. Indien een verdachte meerdere slachtoffers heeft gemaakt moet ieder slachtoffer immers aangifte doen. Iedere aangifte, en ieder slachtoffer is daardoor een nieuw dossier. De analyse hierna betreft alleen de natuurlijke personen. Persoonskenmerken Van 281 van de 297 slachtoffers weten we het geboorteland. Het merendeel van de slachtoffers is in Nederland geboren (90,7%). Andere slachtoffers zijn geboren in andere landen binnen de EU (5,0%) of in landen daarbuiten (4,3%)43 . Er zijn wat meer mannelijke slachtoffers (67,1%) dan vrouwelijke. Het percentage mannen onder slachtoffer van e- fraude is significant hoger dan het Nederlandse gemiddelde (p<0,01) maar wijkt niet significant af van het percentage mannen onder de verdachten van e- fraude (tabel 3.11).
Tabel 3.11: Geslacht van 280 slachtoffers van e-fraude Slachtoffers e-fraude Verdachten e-fraude Geslacht n % n % Man 188 * 67,1 160 73,4 Vrouw 92 * 32,9 58 26,6 Totaal 280 100,0 218 100,0 # Bron: www.cbs.nl, peiljaar 2009. * Significant verschil met Nederlandse bevolking (p<0,01).
Nederlandse bevolking# n % 8.157.074 49,5 8.329.513 50,5 16.486.587 100,0
Van 276 van de 297 slachtoffers weten we de leeftijd. Deze varieert van 14 tot 77 jaar (tabel 3.12). Het merendeel va n de slachtoffers valt in de leeftijdscategorie 18-45 jaar (68,1%). Ten opzichte van de Nederlandse bevolking zijn slachtoffers van e- fraude in de leeftijdscategorie 18-44 jaar oververtegenwoordigd terwijl de leeftijdscategorie 55 jaar en ouder juist ondervertegenwoordigd is (p<0,01). Daarentegen zijn slachtoffers gemiddeld genomen ouder dan de verdachten waarvan zij slachtoffer zijn (p<0,01). Sociale achtergrond Op basis van de dossiers kunnen we niets generieks zeggen over de sociale achtergrond van de slachtoffers; daarvoor staat hierover te weinig in de politiedossiers.
43
Binnen de EU: Duitsland (6), België (3), Engeland (2), Bulgarije, Joegoslavië en Kroatië. Buiten de EU zijn dat: Irak (3), Marokko (3), Colombia, Indonesië, Rusland, Tunesië, Turkije en Uruguay.
94
Tabel 3.12: Leeftijdsopbouw van 276 slachtoffers e-fraude, vergeleken met verdachten van efraude en Nederlanders van 12 jaar en ouder Slachtoffers e-fraude Verdachten e-fraude# Nederlanders 12+ ## Leeftijdscategorie n % n % n % 12 – 17 jaar 18 6,5 10 5,2 1.204.964 8,6 18 – 24 jaar 53 ? * 19,2 89 45,9 1.358.686 9,7 25 – 34 jaar 60 ? * 21,7 64 33,0 2.057.625 14,7 35 – 44 jaar 75 ? * 27,2 20 10,3 2.605.300 18,6 45 – 54 jaar 46 ? 16,7 9 4,6 2.367.997 16,9 55 – 65 jaar 22 ? * 8,0 1 0,5 2.035.580 14,5 65 jaar en ouder 2 * 0,7 1 0,5 2.368. 352 16,9 Totaal 276 100,0 194 100,0 13.998.504 99,9 # Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008); ## Bron: www.cbs.nl, peiljaar 2007. * Significant verschil met Nederlandse bevolking (p<0,01). ? Significant verschil met Verdachten e-fraude (p<0,01). NB: personen onder de 12 jaar hebben we niet meegenomen omdat deze ook niet in HKS staan.
Antecedenten Van 271 van de 297 slachtoffers uit de e-fraude dossiers zijn de antecedenten nagetrokken. Van deze groep hebben 29 slachtoffers (10,7%) in totaal 50 vermeldingen in een hoofdgroep (tabel 3.13). Elke vermelding kan meerdere antecedenten inhouden. De meeste vermeldingen vallen, net zoals bij de verdachten, onder de hoofdgroep ‘vermogen zonder geweld’. Andere hoofdgroepen waarin veel antecedenten voorkomen zijn ‘geweld tegen personen’ en ‘ve rkeer’. Slachtoffers hebben over het geheel genomen minder antecedenten dan verdachten, maar meer dan de gemiddelde Nederlander. Dat laatste kan te maken hebben met dat slachtoffers relatief vaak mannen zijn in de leeftijd van 18-45 jaar.
Tabel 3.13: Antecedenten van 271 slachtoffers van e-fraude, 138 verdachten van e-fraude en van Nederlanders van 12 jaar en ouder (n=14 mlj.): vermeldingen per hoofdgroep Soort antecedent (hoofdgroep)
Slachtoffers e-fraude n
Verdachten efraude n % van 138 2 * 1,4 3 * 2,2 39 * 28,3 18 * 13,0 96 * 69,6 42 * 30,4 35 * 33,7 15 * 10,9 41 * 29,7 104 * 75,4
Nederlanders 12+
% van n % van 271 13.998.504 Gewelddadig seksueel 0 0,0 1.896 0,014 Overig seksueel 0 0,0 2.400 0,017 Geweld tegen personen 9 ? * 3,3 64.914 0,464 Vermogen met geweld 0 ? 0,0 6.622 0,047 Vermogen zonder geweld 14 ? * 5,2 67.689 0,484 Vernieling / openbare orde 3 ? 1,1 49.379 0,353 Verkeer 13 ? * 4,8 62.756 0,448 Drugs 4 ? * 1,5 19.132 0,137 Overige 7 ? 2,6 23.811 1,170 Totaal 29 ? 10,7 2.444.475 1,746 * Significant verschil met Nederlanders 12+ (p<0,01). ? Significant verschil met Verdachten e-fraude (p<0,01). ‘verdachten e-fraude’; **: significant verschil met ‘verdachten e-fraude’ en met ‘Nederlanders 12+’; steeds p<0,01
95
Van de 271 slachtoffers met antecedenten hebben 3 slachtoffers in totaal 4 antecedenten voor artikelen die (mogelijk) verband houden met de cybercrimes in deze VCN2009: drie maal 326 Sr (oplichting) en één maal 225 Sr (valsheid in geschrift). Het opvragen van de dossiers behorend bij de antecedenten, viel buiten het kader van dit onderzoek. We weten derhalve niet of die antecedenten een cybercrime betreffen. De antecedentenanalyse laat zien dat ook slachtoffers antecedenten hebben, weliswaar minder dan de verdachten maar meer dan de gemiddelde Nederlander. Of dat te maken heeft met het feit dat zij slachtoffer van e- fraude zijn, is nog maar de vraag. Waarschijnlijker lijkt dat slachtoffers meer antecedenten hebben dan de gemiddelde Nederlander omdat de slachtoffers vaker dan gemiddeld van het mannelijke geslacht zijn en vaker dan gemiddeld behoren tot de leeftijdsgroep van 18-45 jaar. Schade Bij 240 slachtoffers was er sprake van materiële schade, in de overige dossiers stond niet in het dossier vermeld of en hoeveel materiële schade er was. Het gaat om bedragen tussen de 12 en 67.224 euro. In verreweg de meeste gevallen lag de schade onder de 500 euro (tabel 3.14). Naast het financiële aspect had het delict weinig impact op de slachtoffers. Wel was het ve rtouwen van een aantal slachtoffers om via internet goederen te kopen geschaad. Van de 35 bedrijven die slachtoffer waren weten we van 10 bedrijven de materiële schade, de schadebedragen liggen tussen de 50 en 40.500 euro (tabel 3.14).
Tabel 3.14 Schade van 240 individuen en 10 bedrijven Hoogte schade 1 – 100 100 – 500 500 – 1.000 1000 - 5000 5000 – 10.000 10.000 of meer Totaal
Aantal natuurlijke personen 77 112 21 22 4 4 240
Aantal bedrijven 0 1 1 0 5 3 10
3.8 Omvang Inleiding Om enig zicht te krijgen op de omvang van de cybercrime e- fraude, namen we een steekproef van meldingen en aangiften om te zien in hoeveel gevallen er in de politieregistratie sprake is van e- fraude (Domenie e.a., 2009). Ook hielden we een slachtofferenquête onder internetters in Friesland. Daarnaast hebben we in de literatuur gekeken naar cijfers over de criminele technieken die gebruikt worden bij e- fraude.
96
Uit de dossierstudie We onderzochten in de korpsen Hollands-Midden en Zuid-Holland-Zuid welk deel van het bij de politie geregistreerde werkaanbod cybercrime betreft (Domenie e.a., 2009). Van alle in deze regio’s in 2007 geregistreerde zaken betreft tussen de 0,3 en 0,9 procent cybercrime. Ongeveer de helft van de dossiers inzake cybercrime betreft e- fraude: in Hollands-Midden was dat 51,4 en in Zuid-Holland-Zuid 48,6 procent (in een steekproef van 10 procent van alle dossiers uit 2007). Het aandeel van hackendossiers was 6,9 procent in Hollands-Midden en 4,3 procent in Zuid-Holland-Zuid. E- fraude komt dus ongeveer tien maal zo vaak in de politiedossiers voor als hacken. Maar over de gehele politieregistratie gezien maken e- fraudedossiers nog steeds slechts een fractie uit van het totaal bij de politie geregistreerde zaken (ruw geschat op basis van bovenstaande gegevens: zo’n 50% van 0,6%, is 0,3%). Deze dossierstudie in twee korpsen geeft zicht op de omvang van de door de politie geregistreerde cybercrime. Daaruit is echter bezwaarlijk iets af te leiden over hoe vaak die vorm van criminaliteit werkelijk voorkomt. Uit de slachtofferenquête onder burgers We hielden in november 2008 (via vraaghetdevries.nl) een slachtofferonderzoek onder Friese internetgebruikers. In totaal zijn 1.246 Friese internetgebruikers ondervraagd. Daarvan geven 28 respondenten aan wel eens slachtoffer te zijn geweest van e- fraude (2,2%). De helft van hen de laatste keer in 2007 of 2008. Eén van de slachtoffers (3,6%) heeft aangifte gedaan bij de politie. De respondenten is ook gevraagd of zij wel eens een poging tot e- fraude hebben meegemaakt. In totaal me lden 126 internetters (10,1%) dat zij wel eens een poging tot efraude hebben meegemaakt. Daarvan meldde 91 personen (7,3% van totaal) dat de laatste poging plaatsvond in 2007 of 2008. Op de vraag op welke manier iemand geprobeerd heeft hen op te lichten via internet worden de meest uiteenlopende antwoorden gegeven, zoals: poging tot achterhalen van bankgegevens / creditcardgegevens, met behulp van social engineering, door middel van phishing, spam voor goede doelen, lotto-scams en gratis reizen. Uit de literatuur In de literatuur vinden we weinig concrete gegevens over de omvang van e- fraude. Het Internet Crime Complaint Centre (www.ic3.gov) geeft enig inzicht in de situatie in Amerika. Tussen 1 januari 2007 en 31 december 2007 heeft het IC3 206.884 meldingen van fraude gekregen. Dit aantal is ongeveer gelijk aan het aantal meldingen over 2006, dat waren er 207.492 (een vermindering van 0,3 procent). Het gaat om het totaal aantal meldingen dat is binnengekomen bij dit meldpunt, er is hierbij niet beoordeeld of de melding terecht was. De gemiddelde schade bedroeg 680 dollar. De meeste meldingen hadden te maken met fraude op veilingwebsites (36%) en het niet leveren van via internet bestelde goederen (25%). We kunnen uit deze gegevens niet iets afleiden over de omvang van e- fraude in Nederland. Over voorschotfraude is bekend dat er in 2002 in Amsterdam zo’n zes à zeven georganiseerde groepen actief waren die zich, naast fraude, ook bezighielden met onder meer vrouwenhandel, verdovende middelen en geweldsmisdrijven (Van der Werf, 2003). Over de omvang van het e-fraude probleem, zegt dit echter weinig. Uit het NDB2008 blijkt dat er in de periode tussen 1 oktober 2006 en 1 november 2007 in totaal 175 meldingen van voorscho tfraude zijn binnengekomen (Boerman e.a., 2008). Een politieonderzoek naar deze meldingen resulteerde in 2.536 personen die als slachtoffer konden worden aangemerkt. Het aantal gevallen van voorschotfraude is volgens het NDB2008 echter veel groter dan het aantal meldingen. De Bovenregionale Recherche schat dat maar vijf tot tien procent van alle slachtoffers aangifte doet van voorschotfraude (Boerman e.a., 2008). Over de omvang van identiteitsdiefstal, volgens het KLPD een snel groeiende vorm van cybercrime (KLPD-DNR, 2007a), is evenmin veel bekend. Onderzoeken laten zien dat
97
tussen de 3 en 5 procent van de phishing-aanvallen daadwerkelijk leiden tot het stelen van persoonlijke informatie (Stamm e.a., 2006; Ollmann, 2004). Uit cijfers van het Amerikaanse Anti Phishing Workgroup (APWG) blijkt verder dat het aantal phishing websites weliswaar sinds december 2007 is afgenomen, maar dat het aantal klachten over dergelijke sites juist is toegenomen. Ook het aantal unieke keyloggers, een criminele techniek om persoonlijke informatie te stelen (zie bijlage 8), nam volgens de APWG toe met 1,4 procent ten opzichte van oktober 2007. Ten slotte blijkt dat in de meeste gevallen (92,4 procent) de financiële sector doelwit is van phishers (APWG, 2008). Zie ook bijlage 9. Volgens he t NDB2008 vertoont het aantal aangiftes en meldingen in Nederland een lichte stijging: 15 in 2005, 25 in 2006 en 27 in de eerste 10 maanden van 2007 (Boerman e.a., 2008). Over het totale aantal slachtoffers zegt dit echter niet veel. Burgers die slachtoffer zijn geworden van phishing richten zich volgens het NDB2008 in eerste instantie tot hun bank of creditcardmaatschappij die hen dan schadeloos stellen. De noodzaak om daarna aangifte te doen ontbreekt. Als slachtoffers wel aangifte doen, is dit in de registratie vaak niet als phishing herkenbaar (zie ook Domenie e.a., 2009). Volgens banken en creditcardmaatschappijen in Nederland, zouden zij in 2006 met ongeveer 100 ‘phishingcampagnes’ zijn geconfronteerd (Boerman e.a., 2008). Verder zijn door het team High Tech Crime van de Dienst Nationale Recherche in 2007 twee opsporingsonderzoeken verricht naar phishing (ibidem). Uit de dossierstudie blijkt ook dat slechts een klein deel van de aangiften van e-fraude gaat over identiteitsdiefstal door phishing. De meeste zaken gaan over het wel betalen maar niet leveren van goederen via verkoopsites. Ook de meeste meldingen van e-fraude bij het Internet Crime Complaint Centre gaan over dergelijke fraude en niet over phishing- websites. Een reden hiervoor kan zijn dat gebruikers niet meteen door hebben dat ze slachtoffer zijn geworden van een cybercrimineel die met behulp van een phishing website aan persoonlijke informatie van het slachtoffers is gekomen. De phishing websites zijn immers gemaakt om een gebruiker te doen geloven dat zij op een legitieme website te zijn. Zodra een cybercrimineel de verkregen gegevens echter gebruikt om e- fraude te plegen merkt het slachtoffer dit wel degelijk. De vraag is of het slachtoffer dan nog weet hoe de dader aan zijn of haar persoonlijke gegevens is gekomen. Kortom, we weten dat e- fraude geregeld voorkomt, maar het is niet eenvoudig om zicht te krijgen op de werkelijke omvang van het probleem. De aangiftebereidheid schijnt laag. Een slachtofferenquête in Nederland ontbreekt. 3.9 Trends Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie is een momentopname en daaruit kunnen we geen trends afleiden. E- fraude middels phishing wordt wel beschouwd als een van de snelst groeiende vormen van niet-gewelddadige criminaliteit (Rogers, 2006, aangehaald in Van der Hulst en Neve, 2008). In het Nationaal Dreigingsbeeld 2008 (KLPD, 2008) is phishing gekwalificeerd als ‘voorwaardelijke dreiging’ (zie ook paragraaf 2.9). ‘Voorwaardelijk’, want volgens het KLPD is er geen dreiging als de beveiliging van computersystemen op het huidige hoge niveau wordt gehandhaafd. Daders zullen hun praktijken dan uitoefenen in landen waar de beveiliging minder goed is geregeld. Wel waardeert het KLPD voorschotfraude als een concrete dreiging. Voorschotfraude zal zich blijven voordoen, het is een vorm van georganiseerde criminaliteit, en het heeft ernstige gevolgen voor de Nederlandse samenleving, aldus het KLPD. De Vries e.a. (2007) constateren aan de hand van gegevens van het Maatschappelijk Overleg Betalingsverkeer (MOB) dat e-fraude tegen consumenten, organisaties en banken in 2005 is toegenomen. Volgens de MOB zorgen discussies in de media en de politiek er voor dat er verwarring bestaat over de risico’s, betrouwbaarheid en de rol van de ve rschillende stakeho lders met betrekking tot identiteitsfraude. Verder zegt het MOB dat de financiële schade be-
98
perkt lijkt door een effectieve beveiliging van het elektronische betalingsverkeer en het beperkte gebruik van creditkaarten in Nederland. De verwachting is echter dat identiteitsdiefstal (en daardoor e- fraude) de komende jaren grote aantallen slachtoffers en financiële schade zullen aanrichten (Taylor e.a., 2006). Een aantal elementen speelt hierbij een rol: − Groei e-commerce. De groei van e-commerce en de toenemende virtuele geldstromen maakt het voor criminelen aantrekkelijker om zich bezig te houden met e-fraude (Taylor e.a. 2006). − Hoge snelheden en permanente verbindingen. De hoge ADSL-dichtheid, waarbij computers vrijwel permanent in verbinding staan met het internet, maakt vooral Nederland een zeer aantrekkelijk werkterrein voor phishers. (Van der Hulst en Neve, 2008). − Vernieuwing aanvalstechnieken. Aanvalstechnieken worden constant vernieuwd (Watson e.a., 2005). Cybercriminelen verzinnen steeds nieuwe manieren om hun (phishing)aanvallen succesvol te laten zijn (Govcert.nl, 2007). Dit is bijvoorbeeld te zien aan de hoeveelheid varianten van phishing (vishing, smishing, pharming, et cetera) en het gebruik van stealth malware (of rootkits), malware die zich onzichtbaar en zonder sporen na te laten in een computer nestelt (AusCert, 2006). Een andere belangrijke ontwikkeling op het gebied van phishing zijn man- in-the- middle phishing aanvallen waarbij authenticatiegegevens die de klant opgeeft door de cybercrimineel direct worden doorgespeeld aan de bank. Deze manier van phishing maakt het mogelijk ook toegang te krijgen tot websites die beschermd zijn op basis van two factor authentification (Govcert.nl, 2007). Ten slotte zal, aldus Govcert, de komende jaren door het gebruik van social engineering steeds meer ingespeeld worden op sociale evenementen en op persoonlijke interesses. Voorbeelden zijn de Olympische Spelen, het EK voetbal en grote rampen (FBI/IC3, 2008, Websense, 2007). − Toename zwakke plekken. De ontwikkeling van Web2.0 toepassingen zorgt voor een toename van het aantal zwaktes in de beveiliging (Computer Security Institute, 2007: 26, Finjan, 2007). Daarnaast blijken criminelen het internet te gebruiken om ervaringen, advies, werkwijzen en technieken met elkaar uit te wisselen (onder andere via IRC en openbare internetforums). Complete phishing kits met uitgebreide instructies en technieken om internetgebruikers op te lichten (inclusief kant-en-klare e- mailberichten, e-maillijsten en nepwebsites) zijn, aldus de politie, tegen betaling online verkrijgbaar (KLPD, DNRI, 2007c). De nieuwste trend op het gebied van voorschotfraude is dat Nigeriaanse internetoplichters gedupeerden (die eerder al grote geldbedragen zijn ontfutseld) opnieuw benaderen maar ditmaal door zich voor te doen als politieambtenaar die het slachtoffer wil helpen verloren geld terug te krijgen. De schade per slachtoffer varieert van een paar duizend tot miljoenen euro’s (www.justitie.nl). 3.10 Resumé Fraude staat niet onder die noemer in het Wetboek van Strafrecht ; meestal is sprake van oplichting (art. 326 Sr) en/of valsheid in geschrift (art. 225 Sr). E- fraude is bedrog met als oogmerk het behalen van financieel gewin waarbij ICT essentieel is voor de uitvoering. Verschijningsvormen van e- fraude zijn: handel in valse goederen, valse financiële transacties, waaronder veilingfraude en voorschotfraude, en marktmanipulatie. E-fraude kan gepleegd worden met of zonder identiteitsmisbruik. Identiteitsmisbruik is het aannemen van een andere dan de eigen digitale identiteit, met het oogmerk om daarmee oneigenlijk financieel voordeel te behalen. Aan identiteitsmisbruik gaat weer vooraf het maken van de valse identiteit. Dat kan door identiteitsdiefstal, identiteitscreatie en identiteitsdelegatie.
99
E-fraude in combinatie met identiteitsmisbruik wordt door diverse auteurs als één van de snelst groeiende vormen van niet gewelddadige criminaliteit beschouwd. De dader bemachtigt eerst andermans identiteitsgegevens en gebruikt die voor het onder een dekmantel plegen van de fraude. Voor het bemachtigen van de persoonlijke gegevens kan social engineering dienen of hacken (art. 138a lid 1 Sr) in combinatie met criminele technieken zoals Iframe injecties, cross site scripting, phishing en pharming. Volgens de literatuur zijn er georganiseerde groeperingen actief in e-fraude, speciaal in geval van carding en voorschotfraude. Bij dat laatste gaat het om West-Afrikanen die wereldwijd in groepsverband werken en slachtoffers voor grote bedragen oplichten. De primaire motivatie van e-fraudeurs is financieel gewin. Over de daders van e- fraude is verder weinig bekend. Daders die zich toeleggen op fraude met identiteitsmisbruik beschikken over het geheel genomen over bovengemiddelde technische inzichten en vaardigheden, want die zijn nuttig voor het langs technische weg verwerven van persoonsgegevens. Ook kunnen ze beschikken over kennis van betaalsystemen, bijvoorbeeld door hun arbeidsverleden. Uit de analyse van politiedossiers volgt op diverse onderdelen een ander beeld dan uit de literatuur. De meeste dossiers uit de dossierstudie gaan niet over voorschotfraude en ident iteitsdiefstal maar over oplichtingen via verkoopsites. E-fraude heeft in de regel geen verbanden met andere (cyber)crimes. Voor zover dat wel het geval is, zijn er verbanden met diefstal van identiteitsgegevens (vooral digitaal maar ook niet-digitaal) en soms ook met hacken. Deze delicten zijn dan een middel om te komen tot de e-fraude. Het is niet ondenkbaar dat hacken en diefstal van identiteitsgegevens vaker ten grondslag liggen aan e- fraude dan we kunnen opmaken uit de dossiers. Slachtoffers weten immers niet altijd dat ze gehackt zijn en of (en waar en hoe) hun identiteit gestolen is. De politie lijkt ook niet op zoek naar de meer technische strafbare feiten die de verdachte pleegde om tot de uiteindelijke fraude te komen. Alles met elkaar komt e- fraude overwegend naar voren als een nogal op zichzelf staande criminaliteitsvorm: een misdrijf waarheen wel voorbereidingshandelingen leiden maar van waar geen lijnen lopen naar andere criminaliteit. E-fraudeurs werken in de meeste gevallen alleen en er is, op een enkel dossier na, geen sprake van georganiseerde criminaliteit. Financieel gewin is blijkens de dossiers het centrale motief. Daders van e-fraude putten uit een vrij beperkt repertoire aan technieken. In bijna alle gevallen is sprake van social engineering. Enkele keren was sprake van phishing. Geregeld gaat het in de dossiers om e- fraude met identiteitsmisbruik. Ook werden persoonsgege vens van derden gebruikt om anderen op hun naam op te lichten. Het gaat bij e- fraude over het geheel genomen om vrij eenvoudige zaken: de dader plaatst een advertentie of maakt een webiste of verstrekt anderszins informatie die het slachtoffer moet verleiden tot het betalen voor bepaalde goederen of diensten – die vervolgens niet worden geleverd. Kortom, de meeste efraudes zijn geen technische hoogstandjes. Hoewel in de literatuur nogal eens aandacht wordt gevraagd voor samenwerkende fraudebendes (Nigerian scam, skimming) is het gros van de fraudes het werk van vrij eenvoudig opererende oplichters. Dat e- fraudeurs zouden beschikken over bovengemiddelde technische inzichten en vaardigheden, zoals in de literatuur wordt beweerd, is ook niet bepaald iets wat uit ons onderzoek naar voren komt. De antecedentenanalyse wijst er op dat verdachten van e-fraude ook andere delicten plegen en dus een breder crimineel repertoire hebben dan alleen de fraude. Dat kan wellicht worden verklaard uit de bevinding dat de meeste verdachten man zijn en relatief jong – en dus behoren tot de groep van personen die relatief vaak delicten plegen. Wat cybercrime betreft lijken de e- fraudeurs wel redelijk specialistisch: we zien geen antecedenten voor hacken, haatzaaien of kinderporno, wel een paar keer voor afpersing – ook een vermogens delict dat draait om het verwerven van geld door het manipuleren van het slachtoffer. Over de verdachten weten we verder dat zij meestal in Nederland zijn geboren, dat zij meestal opereren vanuit Nederla nd, dat het meestal gaat om mannen en dat de nadruk ligt op
100
de leeftijdsgroep van 18-35 jaar. E- fraude is niet iets voor de leeftijdsgroep van 12-18 jaar en ook niet zozeer voor personen ouder dan 35. Kennelijk zijn personen in de leeftijd van 18-34 jaar optimaal uitgerust voor e- fraude: ze zijn oud genoeg om voldoende sociaal vaardig te zijn voor social engineering en jong genoeg om zich handig te kunnen bewegen in cyberspace. Verdachten zijn veel vaker dan gemiddeld werkloos, ze wonen daarentegen minder vaak dan gemiddeld in een eenpersoonshuishouden. Ze bevinden zich dus niet in een maatschappelijk isolement wat betreft hun woonsituatie, maar wel wat betreft hun arbeidspositie. Het ontbreken van een inkomen uit arbeid zou een (gedeeltelijke) verklaring kunnen zijn voor financieel gewin als hoofdmotief. Slachtoffers van e- fraude zijn wat vaker man dan vrouw en ze behoren meer dan gemiddeld tot de leeftijdsgroep 18-45 jaar. Over de sociale achtergrond van slachtoffers (zoals woon- en arbeidssituatie) bevatten de dossiers geen informatie. De financiële schade lag in verreweg de meeste gevallen onder de 500 euro. Fraude komt zo’n tien maal vaker voor in de politiedossiers dan hacken. Over de maatschappelijke omvang van e- fraude is weinig met zekerheid te zeggen. We weten uit eigen onderzoek dat 2,2 procent van 1.246 ondervraagde Friezen slachtoffer was van e-fraude in de afgelopen twee jaar. Slechts één van de slachtoffers deed aangifte (3,6%). Dat wijst op een hoog dark number. De verwachting is dat e-fraude met identiteitsmisbruik de komende jaren grote aantallen slachtoffers en financiële schade zal aanrichten (Taylor e.a., 2006). Het KLPD (2008) ziet met name voorschotfraude als een concrete dreiging voor de komende vier jaar.
101
4. Cyberafpersen 4.1 Inleiding Afpersen is het verkrijgen van geld of goederen van een persoon of organisatie door dreiging en/of geweld (Morris, 2004:15). Dat gebeurt sinds mensenheugenis, denk bijvoorbeeld aan het betalen van protectiegelden aan de maffia of van losgeld voor een ontvoerde. Cyberafpersing is afpersen waarbij ICT essentieel is voor de uitvoering. De middelen die voor cyberafpersen worden gebruikt zijn technologisch, zoals het creëren van botnets, uitvoeren van DDoS-aanvallen, defacen van websites en het stelen van informatie uit digitale systemen – of het dreigen met één van die activiteiten. Bednarski (2004) ziet cyberafpersing als een compleet nieuwe bedreiging voor kleine en middelgrote organisaties. Cyberafpersing combineert volgens Bednarski het binnendringen in computers, het vernietigen en wijzigen van data, social engineering, en het bang maken van slachtoffers. Doordat steeds meer bedrijven gebruik maken van internet, wordt de economische sector daarvan steeds afhankelijker. Niet alleen websites van bedrijven kunnen doel zijn van cyberafpersen, maar ook de ICT-systemen die gekoppeld zijn aan internet. Deze systemen he rbergen vaak enorme hoeveelheden (bedrijfs)informatie en klantgegevens. Deze informatie is vaak niet openbaar en openbaarmaking kan het vertrouwen van consumenten in een bedrijf schaden. De toenemende afhankelijkheid van internet zou gepaard moeten gaan met een betere ICT-beveiliging. Uit verschillende bronnen kunnen we echter concluderen dat dit niet altijd het geval is. Slecht beveiligde computersystemen, voornamelijk van particulieren, worden bijvoorbeeld door criminelen gehackt en omgebouwd tot botnets (zie bijlage 3) die op commando aan aanvallen kunnen deelnemen (Federale Politie, 2005). Bedrijven denken dat de risico’s wel meevallen en scharen zichzelf in de categorie bedrijven die weinig risico lopen. Zo blijkt uit onderzoek van Bednarski (2004) naar cyberafpersing van Amerikaanse bedrijven dat 60 procent van de respondenten hun eigen bedrijf in de categorie ‘laag risico’ inschaalt, terwijl ‘many organizations actually lack the necessary information security policies and princ iples to ensure they actually are in a low risk category.’ (2004:4). In de criminologische literatuur is bekend dat mensen het risico dat zij lopen lager inschatten dan de feitelijke omvang van dat risico (Stol en Van Wijk, 2008). Om zichzelf te kunnen beschermen tegen cyberafpersing moeten organisaties iets weten over de achtergrond van deze misdaad, het kennisniveau is echter beperkt (Bednarski, 2004). In dit hoofdstuk behandelen we eerst de strafbaarstelling en verschijningsvormen van cyberafpersen (respectievelijk paragraaf 4.2 en 4.3). Vervolgens beschrijven we de verbanden die deze cybercrime heeft met andere vormen van (cyber)criminaliteit (paragraaf 4.4), beha ndelen we de kenmerken van verdachten (4.5) en gaan we dieper in op de slachtoffers (4.6). In paragraaf 4.7 kijken we naar de omvang van deze cybercrime. Ten slotte komen in paragraaf 4.8 trends aan bod en in paragraaf 4.9 volgt een resumé van dit hoofdstuk. 4.2 Strafbaarstelling Afpersing is strafbaar gesteld in artikel 317 Sr (figuur 4.1). In de wettekst is te zien dat afpersen langs twee wegen betrekking kan hebben op de digitale wereld. Ten eerste kan iemand met geweld of dreiging met geweld worden gedwongen tot ‘het ter beschikking stellen van gegevens’. Ten tweede kan de dwang die de afperser gebruikt bestaan uit ‘de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.’ Op het delict zijn de verzwarende omstandigheden van artikel 312 Sr van toepassing (figuur 4.2).
102
Figuur 4.1: Artikel 317 Sr: afpersing, (i.w.tr. 16-06-2004) 1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door geweld of bedreiging met geweld iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens, wordt, als schuldig aan afpersing, gestraft met gevangenisstraf van ten hoogste negen jaren of geldboete van de vijfde categorie. 2. Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist. 3. De bepalingen van het tweede en derde lid van artikel 312 zijn op dit misdrijf van toepassing.
Figuur 4.2: Artikel 312 Sr lid 2 en 3: diefstal met geweld (i.w.tr. 10-08-2004) 2. Gevangenisstraf van ten hoogste twaalf jaren of geldboete van de vijfde categorie wordt opgelegd: 1°. indien het feit wordt gepleegd hetzij gedurende de voor de nachtrust bestemde tijd in een woning of op een besloten erf waarop een woning staat; hetzij op de openbare weg; hetzij in een spoortrein die in beweging is; 2°. indien het feit wordt gepleegd door twee of meer verenigde personen; 3°. indien de schuldige zich de toegang tot de plaats van het misdrijf heeft verschaft door middel van braak of inklimming, van valse sleutels, van een valse order of een vals kostuum; 4°. indien het feit zwaar lichamelijk letsel ten gevolge heeft; 5°. indien het feit wordt gepleegd met het oogmerk om een terroristisch misdrijf voor te bereiden of gemakkelijk te maken. 3. Gevangenisstraf van ten hoogste vijftien jaren of geldboete van de vijfde categorie wordt opgelegd, indien het feit de dood ten gevolge heeft.
Indien geen sprake is van geweld of dreigen daarmee, kan sprake zijn van afdreiging (art. 318 Sr, fig. 4.3). Bij afdreigen staat centraal de dreiging met smaad, smaadschrift of de openbaarmaking van een geheim, zoals het geval kan zijn bij het dreigen met openbaarmaking van bedrijfsgegevens die zijn verkregen na een hack. Verder kan in geval van een afpersingszaak bedreiging van toepassing zijn (art. 285 Sr, fig. 4.4) als de verdachte dreigt met bijvoorbeeld het hacken en onklaar maken van een computersysteem dat is bestemd voor de verlening van maatschappelijke diensten. Figuur 4.3: Artikel 318 Sr: afdreiging ( i.w.tr. 01-02-2006) 1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. 2. Dit misdrijf wordt niet vervolgd dan op klacht van hem tegen wie het gepleegd is.
103
Figuur 4.4: Artikel 285 Sr: bedreiging, (i.w.tr. 01-09-2006) 1. Bedreiging met openlijk in vereniging geweld plegen tegen personen of goederen, met geweld tegen een internationaal beschermd persoon of diens beschermde goederen, met enig misdrijf waardoor gevaar voor de algemene veiligheid van personen of goederen of gemeen gevaar voor de verlening van diensten ontstaat, met verkrachting, met feitelijke aanranding van de eerbaarheid, met enig misdrijf tegen het leven gericht, met gijzeling, met zware mishandeling of met brandstichting, wordt gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie. 2. Indien deze bedreiging schriftelijk en onder een bepaalde voorwaarde geschiedt, wordt ze gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie. 3. Bedreiging met een terroristisch misdrijf wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.
Naast de artikelen 317, 318 en 285 Sr kunnen nog meer artikelen van toepassing zijn in geval van een cyberafpersing. Deze artikelen staan in verband met de criminele technieken die wo rden gebruikt. Er zal voor het toepassen van de criminele technieken veelal moeten worden ingebroken in computersystemen (zie ook hoofdstuk 2). Dat is strafbaar gesteld in artikel 138a Sr (computervredebreuk). Indien er opzettelijk dan wel door schuld een geautomatiseerd werk wordt vernield, dan kunnen de artikelen 161sexies en 161septies Sr van toepassing zijn en indien er gegevens worden vernield, de artikelen 350a en 350b Sr. 4.3 Verschijningsvormen cyberafpersen Inleiding In de literatuur worden verschillende verschijningsvormen van cyberafpersen benoemd (Van der Hulst en Neve, 2008; Van Leiden e.a., 2007; McAfee, 2007; McAfee, 2005; Bednarski 2004; William e.a., 2002). Het gaat om: (1) dreiging, (2) beschadiging en verstoring, (3) shaming en (4) protectie. We bespreken deze hierna. Uiteraard zijn de verschillende verschijningsvormen in de praktijk niet altijd zuiver van elkaar te scheiden. In één cybercrime kan sprake zijn van verschillende vormen die in samenhang worden gebruikt en daardoor in elkaar overlopen. Dreiging Bij dreiging gaat het bijvoorbeeld om dreigen met het ontoegankelijk maken van websites door een Distributed Denial of Service Attack (DDoS-aanval, zie bijlage 4). Veel bedrijven zijn tegenwoordig (ten dele) afhankelijk van internet. De website van een bedrijf fungeert niet alleen als uithangbord maar er vindt ook dienstverlening plaats en er worden producten ve rkocht. Het ontoegankelijk maken van een dergelijke website kan voor die bedrijven dus een grote schadepost opleveren. In het bijzonder online bedrijven, zoals on- line gokbedrijven, verkoopsites als marktplaats.nl en on-line winkels als de Wehkamp, zijn hiervoor gevoelig. Naast het dreigen met het ontoegankelijk maken van een website kan ook het veranderen (defacing, zie bijlage 5) van een website een bedreiging voor een bedrijf zijn. Gedacht kan wo rden aan het plaatsen van informatie die het bedrijf schade kan toebrengen.
104
Beschadiging en verstoring Hierbij valt te denken aan het beschadigen van essentiële gegevens en het verstoren van industriële productiesystemen. Beschadigingen of verstoringen kunnen veroorzaakt worden door de uitvoering van DDoS-aanvallen, virussen, wormen met malware of het inbreken in (hacken van) een computersysteem. Uit rapporten van McAfee (2005) blijkt dat DDoS-aanvallen wel worden uitgevoerd met botnets. Onbekend is echter op wat voor schaal dit gebeurt. Shaming Dit betreft het openbaar maken van gevoelige informatie welke verkregen is middels hacken. Het kan gaan om informatie over personen, zoals compromiterend beeldmateriaal, of om informatie over bedrijven (zoals klantgegevens). De cyberafpersing bestaat er dan uit dat het slachtoffer de openbaarmaking kan voorkomen door in te gaan op de eisen van de dader. Protectie Het aanbieden van ‘bescherming’ tegen bijvoorbeeld DDoS-aanvallen of andere acties van hackers. Dit is de digitale variant van het klassieke ‘beschermingsgeld’. Een hacker kan tegen betaling aanbieden om door hem zelf gevonden lekken in computersystemen te dichten. Of deze lekken nu wel of niet bestaan, de angst voor een computerinbraak zorgt er volgens Van Leiden e.a. (2007) voor dat bedrijven snel geneigd zijn in te gaan op zo’n aanbod tot ‘bescherming’. Volgens McAfee (2007) worden sommige internetbedrijven gedwongen om zich te laten beschermen tegen internetaanvallen, alleen zijn de honkbalknuppels vervangen door botnets. Hoewel deze recente vorm van afpersing vooralsnog met name in het buitenland wordt gesignaleerd, komen volgens Van Leiden e.a. (2007) gevallen van cyberafpersing inmiddels in elk land voor. 4.4 Verbanden van cyberafpersen met andere crimes Inleiding: over de analyse In deze paragraaf gaan we op basis van de dossierstudie in op verbanden tussen cyberafpersen en andere vormen van cybercrime. We bekijken eerst onder welke titel de politie de hackendossiers heeft geregistreerd. Daarna beschrijven we de verbanden met andere (cyber)criminaliteit die we zelf tijdens de nadere analyse in de tekst van de dossiers tege nkwamen. Ten slotte bekijken we welke wetsartikelen de politie aan het dossier heeft toegekend. Als aan het dossier behalve artikel 317 Sr (afpersing) bijvoorbeeld ook artikel 138a Sr (hacken) is gekoppeld, wijst dat op een verband tussen deze twee delicten. De dossiers We selecteerden in eerste aanleg 57 dossiers (zie hoofdstuk 1). Bij nadere bestudering bleek dat 6 dossiers onbruikbaar waren voor verdere analyse: 4 bevatten alleen een melding en geen aangifte, in 1 dossier bleek de aangifte vals, en 1 dossier bevatte verhoren die in een andere zaak thuis hoorden. Van de resterende dossiers betroffen er 28 geen cybercrime, en nog eens 10 dossiers betroffen een andere cybercrime dan afpersen. In deze analyse gaan we uit van de resterende 13 dossiers cyberafpersen. Het geringe aantal dossiers zegt iets over het delict: het komt heel weinig voor of slachtoffers doen bijna nooit aangifte, of een combinatie van die twee. Het geringe aantal dossiers betekent verder dat een kwantitatieve analyse niet tot de mogelijkheden behoort.
105
Onder welke titel (‘beschrijving’) staat het dossier geregistreerd Een eerste manier om te bepalen welke verschijningsvormen cyberafpersen heeft en of er dwarsverbanden zijn met andere cybercrime, is het analyseren van de beschrijvingen waaronder de dossiers in de politiesystemen zijn geregistreerd. We selecteerden de dossiers niet op de titel waaronder het dossier in de politieadministratie is opgenomen maar op de inhoud van het dossier. Welke titel of ‘beschrijving’ de behandelend agent aan het betreffende dossier geeft, zegt iets over hoe die agent naar de zaak kijkt: wat voor hem of haar de essentie er van is. De agent moet tijdens het registreren de ‘beschrijving’ kieze n uit een vaste lijst die het systeem aanbiedt. We maken in eerste aanleg onderscheid tussen de drie basisprocessensystemen (tabel 4.1) omdat de registratiesystematiek in de drie systemen niet identiek is. Daarna voegen we de systemen samen (‘totaal’ in tabel 4.1) door overeenkomstige beschrijvingen samen te nemen. Van de 13 dossiers staan er 10 geregistreerd onder een omschrijving die duidt op afpersing. In 3 gevallen is dat anders omdat daar de cyberafpersing slechts één van de criminele activiteiten van de verdachte is (zgn. meerdaadse samenloop). Twee maal houdt de afpersing blijkens de beschrijvingen verband met problemen tussen de seksen, en één maal met problemen vanwege drugs.
Tabel 4.1: Titels (‘beschrijving’) waaronder de 13 cyberafpersingdossiers zijn geregistreerd n44
Beschrijving BPS Bedreiging Chantage / afdreiging Afpersing internet Aanranding c.q. verleiding minderjarige Harddrugs Man/vrouw mishandeling / geweld in relatiesfeer Totaal XPOL Bedreiging Chantage/afpersing Totaal GENESYS Afpersing Totaal TOTAAL Chantage / afdreiging / afpersing Bedreiging Afpersing internet Aanranding c.q. verleiding minderjarige Harddrugs Man/vrouw mishandeling / geweld in relatiesfeer Totaal
2 2 1 1 1 1 8 2 2 4 1 1 5 4 1 1 1 1 13
Verbanden blijkens de inhoudsanalyse In alle dossiers hebben we op grond van de tekst beoordeeld of er verbanden zijn met andere (cyber)criminaliteit (tabel 4.2). In drie van de dertien dossiers is er alleen sprake van cyberafpersen en zien we dus geen verband met een andere (cyber)crime. Het ging in deze zaken om het dreigen met openbaar maken van gevoelige informatie. In die dossiers moest het slachtof44
Omdat er weinig cyberafpersingdossiers zijn percenteren we niet.
106
fer geld betalen, anders zou de verdachte bepaalde gevoelige informatie, zoals seksueel getinte foto’s, openbaar maken (casus 4.1 en 4.2). Overigens kwam in een dossier dat we selecteerden als ‘hacken’ (hoofdstuk 2) een zaak voor waar niet een persoon maar een bedrijf werd afgeperst middels het dreigen met en uitvoeren van een DDoS-aanval (casus 2.6).
Casus 4.1: Cyberafpersen Op [datum] ben ik via mijn computer in contact gekomen met een SM meesteres, luisterend naar de naam VE1. Na het eerste contact heb ik haar toestemming gegeven om foto's van een eventuele sessie met mij te publiceren op haar website. Een afspraak voor die sessie is tot op heden nog niet gemaakt. Op [datum] heb ik een foto van mij naar haar gemaild. Dit betrof een naaktfoto, zoals VE1 dat wenste. De foto is gemaakt in een generende houding, met mij in een pervers seksueel standje. Op basis van haar reactie ga ik er van uit dat zij die foto heeft ontvangen. Op [datum] kreeg ik namelijk om 14.32 uur een mail van VE1, waarin ze me dreigde om deze foto naar mijn buren en familie te sturen als ik niet binnen 10 dagen 1000 euro over zou maken. Tevens noemde ze ook de beide namen van mijn buren. Ik had dit niet verwacht. Ik zit vaker op sekssites en heb daar tot op heden goede ervaringen mee gehad. Ik ben nu bang dat mijn goede naam in [plaats] wordt aangetast als de foto inderdaad wordt ve rspreid.
Casus 4.2: Cyberafpersen Ik doe aangifte van bedreiging en afpersing gepleegd via internet. Sinds ongeveer 2 jaar heb ik via een chatprogramma, genaamd MSN, contact met BET1. Ik heb wekelijks contact met haar. Deze gesprekken zijn ook af en toe seksueel getint. Wij hebben dan beiden onze webcam aanstaan en maken met onze tongen gebaren naar elkaar. Ook ontdoen we ons dan van onze kleren. Gisteren hadden wij opnieuw contact via MSN. Deze keer vroeg zij mij om wederom mijn kleren uit te trekken en deze keer ook mijn onderbroek. Vervolgens las ik op msn dat BET1 typte dat haar zoon en haar nichtje binnenkwam. BET1 zette vervolgens de webcam uit. Vervolgens werden er dingen gezegd via msn waaruit ik opmaakte dat de zoon van BET1 aan het typen was (VE1). Ik heb deze zoon niet gezien omdat de webcam uitstond, ik heb mijn webcam toen ook uitgezet. De volgende teksten werden er naar mij gestuurd: "Je bent een pedo, je bent een viezerik omdat je met jongeren chat". Ik chat echter niet met minderjarigen. Vervolgens werden de volgende bedreigingen geuit: "Ik kom je vermoorden, ik kom met een pistool naar jou toe en schiet je kapot, ook je vader vermoord ik." of woorden van gelijke strekking. Vervolgens typte BET1 weer:"Mijn zoon rijdt nu naar jou toe, je moet nu 500 euro overmaken." Als ik dit niet zou doen zou hij doorrijden naar mijn huis en mij vermoorden. Deze teksten herhaalde zich en andere zinnen van gelijke strekking volgden hierop.
In 6 van de 13 dossiers is er naast cyberafpersen ook sprake van een andere (cyber)crime. In deze 6 dossiers vinden we in totaal 11 verbanden (tabel 4.2). Deze dossiers gaan allemaal over bedreigingen via internet waarbij de verdachte na enige tijd ook geld gaat eisen. In enkele dossiers had het slachtoffer kinderporno op zijn computer en werd hij daarmee afgeperst, in een ander dossier liet het slachtoffer van de bedreigingen op MSN zijn geslacht sdeel zien en werd daarmee afgeperst (casus 4.2). In 3 andere dossiers wordt persoonlijke informatie gebruikt om slachtoffers zover te krijgen (nog meer) seksuele handelingen te verrichten voor de
107
webcam en wordt vervolgens geld geëist om de verkregen afbeeldingen en webcamvideo’s niet te openbaren. In die 3 dossiers is twee keer sprake van aanranding door dreiging met geweld via ICT (bijvoorbeeld dreigen via MSN) en 2 keer cybersmaad (casus 4.3). In 1 dossier komt naast afpersen een off- line crime voor, te weten stalking (casus 4.4). Gezien het geringe aantal dossiers is het niet goed mogelijk om een hoofdlijn in de bevindingen aan te duiden en daaraan stellige conclusies te verbinden. Opvallend is echter wel het verband tussen afpersingszaken en seksualiteit: kinderporno, aanranding, stalking. Dat wekt op zijn minst de suggestie dat cyberafpersen verband houdt met zedendelinquentie of misschien wel met zedendelinquenten. Tabel 4.2: Verbanden in de 13 dossiers cyberafpersen met andere criminaliteit 45 46
Andere (cyber)crime waarmee een verband is Cybercrimes in deze studie Hacken E-fraude Kinderporno Haatzaaien Overige cybercrimes Identiteitsdiefstal met gebruik van ICT Aanranding door dreiging met geweld via ICT Cybersmaad Off-line criminaliteit Stalking Geen verband met andere (cyber)crime
n
4 1 0 4 0 3 1 2 2 1 1 7
Casus 4.3: Cyberafpersen en cybersmaad Zij vertelde dat haar zoontje van 10 jaar gechanteerd werd via de computer en de telefoon. Iemand had SO zo ver gekregen om zijn geslachtsdeel via de webcam te laten zien, waarna hij telefonisch gechanteerd werd met dit feit, en dat er een foto van zijn geslachtsdeel openbaar gemaakt zou worden als SO geen 50 euro zou betalen, anders zouden de foto's die van zijn geslachtsdeel gemaakt waren naar familieleden en school worden verzonden.
Casus 4.4: Cyberafpersen en stalking Kwam SO om te melden dat zij haar relatie met VE1 had verbroken. Nu dreigt hij foto's met seksuele handelingen van haar op internet te zetten. Ook blijft hij haar bestoken met telefoontjes, sms- en e- mail berichten. Hij wil de relatie met haar herva tten. VE1 is volgens SO een man met vele gezichten. Hij kan heel sociaal en lief zijn maar haar ondertussen dwingen tot zaken die zij niet wil. Vrije mutatie: VE wenst inderdaad seksueel getinte foto's die indertijd gemaakt waren van zijn toenmalige partner, openbaar te maken/op internet te zetten om van haar geld te krijgen, namelijk ongeveer 250 euro. Het advies om een advocaat te nemen, slaat hij 'in de wind'. 45
We selecteerden de verschillende vormen van (cyber)criminaliteit in de kinderpornodossiers op basis van de definities die we vooraf opstelden (zie het analysekader in bijlage 10) en niet op de wetsartikelen die in de dossiers zijn opgenomen. 46 Omdat er weinig cyberafpersingdossiers zijn percenteren we niet.
108
Welke wetsartikelenheeft de politie aan het dossier gekoppeld Een dossier heeft vaste invoervelden voor het vermelden van de van toepassing zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel opnemen. In 11 cyberafpersings-dossiers vermelden politiemedewerkers wetsartikelen (tabel 4.3). De meest voorkomende wetsartikelen zijn artikel 317 Sr (afpersing) en artikel 285 Sr (bedreiging); beide 7 keer. Artikel 318 Sr (afdreiging) wordt 4 keer genoemd, artikel 240b Sr (kinderporno) 3 keer en artikel 266 Sr (eenvoudige belediging) 1 keer. Tabel 4.3: Wetsartikelen in 11 cyberafpersingdossiers 47 Artikel 317 Sr 285 Sr 318 Sr 240b Sr 266 Sr Totaal
48
Omschrijving Afpersing Bedreiging Afdreiging Kinderpornografie Eenvoudige belediging
n
7 7 4 3 1 22
Samengevat We zochten in de cyberafpersingdossiers op drie manieren naar dwarsverbanden met andere delicten: 1. we keken onder welke titel of beschrijving politiemensen het dossier registreerden; 2. we bestudeerden de inhoud van de dossiers; 3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde. We vonden slechts 13 bruikbare dossiers inzake cyberafpersen en zijn dus voorzichtig met het trekken van conclusies. Cyberafpersing lijkt verbanden te hebben met andere vormen van (cyber)criminaliteit. In de dossiers zien we dat de afpersing vaak volgt op eerdere bedreigingen. Verdachten persen slachtoffers af door te dreigen met het openbaar maken van gevoelige informatie over het slachtoffer. De gevoelige informatie heeft vaak te maken met kinderpornografie; slachtoffers hebben kinderporno op hun computer en worden daarmee afgeperst, of verdachten zetten minderjarige slachtoffers onder druk om naaktfoto’s van zichzelf op te sturen (en gebruiken die weer om het slachtoffer af te persen). Op verschillende momenten in de analyse zagen we een verband tussen cyberafpersen en delicten die verband houden met relaties en/of seksualiteit. Behalve de reeds genoemde kinderporno passeerden ook de revu: relatieproblemen, stalking en aanranding. Een en ander wekt de suggestie dat cyberafpersen ve rband houdt met zedendelinquentie dan wel zedendelinquenten. Een onderwerp voor nader onderzoek en een aandachtspunt voor daderprofilering.
47 48
In één dossiers kunnen meerdere artikelen voorkomen. Omdat er weinig cyberafpersingdossiers zijn percenteren we niet.
109
4.5 Verdachtenkenmerken uit de dossierstudie Inleiding In de literatuur vinden we geen informatie over persoonskenmerken van cyberafpersers. Vo lgens het KLPD is er sprake van een samenwerking tussen computercriminelen uit WestEuropese la nden en georganiseerde groepen criminelen uit Rusland en Oost-Europa (KLPD, DNRI, 2007b). Hackers worden, aldus het KLPD, op internet geworven op grond van deskundigheid en dan ingehuurd door criminelen die zich op afpersing toeleggen. Het KLPD heeft vooral het oog op het afpersen van bedrijven. Ook de literatuur over manieren waarop afpersers te werk gaan, is in belangrijke mate georiënteerd op daders die bedrijven afpersen (paragraaf 4.2). In de dertien afpersingsdossiers in ons onderzoek heeft de dader het echter steeds gemunt op een andere natuurlijk persoon. De hackendossiers bevatten wel een zaak waarin een bedrijf werd afgeperst (casus 2.6). We beschrijven hierna de kenmerken van de verdachten uit de dossieranalyse. Aan bod komen de modus operandi, persoonskenmerken, sociale achtergrond en criminele carrière. We benadrukken dat we beschikken over materiaal uit niet meer dan 13 dossiers en dat dus zeer grote terughoudendheid is geboden bij het trekken van conclusies – toch al een lastige kwestie in daderprofilering. De modus operandi Om de modus operandi bij cyberafpersen te bepalen hebben we (1) een analyse gemaakt van de MO zoals die door politiemedewerkers in het politiedossier is vastgelegd, (2) gekeken naar gebruikte criminele technieken en voorbereidingshandelingen die in het dossier worden genoemd, (3) vastgesteld vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al dan niet samenwerkende verdachten in het dossier staan vermeld. (1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen kunnen bij het registreren van een delict een MO kiezen uit een vaste lijst; ze kunnen per dossier meerdere MO’s kiezen. De MO- lijst verschilt enigszins per basisprocessensysteem. In 7 dossiers troffen we een MO-beschrijving aan. Uit de in de dossiers aangetroffen MObeschrijvingen (tabel 4.4) valt niet veel af te leiden over de werkwijze van de daders. Tabel 4.4 MO-beschrijvingen in 7 cyberafpersingdossiers 49 50
MO beschrijving n In BPS (n=4) Computer 1 Computer / andere wijze 1 Openbare weg 1 Woning tussen / bedreigen / afpersen / internet / geld 1 In XPOL (n=3) Afbreken / bekrassen / besmeuren 1 Bedreigen 1 Op andere wijze / schriftelijk 1 In GENESYS (n=0) * Het totaal is niet gelijk aan het aantal dossiers omdat in een dossier meerdere MO’s kunnen zijn geregistreerd. Daarnaast hebben we MO-beschrijvingen die niet vaak voorkomen niet in de tabel opgenomen, zie ook de methodische verantwoording in hoofdstuk 1.
49 50
Per dossier zijn meerdere MO’s mogelijk. Omdat er weinig cyberafpersingdossiers zijn percenteren we niet.
110
(2) Er staat in de tekst van de dossiers geen beschrijving van de MO, verder vinden we hoegenaamd geen informatie over cybercriminele technieken of voorbereidingshandelingen. In geen van de zaken is, blijkens de tekst in de dossiers, een criminele techniek gebruikt. We vonden alleen een voorbereidingshandeling: het verkrijgen van gevoelige informatie over het slachtoffer. (3) In 12 gevallen is het delict vanuit Nederland gepleegd; in één geval is onbekend vanuit welk land de dader opereerde. (4) Verder is er in alle dossiers minstens 1 verdachte, steeds natuurlijke personen. In 9 dossiers is er 1 verdachte en in 4 dossiers 2. In totaal dus 17 verdachten. In geen van de dossiers is de verdachte onderdeel van een groep. In de dossiers met meerdere verdachten hadden die verdachten verder niets met elkaar te maken. Persoonskenmerken De 13 dossiers bevatten 17 verdachten. Van 14 van hen hebben we persoonsgegevens. Het zijn allen in Nederland geboren ma nnen. De jongste is 13 en de oudste 51. De helft valt in de leeftijdcategorie tot 18 jaar (zie tabel 4.5). Dat heeft te maken met de aard van de afpersingen. Jongeren persen leeftijdgenoten af. De slachtoffers moeten bijvoorbeeld geld betalen zodat seksueel getinte foto’s, al dan niet vrijwillig genomen tijdens een relatie, niet openbaar wo rden gemaakt (zie ook casus 4.3 en 4.4). Tabel 4.5: Leeftijdsopbouw van 14 verdachten cyberafpersen51 Leeftijdscategorie 12 – 17 jaar 18 – 24 jaar 25 – 34 jaar 35 – 44 jaar 45 – 54 jaar 55 – 65 jaar 65 jaar en ouder Totaal
Verdachten 7 2 0 2 3 0 0 14
Sociale achtergrond We beschikken over te weinig materiaal om uitspraken te doen over opleidingsniveau, woonsituatie en arbeidssituatie van de verdachten. Van 11 verdachten konden we de motivatie vaststellen. Het ging vooral om financieel gewin (6 maal) en wraak (4 maal) en opwinding (2 maal). Casus 4.1 tot en met 4.4 bevatten voorbeelden daarvan. Antecedenten Van 13 van de 17 verdachten hadden we genoeg persoonsgegevens om antecedenten na te trekken. We hebben opgevraagd in welke hoofdgroepen van delicten (tabel 4.5) zij staan ve rmeld en voor welke artikelen die verband houden met de cybercrimes uit deze VCN2009 zij
51
Omdat er weinig cyberafpersingdossiers zijn percenteren we niet. Om diezelfde reden vergelijken we de leeftijdsopbouw van cyberafpersingverdachten niet met de leeftijdsopbouw van verdachten in HKS of met de leeftijdsopbouw van de Nederlandse bevolking.
111
antecedenten hebben52 . Twaalf van de 13 verdachten hebben één of meerdere antecedenten. Elke vermelding in een hoofdgroep kan weer meerdere antecedenten inhouden. De verme ldingen zijn verspreid over diverse hoofdgroepen (zie tabel 4.6).
Tabel 4.6: Antecedenten van 12 verdachten van cyberafpersen: vermeldingen per hoofdgroep53 Hoofdgroep Gewelddadig seksueel Overig seksueel Geweld tegen personen Vermogen met geweld Vermogen zonder geweld Vernieling / openbare orde Verkeer Drugs Overige Eén of meer van bovenstaande hoofdgroepen
Verdachten n 0 1 3 0 2 3 1 0 2 12
Van de antecedenten zijn er 4 voor een wetsartikel dat (mogelijk) verband houdt met een cybercrime uit deze VCN2009: twee voor afpersen, een voor hacken en een voor kinderporno (tabel 4.7). Veel kunnen we daaruit niet afleiden. We zochten zaken uit de jaren 2003-2007, en het is dus niet onaannemelijk dat de antecedenten in verband met afpersen verwijzen naar de dossiers die deel uitmaken van ons onderzoek.
Tabel 4.7: Antecedenten van verdachten van cyberafpersen voor artikelen die (mogelijk) verband houden met de cybercrimes in deze VCN2009 Aantal verdachten met antecedenten hacken Aantal antecedenten voor 138a Sr (computervredebreuk) Aantal verdachten met antecedenten mogelijk i.r.t. fraude Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen Artikel 318 Sr (afdreiging) Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno Artikel 240b Sr (kinderpornografie) Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien
1 1 0 2 2 1 1 0
Relatie verdachte-slachtoffer Van 10 verdachten weten we de relatie met het slachtoffer. Drie verdachten kenden het slachtoffer niet, de overige 7 verdachten kenden het slachtoffer wel, in 6 gevallen was het een kennis en een enkele keer een ex-partner (tabel 4.8). 52
Dat zijn de volgende artikelen uit het Wetboek van Strafrecht: 138a, 350a, 350b, 161sexies, 161septies, 139c, 139d, 232, 326, 225, 240b, 147, 131, 137c, 137d, 137e, 137f, 137g. Deze artikelen staan uitgebreid beschreven in de hoofdstukken over de individuele cybercrimes (hoofdstuk 2 tot en met 6, steeds paragraaf 2). 53 Omdat er weinig cyberafpersingdossiers zijn percenteren we niet. Om diezelfde reden vergelijken we de antecedenten van cyberafpersingverdachten niet met de antecedenten van verdachten in HKS of met de antecedenten van de Nederlandse bevolking.
112
Tabel 4.8: Relatie tussen 10 verdachten en slachtoffers54 Relatie verdachte en slachtoffer Familie Partner Ex-partner (getrouwd, langdurige relatie) Ex-partner (verkering, kortstondige relatie) Kennis Zakelijk ((ex-)werknemer, zakenrelatie, klant) Zakelijk (student) Onbekende Totaal
n 0 0 0 1 6 0 0 3 10
Conclusies In de literatuur is weinig bekend over cyberafpersers. De aandacht in de literatuur gaat vooral uit naar criminelen die bedrijven afpersen. We vonden slechts 13 bruikbare dossiers. Dat aantal laat geen stellige conclusies toe. In de Nederlandse politiedossiers gebruiken verdachten gevoelige informatie (bijvoorbeeld naaktfoto’s) van het slachtoffer om het slachtoffer geld afhandig te maken. Een voorbereidingshandeling is dan ook het verzamelen van gevoelige informatie over het slachtoffer. De verdachten in de dossiers zijn opvallend vaak jong (onder de 21) en hun slachtoffers zijn ind ividuen, geen bedrijven. De verdachten opereren alleen en er is geen sprake van criminele samenwerkingsverbanden. Ze maken geen gebruik van criminele technieken, maar die komen wel voor want in de hackendossiers troffen we een afpersingszaak waarin een verdachte gebruik maakt van een cybercriminele techniek, in dat geval een DDoS-aanval om een bedrijf af te persen. 4.6 Slachtoffers van cyberafpersen De 13 dossiers over cyberafpersen bevatten gegevens van 10 slachtoffers. Alle slachtoffers zijn individuen, geen bedrijven die aangifte hebben gedaan van cyberafpersen. We hebben te weinig informatie om nadere uitspraken over de slachtoffers te doen. 4.7 Omvang Inleiding Om enig zicht te krijgen op de omvang van cyberafpersen, namen we een steekproef van me ldingen en aangiften om te zien in hoeveel gevallen er in de politieregistratie sprake is van dit delict (Domenie e.a., 2009). Daarnaast keken we in de literatuur naar informatie over de omvang van cyberafpersen. Uit de literatuur Hoewel cyberafpersing vooralsnog met name in het buitenland wordt gesignaleerd, komen gevallen van cyberafpersing volgens Van Leiden e.a. (2007) in elk land voor. Boerman en Mooij (2006) concluderen echter dat, hoewel er in de VS meerdere gevallen van afpersing door het dreigen met een DDoS-aanval zijn gemeld, het er op lijkt dat dergelijke afpersingen in Nederland zeldzaam zijn. De daadwerkelijke omvang van het probleem in Nederland zou volgens het KLPD groter kunnen zijn dan uit de registraties naar voren komt, bijvoorbeeld
54
Omdat er weinig cyberafpersingdossiers zijn percenteren we niet.
113
omdat bedrijven bang zijn voor imagoschade en niet in het nieuws willen brengen dat zij ingaan op de eisen van afpersers (KLPD, DNRI, 2007b). Er is dus maar weinig bekend over de omvang van cyberafpersen. Een geringe aangiftebereidheid is daar mogelijk debet aan, maar ook in slachtofferenquêtes onder bedrijven wordt niet direct gevraagd naar cyberafpersingen. Naar de criminele technieken die gebruikt kunnen worden om te cyberafpersen, DDoS-aanval en defacing, wordt wel gevraagd in de enquêtes (CSO magazine, 2007, Bednarski, 2004). Cijfers hierover staan in bijlage vier en vijf. Maar of het gebruik van die technieken wijst op afpersen, is nog maar helemaal de vraag. In Amerikaans onderzoek bij bedrijven (CSO magazine, 2007) wordt wel specifiek naar cyberafpersingen gevraagd. Ook in de rapporten van McAfee (McAfee Virtual Criminology Report, 2007) komt cyberafpersing aan bod. In het Amerikaanse onderzoek zien we dat in 2006 16 procent van de bedrijven is afgeperst (CSO magazine, 2007). In 2005 werd 33 procent van de bevraagde bedrijven afgeperst (CSO magazine, 2006). De onderzoeken ve rschaffen geen inzicht in de vorm van afpersing. Uit een onderzoek van Bednarski (2004) naar afpersingen in bedrijven tot 10.000 medewerkers, blijkt dat 17 procent van de respondenten (bedrijven) wel eens slachtoffer geweest is van een cyberafpersing. In die gevallen werd er gedreigd met: defacing (19%), diefstal klantgegevens (18%), DDoS-aanval (14%), plaatsing van illegaal materiaal (11%) en met verschillende andere zaken. De uitkomsten van het onderzoek staan in figuur 4.5.
Figuur 4.5. Resultaten uit het onderzoek van Bednarski (2004) inzake de prevalentie van cyberafpersen De enquête van het onderzoek beperkt zich tot bedrijven tot 10.000 fulltime werknemers in Amerika en Canada. De onderzoeksperiode is geweest van juni 2004 – september 2004. In totaal hebben 100 bedrijven de enquête ingevuld. De cijfers zeggen dus alleen iets over de kleine en middelgrote ondernemingen. Bednardski geeft aan dat de grote bedrijven wellicht anders omgaan met hun beveiliging. − 92 procent van de respondenten heeft een eigen website. De aanwezigheid van een website zegt in zijn algemeenheid niets over de waarschijnlijkheid van een cyberaanval, maar een websites is vaak doel in een DDoS-aanval of dreiging met defacement. − 60 procent van de respondenten ziet hun eigen bedrijf als categorie ‘laag risico’. Slechts drie procent geeft aan de hun onderneming in de categorie ‘hoog risico’ valt. − 17 procent van de respondenten geeft aan ooit slachtoffer te zijn geweest van een cyberafpersing. Het merendeel, 70 procent, zegt geen slachtoffer geweest te zijn. − Van de cyberafpersingen was 71 procent van de poging tot afpersing gericht tegen de organisatie en 29 procent van de pogingen tegen een individu uit de organisatie. − Er werd gedreigd met: defacement (19%), diefstal klantgegevens (18%), DDoS-aanval (14%), plaatsing van illegaal materiaal (11%), diefstal van IP-adres (7%), vernietigen van data (7%), vernietiging van IP-adres (4%) en overige (21%). − In de meeste gevallen was de afpersing niet succesvol (70%), 18 procent wel en 12 procent weet het niet. − In 6% van de afpersingen werd de identiteit van de dader achterhaald. In 41 procent werd dit niet achterhaald, maar ook niet geprobeerd. Bij 18 procent van de afpersingen werd het wel geprobeerd maar lukte het niet en 35 procent van de respondenten weet het niet zeker.
114
De mate waarin cyberafpersing voorkomt, is lastig in te schatten. De cijfers hebben betrekking op bedrijven, over individuele slachtoffers is niets bekend. De cijfers geven aan dat bedrijven slachtoffer zijn van cyberafpersingen, de cijfers lopen uiteen van 16 tot 33 procent (respectievelijk CSO magazine, 2007 Bednarski, 2004 en CSO magazine 2006). In de Nederlandse politiedossiers komen wij cyberafpersen hoegenaamd niet tegen. Uit dossierstudie en aanvullend onderzoek We vonden in Nederland over de periode 2003-2007 13 dossiers inzake cyberafpersen, gemiddeld 2,6 per jaar in het hele land. Verder deden we in twee korpsen (Hollands-Midden en Zuid-Holland-Zuid) een steekproef van 10 procent van de aangiften en melding uit 2007. In die steekproef zaten geen cyberafpersingszaken. Conclusie Slachtofferonderzoek onder bedrijven in Amerika en Australië wijst er op dat een substantieel percentrage van bedrijven slachtoffer is van cyberafpersen. Over slachtofferschap onder burgers vonden we in de literatuur geen informatie. In politiedossiers in Nederland treffen we nauwelijks zaken aan. Uiteindelijk vonden we over vijf jaar 13 zaken, allen betrekking hebbend op individuele slachtoffers, niet op bedrijven. Dat cyberafpersen onder bedrijven niet onbekend is in Nederland weten we ook, want in de hackendossiers vonden we één zo’n zaak. In een onderzoek naar het werkaanbod inzake cybercrime in twee korpsen, vonden we over 2007 geen aangiften van cyberafpersing. De conclusie over de omvang van cyberafpersen moet zijn dat het zeer weinig voorkomt of dat de aangiftebereidheid uiterst laag is, of beide. Als er al eens aangifte wordt gedaan betreft dat vooral burgers die slachtoffer zijn geworden. 4.8 Trends Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie is immers een momentopname en daaruit kunnen we geen trends afleiden. Door het minieme aantal aangiften wordt cyberafpersing, specifiek afpersing met behulp van een DDoS-aanval, in het Nationale Dreigingsbeeld niet als concrete dreiging gezien (KLPD-DNR, 2004; KLPD, 2008). In andere bronne n valt te lezen dat, ondanks het lage aantal aangiften, het aantal cyberafpersingen in de toekomst zal toenemen; een empirische onderbouwing daarvan ontbreekt echter (Bednarski, 2004; Symantec, 2006; Van Leiden e.a., 2007). Bedreigingen komen door de komst van het internet niet alleen uit de eigen omgeving of land. Er is volgens Bednarski (2004) een grote dreiging vanuit landen die geen wetgeving op het gebied van computercriminaliteit hebben of waar geen of weinig menskracht voorha nden is om cybercriminele n op te sporen en te berechten. Volgens Bednarski houden zich voornamelijk in Oost-Europese landen en Rusland criminele groeperingen bezig met cyberafpersen. De dossierstudie bevestigt dit beeld echter niet. Het lijkt niet onverstandig om dergelijke uitspraken over dreigingen uit Oost-Europese landen kritisch te beschouwen. Misschien sluiten ze eerder aan bij onderbuikgevoelens dan bij de actuele realiteit. Ook over kinderporno wordt bijvoorbeeld geregeld beweerd dat die wordt aangeboden vanuit landen die een zwakke wetgeving hebben inzake cybercrime en waarmee juridische samenwerking moeilijk is, zoals Wit-Rusland en Oekraïne, terwijl de praktijk is dat het KLPD een zwarte lijst heeft ontwikkeld met kinderporno-aanbieders waarop overwegend websites staan die worden gehost in de VS (Stol e.a. 2008). Dat toekomstige dreigingen uit landen van het voormalige Oostblok zullen komen, mogen we dus niet zonder meer voor waar aannemen. Met name bedrijven die afhankelijk zijn van internet, zoals online gokbedrijven, wo rden volgens Van der Hulst en Neve (2008) afgeperst. Met het groeien van de omzet van internetcasino's en gokwebsites zou deze nieuwe bedrijfstak, aldus deze auteurs, steeds vaker het doelwit van afpersing worden. In het onderzoek van Van Leiden e.a. (2007) komt uit een aan-
115
tal expertinterviews naar voren dat DDoS-aanvallen steeds meer door professionele criminelen gebruikt worden. Werden DDoS-aanvallen in het beginstadium met name gebruikt door groepjes onderling, de laatste tijd worden dergelijke aanvallen steeds meer gebruikt voor het platleggen van websites (Van Leiden e.a. 2007). De software waarmee DDoS-aanvallen worden uitgevoerd, kan relatief eenvoudig op internet gevonden worden. In het hackerswereldje worden methoden en ideeën om aanvallen uit te voeren gedeeld: een ieder die geïnteresseerd is kan informatie en hulp krijgen om aanvallen uit te voeren (Ianelli en Hackworth, 2005). Ook minder technisch aangelegde criminelen zijn daartoe in staat. Volgens het KLPD zal het aantal cyberafpersingen de komende jaren toenemen omdat het relatief eenvoudig is een dergelijke aanval uit te voeren en zo’n aanval doorgaans effectief is (KLPD-DNR, 2004). In de literatuur wordt dan wel gewag gemaakt van een trend naar meer cyberafpersingen, de empirische onderbouwing daarvan is niet overtuigend. We zagen althans geen emp irisch meerjarig onderzoek waaruit het bestaan van zo’n ontwikkeling kan worden afgeleid. De verwachte toename van cyberafpersen wordt afgeleid uit de constatering dat steeds meer bedrijven afhankelijk zijn van internet en internet mogelijkheden biedt tot het uitvoeren van een dergelijk delict. Geen of in elk geval te weinig aandacht is in die analyse voor de vraag of internet niet ook mogelijkheden biedt voor beveiliging en het opsporen van criminelen, en of afpersen voor een dader dus uiteindelijk wel zo’n gunstig delict is. 4.9 Resumé Afpersen is kort gezegd het verkrijgen van wederrechtelijk voordeel door geweld of dreigen met geweld (art. 317 Sr; figuur 4.1). We spreken van cyberafpersing indien ICT essentieel is voor de uitvoering van het delict. Criminele technieken die bij cyberafpersen (kunnen) wo rden gebruikt zijn het creëren van botnets, uitvoeren van DDoS-aanvallen, defacing van websites en het stelen van informatie uit digitale systemen. In de literatuur worden verschillende verschijningsvormen genoemd. (1) Dreiging: het dreigen met het platleggen van websites of netwerken. (2) Beschadiging en verstoring: het beschadigen van essentiële gegevens en het verstoren van industriële productiesystemen (3) Shaming: het publiekelijk maken van gevoelige informatie. (4) Protectie: het aanbieden van ‘bescherming’ tegen bijvoorbeeld DDoS-aanvallen. Deze vier kunnen in combinatie voorkomen. In het Wetboek van Strafrecht is afpersing strafbaar gesteld in artikel 317 Sr (afpersing). Ook artikelen 318 (afdreiging) en 285 Sr (bedreiging) kunnen van toepassing zijn. Er zal voor het uitvoeren van de criminele technieken veelal moeten worden ingebroken in computersystemen, strafbaar gesteld in artikel 138a Sr. Indien er opzettelijk dan wel door schuld een geautomatiseerd werk vernield wordt dan gelden de artikelen 161sexies en 161septies Sr. Indien er gegevens vernield worden, zijn de artikelen 350a en 350b Sr van toepassing. We vonden over de periode 2003-2007 slechts 13 dossiers over cyberafpersen. Voor zover we een verband met andere criminaliteit vonden, is cyberafpersing een vervolg op eerdere bedreigingen. Verdachten persen slachtoffers af door te dreigen met het openbaar maken van gevoelige informatie ove r het slachtoffer. De gevoelige informatie heeft vaak te maken met kinderpornografie. Slachtoffers hebben kinderporno op hun computer en worden daarmee afgeperst, of verdachten zetten minderjarige slachtoffers onder druk om naaktfoto’s van zichzelf op te sturen (en gebruiken die weer om het slachtoffer af te persen). Op verschillende momenten in de analyse zagen we een verband tussen cyberafpersen en delicten die verband houden met relaties en/of seksualiteit. Behalve de reeds genoemde kinderporno passeerden ook de revu: relatieproblemen, stalking en aanranding. Een en ander wekt de suggestie dat cyberafpersen verband houdt met zedendelinquentie dan wel zedendelinquenten. Het geringe aantal dossiers laat geen stellige conclusies toe, maar deze aanwijzing in de richting van een
116
verband tussen jeugd, zedendelinquentie en afpersing, is een aandachtspunt voor nader onderzoek. In de literatuur vinden we weinig over daderkenmerken van cyberafpersers. Volgens het KLPD is er sprake van een samenwerking tussen computercriminelen uit West-Europese landen en georganiseerde groepen criminelen uit Rusland en Oost-Europa. Hackers worden op internet geworven op grond van hun deskundigheid en ingehuurd. Het KLPD heeft dan het afpersen van bedrijven voor ogen. Dit zien we niet terug in de dossierstudie. De verdachten opereren alleen en er is geen sprake van criminele samenwerkingsverbanden. De verdachten zijn opvallend vaak jong (onder de 21). Ze maken geen gebruik van criminele technieken. Een voorbereidingshandeling is het verzamelen van gevoelige informatie over het slachtoffer. Dat is steeds een individu, geen bedrijf. We hebben te weinig informatie om nadere uitspraken over slachtoffers te doen. Slachtofferonderzoek onder bedrijven in Amerika en Australië wijst er op dat een substantieel percentage van bedrijven (16-33%) slachtoffer was van cyberafpersen. Over slachtofferschap onder burgers vonden we in de literatuur geen informatie. In politiedossiers in Nederland treffen we nauwelijks zaken aan. Uiteindelijk vonden we over vijf jaar 13 zaken, allen betrekking hebbend op individuele slachtoffers, niet op bedrijven. Dat cyberafpersen onder bedrijven niet onbekend is in Nederland weten we ook, want in de hackendossiers vonden we één zo’n zaak. In dat geval werd een DDoS-aanva l ingezet om een bedrijf af te persen. In een onderzoek naar het werkaanbod inzake cybercrime in twee korpsen, vonden we over 2007 geen aangiften van cyberafpersing. De conclusie over de omvang van cyberafpersen moet zijn dat het zeer weinig voorkomt of dat de aangiftebereidheid uiterst laag is, of beide. Als er al eens aangifte wordt gedaan betreft dat vooral burgers die slachtoffer zijn geworden, en dan niet van georganiseerde bendes maar van andere burgers. Door het geringe aantal aangiften wordt cyberafpersing, specifiek afpersing met behulp van een DDoS-aanval, in het Nationale Dreigingsbeeld niet als concrete dreiging gezien. Volgens andere bronnen zal het aantal cyberafpersingen in de toekomst toenemen omdat steeds meer bedrijven afhankelijk zijn van internet en de voor een afpersing benodigde technieken eenvoudig beschikbaar zijn. De empirische onderbouwing bij deze verwachting is echter niet overtuigend.
117
5. Kinderporno 5.1 Inleiding Kijkend naar maatschappelijke verontwaardiging en naar opsporingsprioriteiten is de ve rspreiding van kinderporno (art. 240b Sr) op dit moment aan te merken als het grootste cybercrimeprobleem (Stol e.a. 2008b). De maatschappelijke bezorgdheid is terecht in die zin dat we uit eerder onderzoek weten dat internet in belangrijke mate bijdraagt aan de verspreiding van kinderpornografie (Bullens, 2007) en dat internet met zich meebrengt dat mensen eerder dan voorheen de grenzen van het toelaatbare opzoeken – en overschrijden (Stol e.a., 2008a). Kinderporno als probleem is in Nederland vooral hoog op de (politieke) agenda gekomen door de Zandvoortse kinderpornozaak in de zomer van 1998 (Stol e.a., 1999). De inspanningen tegen kinderpornografie hebben effect gehad op de werkwijze van de aanbieders. Was het materiaal medio jaren negentig in Nederland niet zelden te vinden op eenvoudig benaderbare websites, gaandeweg is het aanbod verschoven naar de minder gemakkelijk door politie en justitie te controleren delen van internet (van websites naar nieuwsgroepen, afgesloten domeinen, en peer-to-peer omgevingen). De wijze waarop commerciële aanbieders hun materiaal bij potentiële kopers onder de aandacht brengen, beweegt ook: van ‘reclame’ op openbare portalen van gesloten websites naar mail in nieuwsgroepen en spamberichten (Stol, 2004, Stol e.a., 2008a). In dit onderzoek definiëren wij kinderporno conform artikel 240b Sr als iedere afbeelding – of gegevensdrager die een afbeelding bevat – van een seksuele gedraging waarbij iemand, die kennelijk de leeftijd van achttien jaar nog niet heeft bereikt, is betrokken of schijnbaar is betrokken. De aard en inhoud van kinderpornografisch materiaal kan sterk variëren, maar gemeenschappelijk kenmerk is volgens Bullens (2007) dat er altijd elementen van seksueel misbruik, geweld en/of seksuele exploitatie in zijn terug te vinden. In dit hoofdstuk behandelen we eerst de strafbaarstelling en verschijningsvormen van kinderporno (respectievelijk paragraaf 5.2 en 5.3). Vervolgens beschrijven we de verbanden die deze cybercrime heeft met andere vormen van (cyber)criminaliteit (5.4), behandelen we de kenmerken van daders uit de literatuur (5.5), van verdachten uit de dossierstudie (5.6) en gaan we dieper in op de slachtoffers (5.7). In paragraaf 5.8 kijken we naar de omvang van deze cybercrime. Ten slotte komen in 5.9 de trends van kinderporno aan bod en in 5.10 volgt een resumé van dit hoofdstuk. 5.2 Strafbaarstelling Kinderpornografie is in Nederland strafbaar gesteld in artikel 240b Sr (figuur 5.1). In ove reenstemming met internationale verdragen, in het bijzonder het Cybercrimeverdrag dat door Nederland is ondertekend in 2001, is de leeftijdsgrens bij de wetswijziging van 1 oktober 2002 bepaald op 18 jaar. Tevens is toen met het zinsdeel ‘of schijnbaar betrokken’, de zogenoemde virtuele kinderpornografie onder de werking van de wet gebracht. 55 Virtuele kinderpornografie is ogenschijnlijk echte kinderpornografie, niet vervaardigd met echte kinderen maar met behulp van digitale technieken, bijvoorbeeld eenvoudig middels tweedimensionaal knip- en plakwerk of geavanceerd met driedimensionale animatietechnologie. In februari 2008 heeft de rechtbank in Den Bosch als eerste in Nederland een veroordeling voor virtuele kinderporno uitgesproken. 56 Kort gezegd komt de ratio van artikel 240b Sr erop neer dat jongeren beschermd mo eten worden. De wetgever wil voorkomen dat kinderen in situaties terechtkomen waarin ze worden misbruikt voor het op beeld vastleggen van seksuele gedragingen. Daarnaast moet voorkomen worden dat mensen dergelijk materiaal bezitten, verspreiden of openlijk tentoon55
Voor een uitgebreidere beschrijving van de wijzigingen per 1 oktober 2002, zie de Aanwijzing kinderpornografie (www.wetten.nl). 56 Rechtbank ’s-Hertogenbosch, 4 februari 2008, LCN: BC3225.
118
stellen, of dat jongeren worden aangemoedigd of verleid om deel te nemen aan seksuele activiteiten (Van der Zee en Groeneveld, 2007), en moeten kinderen worden beschermd tegen gedragingen en uitingen die bijdragen aan een subcultuur die seksueel misbruik van kinderen bevordert. 57
Figuur 5.1: Artikel 240b Sr: Kinderpornografie (i.w.tr. 01-05-2004) 1. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie wordt gestraft degene die een afbeelding – of gegevensdrager, bevattende een afbeelding – van een seksuele gedraging, waarbij iemand die kennelijk de leeftijd van achttien jaar nog niet heeft bereikt, is betrokken of schijnbaar betrokken, verspreidt, openlijk tentoonstelt, vervaardigt, invoert, doorvoert, uit voert of in bezit heeft. 2. Met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie wordt gestraft degene die van het plegen van een van de misdrijven, omschreven in het eerste lid, een beroep of gewoonte maakt.
Kinderporno op internet is een grensoverschrijdend probleem. Maar ondanks internationale verdragen gericht op de verdere harmonisatie van wetgeving zijn er diverse verschillen tussen nationale wetgevingen, ook tussen die van landen binnen Europa. In Noorwegen bijvoorbeeld zijn alle kinderpornografische uitingen strafbaar terwijl de Nederlandse wet alleen spreekt over beeldmateriaal; in Noorwegen is ook het bewust kijken naar kinderporno strafbaar (zo nder te downloaden), in Nederland niet; in Noorwegen zijn werkgevers strafbaar als zij geen maatregelen nemen om te voorkomen dat hun werknemers tijdens het werk het kinderpornoverbod overtreden, in Nederland niet. In Zweden vallen kinderen van 18 jaar of ouder wiens puberteitsontwikkeling nog niet is voltooid onder bescherming van de kinderpornowetgeving, in Nederland niet (Stol e.a. 2008a). 58 Virtuele kinderporno De strafbaarstelling van virtuele kinderporno is een gevolg van het Europese Cybercrimeve rdrag van 23 november 2001. Artikel 9 van dat verdrag handelt over Offences related to child pornography. Figuur 5.2 geeft de tekst van dat artikel weer.
Figuur 5.2: Cybercrimeverdrag 2001, artikel 9: Offences related to child pornography 1. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally and without right, the following conduct: a. producing child pornography for the purpose of its distribution through a computer system; b. offering or making available child pornography through a computer system; c. distributing or transmitting child pornography through a computer system; d. procuring child pornography through a computer system for oneself or for another; e. possessing child pornography in a computer system or on a computer-data storage medium. 57
Zie bv. Kamerstukken I 2001/02, 27 745, nr. 299b en Aanwijzing kinderpornografie (artikel 240b Sr) Staatscourant, 30 juli 2007, 162. 58 Zie artikel 204a van de Noorse strafwet en artikel 10a van paragraaf 16 van de Zweedse strafwet.
119
2. For the purpose of paragraph 1 above "child pornography" shall include pornographic material that visually depicts: a. a minor engaged in sexually explicit conduct; b. a person appearing to be a minor engaged in sexually explicit cond uct; c. realistic images representing a minor engaged in sexually explicit conduct. 3. For the purpose of paragraph 2 above, the term "minor" shall include all persons under 18 years of age. A Party may, however, require a lower age- limit, which shall be not less than 16 years. 4. Each Party may reserve the right not to apply, in whole or in part, paragraph 1(d) and 1(e), and 2(b) and 2(c).
Het tweede lid van artikel 9 van het Cybercrimeverdrag spreekt van realistic images waartoe de strafbaarstelling zic h dient uit te strekken, ook al betreft het geen afbeelding/opname van een echt kind als slachtoffer. Het Explanatory Memorandum bij artikel 9 van het Cybercrimeverdrag59 beschrijft virtuele kinderporno als ‘images although “realistic”, do not in fact involve a real child engaged in sexually explicit conduct. The latter scenario includes pictures that are altered, such as morphed images of natural persons, or even generated entirely by the computer.’ Daartoe is met de wetswijziging van 1 oktober 2002 in artikel 240b Sr het bestanddeel ‘betrokken’ aangevuld tot ‘schijnbaar is betrokken’ (Stol e.a., 2008a). Niet strafbaar materiaal In het kader van kinderpornografie op het internet is het ook interessant om te weten wat niet als strafbaar wordt gezien. Niet strafbaar volgens de Nederlandse kinderpornowetgeving (art. 240b Sr) zijn (MKI, 2008): − Teksten over seksueel misbruik van kinderen. Websites waarop pedofielen en pedoseksuelen opvattingen delen of seksuele handelingen tussen volwassenen en kinderen beschrijven zijn volgens de Nederlandse wet niet strafbaar. Dit geldt ook voor verhalen over seks waarin fictieve kinderen een rol spelen. − Getekende beelden van seksueel misbruik van kinderen. Websites met tekeningen die seks met kinderen uitbeelden. − Nudisme en zogenaamde ‘modellensites’ met kinderen. ‘Modellensites’ waarop jonge kinderen op uitdagende wijze poseren in badkleding en lingerie. Volgens het Meldpunt Kinderporno is de doelgroep van deze websites een andere dan die van professionele modellenbureaus. Kinderen worden, aldus het meldpunt, op deze websites gereduceerd tot lus tobject en hoewel dergelijke afbeeldingen een verkeerd signaal afgeven zijn ze in Nederland niet strafbaar, tenzij er sprake is van een seksuele context. 5.3 Verspreidingsvormen60 In tabel 5.1 staat een overzicht van het aantal meldingen omtrent kinderporno bij het particuliere Meldpunt Kinderporno op Internet (MKI, 2006, 2007). Ook laat de tabel zien waar de melder de kinderporno aantrof, hetgeen toont hoe het materiaal werd verspreid. De meeste meldingen gaan over kinderporno via spam en websites, op afstand gevolgd door kinderporno via peer-to-peer (P2P) systemen, chat en nieuwsgroepen. In 2006 betrof 65,2 procent van de meldingen kinderporno via spam, 25,4 procent via websites en 4,8 procent via P2P-systemen. De meeste meldingen (90,6 procent) hebben betrekking op websites en spam. Spam bevat vaak links naar websites en nieuwsgroepen waar de kinderporno zich bevindt. In de jaren 59 60
TK 2001-2002, 27745, nr. 3 p. 4 en 27745, nr. 6, p. 8-9. Deze paragraaf is deels ontleend aan Stol e.a. (2008b).
120
2003-2005 is het beeld niet wezenlijk anders, zij het dat in 2006 ten opzichte van 2003 wat meer de nadruk ligt op verspreiding via spam.
Tabel 5.1: Meldingen over kinderporno bij het particuliere Meldpunt Kinderporno op Internet (Stol e.a., 2008a) 2003 2004 2005 2006 Meld. KP* Meld. KP* Meld. KP* Meld. KP* Websites 2.018 2.321 2.121 1.715 1.715 1.195 2.121 803 Spam 3.100 3.153 5.271 4.401 4.401 1.999 5.271 2.378 Nieuwsgroepen 151 88 61 124 124 62 61 35 Peer-2-peer ** 439 368 291 326 326 291 Chat ** 52 79 92 154 154 92 Overige ** 37 12 38 32 32 38 Bron: MKI, 2004, 2005, 2006, 2007, 2008. * Meldingen die volgens het meldpunt kinderpornografie betreffen. ** Meldingen aangaande deze categorieën worden niet door het meldpunt gecontroleerd. Verspreidingswijze
Uit deze cijfers mogen we niet concluderen dat kinderporno overwegend via websites en spam wordt verspreid. Het gaat immers om gemelde kinderporno. De conclusie moet eerder zijn dat vooral kinderporno op websites en via spam aanleiding is voor internetters om een melding te doen. We kunnen uit de cijfers niet de omvang van kinderporno op internet afleiden want het dark number is onbekend en we beschikken niet over slachtofferenquêtes (vgl. Bijleveld, 2007; Zoomer en Stol, 2008). Uit de cijfers van het Meldpunt Kinderporno (MKI, 2008) gecombineerd met eerder onderzoek naar kinderpornografie op internet (Stol e.a., 1999; Stol, 2004; Oosterink en Van Eijk, 2006; Schell e.a., 2007, Stol e.a., 2008a) kunnen we wel afleiden via welke onderdelen van internet kinderporno in ieder geval wordt verspreid: - Spam. Ongevraagde en veelal ook ongewenste e- mail. - Website. Een verzameling samenhangende webpagina's die op het internet te bereiken is. Dit kunnen zowel openbaar toegankelijke als gesloten websites zijn (waarvoor bijvoorbeeld eerst betaald moet worden). - Peer-to-peer netwerk. Netwerk dat onderlinge uitwisseling tussen twee of meer partijen mogelijk maakt, zoals Kazaa, eDonkey LimeWire en Gnutella. Bestanden die worden uitgewisseld staan niet op centrale servers maar op de computers van de gebruikers zelf. Dit in tegenstelling tot normale websites, waarbij de gebruiker contact heeft met de centrale server waarop de website gehost wordt. Uit expertinterviews in het onderzoek van Stol e.a. (2008a) valt op te maken dat via P2P-netwerken op substantiële schaal verspreiding van kinderpornografie plaats vindt. Ook de NFI-onderzoekers Oosterink en Van Eijk (2006) komen tot die conclusie. De P2P-programma’s gaan volgens Schell e.a. (2007) in de toekomst zelfs de grootste rol spelen in de distributie van kinderporno, met name door de via die weg te realiseren anonimiteit en de mogelijkheden van het versleutelen van bestanden. - Virtuele harde schijven. Een opslagmiddel dat zich niet lokaal onder direct handbereik van de gebruiker bevindt, maar op afstand (een e- mail account kan ook dienen als virtuele harde schijf). Er zijn op dit moment geen aanwijzingen dat dergelijke accounts door kinderpornoverzamelaars gebruikt worden. Dit kan echter komen doordat hiernaar geen structureel zaakonderzoek wordt gedaan (Oosterink en Van Eijk, 2006). Ook politieres-
121
-
-
pondenten wijzen op de mogelijkheid dat kinderporno via virtuele harde schijven wordt verspreid. Nieuwsgroepen. Een wereldwijd netwerk van servers dat als doel heeft om berichten te verspreiden onder de gebruikers (ook bekend als Usenet). De berichten blijven gedurende een bepaalde tijd toegankelijk voor de nieuwsgroepbezoekers. Chat. Een protocol dat het snel achter elkaar plaatsen van berichten van twee of meerdere gebruikers mogelijk maakt (‘chatten’). Het IRC-protocol (Internet Relay Chat) is het meest gebruikte protocol om te chatten. Andere chat-technologieën zijn Instant Messaging, ICQ of Windows Live Messenger.
We weten niet precies welk aandeel van de kinderporno op internet wordt verspreid via welke route, we weten wel dat de wijze waarop de verspreiding loopt aan verandering onderhevig is, deels omdat er voortdurend nieuwe technische mogelijkheden ontstaan (Deibert e.a., 2008) en deels omdat de aanbieders van kinderporno reageren op repressieve maatregelen (Stol, 2004). Stol (2004) en Stol e.a. (2008b) hebben aan de hand van de jaarverslagen van het Meldpunt Kinderporno een analyse gemaakt van trends in type en aantal meldingen. Hieruit blijkt dat in de beginjaren van internet kinderporno, ook in Nederland, nog geregeld werd aangeboden op gewone webpagina’s (IMK, 1997). Deze opvallende manier van verspreiden verdween gaandeweg nadat in de zomer van 1996 het Internet Meldpunt Kinderporno (IMK) werd opgericht en de politie zich gaandeweg op internet begaf. Kinderporno verdween naar minder opzicht ige delen van internet, vooral nieuwsgroepen. Van een nieuwsgroepbericht is niet altijd zomaar duidelijk wie het verzonden heeft. Men kan bijvoorbeeld gebruik maken van een anonymous remailer, een service die de afzender van een bericht voor derden afschermt. In haar jaarverslag over 2001 meldt het IMK (2002) op basis van meldingen dat de handel in kinderporno zich verplaatst van nieuwsgroepen naar babbelboxen (Chat rooms), email en peer-to-peer (P2P) verbindingen. Daarmee verschuift de kinderpornohandel zich kennelijk naar locaties op internet waar de informatie moeilijker is te observeren en waar het dus ook moeilijker is om bewijsmateriaal te verzamelen. Plaatjes die naar een nieuwsgroep wo rden verzonden staan enkele dagen op internet; plaatjes die direct van de ene naar de andere persoon worden verzonden (per e- mail bijvoorbeeld) blijven helemaal niet achter op internet. Ondanks deze vermoedelijke 61 verschuiving ligt in 2001 de nadruk nog steeds op websites en nieuwsgroepen (samen goed voor 87 procent van alle meldingen bij het MKI). In haar jaarverslag over 2003 signaleert het MKI nieuwe trends. Ten eerste neemt het aantal meldingen over spam sterk toe, van 30 in 2000 tot 3.100 in 2003. Een analyse over mediaberichten aangaande cybercrime, bevestigt die trend (Stol, 2004). Ten tweede neemt het aantal meldingen aangaande websites en nieuwsgroepen af. Websites en nieuwsgroepen vo rmen een soort van twee-eenheid. Nieuwsgroepen met namen die verwijzen naar seks, fungeren als uitgangsbord voor sekssites, vaak commerciële (Stol, 2003). Het lijkt er dus op dat kinderpornoverspreiders weer van strategie veranderen: in plaats van de combinatie nieuwsgroep-website gebruiken ze nu spam om afnemers te lokken naar de plek waar de kinderporno wordt aangeboden (dat kan een website zijn, maar ook bijvoorbeeld een P2P-netwerk). Verder wordt op sekssites meer kinderpornografisch videomateriaal aangeboden, ongetwijfeld een gevolg van de toegenomen datatransportsnelheden. Foto’s dienen dan in veel gevallen als reclame voor video’s (Stol, 2004). In het MKI-overzicht van meldingen (tabel 5.1) ligt nog steeds de nadruk op spam en, in mindere mate, websites. Nieuwsgroepen spelen in deze statistiek niet meer zo’n grote rol 61
Vermoedelijk, want interpreteren van misdaadstatistieken op basis van meldingen of aangiften, is altijd een hachelijke zaak (vergelijk Korf e.a., 2001; Bijleveld, 2007). Aantallen meldingen zijn lastig te interpreteren omdat bijvoorbeeld meegewogen moet worden hoeveel internetters er zijn en ook hoeveel er daarvan nieuwsgroepen bezoeken. Dergelijke gegevens ontbreken.
122
als in het verleden. Daarentegen zou, zoals we al eerder noemden, volgens experts het ve rspreiden via P2P-netwerken aan belang winnen (Oosterink en van Eijk, 2006; Schell e.a., 2007; Stol e.a., 2008a), onder meer vanwege de via die weg te realiseren anonimiteit en de mogelijkheden tot het versleutelen van bestanden. Uit eerder onderzoek naar kinderporno op internet (Stol e.a., 2008a) blijkt verder dat er in ieder geval twee groepen aanbieders van kinderpornografisch materiaal kunnen worden onderscheiden: een commerciële groep en een groep ‘liefhebbers’. De commerciële groep ziet de handel in kinderpornografisch materiaal als een nieuwe manier om geld te verdienen. Nieuwe klanten worden bijvoorbeeld geworven door het versturen van spam of nieuwsgroepberichten en er moet betaald worden met een creditkaart. De tweede groep, de ‘liefhebber’, is doorgaans niet uit op geld. Deze groep wil nieuw materiaal verwerven. Journalist Van Kleef (2004) beschrijft in een artikel in de Nieuwe Revu de virtuele wereld van deze pedofielen. De strekking va n dit artikel komt overeen met wat experts in het onderzoek van Stol e.a. (2008a) tijdens diepte- interviews hebben gezegd over het via internet verkrijgen van toegang tot een groep met ‘liefhebbers’. Onderstaande beschrijving is ontleend aan Stol e.a. (2008a), de teksten in de kaders zijn afkomstig van Van Kleef. Stap 1: de aanbieder vinden De eerste stap om kinderporno te verkrijgen is het vinden van de aanbieder. Dit blijkt echter lastiger te zijn dan dat het in eerste instantie lijkt. Maar wie niet weet waar hij kinderporno moet zoeken, vindt nog geen foto van een blote peuter op het strand. Zoekmachine Google levert 6,8 miljoen hits op de term childporn maar al die links verwijzen gewoon naar legale pornowebsites waar de modellen niet onder de 18 zijn..
De gemiddelde surfer komt dus niet zo maar terecht bij kinderporno. Wie echter op de juiste plaats de juiste vraag stelt komt uiteindelijk wel in de hoek terecht waar kinderporno ve rspreid wordt.
In de chatroom van Free Spirits treffen we Nestor en die heeft een tip: “Ik heb gehoord dat op de Alex BBS wel eens zulke foto’s staan. Meer weet ik niet.” Alex is een digitaal prikbord waar links naar gratis sekssites worden uitgewisseld. Illegale porno zit er op het eerste gezicht niet bij. We besluiten zelf een bericht te plaatsen. We schrijven dat we kinderporno zoeken en vermelden een hotmailadres. Een uur later zit de mailbox stampvol.
Stap 2: anoniem en ontraceerbaar surfen Eenmaal doorverwezen naar een website met kinderporno moet er een aantal veiligheidsmaatregelen worden genomen om ervoor te zorgen dat de aanbieder en de andere gebruikers van de website niet het risico lopen om gepakt te worden doordat de nieuwe klant door de politie getraceerd kan worden. Indien de nieuwe klant de politie naar het netwerk leidt zijn immers ook de andere gebruikers in gevaar.
123
Ontraceerbaar surfen is mogelijk, maar er is een hoop voor nodig. We moeten een firewall gebruiken, software installeren die het geheugen van de computer kan wissen en ons ipnummer versleutelen.
Stap 3: binnentreden in een groep Indien de voorzorgsmaatregelen getroffen zijn, kan er contact worden gezocht met een aanbieder van kinderporno.
Twipsy mailt een webadres en schrijft dat we in moeten loggen met een bepaalde code. We klikken op de link die naar het online prikbord -“or all your questions about this nice hobby!”- verwijst. Er verschijnt een inlogvenster. We typen de code in die we van Twipsy hebben gekregen. Een paar seconden later verschijnt een andere webpagina. Welcome at K-Book staat bovenaan. Enjoy your stay!
Stap 4: klimmen in de hiërarchie Eenmaal aangekomen in een groep ‘kinderpornoliefhebbers’ moet eerst het vertrouwen van de overige leden in de groep gewonnen worden. De hiërarchie binnen de groep blijkt belangrijk. Leden van de groep die grote hoeveelheden nieuw materiaal op het netwerk zetten, worden volgens het artikel vereerd als helden.
Is dit nu een kinderporno-walhalla? vragen wij. “Wacht af,” raadt Sirax aan. “De chat is het belangrijkst hier. Zorg dat je wat vrienden maakt. Verspreid je nestgeur. Dan komt alles goed.” (…) Hier selecteert Twipsy en de rest wie ze doorsluizen naar een niveau hoger. Daar vind je betere foto’s en films.
Op de vraag waarom, ondanks alle veiligheidsmaatregelen, er de afgelopen maanden vele arrestaties van pedofielen geweest zijn antwoordt een lid van de groep: “Die zaten in een hele andere tak van sport. Die hadden zich aangemeld bij commerciële kinderpornowebsites. Ze betaalden met hun creditcard. Ja, dan vraag je om politie aan de deur.” (Van Kleef, 2004). 5.4 Verbanden van kinderporno met andere crimes Inleiding: over de analyse In deze paragraaf gaan we op basis van de dossierstudie in op de verbanden die kinderporno heeft met de andere vormen van cybercrime. We bekijken eerst onder welke titel de politie de kinderpornodossiers heeft geregistreerd. Daarna beschrijven we de verbanden met andere (cyber)criminaliteit die we zelf tijdens de nadere analyse in de tekst van de dossiers tegenkwamen. Ten slotte bekijken we welke wetsartikelen de politie aan het dossier heeft toegekend. Als aan het dossier behalve artikel 240b Sr (kinderporno) bijvoorbeeld ook artikel 317 Sr (afpersing) is gekoppeld, wijst dat op een verband tussen het verspreiden van kinderporno en afpersen. De dossiers We selecteerden 200 relevante zaken (zie ook par. 1.4). Na een eerste analyse bleek dat er 161 bruikbare en 39 onbruikbare dossiers waren. Van de onbruikbare dossiers zijn 14 dossiers al-
124
leen een melding en geen aangifte en bevatten 12 dossiers geen cybercrime. Verder troffen we eenmaal een valse aangifte en eenmaal pleegde de verdachte zelfmoord waardoor de politie de zaak verder niet heeft opgenomen. In de overige 11 dossiers stond te weinig informatie. Er mist dan bijvoorbeeld een aangifte. Van de 161 bruikbare dossiers bevatten er 159 een kinderpornozaak. Over deze dossiers gaat deze analyse. Onder welke titel (‘beschrijving’) staat het dossier geregistreerd Een eerste manier om te bepalen welke verschijningsvormen hacken heeft en of er dwarsve rbanden zijn met andere cybercrimes is het analyseren van de titels of de ‘beschrijvingen’ waaronder de dossiers in de politiesystemen zijn geregistreerd. Ter toelichting het volgende. We selecteerden de dossiers niet op de titel waaronder het dossier in de politieadministratie is opgenomen. We selecteerden op de inhoud van het dossier. Welke titel of ‘beschrijving’ de behandelend agent aan het betreffende dossier geeft, zegt iets over hoe die agent naar de zaak kijkt: wat voor hem of haar de essentie van deze zaak is. De agent moet tijdens het registreren de ‘beschrijving’ kiezen uit een vaste lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen. Van de 159 dossiers staan er 117 in BPS, 35 in Xpol en 7 in Genesys (tabel 5.2). Op twee uitzonderingen na (beide keren ‘ontucht minderjarigen’) staan alle dossiers geregistreerd onder de titel ‘kinderpornografie’. De twee uitzonderingen wijzen op een verband tussen het in bezit hebben van kinderpornografie en het plegen van ontucht met kinderen. Er komen geen verbanden met andere soorten (cyber)delicten naar voren.
Tabel 5.2: Titels (‘beschrijving’) waaronder de 159 kinderpornodossiers zijn geregistreerd Beschrijving BPS Kinderpornografie Ontucht minderjarigen Totaal XPOL Kinderpornografie GENESYS Zeden: kinderporno TOTAAL Kinderpornografie Ontucht minderjarigen Totaal
n
%
116 1 117
99,1 0,9 100,0
35
100,0
7
100,0
158 1 159
99,4 0,6 100,0
Verbanden blijkens de inhoudsanalyse Tabel 5.3 geeft een overzicht van de verbanden tussen kinderporno en andere criminaliteitsvormen. Die tabel heeft betrekking op 159 dossiers; elk dossier kan meerdere verbanden met een ander delict bevatten. In 3,8 procent van de dossiers is bijvoorbeeld een verband met hacken en in 3,1 procent met identiteitsdiefstal. In de door ons gehanteerde systematiek valt een kinderpornodossier waarin sprake is van hacken en identiteitsdiefstals zowel onder de categorie ‘verband met hacken’ (3,8%) als onder de categorie ‘verband met identiteitsdiefstal (3.1%). We stellen in deze analyse vast of sprake is van een verband en zo ja met welk ander delict; dat sprake is van een verband zegt nog niet alles over de volgordelijkheid. Ook uit de inhoudelijke analyse van de kinderpornodossiers blijkt dat er in de meeste dossiers alleen sprake is van de cybercrime kinderporno. De dossierstudie bevat enkele zaken die onderdeel zijn van internationale onderzoeken. Er komt dan een internationaal rechtshulpve rzoek met de vraag om verdachten in Nederland te horen die op een website in het buitenland
125
kinderporno hebben gedownload. De verdachten worden dan in Nederland verhoord. Andere zaken komen door toeval aan het licht. Zo brengen sommige verdachten hun computer naar de reparateur, waarna die laatste ontdekt dat er kinderporno op de computer aanwezig is. In een aantal andere zaken ontdekken familieleden, (ex)relaties of vrienden bij toeval dat iemand kinderporno op zijn of haar computer heeft staan, een voorbeeld staat beschreven in casus 5.1.
Casus 5.1: Een kinderpornozaak Vier personen komen aan het bureau melding maken van het feit dat VE kinderporno in zijn bezit heeft. VE is ongehuwd. De getuigen zijn vrienden van VE. Getuige2 is in het bezit van een sleutel van de woning. Op vrijdag is Getuige 2 naar de woning van VE gegaan met de bedoeling om daar iets uit te printen via zijn computer. De computer stond nog aan en was bezig met downloaden via Limewire. Getuige2 zag dat de computer bezig was met het zoeken en downloaden van kinderporno. Er waren foto's en films van kinderporno op de computer aanwezig. Getuige2 heeft dit verteld tegen Getuige4 welke ook in de woning kwam. Samen hebben zij de computer bekeken en kinderporno gezien. Getuige4 heeft het thuis tegen Getuige3 verteld. Zaterdag zijn Getuige 3 en 4 samen naar de woning gegaan. Getuige3 had ook een sleutel van de woning. Samen hebben zij de computer bekeken. De computer staat namelijk 24 uur per dag aan. VE kwam even later thuis Getuige 3 en 4 hebben VE geconfronteerd met hun waarnemingen. VE reageerde hierop erg zenuwachtig. Getuige1 hoorde op maandagmiddag van Getuige4 dat VE in het bezit was van kinderporno. Met z'n vieren zijn ze maandagavond naar de woning gegaan om VE mede te delen dat zij niet meer in zijn woning wilden komen i.v.m. de aanwezigheid van kinderporno. VE was er niet. Ze zijn met de sleutel van Getuige3 naar binnen gegaan. Met z'n vieren hebben ze toen de computer bekeken. In de prullenbak was nog een filmpje met kinderporno aanwezig. De bestanden waren verplaats naar andere mappen dan waar ze op vrijdag stonden. Via zoeken hebben Getuigen de foto's en filmpjes weer gevonden. Getuigen hebben hierop VE gebeld. VE zou pas na 22.00 uur thuis zijn. Rond 23.00 uur zijn zij weer teruggegaan. VE ve rklaarde toen dat hij niets had kunnen vinden op zijn computer wat betrekking had op kinderporno. VE gaf te kennen dat een ander via hacken dit op zijn computer had gezet.
In 90 dossiers (56,6%) is er geen verband met een andere (cyber)crime en in 69 dossiers dus wel (tabel 5.3). In 6 dossiers vinden we verbanden met cybercrimes uit deze studie, allemaal met hacken. In 9 dossiers vinden we verbanden met andere cybercrimes, waaronder 6 keer cybersmaad en 5 keer identiteitsdiefstal. In 63 dossiers vinden we verbanden met offline criminaliteit. We vinden 56 maal een verband met off- line bezit van kinderporno en 8 maal met het off- line vervaardigen van kinderporno. We vinden dus vooral een verband tussen kinderporno en offline criminaliteit. Bezit van kinderporno in een digitale omgeving heeft eerder verband met off- line delicten inzake kinderporno dan met andere on- line delicten. Toch komen ook verbanden met andere cybercrimes voor.
126
Tabel 5.3: Verbanden in de 159 dossiers hacken met andere criminaliteit 62 Andere (cyber)crime waarmee een verband is Cybercrimes in deze studie Hacken E-fraude Cyberafpersen Haatzaaien Overige cybercrimes Cybersmaad Identiteitsdiefstal Vernietigen / beschadigen van gegevens 64 Grooming Aanranding door dreiging met geweld via ICT Aanranding door dreiging met smaad via ICT Off-line criminaliteit Bezit van kinderporno niet op ICT Vervaardigen van kinderporno Stalking Identiteitsdiefstal zonder gebruik van ICT Geen verband met andere (cyber)crime
n 6 6 0 0 0 9 6 5 3 2 2 2 63 56 8 2 1 90
63
% van 159 3,8 3,8 0,0 0,0 0,0 5,7 3,8 3,1 1,9 1,3 1,3 1,3 39,6 35,2 5,0 1,3 0,6 56,6
In vier van de zes dossiers waarin er naast kinderporno sprake was van hacken was niet het slachtoffer, maar de verdachte het slachtoffer van een hack. De verdachten geven in deze dossiers aan dat ze de kinderpornografische content die op hun computer is gevonden niet zelf hebben gedownload, maar dat het bijvoorbeeld via een virus of onbeveiligde draadloze ne twerkverbinding binnen is gekomen (zie ook casus 5.1). Wat de waarheid is, hebben we in het kader van dit onderzoek niet kunnen achterhalen. Eenmaal gaf de verdachte aan een kick te krijgen van het kijken naar porno door in te breken in een computer. In de dossiers waar er naast kinderporno sprake was van identiteitsmisbruik, creëerde de verdachte een fictieve identiteit om minderjarige slachtoffers te verleiden seksueel getinte foto’s of video’s van zichzelf te maken (zie casus 5.2). In de dossiers waarbij er naast kinderporno ook sprake was van een andere vorm van cybercrime, gaat het bijvoorbeeld om aanranding na dreiging met geweld of cybersmaad. Ook gaat een aantal dossiers over verdachten die het minderjarige slachtoffer chanteren met naaktfoto’s of naaktvideo’s (zie casus 5.2). De dader kan in deze gevallen zowel meerderjarig als minderjarig zijn. In de dossiers in deze dossierstudie deed de verdachte zich in de meeste gevallen wel voor als minderjarige. Het gebeurt echter ook dat minderjarigen naaktfoto’s van elkaar via internet verspreiden (zie bijvoorbeeld casus 5.3 en 5.4).
62
We selecteerden de verschillende vormen van (cyber)criminaliteit in de kinderpornodossiers op basis van de definities die we vooraf opstelden (zie het analysekader in bijlage 10) en niet op de wetsartikelen die in de dossiers zijn opgenomen. 63 Doordat in één dossier zowel verbanden met cybercrimes uit deze studie als overige (cyber)crimes voor kunnen komen is het totaal meer dan 100%. 64 Is op dit moment in Nederland niet strafbaar, maar staat wel in het Verdrag van Lanzarote in 2007 (met afspraken over strafbaarstelling van Grooming en van het zich bewust toegang verschaffen tot kinderporno, respectievelijk artikel 20 en 23 van het Verdrag.
127
Casus 5.2: Creëren van een fictieve identiteit om te chanteren met kinderpornografisch materiaal Ik doe aangifte omdat er een filmpje van mij is rond gegaan op het internet. Dit filmpje is vermoedelijk gemaakt via MSN met een webcam. Ik had die gesprekken met VE. Ze is een meisje die ik via [een website] heb ontmoet. Al vrij snel hadden we opwindende gesprekken. In het gesprek waar er meer gebeurd is heb ik de webcam aan gehad maar zij niet. Van de gesprekken werd ik opgewonden. Tijdens die gesprekken veranderde ze zelf van foto’s waar ze naakt op stond. Je hebt een scherm en daarnaast een balk en daar staat een afbeelding van jezelf of iets wat je leuk vindt. Zij stond met blote borsten en onderlijf zonder lingerie op de foto's. Het gesprek ging alleen over erotiek. […] Ik kreeg een erectie zo wond het mij op. Ze heeft niet gezegd dat ze iets met de beelden gedaan had. Na die beelden hadden we via MSN en via e- mails nog contact gehad. Ik kreeg later een e-mail met iets van "ik heb iets dat jou interesseert, dus reageer maar". Ik heb toen terug gemaild "wat weet jij nu wat mij interesseert". Ik kreeg toen een link bij mijn mail en ik zag dat dit van een pornosite was. Ik heb toen verteld dat ik helemaal niet op een pornosite wilde staan en dat zij het moest ve rwijderen. In een email van VE2 werd er aan mij gevraagd om meer van die filmpjes of anders zou hij het doorsturen naar mijn contactpersonen. Welke wetsartikelen heeft de politie aan het dossier gekoppeld Een dossier heeft vaste invoervelden voor het vermelden van de van toepassing zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel opnemen. In 8 dossiers staat geen wetsartikel vermeld. In de overige 151 dossiers stonden 156 wetsartikelen. Verreweg het meest voorkomende artikel is artikel 240b Sr (kinderpornografie) (tabel 5.4). Dan zijn er nog enkele dossiers met een wetsartikel van een zedendelict. Slechts twee maal zien we een ve rband met een andersoortig delict, te weten belediging en bedreiging. Tabel 5.4: Wetsartikelen in 151 kinderpornodossiers 65 Artikel
Omschrijving
240b Sr 267 Sr 285 Sr 249 Sr 239 Sr 245 Sr
Kinderpornografie Belediging bijzondere organen en functionarissen Bedreiging Ontucht met misbruik van gezag Schennis van de eerbaarheid Gemeenschap met een persoon beneden de 16 jaar Ontucht met wilsonbekwame
247 Sr
Totaal * is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten
n
% van 151
150 1 1 1 1 1
99,3 0,7 0,7 0,7 0,7 0,7
1
0,7
156
*
Samengevat We zochten in de kinderpornodossiers op drie manieren naar dwarsverbanden tussen hacken en andere delicten: 65
In één dossiers kunnen meerdere artikelen voorkomen.
128
1. we keken onder welke titel of beschrijving politiemensen het dossier registreerden; 2. we bestudeerden de inhoud van de dossiers; 3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde. De cybercrime kinderporno kent weinig verbanden met andere cybercrimes. Als er al een ve rband is, is dat met een ander delict in de zedensfeer, met name met het in bezit hebben van kinderporno anders dan op ICT en soms met het vervaardigen van kinderporno. Ook proberen verdachten bijvoorbeeld minderjarigen te groomen, of slachtoffers aan te randen door te dreigen met het publiekelijk maken van gevoelige informatie (bijvoorbeeld naaktfoto’s). Enkele keren zagen we dat de verdachte claimde slachtoffer te zijn geworden van een hack, hetgeen de aanwezigheid van kinderporno op zijn computer zou verklaren. 5.5 Daderkenmerken uit de literatuur Inleiding: enkele hoofdlijnen In de literatuur worden twee groepen volwassen daders onderscheiden die zich bezig houden met de verspreiding van kinderpornografisch materiaal: de commerciële groep met als oogmerk financieel gewin en de ‘liefhebbers’ met als primaire motivatie het verkrijgen van meer kinderpornografisch materiaal (zie paragraaf 5.3). De handel en productie in kinderporno is volgens Van der Hulst en Neve (2008) in toenemende mate een bezigheid van georganiseerde criminele groepen geworden. Kinderporno is een lucratieve business waarmee veel geld is te verdienen (NDB2004). Dergelijke groeperingen zijn, aldus verschillende auteurs, met name afkomstig uit Rusland en Oost-Europa (KLPD, DNRI, 2004; Lunnemann e.a., 2006; McCusker, 2006; Van der Werf, 2003). Specifieke, empirisch onderbouwde informatie over dergelijke georganiseerde groeperingen is in de literatuur echter niet te vinden. Wel weten we dat de black list die het KLPD hanteert om websites met kinderpornografie te blokkeren, overwegend bestaat uit sites die zijn gehost in de VS en andere Westerse landen (Stol e.a., 2008a). Dat roept de vraag op of ‘het kwaad’ wel speciaal moet worden gezocht in Oost-Europese landen. Wolak e.a. (2008) geven aan dat misbruikers van kinderen een groep is die niet gemakkelijk gekarakteriseerd kan worden. Uit onderzoek van Lünnemann e.a. (2006), die overigens zelf aangeven geen harde uitspraken te kunnen doen over het profiel van verdachten in kinderpornozaken, blijkt dat verdachten uit allerlei bevolkingsgroepen komen, verschillen in leeftijd (van minderjarig tot bejaard), opleidingsniveau, beroepsgroep, burgerlijke staat en seksuele interesse (van uitgesproken pedofiele gevoelens tot een nadruk op hun homoseksuele geaardheid met een voorkeur voor minderjarige jongens). Er is ook een tweetal gemeenschappelijke kenmerken: vrijwel alle verdachten zijn mannen en de meeste verdachten hebben een verzameldrift. Bullens (2007) vindt in een onderzoek naar 20 downloaders van kinderpornografie dat een aantal mannelijke daders getrouwd was en kinderen had. De meesten van hen claimden bij toeval op kinderporno te zijn gestuit en daar vervolgens nieuwsgierig naar en opgewonden van raakten. Van der Hulst en Neve (2008) onderscheiden op basis van de literatuur een aantal categorieën van daders: − Vervaardigers en handelaren. Maken en verspreiden het materiaal. − Verzamelaars. Downloaden het materiaal en ontmoeten gelijkgeïnteresseerden in een virtuele ruimte. Zij komen in principe niet direct in contact met minderjarigen. − Reizigers. Misbruiken kinderen daadwerkelijk zelf. De dader gaat heel ver om tot een fysieke ontmoeting te komen. − Chatters en groomers. Voeren ongepaste seksueel getinte communicatie met kinderen.
129
Deze categorieën en de daderkenmerken zijn door van der Hulst en Neve ontleend aan McLaughlin (2000), die 200 daders bestudeerde die waren gearresteerd in het kader van een driejarig onderzoek naar kinderporno. Het overgrote deel werd gecategoriseerd als verzamelaar (143) of reiziger (48). Slechts één keer betrof het grooming en in de overige 8 gevallen ging het om vervaardigers. Van der Hulst en Neve concluderen dat met name de vervaardigers/handelaren en de reizigers in sterkere mate in verband worden gebracht met seksueel misbruik. Verzamelaars worden door de beschikbaarheid van digitale fotografie en het uitwisselen van kinderpornografische afbeeldingen binnen pedofiele netwerken zelf in toenemende mate ook handelaar. Hierna behandelen we van iedere categorie de daderkenmerken zoals die door Van der Hulst en Neve (2008) zijn geïnventariseerd in hun literatuurstudie (waarbij zij zich in belangrijke mate weer baseren op McLa ughlin). Bij de subcategorie groomers maken we daarnaast nog gebruik van een recent gepubliceerd onderzoek van Wolak e.a. (2008). Tevens voegen we een vijfde categorie toe: de minderjarige daders. Deze groep is volgens Van Wijk en Stelma (2007) in opkomst. Vervaardigers en handelaren Makers en verspreiders van kinderporno komen voor in alle lagen van de bevolking en begeven zich vaak in netwerken (Van der Werf, 2003). Er is dus sprake van een divers, heterogeen daderprofiel. Wel is bekend dat deze categorie relatief vaak een strafblad heeft (voor zedendelicten en/of kindermishandeling) en vaak onderdak verleent aan kinderen die van huis zijn weggelopen (50%). De vervaardiger bezoekt publieke ruimten (zoals zwembaden en stranden) om kinderen te fotograferen en maakt gebruik van ‘reflectorsites’ waarop meerdere gebruikers, die een perifere computercamera hebben aangesloten, tegelijk kunnen inloggen en elkaar tegelijkertijd ook in beeld kunnen zien. De reflectorsites worden door jongeren gebruikt om publiekelijk seksuele handelingen te verrichten. Het is voor de vervaardiger tamelijk eenvo udig om deze beelden op te nemen en ze vervolgens te verspreiden onder derden. Niet zelden krijgen minderjarige tieners onder valse voorwendselen webcams opgestuurd om hen vervolgens over te halen tot seksuele handelingen voor de camera. Verzamelaars Van verzamelaars van kinderporno kan de volgende algemene profielschets worden gegeven (Alexy e.a., 2005; Jewkes en Andrews, 2007; Lunnemann e.a., 2006; McLaughlin, 2000; Sullivan, 2005): het gaat veelal om een blanke man, variabel in leeftijd (tussen de 13 en 65 jaar), die in het dagelijks leven regelmatig via beroep of vrijetijdsbesteding in contact komt met kinderen (bijvoorbeeld als coach, leraar, jeugdwerker). De primaire motivatie voor het verzamelen van kinderporno is seksuele stimulatie. In sommige gevallen hebben de daders een strafblad (doorgaans in verband met een zedendelict). De verzamelaar verkrijgt het meeste materiaal gratis via het internet of door het te ruilen met anderen. De verzamelaar maakt van favoriete afbeeldingen regelmatig ‘hard copies’ en hangt deze plaatjes in de slaapkamer waar ze worden gebruikt voor seksuele stimulatie. De verzamelaar heeft een sterke behoefte aan macht en controle en maakt overmatig (compulsief en obsessief) gebruik van het internet, heeft een enorme verzamelingsdrang en kan kampen met mentale of psychische problemen (bijvoorbeeld seksuele stoornissen, drank- of drugsmisbruik). Door de veelheid aan afbeeldingen gebruikt deze dadergroep veel computergeheugen en beschikken de daders over extra zipdrives. Van de zogenoemde ‘statische’ internetlocaties (zoals websites en nieuwsgroepen) gaan de meeste verzamelaars gaandeweg over op ‘dynamische’ internetlocaties (zoals chatrooms en Internet Relay Chat (IRC)). Op dat moment is de verzamelaar door uitwisseling van afbeeldingen met anderen ook verspreider geworden van kinderporno.
130
Reizigers De reiziger chat online met kinderen en manipuleert of dwingt hen tot een fysieke ontmoeting voor seksueel contact. Deze categorie doet zich in het begin vaak voor als tiener en probeert persoonlijke informatie van het kind los te krijgen en het kind vertrouwen te geven, vervo lgens maakt de reiziger seksuele toespelingen en stuurt pornografische afbeeldingen op (meer dan de helft stuurt uiteindelijk (naakt)foto’s van zichzelf). De meeste reizigers zijn ook ve rzamelaar en een klein deel (7%) heeft ook sadistische pedofiele trekken. De reiziger is er doorgaans van overtuigd dat de kinderen zelf seksueel contact willen. Voor het seksueel contact reist deze dadergroep soms zelfs naar andere landen. Kinderen worden echter ook ove rgehaald om naar de dader toe te komen. Het kind wordt in sommige gevallen overtuigd om van huis weg te lopen en de dader betaalt dan bijvoorbeeld de reiskosten (of stuurt een reisticket op). Chatter De chatter is buitensporig veel op het internet te vinden (soms meer dan 12 uur per dag) en doet zich daar voor als raadgever en vertrouwenspersoon van kinderen. Kinderen worden er indirect toe aangezet om raad te vragen en vragen te stellen, bij voorkeur op het gebied van seks. De chatter heeft geen behoefte aan fysiek contact met het kind maar probeert om telefonisch in gesprek te komen in de hoop dat dit gesprek zich ontwikkelt tot een vorm va n telefoonseks. Er is mogelijk sprake van andere seksuele gedragingen of fantasieën die over het algemeen als afwijkend kunnen worden beschouwd. Groomers Volgens artikel 23 van de Convention on the Protection of Children against Sexual Exploitation and Sexual Abuse (verdrag van Lanzarotte van 25 oktober 2007) is sprake van grooming indien een volwassene via ICT contact legt met een kind, met de intentie om dat kind te ontmoeten met het doel met hem of haar een zedendelict te plegen. 66 De volwassene kan zic h voordoen als minderjarige om contact met het kind te krijgen, maar dit gebeurt niet altijd. Deze contacten kunnen zowel virtueel zijn (seksuele handelingen voor de webcam) als fysiek (een ontmoeting waarbij het kind daadwerkelijk seksueel misbruikt wordt). Deze categorie vertoont gelijkenissen met de categorie reizigers en chatters. Grooming vindt ook plaats buiten het internet, dus in de ‘echte wereld’, maar juist op het internet zijn de mogelijkheden voor deze vorm van misbruik groot. Internet maakt het op een relatief veilige manier gemakkelijk om contacten te leggen met kinderen, via bijvoorbeeld chatboxen (MKI, 2008). In sommige gevallen bleken chatsessies ook daadwerkelijk tot ontuchtige handelingen met minderjarigen en verkrachting te hebben geleid (Cops, 2007c, 2007d en 2007e). De daderkenmerken van de ‘reiziger’ zijn volgens Van der Hulst en Neve (2008) waarschijnlijk het meest illustratief voor groomers. Bij de berichtgeving in de media betrof het in alle gevallen mannen, vermoedelijk autochtoon, in de leeftijd van 23 tot 58 jaar. De dader chanteerde het slachtoffer via MSN en zette het slachtoffer aan tot het verrichten van seksuele handelingen voor de webcam. Daarbij was in één geval ook sprake van doelbewuste stalking van minderjarige meisjes via hun mobiele telefoon en MSN (Cops, 2007c en 2007e).
Artikel 23 luidt: “Each Party shall take the necessary legislative or other measures to criminalise the intentional proposal, through information and communication technologies, of an adult to meet a child who has not reached the age set in application of Article 18, paragraph 2, for the purpose of committing any of the offences established in accordance with Article 18, paragraph 1.a, or Article 20, paragraph 1.a, against him or her, where this proposal has been followed by material acts leading to such a meeting.” 66
131
Uit onderzoek van Wolak e.a. (2008) blijkt dat in slechts vijf procent van de gevallen waarin een volwassene via internet contact heeft met een minderjarige (met als doel het hebben van seksueel contact), deze volwassene zich voordoet als een minderjarige (Wolak e.a., 2004). Daders verbergen ook hun intentie om seksueel contact te hebben doorgaans niet; de meeste slachtoffers die afspreken met een dader hebben dan ook de verwachting dat zij seksueel contact zullen hebben. Bijna driekwart (73%) van de slachtoffers had meer dan eens fysiek contact met de dader. De slachtoffers hadden vaak ook gevoelens van liefde voor de dader. Problemen ontstaan veelal pas als de liefde onbeantwoord blijft en de daders alleen uit zijn op seksueel contact (Wolak e.a., 2008). Uit een aantal andere onderzoeken blijkt ook dat minderjarigen vrijwillig seksueel contact hebben met meerderjarigen. Uit de Youth Risk Behaviour Survey volgt bijvoorbeeld dat tussen de één en drie procent van de meisjes tussen 11 en 12 jaar oud en 3,5 procent van de meisjes tussen 13 en 15 jaar oud vrijwillige seks hadden gehad met jongens die vijf of meer jaar ouder waren (Finkelhor e.a., 2005). Een andere studie laat zien dat zes procent van de meisjes voor het eerst seksueel contact heeft op of voor haar veertiende jaar, met een partner die zes of meer jaar ouder was (Abma e.a., 2005). Er is dus als het gaat om kinderporno niet altijd een scherpe tweedeling met aan de ene kant het minderjarige meisje als slachtoffer en aan de andere kant de meerderjarige man als dader. Minderjarige daders Jeugdige zedendelinquenten vallen volgens Van Wijk en Stelma (2007) in de leeftijdscategorie 12 tot 18 jaar. Kinderen onder de 12 jaar kunnen ook seksueel grensoverschrijdend gedrag vertonen, maar dat is niet strafrechterlijk vervolgbaar. Van Wijk en Stelma onderscheiden drie groepen daders. De eerste groep daders pleegt zedendelicten tegen de persoonlijke vrijheid (bijvoorbeeld verkrachting of aanranding). In de tweede groep vallen minderjarige zedendelinquenten die misbruik maken van het in hun gestelde vertrouwen of van hun machtspositie (bijvoorbeeld seksueel binnendringen bij iemand jonger dan 12 jaar of bij een bewusteloze, onmachtige of geesteszieke). In de derde groep vallen delicten tegen de verdraagzaamheid, zoals het verzamelen en distribueren van kinderporno. Volgens de auteurs zal dit laatste echter in de praktijk niet vaak voorkomen. Wel denken zij dat met de mogelijkheden van internet dergelijke zedendelicten, ook gepleegd door jeugdige daders, vaker zullen voorkomen. 5.6 Verdachtenkenmerken uit de dossierstudie In deze paragraaf beschrijven we de resultaten van de dossieranalyse. Aan bod komen de modus operandi, persoonskenmerken, sociale achtergrond en antecedenten van de verdachten van kinderpornografie. De modus operandi Om de modus operandi bij kinderpornodelicten te bepalen hebben we (1) een analyse gemaakt van de MO zoals die door politiemedewerkers in het politiedossier is vastgelegd, (2) gekeken naar gebruikte criminele technieken en voorbereidingshandelingen die in het dossier worden genoemd, (3) vastgesteld vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al dan niet samenwerkende verdachten in het dossier staan vermeld. (1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen kunnen bij het registreren van een delict een MO kiezen uit een vaste lijst. Die lijst verschilt enigszins per basisprocessensysteem. Daarnaast kunnen politiemensen zelf een MO invoeren. In de meeste dossiers vonden we geen beschrijving van de MO (83,6%). In de dossiers waarin wel een MO-beschrijving stond, hadden de meeste door politiemensen gekozen MO’s betrekking op het type woning, bijvoorbeeld ‘woning hoek’ en ‘woning tussen’ (14 maal, tabel 5.5). De op een na meest voorkomende MO is ‘computer’ (8 maal). In BPS stond in 26 dossiers
132
een beschrijving van de MO en in XPOL en Genesys stonden geen MO-beschrijvingen in de dossiers. Een en ander levert geen nieuwe informatie over de werkwijze van de daders. Tabel 5.5 MO-beschrijvingen in 26 kinderpornodossiers 67 MO beschrijving In BPS (N=26)
Woning Computer Overig geweld Nvt In XPOL (N=0) In GENESYS (N=0) TOTAAL (n=26)
n
%*
14 8 2 2
53,8 30,8 7,7 7,7 0,0 0,0
0 0
53,8 30,8 7,7 7,7 * Het totaal is niet gelijk aan 100 omdat in een dossier meerdere MO’s kunnen zijn geregistreerd. Daarnaast hebben we MO-beschrijvingen die niet vaak voorkomen niet in de tabel opgenomen, zie ook de methodische verantwoording in hoofdstuk 1.
Woning Computer Overig geweld Nvt
14 8 2 2
(2) In de teksten van de dossiers staat niets over criminele technieken. Ook is er weinig informatie over voorbereidingshandelingen. In een aantal dossiers zien we wel dat verdachten bestanden verplaatsen naar minder zichtbare mappen (bijvoorbeeld uit de map met de gedownloade bestanden naar een map met ‘verboden toegang’). Maar dat geldt in dit onderzoek niet als criminele techniek. Bij 11 dossiers is sprake van voorbereidingshandelingen (6,9 procent). Het ging in die gevallen om het creëren van een fictieve identiteit, bijvoorbeeld door het aanmaken van e- mailadressen, MSN-namen en profielen op sociale netwerksites. (3) We zochten ook naar informatie over vanuit welk land de dader opereerde. In 136 gevallen bevatte het dossier informatie daarover. In al die gevallen werd het delict gepleegd vanuit Nederland. (4) In 157 van de 159 dossiers noteerden we 172 verdachten, als volgt over de dossiers verdeeld: − in 147 dossiers 1 verdachte (93,6%); − in 7 dossiers 2 verdachten (4,5%); − in 2 dossiers 3 verdachten (1,3%); − in 1 dossier 5 verdachten (0,6%); Als er verdachten bekend zijn, gaat het meestal om één verdachte (92,5%). Kennelijk opereren de verdachten niet in samenwerking met anderen. In de dossiers waarin er meerdere ve rdachten zijn, maken de verdachten geen deel uit van een groep en er is geen sprake van ve rdachten die deel uitmaken van georganiseerde criminaliteit. In een aantal dossiers is wel sprake van georganiseerde kinderpornohandel. De verdachten zijn echter de afnemers en zelf geen onderdeel van het criminele samenwerkingsverband. Over de MO’s weten we nu dat verdachten van kinderpornodelicten bijna altijd alleen opereren en steeds vanuit Nederland. Van het gebruik van criminele technieken daarbij is ons 67
Per dossier zijn meerdere MO’s mogelijk.
133
niets gebleken. Soms worden voorbereidingshandelingen verricht, met name het creëren van een fictieve ident iteit. Persoonskenmerken Van 168 verdachten weten we het geboorteland (tabel 5.6). Meestal is dat Nederland (91,1%). Voor het overige zijn de verdachten geboren in een ander Europees land (2,4%) of in een land buiten Europa (6,5%) 68
Tabel 5.6: Geboorteland van 168 verdachten Geboorteland Nederland Ander Europees land Buiten Europa Totaal
n 153 4 11 168
% 91,1 2,4 6,5 100,0
Van 167 verdachten weten we het geslacht (tabel 5.7). Het gaat om 164 mannen en 3 vrouwen (resp. 98,2 en 1,8%). Eenzelfde percentage mannen is te zien in de hoofdcategorie ‘overige seksuele misdrijven’ in HKS: 97,1 procent (Prins, 2008). Het percentage mannen onder de kinderpornoverdachten is wel significant hoger dan het overeenkomstige percentage onder verdachten in HKS en het overeenkomstige percentage onder de Nederlandse bevolking (p<0,01) (tabel 5.7).
Tabel 5.7: Geslacht van 167 verdachten Verdachten kinderporno Nederlandse verdachten# Nederlandse bevolking## Geslacht n % n % n % Man 164 ? * 98,2 202.698 * 82,9 8.157.074 49,5 Vrouw 3 ? * 1,8 41.777 * 17,1 8.329.513 50,5 Totaal 167 100,0 244.475 100,0 16.486.587 100,0 # Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008); ## Bron: www.cbs.nl, peiljaar 2009. * Significant verschil met Nederlandse bevolking (p<0,01); ? Significant verschil met Nederlandse verdachten (p<0,01),
Van 168 verdachten weten we de leeftijd. Die varieert van 14 tot 83 jaar, met de meeste ve rdachten verdeeld over de groepen van 18-54 jaar (tabel 5.8). Vergeleken met de Nederlandse bevolking is bij de kinderpornoverdachten vooral de groep van 65 jaar en ouder ondervertegenwoordigd (p<0,01). Maar kinderpornoverdachten zijn juist weer significant ouder dan Nederlanders met antecedenten (p<0,01). Ook zijn ze significant ouder dan verdachten die vallen in de hoofdgroep ‘overige misdrijven’, de hoofdgroep waaronder kinderporno valt (Prins, 2008). De kinderpornoverdachten wijken qua leeftijd niet af van verdachten van ‘overige seksuele misdrijven’ (niet gewelddadig seksueel). Oftewel: qua leeftijdsopbouw zijn verdachten in de kinderpornodossiers het beste te vergelijken met daders van ‘overige seksuele misdrijven’. 68
Europa (4): Luxemburg, Polen en Engeland (2). Buiten Europa (11): Australië, Canada, Colombia (2), Indonesië, Nieuw Zeeland, Sri Lanka (2), Suriname en Zuid Afrika (2).
134
Tabel 5.8: leeftijdsopbouw 168 verdachtenkinderporno, vergeleken met Nederlandse verdachten, verdachten ‘overige seksuele misdrijven’ en Nederlanders van 12 jaar en ouder Verdachten kinderporno
Nederlandse verdachten#
Verdachten Nederlanders 12+ overige ### seksuele misdrijven## Leeftijdscategorie n % n % n % n % 12 – 17 jaar 14 8,3 35.161 * 14,4 293 * 12,2 120.4964 8,6 18 – 24 jaar 26 ? 15,5 59.990 * 24,6 332 * 13,8 1.358.686 9,7 25 – 34 jaar 32 19,0 53.137 * 21,8 463 * 19,3 2.057.625 14,7 35 – 44 jaar 37 22,0 48.045 * 19,7 531 * 22,1 2.605.300 18,6 45 – 54 jaar 36 ? 21,4 28.595 * 11,7 403 16,8 2.367.997 16,9 55 – 65 jaar 16 9,5 13.214 * 5,4 248 * 10,3 2.035.580 14,5 65 jaar en ouder 7 * 4,2 5.527 * 2,3 129 * 5,4 2.368.352 16,9 Totaal 168 100,0 243.669 99,9 2.400 99,9 13.998.504 99,9 # Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008); ## Bron: Prins (2008); ### Bron: www.cbs.nl, peiljaar 2007. * Significant verschil met Nederlandse bevolking (p<0,01). ? Significant verschil met Nederlandse verdachten (p<0,01) NB: Personen onder de 12 jaar hebben we niet meegenomen omdat deze ook niet in HKS staan.
Tabel 5.8 laat zien dat 14 verdachten van kinderporno minderjarig zijn en dat nog eens 26 verdachten tussen de 18 en 24 jaar oud zijn. Dat lijkt misschien vreemd gezien het delict, maar dit is te verklaren doordat minderjarige jongeren seksueel getinte foto’s en video’s van zichzelf en/of elkaar maken. Indien dergelijke content verspreid wordt via internet is er sprake van de verspreiding van kinderpornografie in de zin van artikel 240b Sr (zie casus 5.3 en 5.4). Over het geheel genomen ligt bij verdachten van kinderporno wat minder dan bij de hiervoor reeds besproken cybercrimes de nadruk op de jongere leeftijdsgroepen. Maar nog steeds zijn ook deze verdachten gemiddeld jonger dan het gemiddelde van de Nederlandse bevolking – zoals gezegd met als opmerkelijkste verschil de ondervertegenwoordiging van de groep 65+. Ook voor kinderporno geldt dus dat de verdacht en vaak mannen zijn uit de jongere (of zo men wil in dit geval: minder oudere) leeftijdsgroepen.
Casus 5.3: Maken en verspreiden kinderporno door jonge verdachte Een vader en moeder doen aangifte op het bureau. Hun minderjarige dochter heeft seksuele handelingen verricht met een minderjarige jongen. Hiervan zijn filmopname gemaakt en geplaatst op het internet. De jongen is 14 of 15 jaar. De filmopname zijn gemaakt bij [persoon x] thuis, deze is 16 of 17 jaar. Het slachtoffer wist niet dat er filmopname waren gemaakt. Allen zitten op dezelfde school. Het schijnt dat alle schooljeugd van de scholengemeenschap al op de hoogte was van de filmopname. Vader wil graag praten met een zedenrechercheur. Het werd rapporteur niet helemaal duidelijk of de seksuele handelingen tegen de wil van het slachtoffer waren gepleegd.
135
Casus 5.4: Maken en verspreiden kinderporno door jonge verdachte Slachtoffer vertelde mij dat haar relatie met VE1 voorbij was. Zij vertelde mij ook dat er een filmpje naar buiten was gebracht waarop te zien was hoe zij naakt onder de douche stond. Slachtoffer vertelde mij dat zij dit filmpje samen met VE had gemaakt, dit filmpje is onder de scholieren in omloop.
Op hoofdlijnen kunnen we concluderen dat verdachten in kinderpornodossiers hoegenaamd allemaal van het mannelijk geslacht zijn. Ze zijn gemiddeld genomen jonger dan de Nederlandse bevolking en ouder dan de groep ‘Nederlandse verdachten’. De leeftijdsopbouw van de verdachten in de kinderpornodossiers vertoont geen significante verschillen met de HKSgroep ‘overige seksuele misdrijven’. Van de groep kinderpornoverdachten valt bijna een kwart (23,8%) in de leeftijdsgroep 12-24 jaar. Sociale achtergrond Van 125 verdachten weten we de burgerlijke staat (tabel 5.9). Het merendeel is alleenstaand (71,2%). Andere verdachten zijn getrouwd (24,0%) of samenwonend (4,8%). Het aantal alleenstaanden in Nederland van 15 jaar en ouder is 18,7 procent (www.cbs.nl, peiljaar 2006), verdachten in de kinderpornodossiers zijn aldus significant vaker alleenstaand (p<0,01). Van 130 verdachten is de woonsituatie bekend (tabel 5.10). Van hen is 36,9 procent samenwonend, 28,5 procent inwonend en 34,6 procent alleenwonend. Aldus woont 65,4 procent van de verdachten inzake kinderporno in een meerpersoonshuishouden en 34,6 procent in een eenpersoons. Landelijk gezien bestaan de Nederlandse huishoudens voor 35,5 procent uit eenpersoonshuishoudens (www.cbs.nl; peiljaar 2008). Het verschil tussen deze 35,5 en 34,6 procent is niet significant. Deze bevinding wijst er op dat verdachten van kinderporno qua woonsituatie niet verkeren in een geïsoleerde sociale positie.
Tabel 5.9: Burgerlijke stand van 125 verdachten
Tabel 5.10: Woonsituatie van 130 verdachten
Burgerlijke stand Alleenstaand Gehuwd Samenwonend Totaal
Woonsituatie Samenwonend Inwonend Alleenwonend Totaal
N 89 30 6 125
% 71,2 24,0 4,8 100,0
N 48 45 37 130
% 36,9 28,5 34,6 100,0
Van 123 verdachten weten we de arbeidssituatie (tabel 5.11). Van de verdachten die behoren tot de beroepsbevolking (92) is 15,2 procent werkloos. Het landelijke werkloosheidspercentage is 3,9 van de beroepsbevolking (www.cbs.nl; peiljaar 2008). Het verschil tussen deze 15,2 en 3,9 procent is significant (p<0,01). Verdachten van kinderporno zijn vaker werkloos dan gemiddeld (maar minder vaak dan verdachten van e-fraude, zie hoofdstuk 3. De verdachten verkeren dan wel niet in een sociaal geïsoleerde positie wat betreft hun woonsituatie, wat betreft hun arbeidssituatie ligt dat dus anders. Van 54 verdachten weten we het opleidingsniveau (tabel 5.12). De nadruk ligt op MBO (40,7%) en HBO (24,1%). Van de Nederlandse bevolking weten we dat 25,2% een 136
HBO of WO diploma heeft en dat 65,5% een middelbare school of MBO diploma heeft (www.cbs.nl, peiljaar 2006) (tegen respectievelijk 26,0% en 59,2% van verdachten in kinderporno dossiers). Het opleidingsniveau van de (met name mannelijke) verdachten in de kinderpornodossiers wijkt niet significant af van het opleidingsniveau van het mannelijke deel van de Nederlandse beroepsbevolking. Over de technische en computervaardigheden kunnen we op basis van de dossiers geen uitspraken doen.
Tabel 5.11: Arbeidssituatie van 123 verdachten Arbeidssituatie Werkend Werkloos Arbeidsongeschikt Gepensioneerd Studerend Anders Totaal
n 78 14 9 5 15 2 123
Tabel 5.12: Opleidingsniveau van 54 verdachten
% 63,4 11,4 7,3 4,1 12,2 1.6 100,0
Opleidingsniveau Lagere school Middelbare school LBO MBO HBO WO Totaal
n 1 10 7 22 13 1 54
% 1,9 18,5 13,0 40,7 24,1 1,9 100,0
Antecedenten Van 167 verdachten uit de kinderpornografie dossiers zijn de antecedenten nagetrokken. We hebben opgevraagd in welke hoofdgroepen van delicten zij staan vermeld en voor welke artikelen die verband houden met de cybercrimes uit deze VCN2009 zij antecedenten hebben. 69 Van de 167 verdachten hebben er 87 (52,1%) een of meer vermeldingen in een hoofdgroep, in totaal 153 vermeldingen. Elke vermelding in een hoofdgroep kan weer meerdere antecedenten inhouden. De vermeldingen zijn verspreid over de verschillende hoofdgroepen. De meeste vermeldingen vallen onder de hoofdgroep ‘overige’, waarin onder meer artikel 240b Sr (kinderpornografie) valt. Andere hoofdgroepen waarin verdachten vaak een vermelding hebben zijn ‘vermogen zonder geweld’ en ‘vernieling / openbare orde’ (tabel 5.13). Kinderpornoverdachten hebben in bijna alle hoofdgroepen meer antecedenten dan de gemiddelde Nederlander. Wellicht speelt een rol dat kinderpornoverdachten bijna allemaal mannen zijn en gemiddeld jonger dan de Nederlandse bevolking (en jonge mannen plegen vaker delicten dan gemiddeld). Om iets te zeggen over de vraag of het hoge percentage vermeldingen bij kinderpornoverdachten kan worden verklaard door hun, vergeleken met de Nederlandse bevolking, afwijkende persoonskenmerken, zouden we een steekproef uit de bevolking moeten nemen die in elk geval qua leeftijd en geslacht overeenkomt met onze groep kinderpornoverdachten. Dat is een aandachtspunt voor nader onderzoek. Aan het hoge percentage verdachten met een vermelding in de categorie ‘overig’ mogen we niet de conclusie verbinden dat kinderpornoverdachten vaak recidiveren. Een deel van deze vermeldingen is vermoedelijk veroorzaakt door een antecedent als gevolg van de zaak in ons onderzoek. Alle kinderpornodossiers zijn afkomstig uit 2007 (datum aanmaken dossier). We vroegen de antecedenten op eind 2008. Een deel van de zaken was vermoedelijk ten tijde van het opvragen al opgenomen in HKS. In die gevallen kregen we dus onze eigen zaak terug als antecedent.
69
Zie paragraaf 1.4. Dat zijn de volgende artikelen uit het Wetboek van Strafrecht: 138a, 350a, 350b, 161sexies, 161septies, 139c, 139d, 232, 326, 225, 240b, 147, 131, 137c, 137d, 137e, 137f, 137g. Deze artikelen staan uitgebreid beschreven in de hoofdstukken over de individuele cybercrimes (hoofdstuk 2 tot en met 6, steeds paragraaf 2).
137
Van grotere betekenis is dat de kinderpornoverdachten ook vermeldingen hebben in andere hoofdgroepen dan ‘overig’. Dat zijn dan andere artikelen dan 240b Sr. We zien ook vermeldingen in de hoofdgroep ‘gewelddadig seksueel’ (2,4%) en in de hoofdgroep ‘overig seksueel’ (8,3%). Gezien het delict waarvoor wij deze personen in ons onderzoek hebben (kinderporno) is dat niet geheel verbazingwekkend. Toch is de bevinding van belang want het betekent dat kinderpornoverdachten zich vaker dan de gemiddelde Nederlander, ook schuldig maken aan andere zedendelicten dan het in bezit hebben of verspreiden van kinderporno. Het kan dan gaan om andere hands-off zedendelicten maar ook om het plegen van zedendelicten waarbij de dader lichamelijk contact met het slachtoffer heeft (zgn. hands-on delict; Van Wijk en Stelma, 2007). Nader onderzoek zal moeten uitwijzen hoe overtreding van artikel 240b Sr precies samenhangt met het plegen van andere delicten uit de zedelijkheidswetgeving.
Tabel 5.13: Antecedenten van 167 verdachten van kinderporno en van Nederlanders van 12 jaar en ouder (n=14 mlj.): vermeldingen per hoofdgroep Hoofdgroep
Verdachten kinderporno n % van 167
Gewelddadig seksueel 4 Overig seksueel 13 Geweld tegen personen 14 Vermogen met geweld 1 Vermogen zonder geweld 22 Vernieling / openbare orde 18 Verkeer 9 Drugs 4 Overige 68 Eén of meer van bovenstaan87 de hoofdgroepen *: significant verschil met ‘Nederlanders 12+’ (p<0,01)
* 2,4 * 7,8 * 8,4 0,6 * 13,2 * 10,8 * 5,4 * 2,4 * 40,7 * 52,4
70
Nederlanders 12+ n % van 13.998.504 1.896 0,014 2.400 0,017 64.914 0,464 6.622 0,047 67.689 0,484 49.379 0,353 62.756 0,448 19.132 0,137 23.811 1,170 2.444.475 1,746
Er zijn 65 verdachten met antecedenten die vallen onder artikelen die verband (kunnen) ho uden met de cybercrimes uit deze VCN2009 (tabel 5.14). Daarvan hebben 63 verdachten antecedenten voor artikel 240b Sr (kinderporno). We weten evenwel niet of dat ook cybercrime betreft. Voor de antecedenten inzake artikel 240b Sr geldt wat we hiervoor over vermeldingen in de hoofdgroep ‘overig’ hebben opgemerkt: mogelijk gaat het om antecedenten op basis van de zaken in onze studie. Dit deel van de analyse toont dat sommige kinderpornoverdachten (4,2%) ook actief zijn op het vlak van fraude. Een sterke verwevenheid tussen die twee delicten lijkt echter niet waarschijnlijk: ten eerste is 4,2 procent niet veel en ten tweede vonden we bij e- fraude (hoofdstuk 3) geen verdachten met antecedenten voor kinderporno (tabel 3.9).
70
De percentages berekenden we als volgt: In 2007 waren er 13.998.504 Nederlanders van 12 jaar en ouder (www.cbs.nl). We houden 12+ aan omdat onze verdachten ook allemaal 12 jaar en ouder zijn. We weten per hoofdgroep het aantal mensen dat in HKS geregistreerd staan (zie Prins, 2008). Op die manier berekenden we het percentage Nederlanders met antecedenten.
138
Tabel 5.14: Antecedenten van verdachten van kinderporno voor artikelen die (mogelijk) verband houden met de cybercrimes in deze VCN2009 Aantal verdachten met antecedenten hacken Aantal verdachten met antecedenten mogelijk i.r.t. fraude Artikel 326 Sr (oplichting) Artikel 225 Sr (valsheid in geschrift) Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen Artikel 317 Sr (afpersing) Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno Artikel 240b Sr (kinderporno) Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien Artikel 137c Sr (belediging van een bevolkingsgroep)
0 7 4 5 1 1 63 63 1 1
Relatie verdachte-slachtoffer Van alle 159 verdachten weten we de relatie met het slachtoffer. In de meeste gevallen waren verdachte en slachtoffer onbekenden van elkaar (93,1%). Dit komt doordat veel dossiers over verdachten gaan die enkel kinderporno gedownload hebben. De overige 11 verdachten kenden het slachtoffer, meestal ging het dan om een kennis (tabel 5.15). Ook dit deel van de analyse wijst er dus op dat het bij kinderpornoverdachten niet altijd ‘alleen maar’ gaat om het bezitten van willekeurige kinderpornoplaatjes: 6,9 procent van de verdachten kent het slachtoffer.
Tabel 5.15: Relatie tussen 115 verdachten en slachtoffers Relatie verdachte en slachtoffer Familie Partner Ex-partner (getrouwd, langdurige relatie) Ex-partner (verkering, kortstondige relatie) Kennis Zakelijk ((ex-)werknemer, zakenrelatie, klant) Zakelijk (student) Onbekende Totaal
n 1 1 0 0 9 0 0 148 159
% 0,6 0,6 0,0 0,0 5,7 0,0 0,0 93,1 100,0
Van 118 verdachten konden we de primaire motivatie uit het dossier afleiden. In meer dan de helft van de gevallen was dat nieuwsgierigheid (61,0%, bv. casus 5.5). In 20 procent van de gevallen was er sprake van een seksuele behoefte of verslaving. In 11 dossiers zeiden de ve rdachten dat het downloaden van kinderporno per ongeluk gegaan was (10,5%), het was bijvoorbeeld bijvangst bij het zoeken naar (grote hoeveelheden) gewone porno, of bij het downloaden van filmpjes en muziek van peer-2-peer systemen (casus 5.6). De overige verdachten hadden uiteenlopende motieven. Anders dan bij hacken bijvoorbeeld, leren we uit de primaire motivatie niet veel over de relatie tussen verdachte en slachtoffer. In verband met preventie is een relevante bevinding dat meer dan de helft van de verdachten zegt uit nieuwsgierigheid te hebben gehandeld. Er is dus, in elk geval naar eigen zeggen, in de politieregistratie een substantiële groep kinderpornoverdachten die niet uit een gevestigde pedofiele voorkeur zoekt naar kinderporno maar bij wie het eerder gaat om grensverkennend gedrag. Nader onderzoek naar achtergronden, omstandigheden en drijfveren zou gericht moeten zijn op de vraag of de misdrijven van deze
139
groep nieuwsgierigen wellicht te voorkomen zijn met normbevestigende of gelegenheidsbeperkende maatregelen.
Casus 5.5: Nieuwsgierigheid als primaire motivatie Ik weet dat ik niet tot antwoorden verplicht ben. Sinds vorig jaar heb ik wel eens op kinderpornosites gekeken. Af en toe heb ik wel eens gekeken en ook wel eens foto's en filmpjes gedownload en bekeken. Ik heb zelf nooit kinderen aangeraakt, laat staan misbruikt. Ik ben via zogenaamde porno- of sekssites door middel van doorklikken op die kinderporno sites terecht gekomen. Soms kreeg je een lijst met wachtwoorden die je moest gebruiken om die foto's en filmpjes te openen. Soms moest je het wachtwoord een paar keer proberen. Soms kon je aan de titel zien wat de foto of het filmpje inhield; soms ook niet. De bestanden die ik binnen kreeg waren meestal "ingepakte" bestanden zoals ".zip" en "winrar". Na het zogenaamde "unzippen" kreeg je dan het bestand te zin. Ik heb kinderen in de leeftijd van ongeveer 5 jaar op die pornosites gezien. Ik heb ernaar gekeken, maar het deed me niets. Ik werd er niet opgewonden van of zo. Het was meer nieuwsgierigheid van mij. Ook was het om dit te proberen te krijgen. Meestal gooide ik het bestand later weer weg.
Casus 5.6: Per ongeluk kinderporno downloaden U vraagt mij om een reactie op het feit dat ik hier als verdachte van bezit van kinderporno zit. Ik vind het verschrikkelijk. Ik vind het verschrikkelijk voor mijzelf maar vooral voor degene die het overkomt. Ik heb een keer per ongeluk wat gedownload, dit was een striptease of zoiets, maar dat heb ik gelijk weggegooid. U legt mij uit waarom er een doorzoeking van mijn woning is geweest. U vraagt mij om een reactie. Ik weet het niet. Ik kan me niet herinneren dat ik kinderporno gedownload heb. Ik heb u net gezegd dat ik ooit een iets gedownload heb wat op kinderporno leek maar dat ik dat direct weer weggegooid heb. U legt mij het onderzoek nogmaals uit. U zegt mij daarbij dat uit het onderzoek is gebleken dat je op deze sites niet zomaar komt. Je moet er wat handelingen voor verrichten. Het zou best kunnen dat ik wat gedownload heb. Ik zeg u ook dat ik wel eens wat gedownload heb, maar die dingen ook gelijk weer weggegooid heb. U vraagt mij of ik interesse heb in naakte jonge kinderen. Nee, hier heb ik geen interesse in. Ik ben wel eens op een site geweest genaamd [naam]. Ik heb van deze sites wel eens wat gedownload, maar ik heb niets bewaard. Ik ben sinds vorig jaar ook niet meer op dit soort sites geweest. Ik wil u benadrukken dat ik me niet bezig houd met naakte jonge kinderen. Ik heb zelf twee kleinkinderen. Wij hebben een tijdje gebruik gemaakt van een draadloos netwerk. We maakten toen gebruik van een onbeschermde router. We hadden begrepen dat er zo ook andere mensen via ons netwerk kunnen surfen. Tevens hebben wij ook ooit op een markt gebruikte diskettes gekocht, mijn vrouw was bang dat er hierop misschien dingen stonden die niet door de beugel konden en dat we daar last mee konden krijgen. Ik denk dat dit dan gebeurd moet zijn door iemand anders die via mijn onbeschermde router toegang had tot mijn IP adres. Deze persoon heeft zich dus voorgedaan als mij en kinderporno gedownload.
140
Conclusies In de literatuur lezen we dat georganiseerde groepen zich bezig houden met de verspreiding van kinderpornografie. Er worden vijf categorieën daders onderscheiden. De vervaardigers en handelaren die het materiaal maken en verspreiden, de verzamelaars die het materiaal downloaden, de reizigers die tot een fysieke ontmoeting met een kind willen komen, de groomers/chatters die seksueel getinte communicatie hebben met kinderen en ten slotte de minderjarige daders. In de dossiers is een aantal keer terug te zien dat er grootschalige internationale onderzoeken zijn naar websites met kinderpornografie die professioneel gerund worden. De Nederlandse verdachten die moeten worden gehoord zijn, voor zover uit de dossiers valt te halen, niet een onderdeel van die groep, maar afnemers (downloaders). Daarom kunnen we in de Nederlandse dossiers niet spreken over georganiseerde groepen. Uit de literatuur blijkt ook wel dat dergelijke georganiseerde groepen zich moeilijk laten traceren (zie bijvoorbeeld Stol e.a., 2008a). Van de vier categorieën uit de literatuur zien we in de dossiers in ieder geval de categorie verzamelaars en groomers/chatters terug. We zien in de dossiers ook dat er handelaren actief zijn, die zijn echter in geen van de gevallen onderwerp van het politieonderzoek. Verdachten maken geen gebruik van criminele technieken en er is in niet meer dan een paar procent van de dossiers sprake van voorbereidingshandelingen van de verdachte. Het gaat dan om een groomer/chatter die een fictieve identiteit aanmaakt om met de minderjarige in contact te komen. In 92,5 procent van de dossiers is sprake van één verdachte. Dat zijn dan meestal autochtone mannen, overwegend uit de leeftijdsgroep 18 - 55 jaar. De meest genoemde primaire motivatie om het delict te plegen is nieuwsgierigheid (61,0% van de verdachten). Zij zoeken niet uit een gevestigde pedofiele voorkeur maar vertonen grensverkennend gedrag. Nader onderzoek naar achtergronden, omstandigheden en drijfveren zou gericht moeten zijn op de vraag of de misdrijven van deze groep nieuwsgierigen wellicht te voorkomen zijn met normbevestigende of gelegenheidsbeperkende maatregelen. De verdachten voor kinderporno wonen niet vaker dan gemiddeld in een eenpersoonshuishouden, wel zijn ze vaker dan gemiddeld werkloos. De meeste verdachten hebben een MBO- of HBO-opleidingsniveau, en daarmee wijken ze niet af van het Nederlandse patroon. Er is ook een groep jonge verdachten die van andere jonge mensen kinderpornografische opnamen maakten en verspreidden. Iets meer dan de helft van de verdachten heeft een of meer antecedenten. Dat is significant meer dan de gemiddelde Nederlander. Nader onderzoek zal moeten aantonen in hoeve rre dit verschil kan worden verklaard vanuit het gegeven dat kinderpornoverdachten bijna allemaal man zijn en jonger dan de gemiddelde Nederlander – en dus behoren tot de groep personen (jonge mannen) die bovengemiddeld veel delicten plegen. Van speciale betekenis is dat relatief veel verdachten een vermelding hebben in de hoofdgroepen ‘gewelddadig seksueel’ en ‘overig seksueel’ (resp. 2,4 en 7,8%). Personen die verdacht worden van het in bezit hebben en/of verspreiden van kinderpornografische afbeeldingen, maken zich kennelijk vaker dan gemiddeld ook schuldig aan andere zedendelicten. Nader onderzoek zal moeten uitwijzen hoe overtreding van artikel 240b Sr precies samenhangt met het al dan niet plegen van andere delicten uit de zedelijkheidswetgeving. Onze analyse wijst op het bestaan van in elk geval twee te onderscheiden groepen ve rdachten: een grote groep personen die zonder dat zij een gevestigde pedofiele voorkeur hebben kinderporno downloaden (grensverkennend gedrag, nieuwsgierigheid) en een verho udingsgewijs kleine groep personen die niet alleen kinderpornografische afbeeldingen in bezit hebben maar die ook andere zedendelicten plegen.
141
5.7 Slachtoffers van kinderporno In de literatuur in weinig bekend over de slachtoffers van kinderporno. Meerdere malen in onze dossierstudie was het een bedrijf dat aangifte deed van het aantreffen van kinderpornografie. Bijvoorbeeld een computerreparateur die kinderporno aantreft op een computer die ter reparatie is gebracht. Deze aangevers beschouwen we hier niet als slachtoffer. In de 159 kinderpornodossiers hebben we aldus gegevens over 11 slachtoffers. Deze 11 zijn in Nederland geboren. Drie zijn van het mannelijke geslacht en acht van het vrouwelijke. Alle slachtoffers vallen in de leeftijdscategorie onder de 18 en zijn inwonend. Geen van hen heeft antecedenten. Er is geen sprake van materiële schade. De impact op het slachtoffer was in de meeste zaken wel groot. In een aantal zaken werden foto’s van de slachtoffers verspreid. 5.8 Omvang Inleiding Om enig zicht te krijgen op de omvang van de cybercrime kinderporno, namen we een steekproef van meldingen en aangiften om te zien in hoeveel gevallen daarvan in de politieregistratie sprake is (Domenie e.a., 2009). Ook hielden we een slachtofferenquête onder internetters in Friesland. Daarnaast hebben we in de literatuur gekeken naar cijfers aangaande de omvang van de cybercrime kinderporno. Uit de politieregistratie We onderzochten in de korpsen Hollands-Midden en Zuid-Holland-Zuid welke deel van het bij de politie geregistreerde werkaanbod cybercrime betreft (Domenie e.a., 2009). Van alle in deze regio’s in 2007 geregistreerde zaken betreft tussen de 0,3 en 0,9 procent cybercrime. Een klein deel van de dossiers inzake cybercrime betreft kinderporno: in Hollands-Midden was dat 1,4 en in Zuid-Holland-Zuid 4,3 procent (in een steekproef van 10 procent van alle dossiers uit 2007). Dossiers inzake de cybercrime kinderporno maken dus slechts een fractie uit van het totaal bij de politie geregistreerde zaken (ruw geschat op basis van bovenstaande gegevens: zo’n 3,5% procent van 0,6%, is 0,02%). Deze dossierstudie in twee korpsen geeft zicht op de omvang van de door de politie geregistreerde cybercrime. Daaruit is echter bezwaarlijk iets af te leiden over hoe vaak die vorm van criminaliteit werkelijk voor komt. Uit de slachtofferenquête onder burgers In november 2008 namen we (via vraaghetdevries.nl) een vragenlijst af onder 1.246 Friese internetgebruikers. Van hen gaven er 16 (1,3%) aan wel eens ongewenst kinderporno te hebben binnengekregen op de computer. In 8 van de gevallen was dat in 2007 of 2008 en in de andere 8 gevallen was dat in de jaren daarvóór. De 8 mensen die in 2007 of 2008 ongewenst kinderporno ontvingen deden geen aangifte bij de politie. Uit de literatuur De Wonderland-zaak, die in 1998 speelde, laat zien dat al geruime tijd duidelijk is dat op internet grote hoeveelheden kinderpornografisch materiaal worden rondgezonden (figuur 5.9). Het Wonderland-netwerk op internet was opgericht voor mensen die interesse hadden in seks met kinderen en kinderporno. Om lid te worden van dit netwerk was men verplicht om duizenden nieuwe afbeeldingen van seksueel kindermisbruik online aan te leveren (iets wat we vaker zien, zie Van Kleef in paragraaf 5.3) (MKI, 2008). Ook in andere zaken uit die tijd bleek dat het niet om een paar plaatjes gaat. ‘De Zandvoortse kinderpornoverspreider Ulrich beheerde een bulletin board met 60.000 (kinder)pornoafbeeldingen. In Duitsland werd een man aangehouden met 40.000 van dergelijke afbeeldingen op zijn computer. (…) De politie in
142
New York nam tijdens haar actie Rip Cord 200.000 kinderpornoafbeeldingen in beslag. (…) Volgens Interpol zijn alleen al in 1998 500.000 kinderpornoafbeeldingen verspreid. Medewerkers van kinderpornomeldpunten in Europa en Nederlandse deskundigen vermoeden dat er minstens 100.000 verschillende kinderpornografische afbeeldingen en films worden aangeboden op internet. Maar dat zijn “ongefundeerde schattingen”.’ (Stol e.a., 1999:92-3)
Figuur 5.9: De Wonderland zaak (Klaver, 1999) Uit politieonderzoeken blijkt dat er zeer omva ngrijke pedofiele netwerken actief zijn op internet, die verantwoordelijk zijn voor de verspreiding van honderdduizenden kinderpornofoto’s. Soms vervaardigen de leden van die netwerken de foto's zelf en ruilen ze met gelijkgestemde zielen. In september vorig jaar werden na een internationale politieoperatie honderd leden van het kinderpornonetwerk Wonderland aangehouden, van wie één meer dan 180.000 foto's in zijn bezit had. In totaal beschikten de leden van Wonderland over meer dan een miljoen strafbare afbeeldingen (NRC-Handelsblad, 23 januari 1999).
In de afgelopen tien jaar is over de omvang van kinderporno op het internet niet meer helderheid gekomen. Interpol houdt een database bij van kinderpornografische afbeeldingen die op internet circuleren. Op dit moment bevinden zich daarin ongeveer 500.000 afbeeldingen (MKI, 2008) maar onbekend is hoeveel ander materiaal er nog op internet circuleert. Ook onbekend is hoe vaak dergelijke afbeeldingen worden verzonden. Kortom, er is wel enig inzicht in hoe het materiaal wordt verspreid (zie ook paragraaf 5.3) maar nog steeds is onbekend hoeveel kinderpornografie het internet uiteindelijk bevat of hoe vaak het wordt verzo nden. Aantal misbruikte kinderen Artikel 240b Sr stelt niet alleen het verspreiden maar ook het vervaardigen van kinderpornografische afbeeldingen strafbaar. Dat gebeurt in de regel off- line. We spreken dan niet van cybercrime. Kinderpornografische beelden kunnen ook on- line worden gemaakt, ten eerste door echte kinderen in pornografische situaties te filmen met een webcam en ten tweede door het digitaal vervaardigen van kinderpornografische beelden zonder dat daar echte kinderen aan te pas komen (virtuele kinderporno). In beide gevallen is wel sprake van cybercrime. Een vraag die is verbonden met kinderporno op internet is of door het internet en de daardoor toegenomen stromen kinderpornografisch materiaal, ook het aantal misbruikte kinderen toeneemt. Om te beginnen weten we niet veel met zekerheid over hoeveel kinderen slachtoffer zijn van seksueel misbruik. We kunnen wel vaststellen dat de introductie van webcams heeft geleid tot een vorm van misbruik die voorheen niet bestond. De volgende vraag is of daardoor nieuwe gevallen van misbruik zijn ontstaan (en dus het aantal gevallen van misbruik is toegenomen) of dat enkel sprake is van een verschuiving. We weten het niet zeker, want ons is geen onderzoek daarnaar bekend, maar dat laatste lijkt niet waarschijnlijk. Het lijkt niet aannemelijk dat de kinderen die nu door elkaar of door volwassenen in pornografische zin wo rden gefilmd via de webcam, voorheen ook werden misbruikt maar dan off- line. Tegelijk is het ook weer denkbaar dat volwassenen die nu via de webcam pornografische opnamen van kinderen weten te maken, minder snel geneigd zijn om kinderen off- line te misbruiken. In dat geval zou sprake zijn van een verplaatsingseffect en niet van ‘meer’. Dat de werkelijkheid complexer in elkaar zit dan we soms geneigd zijn te denken, toont ons het onderzoek van Wolak e.a. (2008). Men kan veronderstellen dat internet er toe leidt dat het misbruik van kinderen toeneemt. Er kunnen immers grotere pedofielennetwerken ontstaan
143
en er kan eenvoudig contact gezocht worden met nieuwe slachtoffers. Er zijn volgens Wolak e.a. echter geen onderzoeken die deze speculaties onderbouwen. Er is volgens hen zelfs een afname in het aantal gemeten gevallen van kindermisbruik sinds de komst van het internet. Tussen 1990 en 2005 is volgens Wolak e.a. het aantal zaken van kindermisbruik dat gemeld is bij de ‘child protective authorities’ met meer dan de helft (51 procent) gedaald. Wolak e.a. (2008) geven een aantal mogelijke redenen: − Kindermisbruikers zijn overgegaan van de fysieke wereld naar de virtuele wereld. − De factoren die ervoor zouden zorgen dat internet kindermisbruik faciliteert zijn wellicht niet zo krachtig als wordt aangenomen. 71 We kunnen dus niet zonder meer aannemen dat door internet het aantal gevallen van kindermisbruik is gestegen. We kunnen wel constateren dat internet gebruikt wordt voor de ve rspreiding van kinderpornografisch materiaal. Niemand zal bestrijden dat door internet meer kinderpornografisch materiaal circuleert dan voorheen of in elk geval dat kinderpornografisch materiaal meer circuleert. Veel meer mensen hebben veel grotere verzamelingen kinderporno dan ooit het geval was. De eerder genoemde database die Interpol bijhoudt van kinderpornografische afbeeldingen die op internet circuleren bevat ongeveer 20.000 kinderen die seksueel zijn misbruikt (MKI, 2008). Tot op heden zijn slechts 500 van de 20.000 slachtoffers geïdent ificeerd. Volgens het Meldpunt Kinderporno zijn de oorzaken hiervan: - veel kinderen die seksueel zijn misbruikt houden dat voor zichzelf; - betrokken instanties werken onvoldoende samen; - de kennis van afbeeldingen van seksueel kindermisbruik bij hulpverlening en justitie is onvoldoende. Maar ook al circuleert kinderpornografie meer, ook al hebben meer pedofielen aanzienlijk grotere verzamelingen afbeeldingen, ook al heeft Interpol een database met 20.000 misbruikte kinderen, nog steeds weten we niet of het aantal misbruikte kinderen als gevolg van internet is toegenomen. We kunnen wel concluderen dat de toegankelijkheid van het materiaal is toegenomen en daarmee ook de zichtbaarheid van het probleem. 5.9 Trends Een trend in de digitale verspreiding van kinderpornografisch materiaal is dat kinderporno verdwijnt naar minder opzichtige delen van internet, waar de informatie moeilijker is te observeren en waar het dus ook moeilijker is om bewijsmateriaal te verzamelen (zie ook paragraaf 5.3). Een eerste verplaatsing is die van openbare websites naar nieuwsgroepen (MKI, 1997), een tweede verplaatsing is die van nieuwsgroepen naar babbelboxen (MKI, 2002) en een derde verplaatsing is die naar peer-to-peer systemen (MKI, 2004, Stol, 2004, MKI, 2005, Oosterink en van Eijk 2006, Schell e.a. 2007, Stol e.a. 2008a). Technologische mogelijkheden zullen de ontwikkelingen in deze cybercrime mede vorm blijven geven. Webcams maakten de on- line productie van kinderporno mogelijk en dragen bij aan de productie van kinderporno door jongeren onder elkaar. Belangrijk in dat opzicht is uiteraard ook de seksuele moraal onder de jeugd. Verder faciliteren digitale beeldtechnieken de productie van virtuele kinderporno. De beeldkwaliteit zal ongetwijfeld verder toenemen en dus is te verwachten dat de mate waarin de beelden van echt zijn te ondersche iden zal afnemen. De gebruikersvriendelijkheid van programma’s voor het maken van animatiefilms zal, zo verwachten wij, toenemen, en dus ook de mogelijkheden voor digitale amateurs om virtuele kinderpornografie te produceren. Te voorzien is ook dat aanbieders van kin71
Een optie lijkt ons ook nog dat er geen enkel verband bestaat tussen de gevonden afname en de opkomst van internet, maar dat sprake is van een schijnverband.
144
derporno nieuwe betaalwijzen zullen ontwikkelen om te zorgen dat afnemers van hun waar niet via hun creditcardgegevens kunnen worden opgespoord. Tot slot is te voorzien dat bestanden met kinderporno vaker versleuteld zullen worden verzonden, om detectie- en filtertechnieken om te tuin te leiden. 5.10 Resumé Kinderpornografie is in Nederland strafbaar gesteld in artikel 240b Wetboek van Strafrecht, dat kinderporno definieert als een afbeelding van een seksuele gedraging, waarbij iemand die kennelijk de leeftijd van achttien jaar nog niet heeft bereikt, is betrokken of schijnbaar betrokken. De ratio van artikel 240b Sr is dat jeugdigen beschermd moeten worden tegen gedragingen en uitingen die hen kunnen aanmoedigen of verleiden om deel te nemen aan seksueel ve rkeer, alsook tegen gedragingen en uitingen die bijdragen aan een subcultuur die seksueel misbruik van kinderen bevordert. 72 Uit de cijfers van het Meldpunt Kinderporno (MKI, 2008) gecombineerd met eerder onderzoek naar kinderpornografie op internet (Stol e.a., 1999; Stol, 2004; Oosterink en Van Eijk, 2006; Schell e.a., 2007, Stol e.a., 2008a) kunnen we afleiden dat kinderporno op internet op verschillende manieren wordt verspreid: via spam, websites, peer-to-peer netwerken, virtuele harde schijven, nieuwsgroepen en chat. De wijze van verspreiding is aan verandering onderhevig; deels omdat er voortdurend nieuwe technische mogelijkheden ontstaan (Deibert e.a., 2008) en deels omdat de aanbieders van kinderporno reageren op repressieve maatregelen (Stol, 2004). In de literatuur zijn onder de volwassen daders twee duidelijke groepen te ondersche iden die zich bezig houden met de verspreiding van kinderpornografisch materiaal: de commerciële groep met als oogmerk financieel gewin en de ‘liefhebbers’ met als primaire motivatie het verkrijgen van meer kinderpornografisch materiaal. De handel en productie in kinderporno is volgens Van der Hulst en Neve (2008) in toenemende mate een bezigheid van georganiseerde groepen geworden. Kinderporno is een lucratieve business waarmee veel geld te verdienen is (NDB2004). Er zijn volgens de literatuur vijf categorieën daders: vervaardigers en handelaren, verzamelaars, reizigers, groomers/chatters en minderjarige daders (Van der Hulst en Neve, 2008; Wolak e.a., 2008; Van Wijk en Stelma, 2007). Uit onze dossierstudie blijkt dat de Nederlandse verdachten geen onderdeel uitmaken van professionele criminele samenwerkingsverbanden. In de dossiers is een aantal keer terug te zien dat er grootschalige internationale onderzoeken zijn naar websites die professioneel gerund worden. De Nederlandse ve rdachten zijn afnemers (downloaders) van deze websites. Van de vier categorieën uit de literatuur zien we in de dossiers in ieder geval de categorie ve rzamelaars en groomers/chatters terug. We zien in de dossiers ook dat er handelaren actief zijn, die zijn echter geen onderwerp van onderzoek van de Nederlandse politie. De cybercrime kinderporno kent weinig verbanden met andere cybercrimes. Als er al een verband is, is dat met een ander delict in de zedensfeer, met name met het in bezit hebben van kinderporno anders dan op ICT en soms met het vervaardigen van kinderporno. Ook proberen verdachten bijvoorbeeld minderjarigen te groomen, of slachtoffers aan te randen door te dreigen met het publiekelijk maken van gevoelige informatie (bijvoorbeeld naaktfoto’s). Enkele keren zagen we dat de verdachte claimde slachtoffer te zijn geworden van een hack, he tgeen de aanwezigheid van kinderporno op zijn computer zou verklaren. Verder volgt uit de dossierstudie dat verdachten geen gebruik maken van criminele technieken en dat zelden sprake is van voorbereidingshandelingen. Een enkele keer verricht een groomer/chatter voorbereidingshandelingen door het aanmaken van een fictieve identiteit. 72
Zie bv. Kamerstukken I 2001/02, 27 745, nr. 299b en Aanwijzing kinderpornografie (artikel 240b Sr) Staatscourant, 30 juli 2007, 162.
145
In 92,5 procent van de dossiers is sprake van één verdachte. Dat zijn dan meestal autochtone mannen, overwegend uit de leeftijdsgroep 18 - 55 jaar. De meeste genoemde primaire motivatie om het delict te plegen is nieuwsgierigheid (61,0% van de verdachten). Zij zoeken niet uit een gevestigde pedofiele voorkeur maar vertonen grensverkennend gedrag. Nader onderzoek naar achtergronden, omstandigheden en drijfveren zou gericht moeten zijn op de vraag of de misdrijven van deze groep nieuwsgierigen wellicht te voorkomen zijn met normbevestigende of gelegenheidsbeperkende maatregelen. De verdachten voor kinderporno wonen niet vaker dan gemiddeld in een eenpersoonshuishouden, wel zijn ze vaker dan gemiddeld werkloos. De meeste verdachten hebben een MBO- of HBO-opleidingsniveau. Daarmee wijken ze niet af van het Nederlandse patroon. Er is ook een groep jonge verdachten die van andere jonge mensen kinderpornografische opnamen maken en verspreiden. Iets meer dan de helft van de verdachten heeft een of meer antecedenten. Dat is significant meer dan de gemiddelde Nederlander. Nader onderzoek zal moeten uitwijzen of dit ve rschil wordt veroorzaakt doordat kinderpornoverdachten bijna allemaal man zijn en jonger dan de gemiddelde Nederlander – en dus behoren tot de groep personen (jonge mannen) die bovengemiddeld veel delicten plegen. Van speciale betekenis is dat relatief veel verdachten een vermelding hebben in de hoofdgroepen ‘gewelddadig seksueel’ en ‘overig seksueel’ (resp. 2,4 en 8,3%). Personen die verdacht worden van het in bezit hebben en/of verspreiden van kinderpornografische afbeeldingen, maken zich kennelijk vaker dan gemiddeld ook schuldig aan andere zedendelicten. Nader onderzoek zal moeten uitwijzen hoe overtreding van artikel 240b Sr precies samenhangt met het al dan plegen van andere delicten uit de zedelijkheidswetgeving. Ons onderzoek wijst op het bestaan van in elk geval twee te onderscheiden groepen verdachten: een grote groep personen (53,4%) die zonder dat zij een gevestigde pedofiele voorkeur (zeggen te) hebben kinderporno downloaden (grensverkennend gedrag, nieuwsgierigheid) en een verhoudingsgewijs kleine groep van personen die niet alleen kinderpornografische afbeeldingen in bezit hebben maar die ook andere zedendelicten plegen. Naar beide groepen zou nader onderzoek moeten worden gedaan om beter zicht te krijgen op kenmerken van deze personen en op mogelijke maatregelen. Over de slachtoffers van kinderporno is weinig bekend. Ook onbekend is hoeveel kinderpornografie het internet bevat of hoe vaak het wordt verzonden. Interpol houdt een database bij van kinderpornografische afbeeldingen die op internet circuleren. Op dit moment bevinden zich daarin ongeveer 500.000 afbeeldingen met ongeveer 20.000 kinderen die seksueel zijn misbruikt. Van hen zijn er zo’n 500 geïdentificeerd (MKI, 2008). Of internet leidt tot een toename in het aantal misbruikte kinderen is niet bekend. Een trend is dat kinderporno verdwijnt naar minder opzichtige delen van internet, waar de informatie moeilijker is te observeren en waar het dus ook moeilijker is om bewijsmateriaal te verzamelen. Verder valt te verwachten dat door nieuwe technologische ontwikkelingen (zoals in animatietools, versleuteltechnieken en betaalsystemen) de productie en verspreiding van kinderpornografie zullen blijven veranderen, te verwachten is dat: − de mate waarin virtuele kinderporno op echte lijkt, zal toenemen, − vaker gebruik gemaakt zal gaan worden van verhullings- en versleutelingstechnieken om kinderpornografisch materiaal te verspreiden, − aanbieders technieken zullen vinden waardoor afnemers niet langer met een creditcard hoeven te betalen voor het materiaal.
146
6. Haatzaaien 6.1 Inleiding Haatzaaien en internet De cybercrime haatzaaie n is het (aanzetten tot) opzettelijk beledigen of discrimineren van bepaalde groeperingen, zonder een bijdrage te leveren aan het publieke debat, waarbij ICT essentieel is voor de uitvoering. Ook deze vorm van criminaliteit is niet nieuw. Al sinds de Romeinse vervolging van christenen, de ‘etnische zuiveringen’ in Bosnië en de genocide in Rwanda hebben zogenaamde hate crimes de wereldgeschiedenis mede gevormd (Bureau of Justice Assistance, 1997). Hate crime of haatzaaien is echter wel een relatief nieuw begrip. De oorsprong hiervan is terug te leiden naar het Amerika van de jaren zeventig van de vorige eeuw. Daar werd toen voor het eerst serieuze aandacht besteed aan deze vorm van criminaliteit (Hall, 2005), wat natuurlijk niet wil zeggen dat voor deze tijd geen haatgerelateerde criminaliteit bestond. In de jaren 70 was er een veelheid van begrippen in omloop die gelijkenissen hebben met de nu gehanteerde definitie van haatzaaien; ‘bias crime’, ‘civil rights violations’, ‘human rights crimes’ (Nardi and Bolton, 1998, aangehaald in Department of Criminology, 2007: 6-8). In onze huidige samenleving hebben enkele gebeurtenissen veel ongenoegen naar boven gebracht (Van Stokkom e.a., 2007). We denken aan de aanslagen in Washington en New York in 2001, de aanslagen in Madrid (2004) en Londen (2005), en de moord op Theo van Gogh (2004). Deze gebeurtenissen, evenals de moord op Pim Fortuyn in 2002, waarvan no gal wat mensen in eerste instantie vermoedden dat het een daad van Moslimextremisten was, zorgden voor een overvloed aan anti-Moslim en anti-buitenlander uitingen op het internet (MDI, 2003). Van Stokkom e.a. (2007) zagen in hun onderzoek echter ook dat sommige imams in Nederland haat prediken en de god der wrake aanroepen, dat op radicale moslimsites wordt opgeroepen tot een heilige oorlog tegen de ‘kruisvaarders’ (het Westen), tegen de zionisten en tegen de staat Israël en dat in Arabische media kwaadaardige joodse stereotypen worden verspreid. Radicalisme lokt volgens Van Stokkom e.a. (2007) contraradicalisme uit; moslims en niet- moslims kunnen hierdoor in een zichzelf versterkende spiraal van wederzijds wantrouwen en vijandigheid terechtkomen. Vrijwel alle radicale groeperingen en personen met extreme opvattingen maken intensief gebruik van websites en chatboxen om propaganda te voeren, opponenten te bedreigen en te provoceren en op te roepen tot geweld (Van Stokkom e.a., 2007). Internet verschaft volgens Van Stokkom e.a. een podium waar mensen haat kunnen uiten zonder dat het ten koste gaat van hun reputatie; uitingen kunnen immers anoniem en onder pseudoniem gedaan worden. De inrichting en gebruiksmogelijkheden van het internet ge lden dan ook als belangrijke criminogene factoren (Kaspersen, 2004). Voor de gemiddelde internetcrimineel is het niet al te moeilijk om zijn identiteit te verhullen, hetgeen de opsporing bemoeilijkt. Moesten haatzaaiers eerder nog op de hoek van de straat staan om hun boodschap te verspreiden, extremisten hebben nu tal van technologische middelen, zoals websites en chatboxen, tot hun beschikking (Kaplan en Moss, 2003). Ook reactiepagina’s op nieuwssites, online condoleanceregisters, webforums van scholen of gewoon persoonlijke weblogs worden tegenwoordig getroffen door discriminerende en extreme uitingen. De populaire videoclipsite YouTube staat bol van racisme, oproepen tot geweld, jihad-recruitment en homohaat (MDI, 2007). Volgens Van der Hulst en Neve is haatzaaien via het internet dan ook een trend geworden, waarbij verschillende groeperingen elkaar voortdurend provoceren via discussiefora en chatboxen (Van der Hulst en Neve, 2008). Ook kan internet gebruikt worden om haatzaaiende films te verspreiden, denk aan rechts-extremistische films of ‘onthoofdingfilms’ van extremistische moslims. Of er een direct verband is tussen haatuitingen op het internet en ge-
147
weld in de ‘echte wereld’ is moeilijk aantoonbaar (Eissens, 2004). Een aantal gebeurtenissen wijst hier wel op. Op de Marokkaanse jongerensite mocros.nl bijvoorbeeld, werd Van Gogh al maanden voordat hij vermoord werd, met de dood bedreigd. Ook politici als Ayaan Hirsi Ali en Geert Wilders werden aanhoudend op internet bedreigd. Bekend is ook dat internet een zeer belangrijke rol speelde in de ideologische ontwikkeling van de Hofstadgroep (Van Stokkom e.a., 2007). Definitie Er is in Nederland niet een algemeen geldende definitie van haatzaaien in gebruik, ook staat haatzaaien niet als zodanig in het Wetboek van Strafrecht (zie ook bijvoorbeeld Tienstra, 2008). Van der Hulst en Neve (2008) beschrijven in hun literatuurinventarisatie haatzaaien als het oproepen tot discriminatie en geweld. Volgens Van Stokkom e.a. (2007) worden in veel internationale verdragsteksten en wetsteksten ter bestrijding van racisme het aanzetten tot haat en het aanzetten tot geweld tegen personen beide genoemd. Kwetsende of beledigende uitingen kunnen in dat opzicht als ‘onschuldiger’ worden gekwalificeerd, hoewel de effecten ervan niet minder ernstig hoeven te zijn en escalatie kunnen bewerkstelligen (ibidem). Engeland en de VS hebben wetgeving die specifiek gericht is op haatzaaien. We beschrijven daarom eerst de in deze twee landen gehanteerde definities. In Engeland wordt haatzaaien gedefinieerd als ‘any incident, which constitutes a criminal offence, which is perceived by the victim or any other person as being motivated by prejudice or hate’ (ACPO, 2005). De Engelse definitie heeft dus ook het oog op vooroordelen. De sleutelwetgeving in dit verband is de Crime and Disorder Act van 1998 (Department of Criminology, 2007), waarin misdrijven die gemotiveerd worden door ‘vijandigheid’ jegens leden van een bepaalde etnische groep, strafbaar zijn gesteld. In 2001 werden daaraan religieus gemotiveerde misdrijven toegevoegd (Van Stokkom e.a., 2007). In de VS zijn de Hate Crime Statistics Act (1990) en de Hate Crimes Sentencing Enhancement Act (1994) van invloed geweest op het in kaart brengen en bestrijden van het delict haatzaaien (Department of Criminology, 2007). In Amerika worden hate crimes gedefinieerd als ‘offenses motivated by hatred against a victim based on his or her race, religion, sexual orientation, handicap, ethnicity, or national origin’ (Bureau of Justice Assistance, 1997). Of, nog specifieker, als ‘a crime in which the defendant selects a victim (…) because of the actual or perceived race, color, religion, national origin, ethnicity, gender, disability, or sexual orientation of any person’ (Kaplan en Moss, 2003). Er is een aantal factoren dat een heldere definitie van haatzaaien in de weg staat. Het is bijvoorbeeld maar de vraag of er wel een heldere afbakening mogelijk is tussen kwetsende uitingen enerzijds en aanzetten tot geweld anderzijds. Haatuitingen lijken in veel gevallen een middenpositie in te nemen (Van Stokkom e.a., 2007). Afhankelijk van iemands perceptie valt een uiting onder de noemer kwetsend of aanzetten tot haat. Een andere moeilijkheid vo lgens Van Stokkom e.a. (2007) is dat ‘religie’ en ‘ras’ moeilijk van elkaar te onderscheiden zijn. Joden en moslims worden vaak racistisch bejegend juist vanwege hun godsdienstige opvattingen. ‘Daar komt no g bij dat volgens de Hoge Raad de strafbaarheid bij discriminatoire uitlatingen vervalt als deze hebben plaatsgevonden in een context die bijdraagt aan het maatschappelijke debat of die anderszins van een zekere functionaliteit getuigt.’ (Van Stokkom e.a., 2007:241). In dit onderzoek definiëren wij cyberhaatzaaien als het opzettelijk beledigen of discrimineren van een groep mensen wegens hun ras, hun godsdienst of levensovertuiging, hun hetero- of homoseksuele gerichtheid of hun lichamelijke, psychische of verstandelijke handicap, zonder dat die uitlatingen een bijdrage leveren aan het publieke debat, en waarbij ICT essent ieel is voor de uitvoering. Deze definitie houdt in dat er sprake moet zijn van het opzettelijk beledigen of discrimineren van een bepaalde groep mensen. De wetsartikelen die hierop be-
148
trekking hebben, bespreken we in paragraaf 6.2. Verder is er alleen sprake van haatzaaien indien de belediging of discriminatoire uitlating niet bijdraagt aan het publieke debat. Dit is echter niet objectief meetbaar en moet dus worden bepaald door een rechter. Ten slotte moet de uiting gedaan zijn op of middels ICT. Het kan dan gaan om een opruiende film of afbeelding op webpagina of haatzaaiende teksten in een chatbox. In dit hoofdstuk behandelen we eerst de strafbaarstelling en verschijningsvormen van haatzaaien (paragraaf 6.2 en 6.3). Vervolgens beschrijven we de verbanden die deze cybercrime heeft met andere vormen van (cyber)criminaliteit (6.4), daarna behandelen we de kenmerken van daders uit de literatuur (6.5), kenmerken van verdachten uit de dossierstudie (6.6) en gaan we dieper in op de slachtoffers van deze cybercrime (6.7). In paragraaf 6.8 kijken we naar de omvang van deze cybercrime. Ten slotte komen in paragraaf 6.9 de trends van haatzaaien aan bod en in paragraaf 6.10 volgt een resumé van dit hoofdstuk. 6.2 Strafbaarstelling Haatzaaien staat niet als zodanig in het Wetboek van Strafrecht. Aan de hand van de geformuleerde definitie van haatzaaien (paragraaf 6.1) kunnen echter wetsartikelen worden onderscheiden die van toepassing zijn op deze vorm van cybercrime. Een eerste verbod dat in aanmerking komt is godslastering (art. 147 en 147a Sr, fig. 6.1 en 6.1a). Het verbod op godslastering is afkomstig uit de jaren twintig van de vorige eeuw. Toen ontstond een discussie over uitlatingen in het communistische tijdschrift 'De Tribune'. Communisten noemden godsdienst een ‘opium voor het volk’, alleen bedoeld om de bestaande maatschappelijke verhoudingen in stand te houden en er werd scherp en beledigend over het Christendom gesproken in termen als ‘Christus op de mestvaalt’ (parlement.com, 2008). Op grond van deze uitlatingen werd ‘De Tribune’ door de regering geweerd uit openbare bibliotheken en uit spoorwegboekha ndels en er kwam een wetsvoorstel om smadelijke godslastering strafbaar te stellen. In de loop van de twintigste eeuw is het delict godslastering in vele westerse landen echter in onbruik geraakt. Een smadelijke ontkenning van het christelijke geloof wordt niet meer vereenzelvigd met een aanval op de maatschappij in zijn geheel. In Nederland staat godslastering nog wel in het Wetboek van Strafrecht maar is het artikel een dode letter; er wordt in de praktijk geen gebruik van gemaakt. Religieus en levensbeschouwelijk kwetsen is echter weer in opkomst de laatste jaren. Nu niet gericht op het christendom, maar vooral gericht op de islam en het Jodendom. Was godslastering in de twintigste eeuw voornamelijk het werk van communisten en vrijdenkers die de religie op een sarcastische wijze bespotten, volgens Van Stokkom e.a. (2007) lijkt het verbale geweld tegenwoordig veel fanatieker.
Figuur 6.1: Artikel 147 Sr: Godslastering (i.w.tr. 01-05-1984) Met gevangenisstraf van ten hoogste drie maanden of geldboete van de tweede categorie wordt gestraft: 1. Hij die zich in het openbaar, mondeling of bij geschrift of afbeelding, door smalende godslasteringen op voor godsdienstige gevoelens krenkende wijze uitlaat; 2. Hij die een bedienaar van de godsdienst in de geoorloofde waarneming van zijn bediening bespot; 3. Hij die voorwerpen aan een eredienst gewijd, waar en wanneer de uitoefening van die dienst geoorloofd is, beschimpt.
149
Figuur 6.1a: Artikel 147a Sr: Godslastering (i.w.tr. 01-05-1984) 1. Hij die een geschrift of afbeelding waarin uitlatingen voorkomen die, als smalende godslasteringen, voor godsdienstige gevoelens krenkend zijn, verspreidt, openlijk tentoonstelt of aanslaat of, om verspreid, openlijk tentoongesteld of aangeslagen te worden, in voorraad heeft, wordt, indien hij weet of ernstige reden heeft om te vermoeden dat in het geschrift of de afbeelding zodanige uitlatingen voorkomen, gestraft met gevangenisstraf van ten hoogste twee maanden of geldboete van de tweede categorie. 2. Met dezelfde straf wordt gestraft hij die, met gelijke wetenschap of een gelijke reden tot vermoeden, de inhoud van een zodanig geschrift openlijk ten gehore brengt. 3. Indien de schuldige een van de misdrijven omschreven in dit artikel in zijn beroep begaat en er, tijdens het plegen van het misdrijf, nog geen twee jaren zijn verlopen sedert een vroegere veroordeling van de schuldige wegens een van deze misdrijven onherroepelijk is geworden, kan hij van de uitoefening van dat beroep worden ontzet.
Godslastering impliceert een in het openbaar geuite (smalende) belediging die betrekking heeft op de persoon van God. Godslastering is echter slechts één van de negatieve uitingen waarmee burgers kunnen worden geconfronteerd. Godslastering heeft veelal een beledigende strekking. Haatuitingen hebben daarentegen vaak een bedreigende strekking en worden gekenmerkt door manifeste vormen van bedreiging en door opruiing. Volgens Van Stokkom e.a. (2007) komen haatcampagnes in veel opzichten dicht in de buurt van terreur. Op 20 januari 2009 stemde de kamer in met de motie-Van der Ham c.s. inhoudende het verzoek aan de regering ‘een voorstel aan de Kamer toe te zenden om het verbod op godslastering (art. 147 en 147a Sr) uit het Wetboek van Strafrecht te verwijderen’. 73 Te voorzien is derhalve dat deze artikelen uit het Wetboek van Strafrecht zullen verdwijnen. Naast godslastering is bij de cybercrime haatzaaien een aantal artikelen van belang waarin discriminatie strafbaar wordt gesteld. Artikel 90quater Sr bevat een definitie van discriminatie (fig. 6.2).
Figuur 6.2: Artikel 90quater Sr: discriminatie (i.w.tr. 01-02-1992) Onder discriminatie of discrimineren wordt verstaan elke vorm van onderscheid, elke uitsluiting, beperking of voorkeur, die ten doel heeft of ten gevolge kan hebben dat de erkenning, het genot of de uitoefening op voet van gelijkheid van de rechten van de mens en de fundamentele vrijheden op politiek, economisch, sociaal of cultureel terrein of op andere terreinen van het maatschappelijk leven, wordt teniet gedaan of aangetast.
Bij discriminatie worden op grond van religie of levensbeschouwing personen, op grond van hun lidmaatschap van een bepaalde groep, vernederd of in hun waarde aangetast (Van Stokkom e.a., 2007). Dat is strafbaar gesteld in artikel 137c Sr (zie figuur 6.3). Het aanzetten tot haat tegen personen wegens hun godsdienst of levensbeschouwing is strafbaar gesteld in artikel 137d Sr (zie figuur 6.4). Het openbaar maken van discriminerende uitlatingen, deelname of steunen van discriminatie en discriminatie in ambt, beroep of bedrijf zijn strafbaar gesteld in respectievelijk artikel 137e Sr (figuur 6.5), artikel 137f Sr (figuur 6.6) en artikel 137g Sr (figuur 6.7). De discriminatiebepalingen zijn van relatief recente makelij, en zijn in Nederland 73
Tweede Kamer 2008-2009, 31 700 VI, nr. 94.
150
pas in 1971 ingevoerd (Janssens en Nieuwenhuis, 2005). Daarnaast kan artikel 131 Sr (opruiing, het oproepen tot het plegen van misdrijven of geweld) van toepassing zijn op haatzaaien (zie figuur 6.8).
Figuur 6.3: Artikel 137c Sr: belediging van een bevolkingsgroep (i.w.tr. 01-01-2006) 1. Hij die zich in het openbaar, mondeling of bij geschrift of afbeelding, opzettelijk beledigend uitlaat over een groep mensen wegens hun ras, hun godsdienst of levensovertuiging, hun hetero- of homoseksuele gerichtheid of hun lichamelijke, psychische of verstandelijke handicap, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie. 2. Indien het feit wordt gepleegd door een persoon die daarvan een beroep of gewoonte maakt of door twee of meer verenigde personen wordt gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie opgelegd.
Uit de Nota Grondrechten in een pluriforme samenleving (2005) kan worden afgeleid dat de betekenis van artikel 137c Sr ten aanzien van de belediging van homoseksuelen en personen wegens hun godsdienst of levensovertuiging beperkt is. Indien er sprake is van een bijdrage aan het maatschappelijke debat vervalt de strafbaarheid. Volgens de nota mag verwacht wo rden dat dergelijke uitlatingen worden tegengesproken en dat het debat wordt aangegaan. Op die manier kunnen vooroordelen tijdig uit de weg worden geruimd en kan de escalatie van sluimerende conflicten worden voorkomen. De affaire El Moumni is hiervan een goed voorbeeld (Van Stokkom e.a., 2007). Deze Rotterdamse imam zei in een televisie-uitzending van Nova dat homoseksualiteit een ziekelijke afwijking is en schadelijk voor de Nederlandse samenleving. Zowel de Rotterdamse rechtbank (8 april 2002) als later het Haagse gerechtshof (18 november 2002) kwam tot vrijspraak voor El Moumni omdat ‘aan in beginsel beledigende uitlatingen het beledigende karakter komt te ontvallen wanneer die uitlatingen een godsdienstige overtuiging direct uitdrukken’, zodat bescherming tegen een strafrechtelijke procedure kan worden ontleend aan het eveneens in de Grondwet vastgelegde recht op vrijheid van godsdienst en godsdienstbeleving. Een ander voorbeeld zijn de uitspraken van Ayaan Hirsi Ali in 2002 in het dagblad Trouw, waarin zij onder meer de islam ‘naar sommige maatstaven gemeten’ als ‘achterlijk’ omschreef. Er werden dertien aangiften bij het openbaar ministerie gedaan en circa zeshonderd klachten geregistreerd. In april 2003 maakte het openbaar ministerie echter bekend van vervolging af te zien (Van Stokkom e.a., 2007). In het geval dat wordt aangezet tot haat (137d Sr, fig. 6.3) wordt volgens de nota echter een grens overschreden waarbij eerder een inperking van de meningsuiting en godsdienstvrijheid zal kunnen worden gemaakt.
Figuur 6.4: Artikel 137d Sr: aanzetting tot discriminatie van een bevolkingsgroep (i.w.tr. 0101-2006) 1. Hij die in het openbaar, mondeling of bij geschrift of afbeelding, aanzet tot haat tegen of discriminatie van mensen of gewelddadig optreden tegen persoon of goed van mensen wegens hun ras, hun godsdienst of levensovertuiging, hun geslacht, hun hetero- of homoseksuele gerichtheid of hun lichamelijke, psychische of verstandelijke handicap, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie. 2. Indien het feit wordt gepleegd door een persoon die daarvan een beroep of gewoonte
151
maakt of door twee of meer verenigde personen wordt gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie opgelegd.
Figuur 6.5: Artikel 137e Sr: openbaarmaking discriminerende uitlatingen (i.w.tr. 01-012006) 1. Hij die, anders dan ten behoeve van zakelijke berichtgeving: 1. een uitlating openbaar maakt die, naar hij weet of redelijkerwijs moet vermoeden, voor een groep mensen wegens hun ras, hun godsdienst of levensovertuiging, hun hetero- of homoseksuele gerichtheid of hun lichamelijke, psychische of verstandelijke handicap beledigend is, of aanzet tot haat tegen of discriminatie van mensen of gewelddadig optreden tegen persoon of goed van mensen wegens hun ras, hun godsdienst of levensovertuiging, hun geslacht, hun hetero- of homoseksuele gerichtheid of hun lichamelijke, psychische of verstandelijke handicap; 2. een voorwerp waarin, naar hij weet of redelijkerwijs moet vermoeden, zulk een uitlating is vervat, aan iemand, anders dan op diens verzoek, doet toekomen, dan wel verspreidt of ter openbaarmaking van die uitlating of verspreiding in voorraad heeft; wordt gestraft met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie. 2. Indien het feit wordt gepleegd door een persoon die daarvan een beroep of gewoonte maakt of door twee of meer verenigde personen wordt gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie opgelegd. 3. Indien de schuldige een van de strafbare feiten, omschreven in dit artikel, in zijn beroep begaat en er, tijdens het plegen van het feit, nog geen vijf jaren zijn verlopen sedert een vroegere veroordeling van de schuldige wegens een van deze misdrijven onherroepelijk is geworden, kan hij van de uitoefening van dat beroep worden ontzet.
Figuur 6.6: Artikel 137f Sr: deelname of steunen van discriminatie (i.w.tr. 01-01-2006) Hij die deelneemt of geldelijke of andere stoffelijke steun verleent aan activiteiten gericht op discriminatie van mensen wegens hun ras, hun godsdienst, hun levensovertuiging, hun geslacht, hun hetero- of homoseksuele gerichtheid of hun lichamelijke, psychische of verstandelijke handicap, wordt gestraft met gevangenisstraf van ten hoogste drie maanden of geldboete van de tweede categorie.
Figuur 6.7: Artikel 137g Sr: discriminatie in ambt, beroep of bedrijf (i.w.tr. 01-02-2004) 1. Hij die, in de uitoefening van een ambt, beroep of bedrijf personen opzettelijk discrimineert wegens hun ras, wordt gestraft met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie. 2. Indien het feit wordt gepleegd door een persoon die daarvan een gewoonte maakt of door twee of meer verenigde personen wordt gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie opgelegd.
152
Figuur 6.8: Artikel 131 Sr: opruiing (i.w.tr. 01-05-1984) Hij die in het openbaar, mondeling of bij geschrift of afbeelding, tot enig strafbaar feit of tot gewelddadig optreden tegen het openbaar gezag opruit, wordt gestraft met gevangenisstraf van ten hoogste vijf jaren of geldboete van de vierde categorie.
Zoals gezegd vervalt volgens de Hoge Raad de strafbaarheid van een discriminatoire uitlating indien deze bijdraagt aan het maatschappelijke debat. Ook het feit dat het bewijs moeilijk te leveren is dat de verdachte de bedoeling heeft gehad met de kwetsende uitlating publiekelijk een groep mensen te beledigen, maakt volgens Van Stokkom e.a. vervolging weinig succesvol. Een bijkomende moeilijkheid bij cyberhaatzaaien is dat het lastig is om Nederlandse burgers te vervolgen die discriminatoire uitlatingen doen op buitenlandse websites (Nieuwboer, 2004; De Meij, 2002, aangehaald in Van Stokkom e.a., 2007). Nederland heeft op 23 nove mber 2001 in Budapest het Cybercrimeverdrag (Convention on Cybercrime) van de Raad van Europa ondertekend, waarin harmonisatie van het cybercrimestrafrecht, harmonisatie van strafvorderlijke bevoegdheden tot vergaring van elektronisch bewijsmateriaal en het faciliteren van internationale rechtshulp centraal staan, alsmede het Aanvullend Protocol in 2003, waarin racistische uitlatingen expliciet deel uitmaken van de aanpak van criminaliteit. De ve rvolging blijft lastig door bijvoorbeeld de eis van dubbele strafbaarheid (het feit waarvoor rechtshulp wordt aangevraagd moet zowel in de verzoekende als in de aangezochte staat strafbaar zijn gesteld) (Stokkom e.a., 2007). In de VS worden bijvoorbeeld talloze buitenlandse hate-sites gehost. Eind jaren negentig betitelde het Simon Wiesenthal Centre meer dan 2.300 websites die in Amerika wettelijk beschermd worden, als ‘problematisch’. De Raad van Europa constateerde in 2002 dat van de 4.000 wereldwijde xenofobische websites 2.500 onderdak vinden in de VS (Van Stokkom, 2007). Deze situatie lijkt overeen te komen met de hosting van websites met kinderpornografisch materiaal (Stol e.a., 2008). Of dat ligt aan het First amendement of aan het feit dat er in de VS veel hostingproviders zijn, en de situatie daar dus lastig is te controleren, is niet bekend. Van Stokkom e.a. (2007) concluderen dat indien de huidige ‘haatepidemie’ op internet blijft voortduren er een grotere behoefte zal komen om strafrechtelijk in te grijpen. De onderzoekers constateren echter ook dat wetsvoorstellen of wetswijzigingen die aan de uitingsvrijheid tornen, veel verontwaardiging teweeg brengen. De tekst in artikelen 147 en 147a Sr is bijvoorbeeld al geruime tijd een dode letter, en de artikelen zullen vervallen, en de artikelen 137c-137e Sr worden als gevolg van uitspraken van de Hoge Raad restrictief toegepast. Om toch te kunnen reageren op haatzaaiende uitingen zou volgens Van Stokkom e.a. het bestaande instrumentarium effectiever moeten worden benut. Het bestaande instrumentarium zou sterker kunnen worden gericht op uitingen die in geen enkel opzicht als een zinnige bijdrage aan het publieke debat kunnen worden aangemerkt. Het vervolgingsbeleid zou zich kunnen richten op deze groep van duidelijk strafbare uitingen. Dat strookt ook volledig met de richtlijnen van de Raad van Europa over hate speech (1997) en racism and xenophobia in cyberspace (2001). 6.3 Verspreidingsvormen Uit de cijfers van het Meldpunt Discriminatie Internet (MDI, 2008) kunnen we afleiden dat haatzaaiende content in ieder geval wordt verspreid via spam, websites, peer-to-peer netwerken, nieuwsgroepen en chatkanalen (voor een beschrijving hiervan zie paragraaf 5.3). We weten niet precies welk aandeel van de haatzaaiende content op internet wordt verspreid via welke route, we weten wel dat de wijze waarop de verspreiding loopt aan verandering onderhevig is. In de tien jaar dat het Meldpunt Discriminatie Internet (MDI) bestaat, is
153
er op het internet veel veranderd. Het internet is gegroeid en ook het aantal meldingen van discriminatoire uitingen (MDI, 2008). Uit de analyse van jaarverslagen van het MDI (MDI, 2002, 2003, 2004, 2005, 2006, 2007) blijkt dat over de jaren heen de meeste meldingen van uitingen betrekking hebben op websites. Hieronder vallen ook weblogs en digitale discussiefora. Populaire weblogs waar mensen kunnen reageren op berichten krijgen steeds meer te maken met haatzaaiende reacties (Eissens, 2004). Het aantal meldingen over nieuwsgroepen neemt juist af en is in 2007 nihil (tabel 6.1). Hier is een tegenstelling met de verspreiding van kinderpornografisch materiaal te zien (zie paragraaf 5.3): daar neemt de verspreiding via websites juist af. Een verklaring hiervoor is dat de verspreiders van haatzaaiende teksten een zo groot mogelijk publiek willen bereiken en nieuwe groepen mensen willen aanspreken met hun boodschap, en websites tegenwoordig steeds vaker bezoekers de gelegenheid bieden om een eigen boodschap toe te voegen (interactiever worden). Verspreiders van kinderporno daarentegen willen weliswaar kinderpornoliefhebbers bereiken maar verder uit de publiciteit blijven.
Tabel 6.1: Meldingen van uitingen geregistreerd door het MDI 2002 2003 2004 2005 * 2006 2007 tot. % tot. % tot. % tot. % tot. % tot. % Website 548 30,5 490 32,8 1318 44,9 529 40,4 838 48,5 877 55,0 Webfora 899 50 555 37,1 574 43,5 444 33,9 265 15,3 383 24,2 Weblog 255 8,6 199 15,2 515 29,8 165 10,4 Nieuwsgroep 28 1,6 24 1,6 69 2,3 19 1,5 21 1,2 9 0,6 E-mail 197 11,0 190 12,7 503 17,1 44 3,4 16 0,9 48 3,0 Overig** 126 7,0 237 15,8 220 7,5 73 5,6 72 4,2 99 6,3 Totaal 1798 100 1496 100 2939 100 1308 100 1728 100 1581 100 * Het MDI heeft sinds 1 januari 2005 een nieuw registratiesysteem waarbij ‘unieke’ uitingen worden geregistreerd, cijfers van voor en na 2005 kunnen niet worden vergeleken ** Categorieën die hier onder vallen zijn onder andere chat, IRC en video.
In het jaar 2004 is een forse stijging van het totaal aantal meldingen te zien (MDI, 2005). Het MDI concludeert dat het jaar 2004 met de moord op Van Gogh achteraf bezien een uitschieter is geweest. In de periode kort na de moord op Van Gogh stond het internet bol van haatzaaiende uitingen, zowel van mensen die van mening waren dat de islam een halt toegeroepen moest worden, als mensen die hun vreugde uitten over de moord op Van Gogh en blij waren dat de ‘jihad in Nederland’ was begonnen. Daarnaast was er in 2004 driemaal sprake van op grote schaal verstuurde extreem rechtse e-mails. Deze waren verantwoordelijk voor enkele honderden meldingen (MDI, 2006). Per 1 januari 2005 heeft het MDI een nieuw registratiesysteem waarbij ‘unieke uitingen’ worden geregistreerd. Het uitgangspunt is vanaf dan het aantal unieke meldingen en niet het totaal aantal meldingen (over één uiting kunnen immers meerdere meldingen zijn). Dit heeft als gevolg dat het aantal registraties lager uitvalt dan voorheen en dat cijfers voor en na 1 januari 2005 niet kunnen worden vergeleken. Niet alleen maatschappelijke gebeurtenissen (zoals de moord op Theo van Gogh) zijn van invloed, ook het ter beschikking komen van nieuwe faciliteiten op internet speelt een rol. Nieuwsgroepen zijn volgens het MDI tegenwoordig nog wel een ‘hangplek’ van veel internetgebruikers van vóór 2000 en discriminerende uitingen zijn er nog steeds aan de orde van de dag, maar de post-2000 internetgebruiker (en ook de melders) bevinden zich meestal op weblogs, webfora, en ‘communities’ zoals Hyves (MDI, 2008). Reactiepagina’s op nieuwssites, online condoleanceregisters, webforums van scholen of persoonlijke weblogs worden ook getroffen door discriminerende en extreme uitingen. Ook de populaire videoclipsites zoals 154
YouTube staan bol van racisme, oproepen tot geweld, jihad-recruitment en homohaat (MDI, 2007). Sommigen weblogs lijken zich primair te richten op het beledigen en het doen van extreme uitingen. Gebruikers op dit soort webforums of blogs uiten om het hardst beledigingen, bedreigingen en haat tegen alles waar zij ‘tegen’ zijn of wat hen irriteert (MDI, 2007). Veranderingen in haatzaaien op internet kunnen dus hun oorsprong vinden in maatschappelijke gebeurtenissen en in het beschikbaar komen van nieuwe faciliteiten op internet. We hebben geen aanleiding om te veronderstellen dat – zoals bij kinderporno wel het geval was – repressieve maatregelen merkbaar invloed hebben op haatzaaien. Vrij toegankelijke plaatsen zoals websites, webfora en weblogs zijn populaire locaties voor haatza aiende teksten; de afzenders zijn kennelijk niet al te beducht voor repressieve maatregelen. 6.4 Verbanden Inleiding: over de analyse In deze paragraaf gaan we op basis van de dossierstudie in op verbanden die de cybercrime haatzaaien heeft met andere vormen van (cyber)crime. We bekijken eerst onder welke titel de politie de haatzaaien-dossiers heeft geregistreerd. Daarna beschrijven we de verbanden met andere (cyber)criminaliteit die we zelf tijdens de nadere analyse in de tekst van de dossiers tegenkwamen. Ten slotte bekijken we welke wetsartikelen de politie aan het dossier heeft toegekend. De dossiers In deze paragraaf gaan we in op verbanden die de cybercrime haatzaaien heeft met andere vormen van (cyber)criminaliteit. Dit doen we op basis van de resultaten van de dossierstudie. In eerste instantie selecteerden we 119 zaken. Na nadere inhoudelijke analyse bleken 55 dossiers bruikbaar en 64 onbruikbaar. Van de onbruikbare dossiers zijn er 24 alleen een melding (geen aangifte), in 8 dossiers staat te weinig informatie om ze te kunnen analyseren en in 32 dossiers was er geen sprake van de cybercrime haatzaaien. In die laatste groep vallen bijvoorbeeld dossiers die betrekking hebben op groepen voetbalsupporters die elkaar aan het opruien zijn, of die betrekking hebben op de belediging van individuen. Ten tijde van de dossierstudie besloot het OM om Wilders niet te vervolgen voor haatzaaien, omdat hij zijn uitspraken deed in een politieke context en omdat ze bijdroegen aan het publieke debat. Derhalve hebben we deze dossiers beoordeeld als niet zijnde haatzaaien. Tijdens het schrijven van de definitieve versie van dit rapport besloot het Hof dat Wilders toch moet worden vervolgd (artikel 12-procedure). Deze gang van zaken geeft de moeilijkheid van het onderwerp haatzaaien goed weer. Het is niet duidelijk wanneer een uitspraak wel of niet haatzaaiend is. Er is nog te weinig jurisprudentie om hierover eenduidige uitspraken te doen. Besloten is om de Wilderszaken niet alsnog toe te voegen aan de analyse. Inmiddels was namelijk duidelijk dat onze analyse zou gaan over een relatief klein aantal dossiers. De kenme rken van de Wilderszaken zouden dan op het geheel een te groot stempel drukken. Van de 55 bruikbare dossiers was uiteindelijk in 40 gevallen daadwerkelijk sprake van de cybercrime haatzaaien. Onze analyse gaat over die 40 dossiers. Onder welke titel (‘beschrijving’) staat het dossier geregistreerd Een eerste manier om te bepalen welke verschijningsvormen haatzaaien heeft en of het dwarsverbanden heeft met andere cybercrimes is het analyseren van de titels of de ‘beschrijvingen’ waaronder de dossiers in de politiesystemen zijn geregistreerd. Ter toelichting het volgende. We selecteerden de dossiers niet op de titel waaronder het dossier in de politieadministratie is opgenomen. We selecteerden op de inhoud van het dossier. Welke titel of ‘beschrijving’ de behandelend agent aan het betreffende dossier geeft, zegt iets over hoe die
155
agent naar de zaak kijkt: wat voor hem of haar de essentie van deze zaak is. De agent moet tijdens het registreren de ‘beschrijving’ kiezen uit een vaste lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen. Van de 40 dossiers staan er 21 in BPS, 12 in Xpol en 7 in Genesys (tabel 6.2).
Tabel 6.2: Titels (‘beschrijving’) waaronder de 40 haatzaaidossiers zijn geregistreerd Beschrijving BPS Discriminatie Aantasting openbare orde Belediging Aantasting openbaar gezag Voetbalwedstrijd Totaal XPOL Discriminatie Bedreiging Belediging Afhandeling overige meldingen Totaal GENESYS Discriminatie Informatie verdachte omstandigheden Verhoor ander korps Totaal TOTAAL Discriminatie Belediging Bedreiging Aantasting openbare orde / openbaar gezag Voetbalwedstrijd Overig Totaal
n
%
15 2 2 1 1 21
71,4 9,5 9,5 4,8 4,8 100,0
5 3 3 1 12
41,7 25,0 25,0 8,3 100,0
4 2 1 7
57,1 28,6 14,3 100,0
24 5 3 3 1 4 40
60,0 12,5 7,5 7,5 2,5 10,0 100,0
De meeste dossiers haatzaaien staan onder de beschrijvingen ‘discriminatie’, ‘belediging’ of ‘bedreiging’ (80,0%). Op basis van de omschrijvingen zijn er geen verbanden zichtbaar met de andere (cyber)crimes. Verbanden blijkens de inhoudsanalyse Dit beeld zien we terug in de dossierstudie. In 29 van de 40 dossiers (72,5%) is er alleen sprake van de cybercrime haatzaaien en zijn er geen verbanden met andere (cyber)criminaliteit. Het gaat in die 29 dossiers om discriminatie en het aanzetten tot haat tegen bepaalde etnische groepen en homoseksuelen (zie casus 6.1 en 6.2).
Casus 6.1: Aangifte van haatzaaien Ik wil aangifte doen van discriminatie, belediging en bedreiging. Op [datum] las ik in de [krant] een artikel over een Islamitische anti- homosite, waarin een expliciete oproep werd gedaan de Canal Pride tot doelwit van een aanslag te maken. Verder wordt in het artikel gewezen op het feit dat de makers van de website het eens zijn met het in elkaar slaan van een 156
homoseksueel die enige maanden geleden in het centrum van Amsterdam in elkaar is geslagen omdat hij hand in hand had gelopen met zijn vriend. Ook worden directe beledigingen geuit naar vooraanstaande homoseksuelen. Ik heb me direct afgevraagd of hier wel iets mee gedaan zou worden en hoe het kon dat dit soort sites zomaar op het internet te bezoeken zijn.
Casus 6.2: Aangifte van haatzaaien Ik wens aangifte te doen van belediging en bedreiging van en aanzetten tot haat tegen de joodse bevolkingsgroep via internet. Ik ben als commercieel bestuurslid verbonden aan [stichting]. Onze stichting beheert een site op internet, genaamd [website]. Op deze site is het voor mensen die willen deelnemen aan een forum mogelijk zich met een naam en een bestaand e- mailadres te registreren en in te loggen. In de nacht van 9 op 10 augustus 2006 werd er door diverse mensen op onze site ingelogd. Er volgden op de site binnen korte tijd een aantal berichten van diverse mensen waarin teksten voorkomen als "We moeten de joden doden", "Joden zijn kakkerlakken en kunnen makkelijk worden verdelgd als we kordaat optreden". Wij hebben het interactieve deel van onze site vijf dagen gesloten en de site beveiligd. De site is nu weer in de lucht. Wij schrokken van deze berichten en eigenlijk hebben wij niet eerder dit soort berichten ontvangen. In dit geval hebben wij besloten aangifte te doen.
In 11 dossiers is er een verband met andere (cyber)criminaliteit. We zien acht keer een ve rband met een andere cybercrime (tabel 6.3). In vier dossiers is er naast haatzaaien ook sprake van hacken (casus 6.3 en 6.4), in drie dossiers zien we ook cybersmaad, in vier dossiers zagen we identiteitsdiefstal en ook zagen we haatzaaien een keer samengaan met het vernietigen/beschadigen van gegevens. Tabel 6.3: Verbanden in de 40 dossiers haatzaaien met andere criminaliteit 74 Andere (cyber)crime waarmee een verband is Cybercrimes in deze studie Hacken E-fraude Cyberafpersen Kinderporno Overige cybercrimes Vernietigen / beschadigen van gegevens Smaad Identiteitsdiefstal Off-line criminaliteit Kinderpornografisch materiaal (niet op ICT) Geen verband met andere (cyber)crime
n 4 4 0 0 0 8 1 3 4 1 1 29
75
% van 40 10,0 10,0 0,0 0,0 0,0 20,0 2,5 7,5 10,0 2,5 2,5 70,0
In één dossier gaat de cybercrime haatzaaien samen met een traditioneel delict, namelijk het in bezit hebben van kinderpornografisch materiaal (niet op ICT). Het gaat om een verdachte 74
We selecteerden de verschillende vormen van (cyber)criminaliteit in de kinderpornodossiers op basis van de definities die we vooraf opstelden (zie het analysekader in bijlage 10) en niet op de wetsartikelen die in de dossiers zijn opgenomen. 75 Doordat in één dossier zowel verbanden met cybercrimes uit deze studie als overige (cyber)crimes voor kunnen komen is het totaal meer dan 100%.
157
die via MSN en webfora radicale ideeën verspreidt, en bij wie tijdens een huiszoeking kinderpornografisch materiaal wordt aangetroffen. Dat laatste lijkt vooralsnog een toevallige samenloop. Dat haatzaaien soms samengaat met hacken en smaad, ligt meer in de lijn der verwachting. Smaad is een uitingsdelict in dezelfde sfeer als haatzaaien (maar dan gericht op een specifiek persoon), en hacken kan voorafgaan aan het plaatsen van een haatzaaiende tekst, of een verdachte kan claimen dat zijn site is gehackt en dat anderen de gewraakte tekst hebben geplaatst. Tegelijk zien we dat aan verreweg de meeste delicten geen hacken te pas komt.
Casus 6.3: Haatzaaien en hacken Afgelopen week zijn er veel problemen geweest op school, omdat via een "partypeepadres" diverse beledigende en discriminerende teksten zijn gepubliceerd op internet. Vooral het woord kanker en allerlei bevolkingsgroepen worden genoemd. Volgens het account zou dit moeten zijn verstuurd door SO. SO gaf op school echter aan dat zij hier niet voor verantwoordelijk is geweest. Volgens SO zou VE1 haar gebruikersnaam en wachtwoord hebben. Toen zij hierover doorgezaagd werd, gaf ook zij niet thuis. Door vader en moeder van SO werd VE1 echter als dader gezien van de uitlatingen. Gevolg was wel dat diverse allochtonen op school SO verantwoordelijk hebben gehouden voor de scheldpartij cq discriminatie, waarop zij op school diverse keren is lastig gevallen, danwel bedreigd. In de afgelopen week is rapporteur diverse keren op school geweest om me t verschillende leerlingen te praten. Hierbij is ook aangegeven dat we zonodig computers in beslag zouden nemen. Dit heeft va ndaag geresulteerd in een leerlinge die is komen doorgeven dat zij een wachtwoord gehacked had. Betreft VE2, zelf van allochtoonse afkomst. Zij heeft verteld dit te hebben gedaan omdat zij een hekel heeft aan SO. Op dit moment blijven er een aantal strafrechtelijk zaken over. De belediging van een aantal allochtone bevolkingsgroepen via internet. Gekeken gaat worden of hiervan aangifte wordt gedaan. En de bedreiging van SO. Moeder van haar zal benaderd worden voor het doen van aangifte.
Casus 6.4: Haatzaaiende teksten op website met behulp van hacken VE1 verklaarde ons dat hij de foto's en teksten inderdaad gezien had op zijn site maar deze er niet zelf heeft opgezet. Hij verklaarde dat hij op gegeven moment niet meer kon inloggen en via een vriend zijn site heeft geopend. Hij zag toen dat de provider de foto' en teksten verwijderd had en dat hij een nieuw wachtwoord kon instellen. Volgens VE1 is zijn site gehackt mede omdat hij een makkelijk wachtwoord had ingesteld. U vraagt mij hoe deze teksten op mijn site zijn gekomen. Ik weet het niet. Ik heb die teksten er niet op gezet. Het zou kunnen dat anderen deze teksten hebben geplaatst. Ik heb wel gezien dat op mijn site afbeeldingen en teksten stonden, zoals: ‘hakenkruis op de plattegrond van Nederland’, ‘foto van Adolf Hitler’, ‘foto van Bin Laden’, ‘afbeelding van een Duitse adelaar’, ‘foto van Ku Klux Klan, ‘een gedicht met de teksten die te maken hebben dat ons ras nooit mag vergaan’. Kennelijk hebben onbekenden deze teksten geplaatst op mijn site. ik heb die teksten niet geplaatst. Door de provider is mijn site niet meer toegankelijk gemaakt. Zij hebben de teksten verwijderd en ook moest ik van de provider een ander wachtwoord gebruiken. Ik heb zeker geen teksten geplaatst die discriminerend zijn. Dit hebben anderen gedaan. Ik weet nog steeds niet wie dat heeft gedaan. Ik heb nooit discriminerende teksten geplaatst op het internet.
158
Welke wetsartikelen heeft de politie aan het dossier gekoppeld In 30 van de 40 dossiers stelden we vast welke wetsartikelen de politie daar heeft vermeld. De meest voorkomende wetsartikelen zijn de discriminatiebepalingen; artikel 137c, 137d, 137e, 137f en 137g Sr (zie tabel 6.4). Daarnaast is sprake van verschillende uitingsdelicten die in dezelfde sfeer liggen als haatzaaien: belediging, bedreiging, laster. Slechts in één geval is sprake van een wetsartikel dat wijst op een delict met een ander karakter: kinderpornografie. Verdachten van haatzaaien zijn kennelijk geen criminele generalisten. Tabel 6.4: Wetsartikelen in 30 dossiers haatzaaien 76 Artikel Omschrijving 137c Sr Belediging van een groep mensen 137d Sr Aanzetten tot discriminatie 137e Sr Verspreiding discriminatie uitlating 266 Sr Eenvoudige belediging 137f Sr Steun verlening discriminatie 261/267 Sr Belediging 137g Sr Discriminatie bij ambtsuitoefening 285 Sr Bedreiging 240b Sr Kinderpornografie 262 Sr Laster 271 Sr Verspreiding van beledigend geschrift 429quater Sr Discriminatie in uitvoering ambt Totaal * is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten
n 19 17 10 6 5 5 4 3 1 1 1 1 73
% van 30 63,3 56,6 33,3 20,0 16,7 16,7 13,3 10,0 3,3 3,3 3,3 3,3 *
Samengevat We zochten in de haatzaaidossiers op drie manieren naar dwarsverbanden tussen hacken en andere delicten: 1. we keken onder welke titel of beschrijving politiemensen het dossier registreerden; 2. we bestudeerden de inhoud van de dossiers; 3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde. Haatzaaien vertoont meestal geen verband met andere delicten. Is dat wel het geval, dan gaat het om andere uitingsdelicten die in dezelfde sfeer liggen, zoals belediging, smaad, bedreiging, laster. In enkele gevallen is sprake van een verband met hacken. 6.5 Daderkenmerken uit de literatuur In deze paragraaf beschrijven we daderkenmerken van haatzaaiers aan de hand van de literatuur. In paragraaf 6.6 behandelen we de resultaten van de dossieranalyse en vergelijken we de resultaten daaruit met die uit de literatuur. We brengen hier in herinnering de kanttekeningen die we in het eerste hoofdstuk plaatsten bij het opstellen van daderkenmerken (par. 1.4 onder ‘beperkingen van de methoden’). Uit het jaarverslag van het MDI blijkt dat de meeste bij het MDI binnengekomen me ldingen van uitingen (84%) op Nederlandse locaties staan, dat wil zeggen op websites die in Nederland worden gehost, waarvan het beheer in Nederland huist, of waarvan de dome innaamregistratie naar Nederland verwijst (MDI, 2007). Hieruit kunnen we echter niet zonder 76
In één dossiers kunnen meerdere artikelen voorkomen.
159
meer concluderen dat de uitingen ook daadwerkelijk zijn gedaan door mensen die woonachtig zijn in Nederland, internet is immers een mondiaal medium. Van der Hulst en Neve (2008) merken op dat er een onderscheid kan worden gemaakt tussen georganiseerde haatgroepen en informele netwerken waarin individuen elkaar op virtuele ontmoetingsplaatsen uitschelden en bedreigen. De meeste daders van haatzaaien opereren volgens Van Stokkom e.a. (2007) in groepen. Er kunnen leiders, meelopers en tegenspartelende participanten worden onderscheiden (Levin en McDevitt, 2002). Het onderliggende motief is bijna altijd fanatieke haat, en in veel gevallen het verlangen een zondebok aan te wijzen (Hall, 2005). Vrijwel alle radicale groeperingen en personen met extreme opvattingen maken intensief gebruik van websites en cha tboxen om propaganda te voeren, opponenten te bedreigen en te provoceren en op te roepen tot geweld (Van Stokkom, e.a. 2007). Van Donselaar en Rodrigues (2004) schatten het aantal extreemrechtse internetfora in Nederland op ongeveer vijftien. De belangrijkste zijn Polinco, Stormfront en Holland Hardcore. Op die fora worden ontelbare racistische uitlatingen gedaan, en wordt amper gemodereerd (het weghalen van reacties die niet door de beugel kunnen). Hoeveel jihadistische sites er zijn is niet precies bekend. Wel is volgens Van Stokkom e.a. waar te nemen dat veel van dergelijke sites op professionele wijze opereren. De Koster en Houtman (2006) deden onderzoek naar het extreemrechtse webforum van Stormfront. De onderzoekers maakten daarbij gebruik van een inhoudsanalyse van berichten en vulden deze aan met een aantal diepte- interviews met regelmatige bezoekers van het forum. De Koster en Houtman (2006: 244) concluderen dat ‘participatie binnen Stormfront kan worden begrepen als een reactie op de ervaring van sociale weerstand wegens een deviante identiteit – als een reactie op stigmatisering dus.’ En dat ‘veel leden van Stormfront precies om deze reden actief binnen Stormfront zijn: zij beschouwen zichzelf als een ‘bedreigde soort’ en ervaren Stormfront als een virtuele gemeenschap waarbinnen zij hun toevlucht kunnen zoeken’ (ibidem). Naast deze georganiseerde haatgroepen zijn er ook meer informele netwerken op het internet. Door de, door internetters gevoelde, anonimiteit van het internet is sprake van een verharding en het aantal haatuitingen op internet is de laatste jaren flink toegenomen (Van der Hulst en Neve, 2008). Veel discussiefora zijn ontaard in ‘vrijplaatsen’ waar de participanten elkaar diep beledigen, belasteren en met de dood bedreigen (Van Stokkom, 2007). Na de moord op Fortuyn werden discussiefora overspoeld met venijnige scheldpartijen en racistische uitlatingen. Het Algemeen Dagblad was hier niet tegen opgewassen en moest haar discussiesite (tijdelijk) sluiten (Benschop, 2005). Zoals in de inleiding al is vermeld, zijn op internetsites met een Marokkaanse en/of islamitische achtergrond de laatste jaren veel politici en opiniemakers het mikpunt geweest van anonieme scheldkanonnades en bedreigingen (Van Stokkom e.a, 2007). Overigens volgt uit onderzoek van Mann e.a. (2003, behandeld in Van der Hulst en Neve, 2008) naar racistische haatgroepen op het internet dat een relatief kleine kern een groot gedeelte van de discussies op de webforums domineert: één procent van de bezoekers is verantwoordelijk voor maar liefst 45 procent van alle berichten (en tien procent van de bezoekers zelfs voor 83 procent van alle berichten). Haatzaaien kan dus zowel individueel als in groepsverband plaatsvinden. Levin en McDevitt (2002, aangehaald door Mann e.a., 2003, Van Stokkom e.a., 2007, Van der Hulst en Neve, 2008) onderscheiden vier motieven voor haatzaaien: – Voor de lol. Hate crimes worden voornamelijk gepleegd door jongeren. In 66 procent van de gevallen was het motief spanning en opwinding en de verdachten voelen zich dan ook vaak verveeld en hebben behoefte aan ontlading. Het gaat in de meeste gevallen om bekladding, vernieling en vandalisme, hoewel geweld binnen deze groep ook voorkomt. Haatmisdrijven zijn een machtsmiddel om relatieve onmacht te maskeren, en zijn in veel opzichten ‘kunstmatig’ te noemen. Overigens gaan in de meeste gevallen de verdachten ongeorganiseerd te werk en hebben deze verdachten een onvolwassen verlangen om
160
–
–
–
macht ten toon te stellen en het eigen gevoel van zelfachting ten koste van anderen te ve rgroten. In de meeste gevallen (91%) wordt een slachtoffer op basis van zijn of haar ‘anders zijn’ geselecteerd. Het merendeel van de hate crimes zijn onpersoonlijk en de slachtoffers zijn willekeurig en inwisselbaar, de meeste daders zijn niet of nauwelijks overtuigd van de gebezigde vooroordelen of stereotypen, maar proberen binnen hun vriendenkring een hoger aanzien af te dwingen. Als waarschuwingssignaal. In een kwart van de onderzochte gevallen voelt de verdachte zich bedreigd en wil deze zijn territorium verdedigen ten opzichte van indringers. Nieuwkomers of outsiders beschikken volgens de verdachten niet over dezelfde rechten en ze gebruiken geweld en intimidatie om dat duidelijk te maken. Veelal hebben de verdachten antecedenten, met name in de sfeer van mishandeling en intimidatie, en voelen zij weinig schuld omdat het gedrag als rechtvaardig wordt beschouwd. Als vergeldingsactie. Een bepaald misdrijf dat gericht was tegen de eigen groep wordt gewroken op willekeurige andere personen. Dit vindt meestal plaats in de context van sociale spanningen. Dit type misdrijven heeft de potentie om een escalatie van geweld te bewerkstelligen. Voorbeelden hiervan zijn de reacties na de terroristische aanslagen en de moord op Theo van Gogh, maar ook de rellen in het Engelse Lozell in 2005; een gerucht over een verkrachting van een veertienjarig Afrikaans meisje door een groep Aziatische jongeren zorgden voor een periode van spanningen tussen deze twee groepen jongeren, die uiteindelijk leidden tot grote rellen (Towsend, 2005, behandeld in Department of Criminology, 2007). Als missie. Extremisten die overtuigd zijn van hun zaak. Paranoïde, hallucinerende en sterk geïsoleerd levende mensen die geloven dat de objecten van haat het ‘summum van kwaad’ zijn en een gevaarlijke samenzwering vormen, en daarom uitgeroeid moeten wo rden. Ze denken meestal dat een hogere macht, meestal een God, hen een opdracht heeft gegeven en de verdachten hebben dan ook een gevoel van urgentie inzake hun missie. Dit is echter maar een relatief kleine groep – minder dan één procent van het totaal aantal daders.
Volgens Van Stokkom e.a. (2007) zijn de motieven van Levin en McDevitt zeer herkenbaar. Haatuitingen op internet zijn overwegend afkomstig van jonge ‘thrillzoekers’ en uitingen zijn imitatiegevoelig doordat de media nadrukkelijk worden gezocht en gehaald. In figuur 6.11 en 6.12 staan daderkenmerken van rechts radicalen en islamitisch radicalisten beschreven zoals opgesteld door Van der Hulst en Neve (2008). Hoewel deze kenmerken niet specifiek gelden voor haatzaaiers op internet, presenteren we de kenmerken hier wel, aangezien rechts radicale en islamitisch radicale groepen beide een rol spelen bij haatzaaien op het internet.
Figuur 6.11: Daderkenmerken rechts-radicalisme (Van der Hulst en Neve, 2008) Sociaal-demografische kenmerken: blank, tussen de 15 en 24 jaar, gebrekkig toekomstperspectief, variabel opleidingsniveau, van school gestuurd of baan kwijtgeraakt. (Technische) kennis en vaardigheden: geen bijzonderheden bekend Primaire motivatie: ideologie is levensstijl (men wil niet in de maatschappij/gevestigde orde meedraaien) Sociaal-psychologisch profiel: provocerend in gedrag (uitspraken, symbolen), geïnteresseerd in Nederlandse en Duitse geschiedenis, WOII en militarisme, ziet zichzelf als strijder en redder van het blanke volk, gebrek aan ouderlijke supervisie, houdt zich op in groepen (drugs, alcohol en vechten op straat), bestudeert ingewikkelde teksten en opvattingen Criminele carrière: geen bijzonderheden bekend
161
Figuur 6.12: Daderkenmerken islamitisch radicalisme (Van der Hulst en Neve, 2008) Sociaal-demografische kenmerken: jongeren onder de 20 jaar, geboren en getogen in Europa (home-grown), kind van migranten met islamitische achtergrond (Noord-Afrika, Pakistan). (Technische) kennis en vaardigheden: intelligent, belezen, maar geen goede beheersing Arabische taal, actieve internetgebruikers (MSN, discussiefora, websites), trainingservaring. Primaire motivatie: op zoek naar identiteit, behoefte aan aandacht en zelfbevestiging, politiek-religieus (fixatie op de puriteinse islam), gefrustreerd over de maatschappelijke positie van moslims. Sociaal-psychologisch profiel: fluïde netwerken door sociale affiliatie (religie, familie, vriendschap, trainingservaringen), eclectisch gebruik van klassieke geschriftn en opvattingen, verzamelt selectief informatie en verwerkt dit tot eigen ideologie (‘knip-en-plakradicalisme’). Criminele carrière: geen bijzonderheden bekend
6.6 Verdachtenkenmerken uit de dossierstudie In deze paragraaf beschrijven we de resultaten van de dossieranalyse. Aan bod komen de modus operandi, persoonskenmerken, sociale achtergrond en antecedenten van de verdachten van haatzaaien. Aan het einde van deze paragraaf bespreken we overeenkomsten en verschillen tussen de literatuur en de praktijk in Nederland. De modus operandi Om een beeld te krijgen van de modus operandi bij haatzaaien hebben we (1) een analyse gemaakt van de MO zoals die door politiemedewerkers in het politiedossier is vastgelegd, (2) gekeken naar gebruikte criminele technieken en voorbereidingshandelingen die in het dossier worden genoemd, (3) vastgesteld vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al dan niet samenwerkende verdachten in het dossier staan vermeld. Tabel 6.5 MO-beschrijvingen in 17 haatzaaien-dossiers 77 MO beschrijving In BPS (N=17) Computer of pc Woning Universiteit, school of opleidingscentrum Beledigen Discriminatie In XPOL (N=0) In GENESYS (N=0) TOTAAL (n=17) Computer of pc Woning Universiteit, school of opleidingscentrum Beledigen Discriminatie
77
n* 7 5 4 4 2
7 5 4 4 2
Per dossier zijn meerdere MO’s mogelijk.
162
* Omdat er te weinig MO-beschrijvingen in de dossiers staan percenteren we niet. Voor de volledigheid melden we hier nog dat er in een dossier meerdere MO’s kunnen zijn geregistreerd en dat we MO-beschrijvingen die niet vaak voorkomen niet in de tabel opgenomen, zie ook de methodische verantwoording in hoofdstuk 1.
(1) In de meeste dossiers (57,5%) staat geen MO (tabel 6.5). Voor zover er wel MO’s staan, gaan deze vooral over de pleegplaats van het delict, bijvoorbeeld ‘woning of ‘universiteit’. Dan zien we nog als MO ‘beledigen’, discriminatie en ‘overig’. Afgaande op deze analyse gaat haatzaaien dus niet gepaard met een specifieke MO. In de regel plaatst de dader eenvo udig zijn tekst op een website, webforum of weblog (zie paragraaf 6.3). (2) In geen van de dossiers maken verdachten gebruik van cybercriminele technieken. In slechts een klein aantal dossiers treft een verdachte voorbereidingshandelingen. Het gaat dan om het achterhalen van wachtwoorden om te hacken, het opzetten van een website en het vervaardigen van een spotprent. (3) We zochten naar informatie over vanuit welk land de dader opereerde. In alle gevallen bevatte het dossier informatie daarover. In de meeste dossiers (97,1 procent) is het delict vanuit Nederland gepleegd. Eenmaal is het delict uit België gepleegd. In 5 dossiers is het onbekend van waaruit het delict gepleegd is. In één van deze dossiers is bekend dat de server van de website in Amerika staat. (4) In 33 van de 40 dossiers (82,5%) is sprake van verdachten, 48 in totaal. In 26 dossiers (65,0%) van de dossiers is er één verdachte, in de andere dossiers zijn er twee tot zeven verdachten. In geen van de dossiers zijn de verdachten onderdeel van een groep, er is ook geen sprake van georganiseerde misdaad. In een aantal dossiers hebben verdachten berichten gepost op een extremistische website. In die gevallen zien we de verdachte als individu en niet als onderdeel van de georganiseerde groepering rondom de website. Slechts één maal was niet een natuurlijke persoon aangemerkt als verdachte. Het ging om een weblog waarop bezoekers haatzaaiende reacties op een artikel hadden geplaatst. Persoonskenmerken Van 43 van de 48 verdachten weten we het geboorteland. Het merendeel van de verdachten (86,0 procent) is geboren in Nederland (tabel 6.6). Andere verdachten zijn geboren in Marokko (2), Turkije (2), Suriname (1) en Colombia (1).
Tabel 6.6: Geboorteland van 43 verdachten Geboorteland Nederland Ander Europees land Buiten Europa Totaal
n 37 0 6 43
% 86,0 0,0 14,0 100,0
Het grootste deel van deze groep verdachten is van het mannelijke geslacht (86,0%; tabel 6.7). Dat verschilt niet significant van het overeenkomstige percentage voor de gemiddelde Nederlandse verdachte. Wel is het percentage mannen onder de verdachten voor haatzaaien significant hoger dan het percentage mannen onder de Nederlandse bevolking (waar de verdeling tussen man en vrouw ongeveer gelijk is) (p<0,01).
163
Tabel 6.7: Geslacht van 43 verdachten Verdachten haatzaaien Nederlandse verdachten# Nederlandse bevolking## Geslacht n % n % n % Man 37 * 86,0 202.698 82,9 8.157.074 49,5 Vrouw 6 * 14,0 41.777 17,1 8.329.513 50,5 Totaal 43 100,0 244.475 100,0 16.486.587 100,0 # Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008); ## Bron: www.cbs.nl, peiljaar 2009. *: Significant verschil met Nederlandse bevolking (p<0,01).
Van 43 van de 48 verdachten weten we de leeftijd. De jongste verdachte is 13 en de oudste is 53 jaar. De grootste groep verdachten zit in de leeftijdcategorie tot 34 jaar (zie tabel 6.8). Verdachten voor haatzaaien zijn jonger dan de gemiddelde Nederlander. Verdachten van haatzaaien zijn ook jonger dan de gemiddelde pleger van een delict. Verdachten in de leeftijdcategorie 12-17 jaar zijn oververtegenwoordigd ten opzichte van de verdachten in HKS en verdachten van 35 jaar en ouder zijn juist ondervertegenwoordigd (p<0,01).
Tabel 6.8: Leeftijdsopbouw van 43 verdachten haatzaaien, vergeleken met Nederlandse verdachten en de Nederlanders van 12 jaar en ouder Verdachten haatzaaien Nederlandse verdachten# Nederlanders 12+ Leeftijdscategorie n % n % n % 12 – 17 jaar 15 ? * 34,9 35.161 * 14,4 120.4964 8,6 18 – 24 jaar 11 * 25,6 59.990 * 24,6 1.358.686 9,7 25 – 34 jaar 9 20,9 53.137 * 21,8 2.057.625 14,7 35 – 44 jaar 6 14,0 48.045 * 19,7 2.605.300 18,6 45 – 54 jaar 2 4,7 28.595 * 11,7 2.367.997 16,9 55 – 65 jaar 0 * 0,0 13.214 * 5,4 2.035.580 14,5 65 jaar en ouder 0 * 0,0 5.527 * 2,3 2.368.352 16,9 Totaal 43 100,0 243.669 99,9 13.998.504 99,9 # Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008); ## Bron: www.cbs.nl, peiljaar 2007. * Significant verschil met Nederlanders 12+ (p<0,01). ? Significant verschil met Nederlandse verdachten (p<0,01). NB: Personen onder de 12 jaar hebben we niet meegenomen o mdat deze ook niet in HKS staan.
Kortom, verdachten van haatzaaien zijn overwegend van het mannelijke geslacht en zijn overwegend in Nederland geboren. Tot zover niets bijzonders. Verdachten voor haatzaaien zijn relatief jong, nog meer dan al het geval is bij ‘de gemiddelde verdachte in HKS’. Een accent ligt op de groep van kinderen van 12-17 jaar, terwijl de groep van 35 jaar en ouder is ondervertegenwoordigd. Dat houdt verband met het soort zaken in de politiedossiers. Het gaat in de dossiers met minderjarige verdachten vaak om een impulsieve reactie van de verdachte, vaak in de vorm van een haatzaaiende post op een website. Zo zien we in een dossier bijvoorbeeld een impulsieve wraakactie van een verdachte omdat zijn vriend, naar eigen zeggen, in elkaar geslagen was door Marokkanen. De verdachte was hier boos over en postte vervolgens opruiende berichten op een website waarin hij oproept tot geweld tegen buitenla nders. Sociale achtergrond Op basis van de dossiers kunnen we weinig zeggen over de sociale achtergrond van de ve rdachten. Daarvoor staat er te weinig in de politiedossiers over bijvoorbeeld de burgerlijke staat, woonsituatie, opleiding en arbeidssituatie. Verder kunnen we op basis van de dossiers
164
niets zeggen over de technische vaardigheden of computervaardigheden van de verdachten; ook over de relatie tussen dader en slachtoffer hebben we te weinig gegevens voor goed onderbouwde uitspaken. Van 27 verdachten weten we de primaire motivatie (tabel 6.9). Meestal is het wraak (9) of status/zichzelf bewijzen (5). Ook motieven van ideologische (4) en nationalistische (4) aard kwamen herhaaldelijk voor bij deze groep verdachten (zie casus 6.5 en 6.6).
Tabel 6.9: Primaire motivatie van 27 verdachten haatzaaien Primaire motivatie Wraak Status / zichzelf bewijzen (Politiek) ideologisch Nationalistisch Sensatie / media-aandacht (Intellectuele) uitdaging Discussie op doen laaien Nieuwsgierigheid
n 9 5 4 4 2 1 1 1
% 33,3 18,5 14,8 14,8 7,4 3,7 3,7 3,7
Bij haatzaaien is maatschappelijk relevant om te weten ‘uit welke hoek de wind waait’. We hebben niet systematisch bijgehouden op welk deel van de bevolking de verdachten het voorzien hadden (dus of verdachten met name rechts-extremisten of juist fundamentalistische moslims zijn). Wel maakten we van elk dossier een korte samenvatting. Uit deze samenva ttingen blijkt dat het in de meeste dossiers gaat over verdachten met rechts-extremistische ideeën en het met name voorzien hebben op ‘de buitenlanders’ en ‘de allochtonen’. Verder doen verdachten in een aantal dossiers antisemitische uitspraken en in enkele dossiers werden homoseksuelen gediscrimineerd. De meeste dossiers gaan dus over rechts-extremistische verdachten die het met name voorzien hebben op ‘de buitenlanders’ en ‘de allochtonen’. In een aantal gevallen gaat het om post in fora van bekende rechts-extremistische websites. Maar we zien ook een verdachte die na het verbreken van haar relatie met en buitenlandse jongen een website host waar kwetsende en discriminerende uitingen over allochtonen gepubliceerd worden. Er werden ook stukken door derden opgestuurd en gepubliceerd. Een ander voorbeeld is een verdachte die, naar eigen zeggen, in een dronken bui beledigende teksten heeft gepost in een nieuwsgroep omdat hij gefrustreerd is door Marokkaanse jeugd in zijn buurt. De dag na dit incident heeft hij zijn excuus in dezelfde nieuwsgroep geplaatst (casus 6.5).
Casus 6.5: Motief is wraak U leest mij een tekst voor en vraagt of ik deze uiting gemaakt en verzonden heb. Ja, dat heb ik in een heel dom moment verzonden. Ik was ontzettend gefrustreerd in Amsterdam West waar ik woonde. Ik werd op straat lastig gevallen, mijn autoradio was drie keer gestolen. Ik werd dagelijks geconfronteerd op het station met de slechte situatie daar. Ik was al die mannetjes spuug en spuug zat. Ik ben een zachtaardig mens en zal nooit geweld gebruiken. Ik moest toch mij uiten en in een dronken bui heb ik dit ge schreven. De volgende dag dacht ik wat heb ik gedaan maar het was niet meer terug te draaien. Ik heb mij toen in de nieuwsgroep verontschuldigd. Ik heb gezegd dat het mij speet en dat het niet mijn bedoeling was om mensen te kwetsen.
165
U vraagt mij met welk doel ik deze uiting gemaakt en verzonden heb. Dat kwam voort uit frustratie. Ik werd gekweld in mijn leven door groepen jonge Marokkanen. Ik was op dat moment alleenstaand en kon met niemand praten. Ik werd ook door een groep Marokkanen bedreigd. Ik wist geen andere mogelijkheid dan het internet te zoeken.
Casus 6.6: Motief nationalistisch Naar aanleiding van de mishandeling/openlijke geweldpleging werd onderzoek ingesteld en daarbij kwam naar voren dat dit feit mogelijk te maken had met rivaliserende groepen (aan de ene kant "Lonsdale"-jongeren en aan de andere kant allochtone jongeren uit België). Gedurende dit onderzoek kwam informatie naar voren inzake mogelijke opruiing dan wel discriminatie via internet. Via MSN Messenger blijken er tal van contacten te zijn van lieden die zich richten op c.q. oproepen tot een vechtpartij en ook het woord oorlog wordt gebruikt. Er lijkt ook een connectie met eerder genoemde site van [website] waarin wordt beloofd dat er alles aan gedaan zal worden om [provincie] negervrij te maken.
Antecedenten Van 40 verdachten uit de haatzaaiendossiers hadden we voldoende gegevens om antecedenten op te vragen. We hebben opgevraagd in welke hoofdgroepen van delicten (tabel 6.10) zij staan vermeld en voor welke artikelen die verband houden met de cybercrimes uit deze VCN2009 zij antecedenten hebben. 78
Tabel 6.10: Antecedenten van 40 verdachten van haatzaaien en van Nederlanders van 12 jaar en ouder (n=14 mlj.): vermeldingen per hoofdgroep Hoofdgroep
Verdachten haatzaaien n % van 40
Gewelddadig seksueel 1 Overig seksueel 0 Geweld tegen personen 11 Vermogen met geweld 2 Vermogen zonder geweld 4 Vernieling / openbare orde 23 Verkeer 2 Drugs 0 Overige 12 Eén of meer van bovenstaande 30 hoofdgroepen *: significant verschil met ‘Nederlanders 12+’ (p<0,01)
78
* 2,5 0,0 * 27,5 * 5,0 * 10,0 * 57,5 * 5,0 0,0 * 30,0 * 75,0
79
Nederlanders 12+ n % van 13.998.504 1.896 0,014 2.400 0,017 64.914 0,464 6.622 0,047 67.689 0,484 49.379 0,353 62.756 0,448 19.132 0,137 23.811 1,170 2.444.475 1,746
Dat zijn de volgende artikelen uit het Wetboek van Strafrecht: 138a, 350a, 350b, 161sexies, 161septies, 139c, 139d, 232, 326, 225, 240b, 147, 131, 137c, 137d, 137e, 137f, 137g. Deze artikelen staan uitgebreid beschreven in de hoofdstukken over de individuele cybercrimes (hoofdstuk 2 tot en met 6, steeds paragraaf 2). 79 De percentages berekenden we als volgt: In 2007 waren er 13.998.504 Nederlanders van 12 jaar en ouder (www.cbs.nl). We houden 12+ aan omdat onze verdachten ook allemaal 12 jaar en ouder zijn. We weten per hoofdgroep het aantal mensen dat in HKS geregistreerd staan (zie Prins, 2008). Op die manier berekenden we het percentage Nederlanders met antecedenten.
166
Van de 40 verdachten hebben er 30 (75,0%) een of meer vermeldingen in een hoofdgroep, in totaal 55 vermeldingen. Elke vermelding in een hoofdgroep kan weer meerdere antecedenten inhouden. De vermeldingen zijn verspreid over de verschillende hoofdgroepen. De meeste vallen onder de hoofdgroepen ‘vernieling openbare orde’ (23), ‘overige’ (12) en ‘geweld tegen personen’ (11) – groepen waarin ook de gemiddelde Nederlander relatief vaak antecedenten heeft (tabel 6.10). Er zijn 30 verdachten met antecedenten en daarvan zijn er 21 met antecedenten die vallen onder artikelen die mogelijk verband houden met de cybercrimes uit deze VCN2009. In totaal hebben 20 verdachten antecedenten die vallen onder haatzaaien. De meeste daarvan vallen onder artikel 137c Sr (belediging van een groep mensen) en 137d Sr (aanzetten tot discriminatie) (tabel 6.11). Daarnaast is er één verdachte met een antecedent dat valt onder fraude, één verdachte heeft een antecedent voor hacken (art. 138a Sr) en één voor kinderporno (art. 240b Sr).
Tabel 6.11: Antecedenten van 21 verdachten van haatzaaien voor artikelen die (mogelijk) verband houden met de cybercrimes in deze VCN2009 Aantal verdachten met antecedenten hacken Artikel 138a Sr (computervredebreuk) Aantal verdachten met antecedenten mogelijk i.r.t. fraude Artikel 225 Sr (valsheid in geschrift) Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno Artikel 240b Sr (kinderporno) Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien Artikel 137c Sr (belediging van een groep mensen) Artikel 137d Sr (aanzetten tot discriminatie) Artikel 137e Sr (verspreiding discriminatie uitlating) Artikel 137f Sr (steunverlening discriminatie) Artikel 131 Sr (opruiing)
1 1 1 1 0 1 1 20 14 10 6 3 4
We zien dat 75,0 procent van de 40 verdachten van haatzaaien antecedenten heeft. De helft van de verdachten heeft antecedenten voor haatzaaien. Hoogstwaarschijnlijk is deze uitkomst in elk geval deels veroorzaakt doordat we bij het opvragen van antecedenten een ‘hit’ kregen op basis van het dossier dat wij in handen hadden. Het ging immers, vanwege gebrek aan recent materiaal, vaak om oude dossiers en daarom was het delict uit dit dossier mogelijk al opgenomen in HKS.80 Conclusies Uit de literatuur blijkt dat het merendeel van de meldingen van haatzaaiende of discriminerende uitingen over Nederlandse sites gaan, wat overigens niet wil zeggen dat de uiting ook vanuit Nederland is gedaan. Daders van haatzaaien opereren, aldus de literatuur, in groepen die middels websites en chatkanalen discrimineren en oproepen tot geweld, en in informele netwerken op internet. De laatste categorie daders doet haatuitingen op discussiefora en weblogs. Er worden vier motieven onderscheiden: voor de lol (verveling, spanning en opwinding), als waarschuwingssignaal (verdachten voelen zich bedreigd door nieuwkomers en wil80
De politie heeft een invoerachterstand bij HKS die kan oplopen tot een half jaar, maar onze dossiers stamden uit de periode 2002-2007.
167
len hun territorium verdedigen), als vergeldingsactie (veelal in de context van maatschappelijke spanningen) en als missie (door extremisten die overtuigd zijn van hun gelijk). Uit de dossierstudie blijkt dat het merendeel van de delicten vanuit Nederland gepleegd wordt en dat er geen sprake is van georganiseerde criminaliteit. Verdachten opereren alleen. In een aantal dossiers hebben verdachten berichten gepost op een extremistische website, maar zij pleegden het delict als individu. Criminele technieken worden niet gebruikt en verdachten verrichtten in slechts enkele gevallen voorbereidingshandelingen (en in die gevallen ging het om hacken en het vervaardigen van een website en spotprent). Verdachten zijn meestal man en geboren in Nederland (andere landen zijn: Marokko, Turkije, Suriname en Colombia). Qua leeftijd ligt een accent op de groep van 12-17 jaar, terwijl de groep van 35 jaar en ouder is ondervertegenwoordigd. In het geval van de minderjarige verdachten zien we dat het vaak gaat om een impulsieve reactie in de vorm van een haatzaaiende post op een website. De primaire motivatie van de verdachten is veelal wraak. Andere motieven zijn ideologisch / nationalistisch en sensatie. Verdachten van haatzaaien hebben vaker antecedenten dan de gemiddelde Nederlander. Dat komt vermoedelijk doordat het overwegend gaat om mannen en om naar verhouding jonge persone n – en jonge mannen plegen nu eenmaal relatief veel delicten. Nader onderzoek zou daarover meer zekerheid kunnen bieden. Verdachten van de cybercrime haatzaaien hebben veelal ook antecedenten voor haatzaaien. We vermoeden dat deze uitkomst in ons onderzoek in elk geval deels is veroorzaakt doordat we bij het opvragen van antecedenten het dossier dat wij in handen hadden als antecedent vonden. Het ging immers, vanwege gebrek aan recent materiaal, vaak om oude dossiers en daarom was het delict mogelijk al opgenomen in HKS. 6.7 Slachtoffers van haatzaaien In de literatuur in nog weinig bekend over de slachtoffers van cybercrime; informatie speciaal over slachtoffers van haatzaaien kwamen we niet tegen. De dossierstudie brengt ons niet veel verder. In de 40 haatzaaien-dossiers vonden we gegevens van 14 slachtoffers. Dat is te weinig als basis voor generalisaties. Vermelding verdient wellicht nog dat in geval van haatzaaien het slachtoffer niet altijd een natuurlijke persoon is. Een maal werd aangifte gedaan namens een moskee, tweemaal namens een antidiscriminatieorganisatie en twee keer namens een stichting met een religieus oogmerk. In geen van de dossiers was sprake van materiële schade. De meeste slachtoffers voelden zich bedreigd en beledigd, daarnaast waren slachtoffers geschokt door het delict. 6.8 Omvang De politieregistratie bevat weinig aangiften van de cybercrime haatzaaien. In de jaren 2002 tot en met 2007 vonden we 40 zaken die voldeden aan onze selectiecriteria. We onderzochten in de korpsen Hollands-Midden en Zuid-Holland-Zuid welk deel van het bij de politie geregistreerde werkaanbod cybercrime betreft (Domenie e.a., 2009). In dat onderzoek troffen we geen dossiers haatzaaien. Aan de hand van rapporten en jaarverslagen van onder andere de monitor Racisme & Extreem Rechts, het Landelijk Expertisecentrum Discriminatie van het openbaar ministerie, en het Meldpunt Discriminatie Internet, en enkele buitenlandse bronnen, hebben Van Stokkom e.a. (2007) de aard en omvang van strafbare uitingen en incidenten van haatzaaien geanalyseerd. Het blijkt dat de meeste strafbare uitingen op internet momenteel ongemoeid wo rden gelaten. Ook politiestatistieken zijn weinig bruikbaar; een goede landelijke dataverzameling en opsporing van haatzaaiende uitingen heeft bij de politie volgens de onderzoekers een lage prioriteit (2007). Uit onderzoek naar aangiften van haatzaaien in Amerika komt eenzelfde
168
beeld (Levin en McDevitt, 2008). De onderzoekers merken op dat het lage aantal aangiften kan komen door een slechte registratie bij politie en justitie. Van Stokkom e.a. (2007) merken op dat de gebruikte gegevensbronnen een onvolledig beeld geven. Registraties worden bijvoorbeeld verricht door instanties die bestrijding van discriminatie beogen en dus zelf belanghebbende partij zijn. Daarnaast is de rapportage van racistische, antisemitische en islamofobe incidenten in veel opzichten onbetrouwbaar. Zo heeft de beoordeling van concrete gevallen vaak een arbitrair karakter. Wat de ene politiefunctionaris bijvoorbeeld als een neona zistische actie beschouwt, wordt door een ander afgedaan als ‘vandalisme’. Ook wordt er op verschillende manieren geteld. Van Donselaar en Rodrigues (2004) merken op dat wat in de ene politieregio als één geval van bedreiging wordt gezien, bijvoorbeeld de verzending van tien dezelfde dreigbrieven, in een andere regio als tien geva llen worden geteld. Bij de registratie van islamofobe incidenten blijft vaak onduidelijk op welke grond precies wordt gediscrimineerd. Ook is er sprake van onderrapportage; slachtoffers en getuigen van incidenten doen lang niet altijd aangifte bij de politie, noch brengen zij altijd een meldpunt op de hoogte van een incident. Dit kan komen door onbekendheid met de meldpunten maar de relatief lichte incidenten zoals schelden en spuge n (in de offline wereld) worden doorgaans überhaupt niet aangegeven. Hoe top en ijsberg zich tot elkaar verhouden blijft vo lgens Van Stokkom en collega’s dan ook onduidelijk. Het MDI ontving in 2007 1.079 meldingen omtrent strafbare uitingen (MDI, 2008). In 77 procent van die gevallen deed het MDI een verzoek tot verwijdering. In 70 procent van die verzoeken wordt de bewuste content offline gehaald. Een verzoek tot verwijdering wordt meestal gedaan bij de eigenaar of beheerder van de website en niet bij de internet service provider (ISP). Het blijkt namelijk, aldus het MDI, dat websites die door de ISP offline worden gehaald vaak zeer snel bij een nieuwe provider gehost worden. In 2007 is in een groter percentage van de gemelde gevallen een verzoek tot verwijdering verstuurd dan in de jaren daarvoor. In veruit de meeste gevallen waarin het MDI om verwijdering verzoekt, doet het MDI ook aangifte. In 2007 is niet één aangifte van het MDI voor de rechter gebracht. Begin 2007 waren er nog dertien aangiften in behandeling bij het Openbaar Ministerie. De oudste dateert uit 2002. In de loop van 2007 zijn zeven aangiften geseponeerd; vier wegens ouderdom, één omdat bij de opsporing geen aanknopingspunten zijn gevonden die tot vervolging konden le iden en omdat de website inmiddels al geruime tijd offline was, één omdat de verdachte volledig ontoerekeningsvatbaar werd geacht en één werd om een andere (ons onbekende) reden geseponeerd (MDI, 2008). Van Stokkom e.a. (2007) concluderen dat met name personen uit joodse en islamitische gemeenschappen regelmatig het slachtoffer worden van haatuitingen, terwijl de verbale agressie van radicale moslims ook tegen het ongelovige deel van de bevolking is gericht. Uit het surveyonderzoek Allochtonen over Nederland(ers) blijkt dat vijf procent van de allochtone ondervraagden in het afgelopen jaar persoonlijk geconfronteerd zegt ze zijn met racistische bedreigingen, terwijl drie procent persoonlijk geconfronteerd zegt te zijn met racistisch geweld. In 1995 ging het om respectievelijk vier en twee procent (aangehaald in Van Stokkom e.a., 2007). Conclusie Het internet wemelt van de berichten waarin bepaalde groepen mensen worden zwart gemaakt. Het is echter volstrekt onduidelijk waar de grens ligt tussen strafbare en niet-strafbare uitinge n. Burgers weten (dus) niet altijd wanneer zij aangifte kunnen doen en politie en justitie zijn terughoudend met opsporing en vervolging. Over de omvang van deze cybercrime valt dan ook weinig met zekerheid te zeggen.
169
6.9 Trends Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie is een momentopname en daaruit kunnen we geen trends afleiden. Ondanks het lage aantal aangiften is er op dit moment volgens Van Stokkom e.a. (2007) een aantal maatschappelijke spanningen en is er sprake van een ‘haatepidemie’ op internet. Zoals in de inleiding reeds werd geschetst, hebben er in onze huidige samenleving gebeurtenissen plaatsgevonden die veel ongenoegen naar boven hebben gebracht. Radicalisme lokt volgens Van Stokkom e.a. contraradicalisme uit; moslims en niet- moslims kunnen hierdoor in een zichzelf versterkende spiraal van wederzijds wantrouwen en vijandigheid terechtkomen. Het discussieklimaat op internet is volgens de auteurs dan ook in vele opzichten verziekt. De honderden sites waarop vijandige en agressieve taal wordt gebezigd, voeden de maatschappelijke intolerantie en dragen bij aan spanningen tussen bevolkingsgroepen, aldus nog steeds Van Stokkom e.a. (2007). Volgens Van der Hulst en Neve is haatzaaien via het internet dan ook een fenomeen geworden waarbij verschillende groeperingen elkaar voortdurend provoceren via discussiefora en chatboxen (Van der Hulst en Neve, 2008). Profielwebsites, zoals Hyves, zijn in 2007 voor het eerst een belangrijke bron van discriminerende uitingen geworden. Interactieve websites (waaronder interactieve weblogs en webfora) zorgen inmiddels voor het overgrote deel van de meldingen van uitingen die bij het MDI binnenkomen. Meestal zijn het de bezoekers van websites die (strafbare) discriminerende uitingen doen. Uit de jaarverslagen van het MDI is dan ook een verschuiving van het aantal gemelde uitingen te zien naar deze populaire weblogs waarop iedereen kan reageren. 6.10 Resumé Haatzaaien staat niet als zodanig in het Wetboek van Strafrecht, ook anderszins is er in Nederland geen algemeen geaccepteerde definitie. In dit onderzoek verstaan we onder de cybercrime haatzaaien het (aanzetten tot) opzettelijk beledigen of discrimineren van bepaalde groeperingen, zonder een bijdrage te leveren aan het publieke debat, waarbij ICT essentieel is voor de uitvoering. Enkele gebeurtenissen in onze samenleving hebben veel ongenoegen naar boven gebracht, zoals de aanslagen op de Twin Towers in New York in 2001, de moord op Pim Fortuyn in 2002, de aanslagen in Madrid in 2004 en in Londen in 2005, en de moord op Theo van Gogh eind 2004. Internet verschaft een podium waarop mensen op relatief eenvoudige wijze hun (haat)gevoelens kunnen uiten (Stokkom e.a., 2007). Haatzaaien staat dan wel niet als zodanig in het Wetboek van Strafrecht, er kan wel een aantal artikelen worden onderscheiden dat van toepassing is, zoals artikel 147 en 147a Sr (godslastering) en de discriminatieartikelen (art. 137c, d, e, f en g Sr). Volgens de Hoge Raad vervalt de strafbaarheid bij discriminatoire uitlatingen indien deze bijdragen aan het maatschappelijke debat. Ook kan artikel 131 Sr (opruiing) van toepassing zijn. Uit de cijfers van het Meldpunt Discriminatie Internet (MDI, 2008) kunnen we afleiden dat haatzaaiende content in ieder geval wordt ve rspreid middels spam (e- mail), websites, peer-2-peer netwerken, nieuwsgroepen en chat. We weten niet precies welk aandeel van de haatzaaiende content op internet wordt verspreid via welke route, we weten wel dat de wijze waarop de verspreiding loopt aan verandering onderhevig is. Zo zijn er tegenwoordig bijna geen meldingen meer over nieuwsgroepen maar wel over weblogs, websites en webfora. Het merendeel van de dossiers toont geen verband met andere vormen van (cyber)criminaliteit. Soms is er een verband me t hacken of smaad, maar over het geheel genomen geldt dat verdachten van haatzaaien geen criminele generalisten zijn. Volgens de literatuur gaat het merendeel van de meldingen over haatzaaiende of discriminerende uitingen over Nederlandse sites. Daders van haatzaaien opereren in groepen, die middels websites en chatkanalen discrimineren en oproepen tot geweld, en in informele ne t-
170
werken op internet. Ze doen hun haatuitingen op discussiefora en weblogs. Er worden vier motieven onderscheiden; voor de lol (verveling, spanning en opwinding), als waarschuwingssignaal (verdachten voelen zich bedreigd door nieuwkomers en willen hun territorium verdedigen), als vergeldingsactie (veelal in de context van maatschappelijke spanningen) en als missie (door extremisten die overtuigd zijn van hun gelijk). De dossierstudie bevestigt dat het merendeel van de delicten vanuit Nederland gepleegd wordt. Uit de dossiers volgt ook dat geen sprake is van georganiseerde criminaliteit. Verdachten opereren veelal alleen. In een aantal dossiers hebben verdachten berichten gepost op een extremistische website, maar pleegden zij het delict als individu. Criminele technieken worden niet gebruikt en verdachten maken in slechts enkele gevallen gebruik van voorbereidingshandelingen. De meeste verdachten zijn man, jong en geboren in Nederland. Qua leeftijd ligt de nadruk op de groep 12-17 jaar. In het geval van de minderjarige verdachten zien we dat het vaak gaat om een impulsieve reactie in de vorm van een haatzaaiende post op een website. De primaire motivatie is meestal wraak of status/zichzelf bewijzen. Ook zagen we ideologische en nationalistische motieven. Bij haatzaaien is maatschappelijk relevant om te weten ‘uit welke hoek de wind waait’. We hebben niet systematisch bijgehouden op welk deel van de bevolking de verdachten het voorzien hadden (dus of verdachten met name rechts-extremisten of juist fundamentalistische moslims zijn). Wel maakten we van elk dossier een korte samenvatting. Uit deze samenvattingen blijkt dat het in de meeste dossiers gaat over verdachten met rechts-extremistische ideeën en het met name voorzien hebben op ‘de buitenlanders’ en ‘de allochtonen’. Verder doen verdachten in een aantal dossiers antisemitische uitspraken en in enkele dossiers werden homoseksuelen gediscrimineerd. De politieregistratie bevat weinig dossiers inzake de cybercrime haatzaaien. In 20022007 vonden we er 40. In een onderzoek naar cybercrime in de dossiers van twee korpsen werd geen enkel dossier voor haatzaaien aangetroffen (Domenie e.a., 2009). Van Stokkom e.a. (2007) concluderen dat de meeste strafbare uitingen op internet ongemoeid worden gelaten en dat politiestatistieken weinig bruikbaar zijn doordat er geen goede landelijke datave rzameling en opsporing van haatzaaiende uitingen en incidenten is. Het MDI ontving in 2007 1.078 meldingen, maar de meeste daarvan resulteerden niet in een aangifte. Volgens het MDI waren begin 2007 dertien aangiften in behandeling bij het Openbaar Ministerie, waarvan de oudste uit 2002 (MDI, 2008). Ondanks het lage aantal aangiften spreken Van Stokkom e.a. (2007:16) van een ‘haatepidemie’ op internet. Radicalisme lokt volgens de auteurs contraradicalisme uit; moslims en niet- moslims kunnen hierdoor in een zichzelf versterkende spiraal van wederzijds wantrouwen en vijandigheid terechtkomen, aldus deze auteurs. In de jaarve rslagen van het MDI is een verschuiving van het aantal gemelde uitingen te zien naar populaire weblogs waarop iedereen kan reageren (MDI, 2008). Op basis van de dossierstudie kunnen we dit echter nie t onderbouwen. Er worden simpelweg te weinig aangiften van haatzaaien gedaan. Verdachten van haatzaaien hebben vaker antecedenten dan de gemiddelde Nederlander. Dat wordt vermoedelijk veroorzaakt doordat het overwegend gaat om jonge mannen – en die plegen nu eenmaal relatief veel delicten. Nader onderzoek zou daarover meer zekerheid kunnen bieden. Verdachten van haatzaaien hebben veelal antecedenten voor haatzaaien. We vermoeden dat deze uitkomst is veroorzaakt doordat we bij het opvragen van antecedenten het dossier dat wij in handen hadden vonden als antecedent. We hadden, bij gebrek aan recent materiaal, vaak oude dossiers en daarom was het delict mogelijk al opgenomen in HKS. Kortom, het internet wemelt van de berichten waarin bepaalde groepen mensen wo rden zwart gemaakt maar het is onduidelijk waar de grens ligt tussen strafbare en niet-strafbare uitingen. Burgers weten (dus) niet altijd wanneer zij aangifte kunnen doen en politie en justitie zijn terughoudend met opsporing en vervolging. Over de omvang van deze cybercrime valt dan ook weinig met zekerheid te zeggen.
171
7. Cybercrime in Nederland: overeenkomsten en verschillen 7.1 Inleiding In de vorige hoofdstukken bespraken we afzonderlijk de cybercrimes hacken, e-fraude, cyberafpersen, kinderporno en haatzaaien. In dit laatste hoofdstuk brengen we de uitkomsten uit de dossierstudie samen en kijken naar de overeenkomsten en verschillen tussen de cybercrimes. We presenteren het materiaal conform de logica van de onderzoeksvragen. De centrale onderzoeksvraag van deze VCN2009 luidt: wat is de ernst van de voor de politie meest relevante cybercrimes? Om iets te zeggen over de ernst van een cybercrime, kijken we naar de aard van de daad en naar kenmerken/werkwijze van de dader, naar de omvang van de problematiek en naar de maatschappelijke impact. Dit hoofdstuk is dan ook opgebouwd volgens die structuur. In paragraaf 7.2 staat de aard van de cybercrimes centraal, in 7.3 de kenmerken en werkwijze van verdachten, in 7.4 de omvang van de cybercrimes en tot slot in paragraaf 7.5 de maatschappelijke impact. 7.2 De aard van cybercrime in Nederland (verbanden met andere delicten) In deze paragraaf gaan we op basis van de dossierstudie in op verbanden die de cybercrimes onderling en met andere vormen van (cyber)criminaliteit hebben. We bekijken eerst onder welke titel de politie de dossiers heeft geregistreerd. Daarna beschrijven we de verbanden met andere (cyber)criminaliteit die we zelf tijdens de nadere analyse in de tekst van de dossiers tegenkwamen. Ten slotte bekijken we welke wetsartikelen de politie aan de dossiers heeft toegekend. Als aan het dossier behalve artikel 138a Sr (hacken) bijvoorbeeld ook artikel 318 Sr (afdreiging) is gekoppeld, wijst dat op een verband tussen deze twee delicten. Mogelijk was de hack in dat geval de weg waarlangs de dader het slachtoffer afdreigde. 81 De dossiers In totaal bekeken we 1.700 dossiers die een infodeskmedewerker op basis van onze criteria uit de politieregistratie ophaalde. We selecteerden na een eerste globale scan 993 dossiers die relevant leken (zie ook par. 1.4). Na een uitgebreidere inhoudelijke analyse door studentassistenten bleek dat 665 van deze dossiers bruikbaar en relevant waren (tabel 7.1). Een dossier is bruikbaar indien er een aangifte is en het dossier genoeg informatie bevat voor de analyse. Een dossier is relevant indien het betrekking heeft op de specifieke cybercrime. Tabel 7.1: Relevante dossiers per cybercrime82 Hacken Aantal relevante dossiers
139
E-fraude 314
Afpersen 13
Kinderporno 159
Haat zaaien 40
Totaal 665
Van cyberafpersen vonden we maar 13 relevante dossiers. Dit is te weinig voor een kwantitatieve analyse. In dit hoofdstuk laten we deze cybercrime dan ook buiten beschouwing. Van de 81
Artikel 318 Sr luidt: 1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, wordt als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. 2. Dit misdrijf wordt niet vervolgd dan op klacht van hem tegen wie het gepleegd is. 82 Voor de duidelijkheid vermelden we hier nog dat de aantallen in tabel 7.1 ons niets zegen over de omvang van cybercrime in Nederland. Meer over de omvang staat in paragraaf 7.4.
172
overige cybercrimes hebben we voldoende dossiers om iets te kunnen zeggen over die cybercrime en om de cybercrimes onderling te kunnen vergelijken. 83 Onder welke titel (‘beschrijving’) staat het dossier geregistreerd Een eerste manier om te bepalen welke verschijningsvormen een cybercrime heeft en of er dwarsverbanden zijn met andere cybercrimes is het analyseren van de titels of de ‘beschrijvingen’ waaronder de dossiers in de politiesystemen zijn geregistreerd. Ter toelichting het volgende. We selecteerden de dossiers niet op de titel waaronder het dossie r in de politieadministratie is opgenomen. We selecteerden op de inhoud van het dossier. Welke titel of ‘beschrijving’ de behandelend agent aan het betreffende dossier geeft, zegt iets over hoe die agent naar de zaak kijkt: wat voor hem of haar de essentie van deze zaak is. De agent moet tijdens het registreren de ‘beschrijving’ kiezen uit een vaste lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen, elk systeem kent haar eigen omschrijvingen (bijvoorbeeld computercriminaliteit of computervredebreuk). In tabel 7.2 staan de meest gebruikte beschrijvingen. Op deze manier is in grote lijnen te zien onder wat voor type delict de dossiers staan geregistreerd (bijvoorbeeld computercriminaliteit of fraude) en kunnen we de aard van de crimes in onze dossiers bepalen.
Tabel 7.2: Titels (‘beschrijving’) waaronder de dossiers zijn geregistreerd Hacken (n=139) %
E-fraude (n=312) %
K-porno (n=159) %
H-zaaien (n=40) %
Beschrijving TOTAAL Computercriminaliteit * 72,7 1,0 0,0 0,0 Oplichting / bedrog 14,4 * 95,5 0,0 0,0 Diefstal / verduistering 5,0 1,6 0,0 0,0 Kinderpornografie 0,0 0,0 * 99,4 0,0 Overige 7,9 1,9 0,6 12,5 Discriminatie 0,0 0,0 0,0 * 60,0 Belediging 0,0 0,0 0,0 * 12,5 Bedreiging 0,0 0,0 0,0 * 7,5 Aantasting openbare orde / openbaar gezag 0,0 0,0 0,0 * 7,5 Totaal 100,0 100,0 100,0 100,0 * Significant verschil met de overeenkomstige percentages van alle andere cybercrimes in deze tabel (p<0,01)
Aan de beschrijvingen die politiemensen gaven aan de dossiers, is, nu de delicten zo naast elkaar staan, te zien dat de verschillende cybercrimes redelijk op zichzelf staan én dat de beschrijvingen in lijn liggen met de aard van het delict. Hackendossiers staan overwegend onder computercriminaliteit (72,7%), e- fraudedossiers onder oplichting/bedrog (95,5%), kinderpornodossiers onder kinderporno grafie (99,4%) en haatzaaidossiers onder discriminatie, bedreiging, belediging en aantasting van de openbare orde of het openbaar gezag (87,5%). Daarnaast hebben alle cybercrimes nog een aantal vermeldingen onder de beschrijving ‘overig’. In deze categorie valt een groot aantal beschrijvingen zoals huisvredebreuk, stalking, diefstal en vernieling. 83
Bij de afzonderlijke onderwerpen kan het voorkomen dat we van een bepaalde cybercrime toch te weinig dossiers hebben (bijvoorbeeld omdat we er in slechts een klein aantal dossiers informatie staat over verdachtenkenmerken of over materiele schade). Dan laten we voor dat onderwerp die criminaliteitsvorm buiten beschouwing. We stellen de grens hiervoor op 25 dossiers. Indien een cybercrime niet is meegenomen vermelden we dat steeds bij de betreffende tabel.
173
Er is een verband zichtbaar tussen hacken en e-fraude. Ruim 14 procent van de hackendossiers staat onder de beschrijving fraude/oplichting (en dan nog eens 5,0% onder ‘die fstal/verduistering’). Andersom staat slechts 1,0 procent van de e- fraudedossiers onder ‘computercriminaliteit’ geregistreerd. Voor dit verschil84 zijn verschillende verklaringen denkbaar: 1. Het kan eenvoudig een kwestie van volume zijn. De politieregistratie bevat namelijk meer e-fraude- dan hackendossiers (Domenie e.a., 2009). Het aantal zaken waarbij hacken en efraude met elkaar zijn verbonden, maakt dan logischerwijze van alle hackenzaken een groter deel uit dan van alle e- fraude zaken. 2. Het verschil kan te maken hebben met het registratiegedrag van politiemensen. Mogelijk zijn politiemensen eerder geneigd om hacken te verbinden met de vervolgens gepleegde efraude dan dat zij een e- fraude zaak verbinden met het achterliggende hacken. 3. Een andere verklaring voor het bewuste verschil kan zijn dat in e-fraudezaken wel degelijk sprake is van hacken, maar dat het slachtoffer niet weet dat hij is gehackt en dat element dus ook niet in de aangifte betrekt. Verbanden blijkens de inhoudsanalyse Tabel 7.3 geeft een overzicht van de verbanden tussen de cybercrimes uit deze studie onderling en andere criminaliteitsvormen. Ieder dossier uit onze studie kan meerdere verbanden met een ander delict bevatten. We stellen in deze analyse vast of sprake is van een verband en zo ja met welk ander delict. Een andere kwestie is de volgordelijkheid: een verband tussen hacken en identiteitsdiefstal bijvoorbeeld kan betekenen dat eerst een identiteit is gestolen en dat met die identiteit vervolgens de hack is gepleegd, ook kan het verband inhouden dat eerst het systeem is gehackt en dat vervolgens de identiteitsgegevens zijn gestolen. In het merendeel van de hackendossiers vinden we verbanden met andere vormen van (cyber)criminaliteit (82,0%). Bij de hackendossiers is het verband overigens vaak met het vernietigen of beschadigen van digitale gegevens en/of het zonder toestemming kopiëren van digitale gegevens (beide 36,7%). Beide delicten volgen op het hacken. Er dient immers eerst te worden ingebroken voordat digitale gegevens kunnen worden gekopieerd of vernietigd. Doel van een hack is dan bijvoorbeeld het verwijderen of kopiëren van foto’s of e- mails. Verder is een duidelijk verband met e- fraude te zien. In ruim een kwart van de hackendossiers is daarmee een verband (25,9%). Hacken is in deze zaken een middel om de fraude te plegen. Verder is te zien dat de hackendossiers met nog andere delicten verbanden hebben. Dit zegt ons dat hacken bij diverse delicten als middel gebruikt wordt en dan niet een doel op zich is. De e-fraude dossiers staan het vaakst op zichzelf (78,7%). Waar Hacken in zo’n tachtig procent van de dossiers een verband heeft met een andere vorm van criminaliteit, heeft efraude dat in zo’n tachtig procent van de dossiers juist niet. Indien er wel een verband is, dan is dat met digitale identiteitsdiefstal (16,2%). In die gevallen gaat identiteitsdiefstal vaak aan de fraude vooraf, staat ten dienste daarvan. We zien in slechts 2,3 procent van de dossiers een verband met hacken. Andersom heeft van de hackendossiers 25,9 procent een verband met efraude. 85 Dat patroon zagen we ook in de vorige subparagraaf: in hackendossiers is geregeld sprake van een verband met fraude, in fraudedossiers zie n we minder vaak een verband met hacken. We gaven op die plaats reeds drie mogelijke verklaringen voor dat verschil.
84 85
Het verschil tussen 14.4% uit 139 dossiers en 1,0% uit 312 dossiers is significant (p<0,01). Het verschil tussen deze 3,2% uit 314 dossiers en 25,9% uit 139 dossiers is significant (p<0,01).
174
Tabel 7.3: Verbanden in de dossiers met andere criminaliteit
Andere (cyber)crime waarmee een verband is Cybercrimes in deze studie Hacken E-fraude Cyberafpersen
Hacken (n=139) %
E-fraude (n=314) %
K-porno (n=159) %
H-zaaien (n=40) %
? 28,8 * 25,9 2,2 0,7 0,7 * 57,6 * 36,7 * 36,7
3,5 3,2 0,3 0,0 0,0 16,2 0,0 0,0
3,8 3,8 0,0 0,0 0,0 5,7 1,9 0,0
10,0 10,0 0,0 0,0 0,0 20,0 2,5 0,0
Kinderporno Haatzaaien Overige cybercrimes Vernietigen / beschadigen van gegevens Zonder toestemming kopiëren digitale gegevens Smaad ? 17,3 0,0 3,8 7,5 Identiteitsdiefstal 23,0 16,2 ? 3,1 10,0 Aanranding door bedreiging met geweld ? 11,5 0,0 1,3 0,0 Grooming 0,0 0,0 1,3 0,0 Poging tot aanranding / schennis van de eer2,2 0,0 0,0 0,0 baarheid Off-line criminaliteit 8,6 2,9 * 39,6 2,5 Stalking 5,8 0,0 1,3 0,0 Bedreiging met geweld 2,2 0,0 0,0 0,0 Afpersen/afdreigen 0,7 0,0 0,0 0,0 Vervaardigen kinderporno 0,7 0,0 5,0 0,0 Bezit kinderporno niet op ICT 0,0 0,0 * 35,2 2,5 Identiteitsdiefstal zonder gebruik ICT 0,0 2,2 0,6 0,0 Huisvredebreuk 0,7 0,0 0,0 0,0 Onbekend 0,0 0,6 0,0 0,0 Geen verband met andere (cyber)crime * 18,0 78,7 56,6 70,0 * Significant verschil met de overeenkomstige percentages van alle andere cybercrimes in deze tabel (p<0,01) ? Significant verschil met de overeenkomstige percentages van alle andere cybercrimes in de ze tabel met uitzondering van haatzaaien (p<0,01).86
In meer dan de helft van de kinderpornodossiers vinden we geen verband (56,6%) met een andere criminaliteitsvorm. Indien er bij de kinderpornodossiers wel een verband is, dan is dat vaak met een delict dat ook gerelateerd is aan kinderporno: bezit van kinderporno niet op ICT (35,2%) of vervaardigen van kinderporno (5,0%). In dezelfde hoek van zedencriminaliteit liggen de verbanden met grooming en aanranding (beide 1,3%). De verbanden met stalking en smaad laten zich ook goed plaatsen in de zedensfeer. Kortom, ve rdachten van artikel 240b Sr overtreden weliswaar ook andere wetsartikelen, maar het leidende thema blijft seks met minderjarigen. Zoals e-fraudeurs als regel geen wezenlijk andere vormen van criminaliteit plegen dan e-fraude, zo plegen verdachten van het kinderpornoverbod als regel geen wezenlijk andere delicten dan zedendelicten tegen minderjarigen. In enkele gevallen is er een verband met hacken. Zoals we in hoofdstuk 2 zagen, kan zo’n verband ontstaan doordat een verdachte een 86
Een uitkomst bij hacken, e-fraude of kinderporno verschilt niet zo gauw significant van een uitkomst bij haatzaaien vanwege het naar verhouding geringe aantal dossiers bij dat delict. Hoe kleiner de n-waarde, hoe minder snel een verschil in percentages significant is.
175
computer hackt maar ook doordat de verdachte aanvoert dat iemand zijn computer heeft gehackt en dat die persoon de kinderporno op zijn computer heeft geplaatst. Verder zien we bij de kinderpornodossiers dat relatief weinig verdachten zich schuldig maken aan identiteitsdiefstal – significant minder dan verdachten van hacken en e- fraude (p<0,01). Mogelijk speelt hier de afstand tussen dader en slachtoffer een rol. Als een dader naar zijn mening van het slachtoffer geen gevaar te duchten heeft, bijvoorbeeld omdat het slachtoffer toch niet zal achterhalen wie de dader is, zoals vaak het geval is bij het downloaden van kinderporno, is voor de dader de noodzaak om te opereren onder een valse identiteit gevoelsmatig niet zo groot. Kennen dader en slachtoffer elkaar, zoals soms ook het geval is bij kinderporno, dan is het voor de dader niet mogelijk om met succes een andere dan de eigen identiteit aan te nemen en zal hij dat vermoedelijk ook niet proberen. In deze lijn doorredenerend kan het in gedachten van de dader bij hacken en e-fraude lonen om een andere identiteit aan te nemen. Bij e- fraude is dat gemakkelijk in te zien. Op het moment dat het slachtoffer begrijpt dat hij is opgelicht, is het voor de dader wel zo comfortabel als hij bij het slachtoffer niet onder zijn echte naam bekend is. Wat hacken betreft moeten we hier in herinnering houden dat in verreweg de meeste hackendossiers dader en slachtoffer een relatie hebben tot elkaar. Ook dan ligt het voor de hand dat de dader liever opereert onder een andere dan de eigen identiteit. Het merendeel van de haatzaaidossiers heeft geen verbanden met andere criminaliteit (70,0%). In 10 procent van de dossiers is er een verband met hacken. Voor zover we hebben kunnen opmaken uit de dossiers gaat de hack dan vooraf aan het plaatsen van een haatzaaiende tekst. Zo is ook hier te zien dat hacken gebruikt wordt om andere delicten te plegen. Bij de hacken zien we in 0,7 procent van de dossiers een verband met haatzaaien. Voor dit verschil (in 10,0% van de haatzaaiendossiers is een verband met hacken terwijl in 0,7% van de hackendossiers een verband is met haatzaaien) kunnen vergelijkbare verklaringen worden aangevoerd als eerder voor het overeenkomstige verschil tussen hacken en e- fraude. Dan is er nog enkele keren een verband tussen haatzaaien en smaad, een delict dat qua aard dicht bij haatzaaien ligt. Dat verband zien we dan ook niet als iets wat er op duidt dat we te maken hebben met generalisten als daders. Eerder is ook bij haatzaaien op hoofdlijnen de bevinding dat de verdachten zich vrij specifiek met één bepaald soort delict bezig houden, waarbij zij hoogstens af en toe een uitstapje maken (smaad, beschadigen van gegevens, hacken), steeds binnen de context van hun primaire delict. Het verband tussen haatzaaien en kinderporno (2,5%) kunnen we niet anders zien dan een toevallige bevinding: in één geval werd bij het doorzoeken van de computer van de verdachte kinderporno aangetroffen. Deze analyse laat zien dat de cybercrimes uit deze studie overwegend op zichzelf staan, met hacken als grote uitzondering. Verdachten van e-fraude, kinderporno en haatzaaien zijn geen criminele generalisten maar beperken zich tot hun type cybercrime, zij het dat zij daarbij soms aanpalende delicten plegen. We zien in de onderzoeksgegevens twee verschillende soorten van aanpalende delicten: 1. Delicten met hetzelfde karakter als het centrale delict: de bezitter van digitale kinderporno die ook kinderpornoafbeeldingen op papier heeft of kinderporno vervaardigt, en de haatzaaier die zich schuldig maakt aan smaad jegens een individu. 2. Delicten in relatie tot het centrale delict: identiteitsdiefstal ter voorbereiding op een delict, hacken om het delict uit te voeren of het beschadigen van gegevens tijdens het uitvoeren van het delict. Zoals aangegeven staat hacken niet op zichzelf. Dat delict heeft verbanden met een groot aantal vormen van criminaliteit en wordt veelal als middel gebruikt om andere delicten te plegen. Een vraag die zich in dat verband aandient is of we verdachten die hacken, niet allereerst moeten zien als plegers van andere delicten die voor dat delict gebruik maken van hacken.
176
Denkend in de richting van een mogelijke daderprofilering lijkt het gezien onze bevindingen meer voor de hand liggen om bijvoorbeeld e- fraudeurs die hacken primair te beschouwen als e-fraudeurs die gebruik maken van hacken en ze niet zoveer te zien als hackers die frauderen. Welke wetsartikelen heeft de politie aan het dossier gekoppeld Een dossier heeft vaste invoervelden voor het vermelden van de van toepassing zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel opnemen. Niet in alle dossiers staan wetsartikelen. In 113 van de 665 dossiers staan geen wetsartikelen (17,0%). Van de overige 552 dossiers stelden we vast welke wetsartikelen de politie daar heeft vermeld (tabel 7.4).
Tabel 7.4: Wetsartikelen in de dossiers Artikel 138a Sr 350a Sr 350b Sr 139c Sr 326 Sr 310 Sr 311 Sr 321 Sr 225 Sr 232 Sr 317 Sr 285 Sr 267 Sr 266 Sr 240b Sr 249 Sr 247 Sr 245 Sr 239 Sr 137c 137d
Omschrijving Computervredebreuk / kopiëren van gegevens Vernieling computergegevens Vernieling computergegevens door schuld Aftappen en/of opnemen van gegevens via telecommunicatie Oplichting Diefstal Diefstal onder verzwarende omstandigheden Verduistering Valsheid in geschrift Valse betaalpas of waardekaart Afpersing Bedreiging Belediging van bijzondere organen en functionarissen Eenvoudige belediging Kinderpornografie Ontucht met misbruik van gezag Ontucht met wilsonbekwame gemeenschap met een persoon beneden de 16 jaar Schennis van de eerbaarheid Belediging van een groep mensen Aanzetten tot discriminatie
e
137 137f 137g 262 271
Hacken (n=120) %
E-fraude (n=251) %
K-porno (n=151) %
H-zaaien (n=30) %
* 77,5
0,8
0,0
0,0
* 21,7 1,7
0,0 0,0
0,0 0,0
0,0 0,0
0,8
0,0
0,0
0,0
13,3 6,7 5,8
* 96,0 4,8 4,0
0,0 0,0 0,0
0,0 0,0 0,0
0,0 1,7 0,0 1,7 7,5 6,7
2,0 6,0 0,8 0,0 0,4 0,0
0,0 0,0 0,0 0,0 0,7 0,7
0,0 0,0 0,0 0,0 10,0 16,7
2,5 0,0 0,0 0,0 0,0
0,0 0,0 0,0 0,0 0,0
0,0 * 99,3 0,7 0,7 0,7
* 20,0 3,3 0,0 0,0 0,0
0,0 0,0 0,0 0,0 0,0 0,0 0,0 0,0
0,0 0,0 0,0 0,0 0,0 0,0 0,0 0,0
0,7 0,0 0,0 0,0 0,0 0,0 0,0 0,0
0,0 * 63,3 * 56,6 * 33,3 * 16,7 * 13,3 3,3 3,3
Verspreiding discriminatie uitlating Steun verlening discriminatie Discriminatie bij ambtsuitoefening Laster Verspreiding van beledigend geschrift 429quater Discriminatie in uitvoering ambt 0,0 0,0 0,0 3,3 * Significant verschil met de overeenkomstige percentages van alle andere cybercrimes in deze tabel (p<0,01).
177
Tabel 7.4 laat zien dat wetsartikelen die in de dossiers opgenomen zijn meestal in lijn liggen met de aard van de betreffende cybercrime, hacken is een uitzondering. De hackendossiers bevatten artikelen die betrekking hebben op cybercrime in enge zin, bijvoorbeeld artikel 138a Sr (computervredebreuk) en artikel 350a Sr (vernieling computergegevens). Daarnaast zien we artikelen voor vermogenscriminaliteit. Meestal gaat het dan om artikel 321 Sr (oplichting), maar ook artikel 310 Sr (diefstal), artikel 311 (diefstal onder verzwarende omstandigheden) en artikel 225 Sr (valsheid in geschrift) komen voor. Verder staan in de hackendossiers artikelen met betrekking tot intermenselijke conflicten. Het gaat dan om artikel 285 Sr (bedreiging), artikel 266 Sr (eenvoudige belediging), artikel 267 Sr (belediging bijzondere organen) en artikel 317 Sr (afpersing). In de e- fraudedossiers zien we de meeste artikelen in de hoek van de vermogenscriminaliteit. Artikel 326 Sr (oplichting) wordt het meest genoemd (96,0%), daarnaast komen artikelen voor die betrekking hebben op diefstal, verduistering en valsheid in geschrift. In slechts een paar dossiers staan artikelen die niet direct fraudegerelateerde zijn. Het gaat dan om computervredebreuk (0,8%) en bedreiging (0,4%). Computervredebreuk kan betrekking hebben op hacken, dat gebruikt kan worden als middel om mensen op te lichten. De bedreiging kan weer een gevolg van de fraude zijn. In bijna alle kinderpornodossiers staat artikel 240b (kinderpornografie) vermeld (99,3%). Daarnaast zien we enkele artikelen die verband houden met seksueel misbruik. Het gaat dan om ontucht (art. 249 Sr en art. 247 Sr), gemeenschap met een persoon onder de 16 jaar (art. 245 Sr) en schennis van de eerbaarheid (art. 239 Sr). Daarnaast staan er in enkele dossiers artikelen die verband houden met bedreiging en belediging (beide in 0,7%). De haatzaaidossiers laten eenzelfde beeld als de kinderpornodossiers zien: in bijna alle dossiers staan alleen artikelen die direct verband houden met de aard van haatzaaien: de discriminatiebepalingen (art. 137c-g Sr), bedreiging, belediging en laster. Daarnaast werd artikel 240b (kinderpornografie) een keer genoemd. In dat dossier had de kinderpornografie echter niet een direct verband met haatzaaien: de illegale beelden werden tijdens een doorzoeking aangetroffen op de computer van de verdachte. Samengevat We zochten in de dossiers op drie manieren naar dwarsverbanden tussen de cybercrimes uit deze studie en andere delicten: 1. we keken onder welke titel of beschrijving politiemensen het dossier registreerden; 2. we bestuurden de inhoud van de dossiers; 3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde. Alles bijeen genomen is te zien dat e- fraude, kinderporno en haatzaaien criminaliteitsvormen zijn die weinig verbanden hebben met andere vormen van criminaliteit. Alleen hacken heeft duidelijke verbanden met andere criminaliteitsvormen. Hacken kan dan ook gezien worden als een middel om andere criminaliteit te plegen. De cybercrimes in deze studie kunnen we nu als volgt kenschetsen: − Hacken: een combina tie van cybercrime in enge zin (waarbij computers of computergegevens het doelwit zijn), vermogenscriminaliteit en intermenselijke conflicten. De hackenzaken die we in de dossiers aantroffen hebben niet een directe uitwerking op de samenleving in bredere zin, maar zijn gericht op het behalen van een persoonlijk voordeel (ve rmogenscriminaliteit) of op het beslechten van een persoonlijk conflict. Met andere woorden: hacken is niet gericht op maatschappelijke ontwrichting of algemene gevaarzetting, maar op de verwezenlijking van individuele belangen. Het gaat veelal om redelijk alledaagse zaken, waarbij schijnbaar alledaagse mensen elkaar dwars zitten. Het is, ook in verband met daderprofilering, de vraag of we verdachten die hacken eigenlijk wel aller-
178
eerst moeten zien als hackers. Wellicht moeten we ze eerder zien als plegers van andere delicten die voor ‘hun’ delict gebruik maken van hacken. − E-fraude: in de regel geen verbanden met andere (cyber)crimes. Gericht op vermogenscriminaliteit (oplichting, vormen van diefstal, afpersing). Indien er wel verbanden zijn, dan zijn die met diefstal van identiteitsgegevens (vooral digitaal maar ook niet-digitaal) en soms ook met hacken. Deze delicten zijn dan een middel om te komen tot de e-fraude. Het is niet ondenkbaar dat hacken en diefstal van identiteitsgegevens vaker ten grondslag liggen aan e-fraude dan we kunnen opmaken uit de dossiers. Slachtoffers weten immers niet altijd dat ze gehackt zijn en of (en waar en hoe) hun identiteit gestolen is. Daders van efraude tonen zich geen criminele generalisten. − Kinderporno: kent net als e- fraude weinig verbanden met andere criminaliteitsvormen. Als er al een verband is, is dat met een ander delict in de zedensfeer, met name met het in bezit hebben van kinderporno anders dan op ICT en soms met het vervaardigen van kinderporno. Ook proberen verdachten soms minderjarigen te groomen, of slachtoffers aan te randen door te dreigen met het publiekelijk maken van gevoelige informatie (bijvoorbeeld naaktfoto’s). − Haatzaaien: vertoont meestal geen verband met andere delicten. Is dat wel het geval, dan gaat het om andere uitingsdelicten die in dezelfde sfeer liggen, zoals belediging, smaad, bedreiging, laster. In enkele gevallen is sprake van een verband met hacken. 7.3 Verdachtenkenmerken uit de dossierstudie In deze paragraaf bespreken we enkele kenmerken van de verdachten in de dossiers. Aan bod komen de modus operandi, persoonskenmerken, sociale achtergrond en antecedenten. De modus operandi Om iets te zeggen over de modus operandi, hebben we (1) een analyse gemaakt van de MO zoals die door politiemedewerkers in het politiedossier is vastgelegd, (2) gekeken naar gebruikte criminele technieken en voorbereidingshandelingen die in het dossier worden genoemd, (3) vastgesteld vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al dan niet samenwerkende verdachten in het dossier staan vermeld. (1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen kunnen bij het registreren van een delict een of meer MO’s kiezen uit een vaste lijst. Die lijst verschilt enigszins per basisprocessensysteem. Daarnaast kunnen politiemensen zelf een MO invoeren. Omdat er een groot aantal verschillende MO-beschrijvingen gebruikt worden, nemen we alleen veelvoorkomende MO-beschrijvingen in deze analyse mee. Ook voegden we soortgelijke MO-beschrijvingen samen (bijvoorbeeld computer, personal computer en pc). In tabel 7.5 staat het resultaat van de analyse. Voor haatzaaien beschikken we over te weinig dossiers. Dat delict betrekken we dan ook niet in deze analyse. MO-beschrijvingen die veel voorkomen bij de drie overgebleven cybercrimes zijn computer en woning. Dat politiemedewerkers computer in de MO-beschrijving zetten is logisch, de computer is immers doelwit of middel. Waarom politiemedewerkers het type woning in de MO-beschrijving zetten is minder eenvoudig te verklaren. Het zegt ons immers niets over de werkwijze van de dader. Vermoedelijk vullen politiemensen het type woning in omdat ze nu eenmaal gewend zijn dat in te vullen bij met name woninginbraken. De MO ‘hacken’ komt alleen bij hacken voor, niet bij E-fraude of kinderporno. Gezien de eerdere bevindingen lijkt het niet aannemelijk dat in geval van e-fraude of kinderporno nooit sprake is van hacken als MO. Wat de nul- score kan helpen verklaren, is dat het hacken onopgemerkt is gebleven of dat de politie hacken niet als MO heeft geregistreerd. Tegelijk leidt het geheel ontbreken van hacken als MO bij deze twee delictsoorten, tot de conclusie dat
179
hacken in elk geva l geen prominente rol speelt als MO bij e- fraude of kinderporno. Hacken is daar kennelijk eerder uitzondering dan regel. Verder zien we bij e- fraude als MO nog diverse keren ‘valse naam/hoedanigheid’ en ‘advertentie’. Dat weerspiegelt onze bevinding dat het bij e- fraude in veel gevallen gaat om veilingfraude en dat de dader zich niet zelden bedient van een andere dan de eigen ident iteit. In tabel 7.5 komt bij de hackendossiers ‘valse naam/hoedanigheid’ als MO niet voor. 87 Dat is in contrast met het resultaat van de inhoudsanalyse die we over de dossiers uitvoerden (tabel 7.3). Daar vonden we immers dat in 23,0 procent van de hackendossiers sprake was van identiteitsdiefstal. Mogelijk herkennen politiemensen de identiteitsdiefstal niet en/of zetten zij niet de stap om vervolgens ‘valse naam/hoedanigheid’ als MO te registreren.
Tabel 7.5 MO-beschrijvingen in de dossiers Hacken E-fraude K-porno (n=109) (n=230) (n=26) MO beschrijving #% #% #% Computer * 93,6 41,7 30,8 Hacken 89,9 Woning 38,5 35,2 53,8 Vervalsen 8,3 Bedreigen 3,9 Inbreken 63,7 Valse naam/hoedanigheid 24,8 Advertentie 17,8 Internet 7,8 Overig geweld 7,7 # Het totaal is niet gelijk aan 100. In een dossier kunnen meerdere MO’s zijn geregistreerd; daarnaast staan MObeschrijvingen die niet vaak voorkomen niet in de tabel, zie ook de methodische verantwoording in hoofdstuk 1. ‘-’: Komt bij dat delict zo weinig voor dat we die MO voor dat delict niet in de analyse hebben meegenomen. * Significant verschil met de overeenkomstige percentages van de andere cybercrimes in deze tabel (p<0,01)
(2) Bij de nadere inhoudelijke analyse, legden we vast of het dossier informatie bevatte over het gebruik van criminele technieken en voorbereidingshandelingen. 88 We beperken ons hier tot de in bijlage 1 tot en met 9 opgenomen criminele technieken. De meeste dossiers bevatten echter geen informatie over het gebruik van dergelijke technieken. Alleen de hackendossiers bevatten genoeg informatie over criminele technieken om te kunnen analyseren, zie paragraaf 2.6. In de literatuur vinden we wel informatie over criminele technieken. Deze worden uitgebreid besproken in bijlage 1 tot en met 9. Over de voorbereidingshandelingen weten we meer. Deze verschillen per cybercrime: − Hacken is in de meeste dossiers niet zozeer het einddoel maar in zichzelf een voorbereidingshandeling tot het plegen van andere criminaliteit. Een e-mail account wordt bijvoorbeeld gekraakt om toegang te krijgen tot persoonlijke informatie en deze informatie tegen het slachtoffer te gebruiken, om de gegevens te misbruiken bij het oplichten van andere mensen of om toegang te krijgen tot andere accounts. − In de e-fraude dossiers bestaan voorbereidingshandelingen uit het maken en plaatsen van een valse advertentie op een verkoopsite, het opzetten van een website of het versturen 87
Deze tabel is samengesteld uit de overeenkomstige afzonderlijke tabellen in hoofdstuk 2, 3 en 5. In die afzonderlijke tabellen kregen MO’s die zelden voorkwamen geen plaats, anders zouden de tabellen te lang worden. Het kan dus zijn dat ‘valse naam/hoedanigheid’ wel een enkele keer voorkwam bij hacken en kinderporno. 88 Bijlagen 1 tot en met 9 bevatten een overzicht van criminele technieken.
180
van e- mails, al dan niet in combinatie met het creëren van een valse identiteit en het openen van een rekening waarop het geld kon worden gestort, om slachtoffers op te lichten. − In de kinderpornodossiers vinden we weinig informatie over de getroffen voorbereidingshandelingen. Indien we wel informatie hierover hadden dan ging het vaak om het creëren van een fictieve identiteit, bijvoorbeeld door het aanmaken van e- mailadressen, MSNnamen en profielen op sociale netwerksites. − Ook in de haatzaaidossiers vinden we weinig informatie over de getroffen voorbereidingshandelingen. Het gaat dan om het achterhalen van wachtwoorden om te hacken, het opzetten van een website en het vervaardigen van een spotprent. (3) We zochten ook naar informatie over vanuit welk land de dader opereerde. In de meeste dossiers was dat vanuit Nederland. maar daders opereerden soms ook uit het buitenland: − in 23,4 procent van de 60 hackendossiers; − in 14,5 procent van de 166 e-fraudedossiers; − in 2,9 procent van de 35 haatzaaidossiers; − in 0,0 procent van de 136 kinderpornodossiers. Er lijkt een verschil tussen hacken en e- fraude enerzijds en haatzaaien en kinderporno anderzijds, maar dat is schijn. Het verschil tussen de 14,5 en 2,9 procent is echter niet significant (p>0,01). Alles met elkaar opereert de dader van cybercrime dus nogal eens van over de grens, in het bijzonder bij hacken. We hebben daarover hier geen cijfers paraat, maar zeer waarschijnlijk krijgt de politie bij off- line criminaliteit in beduidend minder zaken te maken met een vanuit het buitenland opererende dader. Als de politie willekeurig hacken en e-fraudezaken in behandeling neemt, leidt een relatief groot aantal van de zaken tot opsporingsactiviteiten tot over de grens. De vraag dringt zich op of de politie daarop berekend is. (4) We bekeken in alle dossiers hoeveel verdachten er waren (tabel 7.6). We troffen niet in alle dossiers verdachten.
Tabel 7.6 Aantal verdachten per dossier
Aantal verdachten 1 2 3 4 5 6 7 Totaal
Hacken (n=54) % 83,1 13,8 1,5 0,0 1,5 0,0 0,0 99,9
E-fraude (n=217) % 81,6 12,0 4,1 1,4 0,0 0,5 0,5 100,1
K-porno (n=157) % 93,6 4,5 1,3 0,0 0,6 0,0 0,0 100,0
H-zaaien (n=33) % 78,8 12,1 3,0
3,0 0,0 0,0 3,0 99,9
Tabel 7.6 laat zien dat er in de meeste dossiers één verdachte was. Soms zijn er twee verdachten en van meer dan twee verdachten is in de dossiers nauwelijks sprake. Het hoogste percentage dossiers met slechts één verdachte vinden we bij kinderporno. De 93,6 procent is significant meer (p<0,01) dan het overeenkomstige percentage voor haatzaaien en e-fraude. Met andere woorden: e- fraude en haatzaaien zijn delicten waarbij eerder sprake is van meerdere ve rdachten dan bij (downloaden van) kinderporno. Verschillende factoren kunnen daarbij een rol spelen. Om te beginnen gaat het bij kinderporno meestal om het in bezit hebben er van, na het 181
te hebben gedownload. Niet zelden is dat een solitaire aangelegenheid. De verdachte kan uiteraard contacten hebben met andere kinderpornoliefhebbers, en met hen ook kinderpornografische plaatjes uitwisselen, maar die anderen komen niet gauw als verdachte in beeld als op de computer van de downloader kinderporno is aangetroffen. Ook speelt vermoedelijk een rol dat er bij kinderpornozaken doorgaans geen slachtoffer-aangever is die meerdere personen als verdachte kan aanwijzen. Ook kan onze bevinding een weerspiegeling zijn van de wijze waarop de politie te werk gaat. Als bij iemand kinderporno op de computer wordt aangetroffen, richt de zaak zich vooral tegen die persoon en worden degenen die het materiaal ter beschikking stelden niet opgespoord om als medeverdachten in zo’n zaak te worden aangemerkt. Enkele keren troffen we bijvoorbeeld een zaak waarin een Nederlandse verdachte kinderporno had gedownload bij een in het buitenland gehoste kinderpornosite. De politie in het betreffende land ondernam actie tegen die site. De buitenlandse en Nederlandse politie wisselden informatie uit. Als een producent/verspreider wordt opgespoord en aangepakt, hetgeen wel degelijk gebeurt en hetgeen ook politieprioriteit is, dan wordt dat een afzonderlijke zaak (vermoedelijk dan wel een van die zeldzame zaken met meerdere verdachten). Als er in een dossier twee of drie verdachten staan genoemd, wil dat nog niet zeggen dat het bekenden zijn van elkaar of dat zij samenwerken. In de meeste dossiers zien we geen samenwerkende verdachten of georganiseerde misdaad. In geen van de kinderporno en haatzaaidossiers was dit het geval. In de kinderpornodossiers was wel sprake van georganiseerde kinderpornohandel, maar de verdachten waren in dat geval de afnemers en, voor zover bleek uit de dossiers, zelf geen onderdeel van het criminele samenwerkingsverband. In de hacken- en e-fraudedossiers komen we wel enkele keren georganiseerde groepen tegen. In 4,6 procent van de hackendossiers zijn verdachten onderdeel van een criminele groep, hetgeen wil zeggen dat ze elkaar kennen en samenwerken; in 3,1 procent van de dossiers is er in het politiedossier sprake van georganiseerde criminaliteit. Het ging in die geva llen om grote fraudezaken waarbij de politie vermoedde dat die door georganiseerde groepen vanuit Rusland werden gepleegd. Hacken is dus blijkens onze dossierstudie vooral een delict dat wordt gepleegd buiten criminele georganiseerde verbanden. In 2,2 procent van de e-fraudedossiers is het delict mogelijk gepleegd in georganiseerd verband. Het ging bijvoorbeeld om een groep verdachten die via een door hen opgezet nepbedrijf op internet adverteerden met spullen (in dit geval elektronika) en deze na betaling door het slachtoffer niet leverden. Ook kwamen we voorbeelden van voorschotfraude tegen waarbij het slachtoffer werd voorgehouden een prijs te hebben gewonnen. Er moest echter eerst een geldbedrag aan de orga nisatie worden betaald alvorens de prijs in ontvangst kon worden genomen. Voor e- fraude geldt dus net als voor hacken dat het delict in de regel wordt gepleegd buiten georganiseerde verbanden. Over de MO’s weten we nu dat de cybercrimeverdachten in de rege l niet veel gebruik maken van criminele technieken of voorbereidingshandelingen. De uitzondering zijn verdachten in hackendossiers. Zij maken gebruik van een verscheidenheid aan criminele technieken. Hacken wordt op zichzelf weer gebruikt als voorbereidingshandeling voor het plegen van andere criminaliteit. Verder zien we dat er voor een delict meestal één verdachte is en dat die niet is betrokken bij georganiseerde misdaad. Bij hacken en e- fraude opereren verdachten relatief vaak vanuit het buitenland (respectievelijk 23,3% en 14,5%). Omdat we ons baseren op politiedossiers is nog maar de vraag in hoeverre de vorige alinea de werkelijkheid correct weergeeft. Wel kunnen we concluderen dat voor zover de politie te maken krijgt met hacken, in tegenstelling tot de andere vormen van cybercrime, zij wordt geconfronteerd met een verscheidenheid aan criminele technieken en met een relatief groot aantal zaken die worden gepleegd vanuit het buitenland. Ook daders van e- fraude opereren geregeld vanuit het buitenland. Dat maakt politiewerk complex en roept de vraag op in
182
welke mate de politie in staat is deze hacken- en e- fraudedossiers succesvol in behandeling te nemen. Ten einde zicht te krijgen op hindernissen in het werk van politie en justitie, zou onderzoek gedaan dienen te worden naar hoeveel hacken- en e- fraudezaken uiteindelijk voor de rechter worden gebracht en met welk resultaat. Persoonskenmerken Van 475 verdachten weten we het geboorteland (tabel 7.7). We zien bij alle vormen van cybercrime dat het merendeel van de verdachten in Nederland is geboren (tussen de 86,0% en 91,9%). Er zijn in tabel 7.7 geen significante verschillen tussen de cybercrimes. We kunnen de percentages niet vergelijken met de verdachten in HKS omdat van die verdachten niet het geboorteland, maar de etniciteit geregistreerd staat.
Tabel 7.7: Geboorteland van de verdachten
Geboorteland Nederland Ander Europees land Buiten Europa Totaal
Hacken (n=51) % 88,2 7,8 3,9 99,9
Efraude(n=213) % 88,7 0,9 10,3 99,9
K-porno (n=168) % 91,1 2,4 6,5 100,0
H-zaaien (n=43) % 86,0 0,0 14,0 100,0
Van 491 verdachten weten we het geslacht (tabel 7.8). De verdeling tussen mannen en vrouwen in de cybercrime dossiers wijkt significant af van de verdeling van de Nederlandse bevolking (p<0,01): mannen zijn oververtegenwoordigd. In het bijzonder geldt dat voor delicten inzake kinderporno. Dat is zelfs nog meer dan de andere cybercrimes een mannendelict (p<0,01). Bij twee typen cybercrime wijkt het percentage mannelijke verdachten significant af van ‘de gemiddelde verdachte’ in HKS. Bij kinderporno is, zoals in feite al gezegd, het percentage mannen groter. Bij e- fraude is het percentage mannen juist kleiner dan gemiddeld over alle HKS-verdachten (p<0,01). Het plegen van bedrog via marktplaatsadvertenties is een delict waaraan relatief veel vrouwen zich schuldig maken: ruim een kwart van de e-fraudeverdachten is vrouw. Deze bevindingen omtrent met name het geslacht van kinderporno- en efraude-verdachten, zijn van belang voor het opstellen van daderprofielen.
Tabel 7.8: Geslacht van de verdachten Hacken E-fraude K-porno H-zaaien # HKS ## NL (n=63) (n=218) (n=167) (n=43) (n=244.000) (n=16mlj) Geslacht % % % % % % Man 79,4 ? 73,4 * 98,2 86,0 82,9 * 49,5 Vrouw 20,6 26,6 1,8 14,0 17,1 50,5 Totaal 100,0 100,0 100,0 100,0 100,0 100,0 # Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008); ## Bron: www.cbs.nl, peiljaar 2009. * Significant verschil met alle andere percentages in die rij; ? Significant verschil met HKS (steeds p<0,01)
Van 452 verdachten weten we de leeftijd. De jongste is 13 en de oudste 73 jaar oud. Tabel 7.9 toont de verdeling in leeftijdgroepen. Ook bevat de tabel de leeftijdsopbouw van de Neder-
183
landse bevolking van 12 jaar en ouder alsook de leeftijdsopbouw van alle verdachten in HKS (‘de gemiddelde verdachte’). Om te beginnen zien we dat de gemiddelde Nederlandse verdachte jonger is dan de gemiddelde Nederlander van 12 jaar en ouder. Bij HKS-verdachten zijn de categorieën van 12 tot 44 jaar oververtegenwoordigd. In het algemeen is criminaliteit kennelijk vooral iets voor mensen (vooral mannen) onder de 45 jaar. Hoewel ook bij de cybercrimes in onze studie de jongeren zijn oververtegenwoordigd, is het beeld niet voor iedere cybercrime gelijk. Bij haatzaaien en hacken zien we enigszins eenzelfde patroon. Ten opzichte van de Nederlandse bevolking vallen bij deze twee delicten relatief veel verdachten in de categorie 12-24 jaar (60,5% bij haatzaaien, 42,6% bij hacken). Dan zijn er boven de 24 jaar enkele leeftijdscategorieën die qua aandeel niet afwijken van de Nederlandse bevolking. De oudste één of twee categorieën zijn vervolgens ondervertegenwoordigd. Voor criminaliteitsbestrijding is vooral van belang de bevinding dat verdachten van hacken en haatzaaien in veel gevallen moeten worden gezocht in de leeftijdsgroep 12-24. Bij verdachten van haatzaaien valt zelfs ruim eenderde in de categorie 12-17 jaar.
Tabel 7.9: Leeftijdsopbouw van de verdachten, vergeleken met Nederlandse verdachten en de Nederlandse bevolking Hacken E-fraude K-porno H-zaaien HKS # NL-12+ ## (n=47) (n=194) (n=168) (n=43) (n= 244.000) (n=14mlj) Leeftijdscategorie % % % % % % 12 – 17 jaar * 21,3 ? 5,2 8,3 ? * 34,9 14,4 x 8,6 18 – 24 jaar * 21,3 ? * 45,9 ? 15,5 * 25,6 24,6 x 9,7 25 – 34 jaar 17,0 ? * 33,0 19,0 20,9 21,8 x 14,7 35 – 44 jaar 25,5 ? * 10,3 22,0 14,0 19,7 x 18,6 45 – 54 jaar 10,6 ? * 4,6 ? 21,4 4,7 11,7 x 16,9 55 – 65 jaar 4,3 ? * 0,5 9,5 * 0,0 5,4 x 14,5 65 jaar en ouder * 0,0 * 0,5 * 4,2 * 0,0 2,3 x 16,9 Totaal 100,0 100,0 100,0 100,0 99,9 99,9 # Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008). ## Bron: www.cbs.nl, peiljaar 2009. * Significant verschil met NL; ? Significant verschil met HKS; x Significant verschil tussen HKS en NL (steeds p<0,01).
Zo gezien laat de jeugd zich niet onbetuigd in cybercrime. Maar voor de allerjongste groep (12-17) is e- fraude niet weggelegd. Verdachten van e-fraude vinden we vooral in de categorie 18-34 jaar: 78,9% van deze verdachten valt in die leeftijdsgroep. We vermoeden dat de jongste categorie (12-17) nog niet beschikt over de sociale vaardigheden die het plegen van efraude nu eenmaal vereist. Voor hacken en haatzaaien hoeft de verdachte niet manipulatief op te treden ten opzichte van concrete andere personen, bij e- fraude wel. Een verdachte van een e-fraude moet dus vooral worden gezocht in de groep van 18 tot 34-jarigen. Zo’n min of meer gerichte aanwijzing is niet mogelijk voor verdachten van kinderporno. Onder hen zijn alle leeftijdsgroepen vertegenwoordigd op gelijke wijze als onder de Nederlandse bevolking – met uitzondering van de groep 65-plussers. Die is niet afwezig maar wel significant ondervertegenwoordigd. Tot zover kunnen we concluderen dat een verdachte van cybercrime waarschijnlijk van het mannelijke geslacht is en vermoedelijk moet worden gezocht in de leeftijdsgroepen tussen 12 en 45 jaar. Kinderporno is een uitzondering: een verdachte daarvan is bijna zeker van het mannelijke geslacht, maar over de leeftijd valt minder met zekerheid te zeggen.
184
Sociale achtergrond Op basis van de dossiers kunnen we niet zo veel zeggen over de sociale achtergrond van de verdachten. Er staat vrij weinig in de politiedossiers over bijvoorbeeld de woonsituatie, het opleidingsniveau en de arbeidssituatie. Over burgerlijke staat en opleidingsniveau hebben we enkel van kinderpornoverdachten gegevens (paragraaf 5.6) dus is het maken van vergelijkingen niet mogelijk. Wel hebben we redelijk wat gegevens van verdachten van e- fraude en kinderporno over de woon- en arbeidssituatie Landelijke gezien bestaan de Nederlandse huishoudens voor 35,5 procent uit eenpersoonshuishoudens (www.cbs.nl; peiljaar 2008). Uit tabel 7.10 blijkt dat verdachten in de kinderpornodossiers (34,6%) hier niet significant van afwijkt. Wel blijkt dat verdachten in efraude dossiers significant vaker alleen wonen dan verdachten in kinderpornodossiers én dan de gemiddelde Nederla nder (p<0,01). 89 Dat wijst er in elk geval op dat verdachten van efraude in het bijzonder, maar ook de verdachten in kinderpornodossiers, qua woonsituatie niet een geïsoleerde sociale positie verkeren, ze maken juist vaker dan gemiddeld deel uit van een meerpersoonshuisho uden. Tabel 7.10: Woonsituatie van de verdachten
Woonsituatie Samenwonend Inwonend Alleenwonend
E-fraude (n=58) % 46,6 32,8 20,7
Kinderporno (n=130) % 36,9 28,5 34,6
Van de verdachten bekeken we ook de arbeidssituatie (tabel 7.11a). Tot de beroepsbevolking rekenen we alleen verdachten die werkend of werkloos zijn. Van de verdachten in de efraudedossiers die behoren tot de beroepsbevolking (n=43) is 58,1 procent werkloos, tegen 15,2 procent van de verdachten in de kinderpornodossiers (tabel 7.11b).
Tabel 7.11a: Arbeidssituatie van de verdachten
Arbeidssituatie Werkend Werkloos Arbeidsongeschikt Gepensioneerd Studerend Anders Totaal
E-fraude (n=48) % 37,5 52,1 2,1 0,0 8,3 0,0 100,0
Kinderporno (n=123) % 63,4 11,4 7,3 4,1 12,2 1,6 100,0
Het landelijke werkloosheidspercentage is 3,9 van de beroepsbevolking (www.cbs.nl; peiljaar 2008). Verdachten in zowel de e- fraude als de kinderpornodossiers zijn significant vaker werkloos dan de gemiddelde Nederlander die tot de beroepsbevolking hoort (p<0,01). Verdachten in de e- fraudedossiers zijn ook significant vaker werkloos dan de verdachten in de kinderpornodossiers (p<0,01). 89
Z-score voor proporties, zie Loether en McTavish (1980)
185
Tabel 7.11b: Arbeidssituatie van de verdachten uit de beroepsbevolking
Arbeidssituatie Werkend Werkloos Totaal
E-fraude (n=48) % 41,9 58,1 100,0
Kinderporno (n=92) % 84,8 15,2 100,0
Op basis van de dossiers kunnen we dus niet zo veel zeggen over de sociale achtergrond van de verdachten. Wat we wel weten is dat verdachten in zowel de e-fraude als de kinderpornodossiers zich niet in een sociaal geïsoleerde positie wat betreft hun woonsituatie bevinden, ze wonen immers vaker dan gemiddeld in een meerpersoonshuishouden. Wat de arbeidssituatie betreft bevinden deze verdachten zich juist wel in een sociaal geïsoleerde positie. Ze zijn significant vaker dan gemiddeld werkloos, verdachten in de e- fraude dossiers nog vaker dan ve rdachten in de kinderpornodossier, wat tevens een mogelijke verklaring kan zijn voor de financiële motivatie van deze verdachten. Wat we verder leren uit de dossiers is dat, indien de politie verder wil met daderprofilering van cybercrime verdachten, zij er eerst voor moet zorgen dat alle gegevens van ve rdachten wordt vastgelegd. Van het merendeel van de verdachten uit onze dossiers vonden we immers geen informatie over de sociale achtergrond. Antecedenten90 In totaal hebben we van 390 verdachten voldoende persoonskenmerken voor dit deel van het onderzoek. Van hen zijn in HKS de antecedenten nagetrokken. We hebben opgevraagd in welke hoofdgroepen van delicten (tabel 7.12) zij staan vermeld en voor welke artikelen die verband houden met de cybercrimes uit deze VCN2009 zij antecedenten hebben. 91 Elke vermelding in een hoofdgroep kan weer meerdere antecedenten inhouden. De vermeldingen zijn verspreid over de verschillende hoofdgroepen. Verdachten in e- fraude en haatzaaidossiers hebben het vaakst antecedenten (respectievelijk 75,4% en 75,0%). Ongeveer de helft van de verdachten in de kinderpornodossiers heeft antecedenten en bijna eenderde van de verdachten in de hackendossiers. Voor elk van de cybercrimes geldt dat de verdachten significant meer antecedenten hebben dan de Nederlandse bevolking (p<0,01). Het hoge aantal verdachten met antecedenten kan deels komen doordat verdachten antecedenten kunnen hebben voor de dossiers die wij analyseerden (zie hiervoor ook paragraaf 1.4). Tabel 7.12 laat zien dat verdachten in de e- fraudedossiers significant meer antecedenten hebben in de hoofdgroepen ‘vermogen zonder geweld’ en ‘verkeer’ dan verdachten van de andere cybercrimes uit deze studie. Dat e-fraudeurs antecedenten hebben in de hoofdgroep ‘vermogen zonder geweld’ ligt in de lijn der verwachting; de oplichtingen die we zagen in de dossiers passen in deze hoofdgroep. Een deel van de antecedenten kan zijn gebaseerd op de dossiers die onderdeel zijn van onze studie (zie ook paragraaf 1.4). Tegelijk sluiten we niet uit dat e-fraude-verdachten inderdaad meer dan andere verdachten actief zijn in vermogenscriminaliteit.
90
Een toelichting op deze analyse staat in paragraaf 1.4. Dat zijn de volgende artikelen uit het Wetboek van Strafrecht: 138a, 350a, 350b, 161sexies, 161septies, 139c, 139d, 232, 326, 225, 240b, 147, 131, 137c, 137d, 137e, 137f, 137g. Deze artikelen staan uitgebreid beschreven in de hoofdstukken over de individuele cybercrimes (hoofdstuk 2 tot en met 6, steeds paragraaf 2). 91
186
Tabel 7.12:Antecedenten van de verdachten en van Nederlanders van 12 jaar en ouder: vermeldingen per hoofdgroep Hacken E-fraude K-porno H-zaaien NL-12+ 92 (n=45) (n=138) (n=167) (n=40) (n=14mlj) Hoofdgroep % % % % % Gewelddadig seksueel 2,2 1,4 2,4 2,5 0,014 Overig seksueel 2,2 2,2 7,8 0,0 0,017 Geweld tegen personen 17,8 28,3 8,4 27,5 0,464 Vermogen met geweld 0,0 13,0 0,6 5,0 0,047 Vermogen zonder geweld 13,3 * 69,6 13,2 10,0 0,484 Vernieling / openbare orde 17,8 30,4 10,8 * 57,5 0,353 Verkeer 11,1 * 33,7 5,4 5,0 0,448 Drugs 4,4 10,9 2,4 0,0 0,137 Overige * 6,7 29,7 40,7 30,0 1,170 Eén of meer van deze 31,1 75,4 52,4 75,0 1,746 # Alle percentages in kolom 2-5 welke groter zijn dan 1,0, verschillen significant met het overeenkomstige percentage in ‘NL-12+’ (p<0,01). * Significant verschil met de overeenkomstige percentages van de andere cybercrimes in deze tabel (p<0,01) #
Dat e-fraude-verdachten meer antecedenten hebben op verkeersgebied kan te maken hebben met de leeftijd van e- fraudeverdachten. Zij vallen meer dan andere verdachten in de leeftijdgroep (18-34 jaar) waarin mensen – vooral jongemannen – een verhoogd risico lopen, niet in de laatste plaats in het verkeer. Personen onder de 18 (hacken, haatzaaien) nemen nog niet deel aan het auto- of motorverkeer. Personen die ouder zijn (kinderporno) kunnen vanwege het verstrijken van de tijd uit HKS zijn verwijderd (“schoningsprocedure”). 93 Al met al zien we op basis van ons onderzoek behalve de leeftijd geen reden om een direct verband te ve ronderstellen tussen het plegen van e-fraude en het begaan van verkeersmisdrijven. In de literatuur vonden we dat e-fraudeurs speciaal antecedenten hebben voor drugsdelicten. Criminelen die eerst ‘in de drugs zaten’, zouden zijn overgestapt op het minder riskante e-fraude. Zo schrijven Newman en McNally (2005) dat de grote opbrengsten en geringe pakkans ervoor zorgen dat e- fraude voor de opportunistische kanszoeker aantrekkelijker is dan de handel in drugs. In lijn daarmee concluderen Copes en Vieraitis (2007) dat de primaire motivatie van daders van e-fraude is het op relatief eenvoudige manier snel geld verdienen, met een geringe gepercipieerde pakkans. Dat laatste kan zo zijn, maar dat betekent nog niet automatisch dat e- fraude alleen of zelfs maar vooral criminelen uit de drugswereld aantrekt. Gezien de bevindingen uit ons onderzoek is een nuancering op zijn plaats. Om te beginnen is het percentage e- fraude- verdachten met een antecedent voor drugs niet opvallend hoog (10,9%, tabel 7.10). Dat percentage is weliswaar significant hoger dan het overeenkomstige percentage voor verdachten van kinderporno (2,4%), maar wijkt niet significant af van de percentages voor verdachten van hacken (4,4%) of haatzaaien (0,0%). Dat de 10,9 procent wel significant meer is dan de 2,4 procent van kinderporno en niet significant meer is dan de 0,0 procent van haatzaaien, heeft te maken met de verschillende n-waarden (167 voor kinderporno en 40 voor haatzaaien). Bij een geringere n-waarde kan niet zo snel worden vastgesteld dat een verschil significant is. Eerder zagen we dat verdachten van e- fraude zich overwegend bevinden in de leeftijdsgroep 18-34 jaar. Verdachten van hacken en haatzaaien zien we in de jongere leeftijds92
De percentages berekenden we als volgt: In 2007 waren er 13.998.504 Nederlanders van 12 jaar en ouder (www.cbs.nl). We houden 12+ aan omdat onze verdachten ook allemaal 12 jaar en ouder zijn. We weten per hoofdgroep het aantal mensen dat in HKS geregistreerd staan (zie Prins, 2008). Op die manier berekenden we het percentage Nederlanders met antecedenten. 93 Zie ook paragraaf 1.4.
187
groepen en verdachten van kinderporno juist ook in de oudere (tabel 7.9). Leeftijd lijkt dus een factor waarmee in de analyse rekening gehouden moet worden. Het significante verschil tussen 10,9 procent drugsantecedenten bij e-fraude-verdachten en 2,4 procent bij kinderpornoverdachten, zou deels door het verschil in leeftijd van de verdachten kunnen worden ve rklaard. Dat is een aandachtspunt voor nader onderzoek. Vooralsnog geeft ons onderzoek dus geen steun aan de veronderstelling dat drugscriminelen zijn overgestapt op e- fraude. Uiteraard kan dat in een aantal gevallen wel zo zijn, maar een dominante ontwikkeling lijkt het niet. Wij vonden immers dat e- fraude vooral een zaak is van mensen die andere mensen via advertenties een pootje willen lichten. Dat wijst er niet direct op dat e- fraude het nieuwe werkterrein is van ‘omgeschoolde’ drugscriminelen. We willen naast die veronderstelling een tweede veronderstelling presenteren, die meer in lijn is met de bevindingen uit ons onderzoek: e- fraude is een activiteit waarmee mensen die het financieel niet breed hebben (werkloos zijn) zich gaan bezighouden omdat het bereik en tegelijk de anonimiteit van internet dat wel heel eenvoudig maken. Nader onderzoek moet over de juistheid van beide veronderstellingen meer helderheid verschaffen. Verder laat tabel 7.12 zien dat de (relatief jonge) verdachten uit de haatzaaidossiers significant meer dan de verdachten van de andere cybercrimes antecedenten hebben in de hoofdgroep ‘vernieling/openbare orde’. Daarvoor zien we twee mogelijke verklaringen. Een deel van de antecedenten kan zijn gebaseerd op de dossiers die onderdeel zijn van onze studie (zie ook paragraaf 1.4), omdat haatzaaidelicten vallen binnen deze hoofdgroep. Een andere mogelijke verklaring heeft meer met het type verdachte te maken. Levin en McDevitt (2002) concluderen bijvoorbeeld dat het motief van jonge verdachten van haatzaaien veelal spanning en opwinding is en dat verdachten zich vaak verveeld voelen en behoefte hebben aan ontlading. Het gaat dan volgens Levin en McDevitt in de meeste gevallen om bekladding, vernieling en vandalisme, hoewel geweld binnen deze groep ook voorkomt. Dat verdachten van haatzaaien relatief veel antecedenten hebben in de hoofdgroep ‘vernieling/openbare orde’ is dan een gevolg van het feit dat deze jongeren hun onrust/onvrede op verschillende manieren uiten, niet alleen door haatzaaien maar ook door het op andere wijze verstoren van de maatschappelijke orde, of, populair gezegd, het trappen van rotzooi. Relatie verdachte-slachtoffer Van 345 verdachten weten we de relatie met het slachtoffer (tabel 7.13). In de e-fraude en kinderpornodossiers zijn verdachte en slachtoffer meestal geen bekenden van elkaar (respectievelijk 93,0% en 93,1%). In de hackendossiers zijn verdachte en slachtoffer juist vaak wel bekenden van elkaar (86,2%). In die dossiers is de verdachte meestal een (ex-)partner (24,2%), een kennis (24,1%) of een zakelijke relatie (20,7%). Op deze punten wijkt hacken significant af van de andere twee cybercrimes. Een ve rdachte van een hack kan dus vaker dan een verdachte van e- fraude of haatzaaien worden gezocht in de kring van bekenden van het slachtoffer. In de hackendossiers ligt het motief vaak in de relationele sfeer (een ex-partner die de ander probeert zwart te maken of persoonlijke informatie wil verkrijgen), terwijl verdachte en slachtoffer in fraude-dossiers elkaar vaak niet kennen. In die dossiers worden slachtoffers vaak oplicht door een onbekende verdachte op online verkoopsites. Ook in de kinderpornodossiers kennen verdachte en slachtoffer elkaar niet. Dit komt doordat veel dossiers over verdachten gaan die enkel kinderporno gedownload hebben. Overigens betreffen de kinderpornodossiers ook weer niet altijd ‘alleen maar’ het bezit van willekeurige kinderpornoplaatjes: 5,7 procent van de verdachten kent wel het slachtoffer.
188
Tabel 7.13: Relatie tussen verdachten en slachtoffers Hacken E-fraude K-porno (n=58) (n=128) (n=159) Relatie verdachte en slachtoffer % % % Familie 3,4 1,6 0,6 Partner 1,7 5,5 0,6 Ex-partner (getrouwd, langdurige relatie) * 12,1 0,0 0,0 Ex-partner (verkering, kortstondige relatie) * 12,1 0,0 0,0 Kennis * 24,1 0,0 5,7 Zakelijk ((ex-)werknemer, zakenrelatie, klant) * 20,7 0,0 0,0 Zakelijk (student) * 12,1 0,0 0,0 Onbekende * 13,8 93,0 93,1 Totaal 100,1 100,1 100,0 * Significant verschil met de overeenkomstige percentages van de andere cybercrimes in deze tabel (p<0,01)
hackendossierskinderpornodossiersVan 276 verdachten hebben we op basis van de tekst in het dossier de primaire motivatie kunnen vaststellen (tabel 7.14). Wraak zien we vaak als primaire motivatie terug bij ve rdachten in hacken- en haatzaaidossiers (respectievelijk 36,4% en 33,3%). We veronderstellen dat het bij hacken gaat om persoonlijke wraak en bij haatzaaien veeleer om wraak op bepaalde groepen of zelfs ‘de samenleving’. Financieel gewin is steevast bij e-fraudeurs een motief (100,0%) en in mindere mate bij verdachten in hackendossiers (12,1%). Nieuwsgierigheid is een motief van veel verdachten uit de kinderpornodossiers (53,4%) en in mindere mate van hacken-verdachten (30,3%). Of dergelijke informatie helpt bij daderprofilering ten behoeve van de opsporing, is nog maar de vraag. Het is niet eenvoudig in te zien hoe bijvoorbeeld ‘de motivatie is waarschijnlijk nieuwsgierigheid’, de politie kan helpen bij het vinden van een dader. ‘Nieuwsgierigheid als drijfveer’ is immers niet een criterium op grond waarvan personen uit dataverzamelingen kunnen worden geselecteerd, zoals bijvoorbeeld wel leeftijd, geslacht en zelfs ‘bekende van het slachtoffer’ dat zijn. Wellicht ligt de waarde van kennis omtrent de motivatie van verdachten meer op het vlak van te ontwikkelen verhoorstrategieën en op het terrein van het formuleren van een ‘verhaal’ bij een delict. ‘Rechercheren begint met een mogelijk ve rhaal over een gebeurtenis. Gedurende het onderzoek wordt dit verhaal telkens verder gereconstrueerd, getoetst, bekritiseerd en aangepast, met als doel zo dicht mogelijk te komen bij een waar gebeurd verhaal’. (De Poot e.a., 2004:47). Onderdeel van een kloppend verhaal is de motivatie van de dader. Kortom, uit de analyse van de relatie tussen de verdachte en het slachtoffer blijkt dat er verschillen bestaan tussen de cybercrimes uit deze studie. Verdachte en slachtoffer in de hackendossiers zijn vaker bekenden van elkaar en de motivatie van deze verdachten ligt geregeld in de relationele sfeer. Bij de andere cybercrimes uit deze studie zien we juist een ander beeld. In de e-fraude en kinderpornodossiers zijn verdachte en slachtoffer meestal geen bekenden van elkaar. De primaire motivatie van e-fraudeurs is in de regel financieel gewin, verdachten in de kinderpornodossiers hebben vaker nieuwsgierigheid en verslaving/seksuele behoefte als motivatie. Verdachten in haatzaaidossiers hebben uiteenlopende motieven, meestal wraak (33,3%) en politiek ideologisch/nationalistisch (29,6%).
189
Tabel 7.14: Primaire motivatie verdachten94 Hacken E-fraude K-porno H-zaaien (n=33) (n=98) (n=105) (n=27) Primaire motivatie % % % % Wraak 36,4 0,0 1,9 33,3 Financieel gewin 12,1 * 100,0 0,0 0,0 Status / zichzelf bewijzen 9,1 0,0 0,0 18,5 (Politiek) ideologisch 0,0 0,0 0,0 14,8 Nationalistisch 0,0 0,0 0,0 14,8 Sensatie / (media-)aandacht 3,0 0,0 0,6 7,4 (Intellectuele) uitdaging 0,0 0,0 1,9 3,7 Discussie op doen laaien 0,0 0,0 0,0 3,7 Nieuwsgierigheid 30,3 0,0 * 61,0 3,7 Verslaving/seksuele behoefte 0,0 0,0 20,0 0,0 Per ongeluk 0,0 0,0 10,5 0,0 Overige 9,1 0,0 3,8 0,0 Totaal 100,0 100,0 97,5 99,9 * Significant verschil met de overeenkomstige percentages van de andere cybercrimes in deze tabel (p<0,01)
Conclusies We behandelen op deze plaats geen conclusies per cybercrime, die staan beschreven in de betreffende hoofdstukken. We formuleren hier hoofdlijnen waarbij we de cybercrimes samenvoegen of, als dat niet mogelijk is, naast elkaar plaatsen: − Een verdachte van cybercrime is waarschijnlijk van het mannelijke geslacht en moet ve rmoedelijk worden gezocht in de leeftijdsgroepen tussen 12 en 45 jaar. Kinderporno is een uitzondering: een verdachte daarvan is bijna zeker van het mannelijke geslacht, maar over de leeftijd valt juist minder met zekerheid te zeggen. − Daders van cybercrime plegen hun delict zelden in georganiseerd verband. Toch komt georganiseerde cybercrime wel voor bij e- fraude en kinderporno. − Verdachten van e-fraude hebben relatief veel antecedenten in de hoofdgroepen ‘vermogen zonder geweld’ en ‘verkeer’. Het hoge percentage e- fraude- verdachten met antecedenten in de eerstgenoemde hoofdgroep kan (deels) zijn veroorzaakt doordat de antecedenten ook zijn gebaseerd op de dossiers die onderdeel zijn van onze studie (zie ook paragraaf 1.4). Tegelijk blijft de mogelijkheid bestaan dat e-fraude-verdachten meer dan andere verdachten actief zijn in vermogenscriminaliteit. Dat e-fraude-verdachten meer antecedenten hebben op verkeersgebied kan te maken hebben met de leeftijd van e-fraudeverdachten. Zij vallen meer dan andere verdachten in de leeftijdgroep (18-34 jaar) waarin mensen – vooral jongemannen – een verhoogd risico lopen, niet in de laatste plaats in het verkeer. − In de literatuur vonden we dat e- fraudeurs vaak antecedenten hebben voor drugsdelicten. Het zou gaan om drugscriminelen die nu ‘snel geld’ zoeken in e- fraude. Onze bevindingen geven vooralsnog geen steun aan de veronderstelling dat hier sprake is van een omvangrijke ‘omscholing’. Ze leiden eerder tot de veronderstelling dat e-fraude een activiteit is van redelijk alledaagse mensen die het financieel niet breed hebben (werkloos zijn). Nader onderzoek, waaronder daderinterviews, moet hierover meer helderheid verschaffen. 94
Percentages van de cybercrime haatzaaien staan niet in de tabel, hiervan hadden we te weinig relevante dossiers.
190
− Verdachten uit de haatzaaidossiers hebben meer dan de andere verdachten antecedenten in de hoofdgroep ‘vernieling/openbare orde’. Een deel van de antecedenten kan zijn gebaseerd op de dossiers die onderdeel zijn van onze studie. Een andere mogelijke verklaring vinden we in de literatuur en heeft meer met het type verdachte te maken: het kan gaan om personen die zoeken naar spanning en opwinding en die zoeken naar mogelijkheden om rotzooi te trappen. − Verdachte en slachtoffer in hackendossiers zijn vaak bekenden van elkaar; bij e-fraude en kinderporno is dat doorgaans juist niet het geval. − De motivatie van hacken-verdachten ligt geregeld in de relationele sfeer. De primaire motivatie van e- fraudeurs is steevast financieel gewin, verdachten in de kinderpornodossiers hebben vaker nieuwsgierigheid en verslaving/seksuele behoefte als motivatie. Verdachten in haatzaaidossiers hebben uiteenlopende motieven, meestal wraak en politiek ideologisch/nationalistisch. De analyses wijzen er op dat we niet alleen te maken hebben met verschillende cybercrimes met relatief weinig dwarsverbanden maar ook met verschillende dadergroepen die elkaar wellicht maar weinig overlappen. Nader onderzoek dient vooral gericht te zijn op het vergroten van kennis over specifieke dadergroepen, niet alleen met het oog op de opsporing maar ook met het oog op preventie en vroegsignalering. We denken dan in eerste instantie aan: − Plegers van veelvoorkomende e- fraude (veilingfraude) met bijzondere aandacht voor de leeftijdsgroep van 18 tot 34 jaar. Speciale aandachtspunten in zo’n onderzoek zijn dan de omstandigheden die maken dat de daders komen tot het delict en de rol van werkloosheid daarbij (daderinterviews), alsook het vraagstuk van recidive of, wat uitgebreider, de criminele carrière – en natuurlijk wat kan helpen om e- fraude tegen te gaan. − Plegers van haatzaaien, met name in de jongste leeftijdscategorie (12-18 jaar). Speciaal aandachtspunt in zo’n onderzoek is de eventuele samenhang tussen het delict enerzijds en omgevingsfactoren en persoonlijkheidskenmerken anderzijds. Centrale vraag is dan welke omstandigheden kunnen helpen verklaren waarom deze jonge daders tot hun delict komen, of jongeren die tot zo’n delict komen wellicht bepaalde persoonlijkheidskenmerken hebben, of er een samenhang is met het plegen van andere delicten die zijn op te vatten als uiting van onrust/onvrede of ontlading. − Daders van in het bijzonder e- fraude en kinderporno die delicten plegen in georganiseerd verband. Via de politiedossiers die wij doorzochten, krijgen we nauwelijks zicht op georganiseerde criminaliteit. Signalen dat daarvan wel sprake is, zagen we echter wel in de dossiers. Georganiseerde criminaliteit vorm een maatschappelijke dreiging. Meer zicht op dat fenomeen is daarom nodig. Dat vergt een specifiek daarop gerichte benadering. We noemen niet de reguliere kinderporno-donwloader als aandachtspunt voor nader onderzoek. De belangrijkste reden daarvoor is dat het georganiseerde deel van de kinderpornoha ndel het eerst aandacht verdient. Ook hackers noemen we in zijn algemeenheid niet als aandachtsgebied voor nader onderzoek. De belangrijkste reden daarvoor is dat hacken vaak plaats vindt in de sfeer van ruzie tussen bekenden – en dat het slachtoffer de politie dus kan wijzen wie de vermoedelijke dader is. Verder is hacken in de wereld van cybercriminaliteit doorgaans geen einddoel maar meer een middel tot het plegen van andere criminaliteit, vooral fraude. Wanneer we daders onder de loep nemen die zich bezig houden met e-fraude, haatzaaien en georganiseerde criminaliteit, ontstaat ook meer zicht op hacken en hackers.
191
7.4 Omvang Inleiding Om enig zicht te krijgen op de omvang van cybercrime, namen we een steekproef van me ldingen en aangiften om te zien in hoeveel gevallen er in de politieregistratie sprake is van hacken (Domenie e.a., 2009). Ook hielden we een slachtofferenquête onder internetters in Friesland. Uit de politieregistratie We onderzochten in de korpsen Hollands-Midden en Zuid-Holland-Zuid welke deel van het bij de politie geregistreerde werkaanbod cybercrime betreft (Domenie e.a., 2009). Van alle in deze regio’s in 2007 geregistreerde zaken betreft tussen de 0,3 en 0,9 procent cybercrime (tabel 7.15). Deze studie in twee korpsen geeft zicht op de omvang van de door de politie geregistreerde cybercrime. Daaruit is echter bezwaarlijk iets af te leiden over hoe vaak die vorm van criminaliteit werkelijk voorkomt.
Tabel 7.15: Geregistreerd werkaanbod cybercrime Hollands-Midden Zuid-Holland-Zuid 95 Percentage cybercrime in de politieregistratie 0,3 – 0,6 0,4 – 0,9 Van de cybercrimes heeft betrekking op: * E-fraude 51,4 48,6 Hacken 6,9 4,3 Stalking 5,6 7,1 Spionage 0,0 0,0 Smaad 8,3 15,6 Illegale handel (gestolen goederen, illegale prostitutie) 11,1 14,3 Kinderporno 1,4 4,3 Piraterij 0,0 1,4 Illegale kansspelen 0,0 0,0 Afpersen 0,0 0,0 Haatzaaien 0,0 0,0 Grooming 5,6 1,4 Overige cybercrime (bedreiging, schending privacy, etc.) 13,9 7,1 *: Het totaal van deze percentages is meer dan 100,0 omdat in sommige dossiers sprake is van meerdere vormen van cybercrime
Het aandeel van het totale geregistreerde werkaanbod dat cybercrime betreft, ligt in beide korpsen tussen 0,3 en 0,9 procent. De verdeling van de cybercrimes is vergelijkbaar. De helft is e-fraude, de andere helft is verdeeld over veel verschillende cybercrimes. In Zuid-HollandZuid zijn meer gevallen van ‘smaad’ gevonden in de steekproef, in Hollands-Midden meer ‘overige cybercrimes’. Om meer te kunnen weten over dit verschil, zal een grotere steekproef genomen moeten worden en moeten de dossiers verder inhoudelijk worden bestudeerd. Cyberafpersen en haatzaaien vinden we niet terug in de steekproef. Wat niet wil zeggen dat deze delicten geheel niet voorkomen. Voor zover ze voorkomen wordt er kennelijk weinig aangifte
95
Aangezien de meting is verricht in een steekproef, konden we berekenen dat het aandeel cybercrime met een betrouwbaarheid van 90 procent ligt tussen deze twee grenswaarden (zie voor een uitgebreide verantwoording Domenie e.a., 2009).
192
van gedaan. Ook vonden we niet veel aangiftes van kinderporno. Het kan zijn dat niet al dergelijke zaken in BPS gemuteerd worden. Deze zaken missen dan dus 96 . Uit tabel 7.15 kunnen we niet veel afleiden over de prevalentie van de verschillende cybercrimes omdat gegevens over aangiftebereidheid ontbreken. Wel is duidelijk met wat voor zaken de politie het frequentst wordt geconfronteerd: vooral e-fraude (49-51% van alle cybercrimes), dan hacken (4-7%), kinderporno (1-4%) en tot slot cyberafpersen en haatzaaien (geen zaken gevonden). Uit de slachtofferenquête onder burgers We hielden in november 2008 (via vraaghetdevries.nl) een steekproef onder Friese interne tgebruikers (zie bijlage 11). In totaal zijn 1.246 Friese internetgebruikers ondervraagd (tabel 7.16). Het vaakst gaven respondenten aan in 2007 of 2008 slachtoffer te zijn geweest van een poging tot e- fraude (10,1 procent). Slechts twee respondenten deden aangifte, één van hacken en één van e-fraude.
Tabel 7.16: slachtofferschap cybercrime in twee jaar, onder Friese internetgebruikers (n=1.246) Aantal slachtoffers n % 65 5,2 28 2,2 16 1,3 109 8,7
Cybercrime Hacken E-fraude Ongewenst kinderporno ontvangen Totaal
Aantal aangiften n % 1 1,5 1 3,6 0 0 2 1,8
Op basis van de steekproef van vraaghetdevries.nl kunnen we voorlopig concluderen dat burgers niet zelden slachtoffer worden van een cybercrime maar dat slechts een enkeling daarvan aangifte doet. Conclusie Over de absolute omvang van cybercrime in Nederland valt niet veel met zekerheid te zeggen (zie ook Domenie e.a., 2009). Het maakt maar een zeer klein deel uit van de bij de politie geregistreerde criminaliteit. De resultaten uit een slachtofferonderzoek in Friesland, wijzen op een substantieel dark number. Om deze kennisleemte op te vullen is een landelijk slachtoffe ronderzoek nodig. 7.5 Maatschappelijke impact Inleiding Maatschappelijk impact is een breed begrip. We beperken ons in deze paragraaf voornamelijk tot de vraag wie slachtoffer worden van cybercrime en welke schade zij daarvan ondervinden. We beginnen deze paragraaf met kenmerken van de slachtoffers (persoonskenmerken, sociale achtergrond en antecedenten). Daarna kijken we naar de (im)materiële schade die zij leden. We hebben uit de dossiers weinig informatie over slachtoffers van cyberafpersen, kinderporno
96
We checkten dit bij misdaadanalisten uit het korps Hollands-Midden, volgens hen worden nagenoeg alle zaken in BPS gemuteerd, alleen grote schokkende zaken, of zaken waarbij politiemedewerkers zelf betrokken zijn, worden afgeschermd. We weten niet of dit geldt voor alle korpsen.
193
en haatzaaien. De kwantitatieve analyse betreft derhalve alleen slachtoffers van hacken en efraude. Persoonskenmerken Van 385 slachtoffers uit de hacken en e-fraudedossiers weten we het geboorteland. Het merendeel is geboren in Nederland. In de hackendossiers is dat 86,5 procent en in de efraudedossiers 90,7 procent. Van 379 slachtoffers weten we het geslacht (tabel 7.17). De verdeling tussen mannen en vrouwen in de hacken- en e- fraudedossiers wijkt significant af van de verdeling van de Nederlandse bevolking (p<0,01). Mannen zijn vaker slachtoffer van beide delicten dan vrouwen (hacken 63,6% en e- fraude 67,1%). Eerder zagen we dat mannen ook vaker dader zijn. Er is geen significant verschil tussen het percentage mannen onder de daders en de slachtoffers (p>0,01).
Tabel 7.17: Geslacht van de slachtoffers Hacken (n=99) Geslacht % Man 63,6 Vrouw 36,4 Totaal 100,0 * Cijfers ontleend aan www.cbs.nl, peiljaar 2009.
E-fraude (n=280) % 67,1 32,9 100,0
NL bevolking* (n=16mlj) % 49,5 50,5 100,0
Van 374 slachtoffers weten we de leeftijd (tabel 7.18). Die varieert van 13 tot 77 jaar. Er zijn in de leeftijdsopbouw geen verschillen tussen slachtoffers van hacken en e-fraude. Ten opzichte van de Nederlandse bevolking van 12 jaar en ouder ligt bij de slachtoffers de nadruk op de leeftijdscategorie van 18-44 jaar, vooral bij e-fraude. Die nadruk op de jongere leeftijdsgroepen zagen we ook bij de verdachten. Bij e-fraude is er ook een verschil in leeftijd tussen verdachten en slachtoffers. Bij de verdachten ligt een sterke nadruk op de leeftijdsgroep 18-34 jaar, een nadruk die we bij de slachtoffers niet zo terugvinden. Slachtoffers zijn gemiddeld genomen wat ouder. Tabel 7.18: Leeftijdsopbouw van de slachtoffers, vergeleken met de Nederlandse bevolking van 12 jaar en ouder
Leeftijdscategorie 12 – 17 jaar 18 – 24 jaar 25 – 34 jaar 35 – 44 jaar 45 – 54 jaar 55 – 65 jaar 65 jaar en ouder Totaal
Hacken (n=98) % 11,2 * 22,4 22,4 22,4 12,2 8,2 * 1,0 100,0
E-fraude (n=276) % 6,5 * ? 19,2 * ? 21,7 * ? 27,2 ? 16,7 * ? 8,0 * 0,7 100,0
NL-12+ # (n=14mlj) % 8,6 9,7 14,7 18,6 16,9 14,5 16,9 99,9
# Bron: www.cbs.nl, peiljaar 2009. * Significant verschil met ‘NL-12+’; ? Significant verschil met overeenkomstige percentage voor verdachten in tabel 7.9 (steeds p<0,01).
194
Slachtoffers van hacken en e-fraude vinden we niet zozeer onder 65-plussers. Daarvoor zijn verschillende verklaringen denkbaar. Mogelijk vinden we onder die groep relatief weinig internetgebruikers en worden zij dus ook werkelijk niet vaak slachtoffer van cybercrime. Maar het kan ook zijn dat 65-plussers wel slachtoffer worden van hacken maar dat minder snel opmerken. Voor fraude geldt nog dat 65-plussers daarvan wellicht geen slachtoffer worden omdat zij, ook al gebruiken ze internet, niet vaak aankopen doen via internet. We beschikken niet net zoals voor de verdachten over de leeftijdsopbouw van ‘slachtoffers van criminaliteit in Nederland’. We kunnen derhalve niet nagaan of slachtoffers van cybercrime jonger of ouder zijn dan slachtoffers van criminaliteit in het algemeen. Voor de maatschappelijke impact is het slachtofferschap onder kwetsbare groepen een belangrijk gegeven, denk aan de commotie die ontstaat wanneer oude mensen worden beroofd of wanneer kinderen worden misbruikt. Blijkens ons onderzoek zijn 65-plussers niet vaak slachtoffer van cybercrime. Slachtofferschap onder minderjarigen komt vaker voor. Gemiddeld over hacken en e-fraude valt 7,8 procent van de slachtoffers in de leeftijdscategorie 12-17 jaar.97 Slachtoffers van kinderpornografie zijn uiteraard altijd minderjarigen. Met dat internet de verspreiding van kinderporno heeft verveelvoudigd, is ook het slachtofferschap onder minderjarigen ve rveelvoudigd. De vraag is nu of ook voor andere delicten geldt dat minderjarigen vanwege internet vaker slachtoffer zijn van criminaliteit. Dat is een aandachtspunt voor nader onderzoek. Sociale achtergrond Op basis van de dossiers kunnen we geen betekenisvolle uitspraken doen over de sociale achtergrond van de slachtoffers. Er staat daarvoor te weinig in de politiedossiers. Ook is onbekend of het slachtoffer eerder al eens slachtoffer was van cybercrime en wat zijn of haar technische vaardigheden zijn. Antecedenten Zowel slachtoffers van hacken als van e-fraude hebben significant meer antecedenten dan de gemiddelde Nederlander (p<0,01). De slachtoffers van hacken hebben een vergelijkbaar antecedentenpatroon als de daders van dat delict (tabel 7.10). In hoofdstuk 2 opperden we als ve rklaring daarvoor dat slachtoffers zich bevinden in dezelfde sociale omgeving als de verdachten: het gaat in beide gevallen om personen die relatief jong zijn en relatief vaak van het mannelijke geslacht, en bovendien zagen we dat hacken nogal eens plaats vindt in de relationele sfeer. We voerden daarmee dus aan dat zowel verdachten als slachtoffers antecedenten hebben (ongeveer even veel) omdat zij behoren tot een deel van de bevolking dat naar verhouding veel criminaliteit pleegt. Bij e- fraude is het beeld anders. De slachtoffers van e- fraude hebben weliswaar net als slachtoffers van hacken meer antecedenten dan de gemiddelde Nederlander maar vooral hebben zij minder antecedenten dan de verdachten van e- fraude. Dat slachtoffers van e- fraude meer antecedenten hebben dan de gemiddelde Nederlander, komt wellicht ook doordat zij jonger zijn dan gemiddeld en vaker van het mannelijke geslacht (tabel 7.17 en 7.18). Nader onderzoek moet uitwijzen of leeftijd en geslacht het verschil voldoende verklaren. Maar anders dan bij hacken hebben slachtoffers van e- fraude niet een vergelijkbaar antecedentenpatroon als de verdachten van dat delict. Slachtoffers van e- fraude hebben in alle hoofdgroepen significant minder antecedenten dan de verdachten, behalve in de twee groepen met zedendelicten (tabel 7.19 en 7.12).
97
Samen 29 slachtoffers van in totaal 374.
195
Tabel 7.19: Antecedenten van de slachtoffers en van Nederlanders van 12 jaar en ouder (n=14 mlj.): vermeldingen per hoofdgroep Hacken E-fraude NL-12+ 98 (n=93) (n=271) (n=14mlj) Soort antecedent (hoofdgroep) % % % Gewelddadig seksueel 0,0 0,0 0,014 Overig seksueel 0,0 0,0 0,017 Geweld tegen personen * 11,8 x ? * 3,3 0,464 Vermogen met geweld * 1,1 ? 0,0 0,047 Vermogen zonder geweld * 6,5 x ? 0,0 0,484 Vernieling / openbare orde * 6,5 ? * 5,2 0,353 Verkeer * 4,3 ? 1,1 0,448 Drugs 1,1 ? * 1,5 0,137 Overige * 7,5 ? 2,6 1,170 Eén of meer van deze * 20,4 ? * 10,4 1,746 *: significant verschil met ‘Nederlanders 12+’; x Significant verschil tussen Hacken en E-fraude; ? Significant verschil met overeenkomstige percentage voor verdachten in tabel 7.10 (steeds p<0,01).
Vorenstaande werpt nieuw licht op de bevinding dat bij hacken tussen verdachten en slachtoffers geen verschil in antecedenten bestaat. Uit die bevinding zou men kunnen afleiden dat slachtoffers ‘even crimineel’ zijn als hun daders. Dat is contra- intuïtief want het ligt immers in eerste aanleg voor de hand te denken dat daders crimineler zijn dan hun slachtoffers. Ook al behoren dader en slachtoffer beiden tot een groep met personen die relatief veel delicten plegen (jonge mannen), dan nog zou men verwachten dat er bijkomende factoren zijn die bepalen dat de ene jonge man wel en de andere geen criminele feiten pleegt. Bij e- fraude lijkt dat inderdaad het geval, bij hacken niet. Als vertrekpunten voor nader onderzoek formuleren wij twee hypothesen: − Hacken is een dermate alledaags onderdeel van de omgang tussen me nsen, dat daders en slachtoffers inwisselbaar zijn: daders zijn over de hele linie niet crimineler dan slachtoffers; ze verkeren in dezelfde kringen. Omdat zowel onder daders als slachtoffers jonge mannen oververtegenwoordigd zijn, hebben zowel daders als slachtoffers van hacken meer antecedenten dan gemiddeld. − E-fraude is geen alledaags onderdeel van de omgang tussen mensen. Daders van e- fraude hebben een bredere oriëntatie op criminaliteit voor financieel gewin. Zij hebben dan ook meer antecedenten dan degenen die toevallig hun slachtoffers zijn. Bevindingen uit ons onderzoek die in lijn zijn met deze twee hypothesen: 1. Van de e- fraude-verdachten heeft een significant groter deel antecedenten dan van de hacken-verdachten (resp. 75,4% en 31,1%, tabel 7.10, p<0,01). 2. Er is een significant verschil in antecedenten tussen verdachten en slachtoffers van efraude (resp. 75,4% en 10,4%, tabel 7.10 en 7.17, p<0,01). 3. Er is geen significant verschil in antecedenten tussen verdachten en slachtoffers van hacken (resp. 31,1% en 20,4%, tabel 7.10 en 7.17).
98
De percentages berekenden we als volgt: In 2007 waren er 13.998.504 Nederlanders van 12 jaar en ouder (www.cbs.nl). We houden 12+ aan omdat onze verdachten ook allemaal 12 jaar en ouder zijn. We weten per hoofdgroep het aantal mensen dat in HKS geregistreerd staan (zie Prins, 2008). Op die manier berekenden we het percentage Nederlanders met antecedenten.
196
4. In geval van hacken zijn verdachten en slachtoffers in 86,2 procent van de gevallen bekenden van elkaar, in geval van e-fraude in 7,0 procent van de gevallen (tabel 2.11 en 3.10, p<0,01). Schade We vonden in 271 dossiers informatie over de materiële schade van natuurlijke personen en in 20 dossiers over schade van bedrijven. De schade in een zaak ligt tussen de 12 en 67.224 euro. Van de bedrijven die slachtoffer waren liggen de schadebedragen liggen tussen de 50 en 40.500 euro (tabel 7.20).
Tabel 7.20 Schade van individuen en bedrijven Hoogte schade 1 – 100 100 – 500 500 – 1.000 1000 – 10.000 10.000 of meer Totaal
Hacken Individu 6 12 4 7 2 31
Bedrijf 0 1 1 5 3 10
E-fraude Individu Bedrijf 77 0 112 1 21 1 26 5 4 3 240 10
Tabel 7.20 laat zien dat de meeste materiële schades in de cybercrime dossiers onder de 500 euro liggen. Slechts in enkele gevallen ligt de schade op 10.000 euro of meer. De hoogte van de materiële schade zegt echter nog niet alles over de impact die het delict op een slachtoffer heeft. Wat we over immateriële schade tegenkwamen is dat individuele slachtoffers zich soms aangetast voelen hun persoonlijke levenssfeer en/of bang zijn voor imagoschade (va nwege het vrijgeven van gevoelige informatie). Voor bedrijven kan de schade bestaan uit vernielde bestanden, het opnieuw moeten beveiligen van een netwerk en imagoschade. In de hackendossiers is de impact op de individuele slachtoffers wisselend. Slachtoffers voelen zich aangetast in de persoonlijke levenssfeer en zijn bang voor imagoschade (door het vrijkomen van gevoelige informatie). De impact op de bedrijven is onbekend. In de meeste gevallen werden bestanden vernield en moest het netwerk opnieuw beve iligd worden. Ook zijn bedrijven bang voor imagoschade doordat hun website werd veranderd. In de efraudedossiers heeft het delict, naast het financiële aspect, weinig impact op de meeste slachtoffers. In veel gevallen was er ook een geringe schade. Wel was het vertouwen van een aantal slachtoffers om via internet goederen te kopen geschaad. In de cyberafpersingdossiers maken slachtoffers zich vooral zorgen om hun reputatie. Een van de slachtoffers heeft naar aanleiding van het delict een poging tot zelfdoding ondernomen en één slachtoffer verloor zijn baan. In de kinderpornodossiers is de impact op het slachtoffer groot. In een aantal zaken werden foto’s van de slachtoffers verspreid. In de haatzaaidossiers voelen de meeste slachtoffers zich bedreigd en beledigd, daarnaast waren slachtoffers geschokt door het delict. Slachtoffers van e-fraude hebben het vaakst materiële schade en zij kunnen hun ve rtrouwen in e-commerce verliezen. Ondanks het feit dat de materiële schade bij de andere cybercrimes niet hoog is, kan de impact van de delicten wel degelijk groot zijn. De haatzaai delicten zorgden bij de slachtoffers voor een schok, ze voelden zich beledigd en bedreigd. Daarnaast zorgt het publiekelijk maken van persoonlijk materiaal (zoals naaktfoto’s) ervoor dat slachtoffers imagoschade oplopen. Deze schade kan voor langere tijd zijn, omdat de content
197
die op internet geplaatst wordt, lastig te verwijderen en gemakkelijk te verspreiden en te kopieren is. Hierdoor kan de content ‘rond blijven zweven’ op internet. Dit geldt dan speciaal voor de delicten kinderporno en cyberafpersen. Conclusie Over de maatschappelijke impact is op basis van politiedossiers niet eenvoudig iets stelligs te zeggen. Het belangrijkste gemis is dat de dossiers weinig zeggen over de mate waarin de ve rschillende delicten voorkomen. Een bescheiden slachtofferonderzoek in Friesland wijst op een lage aangiftebereidheid. Het dark number is dus vermoedelijk hoog. Hoe hoog weten we niet. Daarvoor is een landelijk slachtofferonderzoek nodig. Dat cybercrimes de persoonlijke levenssfeer kunnen aantasten en dat mensen na een efraude niet altijd even veel vertrouwen meer hebben in e-commerce was te verwachten. Dat dergelijke effecten zich voordoen zagen we wel terug in de dossiers maar in welke mate dat het geval is, kunnen we daaruit niet afleiden. Daarvoor zijn politiedossiers niet geschikt. In de kinderpornodossiers troffen we slechts 11 slachtoffers aan. De impact van het delict op het slachtoffer was in de meeste zaken groot. Van cyberafpersen vonden we slechts enkele dossiers. Hoewel de impact op individueel niveau natuurlijk groot kan zijn, kunnen we gezien het geringe aantal dossiers bezwaarlijk spreken van een grote maatschappelijke impact. Maar ook hier geldt: het dark number is onbekend. Hacken is vaak een daad die is verbonden met het alledaagse leven van dader en slachtoffer, niet zelden onderdeel van een ruzie. E- fraude moeten we meer zien als delict waarbij het slachtoffer wordt overrompeld door een anonieme dader die uit is op zelfverrijking: de e- fraudeur als digitale struikrover. Verwacht mag worden dat zo’n e- fraude een ernstiger inbreuk maakt op het vertrouwen dat het slachtoffer in de samenleving heeft dan een hack in het kader van een conflict, maar zeker weten we dat niet. Dat is een aandachtpunt voor slachtofferonderzoek. Op het totaal aan cybercrimes in de politiedossiers speelt georganiseerde criminaliteit hoegenaamd geen rol. Maar dat is bij offline criminaliteit ook het geval: verreweg de meeste delicten maken geen onderdeel uit van georganiseerde criminaliteit. Omdat georganiseerde criminaliteit maatschappelijke structuren kan aantasten (denk aan vermenging tussen bovenen onderwereld, witwassen, bezit van onroerend goed, corruptie) verdient het, net als in onderzoek naar offline criminaliteit, aparte aandacht. Er is dan ook nader onderzoek vereist naar georganiseerde cybercriminaliteit.
198
8. Conclusies en aanbevelingen Dit laatste hoofdstuk bevat de belangrijkste conclusies uit dit onderzoek en aanbevelingen. De onderliggende informatie is te vinden in hoofdstuk 2 tot en met 7. Over cyberafpersen hebben we te weinig informatie voor een gedegen analyse; over die cybercrime trekken we in dit laatste hoofdstuk dan ook geen conclusies. 99 De aanbevelingen betreffen vooral richtingen voor vervolgonderzoek. Dat is logisch gezien de gebrekkige kennispositie inzake cybercrime. Ons onderzoek levert weliswaar nieuwe inzichten, maar laat ook zien dat nog veel over cybercrime onbekend is. Ook vanuit handhavings- en opsporingsperspectief is het logisch dat dit onderzoek eindigt met aanbevelingen voor vervolgonderzoek. We deden een verkenning op hoofd lijnen. Zo’n verkenning bevat geen vanuit opsporingsperspectief ‘gevoelige’ informatie, zoals gegevens over bepaalde daders of dadergroepen, en dus ook geen handvatten voor concrete opsporingsactiviteiten. Deze verkenning is een oriëntatie op een criminaliteitsterrein die moet helpen om inzichtelijk te maken op welke plaatsen en langs welke weg de problematiek nader in beeld moet worden gebracht om te kunnen komen tot een onderbouwd en gericht handhavings- en opsporingsbeleid. 8.1 Conclusies We presenteren onze conclusies geordend volgens de vier hoofdvragen in dit onderzoek: 1. Wat is de aard van de cybercrimes? 2. Wat is bekend over de daders? 3. Wat is de omvang van de cybercrimes? 4. Wat is de maatschappelijke impact van de cybercrimes? We baseren ons op literatuur en een analyse over politiedossiers. Op enkele punten spreken de resultaten van de literatuur- en dossierstudie elkaar tegen. Enerzijds kan dit komen doordat uitspraken die gedaan worden in rapporten niet gebaseerd zijn op emp irisch materiaal. Soms lijkt er ze lfs sprake te zijn van een papegaaiencircuit. Juist omdat er nog zo weinig bekend is over cybercrime nemen auteurs veel van elkaar over, waardoor beweringen ‘waar’ lijken te worden (‘iedereen zegt het, dus het zal we zo zijn’). Anderzijds is deze studie slechts gebaseerd op een beperkt aantal politiedossiers (665) en kleven er beperkingen aan de methode. Politiedossiers geven bijvoorbeeld geen inzicht in het dark number. Tegen de achtergrond van deze beperkingen formuleren we hierna onze conclusies, die we graag ook aanbieden als te toetsen hypothesen in empirisch vervolgonderzoek. 1. Wat is de aard van de cybercrimes? Cybercrime is van het volk Bij aanvang van dit onderzoek zagen we op basis van literatuur, de media en beleidsdocumenten een beeld van high-tech cybercriminelen die vanuit het buitenland opereren in georganiseerde groepen en op grote schaal slachtoffers maken. Dit beeld verdient te worden genuanceerd. Uit onze dossiers blijkt juist dat er veel ‘kleine delicten’ gepleegd worden door min of meer alledaagse verdachten die individueel opereren. Dat wil overigens niet zeggen dat er geen georganiseerde cybercriminele groeperingen in Nederland actief zijn. Aangiften 99
De conclusie die we kunnen trekken is dat er weinig aangiften van cyberafpersingszaken in de basisprocessensystemen van de politie staan. Dat kan verschillende oorzaken hebben: dergelijke zaken komen niet of nauwelijks voor; de politie registreert ze slecht of niet; de aangiftebereidheid is laag – of een combinatie van deze.
199
tegen dergelijke groepen zijn we in de dossierstudie echter niet vaak tegengekomen. Mogelijk is het werk van criminele groepen niet als zodanig te herkennen, ook niet door het slachtoffer. In de dossiers zagen we wel aanwijzingen van de aanwezigheid van georganiseerde criminaliteit: we zagen voorbeelden van voorschotfraude, waarbij het slachtoffer werd voorgehouden een prijs te hebben gewonnen; we zagen dat een verdachte van downloaden van kinderporno het materiaal had verkregen bij een organisatie van aanbieders. Maar over het geheel genomen speelt georganiseerde criminaliteit in de dossiers nauwelijks een rol. Op basis van de dossierstudie lijkt het plausibel om te veronderstellen dat cybercrime dezelfde structuur heeft als klassieke (offline) criminaliteit. Ook bij de klassieke criminaliteit is er immers sprake van een grote groep daders die relatief kleine delicten (zoals diefstallen en inbraken) plegen op min of meer individuele basis en is er sprake van een aantal groeperingen dat zich bezig houdt met georganiseerde criminaliteit. Georganiseerde groepen hebben dus niet het monopolie op cybercrime. Cybercrime is van iedereen. De gemiddelde cybercrimineel in de Nederlandse politiedossiers is geen onderdeel van een georganiseerde bende whizzkids die extreem gecompliceerde dingen met een computer uithalen. Net als bij gewone criminaliteit zijn de meeste verdachten mannen onder de vijfenveertig jaar, en net als bij gewone criminaliteit zijn er ook vrouwelijke verdachten en verdachten uit andere leeftijdscategorieën. Bij e-fraude, naar het zich laat aanzien de meest voorkomende cybercrime, moet men niet allereerst denken aan internationaal opererende bendes en technische hoogstandjes. De daders putten uit een beperkt reservoir aan criminele technieken. Ze plaatsen een advertentie op een verkoopsite of maken een website die het slachtoffer er toe moet brengen te betalen voor een goed of dienst die vervolgens niet wordt geleverd. Dat e- fraudeurs zouden beschikken over bovengemiddelde technische inzichten en vaardigheden, zoals te lezen valt in de literatuur, wordt door ons onderzoek niet bevestigd. Dat het plegen van e- fraude, kinderpornodelicten en haatzaaien ‘van het volk’ is, is wellicht beter voor te stellen dan dat hacken dat ook is. In de literatuur wordt immers nog steeds beweerd dat verdachten van hacken (net als e-fraudeurs) in hoge mate technisch onderlegd zijn. Maar blijkens ons onderzoek is het eens aan whizzkids voorbehouden hacken gedemocratiseerd, dat wil zeggen binnen het bereik van velen gekomen. Daarvoor zijn diverse redenen aan te voeren. Om te beginnen is het sinds de invoering van de Wet Computercriminaliteit II voor hacken niet langer een vereiste dat een beveiliging wordt doorbroken of omzeild. Met andermans wachtwoord zonder diens toestemming inloggen op diens account, is al strafbaar, is al hacken. Een vriendje met een smoes een password ontfutselen is social engineering. Na het inloggen (hacken) iets wijzigen of toevoegen aan iemands profiel op een sociale netwerkpagina is defacing. Dat hacken alledaagser is geworden, heeft vermoedelijk ook te maken met de mate waarin mens en in onze samenleving gebruik maken van en vertrouwd zijn geraakt met de virtuele wereld. Steeds meer mensen presenteren zichzelf op internet. Voor jonge mensen, opgegroeid met cyberspace, is het rommelen met andermans account of profiel niet per se een technisch hoogstandje maar gewoon een manier om een ander te grazen te nemen. Ze weten hoe dat moet en maken van die kennis ook daadwerkelijk gebruik. De hackenzaken die we in de dossiers aantroffen staan vooral in verband met het ve rnietigen/kopiëren van gegevens (cybercrime in enge zin), fraude en identiteitsdiefstal (wins tbejag) en met het beslechten van interpersoonlijke conflicten zoals smaad, bedreiging, belediging, aanranding en stalking. Daarmee is hacken uiteindelijk vooral gericht op het behalen van een persoonlijk voordeel. In de regel kennen verdachte en slachtoffer elkaar (ofwel zakelijk ofwel privé). Met andere woorden: hacken is niet gericht op maatschappelijke ontwrichting of algemene gevaarzetting, maar op de verwezenlijking van individuele belangen. Het gaat veelal om redelijk alledaagse zaken, waarbij schijnbaar alledaagse mensen elkaar dwars zitten.
200
De politie krijgt meer en organisatiebreed met cybercrime te maken Dat cybercrime van het volk is, heeft implicaties voor politiebeleid. Cybercrime wordt niet alleen gepleegd door georganiseerde groeperingen uit het buitenland. De bestrijding van cybercrime moet dan ook niet alleen het domein zijn van specialistische teams (zoals nu overwegend het geval is). Kennis en kunde op het gebied van cybercrime moeten korpsbreed aanwezig zijn: iedere agent moet in ieder geval beschikken over enige basiskennis inzake cybercrime. Politiemensen krijgen niet alleen met op zichzelf staande cybercrimes te maken. Er is een groeiende kans dat agenten ook in kla ssieke zaken te maken krijgen met een cybercrimeaspect, denk bijvoorbeeld aan iemand die gestalkt wordt en waarvan het e-mail account wordt gekraakt, of aan een huiszoeking in verband met wapenbezit waarbij kinderporno op de computer wordt aangetroffen. Nieuwe generaties, die opgroeien in een tijdperk waarin de comp uter en internet niet meer zijn weg te denken, zullen steeds vaker te maken krijgen (ofwel als slachtoffer, ofwel als dader) met cybercrime en met klassieke delicten zoals bedreiging, smaad en laster waaraan een cybercrime-aspect zit. Dientengevolge krijgt de politie in de vo lle breedte van de organisatie vaker te maken met cybercrime: bijvoorbeeld bij alarmmeldingen voor de noodhulp, bij sociale problemen voor de gebiedsagent, bij aangiften voor de intake, bij sporenonderzoek door de technische recherche, bij verhoor door de tactische recherche, en bij het formuleren van beleid door de korpsleiding. E-fraude, kinderporno en haatzaaien staan op zichzelf De cybercrimes e- fraude, kinderporno en haatzaaien blijken op zichzelf te staan en hebben weinig verbanden met andere vormen van criminaliteit. Verdachten van deze cybercrimes zijn geen criminele generalisten maar beperken zich tot hun type cybercrime, zij het dat zij daarbij soms aanpalende delicten plegen. We zien twee verschillende soorten van aanpalende delicten. (1) Delicten met hetzelfde karakter als het centrale delict: de bezitter van digitale kinderporno die ook kinderpornoafbeeldingen op papier heeft of kinderporno vervaardigt, en de haatzaaier die zich schuldig maakt aan smaad jegens een individuele persoon. (2) Delicten in relatie tot het centrale delict: identiteitsdiefstal ter voorbereiding op een delict, hacken om het delict uit te voeren of het beschadigen van gegevens tijdens het uitvoeren van het delict. We vatten hierna kort de aard van deze cybercrimes samen: − E-fraude: heeft in de regel geen verbanden met andere (cyber)crimes en is gericht op vermogenscriminaliteit (oplichting, vormen van diefstal) Indien er wel verbanden zijn, dan zijn die met diefstal van identiteitsgegevens (vooral digitaal maar ook niet-digitaal) en soms ook met hacken. Deze delicten zijn dan een middel om te komen tot de e- fraude. − Kinderporno: kent weinig verbanden met andere criminaliteitsvormen. Als er al een verband is, is dat met een ander delict in de zedensfeer, met name met het in bezit hebben van kinderporno anders dan op ICT en soms met het vervaardigen van kinderporno. Ook proberen verdachten soms minderjarigen te groomen, of slachtoffers aan te randen door te dreigen met het publiekelijk maken van gevoelige informatie (bijvoorbeeld naaktfoto’s). − Haatzaaien: vertoont meestal geen verband met andere soorten delicten. Als sprake is van een dwarsverband, dan gaat het om andere uitingsdelicten die in dezelfde sfeer liggen, zoals belediging, smaad, bedreiging, laster. In enkele gevallen is sprake van een verband met hacken.
201
Hacken is een basisdelict: een middel en geen doel In tegenstelling tot de andere cybercrimes uit onze studie staat hacken juist niet op zichzelf. Hacken heeft verbanden met een groot aantal andere vormen van criminaliteit en is veelal een middel om andere delicten te plegen. Uit de dossierstudie blijkt dat de hackenzaken een combinatie zijn van cybercrime in enge zin (waarbij computers of computergegevens het doelwit zijn), vermogenscriminaliteit en intermenselijke conflicten. Ontwikkeling in motieven: hacking for revenge In de literatuur wordt vaak geclaimd dat motieven van hackers verschoven zijn van hacking for fame naar hacking for fortune. Cybercriminelen zouden steeds meer geïnteresseerd raken in financieel gewin. Een empirische onderbouwing bij deze uitspraken hebben we echter niet kunnen vinden. De motieven van hackers in onze dossiers variëren, bijvoorbeeld wraak, nieuwsgierigheid en financieel gewin. Er is dus wel een groep hackers die delicten pleegt voor het geld. Onbekend is echter of die verdachten een nieuwe groep cybercriminelen zijn of dat het, zoals in de literatuur wordt beweerd, of in elk geval gesuggereerd, hackers zijn die, omdat ze ontdekt hebben dat er geld te verdienen valt aan cybercrime, van het ‘zuivere hacken’ zijn ove rgestapt op hacking for fortune. Voor zover een hack is gericht op financieel gewin, gaat het niet om het werk van een georganiseerde bende. We zien in de dossiers éénlingen die zich bezondigen aan relatief eenvoudige vermogenscriminaliteit. Als we kijken naar het delict hacken, is een andere ontwikkeling veel dominanter: de zo-even besproken democratisering. Hacken is niet langer voorbehouden aan vergevorderde computeraars. De motieven van de tegenwoordige hackers zijn weliswaar uiteenlopend, en financieel gewin hoort daar bij, maar ze liggen vaak ook in de relationele sfeer. We zien dan ex-geliefden of jongeren die elkaar dwars zitten door gevoelige informatie openbaar te maken of elkaar zwart te maken. Er is, kortom, blijkens onze dossierstudie geen sprake van een eendimensionale verschuiving van hacking for fame naar hacking for fortune, de verschuiving is meerzijdig, vooral omdat hacken steeds meer van het volk is geworden. Opmerkelijk daarbij is de opkomst van hacking for revenge. Hacken en e- fraude internationaliseren het alledaagse werkaanbod van de politie Bijna een kwart van de hacken- verdachten en bijna vijftien procent van de e- fraude verdachten opereert vanuit het buitenland. Dat is niet verrassend, ook in de literatuur wordt cybercrime als een mondiaal probleem gezien. Door het mondiale karakter van internet is het voor verdachten makkelijk om over de grenzen slachtoffers te maken. Cybercrime, en hier dus vooral hacken en e-fraude, is een probleem dat lang niet altijd bij de landsgrenzen ophoud. Het werkaanbod van de politie internationaliseert. Van oudsher waren internationaal opererende daders in de regel onderdeel van een georganiseerde dadergroep (denk bijvoorbeeld aan drugs- en mensensmokkel). Internationaal opererende daders kwamen bij de politie dan terecht bij specialistische teams, namelijk teams die zich bezig hielden met zware en georganiseerde criminaliteit. Bij cybercrime zijn het nu ook kleinere criminelen die internationaal opereren. Ook het meer alledaagse werkaanbod van de politie wordt op deze wijze internationaler. Dat gaat dan politieonderdelen aan die tot voor kort misschien niet met internationaal opererende verdachten te maken kregen.
202
Oplichting via verkoopsites is de meest voorkomende vorm van e- fraude De meest voorkomende verschijningsvorm van e- fraude is oplic hting via online verkoopsites. Slachtoffer en verdachte komen een prijs overeen voor een artikel, het slachtoffer betaalt en de verdachte levert niet (of andersom). Het gaat vaak om relatief lage bedragen. In de literatuur is weinig terug te vinden over deze verschijningsvorm. In de literatuur komt een beeld naar voren van georganiseerde groeperingen die actief zijn op het gebied van e- fraude. Het gaat dan met name om voorschotfraude, gepleegd door West-Afrikanen die wereldwijd in groepsverband werken en slachtoffers voor grote bedragen oplichten. De verdachten in de Nederlandse politiedossiers werken in de regel echter alleen en er is, op een enkel dossier na, geen sprake van georganiseerde criminaliteit. We komen wel enkele aangiften van voorscho tfraude tegen, maar het aantal daarvan staat in geen verhouding tot het aantal aangiften van oplichtingen via online verkoopsites. Er is sprake van identiteitsdiefstal en identiteitsmisbruik, frequentie en werkwijze zijn onbekend Identiteitsdiefstal geldt in de literatuur als groot en snelgroeiend probleem, maar in de dossiers is het moeilijk om vast te stellen of er sprake is van identiteitsdiefstal. Bij het illegale gebruik van een creditkaart waarmee via internet goederen zijn besteld is het niet altijd duidelijk wie de identiteit gestolen heeft. Het kan zelfs zijn dat de zoon of dochter des huizes de creditkaart gebruikt heeft om via internet aankopen te doen zonder dit te melden. Hoe de identiteit gestolen is, is nog moeilijker vast te stellen: ontfutseld door social engineering, ingebroken in de computer, door het gebruik van spyware, verkregen via een phishing site, geskimmed of verkregen door dumpster diving. De vergelijking met een klassiek delict als zakkenrollerij doemt op. Het is bij dit delict immers ook niet altijd duidelijk of (en waar) een portemonnee gerold is, of dat de aangever de portemonnee zelf is verloren. De aangever merkt pas na enige tijd dat zijn portemonnee weg is. Bij identiteitsdiefstal merkt het slachtoffer zelfs pas dat hij of zij slachtoffer is nadat de identiteit gebruikt is om fraude te plegen. Het is overigens goed mogelijk dat identiteitsdiefstal en identiteitsmisbruik vaker ten grondslag ligt aan deze cybercrime dan uit de dossierstudie blijkt. Slachtoffers weten immers niet altijd of (en waar en hoe) hun identiteit gestolen is. Er is een nieuwe groep kinderpornoverspreiders: de jongeren Uit de dossiers blijkt dat er de laatste jaren een nieuwe groep kinderpornoverspreiders bij gekomen is. Bijna een kwart van de verdachten in de kinderpornodossiers is onder de 24 jaar oud (en van die groep is 35% minderjarig). Dit is te verklaren doordat minderjarige jongeren, al dan niet vrijwillig, seksueel getinte foto’s en video’s van zichzelf en/of elkaar maken. Indien dergelijke content verspreid wordt via internet (door de verdachte zelf, of door een klasgenoot of kennis) is er sprake van de verspreiding van kinderpornografie in de zin van artikel 240b Sr. Meldingen over haatzaaien verschuiven naar weblogs Uit de analyse van jaarverslagen van het MDI blijkt dat over de jaren heen de meeste meldingen van haatzaaiende uitingen betrekking hebben op websites. Hieronder vallen ook weblogs en web- en discussiefora. Het aantal meldingen over nieuwsgroepen neemt af en is in 2007 bijna nihil. Hier is overigens een duidelijke tegenstelling met de verspreiding van kinderpornografisch materiaal te zien: de verspreiding via websites neemt hier juist af. Een ve rklaring
203
hiervoor is dat de verspreiders van haatzaaiende teksten juist een zo groot mogelijk publiek willen bereiken en nieuwe groepen mensen aan willen spreken met hun boodschap, terwijl verspreiders van kinderporno juist uit de publiciteit willen blijven en met gelijkgestemden materiaal willen uitwisselen, of vanuit een onopvallende omgeving hun commerciële aanbod doen. (G)een haatepidemie op internet? In de literatuur lezen we dat er op dit moment op internet een ‘haatepidemie’ heerst (Van Stokkom e.a., 2007). De resultaten uit ons onderzoek laten een ander beeld zien. De politieregistraties in Nederland bevatten erg weinig aangiften van de cybercrime haatzaaien. In de jaren 2002 tot en met 2007 vonden we 40 zaken die voldeden aan onze selectiecriteria. Daarnaast onderzochten we in de korpsen Hollands-Midden en Zuid-Holland-Zuid welk deel van het bij de politie geregistreerde werkaanbod cybercrime betreft (Domenie e.a., 2009). In dat onderzoek troffen we geen dossiers haatzaaien. In het jaarverslag van het MDI is te zien dat in 2007 in totaal 1.079 meldingen omtrent strafbare uitingen bij dat meldpunt werden gedaan (MDI, 2008). Van die meldingen is in 2007 is echter niet één aangifte van het MDI voor de rechter gebracht. Overigens melden Van Stokkom e.a. (2007) al dat de meeste strafbare uitingen op internet momenteel ongemoeid worden gelaten. Het is de vraag of, indien er geen aangifte gedaan wordt en er geen veroordelingen worden uitgesproken, we wel moeten spreken over een haatepidemie op internet. 2. Wat is bekend over de daders? Cybercrimeverdachten zijn in de regel in Nederland geboren mannen onder de vijfenveertig jaar Het merendeel van de verdachten in de dossiers is in Nederland geboren en is van het mannelijke geslacht. De verdeling tussen mannen en vrouwen in de cybercrime dossiers wijkt significant af van de verdeling van de Nederlandse bevolking. Dit geldt in het bijzonder voor kinderporno, dat is een echt mannendelict. Bij twee typen cybercrime wijkt het percentage mannelijke verdachten significant af van ‘de gemiddelde verdachte’ in HKS. Bij kinderporno is het percentage mannen groter. Bij e- fraude is het percentage mannen juist kleiner (p<0,01). Het plegen van bedrog via advertenties op online veilingsites is een delict waaraan relatief veel vrouwen zich schuldig maken: ruim een kwart van de e- fraude-verdachten is vrouw. ‘De gemiddelde Nederlandse verdachte’ (in HKS) is jonger dan op basis van de bevolkingssamenstelling mag worden verwacht. Bij HKS-verdachten zijn de categorieën van 12 tot 44 jaar oververtegenwoordigd. In het algemeen is criminaliteit kennelijk vooral iets voor mensen (vooral mannen) onder de 45 jaar. Ook onder de verdachten uit onze dossiers zijn jongeren oververtegenwoordigd, maar is het beeld niet voor iedere cybercrime gelijk. Bij haatzaaien en hacken zien we enigszins eenzelfde patroon. Hier vallen vooral veel verdachten in de categorie 12-24 jaar. De oudste één of twee categorieën zijn vervolgens ondervertegenwoordigd. Verdachten van e- fraude vinden we vooral in de categorie 18-34 jaar. We vermoeden dat de jongste categorie (12-17) nog niet beschikt over de sociale vaardigheden die het plegen van e- fraude nu eenmaal vereist. Voor hacken en haatzaaien hoeft de verdachte niet manipulatief op te treden ten opzichte van concrete andere personen, bij e- fraude wel. Een verdachte van een e- fraude moet dus vooral worden gezocht in de groep van 18 tot 34-jarigen. Verdachten van cybercrime hebben meer antecedenten dan de gemiddelde Nederlander
204
Verdachten in de dossiers hebben significant meer antecedenten dan de Nederlandse bevo lking. 100 Verdachten in e- fraude en haatzaaidossiers hebben het vaakst antecedenten (zo’n driekwart van de verdachten komt voor in HKS). Bijna de helft van de verdachten in de kinderpornodossiers komt voor in HKS en bijna eenderde van de verdachten in de hackendossiers. Het hoge aantal verdachten met antecedenten kan deels komen doordat verdachten antecedenten hebben voor de dossiers die wij analyseerden (zie hiervoor ook paragraaf 1.4). Daarom kunnen we over antecedenten geen al te stellige conclusies trekken. Verdachten in de e- fraudedossiers hebben significant meer antecedenten in de hoofdgroepen ‘vermogen zonder geweld’ en ‘verkeer’ dan verdachten van de andere cybercrimes uit deze studie. Dat e-fraudeurs antecedenten hebben in de hoofdgroep ‘vermogen zonder geweld’ ligt in de lijn der verwachting; de oplichtingen die we zagen in de dossiers passen in deze hoofdgroep. Een deel van de antecedenten kan zijn gebaseerd op de dossiers die onderdeel zijn van onze studie (zie ook paragraaf 1.4). Dat e- fraude- verdachten meer antecedenten hebben op verkeersgebied kan te maken hebben met de leeftijd van e- fraudeverdachten. Zij vallen meer dan andere verdachten in de leeftijdgroep (18-34 jaar) waarin mensen – vooral jongemannen – een verhoogd risico lopen, niet in de laatste plaats in het verkeer. Personen onder de 18 (oververtegenwoordigd in de hacken en haatzaaien-dossiers) nemen nog niet deel aan het auto- of motorverkeer. Verdachten uit de haatzaaidossiers hebben significant meer antecedenten dan de ve rdachten van de andere cybercrimes in de hoofdgroep ‘vernieling/openbare orde’. Daarvoor zien we twee mogelijke verklaringen. Als eerste is het weer mogelijk dat een deel van de antecedenten gebaseerd zijn op de dossiers die onderdeel zijn van onze studie (zie ook paragraaf 1.4). Een andere mogelijke verklaring heeft met het type verdachte te maken. Levin en McDevitt (2002) concluderen bijvoorbeeld dat het motief van jonge verdachten van haatzaaien veelal spanning en opwinding is en dat verdachten zich vaak verveeld voelen en behoefte hebben aan ontlading. Het gaat dan volgens Levin en McDevitt in de meeste gevallen om bekladding, vernieling en vandalisme, hoewel geweld binnen deze groep ook voorkomt. Dat verdachten van haatzaaien relatief veel antecedenten hebben in de hoofdgroep ‘vernieling/openbare orde’ is dan een gevolg van het feit dat deze jongeren hun onrust/onvrede op verschillende manieren uiten, niet alleen door haatzaaien maar ook door het op andere wijze verstoren van de maatschappelijke orde, of, populair gezegd, het trappen van rotzooi. Verdachten van e- fraude en kinderporno zijn vaker werkloos dan de gemiddelde Nederla nder Op basis van de dossiers kunnen we niet zo veel zeggen over de sociale achtergrond van de verdachten. De politie legt daarover (te) weinig vast. Gezien de ambitie van de politie op het gebied van daderprofilering is dat opmerkelijk. Voor daderprofilering is immers een eerste vereiste dat men beschikt over informatie over aangehouden verdachten. Alleen van verdachten van e-fraude en kinderporno hebben we voldoende materiaal voor een analyse. Deze verdachten bevinden zich niet in een sociaal geïsoleerde positie wat betreft hun woonsituatie. Ze wonen vaker dan gemiddeld in een meerpersoonshuishouden. Wel zijn ze vaker dan gemiddeld werkloos. Van de kinderpornoverdachten is ruim 15 procent van de beroepsbevolking werkloos, hetgeen significant meer is dan het landelijk gemiddelde van bijna 4 procent. Een nog weer significant groter percentage werklozen dan bij e- fraudeurs vinden we onder kinderpornodelinquenten: bijna 60 procent. 3. Wat is de omvang van de cybercrimes? 100
Deze conclusies gelden niet voor verdachten van cyberafpersen, van deze cybercrime hadden we te weinig verdachten voor een kwantitatieve analyse (zie ook hoofdstuk 7).
205
We baseren ons hier op de dossierstudie en een eigen kle inschalig slachtofferonderzoek onder Friese internetters. In eerdere hoofdstukken keken we ook naar wat we in de literatuur vonden over de omvang van de verschillende cybercrimes. Daarvoor verwijzen we naar de betreffende paragrafen (2.8, 3.8, 4.7, 5.8 en 6.8). Het aantal aangiftes is laag, het dark number is substantieel (slachtofferschap onbekend) Het is onbekend hoeveel burgers en bedrijven er in Nederland slachtoffer zijn van cybercrime. Slachtofferonderzoek ontbreekt. Uit de dossierstudie blijkt dat met name individuen aangifte van cybercrime doen. Zowel mannen als vrouwen uit alle leeftijdsklassen worden slachtoffer (waarbij vermeld moet worden dat mannen in de regel vaker slachtoffer zijn en dat de leeftijdscategorie 55+ ondervertegenwoordigd is). We vonden slechts een paar bedrijven die slachtoffer werden en aangifte deden. Van alle door de politie in Hollands-Midden en Zuid-Holland-Zuid geregistreerde meldingen en aangiften betreft minder dan 1 procent cybercrime (Domenie e.a., 2009). Cijfers over politieregistraties zeggen echter niet veel over het daadwerkelijke aantal slachtoffers. Slechts een deel van alle delicten wordt aangegeven of gemeld. De aangiftebereidheid ligt bij cybercrime lager dan bij klassieke criminaliteitsvormen. Om iets te kunnen zeggen over het dark number voerden we een onderzoekje uit onder 1.246 internettende Friezen. We zagen een aangiftebereidheid van nog geen 4 procent, gerekend over verschillende delicten. Dat is aanzienlijk lager dan het gemiddelde van ongeveer 25 procent voor alle delicten in de Integrale Veiligheidsmonitor (IVM) (Domenie e.a., 2009). De aangiftebereidheid bij slachtoffers van cybercrime is dus laag, het dark number hoog. Hoe groot de aangiftebereidheid bij bedrijven is weten we niet. E-fraude is de meest voorkomende vorm van cybercrime De meest voorkomende cybercrime in de politiesystemen is e-fraude – ongeveer de helft van het aantal cybercrimes in het onderzoek van Domenie e.a. (2009). Hacken en kinderporno komen in dat onderzoek ook voor, zij het in mindere mate. Uit zowel onze dossierstudie als uit het onderzoek van Domenie e.a. blijkt dat cyberafpersen en haatzaaien weinig in de politieregistratiesystemen voorkomen. 4. Wat is de maatschappelijke impact van de cybercrimes? De hoogte van de materië le schade is beperkt, er is wel gevaar voor verlies van vertrouwen in e-commerce De hoogte van de materiële schade van slachtoffers is beperkt. In het merendeel van de zaken ligt de schade onder de 500 euro, in slechts enkele dossiers ligt de schade op 10.000 euro of meer. Slachtoffers van e-fraude hebben het vaakst materiële schade. Ondanks het feit dat de materiële schade bij de cybercrimes meestal niet hoog is, kan de impact van de delicten wel degelijk groot zijn. In de eerste plaats kunnen de relatief lage schadebedragen op lange termijn wel degelijk zorgen voor grote problemen. Eén van de voordelen van internet voor criminelen is immers dat er gemakkelijk een heleboel mensen opgelicht kunnen worden in een kort tijdsbestek. Ondanks alle kleine bedragen kan de opbrengst voor de cybercrimineel toch hoog zijn en kunnen slachtoffers hun vertrouwen in e-commerce kwijtraken. Of dat ook zo is zal nader onderzoek moeten uitwijzen.
206
De immateriële schade is lastig te bepalen De immateriële schade is moeilijk in te schatten doordat in veel dossiers weinig informatie beschikbaar is over de impact die het delict op het slachtoffer heeft. Uit de dossierstudie weten we wel dat de haatzaaidelicten bij de slachtoffers voor een schok zorgen, ze voelden zich beledigd en bedreigd of aangetast in hun persoonlijke levenssfeer. Daarnaast zorgt het publiekelijk maken van persoonlijk materiaal (zoals naaktfoto’s) bij delicten als hacken, cyberafpersen en kinderporno ervoor dat slachtoffers geestelijke en/of imagoschade oplopen. Deze imagoschade kan het slachtoffer voor langere tijd blijven achtervolgen, omdat content dat op internet geplaatst wordt moeilijk te verwijderen en makkelijk te kopiëren en te verspreiden is. 8.2 Aanbevelingen Deze VCN2009 is een eerste is zijn soort. Niet eerder werden in Nederland op zo’n grote schaal cybercrime dossiers geanalyseerd. Het onderzoek is exploratief van aard en het doel van het onderzoek was dan ook het inzicht bieden in de aard van cybercrime in Nederland. Tijdens de dossierstudie bleek echter dat in de geanalyseerde dossiers vaak (te) weinig info rmatie staat om goed onderbouwde uitspraken te doen over bepaalde onderwerpen. De aanbevelingen liggen dan ook met name in de sfeer van verdere onderzoeksmogelijkheden. Voer slachtofferonderzoek uit om kennis over aard, omvang en maatschappelijke impact te vergroten Er is erg weinig bekend over de omvang van cybercrime. Het geregistreerde aantal aangiften en meldingen lijkt erg laag. Met name bedrijven doen geen aangifte. We weten echter hoegenaamd niets over de aangiftebereidheid en het daadwerkelijke slachtofferschap. Slachtoffe renquêtes zijn nodig om beter inzicht te krijgen in de aard, omvang en aangiftebereidheid van cybercrime. Voer daderonderzoek uit om kennis over de daders en de aard van cybercrime te vergroten Uit de politiedossiers is weinig af te leiden over daders, terwijl kennis over daders belangrijke aanwijzingen kan geven in de opsporing (daderprofilering), inzicht kan geven in preventiemogelijkheden en zicht kan bieden op mogelijkheden tot vroegsignalering. Een van de vragen is hoe criminele carrières van cybercriminelen verlopen, en wat risicofactoren zijn. Betere kennis over werkwijzen van daders kan inzicht opleveren in de mogelijkheden tot ‘tegenho uden’ – het ‘dwars zitten’ van (potentiële) daders zodat het voor hen onaantrekkelijk wordt om delicten te plegen. Meer kennis over daders vergt daderonderzoek. E-fraudeurs vormen waarschijnlijk de grootste groep onder de cybercriminelen. Ons dossieronderzoek wijst er in elk geval op dat zij veel slachtoffers maken. Daderonderzoek zou dus in elk geval deze groep moeten betreffen. Speciaal punt van aandacht in daderonderzoek is identiteitsmisbruik. Uit de politiedossiers leren we niet veel daarover. Slachtoffers weten veelal ook niet of hun identiteit is misbruikt. Daderonderzoek kan nieuwe informatie daarover opleveren. Voer onderzoek uit naar georganiseerde cybercriminaliteit Uit de dossierstudie komt een beeld naar voren dat cybercriminaliteit meestal gepleegd wordt door verdachten die relatief zelfstandig werken en geen verbanden hebben met georganiseerde misdaad. Dat wil niet zeggen dat georganiseerde criminele groeperingen zich niet bezighouden met cybercrime; net zoals in de offline wereld worden de meeste (kleine) delicten ge-
207
pleegd door een grote groep verdachten en een klein deel van de criminaliteit wordt (systematisch) gepleegd door georganiseerde groeperingen. In de politiedossiers staat over georganiseerde cybercrime hoegenaamd geen informatie. Om daarover meer te weten te komen is speciaal daarop gericht onderzoek nodig. Enkele aandachtspunten: carrières van georganiseerde criminelen, de relatie tussen georganiseerde cybercriminaliteit en bovenwereld (denk bijvoorbeeld aan witwassen via virtuele economieën), en na tuurlijk de werkwijzen van de criminele groepen waaronder het gebruik van contrastrategieën. Onderzoek wat er met cybercrimedossiers gebeurt We hebben 665 politiedossiers geanalyseerd. We weten echter niet welke zaken zijn doorgestuurd naar het OM en of uiteindelijk verdachten veroordeeld zijn. Vervolgonderzoek is nodig om zicht te krijgen op dat proces in de strafrechtketen en op knelpunten die zich in dat proces voordoen. Aandachtspunt daarbij is hoe politie en OM omgaan met de internationale dimensie die we zagen bij met name e- fraude en hacken. Zorg dat voldoende kennis over cybercrime politiebreed aanwezig is We concludeerden hiervoor dat politie in de volle breedte van de organisatie vaker te maken zal krijgen met cybercrime. Zij moet dan wel de kennis hebben om daar adequaat mee om te gaan. Een onderzoek naar de wijze waarop de politie omgaat met het werkaanbod cybercrime (Toutenhoofd e.a., 2009:33-5) leidde tot de volgende aanbevelingen, die we hier overnemen: - ‘ontwikkel voor intakers (degene die aangiften opnemen – RL e.a.) een (laagdrempelige) praktijkgerichte cursus cybercrime en laat hen deze volgen’; - ‘ontwikkel richtlijnen die intakers duidelijk maken wanneer iets aangiftewaardig is (op te nemen in de eerder genoemde cursus’; - ‘voer een pilot uit waarin een deel van de intakers een verdergaande scholing krijgt betreffende het opnemen van cybercrimes, zodat zij voorlopig kunnen optreden als “taakaccenthouder”. Evalueer de pilot.’ Indien de politie wil werken aan daderprofilering voor cybercrimes, dient zij (1) informatie over aangehouden verdachten te registreren, en (2) niet uit te gaan van soorten hackers. Van het merendeel van de verdachten uit onze dossiers vonden we geen informatie over hun sociale achtergrond (beroep, ople iding, gezinssamenstelling, etc.). Indien de politie verder wil met daderprofilering van cybercrimeverdachten, dient zij allereerst te werken aan een betere informatiepositie. Wat hacken betreft roepen onze bevindingen de vaag op wanneer we moeten spreken van een hacker. Het delict is verweven met diverse andere delicten. Is bijvoorbeeld een hacker die e- fraude pleegt een hacker (met dus een hackersprofiel) of is het e-fraudeur die hackt (dus met een oplichtersprofiel). Hacken is van een specialisme van enkelen geworden tot een techniek van velen, een techniek in dienst van het eigenlijke delict zoals e- fraude of bedreiging. Indien de politie daderprofielen wil ontwikkelen, lijkt het zinvoller om een profiel te ontwikkelen voor ‘de e- fraudeur’, ‘de kinderpornodelinquent’ en ‘de haatzaaier’ (delicten die op zichzelf staan). Wat hacken betreft lijkt het logischer om niet ‘soorten hackers’ maar ‘soorten hacks’ als uitgangspunt te nemen. De kans dat men een hack eenduidig kan classificeren lijkt groter dan de kans dat men een hacker kan classificeren als een persoon die uitsluitend een bepaalde soort hack uitvoert.
208
209
Literatuur Abma, J., Martinez, G., Mosher, W., en Dawson, B. (2004) Teenagers in the United States: Sexual activity, contraceptive use, and childbearing, 2002. Washington, DC: National Center for Health Statistics. Adamski, A. (1999) Crimes related to the computer network. Threats and opportunities: A criminological perspective. Torun: Nicholas Copernicus University. Akdeniz, Y. (1996) Computer Pornography: a Comparative Study of the US and the UK Obscenity Laws and Child Pornography Laws in Relation to the Internet. International Review of Law Computers & Technology, 10 (2) 235-261. Alexy, E.M., A.W. Burgess, T. Baker (2005) Internet offenders: Traders, travelers, and combination trader-travelers. In: Journal of Interpersonal Violence, 20 (7) 804-812. America Online en National Cyber Security Alliance (2005) AOL/NCSA Online Safety Study. www.staysafeonline.info/pdf/safety_study_2005.pdf. Laatst geraadpleegd 19 mei 2008. Amersfoort, P. van, L. Smit en M. Rietveld (2002) Criminaliteit in de virtuele ruimte. Zeist: Kerckebosch. APWG (2008) Phishing Activity Trends – Report for the month of January, 2008. www.antiphishing.org. Laatst geraadpleegd op 11 mei 2009. Association of Chief Police Officers (ACPO) (2005) Hate Crime: Delivering a Quality Service: Good Practice and Tactical Guidance. London: ACPO. AusCert (2006) 2006 Australian Computer Crime and Security Survey. www.auscert.org.au. Laatst geraadpleegd op 19 april 2008. Bednarski, G.M. (2004) Enumerating and reducing the threat of transnational cyber extortion against small and medium size organizations. Research thesis. Pittsburgh: Carnegie Mellon University. Binder, R. en M. Gill. (2005) Identity Theft and Fraud: Learning from the USA. Leicester: Perpetuity group & Consultancy International Ltd. Bissy, J.F. (1990) Computers in organizations, the (white) magic in the black box. In: B.A. Turner (red.), Organizational symbolism. Berlijn: Walter de Gruyter. Boerman, F. en A. Mooij (2006) Vervolgstudie nationaal dreigingsbeeld: Nadere beschouwing van potentiële dreigingen en witte vlekken uit het nationaal dreigingsbeeld 2004. Zoetermeer: KLPD, DNRI. Boerman, F., M. Grapendaal en A. Mooij (2008) Nationaal Dreigingsbeeld 2008. Georganiseerde Criminaliteit. Rotterdam: Thieme MediaCenter. Boerstra, E. (1997) Rechercheren in cyberspace. Algemeen Politieblad, 146 (21) 8-9. Bronkhorst, S. en R. Eissens (2004) Hate on the Net Virtual nursery for In Real Life crime. www.inach.net: International Network Against Cyber Hate (INACH). Laatst geraadpleegd op 19 april 2008. Bullens, R. (2007) Kijken naar kinderporno op internet: ‘onschuldige’ drang? In: A.Ph. van Wijk, R.A.R. Bullens en P. van den Eshof (red) Facetten van zedencriminaliteit. ’s Gravenhage: Reed Bussiness Information bv. Bunt, H.G. van de, en J. Rademaker (1992) Recherchewerk in de praktijk: een case-study naar recherche en informatievoorziening. Lochem: Van den Brink & Co. Bureau of Justice Assistance (1997) A Policymaker’s Guide to Hate Crimes. Washington: U.S. Department of Justice. Carnegie Mellon University (2007) Cert Research. 2006 Annual Report. www.cert.org: SEI Communications. Laatst geraadpleegd op 10 april 2008. Casey, E. (2002) Cyberpatterns: Criminal beha viour on the internet. In: B.E. Turvey, Criminal profiling: An introduction to behavioral evidence analysis. San Diego: Academic Press. 210
CBS (2008) De digitale economie 2007. Voorburg/Heerlen: Centraal Bureau voor de Statistiek. CBS (2009) Integrale Veiligheidsmonitor 2008. Landelijke rapportage. Voorburg/Heerlen: Centraal Bureau voor de Statistiek. Chantler, N. (1996) Profile of a computer hacker. Florida: Infowar. Computer Security Institute (2007) CSI Survey 2007: The 12th Annual Computer Crime and Security Survey. www.gocsi.com. Laatst geraadpleegd op 10 april 2008. Copes, H. en L. Vieraitis (2007) Identity Theft: Assessing Offenders’ Strategies and Perceptions of Risk. Birmingham: University of Alabama. Cops (2007) Reeks Cops@cyberspace, 11 (20) 14 – 27 mei 2007. Apeldoorn: Politieacademie, Kennisnetwerk. Cops (2007b) Reeks Cops@cyberspace, 11(18) 30 april – 6 mei 2007. Apeldoorn: Politieacademie, Kennisnetwerk. Cops (2007c) Reeks Cops@cyberspace, 11 (11) 12 – 18 maart 2007. Apeldoorn: Politieacademie, Kennisnetwerk. Cops (2007d) Reeks Cops@cyberspace, 11 (12) 19 – 25 maart 2007. Apeldoorn: Politieacademie, Kennisnetwerk. Cops (2007e) Reeks Cops@cyberspace, 11 (13) 26 maart – 1 april 2007. Apeldoorn: Politieacademie, Kennisnetwerk. Corpelijn, C. (2008) Rijk worden? Eerst betalen! Een profielschets van het 419-slachtoffer. Scriptie. Utrecht: Universiteit van Utrecht. Cross, S.E. (2000) Cyber Security: Testimony of Stephen E. Cross Director, Software Engineering Institute Carnegie Mellon University Before the Senate Armed Services Committee. Via: www.cert.org/congressional_testimony/Cross_testimony_Mar2000.html. Laatst geraadpleegd op 14 mei 2008. CSO magazine (2005) 2005 ECrime Watch Survey. www.cert.org. Laatst bezocht op 19 april 2008. CSO magazine, U.S. Secret Service, CERT Program, Microsoft Corp. (2007) 2007 ECrime Watch Survey. www.cert.org. Laatst bezocht op 19 april 2008. Danchev, D. (2008) Massive IFRAME SEO Poisoning Attack Continuing. Ddanchev.blogspot.com. Laatst geraadpleegd 28 maart 2008. Danzige r, J.N. (1985) Social science and the social impact of computer technology. Social Science Quarterly, 66 (1) 3-21. Dasselaar, A (2005) Digitale Criminaliteit: Over daders, daden en opsporing. Culenborg: Van Duuren Media. De Poot, C.J., R.J. Bokhorst, P.J. van Koppen en E.R. Muller (2004) Rechercheportret. Alphen aan den Rijn: Kluwer. De Sola Pool, I. (1983) Technologies of freedom. Cambridge: Harvard University Press. De Sola Pool, I. (1984) Communications flows. Tokyo: University of Tokyo Press. Deibert, R.J., J.G. Palfrey, R. Rohozinski en J. Zittrain (2008) Access Denied; The Practice and Policy of Global Internet Filtering. Cambridge, Mass: The Mitt Presss. Den Hartog, H. en V.P. Kouwenhoven (2005) Cybercrime, Digitaal vandalisme en sabotage. Naar een cyberveilige onderneming. Den Haag: Hogeschool INHOLLAND Rotterdam. Department of Criminology (2007) Issues in Community Safety. Leicester: University of Le icester. Dijkstra, J.J. (2008) Computercriminaliteit. In: C.W.J. de Vey Mestdagh, J.J. Dijkstra en S.C. Huisjes (red.) ICT – recht. Voor de praktijk. Groningen: Wolters Noordhof. Domenie, M.M.L., E.R. Leukfeldt en W.Ph. Stol (2009) Werkaanbod cybercrime bij de politie. Een verkennend onderzoek naar de omvang van het geregisteerde werkaanbod cybercrime. Leeuwarden: Noordelijke Hogeschool Leeuwarden.
211
Donselaar, J van en P.R. Rodrigues (2004) Monitor Racisme & Extreem Rechts. Zesde Rapportage. Amsterdam/Leiden: Anne Frank Stichting/Universiteit Leiden. Duncan, M. (1997). Making Inroads Against Crime on the Internet. RCMP Gazette, 59 (10) 411. Durkin, K.F. (1997) Misuse of the Internet by Pedophiles: Implications for Law Enforcement and Probation Practice. Federal Probation: a journal of correctional philosophy and practice, 61 (3) 14-18. Eecke, P. van (1997) Criminaliteit in cyberspace: misdrijven, hun opsporing en vervolging op de informatiesnelweg. Gent: Mys en Breesch. Eissens, R. (2004) Hate speech and hate crime on the ‘Dutch’ Net. In: S. Bronkhorst en R. Eissens (red) Hate on the Net Virtual nursery for In Real Life crime. www.inach.net: International Network Against Cyber Hate (INACH). Ejure (2004) Overzicht wetgeving. www.ejure.nl/articles/dossier_id=171/id=38/show.html Laatst geraadpleegd op 28 april 2008. Ejure (2008) Identiteitsfraude. www.ejure.nl/f_dossier/language=nl/dossier_id=171/ dossier.html. Laatst bekeken op 28 april 2008. Europese Commissie (2007) Naar een algemeen beleid voor de bestrijding van cybercriminaliteit. Mededeling van de commissie vaan het Europees Parlement, de Raad en het Europees Comité van de regio’s (COM2007, 267 final), 22 mei 2007. Brussel. Europese Commissie Europol (2003) Computer-related crimes within the EU: Old crimes new tools, new crimes new tools. Luxemburg: Office for Official Publications of the European Communities. FBI (2008b) Gone Phishing. Global Ring Gets Rather Slick. www.fbi.gov/page2/may08/phishing_052008.html Laatst geraadpleegd 26 mei 2008 FBI / IC3 (2008) Scam Emails Seek Donations to Help Chinese Earthquake Victims. Washington: FBI National Press Office (http://www.ic3.gov/media/2008/080520.htm) Federale Politie (2005) Vierde activiteitenverslag 2005. Brussel: Uitgeverij Politeia Finch, E. (2007) The problem of stolen identity and the Internet. In: Crime Online, Y. Jewkes (red.). Uffculme: William Publishing. Finkelhor, D., R.K. Ormrod, H. Turner en S.L. Hamby, S. L. (2005). The victimization of children and youth: A comprehensive national survey. Child Maltreatment, 1 (10) 5–25. Furnell, S.M. (2002) The problem of categorising cybercrime and cybercriminals (paperpresentatie) 2nd Australien Information Warfare (IW) and Security Conference (SC) Perth, Australie, 29 – 30 november 2001. www.ieeesecurity.org/Cipher/ConfReports/2002/CR2002-IW.html - laatst geraadpleegd 11 juni 2008. Geest, E. van (2006) Van herkenning tot aangifte. Handleiding cybercrime. Govcert.nl (/KLPD). Gelderblom, B. (2004) Computercrime. Over stalkers, struikrovers en sluipmoordenaars op de digitale snelweg. Amsterdam: Pearson Education Benelux. Gordon, S. en R. Ford (2006) On the definition and classification of cybercrime. Journal in Computer Virology, 1 (2) 13-20. Govcert.nl (2005) Aanbevelingen ter bescherming tegen denial of service aanvallen. www.govcert.nl. Laatst geraadpleegd op 14 april 2008. Govcert.nl (2007) Trendrapport 2007. Cybercrime in trends en cijfers. Den Haag: Govcert.nl. Govcert.nl (2008) FACTSHEET FS-2008-02: Defacements van websites. www.govcert.nl. Laatst geraadpleegd op 18 september 2008. Govcert.nl (2008) Trendrapport / 2008. Inzicht in Cybercrime: trends & cijfers. Den Haag: Govcert.nl.
212
Grabosky, N.P. en R.G. Smith (1998) Crime in the digital age. Transaction Publishers: New Brunswick NJ. Griffith, R.E. (2005) How Criminal Justice Agencies Use The Internet. In: A. Pattavina (red.) Information Technology and the Criminal Justice System. Thousand Oaks: Sage. Gross, G. (2008) 38 in U.S., Romania charged in phishing schemes. Focus is on two related phishing schemes with ties to organized crime. http://computerworld.com 19 mei 2008. Laatst geraadpleegd 26 mei 2008. Hackworth, A. (2005) Spyware. Carnegie Mellon University. www.cert.org Hall, N. (2005) Hate Crime. Cullompton: Willan. Hamada, J. (2008) Audit your web server lately. www.symantec.com. Laatst geraadpleegd 28 maart 2008. Helmus, S., A. Smulders en F. van der Zee (2006) ICT Veiligheidsbeleid in Nederland – Analyse en overwegingen bij Herijking. TNO (ongerubriceerd) nr. 035.31231. Hinde, S. (2005) Identity theft & fraud. In: computer Fraud & Security, 5 (2006) 18 – 20. Hollinger, R. (1988) Computer hackers follow a guttman- like progression. Social Sciences Review, 72 (1988) 199-200. Homeoffice (2008) Hate Crime. www.homeoffice.gov.uk. Laatst geraadpleegd 16 juni 2008. Hoogeboom, B. (2002) Pleidooi voor verwetenschappelijking van de rechtshandhaving. In: Criminaliteit… Toekomst van vandaag, blik op morgen. Zoetermeer, Landelijke Project Digitaal Rechercheren. Houle, K.J. en G.M. Weaver (2001) Trends in Denial of Service Attack Technology. http://www.cert.org/archive/pdf/DoS_trends.pdf. Laatst geraadpleegd op 28 februari 2008. Householder, A., A. Manion, L. Pesante en G.M. Weaver (2001) Managing the Threat of Denial-of-Service Attacks. http://www.cert.org/archive/pdf/Managing_DoS.pdf. Laatst geraadpleegd op 28 februari 2008. Hulst, van der R.C. en Neve (2008) High-tech crime: Inventarisatie van literatuur over soorten criminaliteit en hun daders. Den Haag: WODC Ianelli, N. en A. Hackworth (2005) Botnets as a Vehicle for Online Crime. www.cert.org/archive/pdf/Botnets.pdf laatst bezocht op 26 februari. IC3 (2005) IC3 Internet Crime Report January 1, 2004 – December 31, 2004. ww.ic3.gov. Laatst geraadpleegd op 19 mei 2008. IC3 (2006) IC3 Internet Crime Report January 1, 2005 – December 31, 2005. ww.ic3.gov. Laatst geraadpleegd op 19 mei 2008. IC3 (2007) IC3 Internet Crime Report January 1, 2006 – December 31, 2006. ww.ic3.gov. Laatst geraadpleegd op 19 mei 2008. IC3 (2008a) Alert. Vishing Attacks Increase ww.ic3.gov/media/2008/080117.htm. Laatst geraadpleegd op 19 mei 2008. IC3 (2008b) 2007 Internet Crime Report. http://www. ic3.gov/. Laatst geraadpleegd op 19 mei 2008. Jagatic, T., N. Johnson, M. Jakobsson, F. Menczer (2005) Social Phishing. Bloomington: School of Informatics Indiana University. Janssens, A.L.J. en A.J. Nieuwenhuis (2005) Uitingsdelicten. Alphen a/d Rijn: Kluwer. Jaques, R. (2006) Cyber-criminals switch to VoIP 'vishing'_Phone scams heading for the the UK, warns security firm. www.vnunet.com. 10 juli 2006. Laatst geraadpleegd op 15 mei 2008. Jewkes, Y. en C. Andrews (2007) Internet child pornography: International responses. In: Y. Jewkes (red.) Crime Online. Portland, Oregon: Willan Publishing. Jordan, T. en P. Taylor (1998) A sociology of hackers. The Sociological Review, 46 (4) 757780.
213
Kaplan, J.E. en M.P. Moss (2003) Investigating hate crimes on the internet. University of Southern Maine: Center for the Prevention of Hate Violence. Kaspersen, H.W.K. (1990) Strafbaarstelling van computermisbruik. Antwerpen/Deventer: Kluwer. Kaspersen, H.W.K. (2004) Bestrijding van cybercrime en de noodzaak van internationale regelingen. Justitiële verkenningen, 30 (2) 58-75. Kaspersen, R. (2007) Cyber Crime in historisch perspectief. In: B.J. Koops (red) Strafrecht en ICT. Den Haag: Sdu Uitgevers. Keizer, G. (2008a) Microsoft: We took out Storm botnet. Its malware scanner cleaned more than 500k PCs infected with the bot in '07. www.computerworld.com. Laatst bekeken op 6 mei 2008. Keizer, G. (2008b) Microsoft didn't crush Storm, counter researchers: botnet operators diversified of their own accord, argues Trend Micro. www.computerworld.com. Laatst geraadpleegd op 6 mei 2008. Keizer, G. (2008c) Thieves troll for execs with new Tax Court phish scam. www.computerworld.com. Laatst geraadpleegd op 29/05/2008. Keizer, G. (2008d) Hackers expand massive IFrame attack to prime sites. www.computerworld.com. Laatst geraadpleegd 10 juni 2008. Khan, K. (2000) Child Pornography on the internet. The Police Journal, 73 (1) 7-17. Klaver, M.J. (1999) UNESCO wil Internet zuiveren van kinderporno. www.nrc.nl Gepubliceerd: 23 januari 1999 00:00. Gewijzigd: 14 december 2005 20:29. Kleef, J. van (2004) Kinderporno kinderspel. Nieuwe Revu, nr. 52. Klein, A. (2005) DOM Based Cross Site Scripting or XSS of the Third Kind. A look at an overlooked flavor of XSS. http://www.webappsec.org/projects/articles/071105.html Laatst geraadpleegd 29 juli 2008. KLPD, DNRI (2004) Nationaal dreigingsbeeld zware of georganiseerde criminaliteit: een eerste Proeve. Zoetermeer: Dienst Nationale Recherche Informatie KLPD, DNRI (2007a) Cybercrime - Focus op High Tech Crime: Deelrapport Criminaliteitsbeeld 2007. Rotterdam: Thieme MediaCenter. KLPD, DNRI (2007b) Afpersing door middel van (dreigen met) een dDos-aanval: verslag van een onderzoek voor de vervolgstudie NDB (intern rapport). Zoetermeer: Dienst Nationale Recherche Informatie. KLPD, DNRI (2007c) Identiteitsfraude met behulp van phishing op internet: verslag onderzoek voor de vervolgstudie NDB (intern rapport). Zoetermeer: Dienst Nationale Reche rche Informatie. Koops, B.J en R. Leenes (2006). ID theft, ID Fraud and/or ID-related Crime: Definitions Matter. DuD: Datenschutz und Datensicherung, Informationsrecht, Kommunikationssysteme, 30 (9) 553-556. Koster, W. de en D. Houtman (2006) Toevluchtsoord voor een bedreigde soort. Over virtuele gemeenschapsvorming door rechts-extremisten. Sociologie, 2 (3) 34-56.
Landreth, B (19.85) Out of the inner circle. Redmomd: Microsoft Books. Leiden, I. van, E. de Vries Robbé en H. Ferwerda (2007) Je bedrijf of je leven; aard en aanpak van afpersing van het bedrijfsleven. Den Haag: WODC. Levin, J. en J. McDevitt (2002) Hate Crimes Revisited: America’s War on Those Who Are Different Boulder. CO: Westview Press. Levin, J., J. McDevitt (2002) Hate Crimes. In: L.R. Kurtz (red) Encyclopedia of Violence, Peace, and Conflict, Volume 2. San Diego: Academic Press. Leyden, J. (2001) Extradition hearing in Bloomberg hack/extortion. http://www.theregister.co.uk/2001/04/09/extradition_hearing_in_bloomberg_hack. Laatst geraadpleegd op 24/04/2008.
214
Leyden, J. (2003) Bloomberg extortion, hacking case opens in New York. www.theregister.co.uk/2003/02/06/bloomberg_extortion_hacking_case_opens. Laatst geraadpleegd op 24/04/2008. Leyden, J. (2008) FBI rings warnings over VoIP phishing cons_'Alarming' rise in vishing. http://www.theregister.co.uk, 21 januari 2008. LPDO (Landelijk Project Digitale Opsporing) (2003) Visie op digitaal opsporen. Zoetermeer: LPDO. Lünnemann, K., S. Nieborg, M. Goderie, R. Kool en G. Beijers (2006) Kinderen beschermd tegen seksueel misbruik. Evaluatie van de partiële wijziging in de zedelijkheidswetgeving. Den Haag/Utrecht: WODC/.Verwey Jonker Instituut. Mann, D., M. Sutton en R. Tuffin (2003) The evolution of hate: social dynamics in white racist newsgroups. In: Internet Journal of Criminology, 2003, pp. 1-32. Laatst geraadpleegd op 23 juni 2008: www.internetjournalofcriminology.com/Evolution%20of%20Hate%20(updated).pdf. McAfee (2005) McAfee virtual criminology report. The first pan-European study into organised crime and the internet. McAfee: www.mcafee.com. Laatst bezocht op 19 april 2008. McAfee (2006) Virtual Criminology Report. Organised Crime and the Internet. McAfee: www.mcafee.com. Laatst geraadpleegd op op 19 april 2008. McAfee (2007) Virtual Criminology Report: Cybercrime The Next Wave. McAfee: www.mcafee.com. Laatst geraadpleegd op op 19 april 2008. McCusker, R. (2006) Transnational organised cyber crime: distinguishing threat from reality. Crime Law and Social Change, 46 (4-5) 257-273. McGhee, K. (2008) Beware of Spear Phishing by ‘U.S. Tax Court’ http://www.avertlabs.com/research/blog/index.php/2008/05/22/us-tax-court-spearphishing. Laatst geraadpleegd 29 mei 2008. McLaughlin, J.F. (2000) Cyber child sex offender typology. Internetpublicatie: www.ci.keene.nh.us/police/Typology.html. Laatst geraadpleegd op op 19 april 2008. McPherson, D., C. Labovitz en M. Hollyman (2007) Worldwide Infrastructure Security Report, volume 3. www.arbornetworks.com/report. Laatst geraadpleegd op op 19 april 2008. MDI (2002) Jaarverslag 2001. Amsterdam: Stichting Magenta, Meldpunt Discriminatie Internet. MDI (2003) Jaarverslag 2002. Amsterdam: Stichting Magenta, Meldpunt Discriminatie Internet. MDI (2004) Jaarverslag 2003. Amsterdam: Stichting Magenta, Meldpunt Discriminatie Internet. MDI (2005) Jaarverslag 2004. Amsterdam: Stichting Magenta, Meldpunt Discriminatie Internet. MDI (2006) Jaarverslag 2005. Amsterdam: Stichting Magenta, Meldpunt Discriminatie Internet. MDI (2007) Jaarverslag 2006. Amsterdam: Stichting Magenta, Meldpunt Discriminatie Internet. MDI (2008) Jaarverslag 2007. Amsterdam: Stichting Magenta, Meldpunt Discriminatie Internet. Meesters, P. en B. Niemeijer (2000) Criminaliteitsbeeldanalyse: problemen en mogelijkheden. In H. Moerland en B. Rovers (red) Criminaliteitsanalyse in Nederland. Den Haag/l Elsevier. Meij, P. de (2002) Grensoverschrijdende uitingen op het internet. In: A.W. Hins, A.J. Nie uwenhuis (red.) Van ontvanger naar zender. Amsterdam: Otto Cramwinckel.
215
Meulen, N. van der (2006) The Challenge of Countering Identity Theft: Recent Developments in the Unitede States, the United Kingdom, and the European Union. Tilburg: International Victiminolgy Institute Tilburg, NICC. Microsoft (2006a) Spear phishing: Highly targeted scams. http://www.microsoft.com/protect/yourself/phishing/spear.mspx. Laatst geraadpleegd op 15 mei 2008. Microsoft (2006b) What is spyware? www.microsoft.com/protect/computer/basics/spyware.mspx. Laatst geraadpleegd op 16 mei 2008. Milletary, J. (2005) Technical Trends in Phishing Attacks. CERT Coordination Center. Carnegie Mellon University. Minnebo, P. (2007) Criminaliteitsanalyse verklaard. Aanzetten voor verdere ontwikkeling van criminaliteitsanalyse. Elsevier: Den Haag. MKI (Meldpunt Kinderporno op Internet) (1997) Internet Meldpunt Kinderporno, jaarverslag 1996/1997. Amsterdam:Stichting ter bestrijding van kinderporno op internet. MKI (Meldpunt Kinderporno op Internet) (2002) Jaarverslag 2001 Amsterdam: Stichting ter bestrijding van kinderporno op internet. MKI (Meldpunt Kinderporno op Internet) (2004) Jaarverslag 2003 Amsterdam: Stichting ter bestrijding van kinderporno op internet. MKI (Meldpunt Kinderporno op Internet) (2005) Jaarverslag 2004 Amsterdam: Stichting ter bestrijding van kinderporno op internet. MKI (Meldpunt Kinderporno op Internet) (2006) Jaarverslag 2005 Amsterdam: Stichting ter bestrijding van kinderporno op internet. MKI (Meldpunt Kinderporno op Internet) (2007) Jaarverslag 2006 Amsterdam: Stichting ter bestrijding van kinderporno op internet. MKI (Meldpunt Kinderporno op Internet) (2008) Jaarverslag 2007 Amsterdam: Stichting ter bestrijding van kinderporno op internet. Moerland, H. en A. Mooij (2000) Criminaliteitsanalyse: een nadere afbakening van het begrip. In H. Moerland en B. Rovers (red.) Criminaliteitsanalyse in Nederland. Den Haag: Elsevier. Morris, S. (2004) The future of nectarism now: Part 1 – threats and challanges. UK home office online report nr.62/04, 2004. www.homeoffice.gov.uk/rds/pdfs04/rdsolr6204.pdf. Laatst geraadpleegd op 13 maart 2008. Nardi, P. en R. Bolton (1998) Gay-Bashing: Violence and Aggression Against Gay Men and Lesbians. In: P. Nardi and B. Schneider (red) Social Perspectives in Lesbian and Gay Studies: A Reader. London: Routledge. Newman, G.R., M.M. McNally (2005) Identity Theft Literature Review. Paper prepared for the U.S. Department of Justice United States. Newark: University of Albany, Rutgers University. NICC (2007a) Jaarbericht NICC 2006. Schiedam: OBT / TDS printmaildata. NICC (2007b) Zomerbericht NICC 2007. Schiedam: OBT / TDS printmaildata. Nicholas S., C. Kershaw en A. Walker (2007) Crime in England and Wales 2006/07. 4th edition. www.homeoffice.gov.uk/rds: Research Development and Statistics Directorate. Nieuwboer, J.W. (2004) Internationaal recht. In: C.C. de Fey e.a. (red.) Met recht discriminatie bestrijden. Den Haag: Boom Juridische uitgevers. Nota Grondrechten in een pluriforme samenleving (2005). Nykodym, N., R. Taylor en J. Vilela (2005) Profiling of cyber crime: criminal profiling and insider cybercrime. Computer law & security report, 21 (5) 408 – 414. Ollmann, G. (2004) The Phishing Guide (Part 1) Understanding and Preventing Phishing Attacks. NGSSoftware Insight Security Research: www.ngsconsulting.com.
216
Ollmann, G. (2005) The Pharming Guide. Understanding & Preventing DNS-related Attacks by Phishers. NGSSoftware Insight Security Research: www.ngsconsulting.com. Ollmann, G. (2007) The Vishing Guide. A close look at voice Phishing. NGSSoftware Insight Security Research: www.ngsconsulting.com. Oosterink, M. en E.J. van Eijk (2006) Opsporing Kinderpornografie op internet. Een statusoverzicht. Den Haag: Ministerie van Justitie. OPTA (2008) Jaarverslag. Den Haag: Rooduijn Vorm & Druk. Ovum (2006) China set to be the number one broadband market by 2007, www.ovum.com/go/content/c,66667, laatst bezocht op 21 april 2008. Owen, K, G. Keats, M. Gills. (2006) The Fight Against identity Fraud: A Brief Study of the EU, the UK, France, Germany and the Netherlands. Leicester: Perpetuity Group. PAC (2008a) Definities van Cybercrime. Een onderzoek naar- en toetsing van diverse bestaande definities van Cybercrime, om te komen tot één werkbare, herkenbare en gedragen definitie voor intern en extern gebruik door het PAC. De Bilt: interne notitie. PAC (2008b) Programmaplan. Programma Aanpak Cybercrime. De Bilt: interne notitie Panhuis, P. van (2008). Informatiegestuurde politie en criminaliteitsanalyse. In W.Ph. Stol en A.Ph. van Wijk (red) Inleiding Criminaliteit en Opsporing. BJU: Den Haag. Pappalardo, D. en E. Messmer (2005) Extortion via DDoS on the rise: Criminals are using the attacks to extort money from victimized companies. www.computerworld.com/networkingtopics/networking/story/0,10801,101761,00.html Laatst geraadpleegd op 29 februari 2008. Parker, D. (1998) Fighting computer crime: A new framework for protecting information. New York: John Wiley & Sons, Inc. Parlement.com (2008) Smalende godslastering: een stukje parlementaire geschiedenis. www.parlement.com/9291000/modulesf/gvgegc34, laatst geraadpleegd op 18 juni 2008. Perry, B. (2004) Where de we go from here? Researching hate crime. Internet Journal of Criminology: www.internetjournalofcriminology.com. Pharming.org (2006) What is pharming. http://www.pharming.org/index.jsp Laatst geraadpleegd op 15 mei 2008. Post, J. (1996) The dangerous information system insider: Psychological perspectives. Available HTTP: Hostname: infowar.com. Post, J., E. Shaw en K. Ruby (1998). Information terrorism and the dangerous insider. Paper presented at the meeting of InfowarCon’98, Washington. Postma, J.G., en H. J. B. Sackers. (2000) Valsheid in geschrift. In: H.J.B. Sackers en P.A.M. Mevis (red) Fraudedelicten. Deventer: W.E.J Tjeenk Willink. Power, R. (1998) Current and future danger. Computer Security Institute. Prins, J. E. J en N. S. van der Meulen (2006) Identiteitsdiefstal: lessen uit het buitenland. In: Justitiële verkenningen, 32 (7) Den Haag: WODC. Prins, L. (2008) Landelijke Criminaliteitskaart. Populatieprofielen 2007. Zoetermeer/ Driebergen: KLPD. PWC (2001) Kinderpornografie en internet in Nederland: een overzicht van de huidige situatie, knelpunten in de bestrijding, suggesties voor verbeteringen. Haarlem: PWC. Rafail, J. (2001) Cross-Site Scripting Vulnerabilities. Carnegie Mellon University: www.cert.org. Rogers, M. (2000) A New Hacker Taxonomy (revised version) Internetpublicatie. Rogers, M. (2001) A social learning theory and moral disengagement analysis of criminal computer behaviour: an explorative study. Winnipeg: University of Manibota. Rogers, M. (2004) What is a Distributed Denial of Service (DDoS) Attack and What Can I Do About It? Cert: www.cert.org/homeusers/ddos.html. Laatst geraadpleegd op 29 februari 2008.
217
Rogers, M. (2006) A two-dimensional circumplex aproach to the development of a hacker taxonomy. Digital Investogation, nr. 3 (2006) 97 – 102. Ruth, E. van (2008) Daderprofilering. In: Stol, W. Ph. en A. Ph. van Wijk (red.) Inleiding criminaliteit en opsporing. Den Haag: Boom Juridische Uitgevers. Scheepmaker, M. P. C. (2006) Themanummer IDfraude Justitiele verkenningen. Den Haag: WODC. Schell, B.H., M.V. Martin, P.C.K. Hung en L. Rueda (2007) Cyber child pornography: A review paper of the social and legal issues and remedies and a proposed technological solution. Aggression and Violent Behavior, 12 (2007) 45–63. Schellekens, M.H.M., B.J. Koops, W.G. Teepe (2007) Wat niet weg is, is gezien. Een analyse van art. 54a Sr in het licht van een Notice-and-Take-Down-regime. Tilburg: Universiteit van Tilburg. Schoenmakers, Y.M.M., E. de Vries Robbé en A. Ph. van Wijk (2009) Gouden bergen. Een verkennend onderzoek naar Nigeriaanse 419-fraude: achtergronden, daderkenmerken en aanpak. Den Haag: reed Business. Schofield, J. (2008) What's an IFrame attack and why should I care? www.guardian.co.uk/technology/2008/apr/03/security.google. Laatst geraadpleegd op 28 juli 2008. SCP (Sociaal Cultureel Planbureau) (2004) In het zicht van de toekomst. Meppel: Giethoorn Ten Brink. Sey, A., P. Zinn, J. van Oss en M. Schuurbiers (2008) Visiedocument 2007-2010 Team High Tech Crime. Dienst Nationale Recherche/Korps Landelijke Politiediensten. Shaw, E., K. Ruby en J. Post (1998). The Insider threat to information systems: The psycho logy of the dangerous insider. Security Awareness Bulletin, 2 (1998) 1-10. Simpson G. (2008) F-Secure sees smaller botnets on the rise. F-Secure: www.news.com/FSecure-sees-smaller-botnets-on-the-rise/2100-7349-6210900.html?part=dtx. Laatst geraadpleegd op 29 februari 2008. Smith, D.J. (2007) A Culture of Corruption. Everyday Deception and Popular Discontent in Nigeria. United Kingdom: Princeton University Press. Sophos (2007) Security threat report. Update 07/2007. www.sophos.com. Laatst geraadpleegd op 14 april 2008. Sophos (2008) Security Threat Report. First Quarter 2008. www.sophos.com. www.sophos.com. Laatst geraadpleegd op 4 december 2008. Stamm, S., Z. Ramzan en M. Jakobsson (2006) Drive-By Pharming www.symantec.com/avcenter/reference/Driveby_Pharming.pdf Laatst geraadpleegd 19 mei 2006. Stewart, J. (2007) Secure Works, Storm Worm DDoS Attack . University of Manitoba. homes.cerias.purdue.edu/~mkr/hacker.doc. Laatst geraadpleegd op 26 februari 2008. Stokkom, B.A.M. van, H.J.B. Sackers en J.P. Wils (2007) Godslastering, discriminerende uitingen wegens godsdienst en haatuitingen. Een inventariserende studie. Den Haag: Boom Juridische Uitgevers. Stol, W. Ph. (2004) Trends in cybercrime. In: Justitiële Verkenningen 8 (2004) 22 – 33. Den Haag: Boom Juridische Uitgevers. Stol, W. Ph., H.W.K. Kaspersen, J. Kerstens, E.R. Leukfeldt en A.R. Lodder (2008b) Internetcriminaliteit: kinderpornografie in meervoudig perspectief. Ars Aequi 57 (07/08) 531 – 540. Stol, W. Ph., R.J. van Treeck & A.E.B.M. van der Ven (1999) Criminaliteit in cyberspace. Een praktijkonderzoek naar aard, ernst en aanpak in Nederland met veertig aanbevelingen. Onderzoeksreeks nr.5. In-pact.
218
Stol, W.Ph. (2003) Sociale controle en technologie. De casus politie en kinderporno op het internet. Amsterdams Sociologisch Tijdschrift, 30 (1/2) 162-182. Stol, W.Ph. en A. van Wijk (2008c) Inleiding criminaliteit en opsporing. Den Haag: Boom Juridische Uitgevers. Stol, W.Ph., H.W.K. Kaspersen, J. Kerstens, E.R. Le ukfeldt en A.R. Lodder (2008a) Filteren van kinderporno op internet. Een verkenning van technieken en reguleringen in binnenen buitenland. Den Haag: BJU. Stol, W.Ph., R.J. van Treeck en A.E.B.M. van der Ven (1999) Criminaliteit in cyberspace – een praktijkonderzoek naar aard, ernst en aanpak in Nederland. Den Haag: Elsevier. Stratix (2007) Onderzoek inzake Artikel 11.3 Tw: concept dreigingsbeeld. Hilversum, Stratix Consulting. Sullivan, C. (2005) Internet traders of child pornograhpy: Profiling research New Zealand. Department of internal affairs: www.lgc.govt.nz/pubforms.nsf/URL/Profilingupdate2.pdf/$file/Profilingupdate2.pdf Symantec (2006) Symantec internet security threat report. Trends for July 05 - December 05. Vol IX, 2006. www.symantec.com. Laatst geraadpleegd op 14 april 2008. Symantec (2007a) Symantec Internet Security Threat Report. Trends for Jan – June 07. www.symantec.com Symantec (2007b) Symantec Internet Security Threat Report. Trends for July – December 06. www.symantec.com. Laatst geraadpleegd op 14 april 2008. Symantec (2007c) Symantec Spam Report December 2007. www.symantec.com. Laatst geraadpleegd op 14 april 2008. Syntens (2008) Eindrapportage nulmeting. NICC: www.samentegencybercrime.nl. Laatst geraadpleegd 16 juli 2008. Taylor, R.W., T.J. Caeti, D.K. Loper, E.J. Fritsch en J. Liederbach (2006) Digital crime and digital terrorism: The criminology of computer crime. New Jersey: Pearson Prentice Hall. Tienstra, J. (2008) Cybercrime Haatzaaien. Leeuwarden: NHL. TK (Tweede Kamer) (2006a) Brief van de staatssecretaris van economische zaken. Den Haag: Sdu Uitgevers (18 mei 2006, 26671/24). Toutenhoofd-Visser, M.H., S. Veenstra, M.M.L. Domenie, E.R. Leukfeldt en W.Ph. Stol (2009) Politie en Cybercrime. Intake en Eerste Opvolging. Een onderzoek naar de intake van het werkaanbod cybercrime door de politie. Leeuwarden: NHL. Townsend, M. (2005) The New Color of British Racism. The Observer, p.20. Turgeman-Goldschmidt, O. (2005) Hacker’s accounts: Hacking as a social entertainment Social Science Computer Review, 23 (1) 8-23. US Department of Treasury (2005). The use of technology to combat identity theft; report on the study conducted pursuant to section 157 of the fair and accurate credit transactions act of 2003. Washington D.C., 2005 Vries, U. R. M. Th. De, H. Tigchelaar, M. van der Linden. A.M. Hol (2007). Identiteitsfraude: en afbakening. Een internationale begripsvergelijking en analyse van nationale strafbepalingen. Universiteit Utrecht. Disciplinegroep Rechtstheorie. Departement Rechtsgeleerdhe id, Universiteit Utrecht. WODC, Ministerie van Justitie. Watson, D., T. Holz en S. Mueller (2005) Know your Enemy Phishing Behind the Scenes of Phishing Attacks. The Honeynet Project & Research Alliance. www.honeynet.org Laatst geraadpleegd op 20 mei 2008. Web Application Security Consortium (2005) Cross-Site Scripting. www.webappsec.org/projects/threat/classes/cross-site_scripting.shtml. Laatst geraadpleeg op 29 juli 2008
219
Websense (2007) Websense Predicts 2008’s Top Ten Security Threats: Olympics, Online Advertisements and Web 2.0 Threats Top Hacker’s To-Do Lists. www.websense.com, laatst bezocht op 21 april 2008. Werf, J. van der (2003) Cybercrime. Deel 2 Een verkennende analyse. Zoetermeer. Korps Landelijke Politiediensten. Wijk, A. Ph. van en B. Stelma (2007) Jeugdige Zedendelinquenten: achtergronden, kenme rken en de politiepraktijk. In: A. Ph. van Wijk en E.J.A. Bervoets (red.) Politie en jeugd. Inleiding voor de praktijk, Den Haag: Elsevier Overheid.Violino, B. (2005) After Phishing? Pharming! Security experts are concerned about pharming, a technically sophisticated DNS-based attack. www.csoonline.com 01 oktober 2005 Williams, P., T. Shimeall en C. Dunlevy (2002) Intelligence Analysis for Internet Security. In Contemporary Security Policy, 23 ( 2) 1-38. Wolak, J., D. Finkelhor, K.J. Mitchell en M.L. Ybarra (2008) Online “Predators” and Their Victims. Myths, Realities, and Implications for Prevention and Treatment. American Psycholist 63 (2) 111 – 128. Wolak, J., Finkelhor, D., & Mitchell, K. J. (2004). Internet- initiated sex crimes against minors: Implications for prevention based on findings from a national study. Journal of Adolescent Health, 35 (2004) 424.e11–424.e20. Yar, M. (2006) Cybercrime and Society. Gateshead: Athenaeum Press Zee, S. van der en C. Groeneveld (2007) Kinderpornografisch beeldmateriaal. In: A.Ph. van Wijk, R.A.R. Bullens en P. van den Eshof (red) Facetten van zedencriminaliteit. ’s Gravenhage: Reed Bussiness Information bv. Zoomer, O. en W.Ph. Stol (2008) Meten van criminaliteit. In W.Ph. Stol en A.Ph. van Wijk (red.) Inleiding criminaliteit en opsporing. Den haag, BJU.
220
Afkortingen APWG ARP BET1 BHO BJA BPolR CBA VCN2009 CBS CP CSS DDoS DNR DNS DOM DOS FBI GET1 HKS HTTP I.w.tr IC3 Iframe INK IPOL IRC ISP IT IW KLPD KvK MDI MKI MO MOB NDB NICC NTD NV NWC3 OG OM P2P PA PAC PC PT RvhC
Anti Phishing Working Group Address Resolution Protocol Betrokkene 1 Browser Helper Objects Bureau of Justice Assistance Besluit Politieregisters Criminaliteitsbeeldanalyse Verkenning Cybercrime in Nederland 2009 Centaal Bureau voor de Statistiek Cyberpunks Cross-site scripting Distributed Denial of Service Dienst Nationale Recherche Domain Name Server Document Object Model Denial of Service Federal Bureau of Investigation Getuige 1 Herkenningsdienst Systeem HyperText Transfer Protocol Inwerkingtreding Internet Crime Complaint Centre Inline- frame Internet Meldpunt Kinderporno Dienst Internationale Politie Informatie Internet Relay Chat Internet Service Provider Internal Information warrior Korps Landelijke Politiediensten Kamer van Koophandel Meldpunt Discriminatie Internet Meldpunt Kinderporno op Internet Modus Operandi Maatschappelijk Ove rleg Betalingsverkeer Nationaal Dreigingsbeeld Nationale Infrastructuur ter bestrijding van CyberCrime Notice and take down-procedure Novice National White Collar Crime Centre Old Guard Hacker Openbaar Ministerie Peer-to-peer Political activist Programma Aanpak Cybercrime Professional criminal Petty Thiefs Raad van Hoofdcommissarissen
221
Sr URL VE1 Vgl. Voip VW WPolR XSS
Wetboek van Strafrecht Uniform Resource Locator Verdachte 1 Volgens Voice over IP Virus writers Wet Politieregisters Cross-site scripting
222
Bijlage 1: Social engineering Inleiding Social engineering is een aanval op de zwakste schakel in een computersysteem: de mens (KLPD/DNR, 2007a: 101). Het is simpelweg het overtuigen van een gebruiker om iets te doen wat hij/zij normaal niet zou doen. Zoals het afgeven van een wachtwoord of andere persoonlijke informatie. Het overtuigen van een gebruiker om iets te doen wat hij/zij normaal niet zou doen. Strafbaarstelling Social engineering op zich is niet strafbaar. Dit is immers alleen het overtuigen van een persoon om iets te doen wat hij of zij eigenlijk niet van plan was om te doen. De gevolgen van social engineering kunnen echter wel strafbaar zijn. Indien er zonder toestemming in een geautomatiseerd werk wordt binnengedrongen dan is dit strafbaar volgens artikel 138a lid 1 Sr. Een ander gevolg kan zijn dat door het gebruik van social engineering de gebruiker op een phishing website terecht komt waar persoonlijke informatie gestolen wordt. Dit is strafbaar gesteld op grond van het aftappen en/of opnemen van gegevens, artikel 139c lid 1 en artikel 139d Sr. Voor een uitgebreidere beschrijving van artikel 138 en 139 verwijzen we naar hoofdstuk 2. Verschijningsvormen Social engineering kan op verschillende manieren gebruikt worden. Een cybercrimineel kan zich bijvoorbeeld voordoen als een medewerker van de helpdesk ICT en met een smoesje over het testen van een nieuw systeem een wachtwoord ontfutselen van een gebruiker. De computercrimineel heeft op dat moment toegang tot het netwerk. Ook kan door middel van social engineering geprobeerd worden te achterhalen welke hardware en software bij een bedrijf in gebruik zijn. De cybercrimineel kan hiervan later gebruik maken door bekende zwaktes in deze systemen uit te buiten. Social engineering wordt ook gebruikt in combinatie met andere criminele technieken. Cybercriminelen gebruiken deze criminele techniek dan in combinatie met of voor de uitvoering van andere criminele technieken zoals phishing (bijlage 9). Social engineering moet er dan bijvoorbeeld voor zorgen dat gebruikers malware op hun computer toestaan. Keuzes van een gebruiker om iets wel of niet te doen worden bepaald door wat hij op zijn beeldscherm ziet. Door het tonen van valse informatie (klik hier, dan…) kan een gebruiker worden bewogen om iets doen wat hij normaal niet zou doen; het toelaten van malware op zijn pc (Ianelli en Hackworth, 2005). Verbanden Social engineering kan in ieder geval gebruikt worden als hulpmiddel om achter gevoelige informatie te komen (bijvoorbeeld identiteitsgegevens) en vervolgens voor criminele doeleinden te gebruiken om in een computer in te breken om fraude te plegen. Social engineering kan respectievelijk in verband worden gebracht met identiteitsdiefstal, e-fraude en hacken. Er is ook een verband met een vierde vorm van cybercrime uit deze VCN2009, namelijk cyberafpersen. Een van de manieren om mensen af te persen is namelijk het gebruiken van gevoelige informatie (zie verder hoofdstuk 4). Het verkrijgen van deze informatie kan door middel van social engineering of social engineering is gebruikt om in een systeem in te breken met de bedoeling gevoelige informatie te stelen. Trends
223
De komende jaren zal er volgens experts bij social engineering steeds meer ingespeeld wo rden op sociale evenementen (bijvoorbeeld een WK Voetbal), grote (natuur)rampen en op persoonlijke interesses (Websense, 2007, KLPD/DNR, 2007a). Phishing-pogingen (zie ook bijlage 9) zullen de komende jaren middels social engineering beter gericht worden op bepaalde gebruikersgroepen, specifiek geschreven in hun eigen taal, zogenaamd verstuurd vanuit het interne netwerk of gericht op leden van een bepaald sociaal netwerk met dezelfde interesses (Symantec, 2007c). Resumé Social engineering wordt gebruikt om informatie van gebruikers te verkrijgen. Het kan gaan om gebruikersnamen en wachtwoorden maar ook om informatie over systemen of software. Social engineering kan gebruikt worden voor het uitvoeren van andere criminele technieken, maar kan ook zonder deze criminele technieken worden uitgevoerd.
224
Bijlage 2: Spoofing Inleiding Spoofing is een situatie waarbij een persoon of een programma zich, door het vervalsen van data, voordoet als een ander. Spoofing is dus feitelijk identiteitsvervalsing. ‘Spoofing kan vele vormen aannemen. Elke techniek waarbij de bron of afzender niet op een betrouwbare manier geverifieerd wordt, is kwetsbaar voor spoofing’ (Van Geest, 2006: 49). ‘Spoofing is identiteitsvervalsing: je voordoen als iets of iemand anders’ (Van Geest, 2006: 49). Vanaf oudsher proberen criminelen hun ware identiteit verborgen te houden. Ze doen dit om tijdens de daad niet te worden ontdekt door het slachtoffer, om niet te kunnen worden opgespoord door de politie en om na de daad weer een normaal leven te kunnen leiden met familie en vrienden. Een techniek die cybercriminelen hiervoor gebruiken is spoofing. Strafbaarstelling Spoofing heeft tot doel om zonder toestemming toegang te verkrijgen tot een geautomatiseerd werk. Dit is strafbaar gesteld in artikel 138a Sr. Vervolgens kan vertrouwelijke informatie worden gestolen of malware worden geïnstalleerd (artikel 139c en 139d Sr). Indien gegevens gewijzigd of vernietigd worden is dat strafbaar volgens artikel 350 Sr. Indien er stoornis in het geautomatiseerde werk optreedt dan is dat strafbaar middels artikel 161sexies en 161septies Sr. Voor een uitgebreide beschr ijving verwijzen we naar hoofdstuk twee. Verschijningsvormen Spoofing kan op een aantal verschillende manieren. Zo kan een IP-adres (IP staat voor Internet Protocol) worden gespoofd zodat de aanval van een cybercrimineel van een andere computer afkomstig lijkt te zijn. Maar er kan ook sprake zijn van URL spoofing waarbij het de bedoeling is om de gebruiker naar een phishing website te geleiden. De verschillende ve rschijningsvormen staan hierna beschreven (doordat technieken steeds veranderen is deze lijst niet uitputtend): -
-
IP-spoofing. Een IP-adres is een unieke code voor een machine die is aangesloten op internet. Zo heeft elke computer die gebruikt wordt om op internet te surfen een unieke code, maar ook de server waarop de website gehost wordt, heeft zo’n code. Op deze manier kunnen computers elkaar vinden en met elkaar communiceren. IP-spoofing ´wordt gebruikt voor het (niet geautoriseerd) toegang krijgen tot een computer’ (Van Geest, 2006: 49). Dit gebeurt door het nabootsen van de identiteit van een andere computer (KLPD – DNR, 2007a: 99). Doordat de twee computers elkaar vertrouwen is het mogelijk om bij gevoelige informatie te komen die normaal gesproken niet toegankelijk zou zijn geweest voor de verzender (Cross, 2000). DNS-spoofing. Zodra een internetter middels de webbrowser op zijn computer een domeinnaam aanvraagt, maakt de browser contact met de DNS-server van de Internet Service Provider (ISP). De DNS-server zoekt dan het IP-adres bij de opgegeven domeinnaam. Het IP-adres wordt teruggezonden aan de webbrowser en deze kan contact maken met het IP-adres op de webserver waarop de website gehost wordt. Bij DNS-spoofing wordt een DNS-server (Domain Name Server) gemanipuleerd. Een systeem van een hacker kan gespoofte informatie versturen naar een DNS-server waardoor de gebruikers van deze server denken dat de informatie afkomstig is van een vertrouwde host. Deze methode kan wo r-
225
-
-
-
den gebruikt om de database of de cache (het geheugen) van een DNS-server aan te passen (Van Geest, 2006: 50). E-mail-spoofing. Bij e-mail-spoofing wordt misbruik gemaakt van het feit dat de meeste gebruikers veronderstellen dat berichten die via de mail binnenkomen ook legitiem zijn. Vervalste e- mail wordt voornamelijk gebruikt om gebruikers ertoe te brengen zaken te onthullen of te doen die ze anders niet zouden (moeten) doen (Van Geest, 2006: 50). Een voorbeeld hiervan is te zien in figuur B8 (bijlage 9). URL-spoofing. Een URL (Uniform Resource Locator) is een verwijzing naar een specifiek bestand of gegeven op een machine. Bijvoorbeeld een webpagina, databasegegeven of emailadres. URL-spoofing is het nabootsen van een URL van bijvoorbeeld een bank, zodat de gebruiker denkt dat hij de echte site bezoekt (KLPD – DNR, 2007a: 102). Hierbij wordt ingespeeld op mogelijke typefouten in de adresbalk van de webbrowser. Cybercriminelen kopen domeinnamen die lijken op populaire websites. Doordat de gebruiker een typefout maakt komt deze niet op de bedoelde betrouwbare site maar op de website van de cybercrimineel (bijvoorbeeld een phishing-website). De nagebouwde phishing-site wordt met wisselend succes zoveel mogelijk gelijkend gemaakt aan de originele site. De domeinnaam kan bijvoorbeeld zo gekozen worden dat deze voor het menselijk oog nagenoeg identiek is aan de echte domeinnaam, zoals www.abnarnro.nl (waar de m vervangen is door een r en n). ARP-spoofing. ARP (Address Resolution Protocol) is een protocol dat computers in staat stelt verbinding te maken met andere computers die zijn aangesloten op hetzelfde netwerk, zonder hun unieke hardware-adres (MAC-adres) te kennen. Stel dat computer A verbinding wil maken met computer B, waarvan het IP-adres bekend is bij computer A. Comp uter A zendt daarvoor een ARP-bericht op het netwerk. Dit ARP-bericht wordt uitgestuurd als een broadcast; een broadcast houdt in dat een ontvangst-adres gebruikt wordt dat aangeeft dat het bericht feitelijk door iedere op dat netwerk aangesloten computer moet wo rden ontvangen. Het ARP-bericht bevat het IP-adres van computer B. Uitsluitend computer B zal zijn eigen IP-adres herkennen, en zal op grond daarvan het bericht beantwoorden, met daarin zijn hardware-adres (MAC-adres) 101 (www.wikipedia.nl). ‘ARP wordt gebruikt voor het omzetten van IP-adressen naar hardwareadressen. Deze manier van adresseren kan misbruikt worden door een host van valse ARP- verzoeken en antwoorden te voorzien’ (Van Geest, 2006: 50). Een voorbeeld van ARP-spoofing staat in figuur B1.
Figuur B2.1: ARP-spoofing (www.wikipedia.nl) Gegeven: je hebt twee hosts, en een gateway (weg naar het internet). De eerste host heeft IP-adres 1 en MAC-adres A De tweede host heeft IP-adres 2 en MAC-adres B De gateway heeft IP-adres 3 en MAC-adres C Stel nu: de eerste host wil al het internetverkeer van de tweede host verkrijgen. Hiervoor doet de eerste host het volgende: verstuurt een ARP-reply naar de gateway, met bron-IP-adres 2 en bron-MAC-adres A verstuurt een ARP-reply naar de tweede host, met bron-IP-adres 3 en bron-MAC-adres A Hierdoor denkt host2 dat host1 de gateway is, en denkt de gateway dat host1 host2 is. Nu wordt alle verkeer tussen de tweede host en het internet naar host 1 gestuurd. Vervolgens 101
Er is een vergelijking te trekken met: je moet contact leggen met een ene 'Hans' uit een groep onbekenden. Je zorgt dat je midden in de groep gaat staan en roept luid: ´Wie heet er Hans?´. De persoon die reageert met: 'Dat ben ik!', is je contactpersoon (www.wikipedia.nl).
226
stuurt host 1 alle traffic door naar de juiste host of gateway.
Omvang Onbekend is in welke mate spoofing wordt gebruikt bij het uitvoeren van criminele technieken en de verschillende cybercrimes. Verbanden met cybercrimes Spoofing heeft directe verbanden met de cybercrimes hacken, identiteitsdiefstal en e- fraude. Spoofing heeft tot doel om zonder toestemming toegang te verkrijgen tot een geautomatiseerd werk (hacken). Een doel van spoofing kan verder zijn om gevoelige informatie van een gebruiker te stelen (identiteitsdiefstal), om deze informatie vervolgens door te verkopen of om met de informatie fraude te plegen (e- fraude). Spoofing is een criminele techniek die gebruikt wordt in combinatie met andere criminele technieken. Spoofing wordt bijvoorbeeld gebruikt bij phishing. Het doel van een phisher is om slachtoffers te misleiden om persoonlijke gegevens op een nepwebsite in te voeren (zie bijlage 9). Van Geest (2006) beschrijft op welke manieren spoofing gebruikt kan worden bij een phishing-aanval: − Het afzendadres van de e- mail wordt gespoofd, om de e- mail legitiem te laten lijken. − In de e- mail zelf kan van verschillende technieken gebruik worden ge maakt om te verhullen dat hyperlinks niet verwijzen naar de website van de ‘echte’ organisatie, maar naar de nepwebsite van de phisher. − De hyperlinks die naar de nepwebsite verwijzen kunnen gebruikmaken van bepaalde technieken om in de browser van het slachtoffer te verhullen dat deze zich op de nepwebsite bevindt. − De nepwebsite is zo opgezet dat deze in alle opzichten legitiem lijkt. Zo kan er bijvoorbeeld gebruik worden gemaakt van een beveiligde verbinding of kan er gebruik worden gemaakt van links naar de ‘echte’ website als onderdeel van de nepwebsite. Trends Doordat spoofing gebruikt wordt als hulpmiddel voor andere criminele technieken zijn de trends en ontwikkelingen op het gebied van spoofing sterk afhankelijk van de trends en ontwikkelingen van de andere criminele technieken (zoals phishing en spam). Resumé ‘Spoofing is identiteitsvervalsing: Je voordoen als iets of iemand anders’ (Van Geest, 2006: 49). Spoofing heeft tot doel om zonder toestemming toegang te verkrijgen tot een geautomatiseerd werk. Dit is strafbaar gesteld in artikel 138a Sr. Vervolgens kan vertrouwelijke informatie worden gestolen of malware worden geïnstalleerd (artikel 139c en 139d Sr). Indien gegevens gewijzigd of vernietigd worden is dat strafbaar volgens artikel 350 Sr. Indien er stoornis in het geautomatiseerde werk optreedt dan is dat strafbaar middels artikel 161sexies en 161septies Sr. Er zijn een aantal verschillende verschijningsvormen van spoofing: IPspoofing, ARP-spoofing, DNS-spoofing, E- mail-spoofing en URL-spoofing. Spoofing heeft directe verbanden met de cybercrimes hacken, identiteitsdiefstal en e- fraude. Daarnaast heeft spoofing sterke verbanden met criminele technieken zoals phishing en het versturen van spam. Doordat spoofing gebruikt wordt als hulpmiddel voor andere criminele technieken zijn de trends en ontwikkelingen op het gebied van spoofing sterk afhankelijk van de trends en ontwikkelingen van de andere criminele technieken (zoals phishing en spam).
227
Bijlage 3: Botnet Inleiding Een botnet is een op afstand bestuurbaar netwerk van gecompromitteerde computers dat ingezet kan worden voor verscheidene criminele activiteiten (KLPD/DNR, 2007a). De computers in een botnet kunnen via verschillende technieken besmet zijn geraakt. Eenmaal geïnfecteerd, verandert de computer in een bot of zombie die van buitenaf opdrachten kan krijgen die het vervolgens zelfstandig uitvoert, meestal zonder dat de gebruiker van de PC daar iets van merkt. ‘Netwerk van computers die door de overtreder op afstand aangestuurd kan worden, waarna de computers autonoom taken uitvoeren zoals het verzenden van spam’ (KLPD/DNR, 2007a: 97) Door de enorme groei van het internet en het groeiende aantal transacties op het gebied van ecommerce is volgens McAfee de aandacht van hackers verschoven van nieuwsgierigheid, het ontdekken van nieuwe technologieën en het delen van informatie naar het behalen van financieel gewin, met name door e- fraude en cyberafpersing (McAfee, 2007). Botnets hebben een direct verband met deze vormen van cybercrime (McAfee, 2005, Federale Politie, 2005). In de Volkskrant van 25 augustus 2006 lezen we een voorbeeld van het gebruik botnets voor het plegen van verschillende vormen van cybercrime. Het artikel beschrijft de rechtszaak van de 20-jarige hacker Sjoerd B. uit Loon op Zand. B. is hoofdverdachte in de zaak tegen een groep jonge Tilburgse hackers die volgens justitie anderhalf miljoen computers van particulieren en bedrijven hebben gekaapt (het botnet). De groep zou wachtwoorden en creditcards hebben gestolen, eigenaren van websites hebben afgeperst en via gekraakte PayPal-accounts dure spullen hebben besteld op internet. Het afpersen ging door het dreigen met of uitvoeren van een DDoS-aanval. Govcert stelt dat botnets centraal staan in de problematiek van cybercrime en malware. Botnets kunnen worden gekarakteriseerd als de backbone van de cybercrime infrastructuur (Govcert.nl, 2007). Strafbaarstelling Botnets bestaan uit een serie geïnfecteerde computers, daarvoor moet er, zonder toestemming, toegang worden verkregen tot die computers. Dat is strafbaar gesteld in artikel 138a Sr. Daarnaast kan er informatie van de gebruiker worden verkregen. In dat geval is sprake van een misdrijf op grond van artikel 138a lid 2 Sr. Indien opzettelijk dan wel door schuld een geautomatiseerd werk vernield wordt, zijn de artikelen 161sexies en 161septies Sr van toepassing. Indien er gegevens vernield worden, zijn de artikelen 350a en 350b Sr van toepassing (zie hoofdstuk 2). Verschijningsvormen Het maken van een botnet is relatief eenvoudig en vereist een minimale technische kennis (Ianelli en Hackworth, 2005). De ‘attacker community’ deelt graag informatie en kennis met diegene die het wil leren. Daarnaast is er veel informatie beschikbaar over hoe systemen kunnen worden overgenomen en wat eenvoudige commando’s zijn. IRC (Internet Relay Chat) kanalen bieden zelfs trainingssessies aan en bieden adviezen voor beginnelingen (Van der Hulst en Neve, 2008). Voor het creëren van een botnet moet gebruik gemaakt worden van de zwakheden in een netwerk. Gedetailleerde lijsten gaan op internet rond waarop bijvoorbeeld staat welke delen van het internet zwak beveiligd zijn, welke je links moet laten liggen, welke van de overheid of van scholen zijn, et cetera. Ianelli en Hackworth (2005) en Van Geest
228
(2006) beschrijven een aantal manieren waarop een computer geïnfecteerd kan worden en deel gaat uitmaken van een botnet: -
-
-
-
Uitbuiting van zwakke plekken in het systeem. Het gebruiken van een zwakke plek in software. Vaak zal een hacker gebruik maken van verschillende zwaktes, omdat bij gebruik van slechts één zwakte het benodigde ‘level’ (van administrator)102 niet gehaald wordt (Ianelli en Hackworth, 2005). Nadat de hacker op een systeem is binnengedrongen wordt de computer(s) geïnfecteerd (Van Geest, 2006). Virussen en wormen. Een computer kan ook geïnfecteerd worden doordat er een trojan als component bij een virus of worm zit. Dit kan gebeuren vanaf een kwaadaardige webpagina waarop mensen per ongeluk terechtkomen (Van Geest, 2006). Software-updates. Soms is een software- update dusdanig door een kwaadwillende gemanipuleerd dat deze een Trojaans paard bevat (Van Geest, 2006). E-mail. Soms wordt op zeer grote schaal een e- mail verspreid met als bijlage een Trojaans paard. Door de ontvanger over te halen de bijlage te installeren (middels social engineering) kan op grote schaal een Trojaans paard verspreid worden (Van Geest, 2006). Social engineering. Het overtuigen van een gebruiker om iets te doen wat hij/zij no rmaal niet zou doen. De mens is een zwakke schakel in de beveiliging, zie ook bijlage 1 (Ianelli en Hackworth, 2005).
Nadat er een basis is gelegd voor het botnet kan begonnen worden met het vergroten van het botnet. De uitbreiding van een botnet is ook weer relatief gemakkelijker doordat steeds meer eindgebruikers snelle, ‘always-on’ breedband verbindingen gebruiker (Symantec, 2007). Internationaal gezien blijkt dat de .edu (educational) gedeelten van internet populair zijn. Deze omgevingen zijn vaak slecht beveiligd. Andere populaire doelen zijn de .mil en .gov dome inen. De reden dat deze domeinen doelwit zijn is niet de slechte beveiliging maar gaat het meer om de eer en het kunnen opscheppen tegen andere mensen in de scene (Ianelli en Hackworth, 2005). Geïnfecteerde computers in het botnetwerk worden aangestuurd vanuit een command and control center, dat beheerd wordt door de botbeheerder. Tot voor kort was het gebruikelijk om de commando’s in een botnetwerk door te geven via IRC kanalen. De laatste tijd wordt meer gebruik gemaakt van peer-to-peer netwerken en eigen protocollen. Het ontbreken van een centrale plek in de commandostructuur en de onbekendheid met de methode van overdracht bemoeilijkt het opsporen en uitschakelen (KLPD/DNRI, 2007a, Govcert, 2008: 8). Ook fast flux, een techniek waarbij kwaadaardige servers zich achter snel wisselende netwerkadressen verschuilen, is een innovatie waarmee het oprollen van botnets wordt bemoeilijkt. Het doel van de criminelen is de gebruiksduur van de botnets te verlengen en daar slagen ze redelijk goed in (Govcert, 2008: 8). Zodra een botnet gecreëerd is hebben de cybercriminelen een machtig wapen in handen. Botnets kunnen worden verhuurd aan andere cybercriminelen. Bedragen die beginnen bij $200 tot $300 doller per uur worden genoemd (McAfee, 2007). Verschijningsvormen Zoals het in de inleiding van deze paragraaf aangehaalde krantenbericht (Volkskrant, 25 augustus 2006) al laat zien, kan een botnet voor de uitvoering van tal van verschillende (sub)vormen van cybercrime worden gebruikt. Ianelli en Hackworth (2005) beschrijven de volgende mogelijkheden: 102
Gebruikers van een netwerk hebben verschillende rechten. De hoogste rechten behoren toe aan de administrator. De administrator kan overal komen en heeft de mogelijkheid om aanpassingen binnen een systeem te doen.
229
-
-
-
-
-
-
-
DDoS-aanvallen. Een DDoS-aanval (Distributed Denial of Service aanval, zie bijlage 4) wordt veelal uitgevoerd uit wraak of voor financieel gewin. De bedoeling is om een bepaalde online service (bijvoorbeeld een webwinkel) te vertragen of lam te leggen. Poortscanners. Bots herbergen vaak poortscanners. Deze scanners zoeken contant naar openstaande poorten in een systeem om deze uit te buiten. Ook bekende zwaktes in systemen worden door malware bekeken. Download en installatiefunctie. Deze functie wordt gebruikt voor het updaten van de malware. Verder kan deze functie gebruikt worden voor het downloaden van de bestanden die voor de hacker van belang zijn. Klikfraude. Websites verdienen geld door banners met reclame te verhuren. De websitebeheerder verdient per klik op de banner een bepaald bedrag. De geïnfecteerde computers uit het botnet worden ingezet om constant op de banners te klikken. Dit genereert een enorme hoeveelheid hits. Omdat de computers die in een botnet zitten vaak geografisch erg verspreid zitten is het lastig om deze fraude te ontdekken. Server-class services. Botnets kunnen ingezet worden om HTTP 103 en FTP 104 verkeer te hosten. Dit geeft de volgende mogelijkheden: - HTTP wordt gebruikt voor het hosten van bijvoorbeeld phishing websites of websites met andere malware. - FTP kan gebruikt worden voor de distributie van illegale software. - De command en control functie van het botnet wordt gehost. - Het verspreiden van e- mails. Specifiek voor de verspreiding va n spam. Manieren om spam te onderscheppen kunnen door het botnet worden omzeild. Dataverkeer wordt bijvoorbeeld gemonitord, indien er veel data van een bepaald IP-adres verstuurd wordt dan wordt het geblokkeerd. Door het gebruik van een aantal kleine botnets en het instellen van een maximum aantal berichten dat verstuurd wordt, kan de spam ongestoord verspreid worden. Indien 10.000 bots elk 100 berichten over een periode van een paar uur verspreiden zijn er immers nog steeds een miljoen e-mails verstuurd. Gateway en proxy functies. Het gebruik van proxy verbergt de identiteit van een computercrimineel. Door het gebruik van een gateway of proxy (proxy betekent letterlijk een tussenpersoon, een machine die tussen twee computers instaat) kan de computercrimineel anoniem blijven op het internet. Spyware. De geïnfecteerde computers worden gebruikt voor het verkrijgen van persoonlijke informatie. Deze criminele techniek is verder uitgewerkt in bijlage 8.
Omvang Symantec definieert een geïnfecteerde computer als een computer die minstens één keer per dag een aanval uitvoert. Tussen 1 januari 2007 en 30 juni 2007 registreerde Symantec 52.771 actieve computers die tot een botnet behoorden, zie figuur 3.1. Dit is een vermindering van 17 procent ten opzichte van de vorige periode die liep van juli 2006 tot december 2006 (Symantec, 2007). Geïnfecteerde computers die minstens één keer actief waren tijdens de periode van de meting worden door Symantec ‘distinct bot-infected computer’ genoemd. In de meetperiode tussen 1 januari 2007 en 30 juni 2007 waren er 5.029.309 van dergelijke computers. Ook dit is een vermindering van 17 procent met de voorgaande meetperiode (Symantec, 2007). Uit onderzoek van het Computer Security Institute (2007) blijkt dat 21 procent van de bevraagde organisaties geïnfecteerde computers in hun netwerk hadden die behoorden tot een botnet. Uit 103
HTTP (HyperText Transfer Protocol) is het protocol voor de communicatie tussen een webclient (meestal een webbrowser) en een webserver (http://nl.wikipedia.org/wiki/Http). 104 File Transfer Protocol (FTP) is een protocol dat uitwisseling van bestanden tussen computers vergemakkelijkt. (http://nl.wikipedia.org/wiki/Ftp).
230
ander onderzoek blijkt dat 30 procent van de bedrijven geïnfecteerde computers in hun ne twerk heeft (CSO magazine 2006). De verklaring die Symantec geeft voor de afname van het aantal actieve computers in een botnet is dat cybercriminelen hun aanvalsstrategieën veranderen (Symantec, 2007, 2006a, 2006b). Er vindt een verschuiving plaats van het zoeken naar zwaktes in netwerken om botnets groter te maken naar andere methoden zoals het versturen van enorme hoeveelheden mail. Daarnaast is het voor de cybercriminelen steeds moeilijker om nieuwe computers de infecteren. Dit komt door een betere beveiliging in populaire besturingssystemen zoals Windows XP (standaard firewall) en de steeds grotere bewustwording van de gevaren van internet door bedrijven en het publiek. Verder concludeert Symantec (2007a) dat de verspreiding van ‘malicious activity’ stabiel blijft. Dit impliceert dat zodra er een aanvalsinfrastructuur is opgezet (mede in de vorm van een botnet) deze moeilijk te verwijderen is. Het is dus niet zo dat cybercriminelen constant nieuwe botnets aan moeten maken om hun illegale activiteiten uit te kunnen blijven voeren, zodra er iets is opgebouwd kunnen cybercriminelen deze infrastructuren blijkbaar vrijelijk blijven gebruiken. Verbanden met cybercrimes Botnets worden gebruik t voor het uitvoeren van andere criminele technieken. Deze criminele technieken staan ieder weer in verband met verschillende vormen van cybercrime. Het ve rband tussen botnets en identiteitsdiefstal en e- fraude is het duidelijkst aanwezig. Botnets wo rden gebruikt voor de verspreiding van malware zoals spyware (bijlage 8) en het hosten van phishing websites (bijlage 9). Verder bestaat er een duidelijk verband met hacken. Botnets scannen constant de mogelijkheid om nieuwe computers te infecteren. Ook worden botnets gebruikt voor het uitvoeren Distributed Denial of Service (DDoS) aanvallen (zie bijlage 4) die weer dienen als instrument voor cyberafpersen. Tenslotte zijn er verbanden te vinden met kinderporno en haatzaaien. Botnets worden gebruikt voor het hosten van websites met illegale content. Trends Tegenwoordig worden virussen en Trojaanse paarden door computercriminelen tegen forse betaling op maat gemaakt, met als specifiek doel het aanleggen van botnets die vervolgens te huur zijn voor spammers of criminele organisaties (MessageLabs, 2005). Er is een afname te zien in het aantal actieve computers in een botnet. Dit komt doordat cybercriminelen hun aanvalsstrategieën veranderen (Symantec 2007, 2006a, 2006b). Er vindt een verschuiving plaats van het zoeken naar zwaktes in netwerken om botnets groter te maken naar methoden zoals het versturen van enorme hoeveelheden mail. Daarnaast is het voor de cybercriminelen steeds moeilijker om nieuwe computers te infecteren. Dit komt door een betere beveiliging in populaire besturingssystemen zoals Windows XP (standaard firewall) en de steeds grotere bewustwording van de gevaren van internet door bedrijven en het publiek. Een trend die gesignaleerd wordt door beveiligingsbedrijf F-Secure is dat botnets steeds kleiner worden (Simpson, 2008). Grote botnets worden afgebroken en opgedeeld in kleinere. Er bestaan nog steeds grote botnetwerken maar nieuwe botnets worden niet meer zo groot mogelijk gemaakt. Een aantal kleine netwerken hoeft namelijk niet minder geld genereren dan één grote. Een recent voorbeeld van dergelijke opsplitsing is te zien in het Russian Bussiness Network. Dit netwerk, dat gebruikt wordt door cybercriminelen heeft zijn botnets opgesplitst en verplaatst van Rusland naar meerdere locaties wereldwijd (Keizer, 2008b). Eenzelfde verschuiving is te zien bij Storm Worm. De omvang van Storm Worm is aanzienlijk afgenomen sinds zijn ontstaan in 2007. Hoewel Microsoft claimt dat het verantwoordelijk is voor de ontmanteling van Storm Worm (Keizer, 2008a), beweren andere bronnen dat de afname van Storm Worm met
231
name komt doordat computercriminelen ervoor gekozen hebben om dit botnet op te delen in kleinere botnets (Keizer, 2008b). Resumé Botnets kunnen worden ingezet voor het uitvoeren van tal van criminele technieken en zijn verweven met alle vormen van cybercrime die in deze VCN2009 worden behandeld. Botnets zijn relatief eenvoudig te maken; het vereist een minimale technische kennis. Bovendien wordt kennis die nodig is voor het opzetten van een botnet gedeeld. Door de groei in het gebruik van ‘always-on’ breedband verbindingen is de kans op infectie van computers groot. Gebruikers hebben vaak helemaal niet door dat hun computer geïnfecteerd is. Daar staat tegenover dat betere beveiligingen op besturingsprogramma’s en bewustwording van de gevaren van internet door gebruikers en bedrijven ervoor zorgt dat het voor cybercriminelen steeds moeilijker wordt om nieuwe computers te infecteren. Een trend is dat de botnets kleiner wo rden gemaakt, waardoor ze minder makkelijk te traceren zijn.
232
Bijlage 4: Distributed Denial of Service attacks Inleiding Denial of Service-aanvallen zijn aanvallen op een systeem of service met als doel een systeem, service of netwerk zo te belasten dat deze uitgeschakeld wordt of niet meer beschikbaar is. Denial of Service kan worden geïnitieerd vanaf een enkel systeem, maar ook vanaf meerdere systemen tegelijkertijd. Denial of Service vanaf meerdere systemen wordt een distributed Denial of Service genoemd (Van Geest 2006). De bronnen zijn hierbij meestal geïnfecteerde PC’s die onderdeel zijn van een botnetwerk (KLPD DNRI, 2007a). ‘Aanval op een server waarbij verschillende computers tegelijkertijd grote hoeveelheden data verzenden of opvragen om de server te overbelasten of zijn dataverkeer te blokkeren’ (KLPD/DNRI 2007a: 98) Het verstoren van diensten en systemen die in contact staan met het Internet is een bijna dagelijkse gebeurtenis. Een van de meest bekendste manieren om diensten en systemen te verstoren, is de zogenaamde Distributed Denial-of-Service (DDoS) aanval (Govcert, 2005). In deze paragraaf gaan we dieper in op dergelijke aanvallen. Een voorbeeld illustreert de ernst van DDoS-aanvallen. In het NRC-Handelsblad van 22 mei 2007 en Trouw van 12 mei 2007 staan berichten over de aanvallen van Russische hackers die websites uit Estland aanvallen (naar aanleiding van het weghalen van een oorlogsmonument). Volgens Estland valt de Russische overheid websites van Estse overheidsinstellingen en banken aan. Ook de netwerken voor mobiele telefonie en de reddingsdiensten liggen onder vuur, zei de Estse minister van Buitenlandse Zaken Urmas Paet tegen persbureau UPI. De IP-adressen van de aanvallende computers zijn van de Russische overheid. Alhoewel Nederland nog niet het slachtoffer is geworden van een dergelijke grote aanval, illustreert de aanval op Estland wel de kwetsbaarheid van de virtuele wereld en de macht van de DDoS-aanval. Andere artikelen gaan over de rechtszaak en veroordeling van drie tieners uit Breda in een landelijk geruchtmakende computerhackerszaak (Het Parool 11/02/2006, NRC Handelsblad 10/02/2006, Reformatorisch Dagblad 10/02/2006). De jongeren legden in oktober 2004 met DDoS-aanvallen enkele dagen een aantal websites plat (overheid.nl, regering.nl, telegraaf.nl en geenstijl.nl). De aangevallen sites waren vier dagen lang niet bereikbaar. Zeker 50.000 andere internetpagina’s werden indirect getroffen en werden traag. Ee n laatste voorbeeld is de DDoS-aanval op een aantal anti-spam organisaties in december 2006 en januari 2007. De aanstichter van de aanval was een trojan die (met vele andere trojans) verspreid is door het virus dat later bekend werd als ‘Storm Worm’ 105 . DDoS-aanvallen zijn overigens niet nieuw, al sinds 1996 zijn er publicaties te vinden over DoS-aanvallen106 (Householder, 2001). Rogers (2004) legt de werking van een (D)DoSaanval uit aan de hand van de werking van een normale telefooncentrale, zie figuur B2.
Figuur B4.1: De werking van een DDoS-aanval De telefoonaanbieders hebben hun systeem zo ingericht dat het een maximaal aantal telefoontjes tegelijkertijd aankan. Dit is puur een kosten-baten overweging. Het gaat uit van een gemiddeld aantal telefoontjes dat afgehandeld moet worden. Immers: hoe meer capaciteit hoe 105 106
Zie ook Stewart (2007) voor een uitgebreide en technische beschrijving van de werking van deze aanval. Te vinden via www.cert.org
233
meer kosten. Indien er altijd veel gebeld wordt zal het systeem daarop worden aangepast maar indien alleen tijdens de jaarwisseling een piek is dan houden de aanbieders daar geen rekening mee. Het enige wat ze zullen proberen is om mensen voor te lichten over de mogelijke piekbelasting of tijdelijke maatregelen nemen die ervoor zorgen dat de extra telefoontjes kunnen worden opgevangen. Indien je het telefoonnetwerk plat wilt leggen moet je er dus voor zorgen dat het systeem overbelast raakt: heel veel gaan bellen. Dit soort aanvallen heet: Denial of Service (DoS) aanval. De aanvaller probeert ervoor te zorgen dat de telefoonmaatschappij geen diensten kan leveren aan zijn klanten. Indien de aanval gebeurt vanuit verschillende telefoons tegelijk dan heet het een Distributed Denial of Service Attack (DDoS).
Computersystemen zijn ook gevoelig voor DoS-aanvallen. Een klassieke manier is het versturen van een enorme hoeveelheid e- mail. Indien een persoon veel mailtjes krijgt zal de limiet van zijn mailbox worden overschreden en kunnen er geen nieuwe e- mails meer bij. Ook het platleggen van diensten (services) door de netwerken waar ze op gehost worden plat te leggen zijn populair. Websites, file sharing diensten en de DNS-servers zijn doelwitten geworden. De eerste stap is om een netwerk van computers samen te stellen Dit kan door het gebruik van een botnet (zie bijlage 3) maar ook door een oproep aan een aantal vrienden of andere internetters die tezamen de benodigde capaciteit hebben om de dienst te overloaden. Zodra het netwerk is gemaakt en het slachtoffer is uitgekozen kan de aanval beginnen. Een botnet hoeft overigens niet meteen gebruikt te worden. Het is ook mogelijk om het netwerk een tijdlang in een slapende toestand te houden en het in werking te zetten wanneer de aanvaller dat wil. Om moeilijker traceerbaar te zijn worden de computers die de DDoS-aanval uitvoeren gehaald uit landen met verschillende tijdzondes, wetgevingen etc. Ook wordt er bijvoorbeeld gebruik gemaakt van IP-spoofing (zie bijlage 2). Strafbaarstelling Indien er bij een DDoS-aanval gebruikt wordt gemaakt van een Botnet dan is er in ieder geval sprake van dat er is binnengedrongen in een geautomatiseerd werk. Dit is strafbaar volgens artikel 138a Sr. Het doel van een DDoS-aanval kan zijn om een systeem lam te leggen. Dan wordt er dus geautomatiseerd werk vernield. Dit is strafbaar gesteld in de artikelen 161sexies en 161septies Sr. Het lamleggen van een systeem kan tot gevolg hebben dat gebruikers geen toegang meer hebben tot de in dat systeem opgeslagen gegevens. Het ontoegankelijk maken van gegevens maakt onderdeel uit van de strafbaarstelling die betrekking heeft op het onbruikbaar maken van computergegevens (Van Geest, 2006). Dit is strafbaar volgens artikel 350 Sr. Voor een uitgebreide uitleg zie hoofdstuk twee. Verschijningsvormen Bij de eerste DoS-aanvallen werden vrij simpele tools gebruikt die pakketjes vanuit een bron naar een doelwit verstuurden. Deze tools zijn doorontwikkeld tot single source attacks (een aanvaller) naar meerdere doelwitten, mutiple source attacks (meerdere aanvallers) naar he tzelfde doelwit, mutiple source attacks (meerdere aanvallers) naar verschillende doelwitten (Houle en Weaver, 2001). Daarnaast zijn verschillende varianten van DoS en DDoS aanvallen evenals verschillende motieven, maar de overeenkomst in al deze vormen is dat de doelserver zoveel informatie tegelijk op zich afkrijgt of terug moet geven dat deze zijn eigenlijke taak niet meer kan uitvoeren. Motieven voor DDoS aanvallen zijn (1) opscheppen, (2) wraak/haat/terrorisme, (3) cyberafpersen en (4) concurrentie. We werken de motieven hierna verder uit.
234
-
-
-
-
Opscheppen. Dit motief was met name van toepassing op de vroegere DDoSaanvallen. Momenteel is daarvan echter weinig sprake meer (KLPD DNRI 2007a). Door de enorme groei van het internet en het groeiende aantal transacties en ecommerce is de aandacht van hackers verschoven naar het behalen van financieel gewin, met name door fraude en afpersing (McAfee, 2007). Wraak/haat/politiek/terrorisme. In 2007 is een aantal DDoS-aanvallen uitgevoerd met dit motief. Een voorbeeld is een DDoS-aanval van Turkse hackers op Zweedse websites in verband met de publicatie van een Mohammed-cartoon, door Zweedse hackers beantwoord door aanvallen op Turkse sites (KLPD DNRI 2007a). Een ander voorbeeld zagen we in de inleiding van deze bijlage. Het betreft de aanval op Estland (NRC-Handelsblad 22 mei 2007 en Trouw 12 mei 2007). DDoS-aanvallen zijn daarom een probleem voor publiek toegankelijke websites van de overheid (McAfee, 2007). Cyberafpersen. De ouderwetse maffiaprotectie: betalen om niet ge-DDoSt te worden. Deze vorm is de afgelopen jaren toegenomen en zal naar verwachting nog verder groeien (KLPD/DNRI, 2007a). DDoS-aanvallen zijn een grote bedreiging voor bedrijven. Een succesvolle aanval kan ervoor zorgen dat de website of een netwerk van een bedrijf zowel voor klanten als personeel niet meer toegankelijk is. Dit kan leiden tot grote verliezen en reputatieverlies (Sophos, 2007). Volgens experts betalen veel bedrijven daarom het gevraagde losgeld (Pappalardo en Messmer, 2005). Dit lijkt een goedkope en snelle oplossing. Een mogelijk gevolg is echter dat de aanvallen dan terug blijven komen. De reden om geen aangifte te doen is met name het verlies van de goede naam van een bedrijf. Het gebeurt inmiddels zo vaak dat beveiligingsspecialisten er al niet meer van op kijken (Pappalardo en Messmer, 2005). Zie ook hoofdstuk 6. Concurrentie. Er wordt volgens het KLPD in beveiligingsland zowel concurrentie tussen bedrijven als tussen hackers onderling waargenomen. Aangezien botnets kunnen worden gehuurd en de aanval volledig anoniem plaatsvindt, is dit een krachtige aanvalstechniek van concurrerende bedrijven (KLPD DNRI, 2007a: 38).
Er zijn bij een aanval vaak meerdere groepen slachtoffers (Rogers, 2004). Indien bijvoorbeeld een webwinkel net voor een drukke periode, bijvoorbeeld kerst, wordt platgelegd zijn er meerdere slachtoffers. Ten eerste is de online winkel het slachtoffer. Er is immers minder winst behaald, er moeten extra kosten gemaakt worden om het netwerk opnieuw op te starten en er is publiciteitsschade. De tweede groep slachtoffers zijn de klanten, die kunnen hun spullen niet meer op tijd krijgen. Een derde groep slachtoffers zijn de eigenaren van de netwerken waarover een DDoS-aanval gepleegd wordt. Deze netwerken hebben een maximale capaciteit. Doordat de DDoS-aanval veel capaciteit opneemt heeft de rest van de gebruikers van het ne twerk daar last van in de vo rm van bijvoorbeeld tragere verbindingen. Omvang Er zijn verschillende cijfers bekend over DDoS-aanvallen. Uit een Nederlands onderzoek uit 2005 (Den Hartog en Kouwenhoven, 2005) blijkt dat 12,7 procent van de ondervraagde bedrijven in de afgelopen zes maanden slachtoffer is geweest van een DDoS-aanval. In de ECrime Watch Survey (CSO magazine, 2006, 2007) blijkt dat 36 procent van de bedrijven hiervan slachtoffer is geweest in 2006. In 2007 is dit aantal zelfs opgelopen tot 49 procent. In een grote Amerikaanse survey onder bedrijven (CSI Survey, 2007) geeft 25 procent van de respondenten aan het afgelopen jaar slachtoffer te zijn geweest van een dergelijke aanval. Dertien procent van de ondervraagde bedrijven in Australië heeft in 2006 financieel verlies geleden door een DDoS-aanval (Auscert, 2006). In 2005 was dit nog veertien procent en in 2004 twintig procent.
235
Verbanden met cybercrimes DDoS-aanvallen worden gebruikt voor de vorm cyberafpersen, zie hoofdstuk 6. Daarnaast kunnen dergelijke aanvallen uitgevoerd worden door hackers onderling, uit wraak, om op te scheppen of om simpelweg vernielingen te plegen. Trends Doordat er steeds meer mensen gebruik maken van internet wordt de impact van de aanvallen groter (Rogers, 2004). Het verbeteren van de beveiliging lijkt te werken. Zoals we gezien hebben bij botnes leidt de verhoging van beveiliging (bijvoorbeeld een goede firewall in nieuwe besturingssystemen) tot een moeilijker te besmetten computer (zie ook paragraaf 3.3). In het verleden werden DDoS-aanvallen als een vorm van vandalisme uitgevoerd. Terwijl dergelijke aanvallen tegenwoordig steeds meer worden uitgevoerd met als doel afpersing of protest tegen een organisatie of standpunt. Door deze omslag verwacht Govcert dat DDoSaanvallen in de toekomst toe gaan nemen (Govcert.nl, 2005: 1). Uit onderzoek van Stratix (2007) blijkt dat Nederlandse servers in de top 10 van doelwitten van DoS-aanvallen staan. In de meeste gevallen gaat een aanval gepaard met een poging tot afpersing. Hoewel het aantal DDoS-aanvallen wereldwijd flink is toegenomen en de mogelijkheden in de toekomst verder zullen toenemen (door de uitbreiding in het aantal breedbandverbindingen en dus potentiële doelwitten), verwacht het KLPD in Nederland geen concrete dreiging op dit vlak (Boerman en Mooij, 2006: 34). Als reden wordt aangevoerd dat het huidige aantal afpersingspogingen met behulp van DDoS-aanvallen in Nederland (ten opzichte van bijvoorbeeld de Verenigde Staten en het Verenigd Koninkrijk) erg gering is, en bovendien worden de technieken die tegen DDoS-aanvallen kunnen beschermen steeds geavanceerder 107 (Van der Hulst en Neve, 2008). Resumé Een Denial of Service-aanval is een ‘aanval op een server waarbij verschillende computers tegelijkertijd grote hoeveelheden data verzenden of opvragen om de server te overbelasten of zijn dataverkeer te blokkeren’ (KLPD/DNRI 2007a: 98). Computersystemen zijn gevoelig voor DoS-aanvallen, dergelijke aanvallen zijn niet nieuw, al sinds 1996 zijn er publicaties te vinden over DoS-aanvallen. Doordat er steeds meer mensen gebruik maken van internet en de e-commerce handel stijgt wordt de impact van de aanvallen groter (CBS, 2008; Rogers, 2004). Er zijn verschillende verschijningsvormen; van één aanvaller met één doel tot meerdere aanvallers met meerdere doelen (Houle en Weaver 2001). Daarnaast zijn er vaak verschillende groepen slachtoffers van een DDoS-aanval, niet alleen de dienstverlener die aangeva llen wordt, maar ook de klanten die de dienst af willen nemen, andere gebruikers van het ne twerk waar de aanval over wordt uitgevoerd en de eigenaar van het netwerk zijn slachtoffer (Rogers, 2004). Verder kunnen meerdere motieven ten grondslag liggen aan DDoS-aanvallen. Motieven voor een DDoS-aanval kunnen zijn: opscheppen, wraak/haat/terrorisme, cyberafpersen of concurrentie (KLPD/DNRI, 2007a, Sophos, 2007, Pappalardo en Messmer, 2005). Er zijn wel cijfers over de het aantal bedrijven dat slachtoffer is geweest van een DDoSaanval, maar er zitten grote verschillen tussen de cijfers uit verschillende bronnen (tussen de 12,7 en 49 procent) (Den Hartog en Kouwenhoven, 2005, Auscert, 2006, Computer Security Institute, 2007). Doordat DDoS-aanvallen steeds vaker worden uitgevoerd met als doel het afpersen van een organisatie of als protestactie tegen bepaalde standpunten zullen dergelijke aanvallen in de toekomst vaker voorkomen (Govcert.nl, 2005: 1). Hoewel het aantal DDoS107
Er worden bijvoorbeeld anti-DDoS pakketten aangeboden die het netwerkverkeer filteren en claimen dat 99 procent van de aanvallen kan worden onderschept, zie ook Pappalardo en Messmer (2005).
236
aanvallen wereldwijd flink is toegenomen en de mogelijkheden in de toekomst verder zullen toenemen, verwacht het KLPD in Nederland geen concrete dreiging op dit vlak (Boerman en Mooij, 2006: 34). Als reden wordt aangevoerd dat het huidige aantal afpersingspogingen met behulp van DDoS-aanvallen in Nederland erg gering is en de technieken die bescherming bieden tegen DDoS-aanvallen steeds geavanceerder (Van der Hulst en Neve, 2008).
237
Bijlage 5: Defacing Inleiding Defacing is volgens het KLPD elektronische graffiti, oftewel het bekladden van de startpagina van een site door hackers (KLPD/DNR, 2007a: 98). Van Geest (2006) hanteert een andere definitie die wij in dit onderzoek overnemen: Het zonder toestemming veranderen, vervangen of vernielen van een website (…) (Van Geest, 2006: 35) Defacing is het veranderen van een website zonder toestemming van de eigenaar. Defacing is een terugkerend fenomeen waarvan de groei gelijk opgaat met de groei van het gebruik van internet in het geheel(KLPD/DNR, 2007a). Defacements van websites komen regelmatig voor en geven altijd imagoschade. Databases die dit bijhouden puilen uit van de voorbeelden (Govcert.nl, 2008). Over de jaren 2006 en 2007 lezen we in de Nederlandse landelijke dagbladen slechts een paar berichten die betrekking hebben op deze criminele techniek. Over defacing in Nederland lezen we slecht één bericht. Het gaat in dit geval om de defacing van de website van de gemeente Boxmeer (Volkskrant, 22/08/2007). In plaats van de gemeentelijke informatie verscheen op www.boxmeer.nl een Arabische tekst met daaronder twee gekruiste zwaarden. In een ander artikel, dat verscheen in zowel de NRC-NEXT als het NRC Handelsblad van 22 augustus 2006 lezen we echter dat er wereldwijd dagelijks zo’n 7500 duizend websites worden aangevallen met als doel de defacing ervan. Veelal hebben deze aanvallen een politiek motief. Pogingen tot defacing zijn er dus wel maar krijgen relatief weinig aandacht in de pers. Strafbaarstelling Om een website zonder toestemming te wijzigen moet er eerst worden binnengedrongen in een geautomatiseerd werk. Dit is strafbaar gesteld in artikel 138a Sr. Het vernielen of veranderen van een website is strafbaar volgens artikel 350 Sr. De gegevens van de website zijn opgeslagen op een server. Een server is een geautomatiseerd werk omdat het bedoeld is om gegevens op te slaan en te verwerken en over te dragen (Van Geest, 2006). Indien er sprake is van vernieling van een geautomatiseerd werk dan is dat strafbaar volgens de artikelen 161sexies en 161septies Sr. Zie ook hoofdstuk 2. Verschijningsvormen Defacing is het zonder toestemming wijzigen van een website. In de literatuur wordt als tweede verschijningsvorm ook wel het doorsturen van verkeer naar andere websites genoemd (bijvoorbeeld Van der Hulst en Neve, 2008, Van Geest, 2006). Dit valt in onze indeling onder pharming, die criminele techniek bespreken we in bijlage 9. Defacing zien wij alleen als het veranderen van een website. Dit kan op twee manieren: mass-defacing, een aanval waarbij geautomatiseerd een grote hoeveelheid websites wordt aangevallen en gewoon defacing, waarbij de cybercrimineel zich richt op één website. Het doel kan zijn om te zorge n voor imagoschade bij het bedrijf van de website of om malware te installeren op de website waardoor de website gebruikers op een verkeerd (betalings)spoor zet, of een distributiepunt van malware of illegale bestanden wordt (Govcert.nl, 2008). Omvang Hoewel defacing en mass defacing nog steeds voorkomen is de schade die ze aanrichten relatief klein, en belangrijker, de opbrengst voor de hackers nihil. Er is geen sprake van een echte groeimarkt (KLPD/DNR, 2007a). In Nederland lezen we in de jaren 2006 en 2007 slechts
238
eenmaal over defacing in Nederland. In artikelen die over het buitenland gaan (NRC-NEXT, 22 augustus 2006 en NRC Handelsblad, 22 augustus 2006), lezen we echter dat er dagelijks zo’n 7500 duizend websites worden aangevallen met als doel de defacing ervan. In het artikel staat vermeld dat de Italiaanse cybercrimespeurder Roberto Preatoni constateert dat nog nooit zoveel websites 'ge-defaced' zijn als sinds de recente oorlog tussen Israël en Hezbollah. Werden voorheen dagelijks zo'n twee- tot drieduizend websites wereldwijd aangevallen, tijdens het conflict nam dat aantal toe met 150 procent. Op 20 procent van de sites staat na de kraak een politiek pamflet. Het defacen heeft in veel gevallen dus blijkbaar een politiek motief. Preatoni noemt defacen zelfs de meest effectieve vorm van hedendaags politiek activisme; "ind ividuen kunnen nu miljoenen mensen bereiken" (ibidem). Volgens het KLPD was de trend van de afgelopen jaren juist dat websites met rust worden gelaten en er geprobeerd wordt om door te dringen tot de informatie achter de website of de website als springplank te gebruiken om bezoekers te besmetten (deze techniek, IFrame injectie, wordt beschreven in paragraaf 3.5 aanpassen) (KLPD/DNR, 2007a). In het meest recente onderzoek naar cyberafpersing van bedrijven tot 10.000 medewerkers (Bednarski, 2004) blijkt dat van de bedrijven die slachtoffer geweest zijn van cyberafpersing (17 procent van de respondenten) er in 19 procent van de gevallen gedreigd werd met defacing. Vergelijkbare cijfers zien we in slachtofferenquêtes die onder bedrijven zijn gehouden in Australië en Amerika. Uit de cijfers uit Australië (Auscert, 2006) blijkt dat zeven procent van de respondenten te maken heeft gehad met defacing van de website van de organisatie. Cijfers uit Amerika geven eenzelfde beeld. Uit de CSI Survey 2007 (Computer Security Institute, 2007) blijkt dat tien procent van de respondenten te maken heeft gehad met defacing en uit de E-Crime Watch Survey (CSO magazine 2006) blijkt dat 24 procent van de respondenten te maken heeft gehad met (een poging tot) defacing. Verbanden Defacing is een criminele techniek die gebruikt wordt door hackers. Zoals in hoofdstuk drie te lezen is zijn er verschillende subgroepen van hackers met elk hun eigen beweegredenen. De motieven die behoren bij de defacing passen bij een aantal van deze subgroeperingen. Het motief wraak past bijvoorbeeld de subgroep novice, cyberpunks en petty thiefs (zie paragraaf 3.4), de politieke motieven passen bij de political activists en, in mindere mate, de information warriors. Een tweede vorm van cybercrime die een duidelijk verband heeft met defacing is cyberafpersen. Doormiddel van het (dreigen met) het veranderen van een website kan een bedrijf worden afgeperst. Het is dan ook nog maar de vraag in hoeverre defacing, zoals het KLPD oppert, niet kan worden gelinkt aan georganiseerde misdaad. Het afpersen van bedrijven is immers een lucratieve business en daarom aantrekkelijk voor georganiseerde groepen (zie ook hoofdstuk 4). Trends Defacing wordt, voor zover in de literatuur bekend, op dit moment met name gebruikt met politieke motieven en voor het uitvoeren van cyberafpersingen. Er is een verschuiving van defacing naar IFrame injecties te zien, omdat deze techniek beter gebruikt kan worden om een groot aantal websites in een keer aan te vallen (KLPD/DNR, 2007a). Er kan echter niet voorbij worden gegaan aan het feit dat defacing ook gebruikt wordt voor het afpersen van bedrijven en dat dit probleem zich ook in de toekomst zal blijven voordoen. In de dossierstudie zien we dat persoonlijke pagina’s op sociale netwerksites worden gedefaced. Resumé Defacing is een fenomeen waarvan de groei gelijk opgaat met de groei van het gebruik van internet. Er is volgens het KLPD echter niet sprake van een echt e groeimarkt (KLPD/DNR,
239
2007a). Er zijn verschillende motieven voor defacing, te weten: opscheppen, wraak, politiek activisme en afpersen. In Nederland lezen we in de jaren 2006 en 2007 slechts eenmaal over defacing in Nederland. Uit nieuwsberichten die over het buitenland gaan blijkt echter dat defacing, zij het meestal met een politiek motief, wel degelijk veelvuldig voorkomt. Uit onderzoek van Bednarski (2004) naar cyberafpersingen in bedrijven tot 10.000 medewerkers blijkt dat van de bedrijven die slachtoffer geweest zijn van cyberafpersing in 19 procent van de gevallen gedreigd werd met defacing.
240
Bijlage 6: IFrame injectie Inleiding Een IFrame- injectie (een inline- frame) is een onzichtbare toevoeging aan een webpagina die er zorg voor draagt dat met het laden van de pagina ook een stukje code van elders wordt meegeladen. De IFrame maakt het mogelijk om een HTML-document in een ander HTMLdocument te laden. De IFrame wordt op dezelfde manier geladen als een afbeelding. Op deze manier is het mogelijk om content van een andere webpagina (bijvoorbeeld een advertentie) op een website te implementeren. In figuur B3 staat een voorbeeld van een IFrame.
Figuur B6.1: Een IFrame (http://en.wikipedia.org/wiki/Iframe) The material below comes from the website http://example.com <iframe src="http://example.com" height="200"> Alternative text for browsers that do not understand IFrames.
In figuur B3 is te zien dat op de betreffende website een IFrame moet worden geladen van de website ´example.com´. Cybercriminelen kunnen IFrames echter ook misbruiken. Een IFrame-injectie is een code die gebruikmakend van zwakheden in de browser de computer van de gebruiker (diegene die de website opvraagt) probeert te besmetten (KLPD/DNRI 2007a). ‘Malafide en onzichtbare toevoeging aan een gehackte site waardoor bezoekers van deze site blootstaan aan een poging tot infectie’ (KLPD/DNRI 2007a: 98) De IFrame-injectie is een opvolger van het klassieke defacing (bijlage 5). Het belangrijkste verschil tussen defacing en IFrame- injecties zijn, behalve de techniek, de potentiële opbrengsten. De opbrengsten bij defacing zijn voor computercriminelen volgens het KLPD bijna nihil (KLPD, 2007a). IFrames kunnen in grotere getallen worden geïnjecteerd en zijn dus lucratiever voor cybercriminelen. Strafbaarstelling IFrame- injecties kunnen vooraf worden gegaan door hacken. Dit is strafbaar gesteld in artikel 138a Sr. Het doorgeleiden van internetverkeer valt onder het vernielen van gegevens zoals strafbaar gesteld in de artikel 350 Sr. Er zullen immers gegevens moeten worden veranderd om iets door te geleiden. Indien er schade ontstaat in het computersysteem of aan de gegevens die daarin zijn opgeslagen dat is dit strafbaar volgens artikel 161 sexies en/of 350a lid 1 Sr. Zie voor een uitgebreidere beschrijving van deze artikelen hoofdstuk 2. Verschijningsvormen IFrame- injecties kunnen op verschillende manieren worden toegepast. Hackers kunnen besmette IFrames op een website aanbrengen door in te breken in een server of door besmette banners (reclame) op websites te plaatsen. In de eerste helft van 2008 hebben cybercriminelen
241
gebruik gemaakt van besmette zoekresultaten (Schofield, 2008). Hackers hadden in dit geval IFrame codes geïnjecteerd in de ‘saved search results’ van een onbekend aantal websites (zie ook figuur B4). Bezoekers van deze sites die gebruik maken van de zoekfunctie werden door de IFrame code omgeleid naar andere websites waardoor malware op de computers van de gebruikers kon worden geïnstalleerd.
Figuur B6.2: What's an IFrame attack and why should I care? (Guardian, 3 april 2008) Big websites often cache (store) the results of search queries run on their sites - say, the links for a search for "malware IFrame" - and then forward these to search engines such as Google, which can generate search results directly. Malware authors exploit the system by putting in a search query like "malware IFrame" plus all the malicious IFrame's text. If the site doesn't check search terms adequately for obfuscated Javascript, the IFrame data is stored and passed on. When someone then searches for "malware IFrame" and clicks a result, the attack is initiated directly from the search result, because the browser can read the obfuscated Javascript even if you can't. Malware distributors like this because they don't need to hack the server, and can use popular searches to benefit from the site's SEO (search engine optimisation) practices and get a high ranking at Google. The attack usually includes half a dozen "drive-by" exploits, and also uses "social engineering" to get users to install something else, such as a video codec that is actually a Trojan.
Omvang Het is op niet duidelijk in welke mate IFrame-injecties gebruikt worden als criminele techniek. Een voorbeeld van het massaal injecteren zien we echter in het begin van 2008. Verschillende bronnen108 constateren dat er aanvallen worden gepleegd op honderdduizenden websites. De aanvallen begonnen aan het begin van maart een tweede golf aanvallen, gericht op websites van grote (Amerikaanse) bedrijven, begon aan het einde van maart. Websites die werden aangevallen waren onder andere die van USA Today, ABC News en Wal-Mart. Verbanden met cybercrimes Het gebruik van IFrame- injecties is, net zoals defacing, een criminele techniek van hackers. Het motief voor het gebruik van IFrame- injecties ligt echter waarschijnlijk meer in de financ iele hoek, IFrame- injecties kunnen immers in grotere aantallen worden ingezet en daardoor is er meer geld mee te verdienen. Dit motief geldt voor de hackers subvormen: professional criminals, de virus writers of coders en de petty thiefs. Daarnaast worden IFrame- injecties gebruikt voor het stelen van persoonlijke gegevens (de cybercrime identiteitsdiefstal) en het plegen van e- fraude. Trends Het gebruik van IFrame- injecties is het afgelopen jaar sterk gestegen. Precieze cijfers zijn niet voorhanden, maar nieuwere malware als Storm Worm en MPack maken volop gebruik van deze technologie (KLPD/DNRI 2007a). Hamada, een onderzoeker van Symantec, zegt op het securityblog van Symantec (www.symantec.com) dat in het verleden met name de low-profile sites het doel waren van IFrame-aanvallen. Bij de laatste aanvallen waren echter ook veel po108
www.computerwold.com, ddanchev.blogspot.com en www.symantec.com/enterprise/security_response/weblog
242
pulaire websites van grote bedrijven het doelwit. Dit is verontrustend omdat grote bedrijven meestal veel aandacht besteden aan de beveiliging en het blijkbaar dus toch lukt om de IFrames te injecteren. Resumé Een IFrame-injectie is een onzichtbare toevoeging aan een webpagina die er zorg voor draagt dat met het laden van de pagina ook een stukje code van elders wordt meegeladen. Deze code probeert gebruikmakend van zwakheden in de browser de computer van de gebruiker te besmetten. IFrames kunnen in grotere getallen worden geïnjecteerd en zijn dus lucratiever voor cybercriminelen dan het klassieke defacing. Het is op dit moment echter nog niet duidelijk in welke mate IFrame-injecties gebruikt worden als criminele techniek. Wel is duidelijk dat er grootschalige aanvallen zijn geweest en dat niet alleen de low-profile sites het doel van aanvallen zijn maar ook veel high-profile websites. Deze criminele techniek wordt gebruikt bij de cybercrimes hacken, identiteitsdiefstal en e- fraude.
243
Bijlage 7: Cross site scripting Inleiding Cross-site scripting (afgekort met CSS of XSS) is een aanvalstactiek waarbij het adres van een hiervoor kwetsbare website wordt misbruikt om extra informatie te tonen of programma’s uit te voeren (Govcert, 2008). Bij deze techniek krijgt een script op de ene webpagina toegang tot de data die hoort bij een andere webpagina (KLPD/DNR, 2007a). ‘Methode waarbij scripts op de ene webpagina toegang krijgen tot de data behorende bij een andere webpagina; op deze manier kunnen gegevens gestolen worden’ (KLPD/DNR, 2007a: 99) Websites kunnen kwetsbaar zijn voor de implementatie van een CSS doordat de website de data die de gebruiker op de site invoert niet valideert (Rafail, 2001). CSS is een aanval op de privacy van de bezoekers van geïnfecteerde websites. De computercrimineel is namelijk op zoek naar de informatie die de gebruiker identificeert op de website. Nadat deze informatie is verkregen kan de hacker zich op deze website voordoen als de gebruiker. De website die is geïnfecteerd, wordt overigens niet direct beschadigd. Het script hoeft alleen de cookies, waar de gevoelige informatie in staat, te onderscheppen en deze naar de hacker te sturen (Klein, 2002). CSS is een van de meest gebruikte aanvallen op ‘common application level’ die door hackers worden gebruikt (Klein, 2002). Dit komt doordat steeds meer webpagina’s dynamische content hebben. Er bestaat dan bijvoorbeeld de mogelijkheid om te reageren of op de website worden digitale diensten van een bedrijf aangeboden. Deze mogelijkheid van dynamische websites leveren echter ook problemen op: indien de beveiliging niet optimaal is, zijn deze sites gevoelig voor de implementatie van scripts door derden; cross site scripting. Strafbaarstelling Indien er om een CSS uit te voeren is binnengedrongen in een geautomatiseerd werk dan is dit strafbaar volgens artikel 138a Sr. Na het binnendringen worden door de computercrimineel scripts geplaatst. Het aanbieden van een kwaadaardige code gebeurt bijna altijd met opzet, bijvoorbeeld door een URL op te nemen in een e- mailbericht of op een website (Van Geest, 2006). Indien er door het injecteren van een CSS schade ontstaat in het computersysteem of aan de gegevens die daarin zijn opgeslagen dan kan dat strafbaar gesteld worden volgens de artikelen 161 sexies of scepties en/of artikel 350 Sr. Het aftappen van gegevens is strafbaar gesteld in artikel 139 Sr. Zie verder hoofdstuk 2. Verschijningsvormen Er zijn drie verschijningsvormen van cross site scripting te onderscheiden. Bij de eerste soort (DOM-based) wordt er gebruik gemaakt van de invoer van de gebruiker om een stuk van de pagina te genereren, zonder deze informatie te controleren of te beveiligen. Bij de tweede vorm (non-persistent) wordt de invoer van de gebruiker naar de server gestuurd en daar wordt de invoer zonder gecontroleerd of beveiligd te worden, gebruikt om een HTML pagina te genereren. De derde vorm (persistent) werkt op eenzelfde manier, alleen wordt de informatie in een database opgeslagen en dan gebruikt bij het genereren van HTML-pagina's voor meerdere personen (http://nl.wikipedia.org/wiki/Cross_Site_Scripting). Omvang De omvang van CSS is onbekend.
244
Verbanden CSS wordt gebruikt voor het verkrijgen van informatie. Er is dan ook een grote verbintenis met de cybercrimes identiteitsdiefstal en fraude in e-fraude. Een ander, meer indirect, verband is mogelijk met afpersen. Indien computercriminelen met succes een CSS hebben geïnjecteerd bij een website van een groot bedrijf is dit bedrijf gevoelig voor afpersing. Indien dergelijke informatie naar buiten komt kan dit immers leiden tot imagoschade. Of er daadwerkelijk een verband is hebben we echter niet kunnen constateren. Trends Een inmiddels verouderde voorspelling luidt dat toekomstige aanvallen steeds verfijnder en complexer zullen worden. Door het automatisch uitvoeren van aanvallen en het misbruiken van zwaktes in de webbrowser van eindgebruikers zullen de aanvallen meer schade aanrichten (Ollmann, 2002). We hebben echter niet kunnen constateren dat dit specifiek voor CSS geldt. Een algemene trend die te zien is bij criminele technieken in het algemeen en speciaal bij malware is dat de technieken steeds verfijnder en complexer zijn geworden. Resumé Cross-site scripting is een aanvalstactiek waarbij het adres van een hiervoor kwetsbare website wordt misbruikt om extra informatie te tonen of programma’s uit te voeren (Govcert, 2008). Bij deze techniek krijgt een script op de ene webpagina toegang tot de data die toebehoort bij een andere webpagina (KLPD/DNR, 2007a). Indien er om een CSS uit te voeren is binnengedrongen in een geautomatiseerd werk dan is dit strafbaar volgens artikel 138a Sr. Indien er door het injecteren van een CSS schade ontstaat in het computersysteem of aan de gegevens die daarin zijn opgeslagen dan kan dat strafbaar gesteld worden volgens de artikelen 161 sexies of scepties en/of artikel 350 Sr. Het aftappen van gegevens is strafbaar gesteld in artikel 139 Sr. Er zijn drie verschijningsvormen van cross site scripting te onderscheiden. Bij de eerste soort (DOM-based) wordt er gebruik gemaakt van de invoer van de gebruiker om een stuk van de pagina te genereren, zonder deze informatie te controleren of te beveiligen. Bij de tweede vorm (non-persistent ) wordt de invoer van de gebruiker naar de server gestuurd en daar wordt de invoer zonder gecontroleerd of beveiligd te worden gebruikt om een HTML pagina te genereren. De derde vorm (persistent) werkt op eenzelfde manier, alleen wordt de informatie in een database opgeslagen en dan gebruikt bij het genereren van HTML-pagina's voor meerdere personen. CSS wordt gebruikt voor het stelen van persoonlijke informatie. CSS heeft daarom verbanden met de cybercrimes identiteitsdiefstal en e-fraude. Een ander, meer indirect, verband is mogelijk met afpersen. Indien computercriminelen met succes een CSS hebben ge ïnjecteerd bij een website van een groot bedrijf is dit bedrijf gevoelig voor afpersing. Indien dergelijke informatie naar buiten komt kan dit immers leiden tot imagoschade. Of er daadwerkelijk een verband is hebben we echter niet kunnen constateren. Een inmiddels verouderde voorspelling luidt dat toekomstige aanvallen steeds verfijnder en complexer zullen worden. We hebben echter niet kunnen constateren dat dit specifiek voor CSS geld. Een algemene trend die te zien is bij criminele technieken in het algemeen en speciaal bij malware is dat de technieken steeds verfijnder en complexer zijn geworden.
245
Bijlage 8: Spyware Inleiding Spyware is een van de vele vormen van malware (kwaadaardige software). Spyware is een stukje software dat bepaalde informatie van de gebruiker verzamelt en deze informatie naar de computercrimineel stuurt. Het kan gaan om toetsaanslagen, screenshots109 , e-mail adressen, surfgedrag of persoonlijke informatie zoals creditkaartnummers (Microsoft, 2006b, Hackworth, 2005). De data kan vervo lgens door de cybercriminelen zelf gebruikt worden maar kan ook worden doorverkocht aan derden. Het gebruik van spyware is niet nieuw. In het begin van de jaren 80 van de vorige eeuw werden de eerste keyloggers ontdekt op computers op unive rsiteiten. Sindsdien is het gebruik van spyware groeiende (Hackworth, 2005). Er bestaan verschillende definities van spyware. Van der Hulst en Neve (2008: 192) zien spyware als ‘de verzamelnaam van programma’s die het computergedrag van gebruikers bespioneren (zoals adware, malware en keyloggers)’. Het KLPD definieert spyware als een ‘stukje software dat bedoeld is om gegevens van de gebruiker te roven en op te sturen naar de overtreder’ (KLPD/DNR, 2007a: 102). Bij de definitie van het KLPD staat het woord ‘roven. Dit impliceert dat het versturen van de informatie van de gebruiker naar de computercrimineel zonder toestemming is gebeurd. Er bestaat echter ook software die gegevens over de gebruiker verstuurt en waarvoor de gebruiker toestemming heeft gegeven. Bij het installeren van een programma kan de gebruiker toestemming geven om zijn surfgedrag te laten monitoren door het bedrijf zodat deze gericht reclame kan sturen. De vraag is of het hier gaat om spyware. Indien een gebruiker bewust toestemming heeft gegeven om informatie over bijvoorbeeld zijn surfgedrag te verstrekken dan is er geen sprake van spyware (Microsoft, 2006b). Het lezen en begrijpen van alle voorwaarden alvorens een programma te installeren is echter vrij lastig. Ze zijn vaak zo lang en uitgebreid dat gebruikers er niet eens aan beginnen om de voorwaarden te lezen (Edelman, 2005). Het kan in sommige gevallen echter ook gaan om social engineering; met opzet staat niet duidelijk vermeld dat informatie van de gebruiker wordt gemonitord (Hackworth, 2005). Doordat de gebruiker wel akkoord gaat met de voorwaarden is er echter officieel geen spraken van spyware. Een tweede mogelijkheid is dat computers door meerdere gebruikers worden gebruikt. Indien gebruiker één toestemming geeft om informatie over zijn surfgedrag te versturen naar een adverteerder is het goed mogelijk dat er ook informatie van gebruiker twee naar de adverteerder wordt verstuurd. Dit is dan echter gebeurd zonder de toestemming van deze gebruiker. In deze VCN2009 hanteren we daarom de volgende definitie: Spyware is een stukje software dat, zonder dat de gebruiker toestemming heeft gegeven, informatie van die gebruiker naar een andere partij stuurt. Spyware is dus software die informatie van de gebruiker verstuurt naar een ander persoon zonder dat de persoon toestemming heeft gegeven voor het versturen van die informatie. Spyware kan bijna alle data van een computer monitoren. Het gaat daarbij niet alleen om bestanden op de harde schijf maar ook om screenshots, toetsaanslagen, datapakketjes in ne twerken. Hierna volgt een opsomming van informatie waarnaar spyware doorgaans zoekt (Hackworth, 2005): -
109
Internet activiteiten. Spyware houdt bij welke websites worden bezocht, om het surf- en online koopgedrag te monitoren, en welke informatie op websites wordt ingevoerd, zoals gebruikersnamen en wachtwoorden, identiteitsgegevens en creditkaartnummers. Spyware Een screenshot is een afbeelding van wat er op een bepaald moment zichtbaar is op het beeldscherm.
246
-
-
-
-
-
-
-
-
hoeft niet constant alle informatie van een gebruiker te verzamelen, de software kan zo geprogrammeerd worden dat er pas informatie wordt verzameld indien er een bepaald trefwoorden, zoals de naam van een bank, is ingevoerd. E-mail en contactinformatie. E-mail adressen en andere informatie uit het elektronische adresboek van de gebruiker kunnen worden verzameld om te gebruiken voor spam aanva llen. Windows Protected Store data. Deze service van Windows slaat bepaalde informatie, zoals passwoorden en gebruikersnamen voor programma’s en websites, versleuteld op. Doordat de spyware op de computer van de gebruiker staat en staat ingeschakeld terwijl de gebruiker (met al zijn rechten) is aangemeld, is het mogelijk om dergelijke data te bemachtigen. Clipboard content. De inhoud van het clipboard kan gevoelige informatie bevatten. Gebruikers knippen en plakken hun persoongegevens in invulvelden van websites. Maar ook gevoelige bedrijfsgegevens kunnen nog op het clipboard staan. Toetsaanslagen. Het loggen van toetsaanslagen is een van de eerste methoden die gebruikt zijn als spyware. De toetsaanslagen van gebruikers worden door zogenaamde keyloggers vastgelegd. Er zijn zowel hardware als software keyloggers. De hardware variant bevindt zich meestal tussen de kabel van het toetsenbord en de aansluiting in de computer. Een dergelijke applicatie kan echter ook onzichtbaar in het toetsenbord zijn verstopt. Een probleem met hardware keyloggers is dat ze fysiek moeten worden aangebracht. Iemand moet dus directe toegang hebben tot de computer. Software keyloggers kunnen, net zoals andere vormen van malware, op verschillende manieren op een computer van een gebruiker terecht komen (bijvoorbeeld doordat de gebruiker een attachtment van een e- mail heeft geopend waardoor de keylogger heimelijk is geïnstalleerd. Dergelijke keyloggers werken ook vaak met bepaalde sleutelwoorden of programma’s waarop ze reageren (Ianelli en Hackwo rth, 2005). Screenshots. Spyware kan naast het vastleggen van toetsaanslagen ook screenshots maken. Er wordt dan een shot gemaakt van hetgeen de gebruiker op dat moment op zijn scherm heeft staan. Ook screenshots kunnen werken aan de hand van bepaalde trefwoorden of reageren op bepaalde programma’s of websites. Netwerk verkeer. Door het netwerkverkeer te monitoren kan er informatie over bijvoorbeeld gebruikersnamen, wachtwoorden, e-mail berichten of zelfs hele bestanden worden onderschept. Cookies. Cookies bevatten stukjes informatie over een gebruiker die zijn opgeslagen door een webserver. Indien de gebruiker voor een tweede keer op dezelfde pagina komt dan kan de webserver deze informatie ophalen. Er staat vaak gevoelige informatie over gebruikersnamen en wachtwoorden in cookies. Register en harddrive searching. Op de harde schijf wordt gezocht naar informatie over wachtwoorden, emailadressen, contacten, etc (Ianelli en Hackworth, 2005).
Strafbaarstelling Bij spyware is sprake van aftappen van gegevens. Dit is strafbaar gesteld in artikel 139 Sr. Om de spyware te installeren moet de computercrimineel eerst toegang hebben tot de computer van het slachtoffer. Het zich zonder toestemming toegang verschaffen tot een geautomatiseerd werk is strafbaar gesteld in artikel 138a Sr. Indien gegevens gewijzigd of vernietigd worden is dat strafbaar volgens artikel 350 Sr. Indien er stoornis in het geautomatiseerde werk optreedt dan is dat strafbaar middels artikel 161sexies en 161septies Sr. Voor een uitgebreide beschrijving verwijzen we naar hoofdstuk 2.
247
Verschijningsvormen Spyware is een vorm van malware en kent tal van verschijningsvormen. Sommige malware dient alleen als spyware, bij andere malware is de spyware- functie slechts een bijzaak. Hierna volgen enkele verschijningsvormen van spyware (Hackworth, 2005): -
-
-
Browser Helper Objects. De Browser Helper Objects (BHO) zijn ontwikkeld om de gebruiker de mogelijkheid te geven om de webbrowser Internet Explorer makkelijk uit te kunnen breiden. Zodra Internet Explorer opstart worden de BHO geladen. Een voorbeeld van een verschijningsvorm van een BHO met een spywarefunctie is een toolbar. Als het de computercrimineel, met behulp van social engineering, gelukt is om de gebruiker een handige toolbar te laten installeren, dan kan de spyware in alle rust zijn werk doen; de gebruiker denkt dat de toolbar legitiem is en ziet dat de toolbar daadwerkelijk iedere keer wordt geladen zodra Internet Explorer start (maar weet niet dat het doel van de toolbar is om persoonlijke informa tie naar de cybercrimineel te versturen). Valse Anti-Spyware Tools. Programma’s die op het internet worden geadverteerd als zijnde anti-spyware software maar in werkelijkheid juist spyware bevatten. Autonomous Spyware. Deze spyware staat op zichzelf en is niet verbonden aan andere software. Deze vorm van spyware start gelijktijdig met het systeem op en heeft vaak alle rechten van de gebruiker. Botnets. Botnet hebben veelal een spywarefuncte. De computers die deel uit maken van een botnet zijn vaak ook geïnfecteerd met spyware (zie ook bijlage 3).
Naast het feit dat de bovenstaande lijst geen uitputtende lijst is, zijn er tal van combinaties denkbaar. Spyware kent dus veel verschijningsvormen, maar het doel is altijd hetzelfde: informatie van de gebruiker verzamelen en, zonder dat de gebruiker het weet, de informatie ve rsturen naar een computercrimineel. Hackworth110 (2005) beschrijft naast een aantal mogelijke verschijningsvormen ook een aantal verschillende groepen die spyware gebruiken. Alhoewel niet empirische onderbouwd, behandelen we de drie groepen hier wel. -
-
-
Online Attackers en georganiseerde misdaad. Online attackers gebruiker spyware om persoonlijke informatie te verzamelen en daarmee identiteitsfraude of fraude in e- fraude te plegen of om de data door te verkopen aan derden die zich bezig houden met de meer klassieke vormen van criminaliteit. Dergelijke criminelen kunnen alleen werken maar kunnen ook contacten hebben met de georganiseerde misdaad. Marketing organisaties. Dergelijke bedrijven zijn geïnteresseerd in persoonlijke informatie zoals e- mail adressen, surf- en online koopgedrag, zoekqueries en andere informatie die gebruikt kan worden voor marketing campagnes (veelal in de vorm van spam, browser pop-up, et cetera). Insiders. Bij bedrijven kan een medewerker spyware installeren met als doel het verkrijgen van vertrouwelijke bedrijfsinformatie. Deze informatie kan worden doorverkocht aan een concurrent en het bedrijf kan er mee worden afgeperst. Ook in de familie- en vriendenkring kan er spyware worden geïnstalleerd. Een voorbeeld is een vrouw die haar man verdenkt van vreemdgaan en wil weten welke contacten hij met zijn computer onderhoudt (e-mail berichten, chat-sessies).
Omvang Verschillende bronnen laten zien dat een aanzienlijk deel van de computers besmet is met spyware. De OPTA geeft in haar jaarverslag over 2007 aan dat steeds meer internetgebruikers 110
Hackworth is werkzaam bij het Amerikaanse CERT Coordination Centre (www.cert.org)
248
last hebben van ongewenste en vaak kwaadaardige software; in toenemende mate worden consumenten het slachtoffer van spyware. Een belangrijke doelstelling voor OPTA in 2007 was een substantiële afname van de verspreiding van ongewenste software op Nederlandse bodem (OPTA, 2008) Inmiddels in Nederland op de ranglijst van landen die ongewenste software hosten gezakt van een vierde plaats in 2006 naar een tiende plaats in 2007 (Sophos, 2008). In een Amerikaans onderzoek uit 2005 (America Online e.a., 2005), gehouden onder interne tgebruikers, geeft 46 procent van de respondenten aan dat de computer spyware bevat. Na een scan op spyware door de onderzoekers blijkt dat 61 procent van de respondenten spyware op hun computers heeft. Van deze groep heeft 91 procent geen toestemming gegeven om dergelijke software te installeren. Slachtofferenquêtes die zijn gehouden onder bedrijven in Amerika duiden er ook op dat een hoog percentage van de computers geïnfecteerd is met spyware. CSO magazine e.a ( 2007) laat een zelfde beeld zien als het onderzoek van America Online e.a. (2005). Meer dan de helft van de respondenten (52 procent) die de afgelopen twaalf maanden een of meerdere aanvallen op hun netwerk hadden (66 procent) geeft aan spyware op hun systemen te hebben. De CSI survey laat een ander beeld zien. In deze survey zegt 32 procent van de respondenten (Amerikaanse bedrijven) die de afgelopen maanden een aanval op het bedrijfsnetwerk hadden gehad spyware op hun systemen te hebben (Computer Security Institute, 2007: 17). Het onderzoek van America Online e.a. (2005) laat zien dat gebruikers zich lang niet altijd bewust zijn dat er malware, in dit geval spyware, geïnstalleerd is op hun computer. Verbanden met cybercrimes Spyware wordt gebruikt voor identiteitsdiefstal en fraude in e- fraude. Het doel is om zonder toestemming van de gebruiker (persoonlijke) informatie van die gebruiker te verkrijgen. Met deze informatie kan een cybercrimineel een valse identiteit maken om vervolgens fraude (in e-commerce) te plegen. Daarnaast kan gevoelige informatie die verkregen is dankzij de spyware worden gebruikt om bedrijven of personen af te persen. Ook kan informatie die verkregen is door de spyware gebruikt worden door hackers om in het geïnfecteerde of juist in andere systemen in te breken. Trends Spyware bestaat in ieder geval al sinds begin jaren 80 van de vorige eeuw. Inmiddels is spyware doorontwikkeld; spyware treedt pas in werking bij bepaalde sleutelwoorden en spyware kan bijvoorbeeld zijn geïntegreerd in programma’s die legitiem lijken voor de gebruiker (Hackworth, 2005). Ondanks dat de beveiligingsmaatregelen tegen malware steeds beter wo rden, zullen beveiligingen altijd zwakke plekken hebben. Spyware en andere malware zullen worden aangepast aan elk nieuw beveiligingslek dat bekend wordt. Criminelen zijn constant bezig om beveiligingen te omzeilen. Een voorbeeld zijn de databanken waar de bestaande patronen (de digitale handtekening) van bekende malware in staat. Anti spyware en anti virusprogramma’s maken gebruik van dergelijke databanken op malware op te sporen. Cybercriminelen ontwikkelen de malware op manieren waardoor de detectie van de digitale handtekeningen steeds moeilijker wordt (Computer Security Institute, 2007: 2). Daarnaast worden besturingssystemen steeds complexer en wordt de malware in steeds meer varianten gemaakt. Hierdoor is het moeilijker om nieuwe malware tegen te ho uden. Ook is de IT-sector bezig met een ontwikkeling naar meer servicegerichte applicaties (de zogenaamde Web 2.0). Dit kan gaan zorgen voor nieuwe zwaktes die uitgebuit kunnen wo rden (Computer Security Institute, 2007: 26). Verspreiders van ongevraagde software hebben in 2007 de trend van de afgelopen jaren voortgezet door minder ongevraagde software in de bijlage van e-mailberichten te verstu-
249
ren. Sophos meldde in juli 2007 dat 1 op de 337 mailtjes ongevraagde software bevatte, terwijl dit in 2005 nog 1 op 44 was (Sophos, 2008). In plaats daarvan wordt ongevraagde software steeds meer verspreid via websites. De links naar deze dubieuze websites worden ve rvolgens verspreid via spamberichten. Opvallend was een Nederlandse spamrun eind nove mber 2007 over een vermeende nucleaire ramp in Amsterdam. Eindgebruikers werden in dit emailbericht opgeroepen om een internetsite te bezoeken, alwaar kwaadaardige software werd gehost (OPTA, 2008). Verwacht wordt dat het gebruik van keyloggers en spyware om toegang te krijgen tot geheime informatie een lucratieve misdaad wordt die in de toekomst op grotere schaal door criminelen zal worden ontdekt (McAfee, 2006: 18-19, aangehaald in Van der Hulst en Neve, 2008). Resumé Spyware is een van de vele vormen van malware. Spyware is een stukje software dat, zonder dat de gebruiker toestemming heeft gegeven, informatie van die gebruiker naar een andere partij stuurt. Spyware kan bijna alle data van een computer monitoren. Het gaat daarbij niet alleen om bestanden op de harde schijf maar ook om screenshots, toetsaanslagen, datapakketjes in netwerken. Spyware wordt gebruikt voor identiteitsdiefstal, e-fraude, hacken en cyberafpersen. Er zijn tal van verschijningsvormen van spyware te onderscheiden. Zo kan spyware een autonoom programma zijn maar ook onderdeel van een programma dat legitiem lijkt. Hackworth (2005) beschrijft naast een aantal mogelijke verschijningsvormen ook een aantal verschillende groepen die spyware gebruiker. De eerste groep zijn de computercriminelen en (in mindere mate) de georganiseerde misdaad. Een tweede groep zijn marketing organisaties die gerichte marketing acties willen uitvoeren. Een derde groep is de insiders. Deze groep steelt bijvoorbeeld gevoelige informatie van hun bedrijf om deze door te verkopen. Op spyware waarvoor de gebruiker geen toestemming heeft gegeven, is een aantal artikelen van toepassing. Er is sprake van het aftappen van gegevens (artikel 139 Sr). Er kan sprake zijn van ongeautoriseerde toegang tot een computer (artikel 138a Sr), gegevens kunnen gewijzigd of vernietigd worden (artikel 350 Sr) en er kan een stoornis optreden in het geautomatiseerde werk (artikel 161sexies en 161septies Sr). Spyware is echter niet altijd strafbaar. Indien een persoon, wiens computer wordt bekeken, daarvoor toestemming heeft gegeven, is tegen deze ´gluurprogramma´s´ geen juridisch bezwaar. Verschillende bronnen laten zien dat een aanzienlijk deel van de computers besmet is met spyware. Uit onderzoek van America Online e.a. (2005) blijkt dat gebruikers zich lang niet altijd bewust zijn dat er spyware geïnstalleerd is op hun computer. Spyware bestaat in ieder geval al sinds de begin jaren 80 van de vorige eeuw. Inmiddels is spyware doorontwikkeld. McAfee verwacht dat het gebruik van keyloggers en spyware om toegang te krijgen tot geheime informatie een lucratieve misdaad wordt die in de toekomst op grotere schaal door criminelen zal worden ontdekt (McAfee, 2006: 18-19, aangehaald in Van der Hulst en Neve, 2008). Verspreiders van ongevraagde software hebben in 2007 de trend van de afgelopen jaren voortgezet door minder ongevraagde software in de bijlage van e-mailberichten te versturen. In plaats daarvan wordt ongevraagde software steeds meer verspreid via websites (Sophos, 2008).
250
Bijlage 9: Phishing Inleiding In de literatuur komen verschillende definities van phishing voor. De strekking ervan is steeds hetzelfde, namelijk het achterhalen van persoonlijke informatie van gebruikers. Watson e.a. (2005) definiëren phishing als het versturen van nep e-mailberichten, of spam, die zo zijn opgesteld dat het lijkt alsof ze afkomstig zijn van betrouwbare organisaties en die tot doel hebben om vertrouwelijke informatie zoals gebruikersnamen, wachtwoorden en creditkaartnummers te achterhalen. Van der Hulst en Neve gebruiken een soortgelijke definitie; phishing is een vorm van digitale oplichting waarbij een internetgebruiker een vervalste e-mail ontvangt, meestal van een gerenommeerde bron (bijvoorbeeld een financiële) instelling en waarbij mensen om persoonlijke gegevens wordt gevraagd (Van der Hulst en Neve, 2008: 191). In deze definities wordt echter sec gesproken over het versturen van e-mail berichten als middel om phishing aanvallen uit te voeren. Er zijn echter ook varianten waarbij e- mail niet het middel is, maar bijvoorbeeld SMS of voip. Een betere definitie is dat phishing het proces is dat ervoor zorgt dat gebruikers persoonlijke informatie afgeven (Ollmann, 2004). Daaraan kan worden toegevoegd dat de middelen technologisch moeten zijn, anders is er sprake van social engineering. Wij gebruik er in deze VCN2009 de volgende definitie van phishing: ‘Poging om via digitale middelen, vaak door zich voor te doen als een vertrouwde instantie, persoonlijke informatie aan mensen te ontfutselen’ (KLPD/DNR, 2007a: 102) Er is dus sprake van phishing indien de aanvallen zich voordoet als een betrouwbare instantie en dat die aanvaller via digitale middelen, zoals e- mail of sms, probeert om vertrouwelijke informatie van een gebruiker te stelen. Het stelen van informatie van gebruikers gebeurt al sinds lange tijd. In de jaren 90 van de vorige eeuw kwam, door de groei van internet, gingen computercriminelen steeds meer over naar geautomatiseerde aanvallen om informatie van gebruikers te ontfutselen (Watson e.a., 2005). De term phishing komt voor het eerst voor in 1996. Computercriminelen hebben het voorzien op AOL (American Online) accounts. Een gestolen account werd ‘phish’ genoemd. In 1997 werden de accounts onder hackers verhandeld. Accounts werden bijvoorbeeld geruild tegen hacking-tools (Ollmann, 2004). De aanvallen op de gebruikers van AOL waren nog vrij eenvoudig. Gebruikers kregen een bericht waarin stond dat de gebruikers persoonlijke informatie moesten invullen om te voorkomen dat hun account werd verwijderd. Een voorbeeld staat in figuur B7.
Figuur B9.1: Een voorbeeld van de phishing aanvallen op AOL gebruikers (Watson e.a., 2005) Sector 4G9E of our data base has lost all I/O functions. When your account logged onto our system, we were temporarily able to verify it as a registered user. Approximately 94 seconds ago, your verification was made void by loss of data in the Sector 4G9E. Now, due to AOL verification protocol, it is mandatory for us to re-verify you. Please click 'Respond' and restate your password. Failure to comply will result in immediate account deletion (Watson e.a., 2005).
251
Tegenwoordig sturen phishers het liefst zo veel mogelijk berichten via bijvoorbeeld spam. Het (e-mail) bericht lijkt dan afkomstig te zijn van een bekende organisatie die door de gebruikers vertrouwd worden (bijvoorbeeld een bank), maar in werkelijkheid is het een poging om aan persoonlijke gegevens van gebruikers te komen (Watson e.a., 2005). In de mei 2008 werd een groep van Amerikaanse en Roemeense phishers aangeklaagd. In een artikel op computerworld.com wordt een phishing-aanval duidelijk beschreven (zie figuur B8).
Figuur B9.2: Roemeense en Amerikaanse phishers aangeklaagd (Gross, 2008) The Romanian members of the organization obtained thousands of credit and debit card account numbers and other personal information through phishing, according to the indictment. The group sent more than 1.3 million spam e- mail messages in one phishing attack, the Justice Department said. The Romanians collected the victims' information and sent the data to cashiers in the U.S. through Internet chat messages, the DOJ said. The U.S. cashiers used hardware called encoders to record the fraudulently obtained information onto the magnetic strips on the back of credit and debit cards. Cashiers then directed other criminals called runners to test the fraudulent cards by checking balances or withdrawing small amounts of money from automated teller machines. The cards that were successfully tested were used to withdraw money from ATMs or point-of-sale terminals with the highest withdrawal limits, the DOJ said. Part of the money was then wire-transferred to the supplier in Romania. Investigators found that the defendants had targeted several banks and other companies, including Citibank, Capital One and PayPal.
Deze geautomatiseerde aanvallen zijn overigens nog steeds in grote mate afhankelijk van social engineering. Gebruikers moeten worden overgehaald om bijlagen van e- mails te openen of om op URL’s te klikken. Het uitvoeren van deze aanvallen kan op een aantal verschillende manieren, van het versturen van e- mail tot het hacken van een voip (voice over IP) verbinding en sms tot het automatisch doorgeleiden van bezoekers van een websites naar een malafide website; allemaal met het oogmerk om persoonlijke informatie te stelen. Strafbaarstelling Phishing heeft als doel identiteitsdiefstal. Identiteitsfraude heeft in Nederland geen eigen bepaling in de strafwet. Wanneer persoonlijke gegevens worden verkregen door het binnendringen van een computersysteem dan is de dader strafbaar op grond van art. 138 Sr. Het aftappen van informatie (door bijvoorbeeld spyware) is strafbaar gesteld in de artikelen 193 c, d en e Sr. Indien er opzettelijk dan wel door schuld een geautomatiseerd werk wordt vernield zijn de artikelen 161sexies en 161septies Sr van toepassing. Indien er gegevens worden vernield is artikel 350 Sr van toepassing. Wanneer deze persoonlijke gegevens worden verkregen door “spoofing” of “phishing” valt het onder art. 326 Sr., oplichting. Het gebruik van deze persoonlijke gegevens voor eigen of andermans voordeel valt ook onder art. 326 Sr., oplichting (De Vries, e.a., 2007, Europese Commissie, 2007, Ejure, 2004). Artikel 225 Sr., dat valsheid in geschrift strafbaar stelt, kan een belangrijke rol pelen bij digitale identiteitsfraude. Het gaat bij identiteitsfraude immers vaak om het gebruiken van valse of vervalste geschriftn (De Vries, e.a., 2007). Zie voor een uitgebreide beschrijving van deze artikelen hoofdstuk twee en vijf.
252
Indien er sprake is van pharming (het omgeleiden van verkeer) moet er altijd eerst worden ingebroken (of in de computer van de gebruiker of in de DNS-server van een ISP). Dit is strafbaar volgens artikel art. 138 Sr. Het doorgeleiden van internetverkeer valt onder het vernielen van gegevens zoals strafbaar gesteld in de artikel 350 Sr. In de DNS-server zullen immers de bestemminggegevens moeten worden veranderd om iets door te geleiden (Van Geest, 2006). Deze artikelen worden uitgebreid besproken in hoofdstuk twee. Verschijningsvormen Phishing aanvallen bestaan dus niet alleen uit aanvallen die worden uitgevoerd met behulp van e- mail berichten. De meest gebruikte methode is dan wel het versturen ven e- mail (KLPD/DNRI 2007a), maar er wordt gebruik gemaakt van verschillende technologische middelen om de aanvallen uit te voeren. We beschrijven de verschijningsvormen die op dit moment in gebruik zijn. Zoals in de onderstaande verschijningsvormen te zien is, worden phishing aanvallen steeds aangepast aan nieuwe communicatietechnieken. -
E-mail phishing. We gaven in de inleiding al aan dat we phishing zien als een aanval met technologische middelen met als doel het stelen van vertrouwelijke informatie van een gebruiker. De meest voorkomende vorm van phishing is het gebruik van e- mail (KLPD/NDR, 2007a). Dit is een vorm va n digitale oplichting waarbij een internetgebruiker een vervalste e- mail ontvangt, meestal van een gerenommeerde bron (bijvoorbeeld een financiële) instelling en waarbij mensen om persoonlijke gegevens wordt gevraagd (Van der Hulst en Neve, 2008: 191). In de e-mail wordt het slachtoffer middels social engineering verleid om op een URL te klikken. Het bericht lijkt afkomstig te zijn van een legitieme organisatie zoals een bank, maar is in werkelijkheid vervalst door de computercrimineel. In de e- mail kan bijvoorbeeld staan dat de bank bezig is met het uitvoeren van een security-check en dat de gebruiker hiervoor moet inloggen op een bepaalde pagina. De URL leidt naar een malafide website die echter een kopie is van de website van een betrouwbare organisatie. Op deze website vult de gebruiker zijn persoonlijke gegevens is, bijvoorbeeld om in te loggen op zijn account, maar deze informatie wordt daardoor ook verstrekt aan de computercrimineel. De gebruiker hoeft hier niets van de merken; nadat de informatie naar de computercrimineel is verzonden wordt de informatie verzonden naar de werkelijke inlogpagina van de bank en wordt de gebruiker gewoon ingelogd (KLPD/NDR, 2007a, Van Geest, 2006, Ollmann, 2004). Technieken die gebruikt worden bij phishing e- mails (Ollmann, 2004): § § § § § §
-
Officieel uitziende e-mail berichten. Kopieën van originele e- mails van organisaties waar slecht kleine verschillen in URL’s zijn aangebracht (soms onzichtbaar). Gespoofte afzenders. Het lijkt voor de gebruiker alsof de afzender een betrouwbare organisatie is. Attachtments met malware die de computer van de gebruiker ook zonder dat deze de malafide website van de computercrimineel bezoekt besmet. Anti-spam technieken zodat de e- mails wel op grote schaal verspreidt worden maar niet in het spamfilter terecht komen. Persoonlijke en gerichte e- mails door gebruik te maken van social engineering.
Vishing. Vishing is een samenvoeging van phishing en voice. Bij deze verschijningsvorm wordt het slachtoffer gebeld door naar wat hij vermoed een legitieme instantie die via een voice message systeem vraagt naar persoonsgegevens. Speciaal de voip te-
253
lefoonsystemen, die werken met IP-adressen, zijn het doelwit van deze vorm. Het nummer dat op de nummermelder van de gebruiker verschijnt kan gespooft zijn en zo afkomstig lijken van een betrouwbare organisatie (Ollmann, 2007). Maar ook de conventionele telefoonlijnen kunnen misbruikt worden voor het uitvoeren van vishing aanvallen. Door het grote vertrouwen dat mensen hebben in de telefoonverbinding (de gevaren die schuilen op het internet worden steeds bekender, de oude vertrouwde telefoonlijn lijkt daardoor veiliger) en de onbekendheid met vishing zorgt ervoor dat mensen eerder geneigd zullen zijn om persoonlijke informatie af te staan (KLPD/DNR, 2007a, Ollmann, 2007). Daar komt bij dat door de toename van voip er over de gehele wereld voor weinig geld kan worden gebeld. Ook het achterhalen van gegevens van de beller is door voip een stuk moeilijker geworden dan bij het gebruik van conventionele telefoonlijnen (KLPD/DNR, 2007a). Financieel gezien wordt deze vorm dus steeds aantrekkelijker voor cybercriminelen (Ollmann, 2007). Ollmann geeft aan aantal voordelen voor cybercriminelen om vishing aanvallen uit te voeren: § § § § § § § §
Mensen hebben een groter vertouwen in telefoonsystemen dan in systemen die iets met internet te maken hebben. Een groter deel van de bevolking kan worden bereikt. Ook de mensen die geen gebruik maken van internet kunnen worden aangevallen. Hierdoor wordt bijvoorbeeld de groep ouderen beter bereikbaar. Het invoeren van bepaalde gegevens in geautomatiseerde telefoonsystemen is algemeen geaccepteerd. Bij veel grote bedrijven moet eerst een postcode en gebruikersnummer worden ingevoerd voordat de klant iemand aan de lijn krijgt. Door het gebruik van grote callcentra zijn mensen eraan gewend geraakt om informatie aan vreemden te geven. De aanvallen kunnen beter getimed worden. Hierdoor wordt de kans dat de gebruiker reageert groter. Vishing aanvallen kunnen middels social engineering persoonlijker worden gemaakt. Aanvallen kunnen dankzij voip vanuit de hele wereld, tegen lage kosten, worden uitgevoerd. Nummerinformatie kan worden vervalst waardoor het lijkt alsof het telefoontje van een betrouwbare organisatie afkomstig is.
Bij vishing aanvallen is de telefoonlijn niet altijd het middel om gebruikers over te halen om persoonlijke informatie in te voeren. Gebruikers kunnen ook een e- mail of sms ontvangen waarin staat dat ze een bepaald nummer moeten bellen (Ollmann, 2007). In het e- mail bericht staat dan bijvoorbeeld dat de bank bezig is met een security check doordat geprobeerd is de bank aan te vallen en dat de gebruiker daardoor niet meer in kan loggen op de website. De gebruiker dient het nummer van de bank te bellen en daar zijn oude inlognaam en wachtwoord afgeven zodat de bank automatisch een nieuw wachtwoord kan aanmaken. Het opgegeven nummer is echter van de cybercrimineel. -
Smishing. Deze verschijningsvorm maakt gebruik van SMS (Ollmann, 2007). SMiShing is dan ook een samenvoeging van SMS en phishing. Tele foonbezitters kunnen een SMS waar de gebruiker middels social engineering wordt overgehaald om een bepaalde website te bezoeken. Als het slachtoffer de genoemde site bezoekt raakt hij geinfecteerd met een trojan. Op de website wordt de gebruiker besmet met een trojan. Deze verstuurt later informatie naar de computercrimineel (zie ook paragraaf 3.9)
254
(KLPD/DNR, 2007a). Ook kan op de website de gebruiker worden overgehaald om persoonlijke informatie in te voeren. Feitelijk is smishing hetzelfde als phishing middels e- mail, alleen het middel om de gebruiker over te halen iets te doen is anders. Hoewel SMiShing nog niet wijd verbreid is valt het te verwachten dat met de opkomst van de smartphone de mogelijkheden en het gebruik van deze methode zullen toenemen (KLPD/DNR, 2007a) -
Spy-phishing. ‘Dit is een vorm van phishing waar bij computergebruikers worden bespioneerd. Dit kan bijvoorbeeld aan de hand van Keyloggers waarmee toetsaanslagen worden vastgelegd die vervolgens worden verzonden in de richting van de oplichters’ (KLPD, 2006). Het verschil met de andere vormen van phishing kenmerkt zich doordat slachtoffers niet worden misleid; er is bij spy-phishing geen spraken van nagemaakte websites waarop persoonlijke gegevens worden ingetypt (KLPD, 2006). Feitelijk maken computercriminelen gebruik van spyware om achter persoonlijke informatie te komen. Het gebruik van spyware (bijlage 8) is een techniek die door phishers gebruikt wordt.
-
Spear phishing. Deze vorm van phishing onderscheidt zich doordat de aanvallen gericht zijn op bepaalde groepen gebruikers. Door relatief kleine groepen gebruikers aan te vallen kunnen de berichten persoonlijker worden gemaakt waardoor de gebruikers sneller geneigd zijn om het bericht te geloven en sneller vertrouwelijke informatie geven (McGhee, 2008, Ollmann, 2007, Microsoft, 2006a). De aanvaller kan bijvoorbeeld de afzender van een e- mail gespooft hebben zodat het lijkt dat de e- mail afkomstig is van de IT-afdeling van een grote organisatie. In mei 2008 zien we een voorbeeld van een dergelijke aanval in de Verenigde Staten. In figuur B9 staat een nieuwsbericht die de aanval beschrijft. Bestuurders van bedrijven kregen een e- mail die afkomstig leek te zijn van de Amerikaanse belastingdienst. De ontvanger van de e- mail werd overgehaald om een bepaalde website te bezoeken. Op de website moest de gebruiker een link aanklikken om de versie van de webbrowser Internet Explorer. Op het moment dat op de link werd geklikt werd er malware op de computer van de gebruiker geïnstalleerd. De malware bestond onder andere een keylogger die persoonlijke informatie van de gebruiker verstuurde naar de computercrimineel. De e- mail staat in figuur B10.
Figuur B9.3: Voorbeeld van een spear phishing aanval (Keizer, 2008c) Security researchers and the U.S. gove rnment today warned of on- going targeted phishing attacks disguised as overdue tax notices from federal courts. The attacks take aim at top- level executives, including one who works for security vendor McAfee Inc. "The e- mails are designed to look like a petition from the Tax Court and are fairly believable," said McAfee researcher Kevin McGhee in a notice posted to the company's Web site. "There's also a legitimate telephone number for the organization, [and] the executive's name is listed as the respondent in a case versus the Commissioner of Internal Revenue." (…) When users click on the link embedded in the phishing message, they're directed to a fake Tax Court Web site, said another security researcher, where they're asked to upgrade their copy of Microsoft Corp.'s Internet Explorer browser. "By string manipulation, in this case, adding a dash to the actual domain name of the actual site, unknowing users are easily made to believe that the bogus site is legitimate,
255
making them most likely to click on the link," said Jovi Umawing, a researcher at Trend Micro Inc. in a separate warning posted on Friday. McGhee noted that clicking on the purported IE update link actually downloads and installs malware, including a behind-the-scenes keylogger that records usernames and passwords typed on the PC's keyboard, then transmits that information to the identity thief.
Figuur B9.5: Voorbeeld van een spear phishing e-mail (McGhee, 2008)
256
-
Pharming. Pharming is een combinatie van de woorden farming en phishing. Pha rming gebruikt een andere techniek dan phishing, maar heeft dezelfde doelen; het ontfutselen van persoonlijke informatie. Het verschil is dat bij het klassieke phishing gebruik wordt gemaakt van social engineering om bepaalde gegevens van gebruikers te krijgen, terwijl dit bij pharming vervangen is door techniek. Pharming zorgt ervoor dat de gebruiker niet naar de website wordt geleid die hij eigenlijk wil bezoeken, maar naar een website die onder controle is van een computercrimineel (KLPD/DNR, 2007a). Een pharming-aanval is moeilijker om uit te voeren, maar is ook moeilijker te ontdekken. De gebruiker hoeft geen fouten te maken (zoals op een URL klikken in een e-mail bericht) en de gebruiker heeft niet door dat hij is doorgeleid naar een ander website (Violino, 2005). Pharming is het automatisch doorleiden van bezoekers naar een andere website, zonder dat de gebruiker dit weet. Bij pharming kunnen de gebruikers vertrouwelijke gegevens uitwisselen zonder dit te weten. Gebruikers hebben immers de veronderstelling dat zij de originele website bezoeken (bijvoorbeeld die van hun bank). Met deze gegevens is het vervolgens mogelijk om fraude te plegen (Ollmann, 2007, KLPD/DNR, 2007a). In deze VCN2009 houden wij de volgende definitie van pha rming aan: Het zonder toestemming doorgeleiden van bezoekers naar een andere website met als doel diefstal van persoonlijke informatie. Pharming is dus het zonder toestemming doorgeleiden van bezoekers naar een andere website. Dit kan zonder dat de gebruiker daar erg in heeft doordat de computercrimineel het IP-adres dat gekoppeld is aan de URL of domeinnaam heeft gewijzigd. Indien de gebruiker een website opvraagt krijgt deze niet de gewenste website maar de website die door de cybercrimineel is ingevoerd. Het kan bijvoorbeeld gaan om de website van een bank. De gebruiker wordt doorgeleid naar de malafide website, die zodanig is opgezet dat het lijkt alsof het de officiële website van de bank is. Vervolgens voert de gebruiker, net zoals hij altijd doet, zijn gebruikersnaam en wachtwoord in (pha rming.org, 2006). Die gegevens zijn nu in handen van de cybercrimineel. Het wijzigen van de koppeling tussen IP-adres en de URL of domeinnaam kan op twee manieren. Namelijk door het manipuleren van gegevens in de Domain Name Server (DNS) of middels het wijzigen van gegevens in de host file op de computer van de gebruiker (Olmann, 2007, KLPD/DNR, 2007a). De eerste mogelijkheid is het wijzigen van gegevens in de DNS. De DNS kan bijvoorbeeld van een Internet Service Provider (ISP) zijn. In de DNS worden domeinnamen en URL’s die zijn opgevraagd door gebruikers gekoppeld aan IP-adressen (Violino, 2005). De computercrimineel zorgt ervoor dat wanneer de gebruiker de website van zijn bank aanvraagt de DNS hier niet het officiële IP-adres van de website van de bank teruggeeft maar het IP-adres van een website van de computercrimineel. Een tweede mogelijkheid is dat de computer van de gebruiker geïnfecteerd is met malware en dat deze malware er voor zorgt dat lokale bestanden waar de vertaling van domeinnaam en URL naar IP-adres gebeurd gewijzigd worden (Violino, 2005). Hetzelfde effect als bij de eerste mogelijkheid treedt op: de gebruiker wordt, zonder er erg in te hebben, naar een malafide pagina geleid waar hij persoonlijke informatie op invoert. Deze tweede vorm van pharming kan ook worden uitgevoerd op de routers van draadloze netwerken (Stamm e.a., 2006). Slecht beveiligde routers kunnen simpel worden aangevallen. Het IP-adres van de router en andere informatie die nodig is om de router aan te vallen zijn vrij eenvoudig te
257
verkrijgen. Vervolgens kan de cybercrimineel gegevens in de router aanpassen. Dit wordt ook wel drive-by pharming genoemd. Cybercriminelen kunnen met een laptop eenvoudig op zoek gaan naar slecht beveiligde draadloze netwerken. Pharming aanvallen zijn moeilijker te achterhalen (Stamm e.a., 2006). De gebruiker heeft niet door dat hij een malafide website bezoekt. Er is ook nog weinig bekend over de omvang van pharming-aanvallen (Violino, 2005). In maart 2005 werd een aanval gedaan op een aantal ‘.com’ websites. Een aantal DNS-servers van ISP waren geïnfecteerd en de aanvraag van meer dan 900 websites door unieke IP-adressen en meer dan 75.000 e-mail berichten werden omgeleid (Ollmann, 2005). Het wijzigen van gegevens in DNS-servers is niet nieuw, dit was al langer bekend onder de naam DNS cache poisoning. Door de toenemende mate waarin internet gebruikt wordt voor het maken van financiële transacties en daarmee het invoeren van persoonlijke informatie, worden de opbrengsten voor cybercriminelen groter (pharming.org, 2006, Violino, 2005). Omvang Onderzoek van de Anti Phishing Working Group (APWG) geeft een beeld dat ongeveer 5 procent van de aanvallen die worden uitgevoerd daadwerkelijk leidt tot het stelen van persoonlijke informatie (Ollmann, 2004). Een ander onderzoek komt met vergelijkbare cijfers: drie procent van de aanvallen is succesvol (Stamm e.a., 2006). Het is echter niet duidelijk hoe betrouwbaar dergelijke cijfers zijn. Volgens de cijfers van de Anti Phishing Working Group blijkt dat het aantal unieke phising-emails tussen januari 2007 en januari 2008 min of meer gelijk blijft over de maanden (APWG, 2008). Dit staat in contrast met het gevoel bij de banken en in de beveiligingswereld dat het aantal financiële aanvallen toeneemt (KLPD/DNR, 2007a). Dit laat zich verklaren als we de ontwikkelingen op het gebied van financiële aanva llen beschouwen. Ten eerste is zichtbaar dat phishing-aanvallen steeds kleiner en gerichter worden, waardoor ze worden gemist in de telling. Phishing volgt hiermee de algemene trend in cybercrime van het zo lang mogelijk onzichtbaar proberen te blijven. Ten tweede neemt het gebruik van methoden als IFrame injecties (zie bijlage 6) om slachtoffers te besmetten toe. Deze methoden worden met dezelfde doelen gebruikt en maken de phishingmail overbodig. Tenslotte is de kwaliteit van de social engineering methoden aanzienlijk gestegen en komen er steeds meer varianten van phishing. In het begin van 2008 verstuurde de FBI, middels het Internet Crime Complaint Centre, een waarschuwing betrekking tot het gestegen aantal vishing aanvallen: Are you one of many who have received an e-mail, text message, or telephone call, purportedly from your credit card/debit card company directing you to contact a telephone number to reactivate your card due to a security issue? The IC3 has received multiple reports on different variations of this scheme known as "vishing". These attacks against US financial institutions and consumers continue to rise at an alarming rate. (Internet Crime Complaint Center, 2008) Uit cijfers van het Internet Crime Complaint Centre (IC3, een samenwerking in de VS tussen de Federal Bureau of Investigation (FBI), de National White Collar Crime Center (NW3C) en de Bureau of Justice Assistance (BJA)) blijkt dat van de gemelde e-fraude zes procent van die klachten betrekking had op identiteitsdiefstal (IC3, 2008b). In figuur B11 staan statistieken die verzameld zijn door de Anti Phishing Work Group (APWG). Uit de cijfers blijkt dat het aantal phishing website weliswaar sinds december 2007 zijn afgenomen, maar het aantal klachten over dergelijke sites juist is toegenomen. Ook het aantal unieke keyloggers nam toe
258
met 1,4 procent ten opzichte van oktober 2007. Verder blijkt dat in de meeste gevallen (92,4 procent) de financiële sector doelwit is van phishers (APWG, 2008).
Figuur B9.6: Phishing statistieken januari 2008 (APWG, 2008) The number of unique keylogger crimeware variants detected in January reached a new high of 364, an increase of 1.4% from the previous high in October, 2007. In the month of January, the number of websites that were hosting keylogging crimeware systems rose by over 1,100, reaching 3,362, the second highest number recorded in the preceeding 12 months. The total number of unique phishing reports submitted to APWG in January 2008 was 29,284, an increase of over 3,600 reports from the previous month. The number of unique phishing websites detected by APWG was 20,305 in January 2008, a decrease of over 5,000 from the month of December 2007. In January, the United States moved back to being the top hosting country for passwordstealing malicious code with 43.39%, after being eclipsed by China in December. In January, APWG saw the United States remain the top of country hosting phishing websites with 37.25% of all such websites.
In 2005 is een onderzoek uitgevoerd op de Universiteit van Indiana (Jagatic e.a., 2005). Een phishing aanval werd uitgevoerd door de onderzoekers naar studenten van de universiteit tussen de 18 en 24 jaar oud. Er werden twee aanvallen uitgevoerd, een aanval met behulp van social engineering (waarbij de afzender een bekende leek) en een aanval zonder social engineering (een controle groep). Een aanval werd als succesvol beschouwd indien een student op de link in de e-mail klikte en vervolgens zijn wachtwoord en gebruikersnaam invoerden op de website waar de URL naar linkte. Bij bijna driekwart van de studenten (72 procent) die met behulp van social engineering werden aangevallen was de aanval succesvol. Bij de aanvallen die zonder social engineering werden uitgevoerd slaagde 16 procent van de aanvallen (zie figuur B12).
Figuur B9.7: Aantal geslaagde phishing aanvallen (Jagatic e.a., 2005) Aantal aanvallen Geen social engineering Wel social engineering
Succesvolle aanva l- Percentage len 94 16% 487 72%
15 349
De onderzoekers hebben de betrokken studenten een vervolgens een mail gestuurd met de uitkomsten van het onderzoek en een kans om te reageren. Met name de reacties die volgden op het onderzoek zijn interessant. Geen van de studenten die reageerden op het onderzoek gaf bijvoorbeeld toe zelf slachtoffer te zijn geweest. Meestal gaven ze aan te reageren voor ie-
259
mand die wel zelf slachtoffer was en zelf nooit in een dergelijke aanval zouden trappen. Ook dachten veel studenten dat de onderzoekers in de e- mail accounts hadden gehackt om persoonlijke informatie te misbruiken terwijl de onderzoekers alleen de afzender gespooft hadden. Veel studenten begrepen niet dat veel informatie gewoon op openbare netwerk site stonden. Diegene die dat wel begrepen vonden het niet ethisch dat dergelijke informatie gebruikt werd. Verbanden Phishing is een criminele techniek die wordt gebruikt voor identiteitsdiefstal. Vervolgens kan de gestolen identiteit worden doorverkocht of gebruikt worden voor het plegen van e- fraude. Om iemands identiteit te kunnen stelen zal vaak gebruikt moeten worden genaakt van hacken. Ook is het kunnen computercriminelen bedrijven afpersen zodra het gelukt is om informatie van klanten te stelen. Er zijn een aantal basismethoden waarop informatie van gebruikers kan worden gestolen. Bij de uitvoering van phishing aanvallen kan een combinatie van deze verschillende technieken gebruikt worden. Social engineering wordt bijvoorbeeld gebruikt om te zorgen dat gebruikers over te halen bepaalde handelingen te doen die ze normaal niet zouden doen. In het geval van phishing kan gebruik worden gemaakt van social engineering om de gebruiker op een url te laten klikken die leidt naar een malafide website (Milletary, 2005). Technieken zoals IFrame injecties, cross site scripting en spyware (bijlage 6, 7 en 8) kunnen ook worden gebruikt om informatie te stelen. Een veel gebruikte techniek bij phishing is de ‘man in the middle attack’. De computercrimineel zorgt dat hij zich bevindt tussen de gebruiker en de website waar de gebruiker zijn gegevens op inlogt. De computercrimineel kan nu alle informatie die tussen de gebruiker en de website wordt uitgewisseld zien (Ollmann, 2004). In een e- mail wordt het slachtoffer middels social engineering verleidt om op een URL te klikken. Het bericht lijkt afkomstig te zijn van de bank, maar is in werkelijkheid vervalst door de computercrimineel. In de e-mail staat dat de bank bezig is met het uitvoeren van een security-check en dat de gebruiker hiervoor moet inloggen op een bepaalde pagina. De URL leidt naar een malafide website die echter een kopie is van de website van een betrouwbare organisatie. Op deze website vult de gebruiker zijn persoonlijke gegevens is, bijvoorbeeld om in te loggen op zijn account, maar deze informatie wordt daardoor ook verstrekt aan de computercrimineel. De informatie die wordt ingevoerd is nu beschikbaar voor de aanvaller. Doordat het verkeer weer wordt doorgeleid van de malafide website naar de echter website van de bank, kan de gebruiker gewoon inloggen en heeft deze niets door (KLPD/NDR, 2007a, Van Geest, 2006, Watson e.a., 2005, Ollmann, 2004). Bij de meeste vormen van phishing wordt er gebruik gemaakt van de man- in-the- middle-techniek. Dat is ook een van de kenmerken van een phishing aanval: een gebruiker wordt verleidt om gegevens af tegen met als doel deze gegevens te stelen, maar dit kan het beste door de gebruiker wel door te linken naar de echter website; op deze manier heeft de gebruiker niet door dat zijn persoonlijke informatie is gestolen. Een nieuwe vorm van de man in the middle attack is de man- in-the-browser-attack (govcert, 2008). ‘De computer van de eindgebruiker wordt besmet met een programma dat zich nestelt in de webbrowser en aanpast wat de gebruiker ziet en doet. Dit is subtiel: bijvoorbeeld een extra veldje in een formulier, om aanvullende gegevens te ontfutselen. Ondertussen wordt gebruik gemaakt van de beveiligde verbinding die de klant heeft met de bank en zijn of haar autorisaties’ (Govcert, 2008: 8) Trends Van der Hulst en Neve (2008) concluderen dat identiteitsfraude met behulp van phishing wordt beschouwd als een van de snelst groeiende vormen van niet-gewelddadige criminaliteit (Rogers, 2006) en werd ook in het NDB2004 en de V-NDB2006 (Boerman en Mooij, 2006:
260
31) als voorwaardelijke dreiging gekwalificeerd. Door de groei van e-commerce en de toenemende virtuele geldstromen is de verwachting bovendien dat internetfraude (en identiteitsdiefstal) de komende jaren de grootste aantallen slachtoffers en financiële schade zullen aanrichten (Taylor en anderen, 2006: 357-383). De hoge ADSL-dichtheid, waarbij computers vrijwel permanent in verbinding staan met het internet, maken vooral Nederland een zeer aantrekkelijk werkterrein voor phishers (Van der Hulst en Neve, 2008). Computercriminelen zijn constant bezig met het innoveren van hun aanvalstechnieken Watson e.a., 2005). Ze verzinnen steeds nieuwe manieren om hun phishingaanvallen succesvoller te laten zijn; teksten om gebruikers te misleiden worden beter en de daadwerkelijke locatie van phishing-sites wordt verborgen gehouden om de site zo lang mogelijk in de lucht te kunnen houden (phishing by proxy) (Govcert.nl, 2007). Een ander voorbeeld is het gebruik van stealth malware (of rootkits), malware dat zich onzichtbaar en zonder sporen in een computer nestelt (AusCert, 2006). Auscert zag in 2005 en 2006 een toename van dergelijke technieken. De innovatie van technieken is terug te zien in de hoeveelheid varianten van phishing (vishing, smishing, pharming, et cetera). Een variant van phishing, spear-phishing wordt steeds meer gebruikt; slachtoffers worden bewust uitgezocht en gericht aangeschreven. Zo worden e- mail berichten verstuurd in bepaalde sociale netwerken, in de eigen taal of alsof ze van een collega afkomstig zijn en wordt ge vraagd om bevestiging van beveiligingscodes en wachtwoorden (Van der Hulst en Neve, 2008, Symantec, 2007b). Dergelijke doelgerichte aanvallen zijn kleiner van omvang waardoor ze ook minder snel worden opgemerkt door ant ivirusbedrijven. Ook is de IT-sector bezig met een ontwikkeling naar meer service- gerichte applicatie (de zogenaamde Web 2.0). Dit kan gaan zorgen voor een hele lading nieuwe zwaktes die uitgebuit kunnen worden (Computer Security Institute, 2007: 26). Hieraan gelieerd is de nieuwe focus van cybercrime op Web2.0 toepassingen (Finjan, 2007). Een andere belangrijke ontwikkeling op het gebied van phishing zijn man- in-the-middle phishing aanvallen. Authenticatiegegevens die de klant opgeeft worden direct doorgespeeld aan de bank. Deze manier van phishing maakt het mogelijk om ook toegang te krijgen tot websites als die beschermd zijn op basis van two factor authentication (Govcert.nl, 2007). De Anti Phishing Wok Group (APWG) ziet in 2008 een toename van het aantal pharming aanvallen (APWG, 2008). Ten slotte zal de komende jaren door het gebruik van social engineering steeds meer ingespeeld worden op sociale evenementen en op persoonlijke interesses. Beveiligingsbedrijf Websense geeft aan dat de Olympische Spelen van 2008 een basis zullen zijn voor oplichting en phishing-berichten (Websense, 2007). Een ander voorbeeld zijn phising-berichten na grote rampen. De FBI waarschuwde bijvoorbeeld voor phishing–aanvallen na de aardbevingen in het begin van 2008 in China (FBI/IC3, 2008). De computercriminelen verstuurden e- mails waarin gevraagd werd om geld te doneren voor hulp aan de slachtoffers. De computercriminelen maakten gebruik van logo’s van legitieme organisatie en nepbetaalsystemen. Resumé Phishing is de verzamelnaam voor digitale activiteiten die tot doel hebben persoonlijke info rmatie aan gebruiker te ontfutselen. Er is sprake van phishing indien de aanvallen zich voordoet als een betrouwbare instantie en dat die aanvaller via digitale middelen, zoals e- mail of sms, probeert om vertrouwelijke informatie van een gebruiker te stelen. Er zal tal van ve rschijningsvormen van phishing te onderscheiden (e-mail phishing, vishing, smishing, spyphishing, spear phishing en pharming). Phishing is een criminele techniek die wordt gebruikt voor identiteitsdiefstal. Vervo lgens kan de gestolen identiteit worden doorverkocht of gebruikt worden voor het plegen van e-fraude. Om iemands identiteit te kunnen stelen zal vaak gebruikt moeten worden genaakt
261
van hacken. Ook is het kunnen computercriminelen bedrijven afpersen zodra het gelukt is om informatie van klanten te stelen. Identiteitsfraude heeft in Nederland geen eigen bepaling in de strafwet. Wanneer persoonlijke gegevens worden verkregen door het binnendringen van een computersysteem dan is de dader strafbaar op grond van art. 138 Sr. Het aftappen van informatie (door bijvoorbeeld spyware) is strafbaar gesteld in de artikelen 193 c, d en e Sr. Indien er opzettelijk dan wel door schuld een geautomatiseerd werk wordt vernield zijn de artikelen 161sexies en 161septies Sr van toepassing. Indien er gegevens worden vernield is artikel 350 Sr van toepassing. Wanneer deze persoonlijke gegevens worden verkregen door “spoofing” of “phishing” valt het onder art. 326 Sr., oplichting. Het gebruik van deze persoonlijke gegevens voor eigen of andermans voordeel valt ook onder art. 326 Sr., oplichting (De Vries, e.a., 2007, Europese Commissie, 2007, Ejure, 2004). Onderzoeken geven een beeld dat tussen de drie en vijf procent van de phishingaanvallen die worden uitgevoerd daadwerkelijk leiden tot het stelen van persoonlijke informatie (Stamm e.a., 2006, Ollmann, 2004). Daarnaast blijkt dat van de gemelde e-fraude zes procent van die klachten betrekking had op identiteitsdiefstal (IC3, 2008b). Verder zijn het aantal phishing website weliswaar sinds december 2007 afgenomen, maar het aantal klachten over dergelijke sites juist is toegenomen. Ook het aantal unieke keyloggers nam toe met 1,4 procent ten opzichte van oktober 2007. Verder blijkt dat in de meeste gevallen (92,4 procent) de financiële sector doelwit is van phishers (APWG, 2008). Van der Hulst en Neve (2008) concluderen dat identiteitsfraude met behulp van phishing wordt beschouwd als een van de snelst groeiende vormen van niet-gewelddadige criminaliteit (Rogers, 2006) en werd ook in het NDB2004 en de V-NDB2006 (Boerman en Mooij, 2006: 31) als voorwaardelijke dreiging gekwalificeerd. Computercriminelen zijn constant bezig met het innoveren van hun aanvalstechnieken Watson e.a., 2005). Dit is onder andere te zien door de hoeveelheid varianten van phishing. De variant van phishing, spear-phishing wordt steeds meer gebruikt.
262
Bijlage 10: Analysekader dossierstudie Algemeen V1
Batch
V2 V3
Dossiernummer Onderzoeker
V4
Datum invoer (jaar/maand/dag)
V5
Dossier bruikbaar
V6
Indien niet bruikbaar, waarom nie t?
V7
Anders, namelijk
1. Hacken 2. Internetfraude 3. Cyberafpersen 4. Haatzaaien 5. Kinderporno ………………………………………………… 1. Pamela Rengers 2. Dennis Lubbers 3. Jelmer de Jong 4. Sander Veenstra 5. Klaas van der Pol 6. Rutger Leukfeldt 7. Miranda Domenie ………………………………………………… 0. Nee 1. Ja 1. Alleen melding, geen aangifte 2. Geen cybercrime 3. Anders ………………………………………………… ………………………………………………… ………………………………………………… ………………………………………………… …………………………………………………
Uit het dossier, kopje 1 en 2, letterlijk overnemen V8 Basisprocessensysteem 1. XPOL 2. BPS 3. GENESYS V9 Omschrijving ………………………………………………… V10 Hoofdgroep ………………………………………………… V11 Subgroep ………………………………………………… V12 Code ………………………………………………… V13 Modus Operandi ………………………………………………… ………………………………………………… ………………………………………………… ………………………………………………… ………………………………………………… V14 Datum kennisname ………………………………………………… V15 Datum pleegperiode begin ………………………………………………… V16 Datum pleegperiode eind …………………………………………………
263
Over de daad 0 = nee / 1 = ja / 99 = onbekend V17 V17a V17b V17c V17d V17e V17f
Is er sprake van hacken? Ongeautoriseerde toegang tot ICT Beveiliging doorbreken Beveiliging omzeilen Wachtwoord(en) raden* Wachtwoord(en) misbruiken* (bijvoorbeeld ongeautoriseerd gebruik maken van een wachtwoord) Wachtwoord(en) stelen*
0 0 0 0 0 0
1 1 1 1 1 1
99 99 99 99 99 99
0
1
99
* Het gebruiken van wachtwoorden om te kunnen hacken valt onder de cybercrime hacken en niet onder identiteitsdiefstal of identiteitsfraude.
V18 Is er sprake van identiteitsdiefstal? V18a Het via ICT stelen van persoonsgegevens (bijvoorbeeld door phishing, keyloggers of het gebruik van spyware) V18b Door het gebruik van social engineering en via ICT stelen van persoonsgegevens V18c Identiteitscreatie: het creëren van een fictieve identiteit middels ICT V18d Identiteitsdelegatie: het overnemen van een identiteit van een bestaand persoon via ICT mét diens toestemming.
0 0
1 1
99 99
0
1
99
0
1
99
0
1
99
V18e
Is er sprake van e- fraude?
0
1
99
V19
Is er sprake van e- fraude met behulp van identiteitsmisbruik?*
0
1
99
* Het gebruiken van een andere (digitale) identiteit, met het oogmerk om daarmee oneigenlijk voordeel te behalen.
V20
Is er sprake van e- fraude zonder behulp van identiteitsmisbruik?*
0
1
99
* Bedrog met als oogmerk het behalen van financieel gewin waarbij ICT essentieel is voor de uitvoering (oplichting op veilingsites, niet leveren van goederen, marktplaats oplichting, voorschotfraude, creditcardfraude, fraude met inbelnummers, marktmanipulatie)
V21 Is er sprake van cyberafpersing?* V21a Het via ICT en door middel van dreiging en/of geweld het op illegale wijze verkrijgen van geld of goederen van een persoon of organisatie (het creëren van botnets, uitvoeren van DDoSaanvallen, defacing van websites en het stelen van digitale informatie uit digitale systemen) V21b Het via ICT bedreigen met smaad, smaadschrift of openbaring van een geheim om geld of goederen van een persoon of organisatie te krijgen
0 0
1 1
99 99
0
1
99
* Indien het doel van de bedreiging niet het verkrijgen van geld of goederen is, gaat het NIET om cyberafpersing (zie lijst overige cybercrimes).
V22
Is er sprake van kinderporno?
0 264
1
99
V22a Vervaardigen van virtuele kinderpornografie. V22b Bezit van kinderpornografisch materiaal op ICT V22c Verspreiden van kinderpornografisch materiaal via ICT
0 0 0
1 1 1
99 99 99
V23
0
1
99
Is er sprake van haatzaaien *
Het (aanzetten tot) opzettelijk beledigen of discrimineren van bepaalde groeperingen waarbij ICT essentieel is voor de uitvoering * Let op! Het gaat alleen om haatzaaien indien er GEEN bijdrage aan het publieke debat geleverd wordt. V24 Cybercrime overig (Mogelijkheid tot aanvulling door studenten.) 0 1 99
V24a V24b V24c V24d ….. …..
Aanranding door dreiging met geweld Aanranding door dreiging met smaad Aanranding door grooming/misbruik autoriteit/beloftes …………………………………………………… …………………………………………………… ……………………………………………………
0 0 0
1 1 1
99 99 99
V25
Overige criminaliteit / Geen cybercrime (Mogelijkheid tot aanvulling
0
1
99
0 0 0
1 1 1
99 99 99
door studenten.)
V25a Vervaardiging kinderpornografisch materiaal* V25b Bezit van kinderpornografisch materiaal, maar niet op ICT V25c Identiteitsdiefstal zonder gebruik van ICT (bijvoorbeeld dumpster diving) V25d …………………………………………………… V25e …………………………………………………… ….. …………………………………………………… ….. …………………………………………………… * Let op! Het vervaardigen van virtuele kinderporno valt onder vraag V22a.
Relevante wetsartikel(en), in volgorde van voorkomen in het dossier V26a V26b V26c V26d V26e
Artikelnummer: ………………… ………………… ………………… ………………… …………………
Wetsartikel 1*: Wetsartikel 2: Wetsartikel 3: Wetsartikel 4: Wetsartikel 5:
* de lijst met wetsartikelen en de bijbehorende code staan in de bijlage.
Over de criminele technieken: V27 V27a V27b V27c V27d V27e V27f V27g V27h V27i V27j
Is er gebruik gemaakt van cybercriminele technieken? Social engineering IFrame- injecties Cross-site scripting Defacing Botnets Phising Spyware Keyloggen DDoS-aanval Defacing 265
0 0 0 0 0 0 0 0 0 0 0
1 1 1 1 1 1 1 1 1 1 1
99 99 99 99 99 99 99 99 99 99 99
V27k V27l V27m V27n V27o
Sniffing Spoofing Onbekend Geen Anders
0 0 0 0 0
1 1 1 1 1
99 99 99 99 99
V28
Anders, namelijk
……………………………………………… ……………………………………………… ……………………………………………… ………………………………………………
V29
Is er sprake van voorbereiding
0 = nee / 1 = ja / 99 = onbekend
V29a Indien ‘ja’, beschrijf kort wat de voorbereiding was
………………………..……………………….. ………………………..……………………….. ………………………..………………………..
V30 Delict vanuit Nederland gepleegd? V30a Ander land dan Nederland, namelijk:
0 = nee / 1 = ja / 99 = onbekend ………………………..……………………….. ………………………..………………………..
V31
………………………..………………………..
Hoeveel betrokkenen (BE) zijn er?
V32 Hoeveel verdachten zijn er? V32a Zijn de verdachten onderdeel van een groep? V32b Is er sprake van zware/georganiseerde criminaliteit
………………………..……………………….. 1. Individuen 2. Groep(en) 99. Onbekend 0. Nee 1. Ja 99. Onbekend
Over de verdachte(n) en verbanden V33 V34 V35 V36 V37 V38 V39
Verdachtenummer Hoe vaak verhoord Geboortedatum (jjjj/mm/dd) Geboorteplaats Geboorteland Geslacht Burgerlijke staat
V40
Woonsituatie
V41
Opleidingsniveau:
……………………….. ……………………….. ……………………….. ……………………….. ……………………….. 1 = mannelijk / 2 = vrouwelijk / 99 = onbekend 1. Gehuwd 2. Samenwonend 3. Alleenstaand 99. Onbekend 1. Samenwonend 2. Alleenwonend 3. Inwonend (bv bij ouders) 99. Onbekend 1. WO
266
V42
Arbeidssituatie
V43
Beroep
V44
Technische grondslag beroep
V45
Indien technisch, korte beschrijving Technische vaardigheden/ computervaardigheden
V46
V47
Technische vaardigheden/ programmeerervaring
V48
Primaire motivatie
2. HBO 3. MBO 4. LBO 5. Middelbare school 6. Lagere school 99. Onbekend 1. Werkend voltijd 2. Werkend deeltijd 3. Arbeidsongeschikt 4. Ongewenst werkloos 5. Gewenst werkloos: werkt in de huishouding 6. Gewenst werkloos: geen zin om te werken 7. Gepensioneerd 8. Studerend 9. Anders namelijk, ……………………….. 99. Onbekend 1. Financieel 2. Overheid 3. Onderwijs 4. Militair 5. IT 6. Telecommunicatie 7. Gezondheidszorg 8. Retail 9. Transport 10. Bouw 11. N.v.t. 12. Anders, ……………………….. 99. Onbekend 1. Technisch 2. Niet technisch 99. Onbekend ………………………..……………………….. ………………………..……………………….. 1. Expert 2. Gemiddeld 3. Beginner 99. Onbekend 1. Hoog (programmeur) 2. Middel 3. Laag (gebruikt toolkit) 99. Onbekend 1. Nieuwsgierigheid 2. Sensatie/media-aandacht 3. Status/zichzelf bewijzen 4. Wraak 5. Vandalisme 6. Financieel gewin 7. Macht 8. (Intellectuele) uitdaging
267
V49
Anders, namelijk:
V50
Beschrijf kort de persoonlijke situatie van de verdachte
V51
Is verdachte in het verleden betrokken geweest bij andere vormen van criminaliteit Beschrijf kort de criminele carrière van de verdachte.
V52
V53
Relatie verdachte en slachtoffer
V54 Andere relatie V54a Toelichting relatie verdachte en slachtoffer
9. (Politiek) ideologisch 10. Nationalistisch 11. Anders 99. Onbekend ………………………..……………………….. ………………………..……………………….. ………………………..……………………….. ………………………..……………………….. ………………………..……………………….. ………………………..……………………….. ………………………..……………………….. 0. Nee 1. Ja 99. Onbekend ………………………..……………………….. ………………………..……………………….. ………………………..……………………….. ………………………..……………………….. 1. Familie 2. Partner getrouwd/samenwonend/langdurig 3. Partner verkering/kortstondige relatie 4. Ex-partner getrouwd/samenwonend/langdurig 5. Ex-partner verkering/kortstondige relatie 6. Kennis/bekende 7. Werknemer 8. Ex-werknemer 9. Onbekende 10. Anders 99. Relatie onbekend …………………………………………….. …………………………………………….. …………………………………………….. …………………………………………….. …………………………………………….. ……………………………………………..
Slachtofferformulier persoon V55 V56 V57 V58 V59 V60
Hoe vaak verhoord* (exclusief aangifte) Geboortedatum (jjjj/mm/dd) Geboorteplaats Geboorteland Geslacht Burgerlijke staat
……………………….. ……………………….. ……………………….. ……………………….. ……………………….. 1. Gehuwd 2. Samenwonend 3. Alleenstaand 99. Onbekend 268
V61
Woonsituatie
V62
Opleidingsniveau:
V63
Arbeidssituatie
V64
Beroep
V65
Beschrijf kort de persoonlijke situatie van het slachtoffer
V66
Is het slachtoffer in het verleden vaker slachtoffer van cybercrime geweest? Is het slachtoffer ook dader/verdachte geweest?
V67
V68
Technische grondslag beroep
1. Samenwonend 2. Alleenwonend 3. Inwonend (bv bij ouders) 99. Onbekend 1. WO 2. HBO 3. MBO 4. LBO 5. Middelbare school 6. Lagere school 99. Onbekend 1. Werkend voltijd 2. Werkend deeltijd 3. Arbeidsongeschikt 4. Ongewenst werkloos 5. Gewenst werkloos (werkt in de huishouding) 6. Gewenst werkloos (geen zin om te werken) 7. Gepensioneerd 8. Studerend 9. Anders namelijk, ……………………….. 99. Onbekend 1. Financieel 2. Overheid 3. Onderwijs 4. Militair 5. IT 6. Telecommunicatie 7. Gezondheidszorg 8. Retail 9. Transport 10. Bouw 11. N.v.t. 12. Anders, ……………………….. 99. Onbekend ………………………..……………………….. ………………………..……………………….. ………………………..……………………….. ………………………..……………………….. ………………………..………………………..
0. Nee 1. Ja 99. Onbekend 0. Nee 1. Ja 99. Onbekend 1. Technisch 2. Niet technisch 99. Onbekend
269
V69
Indien technisch, korte beschrijving
V70
Technische vaardigheden/ computervaardigheden
V71
Technische vaardigheden/ programmeerervaring
V72
Was er materiële schade?
V72a Indien ja, hoe hoog? V73 Hoe hoog was de impact op het slachtoffer?
V74
Beschrijf kort de gevolgen van de cybercrime voor het slachtoffer
………………………..……………………….. ………………………..……………………….. ………………………..……………………….. 1. Expert 2. Gemiddeld 3. Beginner 99. Onbekend 1. Hoog (programmeur) 2. Middel 3. Laag (gebruikt toolkit) 99. Onbekend 0. Nee 1. Ja 99. Onbekend € …………………………………………….. 1. Geen impact op het slachtoffer 2. Weinig impact op het slachtoffer 3. Veel impact op het slachtoffer 99. Onbekend ………………………..……………………….. ………………………..……………………….. ………………………..……………………….. ………………………..………………………..
Slachtofferformulier Organisatie V75 V76
Hoe vaak verhoord Sector
V77 V78 V79 V80
Anders, namelijk Aantal medewerkers bedrijf Vestigingsland Was er materiële schade?
V80a Indien ja, hoe hoog? V81 Hoe hoog was de impact op het bedrijf?
……………………….. 1. Financieel 2. Overheid 3. Onderwijs 4. Militair 5. IT 6. Telecommunicatie 7. Gezondheidszorg 8. Retail 9. Transport 10. Bouw 11. Anders 99. Onbekend ……………………….. ……………………….. ……………………….. 0. Nee 1. Ja 99. Onbekend € 1. Geen impact op het bedrijf 2. Weinig impact op het bedrijf 3. Veel impact op het bedrijf 270
V82
Beschrijf kort de gevolgen van de cybercrime voor het bedrijf
99. Onbekend ………………………..……………………….. ………………………..……………………….. ………………………..……………………….. ………………………..………………………..
Samenvatting, geef een korte weergave van wat er gebeurd is. Geef een schets van het dossier; wat is er gebeurd, waarom is het gebeurd en wat zijn de gebruikte technieken.
LET OP: vul gegevens van slachtoffer en verdachte(n) in op de betreffende formulieren!
271
Bijlage 11: Slachtofferenquête onder internettende Friezen Het onderzoek is uitgevoerd door vraaghetdevries.nl, een onderzoekspanel voor Friesland. Eerstejaarsstudent en van dertien opleidingen van de Noordelijke Hogeschool Leeuwarden ondervragen per persoon vier Friezen van 18 jaar of ouder in hun directe omgeving (geen studenten van de NHL), wat resulteert in een panel van ongeveer 1.800 Friezen. Deze 1.800 Friezen zijn op basis van geslacht, leeftijd, opleidingsniveau en de regio waarin zij wonen representatief voor Friesland. De respons is 80 procent. Van de respondenten gebruikt 88,3 procent het internet voor privédoeleinden. In de meting van november 2008 zijn door de studenten in tien dagen tijd 1.246 Friezen die internet gebruiken voor privédoeleinden mondeling en telefonisch ondervraagd over hun internetgebruik. We moeten voorzichtig met de resultaten omgaan, aangezien de groep wel representatief is voor Friesland, maar niet voor heel Nederland. Hierna geven we kort de resultaten van dat onderzoek weer. Hacken De eerste vraag luidde: ‘Bent u wel eens slachtoffer geweest van hacken?’ De hierbij geha nteerde definitie was:
'Wanneer iemand zich op ongeautoriseerde wijze van buitenaf toegang verschaft tot ICT' Denk aan: iemand misbruikt je wachtwoorden, iemand breekt in in je e-mail of op je profiel, iemand kan d.m.v. schadelijke software 'meekijken' op je computer, etc.
Van de respondenten was 2,7 procent in 2007 of 2008 slachtoffer van hacken. Van deze 34 slachtoffers heeft 1 persoon aangifte gedaan (2,9 procent van de slachtoffers). Tabel 10.1: Slachtofferschap hacken
Ja, in 2007 of 2008 Ja, vóór 2007 Nee, niet dat ik weet
Aantal 34 31 1181
% 2,7% 2,5% 94,8%
E-fraude Vervolgens vroegen we: ‘Bent u wel eens slachtoffer geweest van e- fraude?’ De hierbij gehanteerde definitie was: 'E-fraude is bedrog met als oogmerk het behalen van financieel gewin waarbij ICT essentieel is voor de uitvoering.' Een belangrijk aspect van alle vormen van fraude, en dus ook e-fraude, is dat fraudeurs veelal gebruik maken van een andere identiteit. Denk hierbij bijvoorbeeld aan het bestellen en betalen van goederen via internet bij een nep-bedrijf of nep-persoon waarna de goederen niet worden geleverd. Van de respondenten was 1,1 procent in 2007 of 2008 slachtoffer van e- fraude. Van deze 14 slachtoffers, heeft één persoon aangifte gedaan (7,1 procent).
272
Tabel 10.2: Slachtofferschap e-fraude
Ja, in 2007 of 2008 Ja, vóór 2007 Nee, niet dat ik weet
Aantal 14 14 1181
% 1,1% 1,1% 97,8%
Vervolgens is gevraagd of iemand wel eens geprobeerd heeft de respondent op te lichten (‘poging tot’) via internet. Van de respondenten zeggen 91 personen (7,3 procent) dat dat inderdaad is gebeurd in 2007 of 2008, 35 respondenten (2,8 procent) zeggen dat iemand dat vóór 2007 (ook) heeft geprobeerd. Zaken die respondenten noemen als poging tot e-fraude in 2007 of 2008 zijn heel uiteenlopend en terug te brengen tot de volgende zes categorieën: − − − − − −
Pogingen tot phising; Loterij-fraude (u heeft iets gewonnen, maar u moet eerst iets betalen); Irrealistische biedingen op veilingsites; Spam; Proberen via marktplaats geen eerlijke handel te plegen; Valse facturen.
Kinderporno Als laatste is gevraagd: ‘Heeft u wel eens ongewenst kinderporno ontvangen via de pc?’ De hierbij gehanteerde definitie luidde: 'Een afbeelding van een seksuele gedraging, waarbij iemand die kennelijk de leeftijd van achttien jaar nog niet heeft bereikt, is betrokken of schijnbaar betrokken.' Van alle respondenten antwoorden 8 respondenten (0,6%) dat dit in 2007 of 2008 is gebeurd en nog eens 8 respondenten dat dit vóór 2007 is gebeurd. Geen van hen heeft hiervan aangifte gedaan bij de politie. Andere vormen van cybercrime zijn in dit onderzoek niet gemeten. Uit het onderzoek in Friesland kunnen we voorzichtig concluderen dat het slachtofferschap van cybercrime hoger ligt dan het aantal crimes dat in de registratiesystemen van de politie terecht komt. Alleen al van hacken (2,7%), fraude (1,1%) en kinderporno (0,6%) was 4,4 procent van de respondenten in de afgelopen twee jaar het slachtoffer. 111 De aangiftebereidheid is laag, zo luidt een tweede conclusie. Van de 56 slachtoffers van de genoemde drie delicten samen, deden er twee aangifte, hetgeen overeenkomt met 3,6 procent. De aangiftebereidheid in de Veiligheidsmonitor Rijk ligt gemiddeld over alle in die monitor genoemde delicten op ongeveer 25 procent (VMR, 2006). De derde conclusie die we kunnen trekken is dat het aantal pogingen tot efraude veel hoger ligt dan het slachtofferschap van dat delict.
111
We sommeren de percentages, voorbij gaande aan de mogelijkheid van gecombineerd slachtofferschap. Ook verdient nadruk dat we in de dossierstudie keken naar percentage cybercrimes in een jaar, terwijl de vragenlijst was gericht op slachtofferschap in de afgelopen twee jaar.
273
274