Cybercrime: van hacken tot cryptofraude

Online misdaad, ook wel cybercrime genoemd, is vandaag de dag niet meer weg te denken in onze maatschappij. De enorme groei van cybercrime in de afgelopen decennia maakt echter dat de wetgever nogal eens moeite heeft deze ontwikkelingen bij te houden. Daardoor is het niet altijd duidelijk welk strafbaar feit in de zin van de wet nu precies wordt gepleegd. In dit blog geven we een overzicht van de meest voorkomende vormen van cybercrime waarbij we kijken naar de vraag hoe deze worden beschouwd door ons strafrecht en welke straffen opgelegd kunnen worden.

Klik hieronder op een van de titels om meteen naar het onderwerp te scrollen:

  1. Hacken
  2. Phishing
  3. DDoS-aanval
  4. Ransomware
  5. Cryptofraude
  6. Conclusie

1. Hacken

1.1. Betekenis

Een van de meest bekende vormen van cybercrime betreft het hacken van een systeem of computer. In het Wetboek van Strafrecht (hierna: Sr) is hacken strafbaar gesteld in artikel 138ab als ‘computervredebreuk’. Daarbij gaat het om het wederrechtelijk binnendringen in een ‘geautomatiseerd werk’ (bijvoorbeeld een computer of database).

1.2. Voorbeelden

In de praktijk kan er bijvoorbeeld worden gedacht aan het inbreken op het social media-account van een ander. Ook het inbreken op een computer van een ander of het account voor online bankieren van een ander om vervolgens geld te stelen valt hieronder. In dit laatste geval is bovendien ook sprake van diefstal in de zin van artikel 311 Sr. Ook het hacken van een server in de hoop daarop (contact)gegevens te vinden, wordt beschouwd als computervredebreuk.

1.3. Straffen

Bij computervredebreuk is enkel het binnendringen al strafbaar, met een maximumstraf van twee jaar gevangenisstraf. Wanneer de hacker ook gegevens overneemt, aftapt of opneemt wordt de maximale straf opgehoogd naar vier jaar, aldus artikel 138ab lid 2 Sr.

Vanwege de vele mogelijke praktische uitvoeringen van dit delict is niet eenvoudig te bepalen welke straf er uiteindelijk wordt opgelegd bij het plegen van computervredebreuk. Uit de richtlijn van het OM blijkt dat voor eenvoudige gevallen een taakstraf het uitgangspunt is. Zodra ook gegevens worden overgenomen of geld wordt gestolen, kan het al snel om meerdere jaren gevangenisstraf gaan. Enkele hierna te behandelen strafbare feiten kunnen enkel worden begaan nadat iemand zich toegang heeft verschaft tot het geautomatiseerde werk van een ander zodat de strafbare feiten zich al snel opstapelen.

Dat geldt ook voor het delict witwassen. In het kader van cybercrime geldt dat witwassen een veelvoorkomend delict is. Criminelen zullen immers hun via criminele activiteiten verkregen geld willen verhullen voor de opsporings- en andere diensten, waardoor zij zich vaak schuldig maken aan één van de gedragingen genoemd in de artikelen 420bis Sr en verder.

In veel cybercrimezaken wordt daarom, naast een of meer specifieke cybercrimedelicten, witwassen ten laste gelegd. Ondanks dat de strafbedreiging voor witwassen op zichzelf fors is, wordt bij de strafbepaling door de rechter vaak gekeken welk delict centraal staat in een zaak. In het kader van cybercrime zal de witwasgedraging an sich dus vaak niet bepalend zijn voor de uiteindelijk op te leggen straf.

Lees ook: Witwassen: wanneer bent u strafbaar?

2. Phishing

Oplichting kan zowel fysiek als online plaatsvinden. De delictsomschrijving van artikel 326 Sr is zodanig breed geformuleerd dat ook oplichting via bijvoorbeeld Marktplaats of WhatsApp hieronder kan vallen. Ook het zogenaamde phishing valt hieronder. Daarbij gaat het bijvoorbeeld om het stelen van geld of gegevens doordat op een link wordt geklikt in een e-mail die leidt naar een valse website waardoor gegevens of geld kan worden ontfutseld aan het slachtoffer.

2.1. Betekenis

Voor een veroordeling voor phishing is het noodzakelijk dat het slachtoffer door het gedrag van de dader iets afgeeft, betaalt of doet voor die dader, terwijl een eventueel beloofde tegenprestatie uitblijft. Enkel dat laatste is echter niet genoeg voor strafrechtelijke aansprakelijkheid. Het komt immers vaak voor in het privaatrecht dat twee partijen afspraken maken waar één van hen zich niet aan houdt. Daarom vereist artikel 326 Sr dat de dader het oogmerk moet hebben ‘om zich of een ander wederrechtelijk te bevoordelen’. Als dat oogmerk niet kan worden bewezen, zal vrijspraak moeten volgen.

In strafrechtelijke zin betreft de oplichting slechts één onderdeel van een reeks aan strafbare feiten die worden gepleegd bij phishing. Na het afgeven van bijvoorbeeld gegevens aan een niet bestaande bankmedewerker vindt vaak de zojuist besproken computervredebreuk plaats, al dan niet in combinatie met diefstal middels een valse sleutel (artikel 311 Sr). Ook is het mogelijk dat na de oplichting gegevens worden verwijderd van iemands computer (artikel 350a Sr).

2.2. Voorbeelden

Bij phishing kunt u denken aan de talloze voorbeelden van mensen die een bericht ontvangen van hun zogenaamde zoon of dochter die dringend geld nodig heeft waarna achteraf blijkt dat het bericht van een oplichter kwam en het geld van de ouder is verdwenen. Naast WhatsApp vindt phishing plaats via sms, e-mail, websites en telefonisch contact.

Zo zijn er regelmatig berichten in het nieuws dat mensen e-mails ontvangen waarvan zij denken dat die van hun bank komen waarbij zij hun inloggegevens opgeven op een valse website en uiteindelijk van hun geld worden bestolen. Ook worden slachtoffers gebeld door oplichters die zich voordoen als medewerker van hun bank zodat de slachtoffers inloggegevens afgeven waarmee de oplichters geld kunnen stelen van hun bankrekening.

Meest recentelijk werden mensen massaal via de e-mail benaderd met een valse e-mail die afkomstig zou zijn van WoningNet waarin wordt gevraagd om de jaarlijkse bijdrage te betalen om in aanmerking te kunnen blijven komen voor een sociale huurwoning. Bij het klikken op de valse link worden echter de inloggegevens voor het online bankieren door de oplichters gestolen evenals het geld van de slachtoffers.

2.3. Straffen

Op oplichting staat in principe een maximumstraf van vier jaar, dat geldt dus ook voor phishing. Volgens de richtlijn van het OM betreffende oplichting hangt de uiteindelijke hoogte van de straf bij oplichting sterk af van het bedrag of de waarde van het goed dan wel de dienst en andere factoren. Zodra iemand bijvoorbeeld stelselmatig mensen oplicht en de bedragen oplopen kan al snel een gevangenisstraf worden geëist. In de praktijk zijn gevangenisstraffen voor dergelijke hevige vormen van oplichting zeker geen uitzondering zoals we hierna ook zullen zien.

3. DDoS-aanval

3.1. Betekenis

Waar phishing valt onder de bredere strafbaarstelling van oplichting, is dat bij sommige vormen van cybercrime niet het geval. Bepaalde gedragingen zijn specifiek door de wetgever strafbaar gesteld in (relatief) nieuwe wetsartikelen. Een van die gedragingen betreft het uitvoeren van een zogeheten DDoS-aanval (DDoS: distributed-denial-of-service), strafbaar gesteld in artikel 138b Sr. Daarbij wordt door een groot netwerk van (gehackte) computers (een zogeheten botnet) enorm veel data naar een bepaalde server gestuurd, waardoor deze overbelast raakt.

3.2. Voorbeelden

DDoS-aanvallen komen met enige regelmaat in het nieuws voorbij wanneer bijvoorbeeld banken of de overheid hierdoor worden getroffen. Zo werd de website www.rechtspraak.nl recentelijk het slachtoffer van een DDoS-aanval waardoor advocaten niet bij hun digitale dossiers konden of online zittingen konden bijwonen.

Dit was het gevolg van het feit dat vanaf heel veel verschillende gehackte computers aanvragen werden gedaan bij deze website waardoor de server waarop die website draaide overbelast raakte. Door de overbelasting van de server was de website van de Rechtspraak, die op die betreffende server draait, niet meer bereikbaar.

De economische en reputatieschade bij DDoS-aanvallen kan vaak enorm zijn en DDoS-aanvallen worden dan ook vaak gebruikt om bedrijven en/of organisaties af te persen.

3.3. Straffen

De maximumstraffen in verband met een DDoS-aanval op grond van artikel 138b Sr kunnen oplopen tot vijf jaar gevangenisstraf mede afhankelijk van de methode, grootte van het botnet, de aard en de grootte van de schade.

Wanneer een DDoS-aanval daadwerkelijk een website platlegt, valt deze gedraging tevens onder de strafbaarstelling van artikel 161sexies Sr: het opzettelijk (onder meer) vernielen, beschadigen of onbruikbaar maken van (onder andere) een geautomatiseerd werk. De maximumstraf hiervoor is in beginsel zes jaar gevangenisstraf.

Uit de richtlijn van het OM blijkt dat bij een DDOS-aanval met ‘beperkte impact’ een taakstraf het uitgangspunt is. Zodra er schade wordt aangericht doordat bijvoorbeeld een website offline gaat, komen ook gevangenisstraffen in beeld.

4. Ransomware

4.1. Betekenis

Waar een DDoS-aanval enkel bedoeld is om een systeem plat te leggen, ligt dat bij ransomware net even anders. Deze vorm van cybercrime is ook bekend onder de term gijzelsoftware. Net als bij het eerder besproken phishing het geval is, wordt iemand benaderd door een ander die zich voordoet als een bepaalde persoon of organisatie zodat die persoon, in het geval van ransomware, zonder het te weten gijzelsoftware downloadt. In dit geval wordt de computer via deze gijzelsoftware geblokkeerd en kan de persoon pas weer bij zijn data na betaling van losgeld (Engels: ransom).

4.2. Voorbeelden

Hoe werkt dit? In het bericht dat wordt verstuurd aan het slachtoffer zit doorgaans een link naar een bestand. Dat bestand betreft software die de computer van het slachtoffer versleutelt en dus de volledige computer ontoegankelijk maakt. Als iemand weer bij zijn of haar gegevens wil komen, moet een bepaald bedrag worden betaald.

Een recent voorbeeld van deze gijzelsoftware betrof de Universiteit Maastricht. Eind 2019 werd de volledige database van de universiteit versleuteld, waardoor niemand meer bij de bestanden kon. De Universiteit Maastricht heeft uiteindelijk € 197.000 aan losgeld betaald.

Ook uit andere mediaberichten blijkt dat bedrijven steeds vaker kiezen voor betaling van het losgeld omdat de bedrijfseconomische schade maar ook de reputatieschade vaak groter is dan het te betalen losgeld.

4.3. Straffen

Juridisch gezien valt het plaatsen van ransomware onder het ‘ontoegankelijk maken van gegevens’, wat strafbaar is gesteld in artikel 350a Sr. Wanneer de ransomware wordt verspreid via een virus valt dit onder lid 3 van artikel 350a Sr. De maximale gevangenisstraf bedraagt dan vier jaar. In 2018 werden voor het eerst verdachten veroordeeld voor het gebruik van ransomware. Zij kregen een taakstaf van 240 uur en een voorwaardelijke gevangenisstraf van twee jaar.

5. Cryptofraude

Cryptovaluta (Eng.: cryptocurrency) staat erom bekend dat deze digitale munt vaak wordt gebruikt door criminelen om geld wit te wassen. Maar het zijn zeker niet alleen criminelen die gebruik maken van deze virtuele munt. Steeds meer mensen en bedrijven, zonder criminele intenties, investeren immers in cryptovaluta zoals Bitcoin. Deze investeerders kunnen echter zelf wel het slachtoffer worden van criminelen die zich bezighouden met zogeheten cryptofraude (Eng.: cryptoscam) waarbij zij in essentie worden opgelicht net zoals dat kan gebeuren bij zogeheten fiat geld (traditionele valuta’s zoals euro’s of dollars).

Lees ook: Cryptovaluta in het strafrecht

5.1. Betekenis

Waar mensen willen investeren in cryptovaluta hebben zij doorgaans een dienstverlener nodig, die hun geld omzet in cryptovaluta en dat geld op een later moment weer kan uitbetalen. Op dat vlak komt ook veel cybercrime voor. Zo kunnen mensen die willen investeren in cryptovaluta worden opgelicht door iemand die zich voordoet als een dergelijke dienstverlener (zoals een handelsplatform, Eng.: exchange). In dat geval valt die strafbare gedraging onder het eerder besproken artikel 326 Sr dat betrekking heeft op oplichting.

Naast het investeren in cryptovaluta kunnen deze digitale munten ook (beperkt) gebruikt worden als betaalmiddel op websites. Ook daarbij komt het voor dat een betaling wordt gedaan, waarna de beloofde tegenprestatie uitblijft. In tegenstelling tot bijvoorbeeld PayPal, is het bij cryptovaluta niet mogelijk om het ‘geld’ terug te krijgen wanneer er sprake blijkt te zijn van oplichting. Om die reden is het altijd noodzakelijk om voorzichtig te zijn bij betalingen aan onbekenden met cryptovaluta.

Tot slot maakt het bijzondere (virtuele) karakter van cryptovaluta het mogelijk dat houders van cryptovaluta op verschillende manieren kunnen worden bestolen van hun cryptovaluta zonder dat zij (aanvankelijk) beseffen op welke wijze dat is gebeurd, waarover hierna meer.

5.2. Voorbeelden

Cryptofraude kan dus betrekking hebben op een breed scala aan criminele activiteiten die verband houden met cryptovaluta(handel). Hieronder bespreken we een aantal veelvoorkomende vormen van cryptofraude.

5.2.1. Malware

Zo kan er bijvoorbeeld ongezien malware (kwaadaardige software) worden geïnstalleerd bij het slachtoffer die de wallet van het slachtoffer leeghaalt vanwege het klikken op een link in een e-mail, WhatsApp, social media etc. Een wallet is een soort digitale ‘portemonnee’ om de wachtwoorden (Eng.: keys) die toegang geven tot de cryptovaluta te bewaren en daardoor toegang te krijgen tot de cryptovaluta, deze te verzenden en te ontvangen.

5.2.2. Frauduleuze wallet

Ook kan sprake zijn van oplichting door middel van neppe wallets. Wanneer sprake is van een nep-wallet dan plaatst het slachtoffer zijn keys in een wallet die van oplichters blijkt te zijn terwijl de oplichters die wallet aanbieden via een bonafide ogende website of mobiele app. Het slachtoffer raakt daarmee de toegang kwijt tot de cryptovaluta omdat zijn keys zijn ontfutseld door de oplichters. Dat is nagenoeg niet ongedaan te maken want in de cryptowereld geldt immers: ‘Not your keys, not your coins’. Als je niet de keys van je wallet zelf bezit dan ben je ook niet de eigenaar van de betreffende cryptomunten.

5.2.3. Frauduleuze ICO

Een ICO is staat voor Initial Coin Offering ofwel een initieel muntaanbod (ook wel: initiële muntaanbod) waarbij een nieuwe cryptomunt voor het eerst op de markt wordt aangeboden. Hiermee kan gefraudeerd worden door een munt uit te brengen met uitsluitend het doel om de investeerders van hun geld te bestelen. Zo bleek recentelijk dat de nieuwe munt Squid Game, gebaseerd op de gelijknamige populaire Netflix-serie, van meet af aan een oplichtingspraktijk was waardoor investeerders hun geld zijn kwijt geraakt en de oplichters de stekker eruit hebben getrokken in wat ook wel een cryptocurrency exit scam wordt genoemd.

5.2.4. Ponzifraude

Ponzifraude (Eng.: ponzi scheme) of piramidespel komt niet alleen voor met fiat geld maar ook met virtuele munten. Bij een dergelijke fraude wordt het geld van nieuwe instappers in het spel gebruikt om de vroege instappers te betalen als ware het een rendement. Dit heeft zich voorgedaan bij het bedrijf BitConnect dat hoge rendementen beloofde met speciale software. Deze software zou ervoor zorgen dat uitsluitend zou worden geprofiteerd van de vaak grote koerswisselingen bij cryptovaluta op de cryptomarkten (ook wel: volatiliteit). De zogenaamde rendementen bleken echter te bestaan uit de investeringen van nieuwe investeerders waarmee eerdere investeerders werden uitbetaald. Het gevolg is dat het piramidespel naderhand instort en de meesten hun investering volledig in rook zien opgaan.

5.2.5. Pump and dump

Bij pump and dump (ook wel: pumping and dumping) wordt de koers van een zekere cryptomunt met valse (aansporende) berichten opgepompt (Eng.: pumping) waardoor een groot volume ontstaat en daarmee de vraag ook groter wordt. Op het moment dat de vraag almaar groter wordt en de koers steeds hoger wordt, zullen nieuwe investeerders zich melden om mee te profiteren. Op dat moment besluiten de oplichters de coins (munten) die zij in bezit hebben, massaal te dumpen (Eng.: dumping) en daarvoor veel geld te ontvangen vanwege de hoge koers. Zij stappen vervolgens uit met het fortuin dat zij hebben verdiend door het dumpen van grote hoeveelheden munten. Vervolgens ontstaat het besef dat sprake is van oplichting en zullen ook andere investeerders snel willen uitstappen met het gevolg dat de koers instort en investeerders veel geld kwijtraken.

5.2.6. Cryptojacking

Bij cryptojacking wordt (een deel van) de rekenkracht van een systeem gebruikt voor het ‘minen’ van cryptomunten zoals Bitcoin. Minen gaat om het valideren en vastleggen van de betalingen met cryptovaluta op de zogeheten blockchain (lett.: blokketen) hetgeen uiteindelijk het systeem van cryptovaluta mogelijk maakt. Maar dit kost de nodige computerkracht (lees: rekenkracht) en dus elektriciteit. Minen wordt echter ook beloond doordat de miner cryptomunten vergoed krijgt.

Bij cryptojacking gebruiken oplichters de rekenkracht van computers van anderen zonder dat die dat doorhebben. Dit kan plaatsvinden doordat een virus in het systeem belandt via een applicatie of bestand. Daarnaast kan het zo zijn dat het minen begint zodra iemand op een bepaalde website klikt of een bepaalde advertentie. In die advertentie zit dan een opdracht verstopt die het systeem van het slachtoffer laat minen. De computer van het slachtoffer zal daarom wel langzamer worden en vaker opgeladen moeten worden.

In tegenstelling tot andere vormen van cybercrime merkt het slachtoffer bij cryptojacking vaak niet dat hij daadwerkelijk slachtoffer is. Los van het vertragen van het systeem en/of een hoger stroomverbruik, is cryptojacking moeilijk te detecteren. Mogelijk zijn er ook weinig aangiften van cryptojacking om die reden.

Bovendien is er ook nog geen duidelijk antwoord op de vraag welk strafbaar feit gepleegd wordt bij cryptojacking. Gedacht kan worden aan bijvoorbeeld diefstal (van elektriciteit), maar er zijn nog geen veroordelingen geweest. Dit laat zien dat cybercrime nog altijd een zeer actueel onderwerp is dat zich op hoge snelheid ontwikkelt waarbij de overheid steeds bij moet blijven.

5.3. Straffen

De bovengenoemde voorbeelden van cryptofraude houden vaak een vorm van oplichting in gecombineerd met andere strafbare feiten zoals phishing, hacken, diefstal, witwassen etc.

De straffen voor oplichting kunnen op basis van de richtlijnen van het OM zeer uiteenlopen van geldboetes van € 300,- tot gevangenisstraffen van meer dan 36 maanden. De straf is afhankelijk van de waarde van het bedrag of dienst, de mate van recidive, het aantal slachtoffers, of de oplichting gezamenlijk is gepleegd, de mate van professionaliteit, de vraag of de slachtoffers bewust zijn uitgekozen, de consequenties voor slachtoffers of derden en de vraag of de oplichting stelselmatig heeft plaatsgevonden. Ook hier geldt dat gevangenisstraffen geen uitzondering zijn naarmate de feiten ernstiger worden.

6. Conclusie

In dit blog is een overzicht gegeven van veelvoorkomende vormen van cybercrime. Daarbij is aandacht besteed aan de juridische kwalificatie daarvan en de te verwachten straffen voor de daders van dergelijke feiten op basis van die kwalificatie.

Hoewel voor veel vormen van cybercrime geldt dat er een aansluiting is gevonden bij de reeds bestaande artikelen uit het Wetboek van Strafrecht, komt het vaak genoeg voor dat het niet op voorhand duidelijk is welk strafbaar feit is begaan en/of welke straf passend is in ieder specifiek geval.

Het is in sommige gevallen van benadeling ook nog maar de vraag of er een strafbaar feit is gepleegd en dat zou dus ook kunnen betekenen dat het slachtoffer in die gevallen slechts schadevergoeding kan vragen bij de burgerlijke rechter en geen veroordeling kan plaatsvinden door de strafrechter.

 

Meer informatie of hulp nodig?

Neem voor meer informatie over dit onderwerp contact op met:

Wat zijn de kosten?

Klik hier voor meer informatie over de wijze waarop uw advocaatkosten kunnen worden vergoed en welke betalingsmethoden ons kantoor hanteert.