bijlage 1 - Verkenning cybercrime in Nederland 2009.pdf - CyREN

Verkenning cybercrime in Nederland 2009

Veiligheidsstudies
De reeks Veiligheidsstudies is een initiatief van het netwerk Samenwerkende Kennis-
instellingen voor Veiligheid (SKV-netwerk), dat bestaat uit Avans Hogeschool Den
Bosch, Christelijke Hogeschool Windesheim, Haagse Hogeschool, Hogeschool Inholland
Rotterdam, Hogeschool Utrecht, Hogeschool Zeeland, Katholieke Hogeschool
Zuid West-Vlaanderen (België), Nederlands Instituut voor Fysieke Veiligheid Nibra,
NHL Hogeschool, Saxion Hogeschool Enschede en Politieacademie.
De reeks staat onder redactie van dr. S. Pleysier (coördinator Expertisecentrum Maatschappelijke
Veiligheid van de Katholieke Hogeschool Zuid-West Vlaanderen, België,
dept. IPSOC), drs. W.K.F. Rodenhuis (lector Risicobeheersing aan de Saxion Hogescholen
te Enschede en Deventer), prof. dr. W.Ph. Stol (lector Cybersafety aan de NHL
Hogeschool, bijzonder hoogleraar Politiestudies aan de Open Universiteit en onderzoeker
aan de Politieacademie) en dr. J. Timmer (lector Veiligheid en Sociale Cohesie
aan Windesheim).
In de reeks Veiligheidsstudies verschenen:
• E.R. Leukfeldt, K.W.C. van der Straten, M.P. Kruis & W.Ph. Stol, Ter plaatse. Alledaagse
samenwerking tussen de primaire hulpdiensten (2007)
• J. Kerstens, M. Toutenhoofd & W.Ph. Stol, Wie niet weg is, is gezien. Gevalstudie over
een proef met cameratoezicht in de Leeuwarder binnenstad (2008)
• W.Ph. Stol, H.W.K. Kaspersen, J. Kerstens, E.R. Leukfeldt & A.R. Lodder, Filteren
van kinderporno op internet. Een verkenning van technieken en reguleringen in binnen-
en buitenland (2008)
• L. Symons, J. Deklerck, D. Gelders & S. Pleysier, Inbraakpreventief advies in België.
De mening van de burger (2010)
• E.R. Leukfeldt, M.M.L. Domenie & W.Ph. Stol, Verkenning cybercrime in Nederland
2009 (2010)

Verkenning cybercrime
in Nederland 2009
E.R. Leukfeldt
M.M.L. Domenie
W.Ph. Stol
NHL Hogeschool, Lectoraat Cybersafety
Open Universiteit, Politiestudies
CyREN – Cybersafety Research and Education Network
(www.cybersafety.nl)
Boom Juridische uitgevers
Den Haag
2010

Omslagontwerp: Textcetera, Den Haag
Opmaak binnenwerk: H&R, www.hnr-design.com
© 2010 E.R. Leukfeldt, M.M.L. Domenie & W.Ph. Stol / Boom Juridische uitgevers
Behoudens de in of krachtens de Auteurswet gestelde uitzonderingen mag niets uit deze uitgave
worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar
gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen
of enige andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever.
Voor zover het maken van reprografische verveelvoudigingen uit deze uitgave is toegestaan op
grond van artikel 16h Auteurswet dient men de daarvoor wettelijk verschuldigde vergoedingen
te voldoen aan de Stichting Reprorecht (Postbus 3051, 2130 KB Hoofddorp, www.reprorecht.
nl). Voor het overnemen van (een) gedeelte(n) uit deze uitgave in bloemlezingen, readers en andere
compilatiewerken (art. 16 Auteurswet) kan men zich wenden tot de Stichting PRO (Stichting
Publicatie- en Reproductierechten Organisatie, Postbus 3060, 2130 KB Hoofddorp, www.
cedar.nl/pro).
No part of this book may be reproduced in any form, by print, photoprint, microfilm or any
other means without written permission from the publisher.
ISBN 978-90-8974-255-1
NUR 820
www.bju.nl

Vo o r w o o r d
Criminaliteitsbestrijding vereist kennis over aard en omvang van de criminaliteit.
Dat geldt ook voor de bestrijding van cybercrime. Bij herhaling wordt
echter geconstateerd, ook door politie en justitie zelf, dat politie en justitie de
ontwikkelingen op dat vlak maar moeizaam kunnen bijbenen. Er is sprake
van een (aanzienlijk) kennistekort. De Dienst Nationale Recherche (DNR) van
het Korps Landelijke Politiediensten (KLPD) nam daarom het initiatief tot
dit onderzoek. Deze Verkenning Cybercrime in Nederland 2009 (VCN2009)
moet bijdragen aan het kennisniveau van politie en justitie. Het onderzoek
biedt nieuwe inzichten, maar kent ook beperkingen. Nog niet eerder werden
op grote schaal politiedossiers inzake cybercrime geanalyseerd. Tegelijk moeten
we ons realiseren dat we via politiedossiers niet alle criminaliteit in beeld
krijgen. Met dit onderzoek is het laatste woord dan ook niet gezegd. Het onderzoek
is verkennend van aard en gaat over vijf verschillende cybercrimes.
Er zal meer onderzoek nodig zijn om zicht te krijgen op de omvang van de
verschillende cybercrimes (slachtofferenquêtes met name) en om de ins en
outs van de verschillende cybercrimes beter te doorgronden (verdiepende
studies).
Een onderzoek als dit kan alleen tot stand komen dankzij de medewerking
van velen. Om te beginnen bedanken we de medewerkers van het korps
Friesland voor de gastvrijheid en medewerking tijdens het onderzoek. In het
bijzonder denken we hierbij aan Roel Bijlsma (Groepschef Team Informatie),
Faranak Afshari Naderi en Willem Kemper, beiden werkzaam bij de infodesk
in Friesland. Daarnaast bedanken we Leen Prins en Richard Beijersbergen van
Henegouwen, beiden werkzaam als adviseur expertise bij de Dienst Internationale
Politie Informatie (IPOL) van het KLPD en bedanken we de medewerkers
van DNR van het KLPD, in het bijzonder Sander Huisman. Zij voorzagen
onze teksten steeds van waardevol commentaar. Verder noemen we Jelmer de
Jong, Dennis Lubbers, Klaas van der Pol, Pamela Rengers en Sander Veenstra
die als student-assistenten hebben meegewerkt aan de analyse van de dossiers.
Zonder hun inzet hadden we dit onderzoek niet kunnen voltooien. We
bedanken Marika Toutenhoofd-Visser, onderzoeker aan het lectoraat Cybersafety
van de NHL, voor haar bijdrage tijdens de opzet en start van dit onder-

vi Verkenning cybercrime in Nederland 2009
zoek. Ten slotte gaat onze dank uit naar Rudie Neve, die in het laatste stadium
het manuscript voorzag van opmerkingen die ons hielpen bij het aanbrengen
van verbeteringen. We zijn hen allen zeer erkentelijk voor hun inzet.
Leeswijzer
Hoofdstuk 1 bevat de methodologische verantwoording. Tevens presenteren
we op deze plaats de definitie van cybercrime die we in dit onderzoek hanteren.
In hoofdstuk 2 tot en met 6 gaan we achtereenvolgens dieper in op de
cybercrimes hacken, e-fraude, cyberafpersen, kinderporno en haatzaaien. De
hoofdstukken zijn zo opgebouwd dat ze afzonderlijk van elkaar te lezen zijn.
Wie bijvoorbeeld alleen iets wil lezen over e-fraude, hoeft niet eerst het hoofdstuk
over hacken te lezen. Hierdoor is het echter onoverkomelijk dat er dubbelingen
in de hoofdstukken zitten. Zo behandelen we bijvoorbeeld in ieder
hoofdstuk de selectieprocedure van de desbetreffende dossiers. In hoofdstuk
7 voegen we de uitkomsten uit de dossierstudie van de verschillende cybercrimes
samen en schetsen we de verschillen, overeenkomsten en verbanden.
Daarmee beantwoorden we de in het eerste hoofdstuk gestelde onderzoeksvragen.
Hoofdstuk 8 bevat de conclusies en aanbevelingen.
Wie alleen van de strekking van het onderzoek op de hoogte wil raken, kan
de samenvatting lezen. Wie (daarna) snel kennis wil nemen van de belangrijkste
conclusies en aanbevelingen, raden we aan hoofdstuk 7 en 8 als samenvatting
te gebruiken. Voor wie zich juist verder in de materie wil verdiepen,
verwijzen we naar de bijlagen na het laatste hoofdstuk, waarin verschillende
criminele technieken staan uitgewerkt.
Rutger Leukfeldt
Miranda Domenie
Wouter Stol

In h o u d
Samenvatting XI
Summary XXVII
1 Inleiding en verantwoording 1
1.1 Aanleiding tot dit onderzoek 1
1.2 Onderwerp en doel van het ondezoek 2
1.3 Onderzoeksvragen 3
1.4 Methodologische verantwoording 4
2 Hacken 17
2.1 Inleiding 17
2.2 Strafbaarstelling 18
2.3 Verschijningsvormen: soorten hackers 26
2.4 Verbanden van hacken met andere crimes 31
2.5 Daderkenmerken uit de literatuur 39
2.6 Verdachtenkenmerken uit de dossierstudie 45
2.7 Slachtoffers van hacken 59
2.8 Omvang 64
2.9 Trends 67
2.10 Resumé 70
3 E-fraude 73
3.1 Inleiding 73
3.2 Strafbaarstelling 74
3.3 Verschijningsvormen: soorten e-fraude 78
3.4 Verbanden van e-fraude met andere crimes 81
3.5 Daderkenmerken uit de literatuur 87
3.6 Verdachtenkenmerken uit de dossierstudie 93
3.7 Slachtoffers van e-fraude 105
3.8 Omvang 109
3.9 Trends 112
3.10 Resumé 114

viii Verkenning cybercrime in Nederland 2009
4 Cyberafpersen 117
4.1 Inleiding 117
4.2 Strafbaarstelling 118
4.3 Verschijningsvormen cyberafpersen 120
4.4 Verbanden van cyberafpersen met andere crimes 122
4.5 Verdachtenkenmerken uit de dossierstudie 127
4.6 Slachtoffers van cyberafpersen 132
4.7 Omvang 132
4.8 Trends 135
4.9 Resumé 136
5 Kinderporno 139
5.1 Inleiding 139
5.2 Strafbaarstelling 140
5.3 Verspreidingsvormen 143
5.4 Verbanden van kinderporno met andere crimes 148
5.5 Daderkenmerken uit de literatuur 154
5.6 Verdachtenkenmerken uit de dossierstudie 158
5.7 Slachtoffers van kinderporno 171
5.8 Omvang 171
5.9 Trends 175
5.10 Resumé 175
6 Haatzaaien 179
6.1 Inleiding 179
6.2 Strafbaarstelling 182
6.3 Verspreidingsvormen 188
6.4 Verbanden 190
6.5 Daderkenmerken uit de literatuur 197
6.6 Verdachtenkenmerken uit de dossierstudie 200
6.7 Slachtoffers van haatzaaien 209
6.8 Omvang 209
6.9 Trends 211
6.10 Resumé 212
7 Cybercrime in Nederland: overeenkomsten en verschillen 215
7.1 Inleiding 215
7.2 De aard van cybercrime in Nederland (verbanden met
andere delicten) 215
7.3 Verdachtenkenmerken uit de dossierstudie 226
7.4 Omvang 244
7.5 Maatschappelijke impact 246

Inhoud
8 Conclusies en aanbevelingen 253
8.1 Conclusies 253
8.2 Aanbevelingen 265
Literatuur 269
Afkortingen 283
Bijlage 1 Social engineering 285
Bijlage 2 Spoofing 287
Bijlage 3 Botnet 293
Bijlage 4 Distributed Denial of Service attacks 301
Bijlage 5 Defacing 307
Bijlage 6 Iframe-injectie 311
Bijlage 7 Cross-site scripting 315
Bijlage 8 Spyware 319
Bijlage 9 Phishing 327
Bijlage 10 Analysekader dossierstudie 343
Bijlage 11 Slachtofferenquête onder internettende Friezen 355
ix

Sa m e n Va t t i n g
Inleiding
Dit onderzoek gaat over cybercrime. De Nederlandse overheid geeft aan de
opsporing en bestrijding van cybercrime prioriteit en neemt verschillende juridische
en organisatorische maatregelen. Het nemen van maatregelen vereist
kennis over aard en omvang van de criminaliteit. Bij herhaling wordt echter
geconstateerd, ook door politie en justitie zelf, dat politie en justitie de ontwikkelingen
aangaande cybercrime maar moeizaam kunnen bijbenen. Er is
sprake van een (aanzienlijk) kennistekort. De Dienst Nationale Recherche
(DNR) van het Korps Landelijke Politiediensten (KLPD) nam daarom het
initiatief tot dit onderzoek. Deze Verkenning Cybercrime in Nederland 2009
moet bijdragen aan het kennisniveau van politie en justitie.
In dit onderzoek hanteren wij cybercrime als overkoepelend begrip voor
alle vormen van criminaliteit, waarbij ICT een wezenlijke rol speelt in de
realisatie van het delict. Niet iedere vorm van cybercrime kan in dit onderzoek
worden opgenomen, daarvoor is de lijst met cybercrimes te lang. De
volgende vormen van cybercrime komen aan bod: hacken, e-fraude, cyberafpersen,
kinderpornografie en haatzaaien. We selecteerden deze vijf, omdat ze
van alle cybercrimes de ernstigste maatschappelijke problemen zijn en (dus)
de meeste aandacht krijgen van politie en justitie.
Het onderzoek moet uiteindelijk bijdragen aan de bestrijding van cybercrime.
Het dichterbij gelegen doel is het bieden van inzicht in de ernst van de
voor de politie meest relevante verschijningsvormen van cybercrime. Om de
ernst van een cybercrime te bepalen, stelden we vier hoofdvragen op:
1. Wat is de aard van de cybercrimes?
2. Wat is er bekend over de daders?
3. Wat is de omvang van de cybercrimes?
4. Wat is de maatschappelijke impact van de cybercrimes?
Methoden van onderzoek
Om deze onderzoeksvragen te beantwoorden, voerden we allereerst een internationale
literatuurstudie uit, alsook een media-analyse, een webresearch
en een documentenanalyse. Voor de literatuurstudie raadpleegden we me-

xii Verkenning cybercrime in Nederland 2009
diatheken en zochten we naar boeken, artikelen, rapporten en andere relevante
publicaties. De media-analyse omvatte een analyse van berichten over
cybercrime in landelijke dagbladen uit Nederland in 2006 en 2007. Dit leverde
niet alleen informatie over cybercrimes op, maar ook over bijvoorbeeld onderzoeksrapporten,
politieacties en sleutelpersonen. De webresearch omvatte
een zoektocht op internet naar informatie over cybercrime, onderzoeksrapporten
en sleutelpersonen. De documentenanalyse hield in dat we beleids-
en visiedocumenten omtrent de bestrijding van cybercrime doornamen. Het
hoofddeel van het onderzoek bestond uit een analyse van politiedossiers.
In totaal analyseerden we 665 dossiers, waaronder 139 hackendossiers, 314
e-fraudedossiers, 13 cyberafpersingsdossiers, 159 kinderpornodossiers en 40
haatzaaidossiers.
De dossierstudie biedt nieuwe inzichten, maar heeft ook beperkingen. Via
de politiedossiers die wij konden inzien, krijgen we niet alle cybercrime in
beeld, maar enkel dat deel waarvan aangifte is gedaan en waarvan de aangifte
door de politie is opgenomen in de reguliere politiesystemen. Met dit
onderzoek is dus het laatste woord nog niet gezegd.
Hacken
Hacken is het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd
werk en is strafbaar gesteld in artikel 138a lid 1 van het Wetboek van
Strafrecht (computervredebreuk). Aan hacken gerelateerde artikelen zijn het
na het binnendringen overnemen, aftappen of opnemen van gegevens (art.
138a lid 2 Sr), het opzettelijk of door schuld veroorzaken van een stoornis in
een systeem (resp. art. 161sexies Sr en 161septies Sr), het opzettelijk of door
schuld vernielen van gegevens (resp. art. 350a en 350b Sr), het aftappen en/of
opnemen van gegevens (art. 139c Sr) en het plaatsen van opname-, aftap- c.q.
afluisterapparatuur (art. 139d Sr).
In de literatuur worden hackers op verschillende manieren onderscheiden,
onder meer op basis van verschillende primaire motivaties zoals verwerven
van kennis, persoonlijke uitdaging, macht en financieel gewin. Er is echter
geen empirische onderbouwing voor de gehanteerde categorieën. Uit onze
dossierstudie komt niet het beeld met allerlei verschillende categorieën hackers
naar voren. Eerder dan duidelijke categorieën zien we een bont gezelschap,
hoewel wel een paar hoofdlijnen zijn te noemen.
Uit de politiedossiers blijkt dat hacken vooral een zaak is van in Nederland
geboren mannen onder de 45 jaar. Zelden plegen zij hun delict in georganiseerd
verband, in de overgrote meerderheid van de zaken is er niet meer dan
één verdachte. Vaak ligt het hacken in de relationele sfeer; verdachte en slachtoffer
zijn bijvoorbeeld ex-geliefden, jaloerse echtgenoten of schoolvrienden,
maar het kan ook gaan om (gewezen) zakelijke relaties. De primaire motivatie

Samenvatting
xiii
van de verdachte is dan ook vaak wraak, maar ook zagen we andere drijfveren,
zoals nieuwsgierigheid en financieel gewin. De meeste verdachten uit
de hackendossiers hebben geen antecedenten, hoewel ze wel significant meer
antecedenten hebben dan de gemiddelde Nederlander.
Verdachten maken gebruik van verschillende criminele technieken. Hoewel
het in de meeste dossiers onduidelijk blijft welke technieken er precies
gebruikt worden, houden verdachten in hackzaken zich in ieder geval bezig
met het defacen van websites, het installeren van keyloggers, het maken van
phishing websites en social engineering. Botnets, DDoS-aanvallen, sniffing
en spoofing komen zelden voor in de politiedossiers. Voor de opsporing wellicht
de belangrijkste bevinding is dat in een vijfde tot een kwart van de politiedossiers
de hack gepleegd wordt vanuit het buitenland, zowel binnen als
buiten Europa.
Hacken is niet vaak een op zichzelf staand delict. Alles bijeengenomen,
toont hacken een verband met:
1. cybercrime in enge zin (het kopiëren of vernielen van gegevens of het vernielen
of verstoren van een computersysteem);
2. vermogenscriminaliteit (oplichting, fraude, diefstal, afpersing, verduistering);
3. interpersoonlijke conflicten (smaad, bedreiging, belediging, stalking, aanranding).
Hacken is primair gericht op persoonlijke belangen (financieel voordeel of
het beslechten van een conflict) en niet op maatschappelijke ontwrichting of
algemene gevaarzetting. Het gaat veelal om redelijk alledaagse zaken, waarbij
schijnbaar alledaagse mensen elkaar dwarszitten. Hacken is tot op zekere
hoogte gedemocratiseerd: hacken is geen exclusief domein meer van whizzkids,
maar wordt ook bedreven door mensen die niet zo technisch zijn onderlegd.
Over de absolute omvang van hacken valt niet veel met zekerheid te zeggen.
Het maakt maar een zeer klein deel uit van de bij de politie geregistreerde
criminaliteit. De resultaten uit een slachtofferonderzoek in Friesland, wijzen
op een substantieel dark number. Uit de (internationale) literatuur over cybercrime
en informatiebeveiliging blijkt dat vooral bedrijven geregeld slachtoffer
zijn van (pogingen tot) binnendringen in computersystemen. Over slachtofferschap
onder burgers is minder bekend.
E-fraude
Fraude staat niet onder die noemer in het Wetboek van Strafrecht; meestal
is sprake van oplichting (art. 326 Sr) en/of valsheid in geschrifte (art. 225 Sr).
E-fraude is bedrog met als oogmerk het behalen van financieel gewin, waarbij

xiv Verkenning cybercrime in Nederland 2009
ICT essentieel is voor de uitvoering. Verschijningsvormen van e-fraude die we
in de literatuur tegenkwamen, zijn handel in valse goederen, valse financiële
transacties, waaronder veilingfraude en voorschotfraude, en marktmanipulatie.
E-fraude kan gepleegd worden met of zonder identiteitsmisbruik. Identiteitsmisbruik
is het aannemen van een andere dan de eigen digitale identiteit,
met het oogmerk daarmee oneigenlijk financieel voordeel te behalen.
Aan identiteitsmisbruik gaat weer vooraf het maken van de valse identiteit.
Dat kan door identiteitsdiefstal (het stelen van een identiteit van een bestaand
persoon), identiteitscreatie (het creëren van een fictieve identiteit) en identiteitsdelegatie
(het overnemen van een identiteit van een bestaand persoon
met diens toestemming). In de literatuur is de verwachting dat e-fraude met
identiteitsmisbruik de komende jaren grote aantallen slachtoffers zal maken
en forse financiële schade zal aanrichten. Daarnaast wordt voorschotfraude
als een concrete dreiging gezien.
Uit de analyse van politiedossiers volgt op diverse onderdelen een ander
beeld dan uit de literatuur. De meeste dossiers uit de dossierstudie gaan
niet over voorschotfraude en identiteitsdiefstal, maar over oplichtingen via
verkoopsites. E-fraude heeft in de regel geen verbanden met andere (cyber)crimes.
Voor zover dat wel het geval is, zijn er verbanden met diefstal van
identiteitsgegevens (vooral digitaal, maar ook niet-digitaal) en soms ook met
hacken. Deze delicten zijn dan een middel om te komen tot de e-fraude.
E-fraudeurs werken in de meeste gevallen alleen en er is, op een enkel dossier
na, geen sprake van georganiseerde criminaliteit. Financieel gewin is blijkens
de dossiers het centrale motief. Het gaat bij e-fraude over het geheel genomen
om vrij eenvoudige zaken: de dader plaatst een advertentie, maakt een
website of verstrekt anderszins informatie die het slachtoffer moet verleiden
tot het betalen voor bepaalde goederen of diensten – die vervolgens niet worden
geleverd. Kortom, de meeste e-fraudes zijn geen technische hoogstandjes.
Daders van e-fraude putten uit een vrij beperkt repertoire aan technieken. In
bijna alle gevallen is sprake van social engineering. Enkele keren was sprake
van phishing. Geregeld gaat het in de dossiers om e-fraude met identiteitsmisbruik.
Hoewel in de literatuur nogal eens aandacht wordt gevraagd voor
samenwerkende fraudebendes (Nigerian scam, skimming) is het gros van de
fraudes die we in onze dossiers tegenkwamen het werk van vrij eenvoudig
opererende oplichters. Dat e-fraudeurs zouden beschikken over bovengemiddelde
technische inzichten en vaardigheden, zoals in de literatuur wordt beweerd,
is ook niet bepaald iets wat uit ons onderzoek naar voren komt.
Over de verdachten weten we dat zij meestal in Nederland zijn geboren,
dat zij meestal opereren vanuit Nederland, dat het meestal gaat om mannen
en dat de nadruk ligt op de leeftijdsgroep van 18-35 jaar. E-fraude is niet iets
voor de leeftijdsgroep van 12-18 jaar en ook niet zozeer voor personen ouder

Samenvatting
dan 35. Kennelijk zijn personen in de leeftijd van 18-34 jaar optimaal uitgerust
voor e-fraude: ze zijn oud genoeg om voldoende sociaal vaardig te zijn
voor social engineering en jong genoeg om zich handig te kunnen bewegen
in cyberspace. Verdachten zijn veel vaker dan gemiddeld werkloos, ze wonen
daarentegen minder vaak dan gemiddeld in een eenpersoonshuishouden.
Ze bevinden zich dus niet in een maatschappelijk isolement wat betreft hun
woonsituatie, maar wel wat betreft hun arbeidspositie. Het ontbreken van een
inkomen uit arbeid zou een (gedeeltelijke) verklaring kunnen zijn voor financieel
gewin als hoofdmotief.
Een analyse over justitiële antecedenten wijst erop dat verdachten van efraude
ook andere delicten plegen en dus een breder crimineel repertoire hebben
dan alleen fraude. Dat kan wellicht worden verklaard uit de bevinding
dat de meeste verdachten man zijn en relatief jong – en dus behoren tot de
groep van personen die relatief vaak delicten plegen.
Fraude komt zo’n tienmaal vaker voor in de politiedossiers dan hacken. We
weten uit eigen onderzoek dat 2,2% van 1.246 ondervraagde Friezen slachtoffer
was van e-fraude in de afgelopen twee jaar. Slechts een van de slachtoffers
deed aangifte (3,6%). Dat wijst op een hoog dark number.
Cyberafpersen
Afpersen is het verkrijgen van wederrechtelijk voordeel door dreiging of geweld.
We spreken van cyberafpersing indien ICT essentieel is voor de uitvoering
van het delict. In de literatuur worden verschillende verschijningsvormen
genoemd:
1. dreiging: het dreigen met het platleggen van websites of netwerken;
2. beschadiging en verstoring: het beschadigen van essentiële gegevens en
het verstoren van industriële productiesystemen;
3. shaming: het publiekelijk maken van gevoelige informatie;
4. protectie: het aanbieden van ‘bescherming’ tegen bijvoorbeeld DDoS-aanvallen.
Deze vier kunnen in combinatie voorkomen.
In het Wetboek van Strafrecht is afpersing strafbaar gesteld in artikel 317 Sr
(afpersing). Ook de artikelen 318 Sr (afdreiging) en 285 Sr (bedreiging) kunnen
van toepassing zijn. Er zal voor het uitvoeren van de criminele technieken
veelal moeten worden ingebroken in computersystemen, strafbaar gesteld in
artikel 138a Sr. Indien er opzettelijk dan wel door schuld een geautomatiseerd
werk wordt vernield, zijn de artikelen 161sexies en 161septies Sr van toepassing.
De artikelen 350a en 350b Sr zijn van toepassing indien er gegevens worden
vernield.
We vonden over de periode 2003-2007 slechts dertien dossiers over cyberafpersen.
Voor zover we een verband met andere criminaliteit vonden, is cy-
xv

xvi Verkenning cybercrime in Nederland 2009
berafpersing een vervolg op eerdere bedreigingen. Verdachten persen slachtoffers
af door te dreigen met het openbaar maken van gevoelige informatie
over het slachtoffer. De gevoelige informatie heeft vaak te maken met kinderpornografie.
Slachtoffers hebben kinderporno op hun computer en worden
daarmee afgeperst, of verdachten zetten minderjarige slachtoffers onder
druk om naaktfoto’s van zichzelf op te sturen (en gebruiken die weer om het
slachtoffer af te persen). Op verschillende momenten in de analyse zagen we
een verband tussen cyberafpersen en delicten die verband houden met relaties
en/of seksualiteit. Behalve de reeds genoemde kinderporno passeerden
ook de revu: relatieproblemen, stalking en aanranding. Een en ander wekt de
suggestie dat cyberafpersen verband houdt met zedendelinquentie dan wel
zedendelinquenten. Het geringe aantal dossiers laat geen stellige conclusies
toe, maar deze aanwijzing in de richting van een verband tussen jeugd, zedendelinquentie
en afpersing, is een aandachtspunt voor nader onderzoek.
In de literatuur vinden we weinig over daderkenmerken van cyberafpersers.
Volgens het KLPD is er sprake van een samenwerking tussen computercriminelen
uit West-Europese landen en georganiseerde groepen criminelen
uit Rusland en Oost-Europa. Hackers worden op internet geworven op grond
van hun deskundigheid en ingehuurd. Het KLPD heeft dan het afpersen van
bedrijven voor ogen. Dit zien we niet terug in de dossierstudie. De verdachten
opereren alleen en er is geen sprake van criminele samenwerkingsverbanden.
De verdachten zijn opvallend vaak jong (onder de 21). Ze maken geen gebruik
van criminele technieken. Een voorbereidingshandeling is het verzamelen
van gevoelige informatie over het slachtoffer. Dat is steeds een individu, geen
bedrijf. We hebben te weinig informatie om nadere uitspraken over slachtoffers
te doen.
Slachtofferonderzoek onder bedrijven in Amerika en Australië wijst erop
dat een substantieel percentage van bedrijven (16-33%) slachtoffer was van
cyberafpersen. Over slachtofferschap onder burgers vonden we in de literatuur
geen informatie. De dertien cyberafpersendossiers die we vonden in de
periode 2003-2007 hebben allemaal betrekking op individuele slachtoffers,
niet op bedrijven. Dat cyberafpersen onder bedrijven toch niet onbekend is
in Nederland weten we ook, want in de hackendossiers vonden we één zo’n
zaak. In dat geval werd een DDoS-aanval ingezet om een bedrijf af te persen.
In een onderzoek naar het werkaanbod inzake cybercrime in twee korpsen,
vonden we over 2007 geen aangiften van cyberafpersing. De conclusie over de
omvang van cyberafpersen moet zijn dat het zeer weinig voorkomt of dat de
aangiftebereidheid uiterst laag is, of beide.
Door het geringe aantal aangiften wordt cyberafpersing, specifiek afpersing
met behulp van een DDoS-aanval, in het Nationale Dreigingsbeeld niet
als concrete dreiging gezien. Volgens andere bronnen zal het aantal cyber-

Samenvatting
xvii
afpersingen in de toekomst toenemen, omdat steeds meer bedrijven afhankelijk
zijn van internet en de voor een afpersing benodigde technieken eenvoudig
beschikbaar zijn. Een empirische onderbouwing bij deze verwachting is
echter niet aanwezig.
Kinderporno
Kinderpornografie is in Nederland strafbaar gesteld in artikel 240b van het
Wetboek van Strafrecht, dat kinderporno definieert als een afbeelding van
een seksuele gedraging, waarbij iemand die kennelijk de leeftijd van achttien
jaar nog niet heeft bereikt, betrokken of schijnbaar betrokken is. De ratio van
artikel 240b Sr is dat jongeren beschermd moeten worden tegen gedragingen
en uitingen die hen kunnen aanmoedigen of verleiden om deel te nemen aan
seksueel verkeer, en tegen gedragingen en uitingen die bijdragen aan een subcultuur
die seksueel misbruik van kinderen bevordert.
Uit de cijfers van het Meldpunt Kinderporno, gecombineerd met eerder
onderzoek naar kinderpornografie op internet, kunnen we afleiden dat kinderporno
op internet op verschillende manieren wordt verspreid: via spam,
websites, peer-to-peer-netwerken, virtuele harde schijven, nieuwsgroepen en
chat. De wijze van verspreiding is aan verandering onderhevig, deels omdat
er voortdurend nieuwe technische mogelijkheden ontstaan en deels omdat de
aanbieders van kinderporno reageren op repressieve maatregelen.
In de literatuur zijn onder de volwassen daders twee duidelijke groepen te
onderscheiden die zich bezighouden met de verspreiding van kinderpornografisch
materiaal: de commerciële groep met als oogmerk financieel gewin en de
‘liefhebbers’ met als primaire motivatie het verkrijgen van meer kinderpornografisch
materiaal. De handel en productie in kinderporno is volgens enkele
bronnen in toenemende mate een bezigheid van georganiseerde groepen geworden.
Kinderporno is een lucratieve business waarmee veel geld te verdienen
is. In de literatuur zien we vijf categorieën daders: vervaardigers en handelaren,
verzamelaars, reizigers, groomers/chatters en minderjarige daders.
Uit onze dossierstudie blijkt dat de Nederlandse verdachten geen onderdeel
uitmaken van professionele criminele samenwerkingsverbanden. In de
dossiers is een aantal keer terug te zien dat er grootschalige internationale
onderzoeken zijn naar websites die professioneel gerund worden. De Nederlandse
verdachten zijn afnemers (downloaders) van deze websites. Van de vijf
categorieën uit de literatuur zien we in de dossiers in ieder geval de categorie
verzamelaars en groomers/chatters terug. We zien in de dossiers ook dat er
handelaren actief zijn; die waren echter geen onderwerp van onderzoek van
de Nederlandse politie.
De cybercrime kinderporno kent weinig verbanden met andere (cyber)crimes.
Als er al een verband is, dan is dat met een ander delict in de zeden-

xviii Verkenning cybercrime in Nederland 2009
sfeer, met name met het in bezit hebben van kinderporno anders dan op ICT
en soms met het vervaardigen van kinderporno. Ook proberen verdachten
bijvoorbeeld minderjarigen te groomen of slachtoffers aan te randen door te
dreigen met het publiekelijk maken van gevoelige informatie (bijv. naaktfoto’s).
In de meeste dossiers is sprake van één verdachte. Dat zijn dan meestal
in Nederland geboren mannen, overwegend uit de leeftijdsgroep 18-55 jaar.
De meest genoemde primaire motivatie om het delict te plegen, is nieuwsgierigheid.
De verdachten die nieuwsgierigheid aangaven als motivatie, zoeken,
naar eigen zeggen, niet uit een gevestigde pedofiele voorkeur, maar vertonen
grensverkennend gedrag. Nader onderzoek naar achtergronden, omstandigheden
en drijfveren zou gericht moeten zijn op de vraag of de misdrijven van
deze groep nieuwsgierigen wellicht te voorkomen zijn met normbevestigende
of gelegenheidsbeperkende maatregelen. De verdachten in de kinderpornodossiers
wonen niet vaker dan gemiddeld in een eenpersoonshuishouden,
wel zijn ze vaker dan gemiddeld werkloos. De meeste verdachten hebben een
mbo- of hbo-opleidingsniveau. Daarmee wijken ze niet af van de gemiddelde
Nederlander. Er is ook een groep jonge verdachten die van (andere) minderjarigen
kinderpornografische opnamen maakt en verspreidt.
Iets meer dan de helft van de verdachten heeft een of meer antecedenten.
Dat is significant meer dan de gemiddelde Nederlander. Nader onderzoek zal
moeten aantonen in hoeverre dit verschil wordt veroorzaakt, doordat kinderpornoverdachten
bijna allemaal man zijn en jonger dan de gemiddelde Nederlander
en dus behoren tot de groep personen (jonge mannen) die bovengemiddeld
veel delicten plegen. Relatief veel verdachten hebben een vermelding
in de hoofdgroepen ‘gewelddadig seksueel’ en ‘overig seksueel’ (resp. 2,4% en
8,3%). Personen die verdacht worden van het in bezit hebben en/of verspreiden
van kinderpornografische afbeeldingen maken zich kennelijk vaker dan
gemiddeld ook schuldig aan andere zedendelicten. Nader onderzoek zal moeten
uitwijzen hoe overtreding van artikel 240b Sr precies samenhangt met het
al dan niet plegen van andere delicten uit de zedelijkheidswetgeving.
Ons onderzoek wijst op het bestaan van in elk geval twee te onderscheiden
groepen verdachten: een grote groep personen (53,4%) die zonder dat zij
een gevestigde pedofiele voorkeur (zeggen te) hebben kinderporno downloaden
(grensverkennend gedrag, nieuwsgierigheid) en een verhoudingsgewijs
kleine groep van personen die niet alleen kinderpornografische afbeeldingen
in bezit heeft, maar die ook andere zedendelicten pleegt. Naar beide groepen
zou nader onderzoek moeten worden gedaan om beter zicht te krijgen op
kenmerken van deze personen en op mogelijke maatregelen.
Er is een nieuwe groep kinderpornoverspreiders: de minderjarigen. Bijna
een kwart van de verdachten in de kinderpornodossiers is jonger dan 24 jaar

Samenvatting
xix
(en van die groep is 35% jonger dan 18 jaar). Dit is te verklaren doordat minderjarige
jongeren, al dan niet vrijwillig, seksueel getinte foto’s en video’s van
zichzelf en/of elkaar maken. Indien dergelijke content verspreid wordt via internet
(door de verdachte zelf, of door een klasgenoot of kennis) is er sprake
van de verspreiding van kinderpornografie in de zin van artikel 240b Sr.
Een trend is dat kinderporno verdwijnt naar minder opzichtige delen van internet,
waar de informatie moeilijker is te observeren en waar het dus ook
moeilijker is om bewijsmateriaal te verzamelen. Verder valt te verwachten dat
door nieuwe technologische ontwikkelingen (zoals in animatietools, versleuteltechnieken
en betaalsystemen) de productie en verspreiding van kinderpornografie
zullen blijven veranderen.
Haatzaaien
Haatzaaien staat niet als zodanig in het Wetboek van Strafrecht, ook anderszins
is er in Nederland geen algemeen geaccepteerde definitie. In dit onderzoek
verstaan we onder de cybercrime haatzaaien het (aanzetten tot) opzettelijk
beledigen of discrimineren van bepaalde groeperingen, zonder een
bijdrage te leveren aan het publieke debat, waarbij ICT essentieel is voor de
uitvoering. Haatzaaien staat dan wel niet als zodanig in het Wetboek van
Strafrecht, er kan wel een aantal artikelen worden onderscheiden dat van toepassing
is, zoals artikel 147 en 147a Sr (godslastering) en de discriminatieartikelen
(art. 137c, d, e, f en g Sr). Volgens de Hoge Raad vervalt de strafbaarheid
bij discriminatoire uitlatingen indien deze bijdragen aan het maatschappelijke
debat. Ook kan artikel 131 Sr (opruiing) van toepassing zijn.
Uit de cijfers van het Meldpunt Discriminatie Internet (MDI) kunnen we afleiden
dat haatzaaiende content in ieder geval wordt verspreid middels spam
(e-mail), websites, peer-to-peer-netwerken, nieuwsgroepen en chat. We weten
niet precies welk aandeel van de haatzaaiende content op internet wordt verspreid
via welke route, we weten wel dat de wijze waarop de verspreiding loopt
aan verandering onderhevig is. Zo zijn er tegenwoordig bijna geen meldingen
meer over nieuwsgroepen, maar wel over weblogs, websites en webforums.
Volgens de literatuur gaat het merendeel van de meldingen over haatzaaiende
of discriminerende uitingen over Nederlandse sites. Daders van haatzaaien
opereren in groepen, die middels websites en chatkanalen discrimineren
en oproepen tot geweld, en in informele netwerken op internet. Ze doen
hun haatuitingen op discussiefora en weblogs. Er worden vier motieven onderscheiden;
voor de lol (verveling, spanning en opwinding), als waarschuwingssignaal
(verdachten voelen zich bedreigd door nieuwkomers en willen
hun territorium verdedigen), als vergeldingsactie (veelal in de context van
maatschappelijke spanningen) en als missie (door extremisten die overtuigd
zijn van hun gelijk).

xx Verkenning cybercrime in Nederland 2009
Het merendeel van de haatzaaidossiers toont geen verband met andere vormen
van (cyber)criminaliteit. Soms is er een verband met hacken of smaad,
maar over het geheel genomen geldt dat verdachten van haatzaaien geen criminele
generalisten zijn. De dossierstudie bevestigt dat het merendeel van de
delicten vanuit Nederland gepleegd wordt. Uit de dossiers volgt ook dat geen
sprake is van georganiseerde criminaliteit. Verdachten opereren veelal alleen.
In een aantal dossiers hebben verdachten berichten gepost op een extremistische
website, maar pleegden zij het delict als individu. De meeste verdachten
zijn man, jong en geboren in Nederland. Qua leeftijd ligt de nadruk op de
groep 12-17 jaar. In het geval van de minderjarige verdachten zien we dat het
vaak gaat om een impulsieve reactie in de vorm van een haatzaaiende post op
een website. De primaire motivatie is meestal wraak, verwerven van status of
zichzelf bewijzen. Ook zagen we ideologische en nationalistische motieven.
Verdachten van haatzaaien hebben vaker antecedenten dan de gemiddelde
Nederlander. Dat wordt vermoedelijk veroorzaakt doordat het overwegend
gaat om jonge mannen – en die plegen nu eenmaal relatief veel delicten. Nader
onderzoek zou daarover meer zekerheid kunnen bieden.
De politieregistratiesystemen bevatten weinig dossiers inzake de cybercrime
haatzaaien. In 2002-2007 vonden we er veertig. In een onderzoek naar
cybercrime in de dossiers van twee korpsen werd geen enkel dossier haatzaaien
aangetroffen. Van Stokkom e.a. (2007) concluderen dat de meeste strafbare
uitingen op internet ongemoeid worden gelaten en dat politiestatistieken
weinig bruikbaar zijn, doordat er geen goede landelijke dataverzameling en
opsporing van haatzaaiende uitingen en incidenten is. Het MDI ontving in
2007 1.078 meldingen, maar de meeste daarvan kwamen niet voor de rechter.
Ondanks het lage aantal aangiften spreken Van Stokkom e.a. (2007, p. 16) van
een ‘haatepidemie’ op internet. Radicalisme lokt volgens deze auteurs contraradicalisme
uit; moslims en niet-moslims kunnen hierdoor in een zichzelf
versterkende spiraal van wederzijds wantrouwen en vijandigheid terecht-
komen, aldus deze auteurs. Op basis van de dossierstudie kunnen we dit echter
niet onderbouwen. Er worden simpelweg te weinig aangiften van haatzaaien
gedaan.
Bij haatzaaien is maatschappelijk relevant om te weten ‘uit welke hoek de
wind waait’. We hebben niet systematisch bijgehouden op welk deel van de
bevolking de verdachten het voorzien hadden (dus of verdachten bijvoorbeeld
met name rechts-extremisten zijn of juist fundamentalistische moslims). Wel
maakten we van elk dossier een korte samenvatting. Uit deze samenvattingen
blijkt dat het in de meeste dossiers gaat over verdachten met rechts-extremistische
ideeën die het met name voorzien hebben op ‘de buitenlanders’ en ‘de
allochtonen’. Verder doen verdachten in een aantal dossiers antisemitische
uitspraken en in enkele dossiers werden homoseksuelen gediscrimineerd.

Samenvatting
xxi
Cybercrime in Nederland: overeenkomsten en verschillen 1
Alles bijeengenomen, is te zien dat e-fraude, kinderporno en haatzaaien criminaliteitsvormen
zijn die weinig verbanden hebben met andere vormen van
criminaliteit. Alleen hacken heeft duidelijke verbanden met andere criminaliteitsvormen.
Hacken kan dan ook gezien worden als een middel om andere
criminaliteit te plegen.
De analyses wijzen erop dat we niet alleen te maken hebben met verschillende
cybercrimes met relatief weinig dwarsverbanden, maar ook met verschillende
dadergroepen die elkaar wellicht maar weinig overlappen. Over
de verdachten zien we op hoofdlijnen namelijk het volgende:
– Een verdachte van cybercrime is waarschijnlijk van het mannelijke geslacht
en moet vermoedelijk worden gezocht in de leeftijdsgroepen tussen
12 en 45 jaar. Kinderporno is een uitzondering: een verdachte daarvan
is bijna zeker van het mannelijke geslacht, maar over de leeftijd valt juist
minder met zekerheid te zeggen.
– Daders van cybercrime plegen hun delict zelden in georganiseerd verband.
Toch komt georganiseerde cybercrime wel voor bij e-fraude en kinderporno.
– Verdachte en slachtoffer in hackendossiers zijn vaak bekenden van elkaar;
bij e-fraude en kinderporno is dat doorgaans juist niet het geval.
– De motivatie van hackenverdachten ligt geregeld in de relationele sfeer.
De primaire motivatie van e-fraudeurs is in de regel financieel gewin, verdachten
in de kinderpornodossiers hebben vaker nieuwsgierigheid en verslaving/seksuele
behoefte als motivatie. Verdachten in haatzaai dossiers
hebben uiteenlopende motieven, meestal is het wraak of gaat het om ideologische/nationalistische
motieven.
Op het totaal aan cybercrimes in de politiedossiers speelt georganiseerde criminaliteit
hoegenaamd geen rol. Maar dat is bij offlinecriminaliteit ook het
geval: verreweg de meeste delicten maken geen onderdeel uit van georganiseerde
criminaliteit. Omdat georganiseerde criminaliteit maatschappelijke
structuren kan aantasten (denk aan vermenging tussen boven- en onderwereld,
witwassen, bezit van onroerend goed, corruptie) verdient het, net als
in onderzoek naar offlinecriminaliteit, aparte aandacht. Er is dan ook nader
onderzoek vereist naar georganiseerde cybercriminaliteit.
Over de absolute omvang van cybercrime in Nederland valt niet veel met
zekerheid te zeggen. Het maakt maar een zeer klein deel uit van de bij de politie
geregistreerde criminaliteit. De resultaten uit een slachtofferonderzoek in
1 Van cyberafpersen vonden we te weinig dossiers om een vergelijking met de andere cybercrimes
uit deze studie te kunnen maken, die laten we dan ook verder buiten beschouwing.

xxii Verkenning cybercrime in Nederland 2009
Friesland wijzen op een substantieel dark number. Om deze kennisleemte op
te vullen, is een landelijk slachtofferonderzoek nodig.
Diezelfde kennisleemte zorgt ervoor dat over de maatschappelijke impact
op basis van politiedossiers niet eenvoudig iets stelligs is te zeggen. Het belangrijkste
gemis is dat de dossiers weinig zeggen over de mate waarin de
verschillende delicten voorkomen. Dat cybercrimes de persoonlijke levenssfeer
kunnen aantasten en dat mensen na een e-fraude niet altijd even veel
vertrouwen meer hebben in e-commerce was te verwachten. Dat dergelijke effecten
zich voordoen, zagen we wel terug in de dossiers, maar in welke mate
dat het geval is, kunnen we daaruit niet afleiden. Daarvoor zijn politie dossiers
niet geschikt.
Conclusies
De belangrijkste conclusie uit dit onderzoek is dat cybercrime van het volk is.
Bij aanvang van dit onderzoek zagen we op basis van literatuur, de media en
beleidsdocumenten een beeld van hightech cybercriminelen die vanuit het
buitenland opereren in georganiseerde groepen en op grote schaal slachtoffers
maken. Dit beeld verdient te worden genuanceerd. Uit onze dossiers blijkt
juist dat er veel ‘kleine delicten’ gepleegd worden door min of meer alledaagse
verdachten die individueel opereren. Dat we in de dossiers hoegenaamd geen
georganiseerde cybercriminaliteit tegenkwamen, wil niet zeggen dat dergelijke
criminaliteit niet bestaat. Onze bevindingen ontkennen niet het bestaan
van georganiseerde criminelen die zich bezighouden met bijvoorbeeld skimmen
en voorschotfraude – ons onderzoek laat zien dat er beduidend meer is
dan dat. Op basis van de dossierstudie lijkt het plausibel om te veronderstellen
dat cybercrime dezelfde structuur heeft als klassieke (offline) criminaliteit.
Ook bij de klassieke criminaliteit is er immers sprake van een grote groep
daders die relatief kleine delicten (zoals diefstallen en inbraken) plegen op
min of meer individuele basis en van een aantal groeperingen dat zich bezighoudt
met georganiseerde criminaliteit. Georganiseerde groepen hebben dus
niet het monopolie op cybercrime. Cybercrime is van iedereen.
Dat cybercrime van het volk is, heeft implicaties voor politiebeleid en leidt
tot de conclusie dat kennis en kunde op het gebied van cybercrime korpsbreed
aanwezig moet zijn: iedere agent moet beschikken over enige basis kennis
inzake cybercrime. Er is immers een groeiende kans dat agenten in klassieke
zaken te maken krijgen met een cybercrimeaspect, denk bijvoorbeeld aan iemand
die gestalkt wordt en van wie het e-mailaccount wordt gekraakt. Daarnaast
blijkt dat cybercrime niet alleen gepleegd wordt door georganiseerde
groeperingen uit het buitenland. De bestrijding van cybercrime moet dan ook
niet alleen het domein zijn van specialistische teams (zoals nu overwegend het
geval is).

Samenvatting
xxiii
Een andere conclusie die implicaties heeft voor het politiebeleid is dat bijna
een kwart van de hackenverdachten en bijna 15% van de e-fraudeverdachten
opereert vanuit het buitenland. Dat is niet verrassend, ook in de literatuur
wordt cybercrime als een mondiaal probleem gezien. Cybercrime is dus een
probleem dat lang niet altijd bij de landsgrenzen ophoudt. Het werkaanbod
van de politie internationaliseert daardoor. Van oudsher waren internationaal
opererende daders in de regel onderdeel van een georganiseerde dadergroep
(denk bijvoorbeeld aan drugs- en mensensmokkel). Internationaal opererende
daders kwamen bij de politie dan terecht bij specialistische teams. Bij
cybercrime zijn het nu ook kleinere criminelen die internationaal opereren.
Ook niet-specialistische teams in alle politieregio’s krijgen nu dus te maken
met internationaal opererende daders.
De cybercrimes e-fraude, kinderporno en haatzaaien staan op zichzelf en
hebben weinig verbanden met andere vormen van criminaliteit. Verdachten
van deze cybercrimes zijn geen criminele generalisten, maar beperken zich
tot hun type cybercrime, zij het dat zij daarbij soms aanpalende delicten plegen
(bijv. de bezitter van digitale kinderporno die ook kinderporno vervaardigt).
In tegenstelling tot de andere cybercrimes uit onze studie staat hacken
juist niet op zichzelf. Hacken heeft verbanden met een groot aantal andere
vormen van criminaliteit en is veelal een middel om andere delicten te plegen.
Uit de dossierstudie blijkt dat de hackenzaken een combinatie zijn van
cybercrime in enge zin (waarbij computers of computergegevens het doelwit
zijn), vermogenscriminaliteit en intermenselijke conflicten.
In de literatuur wordt vaak geclaimd dat motieven van hackers verschoven
zijn van hacking for fame naar hacking for fortune. Cybercriminelen zouden
steeds meer geïnteresseerd raken in financieel gewin. Een empirische onderbouwing
bij deze uitspraken hebben we echter niet kunnen vinden. De motieven
van hackers in onze dossiers variëren juist, van bijvoorbeeld wraak,
nieuwsgierigheid en financieel gewin. Er is dus wel een groep hackers die
delicten pleegt voor het geld, maar een andere ontwikkeling lijkt dominanter:
de democratisering van hacken (hacken is niet langer voorbehouden aan vergevorderde
computeraars) en de daarbij horende motieven die in de relationele
sfeer liggen (we zien dan ex-geliefden of jongeren die elkaar dwarszitten
door gevoelige informatie openbaar te maken of elkaar zwart te maken). Er
is, kortom, blijkens onze dossierstudie geen sprake van een eendimensionale
verschuiving van hacking for fame naar hacking for fortune, de verschuiving is
meerzijdig, vooral omdat hacken steeds meer van het volk is geworden. Opmerkelijk
daarbij is de opkomst van hacking for revenge.
Cybercrimeverdachten zijn in de regel in Nederland geboren mannen onder
de 45 jaar. De verdeling tussen mannen en vrouwen in de cybercrimedossiers
wijkt significant af van de verdeling van de Nederlandse bevolking.

xxiv Verkenning cybercrime in Nederland 2009
Dit geldt in het bijzonder voor kinderporno, dat is een echt mannendelict.
Bij twee typen cybercrime wijkt het percentage mannelijke verdachten significant
af van ‘de gemiddelde verdachte’ in het Herkenningsdienst Systeem
(HKS). Bij kinderporno is het percentage mannen groter. Bij e-fraude is het
percentage mannen juist kleiner (p

Samenvatting
xxv
Uit de dossierstudie komt een beeld naar voren dat cybercriminaliteit meestal
gepleegd wordt door verdachten die relatief zelfstandig werken en geen verbanden
hebben met georganiseerde misdaad. Dat wil niet zeggen dat georganiseerde
criminele groeperingen zich niet bezighouden met cybercrime; net
als in de offlinewereld worden de meeste (kleine) delicten gepleegd door een
grote groep verdachten en een klein deel van de criminaliteit wordt (systematisch)
gepleegd door georganiseerde groeperingen. In de politiedossiers staat
over georganiseerde cybercrime hoegenaamd geen informatie. Om daarover
meer te weten te komen, is speciaal daarop gericht onderzoek nodig.
We analyseerden 665 politiedossiers. We weten echter niet welke zaken
zijn doorgestuurd naar het Openbaar Ministerie (OM) en of uiteindelijk verdachten
veroordeeld zijn. Vervolgonderzoek is nodig om zicht te krijgen op
dat proces in de strafrechtketen en op knelpunten die zich in dat proces voordoen.
We concludeerden dat politie in de volle breedte van de organisatie vaker
te maken zal krijgen met cybercrime. Zij moet zich dus de kennis eigen maken
om daarmee adequaat om te gaan.

Su m m a r y
Introduction
This study is about cybercrime. The Dutch government gives priority to tracking
and fighting cybercrime, and has taken several legal and organisational
measures to this end. Taking measures requires knowledge about the nature
and scope of this type of crime. However, experience has proven that it is difficult
for the police and the judiciary to keep up with developments in this
area. The net result is that there is a significant lack of knowledge. To address
this issue, the Dienst Nationale Recherche (DNR, Dutch Criminal Investigation
Department) of the Korps Landelijke Politiediensten (KLPD, Dutch National
Police Force) took the initiative for this research. This study entitled
‘Study Cybercrime in the Netherlands 2009’ should improve the police and
judiciary’s insights into the subject.
In this study, we use the term cybercrime as the umbrella concept for all
forms of crime in which IT plays an essential role. Not every form of cybercrime
can be included in the study, the list of cybercrimes is simply too long.
The following cybercrimes are addressed: hacking, e-fraud, cyber extortion,
child pornography and hate sowing. These five were selected because, of all
cybercrimes, they constitute the most serious social problems, and as such
they receive the most attention from police and judiciary.
Ultimately, the study should contribute to the combat of cybercrime. A
more immediate objective is to offer insight into the severity of those types
of cybercrime that are most relevant to the police. In order to determine the
severity of cybercrime, we have composed four research questions: (1) what is
the nature of cybercrimes?, (2) what do we know about the offenders?, (3) what
is the scope of the investigated cybercrimes?, and (4) what is the social impact
of these cybercrimes?
Research Methods
In order to answer these research questions, we first performed an international
literature study, a media analysis, as well as a web research and document
analysis. For the international literature study, we consulted multimedia
centres, and looked for books, articles, reports and other relevant publica-

xxviii
Verkenning cybercrime in Nederland 2009
tions. The media analysis consisted of an analysis of reports about cybercrime
in the Dutch daily newspapers from 2006 and 2007. This yielded information,
not only about cybercrimes, but also for example about research reports, police
actions and key persons. The web research consisted of an Internet search
for information about cybercrime, research reports and key persons. The
document analysis meant that we studied policy documents on the subject of
combating cybercrime. The main part of the study consisted of an analysis of
police files. In total, we analyzed 665 files, comprising 139 hacking files, 314
e-fraud files, 13 cyber extortion files, 159 child pornography files and 40 hate
sowing files.
Our analysis of police files improved our insight into cybercrime, but this
research method also has its limitations. The police files that we studied only
shed light on crimes that have been reported to the police and that the police
recorded in their computer system. Additional research needed to be undertaken
to complete the picture.
Hacking
Hacking is the deliberate and illegal entering into a computerised work, and
is an offence according to article 138a paragraph 1 of the Dutch Criminal
Code (electronic break-in). Hacking-related offences are: copying, tapping
or recording of data after entering (article 138a paragraph 2), the intentional
or inadvertent causing of a disruption in the system (articles 161 under paragraph
6 and 161 under paragraph 7, respectively), the intentional or inadvertent
destruction of data (article 350a and 350b respectively), tapping and/or
recording of data (article 139c) and installing of recording, tapping and/or
monitoring equipment (article 139d).
In literature, hackers are categorised in various ways including on the basis
of their primary motivations, such as acquiring knowledge, personal challenge,
power and financial profit. However, there does not seem to be any
empirical foundation for the categories used. The image of various different
categories of hackers does not emerge from our file study. Rather than clearcut
categories, the picture of a varied group of people emerges, although a few
salient characteristics did emerge.
The police files show that Dutch hackers are primarily men under the age
45 who were born in the Netherlands. They seldom commit their crimes in an
organised setting, the majority of the cases only involve one suspect. Hacking
is often done in connection with relationships: suspect and victim are for
instance ex-lovers, jealous spouses or school friends, but former business associates
may also be involved. The primary motivation of the suspect is often
revenge, but we have also seen other motives, such as curiosity and financial
profit. Most suspects from the hacking files do not have a criminal past, al-

Summary
xxix
though those that do, are much more likely to have a criminal record than the
average Dutch person.
Suspects use various criminal techniques. Although most police files are
unclear about the precise techniques used, suspects in hacking cases definitely
deface websites, install keyloggers, make phishing websites and do social
engineering. Botnets, DDoS-attacks, sniffing and spoofing are seldom found
in police files. The fact that in 20 to 25% of the police files the hack is performed
from abroad, within as well as outside Europe, is the most important
finding with regard to police investigation.
Hacking is usually not an isolated offence. All in all, hacking is found to be
connected with:
1. cybercrime in the narrow sense (copying or destroying data or destroying
or disturbing a computer system);
2. crimes against property (swindling, fraud, theft, extortion, embezzlement);
3. inter-personal conflicts (slander, threat, libel, stalking, assault).
Hacking is primarily aimed at personal interests (financial profit, settling
a conflict) and not at social disruption or general menacing. The issues are
normally quite mundane, involving ordinary people who are frustrated with
each other. Up to a point, hacking has become democratised: it is no longer
the exclusive domain of whizz kids, instead it is also committed by people
who are less well-versed in the technical ins and outs.
It is impossible to be precise about the exact extent of hacking. It is only a
very small part of the crime registered by the police. The results from a victim
study in Friesland, a Dutch province, show a substantial number of unreported
crimes (dark number) of this nature. From both local and international literature
about cybercrime and information security we know that companies
in particular are frequently victims of attempts, successful and otherwise, to
hack into computer systems. Victims among individuals are less common.
E-fraud
Fraud is not listed as such in the Dutch Criminal Code: usually swindling (art.
326) and/or forgery are involved (art. 225). E-fraud is fraud aimed at financial
profit and for the execution of which IT is essential. The manifestations of
e-fraud we encountered in literature are: trade in false goods, false financial
transactions (including auction and deposit fraud), and market mani pulation.
E-fraud can be committed with or without identity abuse. Identity abuse is
assuming an identity other than one’s own digital identity, with the intent of
making dishonest financial profit. The making of the false identity precedes
the identity abuse. This can be done by identity theft (stealing the identity of

xxx Verkenning cybercrime in Nederland 2009
an existing person), identity creation (creating a fictitious identity) and identity
delegation (assuming the identity of an existing person with his/her permission).
In literature, the expectation is that in the coming years many will
fall victim to e-fraud with identity abuse and causing much financial harm. In
addition, deposit fraud is also seen as a threat.
In various aspects, analysis of the police files shows a different picture
to that of literature. Most files from the file study do not deal with Nigerian
Scams (419 fraud) and identity theft but with swindle through sales sites. Efraud
generally does not have connections with other crimes, cyber or otherwise.
And where it does, there are connections with the theft of identity data
(especially digital, but also non-digital) and sometimes also with hacking.
These offences are then a means to commit the e-fraud.
E-fraudsters usually work alone, and there is no organised crime involved,
with the exception of a few files. According to the files, financial profit is the
central motive. In general, e-fraud concerns fairly simple cases: the perpetrator
places an advert or makes a website or presents information in other ways
to seduce the victim into paying for goods or services that never materialise.
In short, most e-fraud cases are not technical fireworks. Perpetrators of
e-fraud draw from a limited stock of techniques. There is social engineering in
nearly every case. In some cases, phishing is used. The files with e-fraud frequently
involve identity abuse. Although in literature attention is often drawn
to cooperating fraud gangs (Nigerian scams, skimming), the major part of the
frauds we found in our files was the work of swindlers that operate fairly
simply. The image that literature paints of e-fraud requiring above-average
technical insights and skills was not substantiated at all by our study.
The suspects we know are generally born in the Netherlands, operate from
the Netherlands, and are usually men aged between 18 and 35 years. Generally
speaking, e-fraud is not something for the age group of 12-18 years, nor
for persons older than 35. Apparently, persons between 18 and 34 years old
have the optimal e-fraud equipment: they are old enough to have sufficient
social skills for social engineering and young enough to be able to move about
nimbly in cyberspace. Suspects are more likely to be unemployed, but they
are less likely than average to live alone. So, with regard to their living arrangements
they are not socially isolated, as they are with regard to their employment
position. Their lack of income from working could go some way to
explaining their main motive: financial profit.
An analysis of legal antecedents shows that e-fraud suspects are likely to
commit other offences, and so they have a more extensive criminal repertoire
than just fraud. This can also be explained by the fact that most suspects are
male and relatively young – and so they belong to a group of persons that is
likely to commit offences relatively often.

Summary
xxxi
E-fraud features ten times more frequently in police files than hacking. From
our own research we know that 25 (2.2%) of the 1,246 inhabitants of Friesland
that we interviewed have been the victim of e-fraud in the past two years.
Only one victim pressed charges. This indicates a high dark number.
Cyber extortion
Extortion means obtaining unlawful advantage due to threat or violence.
We use the term cyber extortion when IT is essential for the execution of the
crime. Various manifestations are mentioned in literature:
1. threat: threatening to paralyse websites or networks;
2. damage and disruption: damaging essential data and disrupting industrial
production systems;
3. shaming: publicising sensitive information;
4. protection: offering ‘protection’ from for instance DDoS-attacks.
These four manifestations can occur in combination with each other.
In the Dutch Criminal Code extortion is a criminal offence according to article
317 (extortion). Also, articles 318 (threatening) and 285 (menacing) may
apply. These criminal techniques usually require breaking into computer systems,
which is punishable according to article 138a. In instances where computerised
work is deliberately or inadvertently destroyed, the articles 161 under
paragraph 6 and 161 under paragraph 7 of the Dutch Criminal Code apply.
Articles 350a and 350b apply in cases of data destruction.
We only found 13 files about cyber extortion for the period 2003-2007.
Where links with other crimes could be established, cyber extortion seems
to be a continuation of earlier threats. Suspects commit extortion by threatening
to publicise sensitive information about the victim. The sensitive information
is usually related to child pornography. Victims have child pornography
on their computers and are blackmailed because of it, or suspects
pressure minors into sending nude photos of themselves (and these are then
used to blackmail the victim). At various points during the analysis we detected
a connection between cyber extortion and offences related to relationships
and/or sexuality. Apart from child pornography, relational problems,
stalking and assault were also found. Together these aspects imply that cyber
extortion is related to sex crimes and/or sex offenders. The limited number
of files does not allow for any bold conclusions, but this indication of a connection
between youth, sex crimes and extortion is an area that would benefit
from further investigation.
Literature does not give us much information about the offender characteristics
of cyber extortionists. According to the KLPD there appears to be

xxxii
Verkenning cybercrime in Nederland 2009
cooperation between computer criminals from Western European countries
and organised groups of criminals from Russia and Eastern Europe. Hackers
are recruited and engaged via the Internet on the basis of their skills. The
KLPD refers to the extortion of companies. This was not evident in the file
study. The suspects operate alone, and there are no criminal collaborations.
A remarkably finding is that often the suspects are young (under 21 years).
They do not use any criminal techniques. Collecting sensitive information
about the victim is a preparatory act. The victim is always an individual, not a
company. We do not have sufficient information to be able to carry out victim
profiling.
Victim research among companies in the United States and Australia indicates
that a substantial percentage of the companies (16 to 33%) has been
the victim of cyber extortion. We have not found any information in literature
about victims among civilians. The 13 cyber extortion files we found for
the period 2003-2007 all relate to individual victims, not companies. We know
that cyber extortion is not unheard of in the Netherlands because we have
found one such case among the hacking files. In this particular case a DDoS
attack was deployed to blackmail a company. A study into the caseload of
cybercrimes in two police forces did not yield any report of cyber extortion in
2007. A conclusion with regard to the scope of cyber extortion should therefore
be that it is not very common and/or that the readiness to report it is very
low.
Due to the limited number of reports, cyber extortion, specifically in combination
with a DDoS attack, is not viewed as a concrete threat in the Dutch
National Threat Assessment. According to other sources, the number of cyber
extortions will increase in the future because more and more companies are
dependent on the Internet, and the techniques required for extortion are easily
available. Any empirical foundation for this claim is however not evident.
Child pornography
Child pornography is a punishable offence in the Netherlands according to
article 240b of the Criminal Code, which defines child pornography as the depiction
of a sexual act, in which someone who apparently has not yet reached
the age of eighteen years, is involved or seemingly involved. The rationale
of article 240b is that young people should be protected against actions and
expressions that may encourage or seduce them to participate in sexual intercourse.
It is also against actions and expressions that contribute to a subculture
that promotes the sexual abuse of children.
From figures of the Meldpunt Kinderporno (Centre for Reporting Child
Pornography), combined with earlier research into child pornography on the
Internet, we can deduce that child pornography on the Internet is distribut-

Summary
xxxiii
ed in different ways: through spam, websites, peer-to-peer networks, virtual
hard disks, news groups and chat. The method of distribution is changes constantly,
partly because new techniques are created continually, and partly because
the suppliers of child pornography change their tactics in response to
repressive measures.
In literature two clear groups can be discerned among the adults who participate
in the distribution of child pornography: the commercial group who
aims at financial profit and the ‘enthusiasts’ whose primary motivation is to
obtain more child pornographic material. Some sources claim that the trade
and production of child pornography is becoming increasingly the domain of
organised groups. Child pornography is a lucrative business involving huge
sums of money. In literature we see five categories of offenders: producers
and dealers, collectors, travellers, groomers/chatters and minor perpetrators
(as sex offender).
Our file study shows that Dutch suspects are not part of a professional
criminal operation. In the files there are a few large-scale international studies
into websites that are managed professionally. The Dutch suspects are
customers who download from these websites. Of the five categories that appeared
in literature, in the files we found the categories collectors and groomers/chatters.
We also see in the files that dealers are active, but they are not a
subject of research by the Dutch police.
The cybercrime child pornography has few connections with other cybercrimes
or crime in general. If any, other sex offences, especially the possession
of child pornography other than by IT and sometimes producing of child pornography,
seem to be the only other types of crime involved. Suspects also try
to groom minors, for instance, or to bribe victims by threatening to publicise
sensitive information (e.g. nude photos).
In most files there is only one suspect. These are mostly indigenous men,
mainly in the age group 18-55 years. Curiosity is the primary motive mentioned
most frequently. Suspects who mentioned curiosity as their motive say
they are not searching because of an established paedophile inclination, but
they want to explore their boundaries. Further research into backgrounds, circumstances
and motives should focus on whether the offences of this sightseeing
group could be prevented with measures that confirm the norm or restrict
opportunities. More often than not, child pornography suspects do not
live alone, but they do tend to be unemployed more often than average. Most
suspects either have MBO (intermediate vocational education) or HBO (higher
vocational education). So far, they do not differ from the average Dutchman.
There is also a group of young suspects who make child pornographic
pictures of other minors and distribute them.

xxxiv
Verkenning cybercrime in Nederland 2009
Just over half of the suspects has committed one or more crimes. This is significantly
more than the average Dutchman has. Further research will have
to show the extent to which this difference is caused by the fact that child
pornography suspects are nearly all men, and that they are younger than the
average Dutchman – and so belong to the group of persons (young men) that
commit more crimes than average. Relatively speaking, many suspects have
a record in the main categories ‘violent sexual offences’ and ‘other sexual offences’
(respectively 2.4 and 8.3%). Individuals suspected of possessing and/
or distributing child pornographic pictures also have a tendency to commit
other sex offences more often than the average person. Further research will
have to show whether and how exactly offences against article 240b of the
Dutch Criminal Code are linked to committing other sex-related crimes, if
any.
Our research indicates the existence of at least two discernable groups of
suspects: a large group of individuals (53.4%) who download child pornography
without having (they claim) an established paedophile inclination (exploratory
behaviour, curiosity), and a relatively small group of individuals
who not only possess child pornography but also commit other sex offences.
Both groups should be investigated further so that a clearer insight into the
characteristics of these persons can be gained and possible measures to prevent
this kind of crime can be drawn up.
There is a new group of child pornography distributors: the minors. Almost
a quarter of the suspects in child pornography files is younger than 24
years (and of that group 35% is younger than 18 years). This can be explained
by the fact that minors, whether voluntarily or not, take sexual photos and
make videos of themselves and/or each other. When this material is distributed
via the Internet (by the suspect him/herself, a classmate or acquaintance) it
is becomes a matter for the law according to article 240b: distribution of child
pornography.
There is a trend that suggests that child pornography is disappearing to
less conspicuous parts of the Internet, where the information is more difficult
to monitor, and where it is also more difficult to collect evidence. It is also to
be expected that new technological developments (such as animation tools,
encrypting techniques and payment systems) will continue to change the
production of child pornography.
Hate sowing
Hate sowing as such is not in the Dutch Criminal Code, and there is also no
generally accepted definition of hate sowing in the Netherlands. In this study,
cybercrime hate sowing refers to deliberately insulting or discriminating
against certain groups or inciting others to do so, without contributing to the

Summary
xxxv
public debate. The proviso is that IT must be essential for the execution of
these acts. Hate sowing may not be mentioned as such in the Criminal Code,
but there are a number of articles that apply, such as article 147 and 147a (blasphemy)
and the discrimination articles (art. 137c, d, e, f and g). According to
the Supreme Court, discriminatory expressions are not punishable by law if
they contribute to the social debate. Article 131 (agitation) is another article
that may also apply.
From the figures of the Meldpunt Discriminatie Internet (Centre for Reporting
Discrimination on the Internet) we can deduce that hate sowing content
is predominantly distributed via spam (e-mail), websites, peer-2-peer
networks, news groups and chat. We are not entirely certain which part of
the hate sowing content is distributed via which route, but we do know that
method of distribution do change. For instance, there are hardly any reports
about news groups any more, but there are reports of weblogs, websites and
web forums.
According to literature, the majority of reports are about hate sowing or
discriminatory expressions about Dutch sites. Hate sowing offenders operate
in groups that discriminate and call for violence through websites and
chat channels, and also in informal networks on the Internet. They express
their hate on discussion forums and weblogs. Four motives are discerned:
fun (boredom, suspense and excitement), as a warning signal (suspects feel
threatened by newcomers and want to defend their territory), as act of retaliation
(mostly in the context of social tension) and as missions (by extremists
that are convinced that their own views are justified).
The majority of the hate sowing files do not indicate that there are any
connections with other forms of crime, cyber or otherwise. Sometimes there
is a connection with hacking or slander, but on the whole suspects of hate
sowing do not seem to be criminal generalists. The file study confirms that
the majority of the crimes are committed in the Netherlands. The files also
show that there is no question of organised crime. Suspects mainly operate
alone. In a number of files suspects posted messages on an extremist website,
but they committed the offence as individuals. Most suspects are male, young
and born in the Netherlands. With regard to age, the focus is on the group
of 12-17 years. In case of minors suspects, we see that it often concerns an
impulsive reaction, in the form of a hate sowing post on a website. Revenge,
acquiring status or proving oneself are usually the primary motivations. We
have also seen ideological or nationalistic motives. Suspects of hate sowing
are more likely to have crime antecedents than the average Dutchman. This
is probably because it is predominantly young men who are involved – and
relatively speaking they commit many offences. Further research is needed to
confirm this.

xxxvi
Verkenning cybercrime in Nederland 2009
Police records do not contain many files regarding hate sowing as a cybercrime.
We have found 40 files over the period 2002-2007. No hate sowing files
were found during the cybercrime study in the files of two police forces. Van
Stokkom et al. (2007) conclude that most punishable statements on the Internet
are not pursued, and police statistics are not very helpful because there
is no proper data collection and detection of hate sowing expressions and incidents
on a national basis. The MDI received 1,078 reports in 2007, but the
majority were never brought to court. Despite the limited number of charges,
Van Stokkom et al. (2007, p. 16) speak of a ‘hate epidemic’ on the Internet. According
to these authors, radicalism provokes counter-radicalism; Muslims
and non-Muslims may end up in a self-perpetuating spiral of mutual mistrust
and hostility. However, there was no evidence for this on the basis of the literature
study. Hate sowing is simply not reported often enough.
With hate sowing, it is socially relevant to know the lay of the land. We
have not systematically recorded which part of the population the suspects
had been targeting (in other words, whether suspects are mainly right-wing
extremist or fundamentalist Muslims). We have made a short summary of
each file. These summaries show that most files deal with suspects with rightwing
extremist ideas, who mainly target ‘foreigners’ and ‘immigrants’. Suspects
also make anti-Semitic remarks in a few files, and in some files homosexuals
were discriminated against.
Cybercrime in the Netherlands: similarities and differences 2
Generally speaking, e-fraud, child pornography and hate sowing are crime
categories with few connections to other types of criminality. Only hacking
seems to have clear links to other crime forms. Hacking can be seen as a
means to commit another crime.
The analyses indicate that we are not only dealing with various cybercrimes
with relatively few connections, but also with various groups of offenders
that probably overlap only minimally. The suspects can be outlined
as follows:
− A suspect of cybercrime is likely to be male in the age group 12 to 45 years.
Child pornography is an exception: these suspects are almost invariably
male and do not belong to any particular age group.
− Cybercrime offenders rarely commit their crimes in an organised setting.
However, organised crime can be found in cases of e-fraud and child pornography.
2 We have not been able to find sufficient files on cyber extortion to be able to make a comparison
with other cybercrimes in the study, and so this category will be ignored.

Summary
xxxvii
− Suspect and victim are often known to each other in hacking files, but this
is not the case with e-fraud and child pornography.
− The motives of hacking suspects can often be found in relationships. The
primary motivation of e-frauds is usually financial profit, suspects in child
pornography cases more often than not have curiosity and addiction/sexual
need as their motivation. The motivation in hate sowing files varies: it
is usually revenge, or involves ideological/nationalist motives.
On the total number of cybercrimes in the police files, organised crime hardly
plays a role. But that is also the case with offline crime: the majority of the offences
are not part of organised crime. But because organised crime can affect
social structures (e.g. a merging of law abiding society with the underworld,
money laundering, possession of real estate, corruption) it deserves special attention,
just like research into crime outside cyberspace. And so, research into
organised cybercrime is required.
We cannot say anything definitive about the absolute scope of cybercrime
in the Netherlands. It is only a very small part of the criminality registered
with the police. The results from a victim study in Friesland indicate a substantial
dark number. A national victim study will be necessary in order to fill
this knowledge gap.
That same knowledge gap makes it very difficult to say anything definitive
about the social impact on the basis of the police files. The most important
deficiency is that the files do not give much information about the level
of frequency of the various offences. It was to be expected that cybercrimes
affect personal privacy, and also that people lose confidence in e-commerce
after they have been a victim of e-fraud is also hardly a surprise. We found
evidence for these effects in the files, but we were unable to deduce the extent
of their impact. Police files are unsuitable for that.
Conclusions
The most important conclusion from this research is that cybercrime is about
ordinary people. When we started this study, the literature, media and policy
documents gave us a picture of high-tech cyber criminals who operate from
abroad in organised groups, making victims on a large-scale. But this image
was soon modified. Our files show that many ‘minor offences’ are committed
by more or less ordinary people that operate individually. The fact that we
found hardly any organised crime does not prove that this type of crime does
not exist. Our study does not deny the existence of organised criminals who
commit crimes of skimming or advanced fee fraud for example – our study
shows that there is considerably more to it than that. It shows that it is plausible
to assume that cybercrime has the same structure as traditional, non-IT

xxxviii
Verkenning cybercrime in Nederland 2009
crime. After all, among traditional criminals there is also a large group of
offenders who commit relatively minor offences (like burglary and theft) on
a more or less individual basis, and there are a few groups that commit organised
crime. So, organised groups do not monopolise cybercrime. Cybercrime
belongs to everybody.
The fact that cybercrime is about ordinary people does have implications
for police policy. It will lead to the conclusion that knowledge about the field
of cybercrime should be widely available in the force: every police agent
should have some basic knowledge of cybercrime. After all, the chances are
growing that officers will have to deal with a cybercrime aspect in traditional
cases, e.g. someone is stalked and his/her e-mail account is hacked. In addition,
there is evidence to suggest that cybercrime is committed not only by
organised groups abroad. That is why the fight of cybercrime should not only
be the domain of specialist teams (as has been the case up until now).
Another conclusion that has implications for police policy is that almost
a quarter of the hacking suspects, and almost fifteen per cent of the e-fraud
suspects, operate from abroad. This is not surprising, in literature cybercrime
is also regarded a global problem. So, cybercrime is a problem that does not
always stop at the border. This internationalises the work of the police. Traditionally,
internationally operating offenders were usually part of an organised
group (for example, drug smuggling and cross-border offences). Specialist police
teams would be set up to deal with internationally operating offenders. In
the case of cybercrimes, serious minor criminals now also cooperate internationally.
Non-specialist teams in all police districts will now also have to deal
with internationally operating offenders.
The cybercrimes e-fraud, child pornography and hate sowing are isolated,
and have few connections with other forms of criminality. Suspects of these
cybercrimes are not criminal generalists, but limit themselves to their type of
cybercrime, although they do sometimes commit related crimes (for example,
those who own digital child pornography also produce child pornography).
Contrary to the other cybercrimes in our study, hacking is not done in isolation.
Hacking is linked to a wide range of other crime forms, and it is usually
a means to commit other crimes. The file study shows that hacking cases are
a combination of cybercrime in the restricted sense (computers or computer
data are the target): offences against property and inter-personal conflicts.
In the literature it is often claimed that the motives of hackers shifted from
‘hacking for fame’ to ‘hacking for fortune’. Cyber criminals became more interested
in financial profit. However, we have not been able to find empirical
evidence for these statements. The motivations of the hackers in our files varied,
for example: revenge, curiosity and financial profit. So, there is a group
of hackers that commits offences for money, but another development seems

Summary
xxxix
to be more dominant: the democratisation of hacking (hacking is no longer
the reserve of highly skilled computer nerds) and the corresponding motives
which are related to relationships (we then see ex-lovers or youngsters targeting
each other by publicising sensitive information or attacking each others’
reputations). In short, in our study there is no unilateral shift of hacking for
fame to hacking for fortune: the shift is multilateral, particularly since hacking
has become more and more of the people. The rise of hacking for revenge is
significant in that respect.
Cybercrime suspects tend to be males born in the Netherlands and under
45 years of age. The division between men and women in the cybercrime files
is significantly different to that of the Dutch population. This specifically applies
to child pornography, which really is a male offence. For two types of
cybercrime the percentage of male suspects differs significantly from the ‘average
suspect’ in the Netherlands. Among child pornography offenders, the
percentage of men is larger. Among e-fraud offenders the percentage of men
is smaller (p

xl
these kinds of crime. We hardly know anything about the readiness to report
nor about the extent of victimhood. Victim surveys are required to gain better
insight into the nature, scope and readiness to report cybercrime.
We can deduce little about the offenders from the police files, yet knowledge
about the offenders may give important clues for detection (offender profiling),
which in turn may give indicators for possible prevention measures
and for early signalling options. More knowledge about offenders requires
offender research. If the police are willing to work on offender profiling of cybercriminals,
they should also improve their records regarding information
about apprehended suspects.
From our file study, a picture emerges that cybercrime is usually committed
by suspects that operate relatively independently and who have few if
any connections with organised crime. Like crime in the offline world, most
(minor) offences are committed by a large group of suspects and a small part
of the crime is systematically committed by organised groups. There is no
information in the police files about organised cybercrime. In order to obtain
more information about that, special targeted research is needed.
We analysed 665 police files. But we do not know which of these files
were sent to the public prosecutor, nor whether the suspects were eventually
prosecuted. Additional research is needed to gain insight into that process
in the chain of criminal justice, and where the bottlenecks may be occurring.
We conclude that law enforcement agencies as a whole are very likely to be
confronted with cybercrime more frequently in the future. They will have to
familiarise themselves with this type of crime to be able to deal with that adequately.

1 in l e i d i n g e n V e r a n t w o o r d i n g
1.1 Aanleiding tot dit onderzoek
Internet biedt mensen communicatie- en handelingsmogelijkheden die zij
daarvoor niet hadden. Zij maken daarvan volop gebruik, ook voor criminele
doeleinden. Het gebruik van internet bij het plegen van delicten is al lang
niet meer nieuw (Akdeniz, 1996; Duncan, 1997; Durkin, 1997; Van Eecke, 1997;
Boerstra, 1997; Grabosky & Smith, 1998). Te verwachten is dat de met internet
verweven criminaliteit de komende jaren toeneemt (CPB, 2004).
De Nederlandse overheid geeft aan de opsporing en bestrijding van cybercrime
prioriteit en neemt verschillende juridische en organisatorische
maatregelen. Voorbeelden hiervan zijn aanpassingen in wetgeving door de
inwerkingtreding van de Wet op Computercriminaliteit-II in 2006, het in 2006
instellen van de Nationale Infrastructuur ter bestrijding van CyberCrime
(NICC), de oprichting van een Meldpunt Cybercrime (MCC), de oprichting
van het Team High Tech Crime (THTC) bij het KLPD, de ondertekening van
het Verdrag van Lanzarote in 2007 (met afspraken over strafbaarstelling van
grooming en van het zich bewust toegang verschaffen tot kinderporno, respectievelijk
art. 20 en 23 van het Verdrag), het instellen en verder ontwikkelen
van internetfilters tegen kinderpornografie, de verdere ontwikkeling van notice
and take down-procedures (NTD) en het Programma Aanpak Cybercrime
(PAC) van de Raad van Hoofdcommissarissen.
Criminaliteitsbestrijding vereist kennis over aard en omvang van de criminaliteit,
in dit geval cybercrime. Bij herhaling wordt echter geconstateerd,
ook door politie en justitie zelf, dat politie en justitie de ontwikkelingen maar
moeizaam kunnen bijbenen. Groot probleem is gebrek aan kennis over wat
zich op internet precies afspeelt met betrekking tot criminaliteit en hoe dat
kan worden opgespoord (Griffith, 2005; LPDO, 2003; Lünnemann e.a., 2006;
PWC, 2001; Stol e.a., 1999; Van der Hulst & Neve, 2008). Dat is een ongewenste
situatie. Wil de politie haar taak op het vlak van cybercrime goed vervullen,
dan dient zij zich een goede informatiepositie te verwerven aangaande die
criminaliteit en de daders ervan.
Deze volgorde (eerst een goede informatiepositie creëren, dan keuzen maken
in criminaliteitsbestrijding) is een centraal uitgangspunt in informatie-

2
Verkenning cybercrime in Nederland 2009
gestuurde politie (IGP) (Van Panhuis, 2008). In deze benadering is het uitvoeren
van wetenschappelijk onderzoek naar bepaalde criminaliteitsvormen een
eerste stap in criminaliteitsbestrijding. Onderhavig verslag bevat zo’n analyse
betreffende cybercrime: de Verkenning Cybercrime in Nederland 2009
(VCN2009).
1.2 Onderwerp en doel van onderzoek
Onderwerp
Dit onderzoek gaat over cybercrime. Daarvan zijn verschillende definities in
omloop (bijv. PAC, 2008a, 2008b; Van der Hulst & Neve, 2008; Sey e.a., 2008).
In dit onderzoek hanteren wij cybercrime als overkoepelend begrip voor alle
vormen van criminaliteit waarbij ICT een wezenlijke rol speelt in de realisatie
van het delict. We onderscheiden vervolgens twee subcategorieën. Voor delicten
waarbij ICT zowel instrument als doelwit is, hanteren we de term ‘cybercrime
in enge zin’. Voorbeelden zijn hacken en de verspreiding van virussen.
In de tweede subcategorie, ‘cybercrime in ruime zin’, vallen delicten waarbij
ICT van wezenlijk belang is voor de uitvoering, maar waarbij ICT geen doelwit
is (zie figuur 1.1).
Figuur 1.1 Definitie van cybercrime
Categorie
Uitwerking
Cybercrime: alle vormen van criminaliteit waarbij ICT een wezenlijke rol speelt
Cybercrime in enge zin Cybercrime in ruime zin
Criminele activiteiten waarbij ICT zowel
instrument als doelwit is
Criminele activiteiten waarbij de inzet
van ICT als instrument van wezenlijk
belang is voor het plegen van het delict en
waarbij ICT niet het doelwit is
De vraag is wanneer ICT van wezenlijk belang is voor het plegen van het delict
en wanneer ICT alleen als ‘een hulpmiddel’ is gebruikt en we dus niet
spreken van cybercrime (bijv. de inbreker die met Google-maps een vluchtroute
uitstippelt). Het model in figuur 1.1 is theoretisch en de grenzen tussen
de categorieën kunnen alleen duidelijk worden gemaakt aan de hand van
empirisch materiaal. Een voorbeeld van een delict dat valt onder de categorie
cybercrime in ruime zin is oplichting via onlineverkoopsites. Op de website
verkoopt de oplichter spullen, maar levert deze nooit aan de afnemers. Zon-

Inleiding en verantwoording
der de onlineveilingwebsite zou het delict niet op deze wijze gepleegd kunnen
worden. Er is echter geen sprake van cybercrime indien een bedrijf via
een huis-aan-huisblad klanten oplicht en deze praktijken bijhoudt in een schaduwboekhouding
op een van de bedrijfscomputers. Het delict kon in dit geval
ook net zo gepleegd worden zonder gebruik van de genoemde ICT. Uit dit
voorbeeld blijkt al dat het eenvoudig is een casus te verzinnen die moeilijk is
in te delen. Wie vanachter het bureau een sluitende definitie voor cyber crime
wil opstellen, heeft dan ook een lastige taak. Voor wie vertrekt vanuit de criminaliteit
die zich in de samenleving voordoet, is het echter niet bijzonder
ingewikkeld om te beoordelen wat als cybercrime kan worden aangemerkt.
Het is deze empirische, of zo men wil maatschappijgeoriënteerde, benadering
die wij in deze studie volgen.
Doel van onderzoek
Het onderzoek moet uiteindelijk bijdragen aan de bestrijding van cyber crime.
Het dichterbij gelegen doel is het bieden van inzicht in de voor de politie
meest relevante verschijningsvormen van cybercrime.
1.3 Onderzoeksvragen
De vier hoofdvragen in dit onderzoek luiden:
1. Wat is de aard van de cybercrimes?
2. Wat is bekend over de daders?
3. Wat is de omvang van de cybercrimes?
4. Wat is de maatschappelijke impact van de cybercrimes?
De hoofdvragen werken we als volgt uit in subvragen:
1. Wat is de aard van de cybercrimes?
a. Welke verschijningsvormen heeft de cybercrime?
b. Hoe gaan daders te werk (modus operandi)?
c. Is sprake van zware/georganiseerde criminaliteit?
d. Zijn er dwarsverbanden tussen de cybercrimes?
2. Wat is bekend over de verdachten/daders (profilering)?
a. Wat zijn persoonskenmerken van de verdachte/dader?
b. Wat is de sociale achtergrond van de verdachte/dader?
c. Is de verdachte/dader betrokken bij andere vormen van cybercrime?
d. Is de verdachte/dader betrokken bij vormen van criminaliteit anders
dan cybercrime?
e. Werkt de verdachte/dader in groepsverband of als individu?
3

4 Verkenning cybercrime in Nederland 2009
f. Uit welk land pleegt de verdachte/dader de vorm van cybercrime in
Nederland?
g. Heeft de cybercrime een nationaal of internationaal karakter?
3. Wat is de omvang van de cybercrimes?
a. Hoeveel zaken van deze soort bevatten de politieregistraties?
b. Wat is over de omvang bekend in de literatuur?
c. Hoe breed is het daderschap verspreid (is het een specialisme of wordt
het door iedereen gepleegd?)
4. Wat is de maatschappelijke impact van de cybercrimes?
a. Wie zijn slachtoffers van deze cybercrime?
b. Wat is de schade voor de slachtoffers?
c. In welke verhouding zijn individuen en bedrijven het slachtoffer?
1.4 Methodologische verantwoording
Verkennend onderzoek
Dit onderzoek is een verkenning naar aard en omvang van cybercrime in
Nederland. Onderzoek naar aard en omvang van een bepaald criminaliteitsterrein
wordt bij de politie ook wel ‘criminaliteitsbeeldanalyse’ (CBA) genoemd.
‘Een Criminaliteitsbeeldanalyse heeft een strategisch doel en wordt
gewoonlijk omschreven als een criminaliteitsanalyse die inzicht geeft in een
bepaalde vorm of vormen van criminaliteit in een bepaald geografisch gebied’
(Meesters & Niemeijer, 2000, p. 294). Van Panhuis, docent aan de Politieacademie,
definieert criminaliteitsanalyse als ‘het door analyses inzichtelijk maken
van criminaliteits- en onveiligheidsproblemen ten behoeve van de aanpak ervan.’
Een Criminaliteitsbeeldanalyse is dan ‘een gestandaardiseerd overzicht
van aard en omvang van bepaalde criminaliteit in een bepaald gebied’ (Van
Panhuis, 2008, p. 224, 229). Op het gebied van cybercrime bestaat echter nog
geen standaard, zoals wel het geval is voor een CBA-Jeugd. We zullen het hier
dus zonder zo’n voorgeschreven structuur moeten doen.
Moerland en Mooij (2000) stellen dat een criminaliteitsanalyse is gebaseerd
op door de politie geregistreerde criminaliteitsgegevens (p. 46). Minnebo (2007)
omschrijft criminaliteitsanalyse echter als ‘het beoordelen van het geheel aan
beschikbare informatie op betekenis voor de voorkoming en bestrijding van
criminaliteit, met als doel vertaling van het uit die informatie te verkrijgen
inzicht naar praktische aanbevelingen voor beleidsontwikkeling en de planning
en uitvoering van concrete preventieve acties en opsporingsactiviteiten’
(p. 17; onze cursivering). Minnebo beperkt zich daarmee niet tot politieregis-

Inleiding en verantwoording
traties. Die benadering nemen we over. Juist omdat over cybercrime nog zo
weinig bekend is, is het immers van belang om niet uitsluitend naar de door
de politie geregistreerde gegevens te kijken. Daar komt bij dat men via de politieregistratie
uitsluitend zicht krijgt op zaken die door slachtoffers zijn aangegeven
en door de politie zijn geregistreerd.
We bouwen in deze verkenning dan ook voort op hetgeen in de nationale
en internationale literatuur reeds bekend is over cybercrime. We voegen daaraan
toe een systematische analyse over politiedossiers. Een dergelijke analyse
ontbrak tot nu toe in Nederland. Wat de vraag naar daders betreft, sluit ons
onderzoek aan bij het werk van Van der Hulst en Neve (2008). Hun studie vermeldt
wat in de literatuur bekend is over daders van cybercrime. Analyse op
basis van politiedossiers voegt daaraan een nieuwe dimensie toe.
Keuze voor cybercrimes
Niet iedere verschijningsvorm van cybercrime kan in dit onderzoek worden
opgenomen, daarvoor is de lijst met cybercrimes te lang (bijv. Van der Hulst
& Neve, 2008). De onderzoeksvraag is gericht op de voor de politie meest relevante
cybercrimes. We richten ons derhalve op cybercrimes die als belangrijke
maatschappelijke problemen gezien kunnen worden (aannemende dat die
crimes dan dus ook voor de politie relevant zijn) en/of voor politie en justitie
hoge prioriteit genieten.
Afgaande op politie- en justitieprioriteiten staan in elk geval twee uitingsdelicten
in de top qua maatschappelijke ernst: het verspreiden van kinderpornografie
(art. 240b Sr) en ‘radicale en terroristische uitingen’ (www.meldpuntcybercrime.nl).
Het Meldpunt Cybercrime geeft op zijn website geen
duidelijke definitie van ‘radicale en terroristische uitingen’, maar schrijft
daaronder te verstaan ‘het oproepen tot het plegen van geweld’, ‘dreigen met
op mensenlevens gericht geweld’, ‘extremistische filmpjes of geluidsfragmenten’
en bedreiging ‘van bepaalde mensen of instanties’. We sluiten met ons onderzoek
aan bij het in dit verband gangbare begrip ‘haatzaaien’ (hate crimes).
In termen van delictsomschrijvingen dient men dan te denken aan: godslastering
(art. 147 en 147a Sr), belediging van een bevolkingsgroep (art. 137c Sr),
discriminatoire uitlatingen (art. 137d-g Sr) en opruiing (art. 131 Sr).
Een derde cybercrime die prioriteit bij de politie heeft, is cyberafpersing,
dit is een van de aandachtsgebieden van het Team High Tech Crime van het
KLPD. Afpersingen van grote internationale organisaties, nutsbedrijven en
overheidsinstellingen kunnen grote schade aan de vitale infrastructuur aanrichten.
Daarnaast kunnen consumenten het vertrouwen verliezen in bedrijven
die worden afgeperst. Afpersing is strafbaar gesteld in de artikelen 317
Sr (afpersing) en 318 Sr (afdreiging). Daarnaast zal er bij cyberafpersing doorgaans
sprake zijn van computervredebreuk (art. 138a Sr) en niet zelden ook
van het onbruikbaar maken van digitale gegevens (art. 350a Sr).
5

6 Verkenning cybercrime in Nederland 2009
Een cruciaal maatschappelijk probleem is identiteitsmisbruik. Criminelen die
hun identiteit effectief weten te verhullen, zijn immers moeilijk vatbaar voor
overheidsingrijpen (vgl. Foucault, 1975). Identiteitsmisbruik staat niet als zodanig
in het Wetboek van Strafrecht. Er kan sprake zijn van strafbare feiten
voor het verkrijgen van de identiteit (bijv. computervredebreuk, art. 138a Sr),
we spreken dan van identiteitsdiefstal, en er kan sprake zijn van strafbare feiten
bij het gebruikmaken van de valse identiteit (bijv. oplichting; art. 326 Sr).
E-fraude bedreigt het vertrouwen in e-commerce. Naast de directe financiële
schade van de slachtoffers heeft e-fraude (en in het bijzonder de criminele
technieken phishing en spyware) een aantal neveneffecten: verminderde
productiecapaciteit, hogere kosten voor technische ondersteuning, diefstal
van gevoelige bedrijfsinformatie en het verlies van vertrouwen van de consument
in bedrijven (Hackworth, 2005). Fraude staat niet onder die noemer in
het Wetboek van Strafrecht. Meestal is sprake van oplichting (art. 326 Sr) en/
of valsheid in geschrifte (art. 225 Sr), maar ook kunnen diefstal (art. 310 Sr),
verduistering (art. 321 Sr) en heling (art. 416 Sr) of een combinatie van deze delicten
aan de orde zijn. Bij fraude in e-commerce is ook nogal eens sprake van
computervredebreuk (art. 138a Sr) of van opzettelijk wederrechtelijk wijzigen
van computergegevens (art. 350a Sr).
Hacken zouden we, net als identiteitsmisbruik, kunnen opvatten als een
basisdelict, omdat het voor de dader openingen biedt naar andere criminaliteitsvormen.
Een zelfstandige maatschappelijke prioriteit is het aanpakken
van hacken niet, maar omdat het een basisdelict is in het veld van cybercrime,
krijgt hacken onze aandacht.
Als centrale problemen op het gebied van cybercrime zijn op dit moment
dus aan te merken: verspreiden van kinderpornografie, haatzaaien, cyberafpersen,
identiteitsmisbruik en e-fraude. Het basisdelict bij cybercrime is,
naast identiteitsmisbruik, hacken. Kinderporno en radicale uitingen (haatzaaien)
liggen momenteel maatschappelijk het gevoeligst; met kinderporno
als het minst omstreden probleem van die twee (over wat strafbare kinderporno
is, bestaat minder discussie dan over wat strafbare radicale uitingen
zijn).
Het in de vorige alinea geschetste beeld is door de jaren heen vrij constant,
met dien verstande dat haatzaaien pas een werkelijk gevoelig maatschappelijk
probleem is geworden na de aanslagen in New York en Washington op 11
september 2001 en de moord op Theo van Gogh op 2 november 2004. De hoge
prioriteit die wordt gegeven aan het bestrijden van kinderporno op internet
is een constante door de jaren heen, hetgeen ook is terug te zien in diverse
internationale verdragen (Stol e.a., 1999, 2004). De aandacht voor cyberafpersen
is in dit onderzoek vooral ingebracht vanwege de prioriteit die het Team
High Tech Crime daaraan geeft. In dit onderzoek behandelen we dan ook de

Inleiding en verantwoording
volgende cybercrimes: hacken, e-fraude (inclusief identiteitsmisbruik), cyberafpersen,
kinderporno en haatzaaien.
Methoden van onderzoek
De volgende methoden van onderzoek zijn gebruikt:
– Media-analyse. Het onderzoek is gestart met een media-analyse. Via de
LexisNexis databank zijn de landelijke dagbladen uit Nederland op berichten
over cybercrime in 2006 en 2007 bekeken. Dit leverde niet alleen
informatie over cybercrimes op, maar ook over bijvoorbeeld onderzoeksrapporten,
politieacties en sleutelpersonen.
– Webresearch. We zochten op internet naar informatie over cybercrime, onderzoeksrapporten
en sleutelpersonen. Door het onderwerp van dit onderzoek
is deze methode geschikt gebleken om sleutelfiguren en onderzoeksrapporten
voor een groot deel te vinden via internet; rapporten op
het gebied van ICT worden vaak digitaal aangeboden en besproken.
– Documentenanalyse. We namen beleids- en visiedocumenten omtrent de
bestrijding van cybercrime door.
– Literatuurstudie. Via mediatheken zochten we boeken, artikelen, rapporten
en andere relevante publicaties.
– Dossieranalyse. We analyseerden politiedossiers inzake cybercrime. Uitgangspunt
van de dossieranalyse was om per cybercrime tweehonderd
dossiers te bestuderen. Dat hebben we niet gehaald. In een paar gevallen
(afpersen en haatzaaien) bevatte de politieregistratie niet zo veel zaken.
Verder vielen na een eerste inhoudelijke beoordeling nog dossiers uit de
selectie, omdat bijvoorbeeld een aangifte ontbrak of het toch geen cybercrime
betrof. In totaal zijn 665 dossiers in de analyse opgenomen (tabel 7.1).
Speciale aandacht gaat uit naar werkwijze en kenmerken van verdachten.
De dossiers zijn geanalyseerd aan de hand van een door ons ontwikkeld
protocol (bijlage 10). De dossieranalyse lichten we hierna nader toe.
Selecteren van dossiers
Alle dossiers zijn geselecteerd met behulp van BlueView, een programma
waarmee landelijk alle basisprocessensystemen van de politie kunnen worden
bevraagd. 3 Doordat de cybercrimes uit dit onderzoek niet onder één omschrijving
vallen (het gaat immers om uiteenlopende delicten als hacken, fraude en
3 Onzeker is of BlueView toegang heeft tot alle zaken die bij de politie in behandeling zijn.
Politiemensen zeiden ons na afloop van ons onderzoek dat niet alle zaken die bij de politie
in behandeling zijn, in een van de basisprocessensystemen worden geregistreerd. Sommige
zaken worden in een ander systeem vastgelegd – bijvoorbeeld een stand-alone systeem van
een projectteam. Als dat inderdaad het geval is, zijn er dus zaken die wel bij de politie zijn
geregistreerd, maar die we niet via BlueView hebben kunnen benaderen.
7

8 Verkenning cybercrime in Nederland 2009
haatzaaien) is besloten om de dossiers met behulp van sleutelwoorden te selecteren.
Daarnaast hebben we getracht om de dossiers over zo veel mogelijk
politieregio’s te spreiden teneinde een landelijk beeld te krijgen. We stelden
een set sleutelwoorden op waaraan de dossiers moesten voldoen. Het doel
was om dossiers te analyseren die zo recent mogelijk waren. 4 Uit de eerste
tests bleek dat in de dossiers uit 2008 onvoldoende informatie over de daad en
de verdachten stond. Zaken liepen nog of waren nog niet opgepakt. Daarom
zijn de meest recente dossiers die we selecteerden uit 2007. Uit de resultaten
van de eerste selectie met sleutelwoorden exporteerde een infodeskmedewerker
met behulp van BlueView dossiers die relevant leken. Dit gebeurde na het
lezen van de korte samenvatting die BlueView van het dossier weergeeft (een
paar regels uit het dossier waarin de desbetreffende zoektermen voorkomen)
en aan de hand van de omschrijving waaronder de cybercrime stond (delicten
die bijvoorbeeld onder ‘alcoholcontrole’ stonden, vielen buiten deze eerste
selectie).
Op een stand-alone computer (een computer die niet op het netwerk van de
politie en niet op internet is aangesloten) heeft een van de onderzoekers vervolgens
de dossiers gescreend en bekeken of het daadwerkelijk leek te gaan
om het type zaken waarnaar we op zoek waren. Vervolgens heeft deze onderzoeker
de dossiers die relevant leken in een apart document gezet. Deze
dossiers zijn door vijf student-assistenten met behulp van het door de onderzoekers
ontwikkelde protocol geanalyseerd, waarbij opnieuw zaken afvielen,
omdat bijvoorbeeld in die fase alsnog bleek dat het geen cybercrime betrof.
Tot zover de algemene werkwijze. Hierna bespreken we het proces van de
selectie per cybercrime.
Dossiers hacken. De dossiers voor de cybercrime hacken hebben we geselecteerd
via de zoeksleutel: ‘hack*’. Daarbij werd aangegeven dat de pleegdatum
in 2007 moest liggen. Alle dossiers waarin het woord ‘hack’ staat, of waarin
‘hack’ het eerste deel van het woord vormt, worden op deze manier geselecteerd.
De infodeskmedewerker exporteerde na een eerste scan 300 dossiers
en de onderzoeker selecteerde hieruit 199 zaken. Na een uitgebreidere inhoudelijke
analyse door student-assistenten bleek dat er 175 bruikbare en 24 onbruikbare
dossiers waren (resp. 87,9% en 12,1%).
4 Het was niet mogelijk om een representatieve steekproef te trekken. Onbekend is hoeveel
cybercrimedossiers er in de politiesystemen staan en hoe deze delicten door politiemensen
zijn ‘weggeschreven’. Daarom is besloten om de eerste 200 dossiers die voldeden aan onze
zoeksleutel te analyseren. Inmiddels zijn deze zoeksleutels verbeterd en is er meer inzicht
in het registratiegedrag van politiemedewerkers inzake cybercrime en over de aard en omvang
van het geregistreerde werkaanbod cybercrime bij de Nederlandse politie (zie Domenie
e.a. 2009; Toutenhoofd-Visser e.a., 2009).

Inleiding en verantwoording
Dossiers e-fraude. De dossiers voor de cybercrime e-fraude hebben we geselecteerd
via de zoeksleutel: ‘(internet AND fraude) OR (internetfraude)’. Daarbij
werd aangegeven dat de pleegdatum in 2007 of 2006 moest liggen. De infodeskmedewerker
exporteerde vervolgens na een eerste scan 600 dossiers en
de onderzoeker selecteerde hieruit 418 relevante zaken. Na de uitgebreidere
analyse door de student-assistenten bleek dat er in totaal 314 bruikbare en 104
onbruikbare dossiers waren (resp. 75,1% en 24,9%).
Dossiers cyberafpersen. De dossiers voor cyberafpersen hebben we geselecteerd
via de zoeksleutel: ‘(afpers* OR afdreig* OR chant*) AND (internet)’. Omdat
we te weinig dossiers vonden in 2007, herhaalden we deze zoeksleutel voor de
jaren 2003 tot en met 2006. Ook is gezocht met de zoeksleutel ‘bedreig* AND
internet’. Deze zoekslag leverde echter te veel dossiers op die niets met cybercrime
of cyberafpersen te maken hadden. Veel dossiers gaan bijvoorbeeld
over bedreigingen met geweld via MSN (dus zonder afpersen) of over zaken
waarin een slachtoffer van een bedreiging aangeeft de verdachte te kennen
via internet. De infodeskmedewerker exporteerde uit de resultaten van de
eerste zoekslag 300 dossiers en de onderzoeker selecteerde hieruit 57 relevante
zaken. Na de uitgebreidere analyse door student-assistenten bleek dat 13
dossiers bruikbaar en 44 onbruikbaar waren (resp. 22,8% en 77,2%).
Dossiers kinderporno. De dossiers voor de cybercrime kinderporno selecteerden
we via de zoeksleutel: ‘kinderporn*’. Alle dossiers waarin het woord ‘kinderporno’
voorkomt of waarin ‘kinderporn’ het eerste deel van een woord is
(bijv. kinderpornografie) vallen op deze manier in de selectie. Daarbij werd
aangegeven dat de pleegdatum in 2007 moest liggen. De infodeskmedewerker
exporteerde na een eerste scan 300 dossiers en de onderzoeker selecteerde
hieruit 200 relevante zaken. Na analyse door student-assistenten bleek dat er
159 bruikbare en 41 onbruikbare dossiers waren (resp. 79,5% en 20,5%).
Dossiers haatzaaien. De dossiers voor de cybercrime haatzaaien hebben we geselecteerd
via de zoeksleutel: (‘haatzaai* OR discrimin* OR oprui* OR godslast*)
AND (internet)’. Omdat we te weinig relevante dossiers vonden in 2007,
is deze zoeksleutel herhaald in de jaren 2003 tot en met 2006. De infodeskmedewerker
exporteerde na een eerste scan 200 dossiers en de onderzoeker
selecteerde hieruit 119 relevante zaken. Na de uitgebreidere inhoudelijke analyse
door student-assistenten bleek dat 40 dossiers bruikbaar en 79 onbruikbaar
waren (resp. 33,6% en 66,4%).
9

10 Verkenning cybercrime in Nederland 2009
MO-beschrijvingen in dossiers
Om iets te zeggen over de modus operandi (MO) hebben we een analyse gemaakt
van de MO zoals die door politiemedewerkers in het politiedossier is
vastgelegd. Politiemedewerkers kunnen een MO-beschrijving maken door
MO-elementen te kiezen uit een vaste lijst van honderden MO-elementen.
Bovendien kunnen ze zelf een MO-element invoeren. De totale MO-beschrijving
zoals wij die aantroffen, bestaat uit een serie door politiemedewerkers
ingevoerde MO-elementen. Het resultaat van het invoerwerk van politiemedewerkers
is dan bijvoorbeeld: ‘winkel pin/geldautomaat hacken (inbreken in
computer) communicatie apparatuur’, ‘woning tussen geld aanbieden’ of ‘woning
bejaarde persoon advertentie als eigenaar aanbieden internet gift geen
bruikbare sporen’.
Om tot een overzicht te komen hebben we uit dergelijke totale MO-
beschrijvingen de terugkerende elementen geselecteerd en op grond daarvan
een overzicht gemaakt. Elementen die zeer weinig voorkwamen, lieten
we buiten beschouwing. In de tabellen met MO-beschrijvingen staat bijvoorbeeld
het element ‘hacken’. De daarbij genoemde frequentie verwijst dan naar
het aantal keren dat dat element voorkwam in de door ons aangetroffen MO-
beschrijvingen.
Opvragen van antecedenten
Van verdachten en slachtoffers (aangevers) in de dossiers vroegen we de antecedenten
op. We vroegen eerst of en zo ja in welke van de standaardhoofdgroepen
van delicten zij staan vermeld. Dat geeft een globale indruk. Daarna
vroegen we of ze antecedenten hebben voor artikelen die in de buurt komen
van de cybercrimes uit deze VCN2009. We beogen zo enig zicht te krijgen op
de mate waarin daders zich specialiseren in een bepaald type delict en op dat
specifieke terrein in herhaling vallen. Ook hopen we zo nog weer enig zicht
te krijgen op dwarsverbanden tussen de verschillende criminaliteitsvormen.
De standaardhoofdgroepen zijn:
– gewelddadig seksueel;
– overig seksueel;
– geweld tegen personen;
– vermogen met geweld;
– vermogen zonder geweld;
– vernieling/openbare orde;
– verkeer;
– drugs;
– overige.

Inleiding en verantwoording
Daarna vroegen we in verband met de cybercrimes in deze studie antecedenten
op voor de volgende artikelen: 5
– Hacken. Alleen voor hacken kunnen we eenduidig vaststellen dat een verdachte
daarvoor antecedenten heeft, omdat voor hacken een specifiek artikel
in het Wetboek voor Strafrecht is opgenomen, namelijk artikel 138a
(computervredebreuk). Daarnaast kijken we in verband met hacken ook
naar antecedenten voor vernieling van gegevens (art. 350a en 350b Sr), het
veroorzaken van een stoornis in een systeem (art. 161sexies en 161septies
Sr) en voor het aftappen van gegevens of het plaatsen van aftapapparatuur
(art. 139c en 139d Sr).
– Fraude. In verband met fraude hebben we antecedenten opgevraagd voor
het vervalsen van een betaalpas of waardekaart (art. 232 Sr), oplichting
(art. 326 Sr) en voor valsheid in geschrifte (art. 225 Sr).
– Afpersen. In verband met afpersen, vroegen we antecedenten op voor afpersing
(art. 317 Sr) en afdreiging (art. 318 Sr).
– Kinderporno. Hiervoor vroegen we antecedenten op voor het kinderpornoartikel
artikel 240b Sr. Net als hacken heeft kinderporno een specifiek artikel
in het Wetboek van Strafrecht, alleen is bij een antecedent voor artikel
240b Sr nog niet zeker of het een cybercrime betreft.
– Haatzaaien. In dit verband vroegen we naar antecedenten voor godslastering
(art. 147 Sr; we zochten niet op art. 147a Sr), opruiing (art. 131 Sr) en
artikelen inzake discriminatoire uitingen (art. 137c-g Sr).
Bij het opvragen van antecedenten en het analyseren van de resultaten daarvan,
stuitten we op een onvoorziene complicatie. We selecteerden dossiers uit
2007 en indien nodig ouder, en niet uit 2008. We wilden daarmee voorkomen
dat we dossiers zouden selecteren met weinig informatie over verdachten,
omdat de politie nog niet genoeg tijd had gehad die zaak in onderzoek te nemen
en een verdachte te verhoren. De keerzijde van werken met dossiers van
wat oudere datum is, dat de politie de zaak al kan hebben behandeld, een verdachte
kan hebben verhoord en hebben ingevoerd in HKS. Aldus bestaat de
mogelijkheid dat we bij het opvragen van antecedenten ons eigen dossier als
antecedent retour kregen. Dat probleem had kunnen worden ondervangen
door bij elk antecedent ook de datum op te vragen, maar onze onderzoeksopzet
voorzag daarin niet, omdat we de politiemensen die het navragen uitvoerden
daarmee niet wilden belasten. Dat doet afbreuk aan de waarde van
de analyse voor wat betreft de mate waarin een verdachte recidiveert voor
hetzelfde delict, zeker wanneer de selectie van dossiers veel zaken van ou-
5 De artikelen staan beschreven in de hoofdstukken over de desbetreffende cybercrimes
(hoofdstuk 2 tot en met 6, steeds par. 2).
11

12 Verkenning cybercrime in Nederland 2009
dere datum bevat. We hebben de antecedentenanalyse niet uit de rapportage
geschrapt, omdat de analyse toch tot op zekere hoogte informatief blijft, met
name in het geval we geen antecedenten vonden of antecedenten vonden voor
andere soorten delicten dan die in het dossier dat ons vertrekpunt was.
Schoningstermijn antecedenten
In HKS worden alleen antecedenten voor misdrijven geregistreerd, niet voor
overtredingen. HKS schoont geen antecedenten, maar schoont personen. Dat
wil zeggen dat alle antecedenten van een persoon blijven staan, totdat de
schoningstermijn van het jongste antecedent verlopen is.
Voor elk wetsartikel is een HKS-schoningstermijn bepaald. Voor zware misdrijven
geldt een termijn van dertig jaar (bijv. moord, doodslag en verkrachting),
voor de andere misdrijven geldt een schoningstermijn van vijftien jaar
of van zes jaar (bijv. voor belediging). Daarnaast zijn er volgens HKS-medewerkers
uitzonderingen.
De antecedenten vroegen we op bij de dienst Internationale Politie Informatie
(IPOL) van het KLPD. Deze dienst heeft sinds 1996 de beschikking over
een bestand met gegevens uit HKS. Deze database wordt gebruikt voor analysedoeleinden,
niet voor operationele doeleinden. In 1996 is IPOL gestart met
de personen die toen in HKS waren opgenomen. Elk jaar vult IPOL deze database
aan met de personen en antecedenten die in het dan afgelopen jaar
aan HKS zijn toegevoegd. In tegenstelling tot het operationele HKS wordt de
IPOL-database niet geschoond. Personen van wie de verschoningstermijn is
verstreken, worden dus wel verwijderd uit het HKS voor operationele doeleinden,
maar niet uit de IPOL-database voor analysedoeleinden. Een aantal
verdachten kan in ons onderzoek daarom als persoon met een antecedent
naar voren zijn komen, terwijl de wettelijke schoningstermijn voor het operationele
HKS al verstreken is.
Herhaald dader- en slachtofferschap
Op diverse plaatsen in het rapport zijn persoonsgegevens en antecedenten
van verdachten en slachtoffers (aangevers) aan de orde. Enkele keren kwam
een persoon meerdere keren voor, bijvoorbeeld een persoon die verdachte
was in meerdere dossiers. In die gevallen hebben we die persoon maar één
keer in de analyse opgenomen.
Beperkingen van de methoden
Een beperking in dit onderzoek is de selectiviteit die ontstaat in de dossierstudie.
De dossiers vonden we met het zoekprogramma BlueView. We konden
op deze manier landelijk zoeken in aangiften die zijn opgenomen in de
basisprocessensystemen (BPS, XPOL en GENESYS). Via deze route komen

Inleiding en verantwoording
niet alle cybercrimes in beeld. Om te beginnen, bieden politiedossiers uitsluitend
zicht op zaken die bij de politie zijn aangegeven en door de politie zijn
geregistreerd. Daarnaast hebben we de aanwijzing (zie noot 5) dat de politie
soms cybercrimezaken registreert in een ander systeem dan de basisprocessensystemen,
zoals een stand-alone systeem of een afgeschermd deel van een
recherchesysteem. Ook die zaken blijven buiten beeld als we zoeken via Blue-
View (er is geen zoeksysteem dat alle computers bij de politie doorzoekt). Het
kan zijn dat cybercrimezaken die niet in een basisprocessensysteem worden
geregistreerd een bijzondere groep vormen – bijvoorbeeld de zaken die een
fraude- of een zedenprojectteam in behandeling neemt. Kortom, vanwege het
selecteren met BlueView krijgen we geen zicht op zaken die niet zijn aangegeven,
geen zicht op zaken die wel zijn aangegeven, maar door de politie niet
zijn opgenomen en geen zicht op zaken die wel zijn aangegeven en die door
de politie wel zijn opgenomen, maar niet in een van de basisprocessensystemen.
De dossiers die wij vonden, zijn derhalve niet per se representatief voor
het fenomeen cybercrime.
We zien dat de resultaten van de literatuur- en dossierstudie elkaar op enkele
punten tegenspreken. Enerzijds kan dit komen, doordat uitspraken die
gedaan worden in rapporten niet gebaseerd zijn op empirisch materiaal. Soms
lijkt er zelfs sprake te zijn van een papegaaiencircuit. Juist omdat er nog zo
weinig bekend is over cybercrime, nemen auteurs veel van elkaar over, waardoor
beweringen ‘waar’ lijken te worden (‘iedereen zegt het, dus het zal wel
zo zijn’). Anderzijds is onze studie gebaseerd op een beperkt aantal politiedossiers
(665) en kleven de zojuist genoemde beperkingen aan deze methode.
Een voorbeeld dat we hier willen geven, is georganiseerde cybercriminaliteit.
In de literatuur wordt regelmatig gesproken over georganiseerde cybercriminaliteit,
terwijl we in de dossiers met name individueel opererende verdachten
tegenkomen. Het feit dat we in de dossiers bijna geen georganiseerde
misdaad tegenkomen, toont niet aan dat er geen georganiseerde cybercrime
bestaat. Wel betekent dit dat het beeld dat volgt uit de literatuur genuanceerd
moet worden: naast georganiseerde misdaad is sprake van redelijk alledaagse
delicten gepleegd door redelijk alledaagse individuen.
Ook de vraag naar de omvang van cybercrimes is lastig te beantwoorden
op basis van literatuur- of dossierresearch. Hoeveel cybercrimes we terugvinden
in politiedossiers is niet alleen afhankelijk van het aantal gepleegde delicten,
maar mede, en misschien wel vooral, afhankelijk van het aangiftegedrag
van burgers en het registratiegedrag van de politie. Mensen die niet weten dat
ze slachtoffer zijn geweest van een cybercrime of denken dat de politie daar
niks aan doet en/of er geen verstand van heeft, zullen niet zo gauw aangifte
doen. Wat in Nederland ontbreekt, is een slachtofferenquête gericht op cybercrime.
We hebben elders onderzocht wat het minimale aantal cyber crimes
13

14 Verkenning cybercrime in Nederland 2009
is dat voorkomt in de politieregistratiesystemen (Domenie e.a., 2009). Die gegevens
gebruiken we samen met de bevindingen uit deze VCN2009 om in
de navolgende hoofdstukken iets te zeggen over de mate waarin de verschillende
cybercrimes voorkomen. We kunnen geen absolute aantallen noemen,
ook niet bij benadering, maar wel, zij het met de nodige voorzichtigheid, iets
zeggen over de onderlinge verhoudingen: welke cybercrime vaak en welke
minder vaak voorkomt.
Verder willen we bij het opstellen van daderkenmerken een kanttekening
plaatsen. Er is bijvoorbeeld nog weinig wetenschappelijk onderzoek gedaan
naar de grondslagen van gedragsmatige daderprofilering (zie bijv. Van Ruth,
2008). Daarnaast hangt de praktische waarde van een dergelijk profiel af van
de accuratesse van het profiel en de mate waarin de kenmerken die in het
profiel staan, gebruikt kunnen worden tijdens de opsporing. De hypothesen
betreffende de onbekende dader moeten zo veel mogelijk overeenkomen met
de karakteristieken van de echte dader; of dit klopt is echter op voorhand
niet te zeggen (Van Ruth, 2008). Zeker bij cybercriminaliteit is het opstellen
van daderkenmerken die kunnen bijdragen aan de opsporing moeilijk, juist
omdat er nog zo weinig over daders bekend is. Slechts bij een klein deel van
de verschillende cybercrimes zijn daders gearresteerd en is er enig inzicht
in hun kenmerken (Van der Hulst & Neve, 2008). Het ontbreekt dan ook aan
gevalideerde instrumenten waarmee op basis van gedragswetenschappelijk
onderzoek subcategorieën van daders van cybercrime kunnen worden onderscheiden
(Rogers e.a., 2006b). Op grond van de bevindingen uit de literatuur
hebben Van der Hulst en Neve (2008) geïnventariseerd wat er globaal bekend
is over de daders van verschillende verschijningsvormen van cybercrime. De
onderzoekers geven slechts aanwijzingen van mogelijke daderkenmerken die,
voor het ontwikkelen van concrete daderprofielen, nog aan wetenschappelijke
toetsing en evaluatie aan de (politie)praktijk bloot moeten worden gesteld.
Er is volgens de onderzoekers nadrukkelijk slechts sprake van een summiere
aanzet tot de ontwikkeling van risicoprofielen. Op basis van voortschrijdend
inzicht en aanvullend onderzoek zal op langere termijn een nadere verfijning
en uitbreiding op de gepresenteerde beschrijvingen noodzakelijk zijn.
We presenteren bij elke cybercrime de daderkenmerken die Van der Hulst en
Neve in dat verband noemen en vergelijken deze met de bevindingen uit onze
dossierstudie.
Gebruik van gegevens uit politieregisters (dossieranalyse)
Tijdens de periode waarin we de dossierstudie uitvoerden (december 2007 tot
december 2008) vond een wetswijziging plaats betreffende het gebruik van
gegevens uit politieregisters. Voor 1 januari 2008 was dit geregeld in de Wet
Politieregisters (WPolR) en het Besluit Politieregisters (BPolR), vanaf 1 januari

Inleiding en verantwoording
2008 zijn de Wet Politiegegevens en het Besluit Politiegegevens van kracht.
Omdat de dossierstudie plaatsvond in de tweede helft van 2008, hebben we
in dit onderzoek alleen te maken met de Wet Politiegegevens. Voor dit onderzoek
kregen we van de minister van Justitie, conform artikel 22 van de Wet
Politiegegevens, toestemming tot het inzien van politieregisters. Dit deel van
het onderzoek is uitgevoerd vanuit het regiokorps Friesland.
15

2 Ha c k e n
2.1 Inleiding
Conform artikel 138a Sr (computervredebreuk) definiëren wij hacken als het
opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk.
Uit de literatuur is af te leiden dat een hackpoging doorgaans voldoet aan drie
criteria: het is ongeoorloofd, eenvoudig maar doordacht, en het getuigt van
een hoge mate van technische onderlegdheid en expertise (Van Geest, 2006;
Van der Hulst & Neve, 2008).
De term hacken in combinatie met technologie stamt uit de jaren zestig van
de twintigste eeuw. Het was een positieve beschrijving van iemand die bekwaam
is in het ontwikkelen van elegante, creatieve en effectieve oplossingen
voor technische problemen (Yar, 2006). Hacken was toen het innovatieve
gebruik van technologie. De hackersgemeenschap die gevormd werd in de
jaren zestig en zeventig had een eigen ethiek, beïnvloed door de sociale en
politieke bewegingen in die tijd. Deze ethiek benadrukte het recht om vrijelijk
informatie en kennis te vergaren. Deze hackers waren veelal bezig met het uit
nieuwsgierigheid ‘onderzoeken’ van andermans computersystemen. Gevonden
informatie werd gedeeld met anderen. Het beschadigen van systemen
tijdens de zoektocht werd beschouwd als incompetent en onethisch (Stol e.a.,
1999; Yar, 2006).
In de literatuur wordt het verschil beschreven tussen hacking en cracking,
zie bijvoorbeeld Rogers (2000) en Van Geest (2006). De term hacking wordt
dan voornamelijk gebruikt voor mensen die met bonafide bedoelingen de beveiliging
van een systeem doorbreken om zo veiligheidslekken aan te tonen.
De term cracking daarentegen staat voor gelijksoortige activiteiten, maar dan
uitgevoerd met kwade bedoelingen en doorgaans met vernieling als gevolg.
Vaak wordt tussen hacking en cracking geen echt onderscheid gemaakt, niet
in de laatste plaats omdat het verschil tussen hackers en crackers in de praktijk
niet scherp is (Van Geest, 2006; Stol e.a., 1999). In dit onderzoek maken we
een dergelijk onderscheid ook niet en gebruiken we enkel de term hacken.
Er zijn verschillende technieken om te hacken, van het raden van wachtwoorden
tot het uitbuiten van beveiligingslekken in software (Van der Hulst
& Neve, 2008). Het is vaak niet mogelijk om in één keer de hoogste rechten

18 Verkenning cybercrime in Nederland 2009
te verkrijgen in een systeem (Ianelli & Hackworth, 2005). Een hacker zal derhalve
gaandeweg steeds meer rechten trachten te verwerven, gebruikmakend
van verschillende zwaktes in de beveiliging.
In dit hoofdstuk behandelen we eerst de strafbaarstelling en verschijningsvormen
van hacken (resp. par. 2.2 en 2.3). Vervolgens beschrijven we de verbanden
die deze cybercrime heeft met andere vormen van (cyber)criminaliteit
(par. 2.4), behandelen we kenmerken van daders op basis van de literatuur
(par. 2.5) en kenmerken van verdachten op basis van politiedossiers (par. 2.6).
In paragraaf 2.7 gaan we dieper in op de slachtoffers. In paragraaf 2.8 kijken
we naar de omvang van deze cybercrime, in paragraaf 2.9 komen trends in
hacken aan bod en in paragraaf 2.10 volgt een resumé van dit hoofdstuk.
2.2 Strafbaarstelling
Sinds de invoering van de Wet Computercriminaliteit I, in maart 1993, valt
hacken in Nederland onder de werking van het strafrecht. Bij het strafbaar
stellen van hacken is aansluiting gezocht bij artikel 138 Sr, huisvredebreuk
(Dijkstra, 2008). Artikel 138a Sr stelt het opzettelijk en wederrechtelijk binnendringen
in een geautomatiseerd werk strafbaar (zie figuur 2.1).
Figuur 2.1 Artikel 138a Sr: computervredebreuk of hacken (i.w.tr. 01-09-2006)
1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie
wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk
en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel
daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het
werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie
wordt gestraft computervredebreuk, indien de dader vervolgens gegevens
die zijn opgeslagen, worden verwerkt of overgedragen door middel van
het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf
of een ander overneemt, aftapt of opneemt.
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie
wordt gestraft computervredebreuk gepleegd door tussenkomst van een
openbaar telecommunicatienetwerk, indien de dader vervolgens

Hacken
a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik
maakt van verwerkingscapaciteit van een geautomatiseerd werk;
b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen
de toegang verwerft tot het geautomatiseerd werk van een derde.
Volgens artikel 138a Sr moet sprake zijn van het opzettelijk en wederrechtelijk
binnendringen in een geautomatiseerd werk of een deel daarvan. Tot aan de
wetswijziging in 2006 (Wet Computercriminaliteit II) luidde de redactie ‘opzettelijk
wederrechtelijk’ – zonder ‘en’ ertussen. In die oude redactie moest de
opzet dus zijn gericht op de wederrechtelijkheid. In de huidige redactie is dat
niet langer een vereiste. De opzet moet zijn gericht op het binnendringen en
het binnendringen moet wederrechtelijk zijn. Alleen iemand die per ongeluk
in andermans computersysteem verzeild raakt, is volgens de huidige redactie
niet strafbaar. Voor de laatste wetswijziging moest de eigenaar zijn computer
beveiligd hebben, maar met de invoering van de Wet Computercriminaliteit
II is het niet langer noodzakelijk dat een beveiliging wordt doorbroken of omzeild
(vgl. Dijkstra, 2008).
Van ‘binnendringen’ is volgens de wet in ieder geval sprake indien de toegang
tot het systeem wordt verworven: (a) door het doorbreken van een beveiliging,
(b) door een technische ingreep, (c) met behulp van valse signalen
of een valse sleutel, of (d) door het aannemen van een valse hoedanigheid. De
woorden ‘in ieder geval’ geven aan dat de opsomming niet als limitatief is bedoeld.
De wetgever heeft daarmee de mogelijkheid open willen laten dat ook
wanneer niet een van de eerder genoemde kunstgrepen is toegepast, er toch
sprake kan zijn van computervredebreuk (vgl. Dijkstra, 2008).
Alles bij elkaar lijkt de wetgever te willen zeggen dat sprake is van hacken
indien iemand opzettelijk een computersysteem binnengaat waartoe hij niet
is gerechtigd.
Een hacker kan nadat hij is binnengedrongen nog andere onwettige handelingen
verrichten. Hij kan bijvoorbeeld gegevens overnemen en voor zichzelf
of een ander vastleggen. In dat geval is sprake van een misdrijf op grond van
artikel 138a lid 2 Sr (zie figuur 2.1). Een hacker kan ook opzettelijk dan wel
door schuld een geautomatiseerd werk vernielen. In dat geval kunnen de artikelen
161sexies en 161septies Sr van toepassing zijn (resp. figuur 2.2 en 2.3).
Deze laatste twee artikelen zijn gericht op strafbaarstelling van het in gevaar
brengen van de algemene veiligheid.
19

20 Verkenning cybercrime in Nederland 2009
Figuur 2.2 Artikel 161sexies Sr: opzettelijk veroorzaken van stoornis in de gang of in
de werking van een geautomatiseerd werk of werk voor de telecommunicatie
(i.w.tr. 01-09-2006)
1. Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie
vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de
werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk
genomen veiligheidsmaatregel verijdelt, wordt gestraft:
1°. met gevangenisstraf van ten hoogste een jaar of geldboete van de vijfde categorie,
indien daardoor wederrechtelijk verhindering of bemoeilijking van
de opslag, verwerking of overdracht van gegevens ten algemene nutte of
stoornis in een openbaar telecommunicatienetwerk of in de uitvoering van
een openbare telecommunicatiedienst, ontstaat;
2°. met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie,
indien daarvan gemeen gevaar voor goederen of voor de verlening
van diensten te duchten is;
3°. met gevangenisstraf van ten hoogste negen jaren of geldboete van de vijfde
categorie, indien daarvan levensgevaar voor een ander te duchten is;
4°. met gevangenisstraf van ten hoogste vijftien jaren of geldboete van de vijfde
categorie, indien daarvan levensgevaar voor een ander te duchten is en het
feit iemands dood ten gevolge heeft.
2. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vijfde categorie
wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld
in het eerste lid wordt gepleegd:
a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen
is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft,
invoert, verspreidt of anderszins ter beschikking stelt of voorhanden
heeft, of
b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven
waardoor toegang kan worden verkregen tot een geautomatiseerd werk of
een deel daarvan, verkoopt, verwerft, verspreidt of anderszins ter beschikking
stelt of voorhanden heeft.
Artikel 161sexies Sr is gebaseerd op artikel 161 Sr, dat het vernielen, onbruikbaar
maken of beschadigen van een waterkering, waterlozing, gas- of
waterleiding of riolering strafbaar stelt (Dijkstra, 2008). Artikel 161sexies Sr
stelt strafbaar het opzettelijk vernielen, verstoren of onbruikbaar maken van
computers en/of computernetwerken alsook het verijdelen van veiligheidsmaatregelen,
voor zover er naar aanleiding van die daad een van de volgende
gevolgen optreedt:

Hacken
– verhindering of bemoeilijking van de opslag, verwerking of overdracht van
gegevens ten algemene nutte of stoornis in een openbaar telecommunicatienetwerk
of in de uitvoering van een openbare telecommunicatiedienst;
– gemeen gevaar voor goederen of voor de verlening van diensten;
– levensgevaar voor een ander;
– levensgevaar voor een ander en iemands dood.
De term opzettelijk geeft volgens Van Geest (2006) aan dat de wil van de dader
gericht moet zijn op het veroorzaken van stoornis in de gang of in de werking
van een geautomatiseerd werk. De strafbaarstelling is gebaseerd op het
optreden van een van de gevolgen. De strafmaat hangt af van welk gevolg er
sprake is. Heeft het gevolg betrekking op ‘overdracht van gegevens ten algemene
nutte’, dan betekent dit dat het gaat om werken die de samenleving ten
dienste staan, zoals het systeem voor digitale aangifte bij de Belastingdienst.
Een dader kan behalve opzettelijk ook door schuld een stoornis in de gang
of in de werking van een geautomatiseerd werk veroorzaken. Dit is strafbaar
volgens artikel 161septies Sr (figuur 2.3).
Figuur 2.3 Artikel 161septies Sr: stoornis in de gang of in de werking in een geautomatiseerd
werk of werk voor telecommunicatie door schuld (i.w.tr. 01-02-
2006)
Hij aan wiens schuld te wijten is dat enig geautomatiseerd werk of enig werk voor
telecommunicatie wordt vernield, beschadigd of onbruikbaar gemaakt, dat stoornis
in de gang of in de werking van zodanig werk ontstaat, of dat een ten opzichte
van zodanig werk genomen veiligheidsmaatregel wordt verijdeld, wordt gestraft:
1°. met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde
categorie, indien daardoor verhindering of bemoeilijking van de opslag,
verwerking of overdracht van gegevens ten algemenen nutte, stoornis in een
openbaar telecommunicatienetwerk of in de uitvoering van een openbare telecommunicatiedienst,
of gemeen gevaar voor goederen of voor de verlening van
diensten ontstaat;
2°. met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie,
indien daardoor levensgevaar voor een ander ontstaat;
3°. met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie,
indien het feit iemands dood ten gevolge heeft.
In artikel 161septies Sr is sprake van schuld en niet van opzet. De strafmaat is
dan ook lager. Ook artikel 161septies Sr is gericht op de gevolgen van de daad.
Op twee punten heeft de wetgever het oog op andersoortige gevolgen dan in
21

22 Verkenning cybercrime in Nederland 2009
artikel 161sexies Sr. In artikel 161sexies Sr luidt de tekst in lid 1 onder 2° en 3°
dat de strafbaarheid intreedt indien het desbetreffende gevolg te duchten is. In
artikel 161septies Sr luidt de tekst bij de overeenkomstige gevolgen dat strafbaarheid
ontstaat indien deze gevolgen ook daadwerkelijk zijn opgetreden.
Niet alleen is dus de strafmaat lager, ook heeft de wetgever de lat voor strafbaarheid
op die twee punten hoger gelegd.
Indien een hacker, nadat hij is binnengedrongen, opzettelijk gegevens vernielt,
is artikel 350a lid 2 Sr van toepassing (figuur 2.4). Dat artikel betreft het
opzettelijk en wederrechtelijk veranderen, wissen, onbruikbaar maken of
ontoegankelijk maken van gegevens. Ook gaat het over het ter beschikking
stellen of verspreiden van gegevens die schade kunnen aanrichten in een geautomatiseerd
werk, zoals een computervirus. Artikel 350a Sr gaat uit van
opzet. Gegevens kunnen echter ook worden vernield zonder dat de opzet van
de dader daarop is gericht. Als na het binnendringen in een geautomatiseerd
werk door schuld gegevens worden vernield, kan artikel 350b Sr van toepassing
zijn (figuur 2.5). Voor dat artikel is dan wel vereist dat de vernieling van
gegevens ernstige schade tot gevolg heeft. Ook hier zien we dat de wetgever
indien geen sprake is van opzet, maar van schuld de lat voor strafbaarheid
hoger heeft gelegd en dat de maximumstraf lager is. Voor schuld aan de verspreiding
van virussen (art. 350b lid 2 Sr) ligt de lat voor strafbaarheid niet
hoger, wel is de maximumstraf lager.
Figuur 2.4 Artikel 350a Sr: opzettelijke vernieling van gegevens (i.w.tr. 01-09-2006)
1. Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd
werk of door middel van telecommunicatie zijn opgeslagen, worden
verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk
maakt, dan wel andere gegevens daaraan toevoegt, wordt gestraft met gevangenisstraf
van ten hoogste twee jaren of geldboete van de vierde categorie.
2. Hij die het feit, bedoeld in het eerste lid, pleegt na door tussenkomst van een
openbaar telecommunicatienetwerk, wederrechtelijk in een geautomatiseerd
werk te zijn binnengedrongen en daar ernstige schade met betrekking tot die
gegevens veroorzaakt, wordt gestraft met gevangenisstraf van ten hoogste vier
jaren of geldboete van de vierde categorie.
3. Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt
die zijn bestemd om schade aan te richten in een geautomatiseerd werk,
wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van
de vijfde categorie.
4. Niet strafbaar is degeen die het feit, bedoeld in het derde lid, pleegt met het
oogmerk om schade als gevolg van deze gegevens te beperken.

Hacken
Figuur 2.5 Artikel 350b Sr: vernieling van gegevens door schuld (i.w.tr. 01-09-2006)
1. Hij aan wiens schuld te wijten is dat gegevens die door middel van een geautomatiseerd
werk of door middel van telecommunicatie zijn opgeslagen, worden
verwerkt of overgedragen, wederrechtelijk worden veranderd, gewist, onbruikbaar
of ontoegankelijk gemaakt, dan wel dat andere gegevens daaraan worden
toegevoegd, wordt, indien daardoor ernstige schade met betrekking tot die gegevens
wordt veroorzaakt, gestraft met gevangenisstraf of hechtenis van ten
hoogste een maand of geldboete van de tweede categorie.
2. Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking
gesteld of verspreid worden die zijn bestemd om schade aan te richten in een
geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten
hoogste een maand of geldboete van de tweede categorie.
Een hacker kan nadat hij is binnengedrongen, behalve gegevens vernielen ook
gegevens aftappen of opnemen. Als dat opzettelijk gebeurt, kan artikel 139c
Sr van toepassing zijn (figuur 2.6). Dit artikel stelt zowel het aftappen van een
telefoon als van een computernetwerk strafbaar. Meestal zal een hacker die
gegevens wil aftappen of opnemen, daarvoor een programmaatje installeren,
zoals spyware of een keylogger. In dat geval is artikel 139d Sr van toepassing.
Dat artikel heeft het oog op een persoon die een technisch hulpmiddel op een
computer installeert met het oogmerk dat daardoor wederrechtelijk gegevens
worden afgeluisterd, afgetapt of opgenomen (figuur 2.7). De gedachte achter
artikel 139c en 139d Sr is dat de overdracht van gegevens die plaatsvindt via
een openbaar elektronisch communicatienetwerk, inclusief de daarop aangesloten
randapparatuur, tegen onrechtmatige aantasting moet zijn beschermd
(vgl. Van Geest, 2006).
Met de herziening van de tekst van artikel 139d Sr, op 1 september 2006, is
onder de werking van dat artikel ook gebracht het vervaardigen, in bezit hebben
en verspreiden van een technisch hulpmiddel dat hoofdzakelijk geschikt
is voor het plegen van een misdrijf als bedoeld in artikel 138a lid 1 Sr (hacken),
in artikel 138b Sr (toegang tot een geautomatiseerd werk belemmeren)
of artikel 139c Sr (aftappen/opnemen). Vereiste is wel dat het vervaardigen
geschiedt met het oogmerk dat met dat technische hulpmiddel een zodanig
delict wordt gepleegd. Kortom, wie een keylogger of andere malware maakt,
in bezit heeft of verspreidt met het oogmerk dat daarmee een van de genoemde
misdrijven wordt gepleegd, is strafbaar. Vereist is niet het oogmerk dat de
verdachte dat misdrijf zelf zou plegen. Wie een technisch hulpmiddel in bezit
heeft dat geschikt is om bijvoorbeeld een computer te hacken, met het oogmerk
dat dat hulpmiddel ook inderdaad daarvoor wordt gebruikt, is strafbaar
volgens artikel 139d lid 2 onder a Sr.
23

24 Verkenning cybercrime in Nederland 2009
Met de genoemde herziening is ook onder de werking van artikel 139d gebracht
het verwerven, voor handen hebben of verspreiden van een wachtwoord,
code of daarmee vergelijkbaar gegeven, waarmee toegang tot een
geautomatiseerd werk kan worden verkregen, indien dat gepaard gaat met
het oogmerk om een van de in de vorige alinea genoemde delicten te plegen
(hacken, toegang tot een geautomatiseerd werk belemmeren, tappen/opnemen).
Zie artikel 139d lid 2 onder b Sr (figuur 2.7). Iemand die een ander een
wachtwoord ontfutselt (‘verwerven’, bijvoorbeeld door social engineering)
met de bedoeling om diens computer te hacken, is dus strafbaar. Het bezitten
en/of bekendmaken van dergelijke informatie is strafbaar gesteld middels artikel
139e Sr (figuur 2.8). In feite zijn in de artikelen 139d en 139e Sr dus nu ook
voorbereidingshandelingen voor hacken strafbaar gesteld.
Figuur 2.6 Artikel 139c Sr: het aftappen en/of opnemen van gegevens (i.w.tr. 01-09-
2006)
1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie
wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch
hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die
worden verwerkt of overgedragen door middel van telecommunicatie of door
middel van een geautomatiseerd werk.
2. Het eerste lid is niet van toepassing op het aftappen of opnemen:
1°. van door middel van een radio-ontvangapparaat ontvangen gegevens, tenzij
om de ontvangst mogelijk te maken een bijzondere inspanning is geleverd
of een niet toegestane ontvanginrichting is gebruikt;
2°. door of in opdracht van de gerechtigde tot een voor de telecommunicatie
gebezigde aansluiting, behoudens in geval van kennelijk misbruik;
3°. ten behoeve van de goede werking van een openbaar telecommunicatienetwerk,
ten behoeve van de strafvordering, dan wel ter uitvoering van de Wet
op de inlichtingen- en veiligheidsdiensten 2002.

Hacken
Figuur 2.7 Artikel 139d Sr: plaatsen van opname-, aftap- c.q. afluisterapparatuur
(i.w.tr. 01-09-2006)
1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie
wordt gestraft hij die met het oogmerk dat daardoor een gesprek, telecommunicatie
of andere gegevensoverdracht of andere gegevensverwerking door
een geautomatiseerd werk wederrechtelijk wordt afgeluisterd, afgetapt of opgenomen,
een technisch hulpmiddel op een bepaalde plaats aanwezig doet zijn.
2. Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf
als bedoeld in artikel 138a, eerste lid, 138b of 139c wordt gepleegd:
a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen
is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft,
invoert, verspreidt of anderszins ter beschikking stelt of voorhanden
heeft, of
b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven
waardoor toegang kan worden gekregen tot een geautomatiseerd werk of
een deel daarvan, verkoopt, verwerft, verspreidt of anderszins ter beschikking
stelt of voorhanden heeft.
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie
wordt gestraft hij die het in het tweede lid bedoelde feit pleegt terwijl zijn
oogmerk is gericht op een misdrijf als bedoeld in artikel 138a, tweede of derde
lid.
Figuur 2.8 Artikel 139e Sr: bezitten en bekendmaken van wederrechtelijk verkregen
gegevens (i.w.tr. 01-09-2006)
Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie
wordt gestraft:
1°. hij die de beschikking heeft over een voorwerp waarop, naar hij weet of redelijkerwijs
moet vermoeden, gegevens zijn vastgelegd die door wederrechtelijk
afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere
gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd
werk zijn verkregen;
2°. hij die gegevens die hij door wederrechtelijk afluisteren, aftappen of opnemen
van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking
door een geautomatiseerd werk heeft verkregen of die, naar
hij weet of redelijkerwijs moet vermoeden, ten gevolge van zulk afluisteren,
aftappen of opnemen te zijner kennis zijn gekomen, opzettelijk aan een ander
bekend maakt;
3°. hij die een voorwerp als omschreven onder 1° opzettelijk ter beschikking stelt
van een ander.
25

26 Verkenning cybercrime in Nederland 2009
Kortom, als het gaat om hacken is niet alleen de computervredebreuk (het
binnendringen) als zodanig strafbaar, maar ook zijn strafbaar diverse handelingen
die voorafgaan aan de hack, zoals het in bezit hebben van software
of wachtwoorden die zijn bedoeld om te hacken. Ook zijn strafbaar diverse
handelingen die een hacker kan verrichten nadat hij in een systeem is binnengedrongen,
zoals het vernielen van gegevens, het plaatsen van een keylogger
of het aftappen van gegevens.
2.3 Verschijningsvormen: soorten hackers
We kunnen verschillende vormen van hacken onderscheiden door te kijken
naar de wijze waarop de hack is uitgevoerd of door te kijken naar het type
dader. Dat laatste is vrij gangbaar in de literatuur. Hackers worden dan onderscheiden
in verschillende typen, zoals old guard hackers, script kiddies,
crackers, hacktivisten, enzovoort. De manier waarop de hack technisch gezien
wordt gepleegd, zoals met gebruik van social engineering, keylogger of
password cracker, bepaalt dan niet in welke groep een hack wordt ingedeeld,
maar is onderdeel van de modus operandi van de daders binnen een bepaalde
groep. In deze paragraaf hanteren wij ook primair de indeling naar soorten
hackers, niet in de laatste plaats omdat dergelijke indelingen in de literatuur
een grote rol spelen en we de resultaten uit onze analyse over politiedossiers
willen vergelijken met indelingen uit de literatuur.
Voor criminaliteitsbestrijding is niet alleen van belang om te weten met
wat voor type dader men te maken heeft en wat zijn motieven zijn, maar ook
is het zaak om op de hoogte te zijn van criminele technieken. Zowel voor een
goede preventie als opsporing is van belang om te weten hoe cybercriminelen
te werk gaan. Vandaar dat we ook aandacht besteden aan de modus operandi
van de daders.
In de literatuur worden hackers op verschillende manieren onderscheiden.
We beginnen met een onderscheid op basis van Europol (2003) en Dasselaar
(2005). Daarna kijken we naar de hackertaxonomie van Rogers (2000) en de
indeling van McAfee (2006). Ten slotte vergelijken we de verschillende indelingen.
In welke mate de indelingen die we hier presenteren van oorsprong
zijn gebaseerd op empirisch onderzoeksmateriaal, en indien dat het geval is
op welk materiaal dan precies, hebben we niet met zekerheid kunnen vaststellen.

Hacken
Figuur 2.9 Black hats, white hats en andere hackers (naar Europol, 2003 en Dasselaar,
2005)
White hats. Personen die hun technische vaardigheden voor legitieme doelen inzetten.
Dergelijke hackers houden zich doorgaans aan de wet en gebruiken de technologie
voor constructieve doeleinden. 6
Black hats. Ook wel crackers genoemd. Gebruiken kennis en vaardigheden voor illegale
doeleinden.
Grey hats. Hackers die vallen tussen de eerste twee groepen. Een voorbeeld is een
hacker die inbreekt in een computer om de beveiliging te testen.
Hacktivisten. Politiek of sociaal geëngageerd en maken gebruik van ICT om hun
doelen te verwezenlijken.
Script kiddies. Gebruiken technieken die door anderen zijn ontwikkeld. Hebben zelf
weinig technische kennis en kunnen door hun onkunde veel schade veroorzaken.
Politieke of religieuze extremisten. Gebruiken ICT voor het plegen van terroristische
daden.
Het simpelste onderscheid dat kan worden gemaakt, is tussen slechte en goede
hackers, tussen black hats en white hats. Een iets genuanceerder onderscheid
maakt Gelderblom (2004) met zijn driedeling: hacker, cracker en script
kiddie. Daarmee doelt hij op goeden, kwaden en meelopers. Bij Europol (2003)
en Dasselaar (2005) zien we nog weer andere typen (figuur 2.9), in totaal zes.
Rogers (2000, 2001, 2006) maakt in zijn ‘hackertaxonomie’ gebruik van negen
categorieën. Hij heeft deze taxonomie gebaseerd op verschillende studies 7 die
onderscheid maakten tussen soorten hackers (figuur 2.10).
Ook de taxonomie van Rogers kent categorieën die vallen onder de goeden
(old guard hackers), de kwaden (professional criminals en information warriors)
en de meelopers (novice of newbies). Maar Rogers beschrijft ook tussencategorieën.
Zo zijn er vandalen die hacken om dingen kapot te maken
(cyberpunks), zijn er kleine criminelen die alleen geld willen verdienen (petty
thiefs) en zijn er hackers die ondersteunend werk leveren aan andere criminelen
(virus writers of coders). Daarnaast maakt Rogers een aparte categorie
voor ontevreden (ex-)werknemers die uit zijn op wraak (internals) en is er een
categorie met een duidelijk politiek oogmerk (political activists). De categorieën
hoeven elkaar overigens niet uit te sluiten: er is overlap denkbaar (Van
6 Overigens is een hacker die zich aan de wet houdt volgens onze definitie geen hacker. Hacken
is immers strafbaar. Voor 1993 was dit wel mogelijk: als je toen inbrak in een systeem en
niets stal of vernielde, was dat niet strafbaar.
7 Adamski, 1999; Chantler, 1996; Hollinger, 1988; Landreth, 1985; Parker, 1998; Post, 1996; Post
e.a., 1998; Power, 1998; Shaw e.a., 1998.
27

28 Verkenning cybercrime in Nederland 2009
Figuur 2.10 Hackertaxonomie van Rogers (2000, 2001, 2006) (naar Van der Hulst &
Neve, 2008)
Novice of newbies. Gebrek aan technische kennis, kunnen niet programmeren. Maken
gebruik van toolkits. Hebben flinke dadendrang.
Cyberpunks. Kunnen zelf programmeren; kennis over programmeren en computersystemen
is beperkt.
Internals. Ontevreden (ex-)werknemers met een goede technische kennis.
Petty thiefs. Hacken om lucratieve, criminele mogelijkheden. De klassieke crimineel.
Slachtoffers zijn onlinewinkels en naïeve eindgebruikers.
Old guard hackers. Gedreven door de intellectuele uitdaging.
Virus writers of coders. Schrijven scripts en geautomatiseerde tools die door anderen
worden gebruikt. Fungeren als mentor voor nieuwelingen.
Professional criminals. Onderwereldfiguren met kennis van de laatste snufjes die
niet uit zijn op roem of reputatie.
Information warriors. Vermengen politieke met criminele activiteiten en hebben
als werk besturingssystemen van vitale infrastructuren te bewaken of die van
anderen aan te kunnen vallen (mogelijk afkomstig van opgeheven intelligenceorganisaties
uit het Oostblok).
Political activists. Houden zich bezig met hacktivisme.
der Hulst & Neve, 2008). De praktijk is immers altijd complexer en diverser
dan een model doet vermoeden.
Een andere indeling is die van McAfee (2006). Volgens dit bedrijf variëren
cybercriminelen tegenwoordig van amateurs met beperkte programmeervaardigheden
die vertrouwen op de voorgeprogrammeerde scripts om hun
attacks uit te voeren, tot goed opgeleide professionele criminelen die over de
nieuwste middelen beschikken (figuur 2.11). McAfee onderscheidt minder
categorieën dan Rogers. Ook hier komt een grof onderscheid tussen goed,
kwaad en meelopers terug. De goeden zijn volgens McAfee de innovators.
Het motief van deze groep is de uitdaging; dit type komt overeen met de old
guard hacker van Rogers. De slechten zijn de georganiseerde cybergangsters,
met als motief financieel gewin. Verder zijn er volgens McAfee twee groepen
meelopers die zelf weinig tot geen technische vaardigheden hebben (de amateurroemzoekers
en copycatters). Ten slotte zien we ook hier de groep ontevreden
(ex-)werknemers (de ingewijden).

Hacken
Figuur 2.11 Categorieën volgens McAfee (2006)
Innovators. Een groep die zijn tijd besteedt aan het zoeken van gaten in systemen of
het verkennen van nieuwe omgevingen om te zien of ze gevoelig zijn voor valse
codes. Doen het voor de uitdaging. De gevarenfactor van deze groep is laag. Deze
elitegroep vormt volgens McAfee slechts 2% procent van de hacking en malwareauteurs.
Amateurroemzoekers. Nieuwelingen op het gebied van computercriminaliteit, met
beperkte computervaardigheden en programmeercapaciteiten. Op zoek naar media-aandacht,
gebruiken kant-en-klare tools en trucs. De gevarenfactor is matig:
het gevaar van deze groep is dat er aanvallen worden uitgevoerd zonder dat de
daders echt begrijpen waarmee ze bezig zijn.
Copycatters. Wannabe hackers en malware-auteurs. Groep die de formules van anderen
kopieert om beroemd te worden (dankzij de ‘status’ van de ‘cybercriminele
gemeenschap’). Gefocust op herhalen van eenvoudige aanvallen en niet het ontwikkelen
van iets nieuws. Gevarenfactor is matig.
Ingewijden. Ontevreden ex-werknemers, contractanten en consultants. Wraak of kleine
diefstal. Maken gebruik van slechte beveiliging of van de privileges die voortvloeien
uit de positie binnen de werkplek. Gevarenfactor is hoog, doordat dit een groeiende
groep is waarbij de technische beveiligingsmaatregelen minder effectief zijn.
Georganiseerde cybergangsters. Zeer gemotiveerde en goed georganiseerde cyberoplichters.
Beperkte groep, maar met aanzienlijke macht. Breken in op kwetsbare
computers voor winstbejag. Het hart is een hechte kern van leiders die probeert te
profiteren door alle mogelijke manieren uit te buiten en zich te omringen met menselijke
en computermiddelen om dit te kunnen doen. De gevarenfactor is hoog.
In figuur 2.12 plaatsen we de zojuist behandelde categorieën van Europol (2003),
Dasselaar (2003), Rogers (2000, 2001, 2006) en McAfee (2006) naast elkaar.
Figuur 2.12 De verschillende categorieën hackers naast elkaar
Rogers (2000, 2001, 2006) McAfee (2006) Europol (2003), Dasselaar (2005)
Novice of newbies Copycatters Script kiddies
Cyberpunks Amateurroemzoeker Black hat
Internal Ingewijden
Petty thiefs Black hat
Old guard hackers Innovators White hat
Virus writers of coders
Professionals criminals Georganiseerde cybergangsters
Information warriors
Political activists Hacktivist/politiek-religieuze
extremisten
29

30 Verkenning cybercrime in Nederland 2009
Er zijn in de indelingen enkele hoofdlijnen aan te wijzen, want een aantal categorieën
komt steeds terug:
1. De eerste twee categorieën van Rogers, ‘novice and newbies’ en ‘cyberpunks’
zijn te vergelijken met ‘copycatters’ en amateurroemzoekers’ en de
‘script kiddies’ en voor een deel ook de ‘black hats’. Deze hackers worden
gekenmerkt door een gebrek aan technische kennis. Ze moeten het hebben
van het kopiëren van de scripts van anderen. In deze groep vinden we als
het ware de nog wat onkundige hackers die bezig zijn hun mogelijkheden
te verkennen en hun kennis uit te breiden, en zich daarbij niet al te veel
zorgen maken om mogelijke schade die dat voor anderen oplevert.
2. De ‘internals’ van Rogers zijn vergelijkbaar met de ‘ingewijden’ van Mc-
Afee. Beide groepen worden beschreven als (ex-)werknemers met wraakgevoelens.
3. De Rogers-categorie ‘petty thiefs’ is deels te vergelijken met de ‘black hats’
van Europol en Dasselaar. Het gaat om hackers die optreden als kleine
criminelen (of om kleine criminelen die zich digitale technieken hebben
eigen gemaakt).
4. De ‘old guard hackers’ zijn gelijk aan de ‘innovators’ en ‘white hats’, de
groep wordt gedreven door intellectuele uitdaging en nieuwsgierigheid.
De hackers in deze groep zijn waarschijnlijk degenen die nog het meeste
op hebben met oude hackerswaarden als vrijheid van informatie en het
voorkomen van vernielingen.
5. De ‘professional criminals’ van Rogers komen overeen met de ‘georganiseerde
cybergangsters’. Het gaat om groepen georganiseerde criminelen.
‘Virus writers of coders’ kunnen worden ingehuurd door deze georganiseerde
cybercriminelen. Deze twee groepen zijn dus met elkaar verbonden
en zijn beide verweven met georganiseerde criminaliteit.
6. Als laatste hoofdlijn zien we de politiek gemotiveerde hackers: ‘information
warriors’ en ‘political activists’. Hackers die zich inzetten voor politieke
doelen of zelfs cyber warfare zijn geen denkbeeldige dreiging. Dat werd
duidelijk bij een aanval van Russische hackers op Estland in 2007 (NRC
Handelsblad van 22 mei 2007 en Trouw van 12 mei 2007) en op Georgië in
2008, en het grote aantal defacements van websites met politieke pamfletten
(NRC Next van 22 augustus 2006, NRC Handelsblad van 22 augustus
2006).
We willen met dit overzicht niet nog weer een nieuwe indeling creëren. Het
gaat ons om het benoemen van de hoofdlijnen uit de literatuur. We zien dan
dat zes groepen steeds op de een of andere wijze terugkeren: beginnelingen
en ‘rotzooitrappers’, (ex-)werknemers, hackers oude stijl, kleine criminelen,
criminelen in georganiseerd verband en politiek gemotiveerde hackers.

Hacken
Op elke indeling is wel wat af te dingen. Om te beginnen, is niet echt duidelijk
hoe sterk de empirische basis is onder de indelingen en waaruit die basis dan
exact bestaat. Verder zijn de grenzen tussen de verschillende groepen theoretisch
gezien al niet waterdicht, in de praktijk zijn er waarschijnlijk nauwelijks
hackers die voortdurend binnen één hokje opereren. Dat roept de vraag
op of dergelijke indelingen wellicht meer zeggen over ‘soorten hacks’ dan
over ‘soorten hackers’. In de paragrafen 2.5 en 2.6 gaan we nader in op dader -
kenmerken. We kijken nu eerst naar verbanden van hacken met andere vormen
van (cyber)criminaliteit.
2.4 Verbanden van hacken met andere crimes
Inleiding: over de analyse
In deze paragraaf gaan we op basis van de dossierstudie in op de verbanden
die hacken heeft met de andere vormen van cybercrime. We bekijken eerst onder
welke titel de politie de hackendossiers heeft geregistreerd (‘gemuteerd’).
Daarna beschrijven we de verbanden met andere (cyber)criminaliteit die we
zelf tijdens de nadere analyse in de tekst van de dossiers tegenkwamen. Ten
slotte bekijken we welke wetsartikelen de politie aan het dossier heeft toegekend.
Als aan het dossier behalve artikel 138a Sr (hacken) bijvoorbeeld ook
artikel 318 Sr (afdreiging) is gekoppeld, wijst dat op een verband tussen deze
twee delicten. Mogelijk was de hack in dat geval de weg waarlangs de dader
het slachtoffer afdreigde. 8
De dossiers
We selecteerden in eerste aanleg 199 hackendossiers (zie ook par. 1.4). Na een
inhoudelijke analyse door student-assistenten bleek dat er daarvan 175 bruikbaar
waren. Van de 24 onbruikbare dossiers bleken 13 dossiers geen cybercrime,
2 dossiers bleken een melding, maar geen aangifte en 9 dossiers vielen
af om andere redenen (de aangifte ontbrak of er stonden alleen een paar losse
mutaties in het dossier). Van de 175 bruikbare dossiers analyseerden we er
8 Art. 318 Sr luidt: ‘1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen,
door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand
dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde
toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij
tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, wordt
als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete
van de vijfde categorie. 2. Dit misdrijf wordt niet vervolgd dan op klacht van hem
tegen wie het gepleegd is.’
31

32 Verkenning cybercrime in Nederland 2009
151. 9 Van deze 151 hadden er 139 daadwerkelijk betrekking op hacken. In de
overige 12 dossiers was sprake van een andere vorm van cybercrime. Deze
139 dossiers vormen de basis voor onze analyse.
Onder welke titel (‘beschrijving’) staat het dossier geregistreerd
Een eerste manier om te bepalen welke verschijningsvormen hacken heeft en
of er dwarsverbanden zijn met andere cybercrimes is het analyseren van de
titels of de ‘beschrijvingen’ waaronder de dossiers in de politiesystemen zijn
geregistreerd. Ter toelichting het volgende. We selecteerden de dossiers niet
op de titel waaronder het dossier in de politieadministratie is opgenomen.
We selecteerden op de inhoud van het dossier. Welke titel of ‘beschrijving’
de behandelend agent aan het desbetreffende dossier geeft, zegt iets over hoe
die agent naar de zaak kijkt: wat voor hem of haar de essentie van deze zaak
is. De agent moet tijdens het registreren de ‘beschrijving’ kiezen uit een vaste
lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen. Van de 139
dossiers staan er 118 in BPS, 18 in XPOL en 3 in GENESYS (tabel 2.1).
Tabel 2.1 Titels (‘beschrijving’) waaronder de 139 hackendossiers zijn geregistreerd
BPS
XPOL
Beschrijving n %
Computercriminaliteit 86 72,9
Oplichting/bedrog 18 15,3
Diefstal/verduistering 6 5,1
Overige (stalking, kinderporno, huisvredebreuk) 8 6,8
Totaal 118 100,1
Computercriminaliteit 13 72,2
Oplichting/bedrog 2 11,1
Diefstal/verduistering 1 5,6
Overige (bedreiging, vernieling) 2 11,1
Totaal 18 100,0
9 De hackendossiers hebben we als eerste geanalyseerd. Door voortschrijdend inzicht zijn de
hackendossiers een tweede keer geanalyseerd (o.a. om te kijken of en hoevaak er sprake is
van identiteitsmisbruik). Door problemen met synchronisatie tussen de twee databestanden
van de eerste en tweede analyse zijn 24 dossiers niet meegenomen in de tweede, uiteindelijke
analyse.

Hacken
GENESYS
Computervredebreuk 2 66,7
Overige (overige informatie) 1 33,3
Totaal 3 100,0
TOTAAL
Computercriminaliteit/computervredebreuk 101 72,7
Oplichting/bedrog 20 14,4
Diefstal/verduistering 7 5,0
Overige 11 7,9
Totaal 139 100,0
We maken in eerste aanleg onderscheid tussen de drie basisprocessensystemen,
omdat de registratiesystematiek in deze drie niet identiek is. Daarna
voegen we de systemen samen (‘totaal’ in tabel 2.1) door overeenkomstige
beschrijvingen samen te nemen. Over het totaal gezien, staan de meeste dossiers
(72,7%) geregistreerd onder de titel ‘computercriminaliteit’. Een andere
groep (19,4%) staat onder een titel die verwijst naar vermogenscriminaliteit,
te weten oplichting/bedrog of diefstal/verduistering. Dan is er nog een restgroep
(7,9%) met verschillende beschrijvingen, zoals stalking, kinderporno en
bedreiging. De dossiers waarin sprake was van hacken en die zijn geregistreerd
onder een andere beschrijving dan ‘computercriminaliteit’ hadden in
de ogen van de agenten vooral te maken met hetgeen waarnaar die beschrijving
verwijst.
Als hacken met wat anders in verband staat, is dat blijkens deze analyse
met vermogenscriminaliteit, vooral oplichting en bedrog. Maar niet zelden
heeft hacken ook te maken met andere wandaden. In casus 2.1 staat een beschrijving
van een aangifte die in BPS gemuteerd staat onder ‘diefstal overige
goederen’. In dit dossier is sprake van een mogelijke hack waarna virtuele
spullen uit een virtuele wereld zijn gestolen.
Het is in deze zaak niet duidelijk op welke wijze de dader toegang heeft
verkregen tot de virtuele hotelkamer van het slachtoffer, mogelijk zijn de inloggegevens
via phishing van het slachtoffer verkregen of is er ingebroken op
het e-mailaccount van het slachtoffer. Vervolgens is de dader zonder toestemming
ingelogd op het account van het slachtoffer (hacken), heeft virtuele meubelen
weggenomen en deze mogelijk verkocht in het illegale circuit. Er is in dat
geval naast hacken ook sprake van de cybercrime diefstal en mogelijk heling.
Hacken is in dit geval een middel geweest om andere criminaliteit te plegen.
Verbanden blijkens de inhoudsanalyse
Tabel 2.2 geeft een overzicht van de verbanden tussen hacken en andere criminaliteitsvormen,
zoals we die zagen in de dossiertekst. Die tabel heeft betrek-
33

34 Verkenning cybercrime in Nederland 2009
Casus 2.1 Virtuele diefstal met behulp van hacken
Van aangever zijn goederen gestolen uit een virtuele wereld op internet. Deze virtuele
wereld heet Habbo Hotel. Aangever heeft deze goederen verkregen middels
het overmaken van geld via sms-berichten. (…) ‘Ik speel sinds 16 februari 2005 op
Habbo Hotel. Dit is een virtueel hotel op internet. Ik heb via mijn Hotmail een account
aangemaakt bij Habbo Hotel. Hierin heb ik al mijn persoonlijke gegevens
achtergelaten.’
‘Ik ben bij Habbo Hotel begonnen met een poppetje en daarna ben ik begonnen
met het aankleden van dit poppetje. Ik heb hierna steeds gebeld of een sms gestuurd
en nadat ik dit had gedaan kon ik nieuwe dingen kopen op Habbo Hotel.
Ik had bij Habbo Hotel een waarde opgebouwd van 25.000 credits wat dus ongeveer
een waarde zou zijn van 4.000 euro als ik gebeld zou hebben en een waarde
van ongeveer 4.583 euro als ik een sms zou hebben verstuurd.’
‘Toen ik op [datum] inlogde zag ik dat mijn kamers op Habbo Hotel leeg waren. Ik
zag dat mijn meubels waren verdwenen. De meubels die ik had, onder andere een
paarse ijsmachine, waren veel waard. Ik weet dat voor deze ijsmachine in het illegale
circuit ongeveer 900 euro wordt geboden. Ik had ook twee gouden draken en
daar wordt ook ongeveer 200 euro per stuk voor geboden. Ik had ook heel veel gras
en daar wordt ongeveer 400 euro voor geboden.’
king op de 139 dossiers; elk dossier kan meerdere verbanden met een ander
delict bevatten. We stellen in deze analyse vast of sprake is van een verband
en zo ja met welk ander delict. Een andere kwestie is de volgordelijkheid: een
verband tussen hacken en identiteitsdiefstal bijvoorbeeld kan betekenen dat
eerst een identiteit is gestolen en dat met die identiteit vervolgens de hack is
gepleegd, ook kan het verband inhouden dat eerst het systeem is gehackt en
dat vervolgens de identiteitsgegevens zijn gestolen.
In 114 van de 139 dossiers hacken (82%) vonden we één of meer verbanden
met andere vormen van criminaliteit, in totaal 251 verbanden, gemiddeld 1,8
per dossier. In 40 van de 139 dossiers vonden we één of meer verbanden met
een cybercrime uit deze studie (28,8%) en in 80 van de 139 dossiers (57,6%)
vonden we één of meer verbanden met een andere cybercrime.
In 76 dossiers (54,7%) is er in totaal 120 keer sprake van het vernietigen of
beschadigen van digitale gegevens en/of het zonder toestemming kopiëren
van digitale gegevens. Beide delicten volgen op het hacken. Er dient immers
eerst te worden ingebroken, voordat digitale gegevens kunnen worden gekopieerd
of vernietigd (casus 2.5). Doel van een hack is dan bijvoorbeeld het
verwijderen of kopiëren van foto’s of e-mails.
In 36 dossiers (25,9%) vonden we een verbinding tussen hacken en e-fraude.
Casus 2.2 bevat een voorbeeld daarvan. In 32 dossiers is er sprake van

Hacken
identiteitsdiefstal. Dat sprake is van identiteitsdiefstal wil niet zeggen dat er
dus ook sprake is van e-fraude. Een hack kan zijn gericht op het verkrijgen
van iemands identiteitsgegevens, zonder dat meteen die gegevens worden gebruikt
voor een fraude. In niet meer dan zes dossiers is er sprake van zowel
e-fraude als identiteitsdiefstal.
In 24 dossiers (17,3%) vonden we een verband tussen hacken en smaad
(casus 2.3). Hacken is in die zaken een middel: er wordt ingebroken op persoonlijke
pagina’s, op sociale netwerksites of MSN, of e-mailaccounts worden
gekraakt. Vervolgens verspreidt de verdachte smadelijke teksten over het
slachtoffer.
In 16 dossiers is sprake van het dreigen met geweld via ICT en in 3 dossiers
zagen we (poging tot) aanranding/schennis van de eerbaarheid. In twee van
deze drie dossiers wordt gedreigd met het verspreiden van smaad via internet
(casus 2.4) en in één dossier wordt het slachtoffer via ICT met geweld bedreigd
om tot aanranding/schennis van de eerbaarheid te komen.
In 12 dossiers is er naast hacken sprake van één of meer vormen van klassieke
criminaliteit (8,6%). In 8 gevallen betreft dat stalking, in 3 gevallen bedreiging
met geweld en in de overige gevallen afpersing/afdreiging, huisvredebreuk
en het vervaardigen van kinderporno zonder ICT.
Tabel 2.2 Verbanden in de 139 hackendossiers met andere criminaliteit 1011
Andere (cyber)crime waarmee een verband is n % van 139 11
Cybercrimes in deze studie 40 28,8
E-fraude 36 25,9
Cyberafpersen 3 2,2
Kinderporno 1 0,7
Haatzaaien 1 0,7
Overige cybercrimes 80 57,6
Vernietigen/beschadigen van gegevens 69 49,6
Zonder toestemming kopiëren digitale gegevens 51 36,7
Smaad 24 17,3
Identiteitsdiefstal 32 23,0
Bedreiging met geweld 16 11,5
Poging tot aanranding/schennis van de eerbaarheid 3 2,2
10 We bepaalden de verschillende vormen van (cyber)criminaliteit in de hackendossiers op
basis van de definities die we vooraf opstelden (zie het analysekader in bijlage 10) en niet op
de wetsartikelen die in de dossiers zijn opgenomen.
11 Doordat in één dossier zowel verbanden met cybercrimes uit deze studie als overige (cyber)crimes
kunnen voorkomen, is het totaal meer dan 100%.
35

36 Verkenning cybercrime in Nederland 2009
Offlinecriminaliteit 12 8,6
Stalking 8 5,8
Bedreiging met geweld 3 2,2
Afpersen/afdreigen 1 0,7
Vervaardigen kinderporno 1 0,7
Huisvredebreuk 1 0,7
Geen verband met andere (cyber)crime 25 18,0
Deze analyse laat zien dat hacken in veel gevallen geen op zichzelf staand
delict is. Geregeld is in hackendossiers ook sprake van het vernietigen of beschadigen
van gegevens. Dat kan het einddoel zijn van de hack, maar is dat
zeker niet altijd. Verder zien we verbanden met nog weer andere delicten,
vooral e-fraude (25,9%), identiteitsdiefstal (23,0%), smaad (17,3%) en bedreiging
(11,5%). 12 Op hoofdlijnen gezien heeft hacken dus vooral een verband met:
– vernietigen/kopiëren van gegevens (cybercrime in enge zin) (54,7%);
– fraude en identiteitsdiefstal (winstbejag) (44,6%);
– smaad, bedreiging, aanranding, stalking (interpersoonlijke conflicten)
(24,5%).
Casus 2.2 Hacken en e-fraude
‘Op [datum] kwam ik erachter dat ik niet meer op mijn Hotmail kon. Ik zou mij
aanmelden bij Hotmail, met mijn e-mailadres en mijn wachtwoord. Ik kreeg hier
gelijk een foutmelding van. Ik heb het een aantal keren geprobeerd. Vervolgens heb
ik contact gezocht met Hotmail. Toen kreeg ik een lijst toegestuurd met allemaal
vragen. Dat waren vragen over: wachtwoorden, contactpersonen, MSN-naam, mijn
eigen IP-adres. Door al deze vragen kreeg ik een beetje een naar gevoel. Ik heb alle
vragen wel beantwoord.’
‘Ik kreeg op [datum] een reactie op de vragenlijst die ik in moest vullen. Hier stond
in dat Hotmail akkoord ging met de door mij ingevulde vragenlijst. Vervolgens
kon ik een nieuw wachtwoord invullen en kon ik weer inloggen op mijn Hotmail.
Op het moment dat ik mijn hotmail bekeek zag ik allemaal veranderingen. Ik zag
veel mailtjes van eBay, waarvan ik de afkomst niet kende. Al die mailtjes, die in de
map verzonden items stonden waren in het Engels.’
‘Op [datum], omstreeks 10.00 uur kreeg ik een mail van ene [naam]. Ik ken deze
man niet. Ik kreeg een mail van hem dat hij geld had overgemaakt en dat hij dat via
internetbankieren had gedaan. Het ging om LCD tv’s ter waarde van 640 euro. Dit
vond ik zo raar, ik wist hier niets van. Ik heb meneer een mail terug gestuurd dat ik
12 Het gaat niet om elkaar uitsluitende categorieën. Er zijn dossiers met een verband naar verschillende
delicten.

Hacken
had gezien dat hij de hoogste bieder was op een product. Ik heb hem gemaild dat er
vermoedelijk iemand anders onder mijn naam dingen te koop heeft aangeboden en
ik heb hem verteld dat ik aangifte zou doen.’
Casus 2.3 Hacken en cybersmaad
‘Ik doe hierbij aangifte van hacking, ofwel computervredebreuk. Onbevoegden
zijn namelijk via een telecommunicatieverbinding in mijn computersysteem binnengedrongen.
Met behulp van beveiligingssoftware ontdekte ik dat een onbevoegd
persoon vanaf [datum] omstreeks 08:56 uur in mijn computersysteem was
doorgedrongen. Tijdens de hack zijn geen bestanden vernield, maar wel heeft men
wijzigingen aangebracht op mijn Hyvessite. Tevens doe ik aangifte cq klacht van
smaad. Iemand heeft een e-mailbericht onder mijn naam verstuurd waarin feitelijke
onwaarheden staan vermeld. Ik voelde mij hierdoor erg in mijn goede eer en
of goede naam aangerand.’
Casus 2.4 Hacken en aanranding/schennis van de eerbaarheid
‘Ik zat achter de computer op MSN. Ik kreeg toen het verzoek op het scherm om te
MSN’en met diegene waar ik de avond van te voren ook op de computer contact
mee had gehad. Ik heb toen met hem berichten uitgewisseld. Hij vroeg mij om de
webcam aan te zetten. Ik wilde dit eerst niet. Hij berichtte mij toen, dat als ik de
webcam niet zou aanzetten hij mij zou hacken. Hij wilde ook dat ik zou strippen
voor de webcam. Ik wilde dit niet. Later merkte ik dat ik gehacked was. Ik kon
namelijk niet meer op mijn eigen MSN. Later werd dit, het gehacked zijn, bevestigd
door vriendinnen van mij. Mijn vriendinnen berichtten mij dat ik op MSN
een heel andere taal gebruikte. Dit gebeurde op momenten dat ik zelf niet aan het
MSN’en was. Ik bemerkte ook, dat ik niet meer op de mail van Hotmail kwam. De
hacker kan ook in al mijn mailtjes kijken. Er zijn best wel persoonlijke mailtjes bij.
Ik vind dit echt heel vervelend.’ De hacker berichtte SO (slachtoffer), dat zij haar
wachtwoord terug kon krijgen als zij nu haar webcam zou aanzetten en zich zou
uitkleden.
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?
Een dossier heeft vaste invoervelden voor het vermelden van de van toepassing
zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel
opnemen. In 19 dossiers staan geen wetsartikelen (13,7%). Van de overige
120 dossiers stelden we vast welke wetsartikelen de politie daar heeft
37

38 Verkenning cybercrime in Nederland 2009
vermeld. In totaal zijn 177 wetsartikelen aan deze dossiers gekoppeld, gemiddeld
1,5 per dossier.
Het meest voorkomende wetsartikel is artikel 138a Sr (computervredebreuk/kopiëren
van gegevens). Dit artikel komt in 93 van de 120 dossiers voor
(77,5%). Artikel 350a Sr (vernieling computergegevens) zagen we in 26 dossiers
(21,7%), gevolgd door oplichting (13,3%) en bedreiging (7,5%) (tabel 2.3).
Tabel 2.3 Wetsartikelen in 120 hackendossiers 13
Artikel Omschrijving n % van 120
138a Sr Computervredebreuk/kopiëren van gegevens 93 77,5
350a Sr Vernieling computergegevens 26 21,7
326 Sr Oplichting 16 13,3
285 Sr Bedreiging 9 7,5
267 Sr Belediging van bijzondere organen en functionarissen 8 6,7
310 Sr Diefstal 8 6,7
311 Sr Diefstal onder verzwarende omstandigheden 7 5,8
266 Sr Eenvoudige belediging 3 2,5
317 Sr Afpersing 2 1,7
350b Sr Vernieling computergegevens door schuld 2 1,7
225 Sr Valsheid in geschrifte 2 1,7
139c Sr Aftappen en/of opnemen van gegevens via telecommunicatie 1 0,8
Totaal 177 *
* Is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten.
Op hoofdlijnen zien we langs deze weg een verband met:
– cybercrimes waarbij computers of computergegevens het doelwit zijn, ofwel
cybercrime in enge zin (art. 138a, 14 350a, 350b, 139c Sr) (74,1%);
– vermogenscriminaliteit (oplichting, vormen van diefstal, afpersing) (21,6%); 15
– intermenselijke conflicten (bedreiging, vormen van belediging) (12,9%).
13 In één dossier kunnen meerdere artikelen voorkomen.
14 We weten niet zeker of politiemensen met ‘138a Sr’ het oog hadden op lid 1 (hacken) of lid 2
(vervolgdelicten, zoals het overnemen/kopiëren van gegevens).
15 Valsheid in geschrifte hebben we niet hiertoe gerekend, omdat dit delict ook kan plaatsvinden
zonder winstoogmerk.

Hacken
Samengevat
We zochten in de hackendossiers op drie manieren naar dwarsverbanden tussen
hacken en andere delicten:
1. we keken onder welke titel of beschrijving politiemensen het dossier registreerden;
2. we bestuurden de inhoud van de dossiers;
3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde.
Alles bijeengenomen toont hacken een verband met, in die volgorde:
– kopiëren, vernielen of aftappen van gegevens, ofwel cybercrime in enge
zin (art. 138a lid 2, 350a, 350b en 139c Sr);
– vermogenscriminaliteit (oplichting, fraude, diefstal, afpersing, verduistering);
– interpersoonlijke conflicten (smaad, bedreiging, belediging, aanranding,
stalking).
De artikelen 161sexies en 161septies Sr (resp. figuur 2.2 en 2.3) spelen in de
analyse geen rol. Die artikelen betreffen het verstoren van ‘ICT ten algemene
nutte’ of het verstoren van openbare telecommunicatie, en het veroorzaken
van maatschappelijk gevaar. De hackenzaken die we in de dossiers aantroffen,
hebben kennelijk niet een directe uitwerking op de samenleving in
bredere zin, maar zijn kennelijk gericht op het behalen van een persoonlijk
voordeel (vermogenscriminaliteit) of op het beslechten van een persoonlijk
conflict. Met andere woorden: hacken is niet gericht op maatschappelijke
ontwrichting of algemene gevaarzetting, maar op de verwezenlijking van
individuele belangen. Het gaat veelal om redelijk alledaagse zaken, waarbij
schijnbaar alledaagse mensen elkaar dwars zitten. Over die mensen gaan de
volgende paragrafen.
2.5 Daderkenmerken uit de literatuur
De daderkenmerken van hackers beschrijven we in deze paragraaf aan de
hand van de literatuur, met name de recente en uitgebreide studie naar daderkenmerken
van Van der Hulst en Neve (2008). In paragraaf 2.6 behandelen
we vervolgens de resultaten uit onze dossieranalyse en vergelijken we de resultaten
daaruit met de literatuur. We brengen hier in herinnering de kanttekeningen
die we in het eerste hoofdstuk plaatsten bij het opstellen van daderkenmerken
(par. 1.4 onder ‘beperkingen van de methoden’).
Uit de literatuurstudie van Van der Hulst en Neve (2008) blijkt dat er geen
algemeen profiel van ‘de’ hacker gegeven kan worden. Een hackpoging is
39

40 Verkenning cybercrime in Nederland 2009
blijkens de literatuur doorgaans eenvoudig, maar doordacht en het getuigt
van een hoge mate van technische onderlegdheid en expertise van de dader
(Van Geest, 2006; Van der Hulst & Neve, 2008). Als primaire motivatie worden
behoefte aan kennis en persoonlijke uitdaging genoemd, maar bijvoorbeeld
ook macht en financieel gewin (zie figuur 2.12). De ‘echte’ hackers waren van
oorsprong vooral gericht op het aantonen van veiligheidslekken in systemen
(old guard hackers). Hoe moeilijker de klus, hoe meer status men verwierf
wanneer men erin slaagde ‘binnen te komen’. Er bestaat een hackerscultuur
met eigen regels en gebruiken, een specifieke statushiërarchie, specifieke taal,
normen en symbolen (Turgeman-Goldschmidt, 2005). Binnen de hackersgemeenschap
delen de leden van de groep een sociale identiteit die volgens Jordan
en Taylor (1998) gebaseerd is op zes indicatoren (ook aangehaald door
Van der Werf, 2003 en Van der Hulst & Neve, 2008):
– plezier in technologie en het onverwachte, innovatieve gebruik ervan;
– een spanningsveld tussen geheimhouding (uit handen blijven van de opsporing)
en publiciteit (informatie delen om erkenning te krijgen);
– anonimiteit (de werkelijke ‘offline’ identiteit wordt verborgen gehouden);
– fluïditeit (een informele cultuur waar men soms wel en soms niet bij
hoort);
– masculiene en vrouwonvriendelijke attitudes;
– voortdurende expliciete reflectie op de motivatie van het hacken (verslavende
werking, nieuwsgierigheid, sensatie, macht, erkenning, en de
dienstverlenende functie van het ontdekken van gaten in de beveiliging).
We zagen in paragraaf 2.3 dat er in de literatuur meer soorten hackers worden
onderscheiden dan alleen deze old guard hackers. De studie van Van der
Hulst en Neve (2008) was speciaal gericht op het in kaart brengen van daderkenmerken,
voor zover bekend in de literatuur. Zij zien in de literatuur globaal
een drietal dadertypen:
1. De jeugdige crimineel. Hackers zijn volgens enkele onderzoeken man en tussen
de 12 en 28 jaar (Turgeman-Goldschmidt, 2005; Yar, 2005b). Yar (2005b)
spreekt daarom over hacken als een vorm van jeugdcriminaliteit. Turgeman-Goldschmidt
(2005) concludeerde op basis van 54 ongestructureerde
diepte-interviews met hackers dat de lol, sensatie en uitdaging vaak het
motief is. Van der Werf (2003) vindt in haar onderzoek hackers die vergeleken
kunnen worden met vandalistische jongeren ‘… die in de fysieke
wereld bushokjes slopen of rotzooi trappen op het schoolplein’ (Van der
Werf, 2003, p. 8).
2. De ideologische hacker. De meeste hackers zijn intelligente mensen met een
expliciete behoefte aan kennisverrijking (Casey, 2002). De voorlopige onderzoeksbevindingen
uit het lopende Hacker’s Profiling Project (Biancuzzi,

Hacken
2006; Chiesa & Ducci, 2006, in Van der Hulst & Neve, 2008) beschrijven
hackers als intelligente mensen met een expliciete behoefte aan kennis,
persoonlijke uitdaging en macht en een sterk gevoel voor burgervrijheid.
3. De financieel gemotiveerde hacker. Hackers zijn volgens Van der Hulst en
Neve (2008) in toenemende mate financieel gemotiveerd en hun daden zijn
gerelateerd aan andere verschijningsvormen van cybercrime.
Het zijn summiere typeringen. De drie dadertypen die Van der Hulst en Neve
beschrijven, doen denken aan wat we aan het slot van paragraaf 2.3 noemden
de beginnelingen en rotzooitrappers, hackers oude stijl en de criminelen. Figuur
2.13 bevat de daderkenmerken van hackers, zoals Van der Hulst en Neve
die weergeven op basis van hun literatuurstudie, volgens de in hun publicatie
gehanteerde systematiek.
Figuur 2.13 Daderkenmerken hackers (naar Van der Hulst & Neve, 2008)
Sociaal-demografische kenmerken: Variabel.
(Technische) kennis en vaardigheden: Variabel.
Primaire motivatie: Als een manier van leven (lol, sensatie, uitdaging). Behoefte aan
kennis en persoonlijke uitdaging. Macht (aandacht voor politieke/sociale problemen).
Indruk maken op vrienden. Financieel gewin.
Sociaal-psychologisch profiel: Intelligent, creatief en vastbesloten. Sterk gevoel voor
burgervrijheid.
Criminele carrière: Onbekend.
In hun inventarisatie van literatuur op het gebied van cybercrime hebben Van
der Hulst en Neve de daderkenmerken zoals beschreven door Rogers (2000,
2001, 2006), Casey (2002), Furnell (2002), Morris (2004) en Nykodym e.a. (2005)
ondergebracht bij de verschillende typen hackers die door Rogers worden onderscheiden.
Volgens Van der Hulst en Neve is deze indeling op dit moment
‘de meest uitgebreide categorisatie van hackers waarin uiteenlopende inzichten
over hackers zijn geïntegreerd’ (2008, p. 108). In figuur 2.14 staat daarvan
een beknopt overzicht.
41

42 Verkenning cybercrime in Nederland 2009
Figuur 2.14 Daderkenmerken van de negen door Rogers onderscheiden categorieën
hackers (Van der Hulst & Neve, 2008)
Sociale demografie
NV CP IT PT OG VW PC IW PA
Leeftijd 12-30 X X X
Leeftijd 30+ X X
Middenklassenfamilie X
Slechte schoolprestaties X
Goed opgeleid X X X
Ontevreden (ex-)werknemer X
Technisch beroep X X
Primaire motivatie
Sensatie (media-aandacht) X X X
Status (zichzelf bewijzen) X X X
Financieel gewin X X X X X X
Wraak X X X X X X
Kwaadaardigheid/vandalisme X X X X
Macht X X
(Intellectuele) uitdaging X X X X X
Nieuwsgierigheid X
Nationalistisch X
(Politiek-)ideologisch X X X
Criminele carrière
Crimineel verleden X X
Georganiseerde misdaad X
Verschijningsvorm cybercrime
DDoS-aanvallen X
Malware/Trojaanse paarden X X
Spamming X
Defacing X
(Identiteits)fraude X X X
Bedrijfsinformatiesystemen X
Creditcardfraude X
Spionage X X X
NV = Novice, CP = Cyberpunks, IT = Internal, PT = Petty thiefs, OG = Old guard hacker, VW =
Virus writers, PC = Professional criminal, IW = Information warrior, PA = Political activist

Hacken
Zo’n indeling kan de suggestie wekken dat kenmerken vrij precies zijn te verbinden
met bepaalde typen hackers. Zoals Van der Hulst en Neve zelf ook
aangeven, is dat natuurlijk geenszins het geval. Zoals we zagen in paragraaf
2.3 is de indeling in de negen groepen van Rogers al arbitrair. Het exact van
elkaar onderscheiden van de groepen door het toekennen van een unieke set
kenmerken aan iedere groep, is een nog hachelijker kwestie. Eerder zouden
we ons zo’n schema van groepen en kenmerken moeten voorstellen als een
vlekkenkaart die accenten markeert. Dat is in zekere zin de benadering die
Rogers zelf ook (2006) kiest. Hij vertrekt vanuit vier primaire motieven van
hackers:
1. wraak: gericht op personen, organisaties, landen en werelddelen;
2. financieel gewin: hebzucht en persoonlijk financieel gewin;
3. nieuwsgierigheid: kennis, sensatie, intellectuele uitdaging;
4. roem: media-aandacht, opschepperij, volksheld.
Deze motieven kunnen, aldus Rogers, worden gekoppeld aan de mate van expertise
van elke categorie. De novices of newbies (NV) hebben een lage expertise
en handelen uit nieuwsgierigheid, wraak, roem of financieel gewin. De
cyberpunks (CP) hebben een redelijke expertise en zijn voornamelijk uit op
roem. Internals (IT) hebben een redelijk hoge expertise en zijn uit op wraak
en in mindere mate financieel gewin. De petty thiefs (PT) hebben ook een
redelijk hoge expertise, maar zijn alleen uit op financieel gewin. Old guard
hackers (OG) hebben een hoge expertise en handelen vooral uit nieuwsgierigheid.
Virus writers of coders (VW) hebben ook een hoge expertise, maar
handelen naast de nieuwsgierigheid toch voornamelijk uit wraak. Professional
criminals (PC) hebben een hoge mate van expertise en zijn uit op financieel
gewin. Ze staan recht tegenover de old guard hackers, die ook een hoge
mate van expertise hebben, maar totaal niet uit zijn op financieel gewin. Ook
information warriors (IW) hebben een hoge mate van expertise, maar zij hebben
als belangrijkste motieven financieel gewin en wraak. De political activists
(PA) hebben eveneens een hoge expertise, maar voor hen geldt roem als
hoofdmotief en in mindere mate financieel gewin.
Rogers (2006) heeft deze kenmerken in een circumplex gezet (figuur 2.15).
Door een gebrek aan datamateriaal is het model van Rogers echter hypothetisch
en is een nadere empirische toetsing en ontwikkeling vereist (Van der
Hulst & Neve, 2008). Het circumplex is verdeeld in vier parten: de primaire
motieven. De mate van technische expertise is af te lezen van de assen, hoe
verder naar buiten, hoe hoger de expertise. Het circumplex laat zien hoe de
verschillende categorieën van hackers zich ten opzichte van elkaar verhouden.
Het is bijvoorbeeld duidelijk te zien dat old guard hackers (OG) en de
professional criminals (PC) lijnrecht tegenover elkaar staan, terwijl de petty
43

44 Verkenning cybercrime in Nederland 2009
Figuur 2.15 Het hacker-circumplex van Rogers (2006)
VW
Expertise
Expertise NV
Expertise
OG
Wraak
IT
Nieuwsgierigheid
Expertise
Financieel
Roem PA
thiefs (PT) weer dichter bij de professional criminals (PC) staan. Volgens Rogers
(2006) vormt het circumplex een basisinstrument voor het in kaart brengen
van daderprofielen. Op grond van verschuivingen in motivatie en vaardigheden
zijn volgens Rogers ook criminele carrières van hackers in kaart te
brengen via het circumplex.
Zoals we eerder in de methodische verantwoording van dit onderzoek
schetsten, is er nog weinig wetenschappelijk onderzoek gedaan naar de
grondslagen van gedragsmatige daderprofileringen. Het opstellen van daderprofielen
die gebaseerd zijn op weinig empirisch materiaal is dus een ronduit
hachelijke onderneming. Onze bevinding dat hacken sterk verweven is met
allerlei andere delicten, roept ook nog eens de vraag op wanneer we moeten
spreken van een hacker. Is bijvoorbeeld een hacker die iemand bedreigt een
hacker – met dus een hackersprofiel – of is het een geweldpleger die hackt (en
dus een persoon met een door andere criminologen voor geweldplegers ontwikkeld
daderprofiel). Dergelijke kwesties benadrukken nog eens hoe dun
het ijs is waarop daderprofilering hier is gebaseerd.
Wellicht een benadering met betere kansen voor de rechtshandhaving is
om niet ‘soorten hackers’, maar ‘soorten hacks’ in de analyse centraal te stellen.
De kans dat men een bepaalde daad eenduidig kan classificeren, lijkt
groter dan de kans dat men een hacker kan classificeren als een persoon die
IW
PT
CP
PC

Hacken
uitsluitend een bepaalde soort hacks uitvoert. Vertrekken vanuit de daad sluit
aan bij de gangbare denk- en werkwijze van politie en justitie: het vertrekpunt
is immers steeds een daad (aangifte) en de vraag is vervolgens wie voor die
daad als verdachte in aanmerking komt.
2.6 Verdachtenkenmerken uit de dossierstudie
In deze paragraaf laten we zien wat voor kenmerken de verdachten hebben
die wij aantroffen in de hackendossiers. Aan bod komen de modus operandi,
persoonskenmerken, sociale achtergrond en antecedenten van de verdachten
van hacken.
De modus operandi
Om iets te zeggen over de modus operandi bij hacken, hebben we:
1. een analyse gemaakt van de MO zoals die door politiemedewerkers in het
politiedossier is vastgelegd;
2. gekeken naar gebruikte criminele technieken en voorbereidingshandelingen
die in het dossier worden genoemd;
3. vastgesteld vanuit welk land de verdachte(n) opereerde(n);
4. vastgesteld hoeveel al dan niet samenwerkende verdachten in het dossier
staan vermeld.
Ad 1 Modus operandi
De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen
kunnen bij het registreren van een delict één of meer MO’s kiezen uit
een vaste lijst. Die lijst verschilt enigszins per basisprocessensysteem. Daarnaast
kunnen politiemensen zelf een MO invoeren. Tabel 2.4 bevat het resultaat
van de analyse. Verschillende keren (twintigmaal) staat bij de MO in het
dossier ‘onbekend’ en ook diverse keren (tienmaal) is er niets ingevuld. In 109
dossiers hebben politiemensen wel iets ingevuld over de MO. Daarover gaat
deze analyse.
In 99 dossiers uit BPS staat een beschrijving van de MO. De meest voorkomende
beschrijvingen zijn ‘computer’ en ‘hacken’ (tabel 2.4). Veelal staat er
‘hacken (inbreken op computer)’ of ‘computer’ in combinatie met een type woning,
bijvoorbeeld ‘tussenwoning’, ‘bejaardenwoning’ of ‘woning hoek’. Het
is niet eenvoudig in te zien waarom kennis omtrent het type woning waar de
gehackte computer staat, zou helpen bij het vinden van de dader. (Dat is immers
de gedachte achter het registreren van de MO: dat het de politie helpt om
een nieuwe misdaad te koppelen aan een bij de politie reeds bekende dader
waarvan zij weet dat die dader vooral een/die bepaalde MO gebruikt.) Ver-
45

46 Verkenning cybercrime in Nederland 2009
moedelijk vullen politiemensen bij hackendossiers het type woning in, omdat
ze nu eenmaal gewend zijn dat in te vullen bij woninginbraken.
Tabel 2.4 MO-beschrijvingen in 109 hackendossiers 16
MO-beschrijving n %*
In BPS (N=99)
Computer 97 98,0
Hacken 97 98,0
Woning 42 42,4
Vervalsen 6 6,1
Bedreigen 2 2,0
Inbreken 65 65,7
In XPOL (N=10)
Computer 5 50,0
Hacken 1 10,0
Vervalsen 3 30,0
Bedreigen 2 20,0
In GENESYS (N=0)
TOTAAL (n=109)
Computer 102 93,6
Hacken 98 89,9
Woning 42 38,5
Vervalsen 9 8,3
Bedreigen 4 3,9
Inbreken 65 63,7
* Het totaal is niet gelijk aan 100, omdat in een dossier meerdere MO’s kunnen zijn geregistreerd.
Daarnaast hebben we MO-beschrijvingen die niet vaak voorkomen, niet in de tabel opgenomen;
zie ook de methodische verantwoording in hoofdstuk 1.
MO’s die veel voorkomen in de hackendossiers zijn: computer, hacken, inbreken
en woning. Ook vervalsen komt enkele keren voor. Onduidelijk is overigens
of de politiemensen daarmee doelen op de manier waarop de hack is gepleegd
(hacken door iets te vervalsen) of op het resultaat van de hack (hacken
om iets te vervalsen, bijvoorbeeld voor een fraude). Alles met elkaar leert deze
analyse ons niets over de werkwijze van hackers.
16 Per dossier zijn meerdere MO’s mogelijk.

Hacken
Ad 2 Criminele technieken
Bij de nadere inhoudelijke analyse legden we vast of het dossier informatie
bevatte over het gebruik van criminele technieken. 17 We beperken ons hier
tot de in bijlage 1 tot en met 9 opgenomen criminele technieken. Er doen zich
nu drie situaties voor: het dossier bevat geen informatie daarover, het dossier
toont dat een criminele techniek is gebruikt, maar onduidelijk is welke, of uit
het dossier is op te maken welke criminele techniek is gebruikt.
In 86 van de 139 dossiers vonden we informatie over het gebruik van criminele
technieken. In de overige 53 dossiers konden we niet vaststellen of er
technieken zijn gebruikt. Van 60 van de 86 dossiers waarin informatie over
het gebruik van criminele technieken stond, weten we wel dat een criminele
techniek is gebruikt, maar we vonden geen informatie over welke dat precies
was (de gebruikersnaam en het wachtwoord van het slachtoffer werden bijvoorbeeld
gebruikt om in een computer in te breken, maar onbekend bleef op
welke manier deze inloggegevens verkregen zijn, bijvoorbeeld door social engineering,
een keylogger of phishing). Van 26 dossiers weten we welke techniek
in die zaak gebruikt is. In totaal troffen we in die 26 dossiers 39 technieken
aan. Tabel 2.5 toont een overzicht van de 26 dossiers met informatie over
het gebruik van criminele technieken.
Tabel 2.5 Criminele technieken in 26 hackendossiers 18
Criminele techniek Aantal % van 26
Defacing (bijlage 5) 16 61,5
Keylogger (bijlage 8) 6 23,1
Phishing (bijlage 9) 5 19,2
Spoofing (bijlage 2) 4 15,4
Social engineering (bijlage 1) 2 8,3
DDoS (bijlage 4) 2 8,3
Botnets (bijlage 3) 2 8,3
I-frame injection (bijlage 6) 1 3,8
Spyware (bijlage 8) 1 3,8
Totaal 26 *
* Het totaal is niet gelijk aan 100, omdat in een dossier meerdere technieken kunnen zijn ver-
meld.
17 Bijlagen 1 tot en met 9 bevatten een overzicht van criminele technieken.
18 Per dossier kunnen meerdere criminele technieken gebruikt worden.
47

48 Verkenning cybercrime in Nederland 2009
De namen van de criminele technieken kwamen meestal niet letterlijk in het
dossier voor. Uit de beschrijving in het dossier leidden we dan af van wat voor
techniek sprake was. De meeste van de technieken die we in de literatuur
tegenkwamen, zien we langs deze weg in de praktijk terug. Alleen bijlage 7
(Cross-site scripting) komt niet terug in de dossiers.
De meest gebruikte techniek is defacing (veranderen van een website). Defacen
is een strafbare daad die volgt na de hack. In de literatuur zagen we dat
defacen als techniek niet meer in zwang zou zijn, omdat hacken tegenwoordig
niet is gericht op het veranderen van een website om vervolgens op te scheppen
over de hack (par. 2.9). Hackers zouden hun inbraak juist geheim houden
om vervolgens bijvoorbeeld onopgemerkt een botnet te vormen of een vermogensdelict
te plegen. In de zaken waarmee de politie wordt geconfronteerd,
speelt defacing wel een belangrijke rol. Een verklaring hiervoor kan zijn, dat
de defacing in de meeste dossiers betrekking had op het wijzigen van pagina’s
op sociale netwerksite zoals hyves. Doel van de defacing is dan niet opscheppen
over de hack of financieel gewin, maar ligt in de relationele sfeer (bijv. het
plaatsen van smadelijke teksten door een ex-partner). Een andere verklaring
zou kunnen zijn, dat slachtoffers vaak pas na een defacing merken dat hun
computer is gehackt. De defacing is zo gezien een factor die mede bepaalt dat
de zaak in de politiedossiers terechtkomt. Ook kan het zijn dat defacing werkelijk
vaker voorkomt dan experts in de literatuur doen vermoeden, omdat de
experts vooral hun aandacht richten op de technisch gezien ingewikkelder
zaken die door een leek niet worden opgemerkt. Daarbij kan een rol spelen
dat het voor beveiligingsexperts uit bedrijfsvoeringsoogpunt aantrekkelijker
is om te zeggen dat je als gebruiker niet merkt dat je computer is gehackt, dan
om te zeggen dat je een hack meestal wel opmerkt. Dit lijkt ons een punt voor
nader onderzoek.
Een andere bevinding die niet strookt met hetgeen we vaak horen van beveiligingsexperts
is de geringe prevalentie van social engineering. Een bekende
wijsheid in informatiebeveiliging luidt dat de mens de zwakste schakel is
in de beveiliging. Wij zien dat in tabel 2.5 niet terug. Mogelijk schamen slachtoffers
zich ervoor dat zij in een social engineering-opzetje zijn getrapt en doen
zij geheel geen aangifte of vermelden zij hun ‘dommigheid’ niet, of mogelijk
zijn slachtoffers van social engineering zich er niet van bewust dat zij informatie
aan een verkeerde persoon hebben afgegeven. Vanuit het oogpunt van
informatiebeveiliging is dit een punt dat nader onderzoek verdient.

Hacken
Casus 2.5 Defacing website
‘Ik doe aangifte van het opzettelijk en wederrechtelijk verwijderen en aanpassen
van gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, worden
verwerkt of overgedragen. Ik ben van beroep consultant en daarbij maak ik
gebruik van een eigen internetsite. Op [datum] heeft een onbekend persoon mijn
internetsite gehackt en daarbij gegevens veranderd en verwijderd. Dit heeft twee
dagen geduurd waarna de onbekende al mijn gegevens heeft verwijderd.’
‘Dit heeft geleid tot imagoschade en financiële schade. Ik heb namelijk mijn internetsite
moeten laten repareren. Omdat er nu op mijn site te lezen is dat ik gehackt
ben, heb ik schade geleden omdat ik daardoor een inkomstenderving heb
geleden.’
Casus 2.6 Hacken, DDoS-aanval en cyberafpersen
‘Ik doe hierbij aangifte van hacking, oftewel computervredebreuk. Onbevoegden
zijn namelijk via een telecommunicatieverbinding in mijn website binnengedrongen.
Er worden kennelijk signalen naar het geautomatiseerde werk verzonden
waardoor de server het niet meer aankan en de sites ontoegankelijk worden voor
de gebruikers.’
‘In ben werkzaam bij [bedrijf]. Dit bedrijf is aangesloten op een server. Deze server
is gedurende de laatste 5 à 6 maanden meerdere malen aangevallen door de
dader en hierdoor is er schade aangebracht aan het bedrijf. Sinds [datum] worden
er dagelijks aanvallen uitgevoerd en daardoor zijn de genoemde sites gedurende
meerdere uren en soms dagen niet meer bereikbaar. Hierdoor is er inmiddels een
geschatte schadepost van 40.000 dollar. Deze schade komt voort uit het feit dat er
diverse bedrijven welke adverteren op onze sites hun contracten hebben opgezegd
doordat onze sites niet meer toegankelijk zijn. En door het feit dat klanten geen
muziek konden downloaden en geen spullen konden kopen.’
‘Tijdens de aanvallen zijn er bestanden vernield en had de dader toegang tot privacygevoelige
gegevens, vertrouwelijke gegevens en bedrijfsgeheimen. Ik ben in
oktober/november 2007 door de vermoedelijke dader een aantal malen gebeld.
[VE] heeft hij mij verteld dat hij ervoor zou zorgen dat de sites gedownd zouden
worden. Hij wilde geld van mij zien en ook heeft hij aangegeven dat hij een positie
wilde in de chatroom. Hij vertelde erbij dat hij dit deed in opdracht van anderen en
hij hier zelf geld voor kreeg.’
49

50 Verkenning cybercrime in Nederland 2009
In casus 2.5 en 2.6 is te zien hoe daders criminele technieken inzetten. In deze
gevallen zien we ook dat er sprake is van voorbereiding. Een verdachte moet
zich immers eerst oriënteren op een slachtoffer, moet zwakke plekken in de
beveiliging van bijvoorbeeld een website vinden en moet geschikte software
zoeken of maken om de criminele techniek uit te kunnen voeren. In 28 dossiers
was sprake van voorbereidingshandelingen door de verdachte. Voorbereidingshandelingen
om te kunnen hacken zijn bijvoorbeeld het schrijven
of downloaden van een programma dat misbruik maakt van zwaktes in een
computersysteem of het verzamelen van zo veel mogelijk gegevens over een
slachtoffer om zo achter zijn of haar wachtwoorden te komen (zie casus 2.7). In
de overige dossiers vonden we geen informatie die wees op voorbereidingshandelingen.
Dat wil natuurlijk niet zeggen dat de verdachte geen voorbereidingshandelingen
heeft getroffen.
Casus 2.7 Voorbereidingshandeling: hacken en het plaatsen van een phishing website
‘Op [datum] bleek, toen onze werknemers wilden inloggen, dat dit niet mogelijk
was. Nadat wij contact hadden gezocht met onze ICT-verlener bleek dat de internetverbinding
van onze server met het net verbroken had, daar er was geconstateerd
dat er een zogenaamde “phishing website” op onze server geïnstalleerd was. Het
bleek, dat middels een wachtwoordzoeker via het internet toegang was verkregen
tot onze server. Het bleek, dat onze vorige ICT-verlener een systeembeheerder met
de inlog en wachtwoord “backup” had aangemaakt. Door onbekenden was vervolgens
een “phishing website” van de [naam] bank in Madrid geïnstalleerd.’
Hacken moet altijd worden voorbereid, maar hacken is in de meeste dossiers
op zichzelf ook weer een voorbereiding om andere criminaliteit te plegen. Zo
wordt van een aantal slachtoffers de e-mail gekraakt om toegang te krijgen tot
persoonlijke informatie. Deze informatie werd gebruikt om (te dreigen met)
het openbaar maken van smadelijke informatie over het slachtoffer (zie casus
2.3). Of de informatie werd gebruikt voor een volgende stap: het hacken van
een account op een verkoopwebsite. Via het gekraakte account kan de verdachte
dan weer spullen verkopen. In andere gevallen heeft de verdachte op
ongeautoriseerde wijze toegang verkregen tot een website en op die manier
persoonsgegevens van gebruikers verkregen. In twee dossiers maakte de hacker
zelf een programma om in te breken op een computer, in de andere zaken
is het onduidelijk wat de computervaardigheden van de criminelen zijn.

Hacken
Kortom, de inhoudelijke analyse levert aanzienlijk meer informatie over de
MO op dan de analyse over de voorgestructureerde MO-tabellen. In de dossiers
waarin we weten welke criminele techniek gebruikt is (18,7%), gebruiken
verdachten een grote verscheidenheid aan criminele technieken, vooral
defacing zagen we vaak (61,5%) – een activiteit die volgt op een hack. Deze bevinding
is opmerkelijk, omdat de literatuur vermeldt dat hackers tegenwoordig
juist niet bekend willen maken dat zij een computer hebben gehackt, om
vervolgens de gehackte computer te kunnen misbruiken. Wellicht komen we
dergelijke zaken weinig in de politiedossiers tegen, omdat het slachtoffer dan
niet weet dat zijn of haar computer is gehackt. Social engineering kwam weinig
voor. Weinig, als we in aanmerking nemen dat beveiligingsexperts geregeld
zeggen dat de mens de zwakste schakel is. Een vervolg op deze VCN2009
zou kunnen zijn een verdieping in het gebruik van criminele technieken,
mede middels zaakreconstructies via slachtoffer- en daderinterviews.
Ad 3 Land
We zochten ook naar informatie over vanuit welk land de dader opereerde.
In 60 gevallen bevatte het dossier informatie daarover. In 46 van die gevallen
(76,7%) opereerde de dader vanuit Nederland, in de overige 14 vanuit een
ander land (23,3%). Het gaat dan om andere EU-landen, te weten Polen (twee
maal), Duitsland, Frankrijk, Engeland en Spanje, maar vermoedelijk zijn ook
delicten gepleegd vanuit Amerika (tweemaal), China, Rusland en Turkije.
Hoewel dus de meeste daders opereren vanuit Nederland, wordt ook bijna
een kwart van deze criminaliteit gepleegd van over de grens. We hebben
daarover hier geen cijfers paraat, maar zeer waarschijnlijk krijgt de politie bij
offlinecriminaliteit in veel minder dan 23,3% van de zaken te maken met een
vanuit het buitenland opererende dader. Als de politie willekeurig hacken-
zaken in behandeling neemt, leidt bijna een kwart van de zaken tot opsporingsactiviteiten
tot over de grens. De vraag dringt zich op of de politie daarop
berekend is.
Ad 4 Aantal samenwerkende verdachten
We keken ook naar hoeveel verdachten er in een dossier voorkwamen. In 74
dossiers troffen we geen verdachte aan. Van 65 dossiers weten we het aantal
verdachten, in totaal noteerden we 80 verdachten, als volgt over de dossiers
verdeeld:
– in 54 dossiers 1 verdachte (83,1%);
– in 9 dossiers 2 verdachten (13,8%);
– in 1 dossier 3 verdachten (1,5%);
– in 1 dossier 5 verdachten (1,5%).
51

52 Verkenning cybercrime in Nederland 2009
In drie dossiers (4,6%) zijn verdachten onderdeel van een criminele groep, hetgeen
wil zeggen dat ze elkaar kennen en samenwerken; in 2 dossiers (3,1%) is
er sprake van georganiseerde criminaliteit. Het ging in die gevallen om grote
fraudezaken waarbij de politie vermoedde dat die door georganiseerde groepen
vanuit Rusland werden gepleegd. Hacken is dus blijkens onze dossierstudie
vooral een delict dat wordt gepleegd buiten criminele georganiseerde
verbanden.
Over de MO’s weten we nu dat daders van hacken een verscheidenheid aan
criminele technieken inzetten, dat defacing veel voorkomt en social engineering
weinig, in beide gevallen is dat in afwijking van wat we weten uit de literatuur
en van beveiligingsexperts. Het gebruik van criminele technieken
is derhalve een punt voor nader onderzoek, bij voorkeur met gebruik van
slachtoffer- en daderinterviews. Voor de politie is dat relevant, omdat kennis
omtrent gebruikte MO’s kan helpen in de opsporing. In de overgrote meerderheid
van de zaken (83,1%) is sprake van slechts één verdachte. In twee dossiers
(6,7%) was sprake van georganiseerde criminaliteit, waarbij de hackers
uit waren op fraude en opereerden vanuit Rusland. Ook in diverse andere
gevallen opereerden daders vanuit het buitenland, in totaal in bijna een kwart
van de zaken (23,3%).
Omdat we ons baseren op politiedossiers, is nog maar de vraag in hoeverre
de vorige alinea de werkelijkheid correct weergeeft. Wel kunnen we concluderen
dat voor zover de politie te maken krijgt met hacken, zij wordt geconfronteerd
met een verscheidenheid aan criminele technieken en met een relatief
groot aantal zaken die worden gepleegd vanuit het buitenland. Dat maakt
politiewerk complex en roept de vraag op in welke mate de politie in staat is
het werkaanbod succesvol in behandeling te nemen. Teneinde zicht te krijgen
op hindernissen in het werk van politie en justitie, zou onderzoek gedaan
dienen te worden naar hoeveel hackenzaken uiteindelijk door het Openbaar
Ministerie voor de rechter worden gebracht en met welk resultaat.
Persoonskenmerken
Van de 80 verdachten weten we van 51 het geboorteland. Van hen zijn er 45 in
Nederland geboren (88,2%) en 6 daarbuiten (tabel 2.5). De verdachten die niet
in Nederland geboren zijn, zijn afkomstig uit Duitsland, België, Engeland,
Rusland, Joegoslavië en Marokko (2).

Hacken
Tabel 2.6 Geboorteland van 51 verdachten
Geboorteland n %
Nederland 45 88,2
Ander Europees land 4 7,8
Buiten Europa 2 3,9
Totaal 51 99,9
Van 63 verdachten weten we geslacht (tabel 2.7). Het gaat om 50 mannen en 13
vrouwen (resp. 79,4% en 20,%). Het percentage mannen onder hackenverdachten
wijkt niet significant af van het overeenkomstige percentage voor Nederlandse
verdachten. Wel is het percentage mannen onder hackenverdachten
groter dan het overeenkomstige percentage voor de Nederlandse bevolking
(p

54 Verkenning cybercrime in Nederland 2009
Tabel 2.8 Leeftijdsopbouw van 47 verdachten hacken, vergeleken met Nederlandse
verdachten en de Nederlandse bevolking
Verdachten hacken Nederlandse
Nederlandse
verdachten#
bevolking##
Leeftijdscategorie n % n % n %
12-17 jaar 10 * 21,3 35.161 * 14,4 1.204.964 8,6
18-24 jaar 10 * 21,3 59.990 * 24,6 1.358.686 9,7
25-34 jaar 8 17,0 53.137 * 21,8 2.057.625 14,7
35-44 jaar 12 25,5 48.045 * 19,7 2.605.300 18,6
45-54 jaar 5 10,6 28.595 * 11,7 2.367.997 16,9
55-65 jaar 2 4,3 13.214 * 5,4 2.035.580 14,5
65 jaar en ouder 0 * 0,0 5.527 * 2,3 2.368.352 16,9
Totaal 47 100,0 243.669 99,9 13.998.504 99,9
# Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008).
## Bron: www.cbs.nl, peiljaar 2007.
* Significant verschil met Nederlandse bevolking (p

Hacken
In totaal hebben 14 van deze 45 verdachten (31,1%) een of meer antecedenten
in een hoofdgroep (tabel 2.9). Elke vermelding in een hoofdgroep kan
weer meerdere antecedenten inhouden. De vermeldingen zijn verspreid over
de verschillende hoofdgroepen. De meeste vermeldingen vallen onder de
hoofdgroepen ‘geweld tegen personen’ en ‘vernieling openbare orde’. Andere
hoofdgroepen waarin relatief veel antecedenten voorkomen, zijn ‘vermogen
zonder geweld’ en ‘verkeer’ (tabel 2.9).
Dat zijn de hoofdgroepen waar ook alle Nederlanders met antecedenten
het meest frequent scoren. Op grond van deze indeling en deze cijfers kunnen
we concluderen dat hackers geen ander antecedentenprofiel hebben dan de
gemiddelde Nederlander, maar dat zij wel significant meer antecedenten hebben,
bij alle hoofdgroepen, behalve voor vermogensdelicten met geweld.
Tabel 2.9 Antecedenten van 45 verdachten van hacken en van Nederlanders van 12
jaar en ouder (n=14 mlj.): vermeldingen per hoofdgroep 21
Hoofdgroep Verdachten hacken Nederlanders 12+ 21
n % van 45 n % van 13.998.504
Gewelddadig seksueel 1 * 2,2 1.896 0,014
Overig seksueel 1 * 2,2 2.400 0,017
Geweld tegen personen 8 * 17,8 64.914 0,464
Vermogen met geweld 0 0,0 6.622 0,047
Vermogen zonder geweld 6 * 13,3 67.689 0,484
Vernieling/openbare orde 8 * 17,8 49.379 0,353
Verkeer 5 * 11,1 62.756 0,448
Drugs 2 * 4,4 19.132 0,137
Overige 3 * 6,7 23.811 1,170
Eén of meer van bovenstaan -
de hoofdgroepen
* Significant verschil met ‘Nederlanders 12+’ (p

56 Verkenning cybercrime in Nederland 2009
voor dat delict. Hoewel alle hackendossiers stammen uit 2007, weten we niet
zeker dat alle antecedenten verwijzen naar eerdere zaken dan de dossiers in
onze analyse. 22 Hoe dan ook, verreweg de meeste hackers hebben geen antecedenten
voor hacken. Als we ook nog in aanmerking nemen dat mogelijk
enkele van de gevonden antecedenten voor hacken betrekking hebben op de
dossiers in dit onderzoek en het dus niet om nog weer andere zaken gaat,
moeten we concluderen dat hackers zelden recidiveren voor hacken. Mogelijk
speelt daarbij een rol dat politie en justitie niet vaak met succes een zaak voor
de rechter brengen, maar daarover verschaft deze VCN2009 geen informatie.
De twee antecedenten voor oplichting weerspiegelen de eerder gevonden relatie
tussen hacken en vermogenscriminaliteit.
Tabel 2.10 Antecedenten van verdachten van hacken voor artikelen die (mogelijk)
verband houden met de cybercrimes in deze VCN2009
Aantal verdachten met antecedenten hacken 4
Aantal antecedenten voor artikel 138a Sr (computervredebreuk) 4
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 2
Aantal antecedenten voor artikel 326 Sr (oplichting) 2
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 0
Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno 0
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 0
Relatie verdachte-slachtoffer
Van 58 verdachten weten we de relatie met het slachtoffer (tabel 2.11). In de
meeste gevallen waren verdachte en slachtoffer geen onbekenden van elkaar
(86,2%). De relatie was veelal een zakelijke (32,8%), of verdachte en slachtoffer
waren ex-partners (24,1%) of kennissen (24,1%).
22 Zie ook par. 1.4, subparagraaf ‘opvragen van antecedenten’.

Hacken
Tabel 2.11 Relatie tussen 58 verdachten en hun slachtoffers
Relatie verdachte en slachtoffer n %
Familie 2 3,4
Partner 1 1,7
Ex-partner (getrouwd, langdurige relatie) 7 12,1
Ex-partner (verkering, kortstondige relatie) 7 12,1
Kennis 14 24,1
Zakelijk ((ex-)werknemer, zakenrelatie, klant) 12 20,7
Zakelijk (student) 7 12,1
Onbekende 8 13,8
Totaal 58 100,1
Van 33 verdachten hebben we op basis van de tekst in het dossier de primaire
motivatie kunnen vaststellen. Van 12 van hen was de motivatie wraak en van
10 nieuwsgierigheid. Andere motieven waren financieel gewin (4), status (3),
overige (3) 23 (zie casus 2.8) en aandacht (1).
Casus 2.8 Hacken in de relationele sfeer
‘Ik was getrouwd met VE1. Op [datum] ben ik officieel gescheiden van VE1. Na de
scheiding komt het proces van boedelscheiding en alimentatie toewijzing naar de
kinderen van mijn kant uit en van VE1. Vanaf [datum] is mij opgevallen dat er privé
gegevens van mij bekend waren bij VE1.’
‘Ik had een brief ontvangen van mijn buren met een belastende verklaring voor
de rechtbank. Deze [papieren] brief had ik persoonlijk ontvangen op een andere
locatie omdat ik geen argwaan wilde wekken. Op [datum] heb ik de brief gedigitaliseerd,
opgeslagen op mijn laptop en via een draadloos netwerk verstuurd naar
mijn advocaat. Op [datum] belden mijn buren mij op en vertelde dat VE1 verhaal
was komen halen over de verklaringen. Het ging om informatie afkomstig uit de
door mij verstuurde mail. Daarnaast zijn e-mails uit de mailbox van mij gewist en
had VE1 kennis van nog meer vertrouwelijke informatie over mij.
Ik vermoed dat mijn ex-partner mogelijk de toegang tot mijn laptop heeft verkregen,
mogelijk door een hacker. De reden dat mijn ex-partner dit zou doen of het
belang dat ze hierbij heeft is dat ze op deze wijze de rechtsgang zou kunnen manipuleren
door mijn belastende verklaringen of mailwisselingen door te spelen aan
SO’s (slachtoffers) advocaat.’
23 Het betrof tweemaal een rechtszaak van ex-partners (zie ook casus 2.8) en eenmaal stalking
door een verdachte die ‘geestelijk in de war was’.
57

58 Verkenning cybercrime in Nederland 2009
Uit de analyse van de relatie tussen de verdachte en het slachtoffer blijkt dat
verdachte en slachtoffer vaak bekenden zijn van elkaar, ofwel zakelijk ofwel
privé. De primaire motivatie ligt geregeld in de relationele sfeer. Bij 12 van
de 33 verdachten (36,4%) is wraak de motivatie tot het delict. We zien bijvoorbeeld
ex-geliefden of klasgenoten die elkaar zwartmaken door gevoelige informatie
openbaar te maken. In twee zaken ging het om een verdachte die de
ex-partner in de gaten wilde houden.
Conclusies
Uit de literatuur kunnen we opmaken dat het moeilijk is om een algemeen
daderprofiel van hackers op te stellen. Dit komt mede doordat verschillende
categorieën hackers worden onderscheiden, welke niet strikt van elkaar te
scheiden zijn. De persoonskenmerken en primaire motivatie kunnen, volgens
de literatuur, verschillen per subcategorie. Een hackpoging is blijkens de literatuur
doorgaans eenvoudig, maar doordacht en het getuigt van een hoge
mate van technische onderlegdheid en expertise van de dader (Van Geest,
2006; Van der Hulst & Neve, 2008). Als primaire motivatie worden behoefte
aan kennis, persoonlijke uitdaging, financieel gewin, wraak, nieuwsgierigheid
en roem genoemd (Van der Hulst & Neve, 2008; Rogers, 2001, 2006). Van
der Hulst en Neve (2008) onderscheiden drie dadertypen:
1. de jeugdige crimineel, waarbij hacking een vorm van jeugdcriminaliteit
is;
2. de ideologische hacker met een sterk gevoel voor burgervrijheid, hoge
mate van intelligentie en een expliciete behoefte aan kennis, persoonlijke
uitdaging en macht;
3. de financieel gemotiveerde hacker.
Uit de dossierstudie komt niet zozeer een beeld met verschillende, duidelijke
categorieën hackers naar voren. Op hoofdlijnen zien we dat hacken vooral een
zaak is van in Nederland geboren mannen onder de 45. Ze hebben doorgaans
geen antecedenten, ook niet voor hacken. Zij plegen hun delict zelden in georganiseerd
verband. Over de sociale achtergrond van de verdachte (woonsituatie,
opleiding, enz.) vonden we nauwelijks gegevens. Bijna een kwart van
de verdachten opereert vanuit het buitenland. Dat betekent voor de politie
een extra hindernis in de opsporing. Verder zagen we dat veel hackzaken in
de relationele sfeer liggen (bijv. ex-geliefden, jaloerse echtgenoten of schoolvrienden).
Verdachte en slachtoffer kennen elkaar meestal. Als primaire motivatie
kwamen we vooral tegen wraak, nieuwsgierigheid en financieel gewin.
Onduidelijk is of, zoals in de literatuur wordt beweerd, verdachten een
hoge mate van technische onderlegdheid hebben. Zeker is wel dat lang niet
alle verdachten technisch onderlegd zijn. Verdachten maken gebruik van ver-

Hacken
schillende criminele technieken, zoals defacing, keylogging, phishing en social
engineering. Botnets, DDoS-aanvallen, sniffing en spoofing kwamen we
zelden tegen. Daarnaast schrijven of downloaden verdachten programma’s
om mee te hacken en zoeken ze zo veel mogelijk gegevens van slachtoffers om
wachtwoorden te achterhalen.
Het repertoire aan hackerstechnieken klinkt imposant, maar wellicht is het
begrip ‘technisch onderlegd’ aan enige herwaardering toe. We zagen dat defacen
de meest gebruikte criminele techniek is. Bij een persoon die een computer
hackt en vervolgens een website defaced, moeten we niet, in elk geval niet
altijd, meteen denken aan een whizzkid die dankzij een hoge mate van technische
begaafdheid zijn hack kan verrichten en vervolgens de desbetreffende
website door een eigen ontwerp vervangt, maar moeten we bijvoorbeeld ook
denken aan iemand die stiekem inlogt op andermans account en dan daar
wat dingen wijzigt (zoals in een Hyvesprofiel). Hacken, zo volgt uit ons onderzoek,
is niet enkel het werk van hightech computeraars, maar ook van meer
alledaagse individuen. Deels heeft dat te maken met een verruiming van wetgeving
en dus met wat onder hacken is te verstaan. Sinds de invoering van
de Wet Computercriminaliteit II is het voor hacken niet langer noodzakelijk
dat een beveiliging wordt doorbroken of omzeild. Dat hacken alledaagser is
geworden, heeft vermoedelijk ook te maken met de mate waarin mensen in
onze samenleving vertrouwd zijn geraakt met de virtuele wereld. Voor jonge
mensen, opgegroeid met cyberspace, is het rommelen met andermans account
of profiel niet per se een technisch hoogstandje. We beargumenteren
hiermee niet dat hacken geen zaak meer is van gevorderde computeraars, ons
onderzoek wijst er echter wel op dat hacken tot op zekere hoogte is gedemocratiseerd;
het is geen exclusief domein meer van whizzkids, maar wordt ook
bedreven door mensen die niet zo technisch zijn onderlegd.
2.7 Slachtoffers van hacken
Inleiding
In de literatuur is nog weinig bekend over de slachtoffers van cybercrime. Het
in kaart brengen van slachtoffers was in deze VCN2009 geen hoofddoel, maar
de (summiere) gegevens die zijn verkregen uit de analyse van politiedossiers
willen we niet negeren; ook zij zeggen mogelijk iets over de werk- en denkwijze
van de verdachten.
In de 139 hackendossiers vonden we gegevens van 104 natuurlijke personen
(74,8%) en 35 bedrijven (25,2%) die aangifte deden. Per dossier is er per definitie
maar één slachtoffer. Indien een verdachte meerdere slachtoffers heeft
gemaakt, moet immers ieder slachtoffer aangifte doen.
59

60 Verkenning cybercrime in Nederland 2009
Over de 35 bedrijven hebben we weinig informatie. Van 30 bedrijven weten
we het vestigingsland. De meeste daarvan zijn in Nederland gevestigd (26,
dus 86,7%), twee bedrijven zijn zowel in Polen als in Nederland gevestigd.
Daarnaast bevat de analyse een bedrijf dat is gevestigd in Noorwegen en een
dat is gevestigd in Afghanistan. Verder weten we iets van de geschatte materiële
schade die bedrijven opliepen. Dat behandelen we met de materiële
schade van natuurlijke personen (tabel 2.14). De volgende analyse gaat verder
alleen over de 104 natuurlijke personen die slachtoffer zijn.
Persoonskenmerken slachtoffers
Van die 104 personen weten we van 96 het geboorteland. Van deze 96 zijn er
83 geboren in Nederland (86,5%) en 13 elders (13,5%). Die dertien zijn geboren
in Engeland (2), Frankrijk, Denemarken, Zwitserland, Bosnië Herzegovina,
Iran (2), Dominicaanse Republiek, Indonesië en Marokko.
Van 99 slachtoffers weten we het geslacht. Onder hen zijn 60 mannen (60,6%)
(tabel 2.12). Dat is een significant hoger percentage dan het percentage mannen
onder de Nederlandse bevolking (p

Hacken
Kortom, vergeleken met de leeftijdsopbouw van de Nederlandse bevolking
ligt niet alleen bij verdachten het accent op de jongere leeftijdsgroepen, ook bij
de slachtoffers is dat het geval.
Tabel 2.13 Leeftijdsopbouw van 98 slachtoffers hacken, vergeleken met verdachten
van hacken en de Nederlandse bevolking
Slachtoffers hacken Verdachten hacken Nederlandse bevolking#
Leeftijdscategorie n % n % n %
12-17 jaar 11 11,2 10 * 21,3 120.4964 8,6
18-24 jaar 22 * 22,4 10 * 21,3 1.358.686 9,7
25-34 jaar 22 22,4 8 17,0 2.057.625 14,7
35-44 jaar 22 22,4 12 25,5 2.605.300 18,6
45-54 jaar 12 12,2 5 10,6 2.367.997 16,9
55-65 jaar 8 8,2 2 4,3 2.035.580 14,5
65 jaar en ouder 1 * 1,0 0 * 0,0 2.368.352 16,9
Totaal 98 100,0 47 100,0 13.998.504 99,9
# Bron: www.cbs.nl, peiljaar 2007.
* Significant verschil met Nederlandse bevolking.
NB: Personen onder de 12 jaar hebben we niet meegenomen, omdat deze niet in HKS staan.
Sociale achtergrond
Op basis van de dossiers kunnen we niets zinvols zeggen over de sociale achtergrond
van de slachtoffers; hierover staat te weinig in de politiedossiers.
Ook is onbekend of het slachtoffer vaker slachtoffer was van cybercrime en
wat zijn of haar technische vaardigheden zijn.
Antecedenten
Van de 137 slachtoffers hebben er 28 (20,4%) één of meer vermeldingen in een
hoofdgroep, in totaal 52 vermeldingen. De vermeldingen vallen vooral binnen
de hoofdgroepen ‘geweld tegen personen’ en ‘vernieling openbare orde’.
Andere hoofdgroepen waarin relatief veel antecedenten voorkomen, zijn ‘vermogen
zonder geweld’ en ‘verkeer’ (tabel 2.14). Het patroon is vergelijkbaar
met dat van verdachten van hacken en met dat van de gemiddelde Nederlander.
Er zijn geen significante verschillen in percentages tussen slachtoffers
en verdachten. Wel zijn bij de meeste hoofdgroepen de percentages voor de
slachtoffers significant hoger dan de overeenkomstige percentages voor alle
Nederlanders van 12 jaar en ouder.
Slachtoffers van hacken komen dus qua antecedenten meer overeen met verdachten
van hacken dan met ‘de gemiddelde Nederlander’. Van de verdachten
61

62 Verkenning cybercrime in Nederland 2009
heeft 31,1% één of meer antecedenten, van de slachtoffers is dat 20,4%, en van
de Nederlandse bevolking van 12 jaar en ouder is dat 1,7%. Deze bevinding
leidt, enigszins populair uitgedrukt, tot de conclusie dat slachtoffers van hacken
een even crimineel verleden hebben als hun kwelgeesten. Een mogelijke
verklaring daarvoor is dat het bij slachtoffers net als bij daders vaak gaat om
personen die relatief jong zijn en vaak van het mannelijke geslacht. Slachtoffers
behoren dus net als de daders tot de groep personen (jonge mannen) die
relatief veel criminaliteit pleegt. Of dat het hoge percentage antecedenten bij
slachtoffers voldoende verklaart, is een aandachtspunt voor nader onderzoek.
Tabel 2.14 Antecedenten van 93 slachtoffers van hacken, 45 verdachten van hacken
en van Nederlanders van 12 jaar en ouder (n=14 mlj.): vermeldingen per
hoofdgroep 24
Soort antecedent
Slachtoffers Verdachten Nederlanders
(hoofdgroep)*
hacken
hacken
12+ 24
N % N % N %
Gewelddadig seksueel 0 0,0 1 * 2,2 1.896 0,014
Overig seksueel 0 0,0 1 * 2,2 2.400 0,017
Geweld tegen personen 11 * 11,8 8 * 17,8 64.914 0,464
Vermogen met geweld 1 * 1,1 0 0,0 6.622 0,047
Vermogen zonder geweld 6 * 6,5 6 * 13,3 67.689 0,484
Vernieling/openbare orde 6 * 6,5 8 * 17,8 49.379 0,353
Verkeer 4 * 4,3 5 * 11,1 62.756 0,448
Drugs 1 * 1,1 2 * 4,4 19.132 0,137
Overige 7 * 7,5 3 * 6,7 23.811 1,170
Eén of meer van bovenstaande
hoofdgroepen
19 * 20,4 14 * 31,1 2.444.475 1,746
# Een persoon kan in meerdere categorieën voorkomen.
* Significant verschil met ‘Nederlanders 12+’ (p

Hacken
Tabel 2.15 Antecedenten van 2 slachtoffers van hacken voor artikelen die (mogelijk)
verband houden met de cybercrimes in deze VCN2009
Aantal slachtoffers met antecedenten hacken 0
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 1
Artikel 326 Sr (oplichting) 1
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 0
Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno 0
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 1
Artikel 137f Sr (deelname of steunen van discriminatie) 1
Schade
We vonden in 31 dossiers informatie over de materiële schade van natuurlijke
personen (n=104). De schade in een zaak ligt steeds tussen de € 50 en € 16.960.
De totale schade in die 31 dossiers is € 71.220, met dus een gemiddelde schade
van ongeveer € 2.300 per dossier of slachtoffer (tabel 2.16). In 15 dossiers gaf
het bedrijf dat slachtoffer was aan dat er materiële schade was (n=35). Van tien
van die bedrijven weten we de hoogte van de schade die ze opgaven: tussen
de € 200 en € 90.000. De totale schade is € 161.300, met een gemiddelde van
ongeveer € 16.000 per bedrijf (tabel 2.16).
Tabel 2.16 Schade van 31 individuen en 10 bedrijven
Hoogte schade (euro) Individuen Bedrijven
1-100 6 0
100-500 12 1
500-1.000 4 1
1000-10.000 7 5
10.000 of meer 2 3
Totaal 31 10
Wat we over immateriële schade tegenkwamen, is dat individuele slachtoffers
zich soms aangetast voelen in hun persoonlijke levenssfeer en/of bang zijn
voor imagoschade (vanwege het vrijkomen van gevoelige informatie). Voor
bedrijven kan de schade bestaan uit vernielde bestanden, het opnieuw moeten
beveiligen van een netwerk en imagoschade.
Willen we iets zeggen over de maatschappelijke schade, dan moeten we
tevens iets weten over de prevalentie van hacken. Daarover gaat de volgende
paragraaf. Voor de ‘schadebeleving’ (en de aangiftebereidheid) is tevens een
relevante factor of een slachtoffer verzekerd is tegen een dergelijke verlies-
63

64 Verkenning cybercrime in Nederland 2009
post, net zoals iemand verzekerd kan zijn tegen woninginbraak of autodiefstal.
Voor zover wij na konden gaan, bestaat er geen verzekering voor schade
door computerinbraak. 25
2.8 Omvang
Inleiding
Om enig zicht te krijgen op de omvang van de cybercrime hacken, namen we
een steekproef van meldingen en aangiften om te zien in hoeveel gevallen er
in de politieregistratie sprake is van hacken (Domenie e.a., 2009). Ook hielden
we een slachtofferenquête onder internetters in Friesland. Daarnaast hebben
we in de literatuur gekeken naar cijfers over de criminele technieken die gebruikt
worden om te hacken.
Uit de politieregistratie
We onderzochten in de korpsen Hollands-Midden en Zuid-Holland-Zuid
welk deel van het bij de politie geregistreerde werkaanbod cybercrime betreft
(Domenie e.a., 2009). Van alle in deze regio’s in 2007 geregistreerde zaken betreft
tussen de 0,3 en 0,9% cybercrime. Een klein deel van de dossiers inzake
cybercrime betreft hacken: in Hollands-Midden was dat 6,9% en in Zuid-Holland-Zuid
4,3% (in een steekproef van 10% van alle dossiers uit 2007). Hackendossiers
maken dus slechts een fractie uit van het totaal bij de politie geregistreerde
zaken (ruw geschat op basis van vorenstaande gegevens: zo’n 5% van
0,6%, is 0,03%). Deze dossierstudie in twee korpsen geeft zicht op de omvang
van de door de politie geregistreerde cybercrime. Daaruit is echter bezwaarlijk
iets af te leiden over hoe vaak die vorm van criminaliteit werkelijk voorkomt.
Uit de slachtofferenquête onder burgers
We hielden in november 2008 (via www.vraaghetdevries.nl) een steekproef
onder Friese internetgebruikers (zie bijlage 11). In totaal zijn 1.246 Friese internetgebruikers
ondervraagd. Daarvan geven 65 respondenten (5,2%) aan wel
eens het slachtoffer te zijn geworden van een (poging) tot hacken. Meer dan
de helft daarvan (34, ofwel 2,7%) zegt dat de laatste keer in 2007 of 2008 was.
Een van de 65 slachtoffers deed aangifte (1,5%). De reden dat slachtoffers geen
aangifte doen, is meestal omdat ze het delict niet zwaar genoeg vonden (bijv.
25 We checkten dit op 12 mei 2008 bij Achmea, Aegon, Ditzo, ING, Nationale Nederlanden en
Univé. Het blijkt dat het bij enkele verzekeringsmaatschappijen wel mogelijk is om digitale
bestanden te verzekeren, maar we konden niet achterhalen of dit ook voor schade door een
computerinbraak geldt.

Hacken
te weinig schade), omdat ze niet wisten dat er aangifte gedaan kon worden of
omdat ze zelf de beveiliging van de computer verbeterden. Zoals te verwachten
was, zijn mensen vaker slachtoffer van hacken dan blijkt uit de politieregis -
tratie. Dat is niet vreemd met zo’n laag aangiftepercentage. Het was een enquête
met bescheiden omvang en uitsluitend gehouden onder internettende
inwoners van Friesland, dus moeten we voorzichtig zijn met het generaliseren
van de uitkomsten.
Uit de literatuur
In de literatuur is weinig bekend over de omvang van hacken. Voor het bepalen
van de omvang kijken we daarom naar de cijfers van criminele technieken
die bij deze cybercrime gebruikt worden. De cijfers over de omvang van de
verschillende criminele technieken worden uitvoerig behandeld in de bijlagen
1 tot en met 9. In deze paragraaf geven we een korte schets.
– Botnets. Uit onderzoek onder ‘information security practitioners’ uit Amerika,
die aangesloten zijn bij het CSI-netwerk, blijkt dat 21% van de organisaties
van de respondenten geïnfecteerde computers in hun netwerk
hadden die behoorden tot een botnet (Computer Security Institute, 2007).
Ander onderzoek, uit Australië, geeft een soortgelijk beeld. Voor dit onderzoek
werden enquêtes naar IT-managers die werkzaam zijn in Australië
bij zowel publieke als commerciële organisaties gestuurd. Het responspercentage
was 17. Het blijkt dat 30% van de bedrijven een geïnfecteerde computer
in hun netwerk hadden (CSO magazine, 2006). Tussen 1 januari 2006
en 30 juni 2006 registreerde Symantec wereldwijd 52.771 actieve computers
die tot een botnet behoorden. Geïnfecteerde computers die minstens één
keer actief waren tijdens de periode van de meting worden door Symantec
‘distinct bot-infected computer’ genoemd. In de meetperiode tussen 1 januari
2007 en 30 juni 2007 waren er 5.029.309 van dergelijke computers. De
omvang is in beide gevallen een vermindering van 17% ten opzichte van
2006 (Symantec, 2007).
– Defacing. Uit onderzoek van Bednarski (2004) naar afpersingen in Amerikaanse
bedrijven tot 10.000 medewerkers blijkt, dat van de bedrijven die
in een slachtofferenquête aangeven slachtoffer geweest te zijn van cyberafpersing
(17% van de respondenten) er in 19% van die gevallen gedreigd
werd met defacing. Vergelijkbare cijfers zien we in slachtofferenquêtes die
onder bedrijven zijn gehouden in Australië en Amerika. Uit Australische
cijfers (AusCERT, 2006) blijkt dat 7% van de respondenten te maken heeft
gehad met defacing van de website van de organisatie. Cijfers uit Amerika
geven eenzelfde beeld. Uit de CSI Survey 2007 (Computer Security Institute,
2007) blijkt dat 10% van de respondenten te maken heeft gehad met
defacing en uit de E-Crime Watch Survey (CSO magazine, 2006), waarbij
65

66 Verkenning cybercrime in Nederland 2009
via de e-mail abonnees van het Amerikaanse CSO magazine en leden van
de US Secret Servie’s Electronic Crime Task Force werden benaderd, blijkt
dat 24% van de respondenten slachtoffer is geweest van defacing.
– Iframe-injecties. Het is op dit moment niet duidelijk in welke mate Iframeinjecties
gebruikt worden als criminele techniek. Een voorbeeld van het
massaal injecteren zagen we in het begin van 2008. Verschillende bronnen
26 constateren dat er aanvallen werden uitgevoerd op honderdduizenden
websites.
– DDoS-aanvallen. Er zijn verschillende cijfers bekend over DDoS-aanvallen.
Uit een Nederlands onderzoek uit 2005 (Den Hartog & Kouwenhoven, 2005)
blijkt dat 12,7% van de ondervraagde bedrijven in de afgelopen zes maanden
slachtoffer is geweest van een DDoS-aanval. In de ECrime Watch Survey
(CSO magazine, 2006, 2007) blijkt dat 36% van de bedrijven hiervan
slachtoffer was in 2006. In 2007 is dit aantal zelfs opgelopen tot 49%. Uit
een grote Amerikaanse survey (CSI Survey, 2007) geeft 25% van de respondenten
aan het afgelopen jaar slachtoffer te zijn geweest van een dergelijke
aanval. Van de ondervraagde bedrijven in Australië heeft 13% in 2006
financieel verlies geleden door een DDoS-aanval (AusCERT, 2006). In 2005
was dit 14% en in 2004 20%.
– Spyware. Verschillende bronnen laten zien dat een aanzienlijk deel van de
computers besmet is met spyware. De OPTA geeft in haar jaarverslag over
2007 aan dat steeds meer internetgebruikers last hebben van ongewenste
en vaak kwaadaardige software; in toenemende mate worden consumenten
het slachtoffer van spyware. In een Amerikaans onderzoek uit 2005
(America Online e.a., 2005), gehouden onder internetgebruikers, geeft 46%
van de respondenten aan dat de computer spyware bevat. Na een scan op
spyware door de onderzoekers blijkt dat 61% van de respondenten spy-
ware op hun computers hebben. De CSO Survey onder bedrijven (CSO magazine
e.a., 2007) laat eenzelfde beeld zien als het onderzoek van America
Online e.a. (2005). Meer dan de helft van de respondenten (52%) die de
afgelopen twaalf maanden een of meer aanvallen op hun netwerk hadden
gehad (66%) zegt spyware op hun systemen te hebben. In een andere
survey onder bedrijven zegt 32% van de respondenten, die de afgelopen
maanden een aanval op het bedrijfsnetwerk hadden gehad, spyware op
hun systemen te hebben (Computer Security Institute, 2007).
– Phishing. Volgens de cijfers van de Anti Phishing Working Group blijkt dat
het aantal unieke phishing e-mails tussen januari 2007 en januari 2008
min of meer gelijk blijft over de maanden (APWG, 2008). Uit cijfers van het
26 www.computerwold.com, ddanchev.blogspot.com en www.symantec.com/enterprise/security_response/weblog.

Hacken
Internet Crime Complaint Centre (IC3, een samenwerking in de Verenigde
Staten tussen het Federal Bureau of Investigation (FBI), de National White
Collar Crime Center (NW3C) en het Bureau of Justice Assistance (BJA))
blijkt dat van de gemelde e-fraude 6% van die klachten betrekking had op
identiteitsdiefstal (IC3, 2008b). Uit de cijfers van de APWG blijkt dat het
aantal phishing websites weliswaar sinds december 2007 is afgenomen,
maar het aantal klachten over dergelijke sites juist is toegenomen. Ook het
aantal unieke keyloggers nam toe met 1,4% ten opzichte van oktober 2007.
Verder blijkt dat in de meeste gevallen (92,4%) de financiële sector doelwit
is van phishers (APWG, 2008).
Het is niet mogelijk om aan de hand van deze cijfers een beeld te schetsen van
de omvang van hacken. Verschillende bronnen geven aan dat een groot deel
van de computers geïnfecteerd is met spyware en de cijfers hierover lopen uiteen
van 33% (Computer Security Institute, 2007) tot meer dan 60% (America
Online e.a., 2005). Over Iframe-injecties zijn geen cijfers bekend, maar verschillende
bronnen 27 constateren wel dat er aanvallen (pogingen tot hacken)
worden uitgevoerd op honderdduizenden websites. Bij deze cijfers kan worden
opgemerkt dat ze in diverse gevallen worden geproduceerd door organisaties
die zelf een zeker belang hebben bij informatiebeveiliging.
Conclusie
Over de absolute omvang van hacken valt niet veel met zekerheid te zeggen.
Het maakt maar een zeer klein deel uit van de bij de politie geregistreerde criminaliteit.
De resultaten uit een slachtofferonderzoek in Friesland wijzen op
een substantieel dark number. Uit de (internationale) literatuur over cybercrime
en informatiebeveiliging blijkt, dat vooral bedrijven geregeld tot zeer geregeld
slachtoffer zijn van (pogingen tot) binnendringen in computersystemen.
2.9 Trends
Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie
is een momentopname en daaruit kunnen we geen trends afleiden. In
paragraaf 2.4 was aan de orde dat hacken verbanden heeft met de andere vormen
van cybercrime en dat hackers gebruikmaken van verschillende criminele
technieken. We bespreken hier kort de trends in deze criminele technieken;
in de bijlagen 1 tot en met 9 staan de trends per criminele techniek uitgebreid
27 www.computerwold.com, ddanchev.blogspot.com en www.symantec.com/enterprise/security_response/weblog.
67

68 Verkenning cybercrime in Nederland 2009
beschreven. De trends zijn niet gebaseerd op empirische onderzoeken, maar
berusten op uitspraken van experts.
– Volgens het KLPD zal de komende jaren door social engineering steeds
meer ingespeeld worden op sociale evenementen en op persoonlijke interesses
(KLPD/DNR, 2007a; Symantec, 2007c; Websense, 2007). Phishing
mails worden bijvoorbeeld toegespitst op een WK voetbal of grote rampen
om een gebruiker op die manier over te halen naar een bepaalde website
te gaan om op die website de persoonlijke gegevens van de slachtoffers te
ontfutselen.
– Ook de meer technische varianten van phishing (pharming, spy-phishing;
zie bijlage 9) zullen in frequentie toenemen, aldus het KLPD (2008).
– In het Nationaal Dreigingsbeeld 2008 benoemt het KLPD (2008) phishing als
een voorwaardelijke dreiging in de komende jaren. Met ‘voorwaardelijk’ bedoelt
het KLPD dat er momenteel geen sprake is van een dreiging, maar
dat in de toekomst een dreiging kan ontstaan onder invloed van bepaalde
‘criminaliteitsrelevante factoren’. Zolang de beveiliging van computersystemen
in Nederland in vergelijking met andere landen goed op orde is, is
er volgens het KLPD geen concrete dreiging te verwachten. Daders zullen
hun praktijken dan uitoefenen in landen waar de beveiliging minder goed
is geregeld.
– Virussen en Trojaanse paarden worden, volgens Symantec (2007), door
computercriminelen steeds meer op maat gemaakt met als specifiek doel
het aanleggen van botnets die vervolgens te huur zijn voor spammers of
criminele organisaties (MessageLabs, 2005). Doordat cybercriminelen hun
aanvalsstrategieën veranderen (kleinere, minder makkelijk op te sporen
botnets) is er een afname te zien in het aantal computers in een botnet
(Simpson, 2008; Symantec 2007, 2006a, 2006b).
– Omdat de motieven voor defacing eerder in de hoek van haat en politiek of
opscheppen liggen en niet in de hoek van geld verdienen, is geen sprake
van een echte groeimarkt (KLPD, DNRI 2007a). De trend van het afgelopen
jaar was juist om het uiterlijk van de website met rust te laten en te proberen
door te dringen tot de informatie achter de website dan wel de website
als springplank te gebruiken om bezoekers te besmetten (bijv. middels
een Iframe-injectie). In ons onderzoek is defacing overigens de meest gebruikte
criminele techniek (par. 2.6). Dat betekent dat defacing (nog steeds)
relatief vaak voorkomt, tegelijk kan het inderdaad zo zijn dat defacing bij
een bepaalde groep cybercriminelen aan populariteit aan het inboeten
is. We zagen in de dossiers immers dat de defacing vaak in de relationele
sfeer gebruikt wordt. We houden het voor mogelijk dat de aandacht van
de Dienst Nationale Recherche vooral uitgaat naar ontwikkelingen in het
veld van (financieel gemotiveerde) ‘beroepshackers’ en dat de meer alle-

Hacken
daagse hacks waarmee de politie volgens ons dossieronderzoek veelal te
maken krijgt, buiten haar blikveld vallen.
– Het gebruik van Iframe-injecties is het afgelopen jaar sterk gestegen.
Precieze cijfers zijn niet voorhanden, maar nieuwere malware als Storm
Worm en MPack maken volop gebruik van deze technologie (KLPD, DNRI
2007a). Hamada, een onderzoeker van Symantec, zegt op het securityblog
van Symantec (www.symantec.com) dat in het verleden met name de lowprofilesites
het doel waren van Iframe-aanvallen. Bij de laatste aanvallen
waren echter ook veel high-profilesites het doelwit (veelbezochte websites
van grote bedrijven die door de bezoekers worden vertrouwd).
– Doordat er steeds meer mensen gebruikmaken van internet wordt de impact
van DDoS-aanvallen steeds groter (Rogers, 2004). Volgens Govcert
worden dergelijke aanvallen tegenwoordig steeds meer uitgevoerd met
als doel afpersing of protest tegen een organisatie of standpunt (Govcert.
nl, 2005). Daarnaast kunnen ze gezien worden als de backbone, de infrastructuur,
van cybercriminaliteit (Govcert, 2007). In onze benadering is
een DDoS-aanval een criminele techniek, waaraan in veel gevallen hacken
voorafgaat. Hacken is dan eerder de backbone van internetcriminaliteit
dan DDoS-aanvallen – we komen daar op terug in hoofdstuk 7.
– Bij spyware is volgens Hackworth een doorontwikkeling te zien; spyware
treedt tegenwoordig pas in werking bij bepaalde sleutelwoorden en spyware
kan bijvoorbeeld zijn geïntegreerd in programma’s die voor een gebruiker
legitiem lijken (Hackworth, 2005). Cybercriminelen ontwikkelen
de malware bijvoorbeeld op manieren waardoor de detectie van de digitale
handtekeningen van die malware (bijv. een virus) steeds moeilijker
wordt (Computer Security Institute, 2007). Verwacht wordt dat het gebruik
van keyloggers en spyware om toegang te krijgen tot geheime informatie
een lucratieve misdaad wordt die in de toekomst op grotere schaal door
criminelen zal worden ontdekt (McAfee, 2006, in Van der Hulst & Neve,
2008).
– Identiteitsdiefstal door phishing wordt volgens Van der Hulst en Neve beschouwd
als een van de snelst groeiende vormen van niet-gewelddadige
criminaliteit (Boerman & Mooij, 2006; Van der Hulst & Neve, 2008; Rogers,
2006). Computercriminelen zijn constant bezig met het innoveren van hun
aanvalstechnieken (Watson e.a., 2005) en zij verzinnen steeds nieuwe manieren
om hun phishingaanvallen succesvol te laten zijn (Govcert.nl, 2007).
Verder richten cybercriminelen zich volgens Finjan (2007) steeds meer op
Web2.0-toepassingen.
69

70 Verkenning cybercrime in Nederland 2009
Een algemene trend is dat de verschillende criminele technieken constant
worden doorontwikkeld en worden aangepast aan onder meer ontwikkelingen
in beveiliging. Daarbij maken cybercriminelen, aldus de literatuur, steeds
meer gebruik van social engineering om de kans op succes van een aanval te
verhogen. (Een nadruk op social engineering zien wij in onze dossierstudie
overigens niet terug, zie par. 2.6, maar dat kan komen doordat het gebruik
van social engineering niet in de dossiers terechtkomt.)
2.10 Resumé
Hacken is het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd
werk en is strafbaar gesteld in artikel 138a lid 1 Sr (computervredebreuk).
Aan hacken gerelateerde delictsomschrijvingen zijn het na het binnendringen
overnemen, aftappen of opnemen van gegevens (art. 138a lid 2
Sr), het opzettelijk of door schuld veroorzaken van een stoornis in een systeem
(resp. art. 161sexies en 161septies Sr), het opzettelijk of door schuld vernielen
van gegevens (resp. art. 350a en 350b Sr), het aftappen en/of opnemen van
gegevens (art. 139c Sr) en het plaatsen van opname-, aftap- dan wel afluisterapparatuur
(art. 139d Sr).
Er zijn verschillende technieken om te hacken, van het raden van wachtwoorden
tot het uitbuiten van beveiligingslekken in software (Van der Hulst
& Neve, 2008). Het is een hacker vaak niet mogelijk om in één keer de hoogste
rechten te verkrijgen in het systeem (Ianelli & Hackworth, 2005). Hij zal derhalve
gaandeweg steeds meer rechten trachten te verwerven, gebruikmakend
van verschillende zwaktes in de beveiliging van systemen.
In de literatuur worden hackers op verschillende manier onderscheiden,
onder meer op basis van verschillende primaire motivaties, zoals verwerven
van kennis, persoonlijke uitdaging, macht en financieel gewin (Van der Hulst
& Neve, 2008). Er is echter geen empirische onderbouwing voor de gehanteerde
categorieën. Uit onze dossierstudie komt niet het complexe beeld met
allerlei verschillende categorieën hackers naar voren. Eerder dan duidelijke
categorieën zien we een bont gezelschap, hoewel wel een paar hoofdlijnen
zijn te noemen.
Uit de politiedossiers blijkt dat hacken vooral een zaak is van in Nederland
geboren mannen onder de 45 jaar. Zelden plegen zij hun delict in georganiseerd
verband, in de overgrote meerderheid van de zaken is er niet meer dan
één verdachte. Op basis van de dossiers kunnen we weinig zeggen over de
sociale achtergrond van de verdachten. Vaak ligt het hacken in de relationele
sfeer; verdachte en slachtoffer zijn bijvoorbeeld ex-geliefden, jaloerse echtgenoten
of schoolvrienden, maar het kan ook gaan om (gewezen) zakelijke rela-

Hacken
ties. De primaire motivatie van de verdachte is dan ook vaak wraak, maar ook
zagen we andere drijfveren, zoals nieuwsgierigheid en financieel gewin. De
meeste verdachten uit de hackendossiers hebben geen antecedenten, hoewel
ze wel significant meer antecedenten hebben dan de gemiddelde Nederlander.
Verdachten maken gebruik van verschillende criminele technieken. Alhoewel
het in de meeste dossiers onduidelijk blijft welke technieken er precies gebruikt
worden, houden verdachten in hackzaken zich in ieder geval bezig met
het defacen van websites, het installeren van keyloggers, phishing websites
en social engineering. Botnets, DDoS-aanvallen, sniffing en spoofing komt
zelden voor in de politiedossiers. Voor de opsporing wellicht de belangrijkste
bevinding is dat in een vijfde tot een kwart van de politiedossiers de hack gepleegd
wordt vanuit het buitenland, zowel binnen als buiten Europa.
Hacken is niet vaak een op zichzelf staand delict. Alles bijeengenomen, toont
hacken een verband met:
– kopiëren of vernielen van gegevens dan wel het vernielen of verstoren van
een computersysteem, ofwel cybercrime in enge zin – dus waarbij ICT het
doelwit is (art. 138a lid 2, 350a, 350b en 139c Sr);
– vermogenscriminaliteit (oplichting, fraude, diefstal, afpersing, verduistering);
– interpersoonlijke conflicten (smaad, bedreiging, belediging, stalking, aanranding).
We zagen geen verband tussen hacken en het verstoren van ‘ICT ten algemene
nutte’ of het verstoren van openbare telecommunicatie, en het veroorzaken
van maatschappelijk gevaar (art. 161sexies en 161septies Sr, resp. figuur
2.2 en 2.3). Hacken is primair gericht op persoonlijke belangen: financieel
voordeel (vermogenscriminaliteit) of het beslechten van een conflict. Hacken
heeft kennelijk niet een directe uitwerking op de samenleving in bredere zin,
maar is kennelijk gericht op het behalen van een persoonlijk voordeel (vermogenscriminaliteit)
of op het beslechten van een persoonlijk conflict. Met andere
woorden: hacken is niet gericht op maatschappelijke ontwrichting of algemene
gevaarzetting, maar op de verwezenlijking van individuele belangen.
Het gaat veelal om redelijk alledaagse zaken, waarbij schijnbaar alledaagse
mensen elkaar dwarszitten. Voor jonge mensen, opgegroeid met cyberspace,
is het rommelen met andermans account of profiel niet per se een technisch
hoogstandje. Ons onderzoek wijst erop dat hacken tot op zekere hoogte is gedemocratiseerd:
hacken is geen exclusief domein meer van whizzkids, maar
wordt ook bedreven door mensen die niet zo technisch zijn onderlegd.
71

72 Verkenning cybercrime in Nederland 2009
Slachtoffers zijn net als verdachten relatief vaak van het mannelijk geslacht en
ze behoren relatief vaak tot de leeftijdsgroep tot 45 jaar. De slachtoffers hebben
een antecedentenpatroon dat overeenkomt met dat van de daders, zowel
qua omvang als qua spreiding over de hoofdgroepen van delicten. Wellicht
komt dat doordat slachtoffers net als daders relatief vaak jong zijn en van het
mannelijke geslacht. Zij behoren dus net als de daders tot de groep personen
(jonge mannen) die relatief veel criminaliteit pleegt. Of dat het hoge percentage
antecedenten bij slachtoffers voldoende verklaart, is een aandachtspunt
voor nader onderzoek.
Over de absolute omvang van hacken valt niet veel met zekerheid te zeggen.
Het maakt maar een zeer klein deel uit van de bij de politie geregistreerde
criminaliteit. De resultaten uit een slachtofferonderzoek in Friesland, wijzen
op een substantieel dark number. Uit de (internationale) literatuur over cybercrime
en informatiebeveiliging blijkt dat vooral bedrijven geregeld slachtoffer
zijn van (pogingen tot) binnendringen in computersystemen. Over slachtofferschap
onder burgers is minder bekend.
Volgens de literatuur worden criminele technieken constant doorontwikkeld
en aangepast aan beveiligingsmaatregelen. Ook maken cybercriminelen,
aldus de literatuur, steeds meer gebruik van social engineering om de kans
op succes van een criminele techniek te verhogen (zie ook bijlage 1). In ons
onderzoek zien we juist opvallend weinig social engineering. Defacing is in
de dossiers de meest gebruikte criminele techniek. Volgens de literatuur zou
deze techniek op zijn retour zijn. In het Nationaal Dreigingsbeeld 2008 (KLPD,
2008) is hacken geen issue. Phishing is dat wel, maar wordt niet gezien als een
bedreiging zolang de beveiliging van computersystemen in Nederland zich
maar gunstig verhoudt tot die in andere landen.
We benoemden enkele onderwerpen die in aanmerking komen voor nader
onderzoek, in het bijzonder:
– Het gebruik van criminele technieken. Hackers zetten een verscheidenheid
aan criminele technieken in. Defacing komt veel voor en social engineering
weinig. In beide gevallen is dat in afwijking van wat we weten uit de
literatuur en van beveiligingsexperts. Voor de politie is adequate kennis
omtrent criminele technieken (MO’s) relevant, omdat dergelijke kennis
kan helpen in de opsporing.
– Behandeling van zaken. De politie wordt geconfronteerd met een verscheidenheid
aan criminele technieken en met een groot aantal verdachten dat
opereert vanuit het buitenland. Dat roept de vraag op of de politie voldoende
in staat is het werkaanbod succesvol in behandeling te nemen. Om
zicht te krijgen op hindernissen in het werk van politie en justitie, zou onderzoek
gedaan dienen te worden naar hoeveel hackenzaken uiteindelijk
voor de rechter worden gebracht en met welk resultaat.

3 e-f r a u d e
3.1 Inleiding
De essentie van fraude is steeds dezelfde: mensen eigenen zich middels bedrog
geld of vermogensbestanddelen toe waarop ze geen recht hebben en
tasten daardoor de rechten van anderen aan. Er zijn verschillende begrippen
in omloop om de cybervorm van fraude te beschrijven, zoals fraude in e-commerce
en internetfraude. Van der Hulst en Neve (2008) zien internetfraude
als allerlei soorten fraude- en oplichtingspraktijken waarbij gebruik wordt
gemaakt van ‘online services’. ‘Bij deze vorm van fraude wordt het internet
gebruikt om op oneigenlijke wijze gelden, goederen en diensten te verkrijgen
zonder daarvoor te betalen of tegenprestaties te leveren’ (Van der Hulst
& Neve, 2008, p. 31). Bij internetfraude wordt al snel gedacht aan oplichtingen
via verkoopsites op internet, zoals marktplaats en eBay. Wij gebruiken de term
‘e-fraude’ als overkoepelende term. E-fraude is bedrog met als oogmerk het
behalen van financieel gewin, waarbij ICT essentieel is voor de uitvoering.
Een belangrijk aspect van fraude, en ook e-fraude, is dat daders nogal eens
gebruikmaken van een andere dan hun eigen identiteit. Dit noemen we identiteitsmisbruik.
Zo onderscheiden we twee hoofdvormen van e-fraude: met
en zonder identiteitsmisbruik. De verschijningsvormen werken we verder uit
in paragraaf 3.3.
E-commerce is een snel groeiende sector waarin veel geld omgaat. Met zijn
laagdrempelige toegang en wereldwijde bereik biedt het internet vele mogelijkheden
tot het aanbieden en afnemen van diensten en producten. Nederland
behoort qua intensiteit van internetgebruik tot de Europese top en het
gebruik neemt nog steeds toe. Het volume van het internetverkeer is in de
achter ons liggende jaren spectaculair gestegen en wordt versterkt door de
verspreiding van breedband. In 2007 hebben ruim acht van de tien Nederlandse
huishoudens internettoegang, driekwart heeft een breedbandaansluiting.
Daarnaast is circa 80% van de bedrijven in 2006 op internet ‘aanwezig’ in
de vorm van een website. Cijfers van het CBS laten zien dat steeds meer consumenten
in Nederland goederen online kopen of bestellen. In 2007 zijn er 7,5
miljoen mensen die via internet wel eens producten hebben gekocht. In 2002
was dat half zoveel (CBS, 2008). De economische sector is steeds afhankelijker

74 Verkenning cybercrime in Nederland 2009
geworden van onlinezakenverkeer. Internet maakt tegenwoordig onderdeel
uit van wat wel wordt genoemd de vitale infrastructuur voor economische
processen (Helmus e.a., 2006; KLPD/DNRI, 2004).
Ook in criminele kringen is het besef ontstaan dat, met de nieuwe communicatiediensten
en de toegenomen interconnectiviteit, kwetsbaarheden zijn
ontstaan die gebruikt kunnen worden voor criminele doeleinden en dat daarmee
veel geld te verdienen valt (Helmus e.a., 2006; Molenaar, 2007; NHTCC/
NPAC, 2006a). Het gebruik van internet bij het plegen van delicten is al lang
niet meer nieuw (Akdeniz, 1996; Boerstra, 1997; Duncan, 1997; Durkin 1997;
Grabosky & Smith, 1998; Van Eecke, 1997). In de literatuur wordt melding gemaakt
van een verschuiving in de motieven van cybercriminelen. Zij zouden
steeds meer financieel gemotiveerd zijn geraakt en er zou sprake zijn van een
trend van ‘hacking for fame’ naar ‘hacking for fortune’ (Boerman & Mooij,
2006, p. 22) – en dan is e-fraude een van de mogelijkheden. Volgens het Nationaal
Dreigingsbeeld 2008 van het KLPD, dat gaat over dreigingen door georganiseerde
criminaliteit, is wat cybercrime betreft voorschotfraude de enige
concrete dreiging voor de komende jaren. Dat e-fraude een steeds groter probleem
wordt, kan ook worden opgemaakt uit de CSI survey 2007. Een van de
belangrijkste conclusies uit deze slachtofferenquête onder Amerikaanse bedrijven
is dat internetfraude in 2007 voor meer verlies heeft gezorgd dan virusaanvallen
(Computer Security Institute, 2007).
In dit hoofdstuk behandelen we eerst de strafbaarstelling en verschijningsvormen
van e-fraude (resp. par. 3.2 en 3.3). Vervolgens beschrijven we de verbanden
die deze cybercrime heeft met andere vormen van (cyber)criminaliteit
(par. 3.4), behandelen we de daderkenmerken uit de literatuur (par. 3.5),
de kenmerken van verdachten uit de dossiers (par. 3.6) en gaan we dieper in
op de slachtoffers van deze cybercrime (par. 3.7). In paragraaf 3.8 kijken we
naar de omvang van e-fraude. Ten slotte komen in paragraaf 3.9 de trends van
e-fraude aan bod en in paragraaf 3.10 volgt een resumé van dit hoofdstuk.
3.2 Strafbaarstelling
Fraude of e-fraude heeft in Nederland geen eigen bepaling in de strafwet.
Fraude is bedrog met als oogmerk financieel gewin. Artikel 326 Sr (oplichting)
stelt het wederrechtelijk bevoordelen middels bedrog strafbaar (figuur 3.1).

E-fraude
Figuur 3.1 Artikel 326 Sr: oplichting (i.w.tr. 01-02-2006)
Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij
door het aannemen van een valse naam of van een valse hoedanigheid, hetzij
door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand
beweegt tot de afgifte van enig goed, tot het ter beschikking stellen van gegevens
met geldswaarde in het handelsverkeer, tot het aangaan van een schuld of tot het
teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf
van ten hoogste vier jaren of geldboete van de vijfde categorie.
Ook artikel 225 Sr (valsheid in geschrifte, figuur 3.2) kan een belangrijke rol
spelen bij e-fraude. Het gaat bij e-fraude immers vaak om het gebruiken van
valse of vervalste geschriften (De Vries e.a., 2007). Een verschijningsvorm van
e-fraude die onder valsheid in geschrifte kan worden gebracht, is e-fraude met
identiteitsmisbruik. Valsheid in geschrifte kan volgens De Vries e.a. in relatie
staan met cybercrime. ‘Het invoeren van valse gegevens in geautomatiseerde
bestanden kan valsheid in geschrifte opleveren, maar ook oplichting of
diefstal met een valse sleutel, indien het computersysteem op zich ongemoeid
wordt gelaten’ (De Vries e.a., 2007, p. 211). In dit geval spreekt men ook wel van
inputmanipulatie. Indien ware gegevens door een automatische bewerking
worden omgezet in onware gegevens (art. 350a Sr; onbevoegd computergegevens
veranderen, figuur 2.4), is er volgens De Vries e.a. geen sprake van valsheid
in geschrifte, maar van vernieling van computergegevens of hacking of
computervredebreuk (De Vries, e.a., 2007; Postma & Sackers, 2000).
Figuur 3.2 Artikel 225 Sr: valsheid in geschrifte (i.w.tr. 10-08-2004)
1. Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk
opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken
of door anderen te doen gebruiken, wordt als schuldig aan valsheid in
geschrifte gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete
van de vijfde categorie.
2. Met dezelfde straf wordt gestraft hij die opzettelijk gebruik maakt van het valse
of vervalste geschrift als ware het echt en onvervalst dan wel opzettelijk zodanig
geschrift aflevert of voorhanden heeft, terwijl hij weet of redelijkerwijs
moet vermoeden dat dit geschrift bestemd is voor zodanig gebruik.
3. Indien een feit, omschreven in het eerste of tweede lid, wordt gepleegd met het
oogmerk om een terroristisch misdrijf voor te bereiden of gemakkelijk te maken,
wordt de op het feit gestelde gevangenisstraf met een derde verhoogd.
75

76 Verkenning cybercrime in Nederland 2009
Het vervalsen van kaarten die bestemd zijn voor het verrichten of verkrijgen
van betalingen of andere prestaties langs geautomatiseerde weg, is strafbaar
gesteld in artikel 232 Sr (figuur 3.2a). Dat artikel is van toepassing bij creditcardfraude
en skimming.
Figuur 3.2a Artikel 232 Sr: vervalsen van betaal- of waardekaart (i.w.tr. 01-09-2006)
1. Hij die opzettelijk een betaalpas, waardekaart, enige andere voor het publiek
beschikbare kaart of een voor het publiek beschikbare drager van identiteitsgegevens,
bestemd voor het verrichten of verkrijgen van betalingen of andere
prestaties langs geautomatiseerde weg, valselijk opmaakt of vervalst, met het
oogmerk zichzelf of een ander te bevoordelen, wordt gestraft met gevangenisstraf
van ten hoogste zes jaren of geldboete van de vijfde categorie.
2. Met dezelfde straf wordt gestraft hij die opzettelijk gebruik maakt van de valse
of vervalste pas of kaart als ware deze echt en onvervalst, dan wel opzettelijk
zodanige pas of kaart aflevert, voorhanden heeft, ontvangt, zich verschaft, vervoert,
verkoopt of overdraagt, terwijl hij weet of redelijkerwijs moet vermoeden
dat de pas of kaart bestemd is voor zodanig gebruik.
Ook diefstal, verduistering en heling zullen vaak ten grondslag liggen aan
e-fraude (resp. figuur 3.3, 3.4 en 3.5). Hierbij kan gedacht worden aan het stelen
en helen of verduisteren van voorwerpen als betaalpassen, identiteitsbewijzen
en post die voor identiteitsfraude interessante informatie (zoals activerings-
codes en pincodes) bevat. Diefstal is vaak ook een belangrijke vervolghandeling
van identiteitsmisbruik: na voorbereidende handelingen kan bijvoorbeeld
geld van een (internet)bankrekening worden gehaald (De Vries e.a., 2007).
Figuur 3.3 Artikel 310 Sr: diefstal (i.w.tr. 01-05-1984)
Hij die enig goed dat geheel of ten dele aan een ander toebehoort wegneemt, met
het oogmerk om het zich wederrechtelijk toe te eigenen, wordt, als schuldig aan
diefstal, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van
de vierde categorie.
Figuur 3.4 Artikel 321 Sr: verduistering (i.w.tr. 01-05-1984)
Hij die opzettelijk enig goed dat geheel of ten dele aan een ander toebehoort en
dat hij anders dan door misdrijf onder zich heeft, wederrechtelijk zich toeëigent,
wordt, als schuldig aan verduistering, gestraft met gevangenisstraf van ten hoogste
drie jaren of geldboete van de vijfde categorie.

E-fraude
Figuur 3.5 Artikel 416 Sr: heling (i.w.tr. 01-02-1992)
1. Als schuldig aan opzetheling wordt gestraft met gevangenisstraf van ten hoogste
vier jaren of geldboete van de vijfde categorie:
a. hij die een goed verwerft, voorhanden heeft of overdraagt, dan wel een persoonlijk
recht op of een zakelijk recht ten aanzien van een goed vestigt of
overdraagt, terwijl hij ten tijde van de verwerving of het voorhanden krijgen
van het goed dan wel het vestigen van het recht wist dat het een door
misdrijf verkregen goed betrof;
b. hij die opzettelijk uit winstbejag een door misdrijf verkregen goed voorhanden
heeft of overdraagt, dan wel een persoonlijk recht op of zakelijk recht
ten aanzien van een door misdrijf verkregen goed overdraagt.
2. Met dezelfde straf wordt gestraft hij die opzettelijk uit de opbrengst van enig
door misdrijf verkregen goed voordeel trekt.
Een andere kwestie is of diefstal van identiteit en identiteitsgegevens, anders
dan documenten waarop die gegevens staan, mogelijk is. In de Verenigde
Staten wordt wel gesproken van identiteitsdiefstal. Dat is volgens juristen in
Nederland als juridische kwalificatie moeilijk denkbaar. De Vries e.a. (2007)
geven aan dat een identiteit niet als ‘goed’ in de zin van artikel 310 Sr (diefstal),
321 Sr (verduistering) of 416 Sr e.v. (heling) kan worden beschouwd.
Voor wat betreft identiteitsgegevens kan men aanvoeren dat dat anders ligt,
omdat gegevens volgens artikel 80 quinquies Sr een weergave vormen, ‘geschikt
voor overdracht’. 28 Volgens De Vries e.a. is dat echter niet het geval: de
wet gever heeft het begrip ‘gegevens’ duidelijk willen onderscheiden van het
begrip ‘goed’ in de zin van diefstal en verduistering. ‘Gegevens missen de wezenlijke
eigenschappen om degene die de feitelijke macht erover heeft, deze
nood zakelijkerwijs te laten verliezen, zodra een ander zich de feitelijke macht
erover verschaft. Zij kunnen dus niet worden gestolen, verduistert of geheeld.
Een bankpas en pincode worden ook wel gezien als een “valse sleutel”, wat
een strafverzwarende omstandigheid bij diefstal oplevert’ (De Vries e.a., 2007,
p. 219). E-fraude met behulp van identiteitsmisbruik zal daarom vaak neerkomen
op oplichting. Phishing is een voorbeeld van oplichting als middel
voor identiteitsmisbruik (De Vries e.a., 2007). ‘Na een succesvolle phishing,
kunnen de oplichters een vervolggedraging begaan, die opnieuw als oplichting
kan worden gekwalificeerd. Met de “gephishte” creditcardgegevens
28 Art. 80quinquies Sr luidt: ‘Onder gegevens wordt verstaan iedere weergave van feiten, begrippen
of instructies, op een overeengekomen wijze, geschikt voor overdracht, interpretatie
of verwerking door personen of geautomatiseerde werken.’ (i.w.tr. 01-09-2006)
77

78 Verkenning cybercrime in Nederland 2009
kunnen zij zich immers voordoen als de rechtmatige creditcardhouder en
bijvoorbeeld goederen bestellen. Zo kunnen zij ook met de accountgegevens
bankrekeningen leeghalen etc.’ (De Vries e.a., 2007, p. 222).
Wanneer persoonlijke gegevens worden verkregen na het binnendringen
van een computersysteem, is de dader strafbaar op grond van artikel 138a lid
2 Sr (na een hack gegevens overnemen, aftappen of opnemen). Op het aftappen
van informatie (door bijvoorbeeld spyware) zijn de artikelen 139c en 139d
Sr van toepassing (zie figuur 2.6 en 2.7). Het in bezit hebben van dergelijke
gegevens en het bekendmaken daarvan aan anderen, is strafbaar volgens artikel
139e Sr (figuur 2.8).
Het beschikken over de identiteitsgegevens van een ander of het beschikken
over fictieve identiteitsgegevens is op zichzelf niet altijd strafbaar. Strafbaarheid
kan aan de orde zijn bij het verwerven van andermans identiteitsgegevens,
bijvoorbeeld als de dader andermans computer hackt om de
gegevens te achterhalen. Als de identiteitsgegevens zijn verkregen door gegevens
in een computersysteem af te tappen (art. 139c Sr), dan is het bezit en
het aan anderen kenbaar maken van die gegevens ook strafbaar (art. 139e Sr).
Strafbaar is ook het voorhanden hebben van een vervalste betaal- of waardekaart
(art. 232 lid 2 Sr). Strafbaarheid kan ook aan de orde zijn bij het gebruiken
van de identiteitsgegevens van een ander, bijvoorbeeld als dat gebruik
onderdeel is van een e-fraude. ‘Identiteitsmisbruik’ is geen delict, het ‘iemand
bewegen tot afgifte van enig goed door het aannemen van een valse naam of
een valse hoedanigheid’ is wel een delict en valt onder oplichting (art. 326 Sr).
Indien er opzettelijk dan wel door schuld een geautomatiseerd werk wordt
vernield, zijn de artikelen 161sexies en 161septies Sr van toepassing. Indien er
gegevens worden vernield, is artikel 350a of 350b Sr van toepassing. Zie voor
een uitgebreide beschrijving van deze artikelen hoofdstuk 2. Het bemachtigen
van deze persoonlijke gegevens door spoofing of phishing valt onder artikel
326 Sr (oplichting).
3.3 Verschijningsvormen: soorten e-fraude
E-fraude kan gepleegd worden met of zonder behulp van identiteitsmisbruik.
Identiteitsmisbruik is altijd populair geweest onder criminelen; door de identiteit
van iemand anders aan te nemen, kan de crimineel zijn eigen identiteit
verhullen en daarmee de opsporing bemoeilijken (Ollmann, 2004). In de literatuur
wordt vaak gesproken over identiteitsfraude, al dan niet in combinatie
met identiteitsdiefstal, identiteitscriminaliteit, documentfraude, verandering
van identiteit, verandering van identiteit met crimineel oogmerk, identiteitsdiefstal
met betrekking tot strafblad en identiteitsroof (Binder & Gill, 2005;

E-fraude
De Vries e.a., 2007; Finch, 2007). De term identiteitsfraude is echter verwarrend.
Je fraudeert de identiteit niet, maar vervalst hem, en vervolgens pleeg
je fraude met een valse identiteit. De fraude draait niet om de valse identiteit,
maar om de winstgevende oplichting. In deze VCN2009 hanteren we daarom
de term identiteitsvervalsing voor het aannemen van een andere dan de eigen
digitale identiteit. Identiteitsmisbruik is vervolgens het illegaal gebruiken van
de aangemaakte/aangenomen identiteit.
In navolging van De Vries e.a. (2007) onderscheiden wij de volgende verschijningsvormen
van identiteitsvervalsing:
– Identiteitsdiefstal: het stelen van een identiteit van een bestaand persoon. Dit
kan middels het stelen van digitale persoonsgegevens (bijv. door phishing
of het gebruik van spyware) of door social engineering.
– Identiteitscreatie: het creëren van een fictieve identiteit.
– Identiteitsdelegatie: het overnemen van een identiteit van een bestaand persoon
met diens toestemming.
Kenmerkend voor fraude met identiteitsmisbruik is dat het slachtoffer er vaak
pas achterkomt dat die methode is gebruikt wanneer het te laat is, bijvoorbeeld
doordat geld van zijn rekening is verdwenen of doordat hij een rekening
krijgt voor hem onbekende producten. Fraude met gebruikmaking van
valse identiteiten is volgens het KLPD een snel groeiende vorm van cybercrime
(KLPD, DNRI 2007a). Op internet wordt vaak genoegen genomen met
een minder betrouwbare vorm van identificatie dan in de ‘echte wereld’, en
dat schept mogelijkheden.
E-fraude heeft verschillende verschijningsvormen die steeds met of zonder
identiteitsmisbruik kunnen worden gepleegd. Verschijningsvormen van
e-fraude die veel in de literatuur genoemd worden, zijn:
– Handel in valse goederen. Handelen in valse goederen op of via het internet,
zoals het geval is bij merkvervalsing, het illegaal kopiëren en illegaal
uitwisselen en verkopen van auteursrechtelijk beschermd materiaal, zoals
video’s, muziek en software (KLPD, DNRI 2007a).
– Valse financiële transacties. Foute of valse financiële transacties, zoals het
plegen van fraude op internetwinkels of veiling- of verkoopsites, fraude
met internetbetalingen (bancaire transacties), het verzoek tot het verrichten
van dubieuze investeringen of betalingen (advance fee fraud, Nigerian
scams, lottery scams). Bij deze vorm van fraude wordt het internet gebruikt
om op oneigenlijke wijze gelden, goederen en diensten te verkrijgen zonder
daarvoor te betalen of tegenprestaties te leveren (Morris, 2004). Twee
verschijningsvormen moeten afzonderlijk worden genoemd, omdat ze een
eigen ‘status’ hebben verworven in het veld van cybercrime:
79

80 Verkenning cybercrime in Nederland 2009
• Veilingfraude of marktplaatsfraude. In veel gevallen gaat het bij valse financiële
transacties volgens Van der Hulst en Neve om onlineveilingfraude.
Hiervan is sprake wanneer mensen goederen of diensten kopen
via het internet (bijv. valse onlinereisbureaus en valse mode- en
fotobureausites) en vooruit betalen voor te leveren diensten, maar deze
niet krijgen (of van veel slechtere kwaliteit dan waarvoor men heeft betaald),
of wanneer de prijs van een artikel door de eigenaar kunstmatig
wordt opgehoogd (Europol, 2003; Taylor e.a., 2006).
• Voorschotfraude. Ook voorschotfraude is een aparte verschijningsvorm
geworden, omdat het redelijk frequent voorkomt, omdat het gaat om
georganiseerde criminaliteit en misschien nog wel vooral vanwege de
bijzondere oplichtersverhalen die met deze vorm gepaard gaan (oplichters
die fantasierijke verhalen opdissen over een fortuin dat in een ver
land kan vrijkomen als het slachtoffer maar bereid is om eerst te helpen
met het oplossen van enkele financiële hindernissen). Bij de voorschotfraude
is sprake van grootschalige oplichtingpraktijken waarbij
mensen voor grote bedragen worden opgelicht door ze voorschotten te
laten betalen (Van der Hulst & Neve, 2008). Er zijn internationaal gezien
honderden varianten (zie voor een overzicht Schoenmakers e.a., 2009).
Doorgaans wordt de slachtoffers een groot geldbedrag in het vooruitzicht
gesteld (bijv. van een erfenis, loterij of investering), maar om dat te
krijgen, moet het slachtoffer wel eerst een geldbedrag (voorschot) betalen.
– Marktmanipulatie. De handel met voorkennis en het manipuleren van aandelenprijzen
door het verspreiden van (onjuiste) informatie en geruchten
(bijv. over mogelijke overnames of interne problemen binnen organisaties)
in chatrooms, internetforums en via e-mail (spamming) (Van Amersfoort
e.a., 2002, in Van der Hulst & Neve, 2008). Het manipuleren van
aan delenkoersen staat ook wel bekend als ‘pump ’n dump’- of ‘trash and
cash’-oplichting (Morris, 2004). Door het verspreiden van dergelijke informatie
of geruchten kan via aandelen- en optiehandel met voorkennis veel
winst worden behaald, soms ook door afpersing. In Nederland is bijvoorbeeld
een zaak bekend van een Nederlandse man die in 2006 op beleggersforums
allerlei informatie over een Brits bedrijf verspreidde waarmee hij
koersdalingen veroorzaakte. Vervolgens heeft hij onder dreiging van het
voortzetten van zijn lastercampagne via internet het bedrijf via e-mail, fax
en telefoongesprekken afgeperst. De man eiste onder andere aandelen van
het bedrijf (Netkwesties, 8 mei 2006, in Van der Hulst & Neve, 2008).

E-fraude
3.4 Verbanden van e-fraude met andere crimes
Inleiding
In deze paragraaf gaan we in op verbanden van e-fraude met andere vormen
van cybercrime. Dit doen we op basis van de dossierstudie. We volgen dezelfde
systematiek als bij hacken. We bekijken eerst onder welke titel de politie de
hackendossiers heeft geregistreerd. Daarna beschrijven we de verbanden met
andere (cyber)criminaliteit die we zelf tijdens de nadere analyse in de tekst
van de dossiers tegenkwamen. Ten slotte bekijken we welke wetsartikelen de
politie aan het dossier heeft toegekend. Als aan het dossier behalve artikel
326 Sr (oplichting) bijvoorbeeld ook artikel 138a Sr (computervredebreuk) is
gekoppeld, wijst dat op een verband tussen deze twee delicten. Mogelijk was
de hack in dat geval de weg waarlangs de dader het slachtoffer oplichtte.
De dossiers
We selecteerden op basis van sleutelwoorden 600 dossiers (voor de selectiemethode
zie de methodische verantwoording in hoofdstuk 1). Na een eerste
scan hielden we 418 relevante dossiers over. Na een uitgebreidere inhoudelijke
analyse bleek dat daarvan 86 stuks onbruikbaar waren, omdat het dossier
te summier was of geen cybercrime betrof: 35 dossiers bevatten alleen een
melding en geen aangifte; 14 dossiers betroffen geen cybercrime; 37 dossiers
vielen af om een andere reden (bijv. omdat ze te weinig informatie bevatten
om de zaak te analyseren, of omdat de aangifte werd ingetrokken omdat de
op marktplaats bestelde spullen toch geleverd werden). Er resteren aldus 332
cybercrimedossiers met een aangifte en voldoende informatie om het dossier
te analyseren. In 18 gevallen daarvan was er echter sprake van een andere
vorm van cybercrime dan e-fraude. Zo bleven 314 bruikbare dossiers e-fraude
over. Die dienen als basis voor onze analyse.
Onder welke titel (‘beschrijving’) staat het dossier geregistreerd
Een eerste manier om te bepalen welke verschijningsvormen e-fraude heeft
en of er dwarsverbanden zijn met andere cybercrimes is het analyseren van de
titels of beschrijvingen waaronder de dossiers e-fraude in de politiesystemen
zijn geregistreerd. Ter toelichting het volgende. We selecteerden de dossiers
niet op de titel waaronder het dossier in de politieadministratie is opgenomen.
We selecteerden op de inhoud van het dossier. Welke titel of ‘beschrijving’ de
behandelend agent aan het desbetreffende dossier geeft, zegt iets over hoe
die agent naar de zaak kijkt: wat voor hem of haar de essentie van deze zaak
is. De agent moet tijdens het registreren de ‘beschrijving’ kiezen uit een vaste
lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen. Van de 314
dossiers staan er 207 in BPS, 89 in XPOL en 18 in GENESYS (tabel 3.1). We ma-
81

82 Verkenning cybercrime in Nederland 2009
ken in eerste aanleg onderscheid tussen de drie basisprocessensystemen, omdat
de registratiesystematiek in deze drie niet identiek is. Daarna voegen we
de systemen samen (‘totaal’ in tabel 3.1) door overeenkomstige beschrijvingen
samen te nemen.
Tabel 3.1 Titels (‘beschrijving’) waaronder de 314 e-fraudedossiers zijn geregistreerd
BPS
XPOL
Beschrijving n %
Oplichting/overige fraude/bedrog/flessentrekkerij 197 95,2
Computercriminaliteit 3 1,4
Overige (diefstal uit woning, int. rechtshulpverzoek) 5 2,4
Totaal 205 100,0
Oplichting/overige fraude/oplichting milieu 84 94,4
Overige (overige diefstallen/rechtshulpverzoek buitenland) 5 5,6
Totaal 89 100,0
GENESYS
Oplichting/overige fraude 17 94,4
Overige (verhoor ander korps) 1 5,6
Totaal 18 100,0
TOTAAL
Oplichting/overige fraude/bedrog/flessentrekkerij 298 95,5
Computercriminaliteit 3 1,0
Overige 11 3,5
Totaal 312 100,0
Bijna alle fraudedossiers (95,5%) zijn door de behandelende politiemensen
ingedeeld onder fraude gerelateerde omschrijvingen. Een enkele keer luidt
de titel ‘verhoor voor ander korps’ of ‘internationaal rechtshulpverzoek’ en
ook die duiden niet op een verband van e-fraude met een ander soort delict.
Slechts een enkele keer duidt de titel ‘diefstal in woning’ erop dat in het dossier
ook nog een ander delict dan fraude aan de orde is. 29 Uit het registratiegedrag
van politiemensen kunnen we afleiden dat de cybercrime e-fraude
weinig verbanden met andere cybercrimes heeft. Een voorbeeld van een
e-fraudezaak zonder verband met een andere delictsoort staat in casus 3.1. Wellicht
heeft de verdachte een fictieve identiteit gecreëerd om het slachtoffer op
te lichten (een vorm van identiteitsmisbruik), maar zeker weten we dat niet.
29 Een andere mogelijkheid is nog dat sprake is van een registratiefout.

E-fraude
Casus 3.1 E-fraude
‘Ik doe aangifte van oplichting. Doordat de verdachte een valse naam/valse hoedanigheid
aannam, dan wel gebruik maakte van listige kunstgrepen/samenweefsel
van verdichtsels, werd ik bewogen tot afgifte van geld/goed. Als ik zou hebben
geweten, dat de verdachte een valse naam/valse hoedanigheid had aangenomen,
dan wel gebruik maakte van listige kunstgrepen/samenweefsel van verdichtsels,
dan zou ik niet tot afgifte zijn overgegaan. De oplichting vond als volgt plaats:
Op internet werd via Marktplaats vanaf [datum] een [product] aangeboden. De
vraagprijs was 120 euro. Ik had wel belang bij het product. Ik heb een mail gestuurd
dat ik akkoord ging. Ik heb toen geld over gemaakt naar [VE1]. Er werd mij
gemaild dat ik een track-and-trace code zou krijgen. Die heb ik nooit gehad. Latere
correspondentie leverde alleen maar excuses op. De adverteerder deed voorkomen
of dat hij in België woonde, maar dat is volgens mij helemaal niet waar. Het bestelde
goed is niet geleverd. Ik vind dat ik ben opgelicht, temeer omdat de [product]
later opnieuw op internet werd aangeboden.’
Verbanden blijkens de inhoudsanalyse
Tabel 3.2 geeft een overzicht van de verbanden tussen e-fraude en andere criminaliteitsvormen.
Die tabel heeft betrekking op 314 dossiers; elk dossier kan
meerdere verbanden met een ander delict bevatten.
Tabel 3.2 Verbanden in de 314 dossiers e-fraude met andere criminaliteit 3031
Andere (cyber)crime waarmee een verband is n % van 314 31
Cybercrimes in deze studie 11 3,5
Hacken 10 3,2
Cyberafpersen 1 0,3
Kinderporno 0 0,0
Haatzaaien 0 0,0
Overige cybercrimes 51 16,2
Identiteitsdiefstal 51 16,2
Offline criminaliteit 9 2,9
Identiteitsdiefstal 7 2,2
Onbekend 2 0,6
Geen verband met andere (cyber)crime 247 78,7
30 We selecteerden de verschillende vormen van (cyber)criminaliteit in de dossiers e-fraude op
basis van de definities die we vooraf opstelden (zie het analysekader in bijlage 10) en niet op
de wetsartikelen die in de dossiers zijn opgenomen.
31 Doordat in één dossier zowel verbanden met cybercrimes uit deze studie als overige (cyber)crimes
voor kunnen komen, is het totaal meer dan 100%.
83

84 Verkenning cybercrime in Nederland 2009
In de meeste dossiers (78,7%) vonden we geen verband met een andere criminaliteitsvorm.
Casus 3.1 is illustratief voor dergelijke dossiers: de verdachte
biedt producten aan via een verkoopsite, het slachtoffer en de verdachte komen
een prijs overeen, het slachtoffer betaalt, maar krijgt het bestelde goed
niet.
In de 314 dossiers e-fraude vonden we 67 dossiers (21,3%) met één of meer
verbanden met andere (cyber)crimes (tabel 3.2), in totaal 71 verbanden, gemiddeld
0,2 per dossier. In 51 dossiers (16,2%) is er naast e-fraude sprake van identiteitsdiefstal
en in 10 dossiers (3,2%) is er naast e-fraude sprake van hacken
(zie casus 3.2). De identiteit van het slachtoffer werd in al die gevallen via ICT
verkregen (er werden bijvoorbeeld onder valse voorwendselen persoonlijke
gegevens uit e-mailwisselingen verkregen of er was sprake van phishing) en
misbruikt om mensen mee op te lichten. Daarnaast is er in 7 dossiers (2,2%)
ook sprake van identiteitsdiefstal zonder gebruik van ICT (het gaat dan om
bankafschriften en andere persoonlijke documenten die door de daders zijn
misbruikt om een fictieve identiteit te maken en mensen op te lichten).
Casus 3.2 E-fraude met behulp van hacken
‘Op [datum] kwam ik er achter dat een ander persoon dan ik via internet een broek
besteld had bij [bedrijf] op mijn account. Hierop ging ik verder kijken in mijn mail
en kwam tot de conclusie dat er iemand mijn mailaccount gekraakt heeft. Er heeft
iemand met gegevens uit mijn mailaccount ingelogd op de site van [bedrijf] en
heeft daar bestellingen geplaatst op mijn naam maar met een ander afleveradres.
Op het afleveradres staat echter niemand ingeschreven. De postbesteller heeft een
afhaalbriefje in de brievenbus gedaan en VE heeft blijkbaar met dit briefje de bestelling
opgehaald op het postkantoor. Van deze bestelling heb ik geen e-mailverkeer
in mijn mailaccount terug kunnen vinden terwijl [bedrijf] toch minimaal één
maar waarschijnlijk twee mailtjes ter bevestiging stuurt naar het e-mailadres van
de besteller. Hieruit blijkt dus dat iemand anders dan ikzelf in mijn mailaccount
kan om deze mailtjes te lezen en te verwijderen.’
De meeste e-fraudezaken hebben dus geen verbanden met andere vormen van
criminaliteit en als er verbanden zijn, dan is dat met identiteitsdiefstal (19,1%),
voorafgaand aan het plegen van de fraude, en/of hacken (3,2%), hetgeen ook
ten dienste staat aan de fraude.
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?
Een dossier heeft vaste invoervelden voor het vermelden van de van toepassing
zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wets-

E-fraude
artikel opnemen. In 63 van de 314 dossiers staan geen wetsartikelen (20,1%).
Van de overige 251 dossiers stelden we vast welke wetsartikelen de politie
daar heeft vermeld. Het meest voorkomende wetsartikel is artikel 326 Sr (oplichting).
Dit komt in 96% van de dossiers voor. Andere herhaaldelijk voorkomende
wetsartikelen zijn artikel 225 Sr (valsheid in geschrifte, 6%), artikel 310
Sr (diefstal, 4,8%) en artikel 311 Sr (diefstal onder verzwarende omstandigheden,
4%) (zie tabel 3.3).
Kortom, in e-fraudedossiers staan overwegend wetsartikelen genoemd die
te maken hebben met oplichting, valsheid in geschrifte en diefstal. Cybercrime-artikelen
138a Sr (computervredebreuk, overnemen van gegevens) en
139c Sr (aftappen/opnemen gegevens) komen samen slechts drie keer voor
(1%). Artikel 232 Sr (skimmen) komt in niet meer dan 0,8% van de fraudegevallen
voor. Meestal gaat het bij e-fraude kennelijk om eenvoudig bedrog zonder
de technische voorbereiding die skimmen vergt.
Tabel 3.3 Wetsartikelen in 251 e-fraudedossiers 32
Artikel Omschrijving n % van 251
326 Sr Oplichting 241 96,0
225 Sr Valsheid in geschrifte 15 6,0
310 Sr Diefstal 12 4,8
311 Sr Diefstal onder verzwarende omstandigheden 10 4,0
45 Sr Poging tot misdrijf 7 2,8
321 Sr Verduistering 5 2.0
138a Sr Computervredebreuk 2 0,8
232 Sr Valse betaalpas of waardekaart 2 0,8
139c Sr Aftappen en/of opnemen van gegevens 1 0,4
261 Sr Smaad 1 0,4
285 Sr Bedreiging 1 0,4
329 Sr Bedrog bij verkoop 1 0,4
137e Sr Verspreiding discriminatie-uitlating 1 0,4
262 Sr Laster 1 0,4
48 Sr Medeplichtig aan een misdrijf 1 0,4
47 Sr Dader van een strafbaar feit 1 0,4
Totaal 302 *
* Is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten.
32 In één dossier kunnen meerdere artikelen voorkomen.
85

86 Verkenning cybercrime in Nederland 2009
Bij de inhoudsanalyse vonden we in 51 dossiers een verband met identiteitsdiefstal
met gebruik van ICT (16,2%). Dat verband vinden we niet terug als we
kijken naar de wetsartikelen die de politie bij het dossier heeft opgenomen.
Aan de op zichzelf al strafbare voorbereidingshandelingen die een fraudeur
pleegt als hij identiteitsgegevens van het slachtoffer bemachtigt, besteedt de
politie dus kennelijk geen aandacht in het opsporingsproces. Het meer technische
deel van de strafbare daad laat de politie aldus buiten beschouwing en
zij beperkt zich tot de fraude an sich. Wellicht speelt hier een rol dat de politiemensen
die de zaak behandelen (en de officieren van justitie die leidinggeven
aan het opsporingsproces) zich te weinig vertrouwd voelen met diefstal van
identiteitsgegevens via ICT (art. 138a lid 2, 139c, 139d en 139e Sr) en zich wel
vertrouwd voelen met oplichting en valsheid in geschrifte (art. 326 en 225 Sr).
Mogelijk speelt gebrek aan kennis over de ICT-kant van een delict hierbij een
rol (vgl. Toutenhoofd e.a., 2009).
Samengevat
We zochten in de e-fraudedossiers op drie manieren naar dwarsverbanden
tussen e-fraude en andere delicten.
1. we keken onder welke titel of beschrijving politiemensen het dossier registreerden;
2. we bestudeerden de inhoud van de dossiers;
3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde.
Uit de analyse komt naar voren dat e-fraude in de regel geen verbanden heeft
met andere (cyber)crimes. Voor zover dat wel het geval is, zijn er verbanden
met diefstal van identiteitsgegevens (vooral digitaal, maar ook niet-digitaal)
en soms ook met hacken. Deze delicten zijn dan een middel om te komen tot
de e-fraude. Het is niet ondenkbaar dat hacken en diefstal van identiteitsgegevens
vaker ten grondslag liggen aan e-fraude dan we kunnen opmaken
uit de dossiers. Slachtoffers weten immers niet altijd dat ze gehackt zijn en
of (en waar en hoe) hun identiteit gestolen is. De politie lijkt ook niet op zoek
naar de meer technische strafbare feiten die de verdachte pleegde om tot de
uiteindelijke fraude te komen. Alles met elkaar komt e-fraude overwegend
naar voren als een nogal op zichzelf staande criminaliteitsvorm, of, zo men
wil, een misdrijf waarheen wel voorbereidingshandelingen leiden, maar van
waar geen lijnen lopen naar andere criminaliteit.

E-fraude
3.5 Daderkenmerken uit de literatuur
Inleiding
De daderkenmerken van e-fraudeurs beschrijven we in deze paragraaf aan de
hand van de literatuur. In paragraaf 3.6 behandelen we vervolgens de resultaten
uit onze dossieranalyse en vergelijken we die resultaten met die uit de
literatuur. We brengen hier in herinnering de kanttekingen die we in het eerste
hoofdstuk plaatsten bij het opstellen van daderkenmerken (par. 1.4 onder
‘beperkingen van de methoden’). Hierna beschrijven we eerst de daderkenmerken
van voorschotfraude. Daarna gaan we in op fraude meer in het algemeen.
We onderscheiden daarbij verder geen subcategorieën, omdat daarvoor
te weinig over daders bekend is.
Voorschotfraude
Bij voorschotfraude gaat het volgens Van der Hulst en Neve (2008) om professionele
daders die in groepsverband opereren, deel uitmaken van een wereldwijd
(crimineel) netwerk en veelal afkomstig zijn en/of aangestuurd worden
uit Nigeria. Het staat daarom ook bekend als de ‘Nigerian scam’ of ‘419-fraude’
(naar art. 4.1.9 van het Nigeriaanse Wetboek van Strafrecht). Uit onderzoek
van Schoenmakers e.a. (2009) blijkt dat dergelijke scam’s al sinds de jaren
tachtig van de vorige eeuw worden uitgevoerd (toen nog per brief). Met
de technologische ontwikkelingen zijn oplichters later gebruik gaan maken
van fax en e-mail. West-Afrikaanse criminele netwerken worden in het Nationale
Dreigingsbeeld 2008 (NDB2008) omschreven als flexibele netwerken,
bestaande uit losse cellen die zich ook schuldig maken aan vele andere vormen
van criminaliteit (Boerman e.a., 2008). In Amsterdam-Zuidoost wonen
volgens het NDB2008 relatief veel Nederlanders van Nigeriaanse afkomst, die
een aantrekkelijk sociaal netwerk vormen voor de vaak illegaal in Nederland
verblijvende oplichters. In Amsterdam waren volgens Van der Werf (2003) in
2002 zo’n zes à zeven georganiseerde groepen actief die zich, naast fraude,
ook bezighielden met onder meer vrouwenhandel, verdovende middelen en
geweldsmisdrijven.
Uit het onderzoek van Van der Hulst en Neve (2008) blijkt dat er gaandeweg
steeds meer bekend wordt over daders. Schoenmakers e.a. (2009, p. 90) concluderen
echter dat ‘er in Nederland opvallend weinig wetenschappelijke kennis
[is] over de Nigeriaanse gemeenschap, waarbinnen de fraudeurs verblijven’.
Volgens Van der Hulst en Neve (2008) gaat het om georganiseerde misdaad.
De meeste daders hebben een strafblad (op het gebied van oplichting en fraude)
en de recidive is hoog: men begint na een veroordeling gewoon opnieuw,
desnoods in een ander land (Cops, 2007b). De oplichters maken veelvuldig
gebruik van vervalste en gestolen (persoons)documenten en worden tevens
87

88 Verkenning cybercrime in Nederland 2009
verdacht van witwassen (Cops, 2007b; KLPD, juni 2007). Verder laten Van der
Hulst en Neve zien dat de gearresteerden overwegend mannen zijn tussen
de 18 en 48 jaar die opereren in groepjes van 4 tot 21 personen en die van
West-Afrikaanse afkomst zijn. 33 Schoenmakers e.a. (2009) concluderen dat Nigeriaanse
419-fraudeurs die zich op buitenlanders richten veelal jonge mannen
zijn. Er zijn echter ook oudere daders die al sinds de jaren tachtig bezig
zijn met dergelijke oplichtingen (de ‘oude rotten in het vak’). Dit zijn, aldus
nog steeds Schoenmakers e.a., de topfiguren in de fraudenetwerken en zijn te
plaatsen in het rijtje van militaire dictators, corrupte politici en corrupte bank-
en oliefunctionarissen (Smith, 2007, aangehaald in Schoenmakers e.a., 2009).
Omdat fraude sinds 1999 in Nigeria hard wordt aangepakt, wijken daders volgens
Schoenmakers e.a. (2009) uit naar andere West-Afrikaanse landen, zoals
Ghana, Ivoorkust en Burkina Faso en opereren zij vanuit steden met een
grote Nigeriaanse gemeenschap (zoals Amsterdam of Londen) en maken zij
gebruik van bijvoorbeeld internetcafés of een gehuurd kantoor. Groeperingen
werken met name vanuit Nederland, Spanje en Engeland, maar ook vanuit
andere West-Europese landen (Schoenmakers e.a., 2009). Verder zijn de leden
volgens het NDB2008 vaak bekenden of familie van elkaar en werken zij voor
een korte periode intensief samen (Boerman e.a., 2008). Voor de insiders is
het netwerk waarin de daders zich bevinden overzichtelijk en kent iedereen
elkaar. Criminele netwerken wisselen dan ook met groot gemak van samenstelling.
Deze losse structuur is blijkens Boerman e.a. (2008) en Schoenmakers
e.a. (2009) kenmerkend voor West-Afrikaanse criminele netwerken en zorgt
ervoor dat de fraudeurs snel kunnen inspelen op veranderende situaties.
Corpelijn (2008, aangehaald in Schoenmakers e.a., 2009) concludeert dat de
419-fraude uit verschillende delictfasen bestaat. In iedere fase zouden daders
technieken gebruiken om slachtoffers te manipuleren (social engineering, zie
bijlage 1). Er bestaan volgens Corpelijn (2008) vier fasen die werken als een
trechter: gaandeweg vallen steeds meer slachtoffers af en een kleine groep
blijft over die voor het grote geld zorgt. De vier fasen zijn (naar Corpelijn,
2008):
1. De informatiefase. Daders maken op vriendelijke en zakelijke toon contact
met de slachtoffers. Via e-mail, maar ook per post wordt het vertrouwen
van het slachtoffer gewonnen.
2. De interactiefase. Slechts een klein deel van de mensen die een e-mail krijgt,
reageert daarop. Herinneringsmails moeten ervoor zorgen dat het slacht-
33 Volgens experts van het KLPD (aangehaald in Schoenmakers e.a., 2009) bestaan dergelijke
netwerken uit zo’n acht tot tien personen, maar merken respondenten uit de Nigeriaanse
gemeenschap op dat er in werkelijkheid wel honderden ‘cellen’ betrokken kunnen zijn. Het
is dus onduidelijk wat de werkelijke omvang van deze netwerken is.

E-fraude
offer overtuigd wordt om deel te nemen aan de scam. Slachtoffers moeten
persoonlijke informatie opsturen om de transactie te laten slagen.
3. De transactiefase. Er wordt een verzoek gedaan om een voorschot te betalen,
bijvoorbeeld in verband met administratiekosten. Op dit moment begint
de scam pas echt. Het slachtoffer wordt steeds verzocht om bedragen te
betalen voor nieuwe onvoorziene kosten. Soms vinden zelfs face-to-faceontmoetingen
plaats waarbij het slachtoffer een koffer met vals geld te zien
krijgt.
4. De slotfase. De transactiefase loopt door totdat het slachtoffer beseft dat hij
of zij is opgelicht.
De looptijd van een scam kan volgens Schoenmakers e.a. (2009) behoorlijk
lang zijn en de genoemde vier fasen variëren doordat per scam de opzet,
het slachtoffer, de situatie en de omgeving anders zijn. De werkwijze van de
419-fraudeurs gaat volgens Schoenmakers e.a. (2009) hand in hand met identiteitsmisbruik
en de onzichtbaarheid van de werkwijze is dan ook een grote
succesfactor. Er wordt volgens de onderzoekers gebruikgemaakt van hulpmiddelen
als prepaidtelefoons, VoIP, internet en valse documenten.
Het NDB2008 vermeldt dat er in de periode tussen 1 oktober 2006 en 1 november
2007 175 meldingen van voorschotfraude zijn binnengekomen (Boerman
e.a., 2008). Zowel Boerman e.a. (2008) als Schoenmakers e.a. (2009) komen
tot de conclusie dat groeperingen die in Nederland actief waren, zich
met name richtten op potentiële slachtoffers uit de Verenigde Staten en het
Verenigd Koninkrijk (zie ook Schoenmakers e.a., 2009). Daarentegen worden
volgens het NDB2008 Nederlandse burgers vaak slachtoffer van in het buitenland
opererende oplichters. Schoenmakers e.a. (2009) wijzen erop dat met
name Nigerianen zelf het slachtoffer worden van de oplichtingen. Volgens
deze auteurs zijn de Nederlandse slachtoffers meestal hoogopgeleid. Volgens
Corpelijn (2008) worden op verschillende manieren slachtoffers gemaakt: daders
spelen in op de emotie en empathie van het slachtoffer (het geld van een
ernstig zieke veiligstellen of geld uit een corrupt land wegsluizen), op hebzucht
(deze mensen raken verblind door de mogelijkheid om snel veel geld
te verdienen) en onwetendheid (slachtoffers laten zich meeslepen door onwetendheid
over dergelijke oplichtingen in combinatie met het geloof in de goedheid
van de mens). Tot slot speelt de situationele factor een rol: alle slachtoffers
zijn om een bepaalde reden, bijvoorbeeld ontslag, financiële problemen of het
verlies van een dierbare, ontvankelijk voor het aanbod dat gemaakt wordt.
In figuur 3.6 staan de daderkenmerken van voorschotfraude zoals die bekend
zijn in de literatuur, volgens Van der Hulst en Neve (2008).
89

90 Verkenning cybercrime in Nederland 2009
Figuur 3.6 Daderkenmerken voorschotfraude (Van der Hulst & Neve, 2008)
Sociaal-demografische kenmerken: man, tussen de 18 en 48 jaar, afkomstig uit West-
Afrika (Nigeria, Soedan, Liberia) (sommigen illegaal).
(Technische) kennis en vaardigheden: beperkte ICT-expertise, professioneel.
Primaire motivatie: financieel gewin.
Sociaal-psychologisch profiel: gebrek aan schuldbesef.
Criminele carrière: hoge recidive (oplichting en fraude), internationale connecties
(georganiseerde misdaad).
Overige e-fraude
In de literatuur zijn weinig of geen specifieke daderkenmerken bekend van
e-fraudeurs. Het trendrapport van IC3 over meldingen van fraude in de Verenigde
Staten in 2007 geeft een zeer beperkt beeld van daderkenmerken. Bij
42% van de meldingen is het geslacht van de dader bekend. In driekwart van
die meldingen was de dader een man. De meeste daders plegen het delict
vanuit de Verenigde Staten (63,2%). Andere landen van waaruit veel delicten
worden gepleegd, zijn het Verenigd Koninkrijk (15,3%), Nigeria (5,7%) en Canada
(5,6%) 34 (IC3, 2008). We kunnen hier op twee manieren naar kijken. Wanneer
we vertrekken vanuit het mondiale karakter van internet, kan men het
opvallend vinden dat nog steeds de meeste gemelde gevallen van fraude in
Amerika afkomstig zijn uit het eigen land. Een verklaring hiervoor kan zijn
dat de meeste meldingen betrekking hadden op het niet leveren van bestelde
goederen van onlineveilingen. Wellicht wordt er met name gebruikgemaakt
van onlineveilingsites die afkomstig zijn uit het eigen land (IC3, 2008). Wanneer
we vertrekken vanuit opsporingsperspectief, moeten we constateren dat
in 36,8% van de e-fraudes de dader opereert vanuit een ander land dan waar
het slachtoffer woont – een ander land dus dan waar de betrokken opsporingsautoriteiten
bevoegd zijn.
Uit de literatuurinventarisatie van Van der Hulst en Neve (2008) blijkt
verder dat er ook nog weinig bekend is over personen die zich toeleggen op
fraude met identiteitsmisbruik. De Nationale en Bovenregionale Recherche
hebben maar een beperkt aantal opsporingsonderzoeken gedaan naar zaken
waarbij identiteitsmisbruik aan de orde was (KLPD, DNRI, 2007c). In de literatuur
wordt geregeld naar voren gebracht dat personen die zich bezighouden
met identiteitsmisbruik hackers zijn die de overstap maakten van hackers-
34 IC3 geeft alleen een top tien van landen waaruit oplichtingen gepleegd zijn. Naast de hier
genoemde landen zijn dat: Roemenië (1,5%), Italië (1,3%), Spanje (0,9%), Zuid-Afrika (0,8%),
Rusland (0,8%) en Ghana (0,7%).

E-fraude
idealen naar computercriminaliteit voor financieel gewin (bijv. Boerman &
Mooij, 2006). Ook uit de internationale literatuur komt volgens Van der Hulst
en Neve (2008) financieel gewin naar voren als het motief van identiteitsmisbruik.
Andere auteurs wijzen erop dat fraude met gebruikmaking van een
valse identiteit steeds meer het werkterrein is van criminelen die zich voorheen
bezighielden met drugshandel. Volgens Newman en McNally (2005)
zorgen de grote opbrengsten en geringe pakkans ervoor dat e-fraude voor de
opportunistische kanszoeker aantrekkelijker is dan de handel in drugs. Ook
Copes en Vieraitis (2007) concluderen dat de primaire motivatie van daders is
het op relatief eenvoudige manier snel geld verdienen.
Copes en Vieraitis interviewden voor hun studie naar de denkwijze van
daders van identiteitsdiefstal 59 gedetineerde daders in de Verenigde Staten. 35
Zij constateren dat er geen sprake is van een homogene dadergroep. Niettemin
noemen ze als daderkenmerken: werkende middenklasse, strafblad (bijv.
fraude, drugs), manipulatief sterk, technische vaardigheden en kennis van
systemen (zoals van banken en andere financiële instellingen). Een deel van
de daders had de voor de fraude vereiste kennis vergaard tijdens het werk:
bijvoorbeeld bij een hypotheekinstelling, overheidsdienst of een ander bedrijf
dat toegang biedt tot persoonlijke gegevens, zoals creditcardnummers (banken,
warenhuizen). Doordat er nog weinig zicht is op de daderkenmerken van
cybercriminelen die zich bezighouden met identiteitsmisbruik, is het lastig te
bepalen of zij werken in georganiseerde groepen (Van der Hulst & Neve, 2008;
KLPD/DNR, 2007a; Gordon & Ford, 2006). In figuur 3.7 staan de daderkenmerken
die Van der Hulst en Neve (2008) opdeden uit verschillende bronnen.
Figuur 3.7 Daderkenmerken e-fraude met identiteitsmisbruik (Van der Hulst &
Neve, 2008)
Sociaal-demografische kenmerken: werkende middenklasse.
(Technische) kennis en vaardigheden: professionele hacker als dienstverlener. Is technisch
vaardig. Werkt in groepsverband en/of op huurbasis. Maakt gebruik van
botnets en nepwebsites. Heeft kennis van systemen van banken (soms in relatie
tot arbeidsverleden).
Primaire motivatie: financieel gewin (grote opbrengsten, geringe waargenomen
pakkans).
Sociaal-psychologisch profiel: manipulatief.
Criminele carrière: strafblad (fraude, drugs). Voorheen mogelijk drugshandel.
35 Daders werden geselecteerd op basis van een veroordeling op art. ‘18 U.S.C. 1028, which is
the federal statute for identity theft’ (Copes & Vieraitis, 2007).
91

92 Verkenning cybercrime in Nederland 2009
De FBI publiceerde over de handelswijzen van een groep cybercriminelen
die wordt beschuldigd van phishing (met als doel identiteitsdiefstal, -vervalsing
en -misbruik) (FBI, 2008b). Hierbij waren drie typen daders betrokken:
de suppliers/leveranciers die informatie aanleveren, de cashiers/kassiers
die de informatie gebruiken om bijvoorbeeld creditkaarten te vervalsen en
de runners, die de creditkaarten testen. Hierna volgt een weergave van een
phishing-aanval zoals beschreven door de FBI:
– Vanuit Roemenië werden door een groep computercriminelen door phishing
(in de vorm van het versturen van enorme hoeveelheden spam) credit-
en debitaccounts en persoonlijke informatie verkregen. Deze criminelen
waren de leveranciers (suppliers).
– De leveranciers verstuurden de verkregen informatie via chatkanalen en
e-mail door naar hun partners in de Verenigde Staten: de cashiers (kassiers).
– Door gebruik te maken van geavanceerde, maar makkelijk beschikbare,
software maakten de kassiers onder andere hun eigen creditkaarten. De
informatie die afkomstig was van de leveranciers (de groep uit Roemenië)
werd hiervoor gebruikt. Op deze manier kon toegang worden verkregen
tot grote geldbedragen.
– Runners werden gebruikt om de gemaakte kaarten te testen. Kleine geldbedragen
werden gepind en de saldi bekeken. De kaarten die ‘cashable’
waren, werden verder misbruikt.
– De kassiers sturen een percentage van de winsten naar de leveranciers.
Op www.Ha.ckers.org lezen we een vergelijkbare weergave van een phishingaanval
(Ha.ckers.org, 2006). Ook hier worden drie typen criminelen beschreven
die deelnemen aan een phishing aanval: de spammer, de hacker en de carder.
De spammer zorgt voor het verkrijgen van e-mailadressen en het versturen
van grote hoeveelheden phishing-mails. Hiervoor worden gehackte systemen
(bijv. botnets) gebruikt.
De hacker zoekt naar websites die kunnen worden gehackt. De hacker betaalt
de spammer voor de e-mailadressen en om de spam te versturen. Het
is de bedoeling dat de slachtoffers door het aanklikken van een link op de
gehackte website komen, waarna de hacker zich toegang verschaft tot persoonlijke
informatie. Zoals in hoofdstuk 3 duidelijk werd, kan een computercrimineel
op meerdere manieren aan dergelijke informatie komen, van het
uitvoeren van een cross-site scripting aanval of Iframe-injectie tot het installeren
van spyware of het uitvoeren van een man-in-the-middle attack door het
kopiëren van legitieme websites.
Een carder koopt de gestolen informatie van de hacker en zet deze op lege
creditkaarten en kan de kaarten gebruiken om geld te pinnen.

E-fraude
Carding is het jargon van cybercriminelen voor creditcardfraude. De ontwikkeling
van carding volgde de snelle opkomst van onlinewinkelen op de
voet (KLPD/DNR, 2007a). Carding bestaat dan ook voor een groot deel bij de
gratie van gegevens die verkregen zijn van onlinewinkels, meestal middels
inbraak in hun klantendatabase. Een ‘full cc’, zoals dat volgens het KLPD in
de cardingwereld heet, bestaat uit een creditcardnummer plus de overige gegevens:
geldigheidsdatum, verificatienummer op de achterkant, naam van de
houder, en zo veel mogelijk overige gegevens. Behalve in de fysieke wereld
worden creditcardgegevens ook op het internet veelvuldig ge(mis)bruikt. In
de eerste plaats natuurlijk om goederen te kopen. Ook het huren van servers
die tijdelijk gebruikt worden voor malafide doeleinden vindt meestal plaats
met gestolen creditcardgegevens, dit om het spoor naar de daders te verhullen
(KLPD/DNR, 2007a).
Samenvatting en conclusie
Daders van e-fraude zijn niet eenvoudig te typeren. Volgens de literatuur is
voor deze daders financieel gewin een (of de) drijfveer, maar dat brengt ons
natuurlijk niet werkelijk veel verder. Daders die zich toeleggen op fraude met
identiteitsmisbruik beschikken over het geheel genomen over bovengemiddelde
technische inzichten en vaardigheden, want die zijn nuttig voor het langs
technische weg verwerven van persoonsgegevens. Ook kunnen ze beschikken
over kennis van betaalsystemen, bijvoorbeeld door hun arbeidsverleden.
Fraude vindt ook plaats in georganiseerd verband. Het bekendste en vanwege
politieonderzoek tevens goed gedocumenteerde voorbeeld daarvan is de
voorschotfraude door daders met een connectie in West-Afrikaanse landen, in
het bijzonder Nigeria (‘Nigerian scam’). De FBI documenteerde hoe creditcardfraude
(‘carding’) wordt gepleegd door een crimineel samenwerkingsverband.
Frauderen is volgens de literatuur voor de daders geen eenmalige zaak: niet
zelden hebben zij antecedenten voor fraude, maar ook wel voor drugshandel.
3.6 Verdachtenkenmerken uit de dossierstudie
In deze paragraaf beschrijven we de resultaten van de dossieranalyse. Aan
bod komen de modus operandi, persoonskenmerken, sociale achtergrond en
antecedenten van de verdachten van e-fraude.
De modus operandi
Om de modus operandi bij e-fraude te beschrijven hebben we (1) een analyse
gemaakt van de MO zoals die door politiemedewerkers in het politiedossier is
vastgelegd en (2) gekeken naar gebruikte criminele technieken en voorberei-
93

94 Verkenning cybercrime in Nederland 2009
dingshandelingen die in het dossier worden genoemd, (3) vastgesteld vanuit
welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al dan niet
samenwerkende verdachten in het dossier staan vermeld.
(1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen
kunnen bij het registreren van een delict één of meer MO’s kiezen
uit een vaste lijst. Die lijst verschilt enigszins per basisprocessensysteem.
Daarnaast kunnen politiemensen zelf een MO invoeren. Niet altijd is een MO
ingevuld: in 84 dossiers is dat niet het geval en in 230 dossiers wel. De MO’s
die bij die 230 dossiers voorkomen, zijn ‘computer’, ‘woning’, ‘valse naam/
hoedanigheid’, ‘advertentie’ en ‘internet’ (tabel 3.4). Deze MO’s geven de globale
aard van e-fraude weer: het merendeel van de zaken gaat over het wel
betalen, maar niet leveren, of wel leveren, maar niet betalen van goederen
bij verkoopsites (zie casus 3.1). Over de werkwijze van de daders worden we
langs deze weg niet veel wijzer.
Tabel 3.4 MO-beschrijvingen in 230 e-fraudedossiers 36
MO-beschrijving n %*
In BPS (n=189)
Computer 91 48,1
Woning 79 41,8
Valse naam/hoedanigheid 42 22,2
Advertentie 38 20,1
Internet 18 9,5
In XPOL (n=40)
Valse naam/hoedanigheid 14 35,0
Computer 5 12,5
Advertentie 3 7,5
Woning 2 5,0
In GENESYS (n=1)
Valse naam/hoedanigheid 1 100,0
TOTAAL (n=230)
Computer 96 41,7
Woning 81 35,2
Valse naam/hoedanigheid 57 24,8
Advertentie 41 17,8
Internet 18 7,8
* Het totaal is niet gelijk aan 100, omdat in een dossier meerdere MO’s kunnen zijn geregistreerd.
Daarnaast hebben we MO-beschrijvingen die niet vaak voorkomen niet in de tabel opgenomen,
zie ook de methodische verantwoording in hoofdstuk 1.
36 Per dossier zijn meerdere MO’s mogelijk.

E-fraude
(2) Bij de nadere inhoudelijke analyse legden we vast of het dossier informatie
bevatte over het gebruik van criminele technieken. We beperken ons
hier tot die welke in de bijlagen 1 tot en met 9 zijn behandeld. In 43 dossiers
(13,7%) konden we vaststellen dat één of meer criminele technieken zijn gebruikt,
maar niet altijd konden we bepalen welke. In 34 gevallen vonden we
daarover wel informatie. Het ging in 32 van de 34 gevallen (94,1%) om social
engineer ing: het overtuigen van een gebruiker om iets te doen wat hij/zij normaal
niet zou doen (KLPD/DNR, 2007a). In twee dossiers (5,9%) was sprake
van phishing (zie casus 3.3). Criminelen ontfutselden in deze zaken via een
nepwebsite de inloggegevens van het slachtoffer en pleegden met deze gegevens
e-fraude. Het is uiteraard denkbaar dat cybercriminelen deze techniek
inzetten zonder dat het slachtoffer merkt dat hem zijn/haar gegevens worden
ontfutseld. Dan kan het slachtoffer daarvan geen melding maken en is sprake
van onderrapportage.
Voor zover we het gebruik van technieken hebben kunnen vaststellen, gaat
het bij e-fraude dus om social engineering. Vaak bestaat de fraude eruit dat
het slachtoffer wordt ‘overgehaald’ om bepaalde goederen te betalen alvorens
ze geleverd worden. In de meeste zaken van e-fraude maken verdachten gebruik
van advertenties op verkoopsites. In deze advertenties maken zij dan
gebruik van valse identiteiten (gecreëerd of gestolen), KvK-nummers en andere
informatie om afnemers voor hun ‘goederen’ te krijgen. Ook was er in
een aantal zaken een professionele bedrijfswebsite opgezet, waardoor slachtoffers
dachten dat ze met een legitiem bedrijf te maken hadden. In al deze
advertenties en websites is sprake van social engineering: het slachtoffer moet
door een bepaalde voorstelling van zaken worden gebracht tot het door de
dader gewenste gedrag. Casus 3.1 bevat een voorbeeld daarvan. Het slachtoffer
verklaart immers: ‘Als ik zou hebben geweten, dat de verdachte een valse
naam/valse hoedanigheid had aangenomen, dan wel gebruik maakte van listige
kunstgrepen/samenweefsel van verdichtsels, dan zou ik niet tot afgifte
zijn overgegaan.’ 37 Bij 296 van de 314 dossiers hebben we kunnen vaststellen of
de e-fraude gepleegd werd met identiteitsmisbruik. Dat was in 87 van die 296
dossiers het geval (29,4%). Identiteitsmisbruik is dus geen uitzondering.
37 Dit zijn uiteraard niet de woorden van de verdachte. Een proces-verbaal bevat een ‘politievertaling’
van wat de verdachte verklaart, zo ook hier.
95

96 Verkenning cybercrime in Nederland 2009
Casus 3.3 E-fraude met behulp van phishing
‘Ik doe aangifte van oplichting, fraude dan wel diefstal. Ongeveer 14 dagen geleden,
[datum] heb ik ingelogd op de site van mijn bank om van mijn girorekening
diverse overschrijvingen te doen via internet. Ik merkte dat ik niet met mijn
gewone gebruikersnaam en wachtwoord in kon loggen op de site van mijn bank.
Ik heb toen via de site een nieuw wachtwoord aan moeten vragen omdat ik niet
meer in kon loggen. Toen ik na ongeveer een week nog niks had gehoord van mijn
wachtwoord en gebruikersnaam heb ik gebeld met een medewerker van de bank.
Ik hoorde hem zeggen dat ik dat gewoon via de internetsite van mijn bank moest
doen. Ik heb dit vervolgens gelijk diezelfde dag nog gedaan en ik kreeg gisteren
met de post inderdaad mijn gebruikersnaam en wachtwoord. Vervolgens ben ik
vanmorgen met de aan mij verstrekte gebruikersnaam en wachtwoord ingelogd
om onze girorekening te raadplegen. Ik zag toen dat er op [datum] een overschrijving
had plaatsgevonden met een bedrag van € 25.000. Ik heb zelf nooit daartoe
de opdracht gegeven. Sterker nog, de overschrijving heeft plaatsgevonden in de
tijd dat ik zelf niet in kon loggen op de site van mijn bank om overschrijvingen via
internet te doen.’
Net als met de criminele technieken is het moeilijk te bepalen wanneer de
verdachten wel of geen voorbereidingshandelingen hebben getroffen. In veel
e-fraudedossiers staat weinig informatie over de verdachte. In 71 dossiers was
er sprake van voorbereidingshandelingen. Het ging in die dossiers 39 keer
(54,9%) om het maken en plaatsen van een advertentie op een verkoopsite, al
dan niet in combinatie met het creëren van een valse identiteit en het openen
van een rekening waarop het geld kon worden gestort. In 13 dossiers (18,3%)
creëerden de verdachten een website en e-mailadres om mensen op te lichten.
De website was zo opgezet dat slachtoffers dachten dat het om een legitiem
bedrijf ging. In 2 andere dossiers verstuurde de verdachte echt lijkende
e-mails (bijv. met reclame of aanbiedingen). In 1 dossier verstuurde de verdachte
mails om persoonlijke informatie (waaronder inloggegevens van een
Pay Pal-account) te verkrijgen. In 4 dossiers is een valse identiteit gecreëerd.
In 2 dossiers hadden de verdachten eerst creditcardgegevens gestolen, om
daarmee vervolgens aankopen te doen via internet. In de overige 10 dossiers
werden uiteenlopende voorbereidingshandelingen gedaan, of was onbekend
waaruit de handelingen precies bestonden.
(3) Van 166 van de 314 e-fraudedossiers weten we vanuit welk land het delict
is gepleegd. In 142 van die dossiers (85,5%) opereerde de dader(s) vanuit Nederland
en in 24 gevallen (14,5%) vanuit het buitenland (bijv. casus 3.4). De
meeste van deze delicten werden gepleegd vanuit andere Europese landen:

E-fraude
Duitsland (5), Engeland (3), België (2), Italië (2), Oostenrijk (1) en Roemenië (1).
De overige e-fraudes werden gepleegd vanuit Nigeria (3) en Thailand (1). Zes
keer was onbekend uit welk buitenland het delict precies gepleegd werd.
Casus 3.4 E-fraude vanuit het buitenland
‘Ik doe aangifte van oplichting middels internetfraude. […] Ik begon om 19:00 uur
te surfen op het web. Ik was op zoek naar een bestand. Ik kwam via Windows terecht
bij een site waar het mogelijk was een bestand te downloaden. Op de site was
een zogeheten spamvirus aanwezig dat mij vertelde dat ik de miljoenste bezoeker
van de site was en dat ik een prijs gewonnen had. Ik moest contact opnemen met
een telefoonnummer in de Verenigde Staten. Ik deed dit en ik kreeg daar een mannelijk
persoon aan de telefoon die zei genaamd te zijn VE1. Ik hoorde dat VE1 mij
vertelde dat ik gewonnen had en of ik mijn prijzen wilde weten. De gewonnen prijzen
bestonden uit een 11-daagse reis door Amerika met vier personen ter waarde
van 8000 dollar.
Ik werd een beetje sceptisch door het verhaal en ik vertelde hem dat het te goed
was om waar te zijn. Hierdoor kreeg ik zijn manager aan de telefoon. De manager
kwam heel overtuigend op mij over wat betreft de gewonnen prijs en ik zag
geen reden om haar te wantrouwen. De manager vertelde mij vervolgens dat er wel
kosten aan verbonden waren. Ze deed dit tussen neus en lippen door. De kosten
bedroegen 898 dollar en waren bestemd voor mijn aandeel in de kosten van de reis.
[…] Ik heb haar daarop gegeven waar ze om vroeg. Ze vroeg aan mij mijn creditcard
nummer om de 898 dollar van mijn creditcard af te schrijven.
Tijdens een tweede gesprek werd mij verteld dat er ook een 5-daagse reis naar
Mexico inbegrepen zat. Er was mij echter hierover in het eerste gesprek niets over
verteld. Ik was dan ook benieuwd hoe het nu zat en ik werd hierdoor ook argwanend
en belde met het opgegeven nummer van de klantenservice. De mevrouw
vertelde mij dat ik niet in haar systeem stond en dat ik vandaag terug moest bellen.
Dit was het moment dat ik nog meer argwaan kreeg en ik belde met een vriendin
om het bovenstaande verhaal voor te leggen. Ze vertelde mij dat het wel eens een
oplichting kon zijn.’
In casus 3.4 is onbekend uit welk land het delict gepleegd is. De verdachten
spraken weliswaar Engels en er werd gebruikgemaakt van een telefoonnummer
in de Verenigde Staten, maar uit het dossier bleek niet uit welk land ze
afkomstig waren of waar het bedrijf gevestigd was. De casus is een voorbeeld
van hoe criminelen kunnen samenwerken, er zijn meerdere verdachten bezig
één slachtoffer op te lichten.
97

98 Verkenning cybercrime in Nederland 2009
(4) In 97 van de 314 dossiers troffen we geen verdachte aan of was het onbekend
of er een verdachte was (30,9%). Van 217 dossiers weten we dat er één of
meer verdachten waren. In totaal noteerden we in die 217 dossiers 280 verdachten,
als volgt over de dossiers verdeeld:
– in 177 dossiers 1 verdachte (81,6%);
– in 26 dossiers 2 verdachten (12,0%);
– in 9 dossiers 3 verdachten (4,1%);
– in 3 dossiers 4 verdachten (1,4%);
– in 1 dossiers 5 verdachten (0,0%);
– in 1 dossiers 7 verdachten (0,0%).
In 7 dossiers (2,2%) is het delict mogelijk gepleegd in georganiseerd verband.
Het ging bijvoorbeeld om een groep verdachten die via een door hen opgezet
nepbedrijf op internet adverteerden met spullen (in dit geval elektronika) en
deze na betaling door het slachtoffer niet leverden. Ook kwamen we voorbeelden
van voorschotfraude tegen waarbij het slachtoffer werd voorgehouden
een prijs te hebben gewonnen. Er moest echter eerst een geldbedrag aan
de organisatie worden betaald alvorens de prijs in ontvangst kon worden genomen.
Over de MO’s weten we nu dat daders van e-fraude putten uit een vrij beperkt
repertoire aan technieken. In bijna alle gevallen (94,1%) is sprake van
social engineering. Enkele keren was sprake van phishing. Geregeld (in 29,4%
van de zaken) is sprake van e-fraude met identiteitsmisbruik. Het gaat bij
e-fraude over het geheel genomen om vrij eenvoudige zaken: de dader plaatst
een advertentie of maakt een website of verstrekt anderszins informatie die
het slachtoffer moet verleiden tot het betalen voor bepaalde goederen of diensten
– die vervolgens niet worden geleverd. In 14,5% van de gevallen opereert
de dader vanuit het buitenland. In de overgrote meerderheid van de zaken
(81,6%) is sprake van slechts één verdachte. In 7 dossiers (2,2%) konden we
vaststellen dat het delict in georganiseerd verband gepleegd werd. Hoewel in
de literatuur nogal eens aandacht wordt gevraagd voor samenwerkende fraudebendes
(Nigerian scam, skimming) is het gros van de zaken werk van vrij
eenvoudig opererende oplichters.
Persoonskenmerken
Van 213 van de 421 verdachten weten we het geboorteland (tabel 3.5): 189 van
hen zijn in Nederland geboren (88,7%) en 24 daarbuiten (11,3%). Twee verdachten
zijn geboren in Duitsland, de overige verdachten buiten Europa.

E-fraude
Tabel 3.5 Geboorteland van 213 verdachten
Geboorteland n %
Nederland 194 88,7
Ander Europees land 2 0,9
Buiten Europa 22 10.3
Totaal 213 99,9
Van 218 verdachten weten we het geslacht. Het gaat om 160 mannen (73,4%) en
58 vrouwen (26,6%). Net als bij hacken is globaal genomen driekwart van de
verdachten man (tabel 3.6). Het percentage mannen bij e-fraude is significant
groter dan het percentage mannen van de Nederlandse bevolking, maar significant
kleiner dan het percentage mannen van alle verdachten in HKS (73,4
tegen 82,9; p

100 Verkenning cybercrime in Nederland 2009
in de hoofdgroep ‘vermogen zonder geweld’ 39 (Prins, 2008) (p

E-fraude
101
Sociale achtergrond
Van 58 verdachten is de woonsituatie bekend: 27 zijn samenwonend (46,6%),
19 inwonend (32,8%) en 12 alleenwonend (20,7%). Dat wil zeggen dat 79,4%
van de 58 verdachten waarover we gegevens hebben in een meerpersoonshuishouden
woont en 20,7% in een eenpersoonshuishouden. Landelijk gezien
bestaan de Nederlandse huishoudens voor 35,5% uit eenpersoonshuishoudens
(www.cbs.nl, peiljaar 2008). Het verschil tussen deze 35,5% en 20,7% is
significant (p

102 Verkenning cybercrime in Nederland 2009
Tabel 3.8 Antecedenten van 138 verdachten van e-fraude en van Nederlanders van
12 jaar en ouder (n=14 mlj.): vermeldingen per hoofdgroep 42
Hoofdgroep Verdachten e-fraude Nederlanders 12+
% van
n % van 138 n 13.998.504
Gewelddadig seksueel 2 * 1,4 1.896 0,014
Overig seksueel 3 * 2,2 2.400 0,017
Geweld tegen personen 39 * 28,3 64.914 0,464
Vermogen met geweld 18 * 13,0 6.622 0,047
Vermogen zonder geweld 96 * 69,6 67.689 0,484
Vernieling/openbare orde 42 * 30,4 49.379 0,353
Verkeer 35 * 33,7 62.756 0,448
Drugs 15 * 10,9 19.132 0,137
Overige 41 * 29,7 23.811 1,170
Eén of meer van bovenstaande
hoofdgroepen
104 * 75,4 2.444.475 1,746
* Significant verschil met Nederlanders 12+ (p

E-fraude
103
Van de 104 verdachten met antecedenten hebben 82 verdachten samen 100 antecedenten
voor artikelen die (mogelijk) verband houden met de cybercrimes
in deze VCN2009 (tabel 3.9). De meeste verdachten (76) hebben antecedenten
gerelateerd aan fraude. Het gaat in de meeste gevallen (71) om artikel 326 Sr
(oplichting) en daarna om artikel 225 Sr (valsheid in geschrifte) (23). Dan hebben
nog 6 verdachten een antecedent voor artikel 317 Sr (afpersing). We weten
bij deze delicten niet of het gaat om cybercrimes. Ook hier geldt weer dat het
voor een deel kan gaan om antecedenten vanwege de zaken die deel uitmaakten
van ons onderzoek.
Tabel 3.9 Antecedenten van verdachten van e-fraude voor artikelen die (mogelijk)
verband houden met de cybercrimes in deze VCN2009
Aantal verdachten met antecedenten hacken 0
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 76
Aantal antecedenten voor artikel 326 Sr (oplichting) 71
Aantal antecedenten voor artikel 225 Sr (valsheid in geschrifte) 23
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 6
Aantal antecedenten voor artikel 317 Sr (afpersing) 6
Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno 0
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 0
De antecedentenanalyse wijst erop dat verdachten van e-fraude ook andere
delicten plegen en dus een breder crimineel repertoire hebben dan alleen de
fraude. Immers, ze hebben ook frequent antecedenten in andere hoofdgroepen,
zoals ‘geweld/openbare orde’, ‘geweld tegen personen’ en ‘verkeer’. 43 Wat
cybercrime betreft, lijken de e-fraudeurs wel redelijk specialistisch: we zien
geen antecedenten voor hacken, haatzaaien of kinderporno, wel een paar keer
voor afpersing – ook een vermogensdelict dat draait om het verwerven van
geld door het manipuleren van het slachtoffer.
Relatie verdachte-slachtoffer
Van 128 verdachten weten we de relatie met het slachtoffer. Slechts 9 verdachten
kenden het slachtoffer (tabel 3.10). In de meeste gevallen waren verdachte
en slachtoffer, in tegenstelling tot hackendossiers, dus onbekenden van elkaar
(93%).
43 Dat kan te maken hebben met het gegeven dat e-fraudeverdachten vooral jonge mannen zijn
en dus behoren tot een groep die relatief veel criminaliteit pleegt.

104 Verkenning cybercrime in Nederland 2009
Tabel 3.10 Relatie tussen 128 verdachten en slachtoffers
Relatie verdachte en slachtoffer n %
Familie 2 1,6
Partner 7 5,5
Ex-partner (getrouwd, langdurige relatie) 0 0,0
Ex-partner (verkering, kortstondige relatie) 0 0,0
Kennis 0 0,0
Zakelijk ((ex-)werknemer, zakenrelatie, klant) 0 0,0
Zakelijk (student) 0 0,0
Onbekende 119 93,0
Totaal 128 100,1
Ook de primaire motivatie van verdachten zegt ons iets over de relatie van de
verdachte en het slachtoffer. Van 98 verdachten weten we de primaire motivatie:
financieel gewin. Gezien de aard van het delict (fraude), is dat natuurlijk
niet vreemd. In andere gevallen is de primaire motivatie onbekend of claimen
de verdachten onschuldig te zijn.
Conclusies
Volgens de literatuur is voor e-fraudeurs financieel gewin een/de drijfveer.
Niet zelden hebben daders antecedenten voor fraude. Verder zijn weinig of
geen specifieke daderkenmerken beschreven van e-fraudeurs in het algemeen.
Daders die zich toeleggen op fraude met identiteitsmisbruik beschikken
over het geheel genomen over bovengemiddelde technische inzichten
en vaardigheden, nodig voor het langs technische weg verwerven van persoonsgegevens.
Voorschotfraude wordt vaak gepleegd door West-Afrikanen.
Zij werken dan in georganiseerd verband. Van criminele samenwerking is
ook sprake bij ‘carding’. Criminele technieken die in verband met e-fraude
worden genoemd, zijn social engineering, phishing, botnets, iFrame-injecties,
cross-site scripting en spyware.
Uit de dossiers volgt op onderdelen een ander beeld. De meeste dossiers uit
de dossierstudie gaan niet over voorschotfraude en identiteitsdiefstal, maar
over oplichtingen via verkoopsites. Verdachten werken dan meestal alleen en
er is, op een enkel dossier na, geen sprake van georganiseerde criminaliteit.
Financieel gewin is het motief en verdachte en slachtoffer kennen elkaar in de
regel niet.
Daders van e-fraude putten uit een vrij beperkt repertoire aan technieken.
In bijna alle gevallen is sprake van social engineering. Enkele keren was
sprake van phishing. Geregeld is ook sprake van e-fraude met identiteits-

E-fraude
105
misbruik. Ook werden persoonsgegevens van derden gebruikt om anderen
op hun naam op te lichten. Het gaat bij e-fraude over het geheel genomen om
vrij eenvoudige zaken: de dader plaatst een advertentie of maakt een website
of verstrekt anderszins informatie die het slachtoffer moet verleiden tot het
betalen voor bepaalde goederen of diensten die vervolgens niet worden geleverd.
Kortom, de meeste e-fraudes zijn geen technische hoogstandjes. Hoewel
in de literatuur nogal eens aandacht wordt gevraagd voor samenwerkende
fraudebendes (Nigerian scam, skimming), is het gros van de fraudes het werk
van vrij eenvoudig opererende oplichters. Dat e-fraudeurs zouden beschikken
over bovengemiddelde technische inzichten en vaardigheden, zoals in de
literatuur wordt beweerd, is ook niet bepaald iets wat uit ons onderzoek naar
voren komt.
De antecedentenanalyse wijst erop dat verdachten van e-fraude ook andere
delicten plegen en dus een breder crimineel repertoire hebben dan alleen de
fraude. Een verklaring daarvoor kan zijn dat e-fraudeverdachten vooral jonge
mannen zijn en dus behoren tot een groep die relatief veel criminaliteit pleegt.
Wat cybercrime betreft, lijken de e-fraudeurs wel redelijk specialistisch: we
zien geen antecedenten voor hacken, haatzaaien of kinderporno, wel een paar
keer voor afpersing – ook een vermogensdelict dat draait om het verwerven
van geld door het manipuleren van het slachtoffer.
Over de verdachten weten we verder dat zij meestal in Nederland zijn
geboren (88,7%), dat zij meestal opereren vanuit Nederland (85,5%), dat het
meestal gaat om mannen (73,4%) en dat de nadruk ligt op de leeftijdsgroep
van 18-34 jaar (78,9%). E-fraude is niet iets voor de leeftijdsgroep van 12-18 jaar
en ook niet zozeer voor personen ouder dan 35. Kennelijk zijn personen in de
leeftijd van 18-34 jaar optimaal uitgerust voor e-fraude: ze zijn oud genoeg om
voldoende sociaal vaardig te zijn voor social engineering en jong genoeg om
zich handig te kunnen bewegen in cyberspace. Verdachten zijn veel vaker dan
gemiddeld werkloos, ze wonen daarentegen minder vaak dan gemiddeld in
een eenpersoonshuishouden. Ze bevinden zich dus niet in een maatschappelijk
isolement wat betreft hun woonsituatie, maar wel wat betreft hun arbeids -
positie. Het ontbreken van een inkomen uit arbeid zou een (gedeeltelijke) verklaring
kunnen zijn voor financieel gewin als hoofdmotief van de verdachten.
3.7 Slachtoffers van e-fraude
Inleiding
In de literatuur vinden we weinig informatie over de slachtoffers van e-fraude.
Het in kaart brengen van slachtoffers was in deze VCN2009 geen hoofddoel,

106 Verkenning cybercrime in Nederland 2009
maar de (summiere) gegevens die zijn verkregen uit de analyse van politiedossiers
willen we niet negeren; ook zij zeggen mogelijk iets over de werk- en
denkwijze van de verdachten.
Van de 314 dossiers e-fraude zijn in ieder geval 17 bedrijven slachtoffer. In
de andere 297 dossiers staan individuele slachtoffers (natuurlijke personen).
Per dossier kan er maar één slachtoffer zijn. Indien een verdachte meer slachtoffers
heeft gemaakt, moet ieder slachtoffer immers aangifte doen. Iedere
aangifte en ieder slachtoffer is daardoor een nieuw dossier. De analyse hierna
betreft alleen de natuurlijke personen.
Persoonskenmerken
Van 281 van de 297 slachtoffers weten we het geboorteland. Het merendeel
van de slachtoffers is in Nederland geboren (90,7%). Andere slachtoffers zijn
geboren in andere landen binnen de EU (5%) of in landen daarbuiten (4,3%). 44
Er zijn wat meer mannelijke slachtoffers (67,1%) dan vrouwelijke. Het percentage
mannen onder slachtoffers van e-fraude is significant hoger dan het Nederlandse
gemiddelde (p

E-fraude
107
Sociale achtergrond
Op basis van de dossiers kunnen we niets generieks zeggen over de sociale
achtergrond van de slachtoffers; daarvoor staat hierover te weinig in de politiedossiers.
Tabel 3.12 Leeftijdsopbouw van 276 slachtoffers e-fraude, vergeleken met verdachten
van e-fraude en Nederlanders van 12 jaar en ouder
Slachtoffers
Verdachten
Nederlanders
e-fraude
e-fraude#
12+##
Leeftijdscategorie n % n % n %
12-17 jaar 18 6,5 10 5,2 1.204.964 8,6
18-24 jaar 53 º* 19,2 89 45,9 1.358.686 9,7
25-34 jaar 60 º* 21,7 64 33,0 2.057.625 14,7
35-44 jaar 75 º* 27,2 20 10,3 2.605.300 18,6
45-54 jaar 46 º 16,7 9 4,6 2.367.997 16,9
55-65 jaar 22 º* 8,0 1 0,5 2.035.580 14,5
65 jaar en ouder 2 * 0,7 1 0,5 2.368.352 16,9
Totaal 276 100,0 194 100,0 13.998.504 99,9
# Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008).
## Bron: www.cbs.nl, peiljaar 2007.
* Significant verschil met Nederlanders 12+ (p

108 Verkenning cybercrime in Nederland 2009
Tabel 3.13 Antecedenten van 271 slachtoffers van e-fraude, 138 verdachten van
e-fraude en van Nederlanders van 12 jaar en ouder (n=14 mlj.): vermeldingen
per hoofdgroep
Soort antecedent Slachtoffers Verdachten Nederlanders
(hoofdgroep)
e-fraude
e-fraude
12+
% van
% van
% van
n 271 n 138 n 13.998.504
Gewelddadig seksueel 0 0,0 2 * 1,4 1.896 0,014
Overig seksueel 0 0,0 3 * 2,2 2.400 0,017
Geweld tegen personen 9 º* 3,3 39 * 28,3 64.914 0,464
Vermogen met geweld 0 º 0,0 18 * 13,0 6.622 0,047
Vermogen zonder geweld 14 º* 5,2 96 * 69,6 67.689 0,484
Vernieling/openbare orde 3 º 1,1 42 * 30,4 49.379 0,353
Verkeer 13 º* 4,8 35 * 33,7 62.756 0,448
Drugs 4 º* 1,5 15 * 10,9 19.132 0,137
Overige 7 º 2,6 41 * 29,7 23.811 1,170
Totaal 29 º 10,7 104 * 75,4 2.444.475 1,746
* Significant verschil met Nederlanders 12+ (p

E-fraude
109
lag de schade onder de € 500 (tabel 3.14). Naast het financiële aspect had het
delict weinig impact op de slachtoffers. Wel was het vertrouwen van een aantal
slachtoffers om via internet goederen te kopen, geschaad.
Van de 35 bedrijven die slachtoffer waren, weten we van 10 bedrijven de materiële
schade, de schadebedragen liggen tussen de € 50 en € 40.500 (tabel 3.14).
Tabel 3.14 Schade van 240 individuen en 10 bedrijven
Hoogte schade (euro) Aantal natuurlijke personen Aantal bedrijven
1-100 77 0
100-500 112 1
500-1.000 21 1
1000-5000 22 0
5000-10.000 4 5
10.000 of meer 4 3
Totaal 240 10
3.8 Omvang
Inleiding
Om enig zicht te krijgen op de omvang van de cybercrime e-fraude, namen
we een steekproef van meldingen en aangiften om te zien in hoeveel gevallen
er in de politieregistratie sprake is van e-fraude (Domenie e.a., 2009). Ook
hielden we een slachtofferenquête onder internetters in Friesland. Daarnaast
hebben we in de literatuur gekeken naar cijfers over de criminele technieken
die gebruikt worden bij e-fraude.
Uit de dossierstudie
We onderzochten in de korpsen Hollands-Midden en Zuid-Holland-Zuid
welk deel van het bij de politie geregistreerde werkaanbod cybercrime betreft
(Domenie e.a., 2009). Van alle in deze regio’s in 2007 geregistreerde zaken
betreft tussen de 0,3% en 0,9% cybercrime. Ongeveer de helft van de dossiers
inzake cybercrime betreft e-fraude: in Hollands-Midden was dat 51,4% en
in Zuid-Holland-Zuid 48,6% (in een steekproef van 10% van alle dossiers uit
2007). Het aandeel van hackendossiers was 6,9% in Hollands-Midden en 4,3%
in Zuid-Holland-Zuid. E-fraude komt dus ongeveer tienmaal zo vaak in de
politiedossiers voor als hacken. Maar over de gehele politieregistratie gezien
maken e-fraudedossiers nog steeds slechts een fractie uit van het totaal bij de
politie geregistreerde zaken (ruw geschat op basis van vorenstaande gegevens:
zo’n 50% van 0,6%, is 0,3%). Deze dossierstudie in twee korpsen geeft

110 Verkenning cybercrime in Nederland 2009
zicht op de omvang van de door de politie geregistreerde cybercrime. Daaruit
is echter bezwaarlijk iets af te leiden over hoe vaak die vorm van criminaliteit
werkelijk voorkomt. Zoals we in paragraaf 1.4 al benadrukten, geeft een
dossierstudie een bepaalde mate van selectiviteit. We hebben alleen zicht op
cybercrimes waarvan een burger of bedrijf aangifte heeft gedaan en die de
politiemensen hebben geregistreerd in een van de basisprocessensystemen
(BPS, XPOL, GENESYS). Mensen die niet weten dat ze slachtoffer zijn geweest
van een cybercrime of denken dat de politie daar niks aan doet en/of er geen
verstand van heeft, zoals wellicht het geval is bij verschillende hackenzaken,
zullen niet zo gauw aangifte doen. Doordat oplichting een klassiek delict is,
denken mensen in dat geval wellicht minder snel dat de politie niets met hun
aangifte kan. Ook is er bij oplichting meestal sprake van een directe schade,
waardoor de aangiftebereidheid hoger kan liggen.
Uit de slachtofferenquête onder burgers
We hielden in november 2008 (via www.vraaghetdevries.nl) een slachtofferonderzoek
onder Friese internetgebruikers. In totaal zijn 1.246 Friese internetgebruikers
ondervraagd. Daarvan geven 28 respondenten aan wel eens slachtoffer
te zijn geweest van e-fraude (2,2%). De helft van hen de laatste keer in 2007
of 2008. Een van de slachtoffers (3,6%) heeft aangifte gedaan bij de politie. De
respondenten is ook gevraagd of zij wel eens een poging tot e-fraude hebben
meegemaakt. In totaal melden 126 internetters (10,1%) dat zij wel eens een poging
tot e-fraude hebben meegemaakt. Daarvan meldde 91 personen (7,3% van
totaal) dat de laatste poging plaatsvond in 2007 of 2008. Op de vraag op welke
manier iemand geprobeerd heeft hen op te lichten via internet worden de
meest uiteenlopende antwoorden gegeven, zoals: poging tot achterhalen van
bankgegevens/creditcardgegevens, met behulp van social engineering, door
middel van phishing, spam voor goede doelen, lotto-scams en gratis reizen.
Uit de literatuur
In de literatuur vinden we weinig concrete gegevens over de omvang van efraude.
Het Internet Crime Complaint Centre (www.ic3.gov) geeft enig inzicht
in de situatie in Amerika. Tussen 1 januari 2007 en 31 december 2007 heeft
het IC3 206.884 meldingen van fraude gekregen. Dit aantal is ongeveer gelijk
aan het aantal meldingen over 2006, dat waren er 207.492 (een vermindering
van 0,3%). Het gaat om het totaal aantal meldingen dat is binnengekomen bij
dit meldpunt, er is hierbij niet beoordeeld of de melding terecht was. De gemiddelde
schade bedroeg $ 680. De meeste meldingen hadden te maken met
fraude op veilingwebsites (36%) en het niet leveren van via internet bestelde
goederen (25%). We kunnen uit deze gegevens niets afleiden over de omvang
van e-fraude in Nederland.

E-fraude
111
Over voorschotfraude is bekend dat er in 2002 in Amsterdam zo’n zes à zeven
georganiseerde groepen actief waren die zich, naast fraude, ook bezighielden
met onder meer vrouwenhandel, verdovende middelen en geweldsmisdrijven
(Van der Werf, 2003). Over de omvang van het e-fraudeprobleem, zegt
dit echter weinig. Uit het NDB2008 blijkt dat er in de periode tussen 1 oktober
2006 en 1 november 2007 in totaal 175 meldingen van voorschotfraude
zijn binnengekomen (Boerman e.a., 2008). Een politieonderzoek naar deze
meldingen resulteerde in 2.536 personen die als slachtoffer konden worden
aangemerkt. Het aantal gevallen van voorschotfraude is volgens het NDB2008
echter veel groter dan het aantal meldingen. De Bovenregionale Recherche
schat dat maar 5 tot 10% van alle slachtoffers aangifte doet van voorschotfraude
(Boerman e.a., 2008).
Over de omvang van identiteitsdiefstal, volgens het KLPD een snel groeiende
vorm van cybercrime (KLPD, DNRI 2007a), is evenmin veel bekend. Onderzoeken
laten zien dat tussen de 3 en 5% van de phishing-aanvallen daadwerkelijk
leiden tot het stelen van persoonlijke informatie (Ollmann, 2004;
Stamm e.a., 2006). Uit cijfers van het Amerikaanse Anti Phishing Workgroup
(APWG) blijkt verder dat het aantal phishing websites weliswaar sinds december
2007 is afgenomen, maar dat het aantal klachten over dergelijke sites
juist is toegenomen. Ook het aantal unieke keyloggers, een criminele
techniek om persoonlijke informatie te stelen (zie bijlage 8), nam volgens de
APWG toe met 1,4% ten opzichte van oktober 2007. Ten slotte blijkt dat in de
meeste gevallen (92,4%) de financiële sector doelwit is van phishers (APWG,
2008). Zie ook bijlage 9. Volgens het NDB2008 vertoont het aantal aangiftes
en meldingen in Nederland een lichte stijging: 15 in 2005, 25 in 2006 en 27 in
de eerste tien maanden van 2007 (Boerman e.a., 2008). Over het totale aantal
slachtoffers zegt dit echter niet veel. Burgers die slachtoffer zijn geworden van
phishing richten zich volgens het NDB2008 in eerste instantie tot hun bank of
creditcardmaatschappij die hen dan schadeloos stelt. De noodzaak om daarna
aangifte te doen, ontbreekt. Als slachtoffers wel aangifte doen, is dit in
de registratie vaak niet als phishing herkenbaar (zie ook Domenie e.a., 2009).
Volgens banken en creditcardmaatschappijen in Nederland zouden zij in 2006
met ongeveer honderd ‘phishingcampagnes’ zijn geconfronteerd (Boerman
e.a., 2008). Verder zijn door het team High Tech Crime van de Dienst Nationale
Recherche in 2007 twee opsporingsonderzoeken verricht naar phishing
(Boerman e.a., 2008).
Uit de dossierstudie blijkt ook dat slechts een klein deel van de aangiften
van e-fraude gaat over identiteitsdiefstal door phishing. De meeste zaken
gaan over het wel betalen, maar niet leveren van goederen via verkoopsites.
Ook de meeste meldingen van e-fraude bij het IC3 gaan over dergelijke fraude
en niet over phishingwebsites. Een reden hiervoor kan zijn dat gebruikers niet

112 Verkenning cybercrime in Nederland 2009
meteen door hebben dat ze slachtoffer zijn geworden van een cybercrimineel
die met behulp van een phishing website aan persoonlijke informatie van het
slachtoffer is gekomen. De phishing websites zijn immers gemaakt om een
gebruiker te doen geloven dat zij op een legitieme website zijn. Zodra een cybercrimineel
de verkregen gegevens echter gebruikt om e-fraude te plegen,
merkt het slachtoffer dit wel degelijk. De vraag is of het slachtoffer dan nog
weet hoe de dader aan zijn of haar persoonlijke gegevens is gekomen.
Kortom, we weten dat e-fraude geregeld voorkomt, maar het is niet eenvoudig
om zicht te krijgen op de werkelijke omvang van het probleem. De aangiftebereidheid
schijnt laag te zijn. Een slachtofferenquête in Nederland ontbreekt.
3.9 Trends
Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie
is een momentopname en daaruit kunnen we geen trends afleiden.
E-fraude middels phishing wordt wel beschouwd als een van de snelst groeiende
vormen van niet-gewelddadige criminaliteit (Rogers, 2006, in Van der
Hulst & Neve, 2008). In het Nationaal Dreigingsbeeld 2008 (KLPD, 2008) is
phishing gekwalificeerd als ‘voorwaardelijke dreiging’ (zie ook par. 2.9).
‘Voorwaardelijk’, want volgens het KLPD is er geen dreiging als de beveiliging
van computersystemen op het huidige hoge niveau wordt gehandhaafd.
Daders zullen hun praktijken dan uitoefenen in landen waar de beveiliging
minder goed is geregeld. Wel waardeert het KLPD voorschotfraude als een
concrete dreiging. Voorschotfraude zal zich blijven voordoen, het is een vorm
van georganiseerde criminaliteit en het heeft ernstige gevolgen voor de Nederlandse
samenleving, aldus het KLPD.
De Vries e.a. (2007) constateren aan de hand van gegevens van het Maatschappelijk
Overleg Betalingsverkeer (MOB) dat e-fraude tegen consumenten,
organisaties en banken in 2005 is toegenomen. Volgens de MOB zorgen
discussies in de media en de politiek ervoor dat er verwarring bestaat over
de risico’s, betrouwbaarheid en de rol van de verschillende stakeholders met
betrekking tot identiteitsfraude. Verder zegt het MOB dat de financiële schade
beperkt lijkt door een effectieve beveiliging van het elektronische betalingsverkeer
en het beperkte gebruik van creditkaarten in Nederland. De verwachting
is echter dat identiteitsdiefstal (en daardoor e-fraude) de komende jaren
grote aantallen slachtoffers zal maken en financiële schade zal aanrichten
(Taylor e.a., 2006). Een aantal elementen speelt hierbij een rol:
– Groei e-commerce. De groei van e-commerce en de toenemende virtuele
geldstromen maakt het voor criminelen aantrekkelijker om zich bezig te
houden met e-fraude (Taylor e.a., 2006).

E-fraude
113
– Hoge snelheden en permanente verbindingen. De hoge ADSL-dichtheid, waarbij
computers vrijwel permanent in verbinding staan met het internet,
maakt vooral Nederland een zeer aantrekkelijk werkterrein voor phishers
(Van der Hulst & Neve, 2008).
– Vernieuwing aanvalstechnieken. Aanvalstechnieken worden constant vernieuwd
(Watson e.a., 2005). Cybercriminelen verzinnen steeds nieuwe manieren
om hun (phishing)aanvallen succesvol te laten zijn (Govcert.nl, 2007).
Dit is bijvoorbeeld te zien aan de hoeveelheid varianten van phishing
(vishing, smishing, pharming, enz.) en het gebruik van stealth malware
(of rootkits), malware die zich onzichtbaar en zonder sporen na te laten in
een computer nestelt (AusCERT, 2006). Een andere belangrijke ontwikkeling
op het gebied van phishing zijn man-in-the-middle phishing-aanvallen
waarbij authenticatiegegevens die de klant opgeeft door de cybercrimineel
direct worden doorgespeeld aan de bank. Deze manier van phishing
maakt het mogelijk ook toegang te krijgen tot websites die beschermd zijn
op basis van two factor authentification (Govcert.nl, 2007). Ten slotte zal, aldus
Govcert, de komende jaren door het gebruik van social engineering
steeds meer ingespeeld worden op sociale evenementen en op persoonlijke
interesses. Voorbeelden zijn de Olympische Spelen, het EK-voetbal en
grote rampen (FBI/IC3, 2008; Websense, 2007).
– Toename zwakke plekken. De ontwikkeling van Web2.0-toepassingen zorgt
voor een toename van het aantal zwaktes in de beveiliging (Computer Security
Institute, 2007, p. 26; Finjan, 2007).
Daarnaast blijken criminelen het internet te gebruiken om ervaringen, advies,
werkwijzen en technieken met elkaar uit te wisselen (onder andere via IRC en
openbare internetforums). Complete phishing kits met uitgebreide instructies
en technieken om internetgebruikers op te lichten (inclusief kant-en-klare
e-mailberichten, e-maillijsten en nepwebsites) zijn, aldus de politie, tegen betaling
online verkrijgbaar (KLPD, DNRI, 2007c).
De nieuwste trend op het gebied van voorschotfraude is dat Nigeriaanse
internetoplichters gedupeerden (die eerder al grote geldbedragen zijn ontfutseld)
opnieuw benaderen, maar ditmaal door zich voor te doen als politieambtenaar
die het slachtoffer wil helpen verloren geld terug te krijgen. De
schade per slachtoffer varieert van een paar duizend tot miljoenen euro’s
(www.justitie.nl).

114 Verkenning cybercrime in Nederland 2009
3.10 Resumé
Fraude staat niet onder die noemer in het Wetboek van Strafrecht; meestal
is sprake van oplichting (art. 326 Sr) en/of valsheid in geschrifte (art. 225 Sr).
E-fraude is bedrog met als oogmerk het behalen van financieel gewin waarbij
ICT essentieel is voor de uitvoering. Verschijningsvormen van e-fraude zijn:
handel in valse goederen, valse financiële transacties, waaronder veilingfraude
en voorschotfraude, en marktmanipulatie. E-fraude kan gepleegd worden
met of zonder identiteitsmisbruik. Identiteitsmisbruik is het aannemen van
een andere dan de eigen digitale identiteit, met het oogmerk om daarmee oneigenlijk
financieel voordeel te behalen. Aan identiteitsmisbruik gaat weer
vooraf het maken van de valse identiteit. Dat kan door identiteitsdiefstal, identiteitscreatie
en identiteitsdelegatie.
E-fraude in combinatie met identiteitsmisbruik wordt door diverse auteurs
als een van de snelst groeiende vormen van niet-gewelddadige criminaliteit
beschouwd. De dader bemachtigt eerst andermans identiteitsgegevens en
gebruikt die voor het onder een dekmantel plegen van de fraude. Voor het
bemachtigen van de persoonlijke gegevens kan social engineering dienen of
hacken (art. 138a lid 1 Sr) in combinatie met criminele technieken als iFrameinjecties,
cross-site scripting, phishing en pharming.
Volgens de literatuur zijn er georganiseerde groeperingen actief in e-fraude,
speciaal in geval van carding en voorschotfraude. Bij dat laatste gaat het om
West-Afrikanen die wereldwijd in groepsverband werken en slachtoffers voor
grote bedragen oplichten. De primaire motivatie van e-fraudeurs is financieel
gewin. Over de daders van e-fraude is verder weinig bekend. Daders die zich
toeleggen op fraude met identiteitsmisbruik beschikken over het geheel genomen
over bovengemiddelde technische inzichten en vaardigheden, want die
zijn nuttig voor het langs technische weg verwerven van persoonsgegevens.
Ook kunnen ze beschikken over kennis van betaalsystemen, bijvoorbeeld
door hun arbeidsverleden.
Uit de analyse van politiedossiers volgt op diverse onderdelen een ander
beeld dan uit de literatuur. De meeste dossiers uit de dossierstudie gaan niet
over voorschotfraude en identiteitsdiefstal, maar over oplichtingen via verkoopsites.
E-fraude heeft in de regel geen verbanden met andere (cyber)crimes. Voor
zover dat wel het geval is, zijn er verbanden met diefstal van identiteitsgegevens
(vooral digitaal, maar ook niet-digitaal) en soms ook met hacken. Deze
delicten zijn dan een middel om te komen tot de e-fraude. Het is niet ondenkbaar
dat hacken en diefstal van identiteitsgegevens vaker ten grondslag liggen
aan e-fraude dan we kunnen opmaken uit de dossiers. Slachtoffers weten
immers niet altijd dat ze gehackt zijn en of (en waar en hoe) hun identiteit

E-fraude
115
gestolen is. De politie lijkt ook niet op zoek naar de meer technische strafbare
feiten die de verdachte pleegde om tot de uiteindelijke fraude te komen. Alles
met elkaar komt e-fraude overwegend naar voren als een nogal op zichzelf
staande criminaliteitsvorm: een misdrijf waarheen wel voorbereidingshandelingen
leiden, maar van waar geen lijnen lopen naar andere criminaliteit.
E-fraudeurs werken in de meeste gevallen alleen en er is, op een enkel dossier
na, geen sprake van georganiseerde criminaliteit. Financieel gewin is blijkens
de dossiers het centrale motief. Daders van e-fraude putten uit een vrij
beperkt repertoire aan technieken. In bijna alle gevallen is sprake van social
engineering. Enkele keren was sprake van phishing. Geregeld gaat het in de
dossiers om e-fraude met identiteitsmisbruik. Ook werden persoonsgegevens
van derden gebruikt om anderen op hun naam op te lichten. Het gaat bij
e-fraude over het geheel genomen om vrij eenvoudige zaken: de dader plaatst
een advertentie of maakt een website of verstrekt anderszins informatie die
het slachtoffer moet verleiden tot het betalen voor bepaalde goederen of diensten
die vervolgens niet worden geleverd. Kortom, de meeste e-fraudes zijn
geen technische hoogstandjes. Hoewel in de literatuur nogal eens aandacht
wordt gevraagd voor samenwerkende fraudebendes (Nigerian scam, skimming)
is het gros van de fraudes het werk van vrij eenvoudig opererende oplichters.
Dat e-fraudeurs zouden beschikken over bovengemiddelde technische
inzichten en vaardigheden, zoals in de literatuur wordt beweerd, is ook
niet bepaald iets wat uit ons onderzoek naar voren komt.
De antecedentenanalyse wijst erop dat verdachten van e-fraude ook andere
delicten plegen en dus een breder crimineel repertoire hebben dan alleen
de fraude. Dat kan wellicht worden verklaard uit de bevinding dat de
meeste verdachten man zijn en relatief jong en dus behoren tot de groep van
personen die relatief vaak delicten plegen. Wat cybercrime betreft, lijken de
e-fraudeurs wel redelijk specialistisch: we zien geen antecedenten voor hacken,
haatzaaien of kinderporno, wel een paar keer voor afpersing – ook een
vermogensdelict dat draait om het verwerven van geld door het manipuleren
van het slachtoffer.
Over de verdachten weten we verder dat zij meestal in Nederland zijn geboren,
dat zij meestal opereren vanuit Nederland, dat het meestal gaat om
mannen en dat de nadruk ligt op de leeftijdsgroep van 18-35 jaar. E-fraude is
niet iets voor de leeftijdsgroep van 12-18 jaar en ook niet zozeer voor personen
ouder dan 35. Kennelijk zijn personen in de leeftijd van 18-34 jaar optimaal
uitgerust voor e-fraude: ze zijn oud genoeg om voldoende sociaal vaardig te
zijn voor social engineering en jong genoeg om zich handig te kunnen bewegen
in cyberspace. Verdachten zijn veel vaker dan gemiddeld werkloos, ze
wonen daarentegen minder vaak dan gemiddeld in een eenpersoonshuishouden.
Ze bevinden zich dus niet in een maatschappelijk isolement wat betreft

116 Verkenning cybercrime in Nederland 2009
hun woonsituatie, maar wel wat betreft hun arbeidspositie. Het ontbreken
van een inkomen uit arbeid zou een (gedeeltelijke) verklaring kunnen zijn
voor financieel gewin als hoofdmotief.
Slachtoffers van e-fraude zijn wat vaker man dan vrouw en ze behoren
meer dan gemiddeld tot de leeftijdsgroep 18-45 jaar. Over de sociale achtergrond
van slachtoffers (zoals woon- en arbeidssituatie) bevatten de dossiers
geen informatie. De financiële schade lag in verreweg de meeste gevallen onder
de € 500.
Fraude komt zo’n tienmaal vaker voor in de politiedossiers dan hacken.
Over de maatschappelijke omvang van e-fraude is weinig met zekerheid te
zeggen. We weten uit eigen onderzoek dat 2,2% van 1.246 ondervraagde Friezen
slachtoffer was van e-fraude in de afgelopen twee jaar. Slechts een van de
slachtoffers deed aangifte (3,6%). Dat wijst op een hoog dark number. De verwachting
is dat e-fraude met identiteitsmisbruik de komende jaren grote aantallen
slachtoffers en financiële schade zal aanrichten (Taylor e.a., 2006). Het
KLPD (2008) ziet met name voorschotfraude als een concrete dreiging voor de
komende vier jaar.

4 cy be r a f p e r Se n
4.1 Inleiding
Afpersen is het verkrijgen van geld of goederen van een persoon of organisatie
door dreiging en/of geweld (Morris, 2004, p. 15). Dat gebeurt sinds mensenheugenis,
denk bijvoorbeeld aan het betalen van protectiegelden aan de
maffia of van losgeld voor een ontvoerde. Cyberafpersing is afpersen waarbij
ICT essentieel is voor de uitvoering. De middelen die voor cyberafpersen
worden gebruikt, zijn technologisch, zoals het creëren van botnets, uitvoeren
van DDoS-aanvallen, defacen van websites en het stelen van informatie
uit digitale systemen, of het dreigen met een van die activiteiten. Bednarski
(2004) ziet cyberafpersing als een compleet nieuwe bedreiging voor kleine en
middelgrote organisaties. Cyberafpersing combineert volgens Bednarski het
binnendringen in computers, het vernietigen en wijzigen van data, social engineering,
en het bang maken van slachtoffers.
Doordat steeds meer bedrijven gebruikmaken van internet, wordt de economische
sector daarvan steeds afhankelijker. Niet alleen websites van bedrijven
kunnen doel zijn van cyberafpersen, maar ook de ICT-systemen die
gekoppeld zijn aan internet. Deze systemen herbergen vaak enorme hoeveelheden
(bedrijfs)informatie en klantgegevens. Deze informatie is vaak niet
openbaar en openbaarmaking kan het vertrouwen van consumenten in een
bedrijf schaden.
De toenemende afhankelijkheid van internet zou gepaard moeten gaan
met een betere ICT-beveiliging. Uit verschillende bronnen kunnen we echter
concluderen dat dit niet altijd het geval is. Slecht beveiligde computersystemen,
voornamelijk van particulieren, worden bijvoorbeeld door criminelen
gehackt en omgebouwd tot botnets (zie bijlage 3) die op commando aan aanvallen
kunnen deelnemen (Federale Politie, 2005). Bedrijven denken dat de
risico’s wel meevallen en scharen zichzelf in de categorie bedrijven die weinig
risico lopen. Zo blijkt uit onderzoek van Bednarski (2004) naar cyberafpersing
van Amerikaanse bedrijven dat 60% van de respondenten hun eigen bedrijf
in de categorie ‘laag risico’ inschaalt, terwijl ‘many organizations actually
lack the necessary information security policies and principles to ensure they

118 Verkenning cybercrime in Nederland 2009
actually are in a low risk category’ (Bednarski, 2004, p. 4). In de criminologische
literatuur is bekend dat mensen het risico dat zij lopen lager inschatten
dan de feitelijke omvang van dat risico (Stol & Van Wijk, 2008). Om zichzelf
te kunnen beschermen tegen cyberafpersing moeten organisaties iets weten
over de achtergrond van deze misdaad, het kennisniveau is echter beperkt
(Bednarski, 2004).
In dit hoofdstuk behandelen we eerst de strafbaarstelling en verschijningsvormen
van cyberafpersen (resp. par. 4.2 en 4.3). Vervolgens beschrijven we
de verbanden die deze cybercrime heeft met andere vormen van (cyber)criminaliteit
(par. 4.4), behandelen we de kenmerken van verdachten (par. 4.5) en
gaan we dieper in op de slachtoffers (par. 4.6). In paragraaf 4.7 kijken we naar
de omvang van deze cybercrime. Ten slotte komen in paragraaf 4.8 trends aan
bod en in paragraaf 4.9 volgt een resumé van dit hoofdstuk.
4.2 Strafbaarstelling
Afpersing is strafbaar gesteld in artikel 317 Sr (figuur 4.1). In de wettekst is te zien
dat afpersen langs twee wegen betrekking kan hebben op de digitale wereld.
Ten eerste kan iemand met geweld of dreiging met geweld worden gedwongen
tot ‘het ter beschikking stellen van gegevens’. Ten tweede kan de dwang die de
afperser gebruikt, bestaan uit ‘de bedreiging dat gegevens die door middel van
een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen
worden gemaakt of zullen worden gewist’. Op het delict zijn de verzwarende
omstandigheden van artikel 312 Sr van toepassing (figuur 4.2).
Figuur 4.1 Artikel 317 Sr: afpersing (i.w.tr. 16-06-2004)
1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen,
door geweld of bedreiging met geweld iemand dwingt hetzij tot de afgifte van
enig goed dat geheel of ten dele aan deze of aan een derde toebehoort, hetzij
tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij tot
het ter beschikking stellen van gegevens, wordt, als schuldig aan afpersing,
gestraft met gevangenisstraf van ten hoogste negen jaren of geldboete van de
vijfde categorie.
2. Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid,
uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd
werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt
of zullen worden gewist.
3. De bepalingen van het tweede en derde lid van artikel 312 zijn op dit misdrijf
van toepassing.

Cyberafpersen
Figuur 4.2 Artikel 312 lid 2 en 3 Sr: diefstal met geweld (i.w.tr. 10-08-2004)
2. Gevangenisstraf van ten hoogste twaalf jaren of geldboete van de vijfde categorie
wordt opgelegd:
1°. indien het feit wordt gepleegd hetzij gedurende de voor de nachtrust bestemde
tijd in een woning of op een besloten erf waarop een woning staat;
hetzij op de openbare weg; hetzij in een spoortrein die in beweging is;
2°. indien het feit wordt gepleegd door twee of meer verenigde personen;
3°. indien de schuldige zich de toegang tot de plaats van het misdrijf heeft verschaft
door middel van braak of inklimming, van valse sleutels, van een
valse order of een vals kostuum;
4°. indien het feit zwaar lichamelijk letsel ten gevolge heeft;
5°. indien het feit wordt gepleegd met het oogmerk om een terroristisch misdrijf
voor te bereiden of gemakkelijk te maken.
3. Gevangenisstraf van ten hoogste vijftien jaren of geldboete van de vijfde categorie
wordt opgelegd, indien het feit de dood ten gevolge heeft.
119
Indien geen sprake is van geweld of dreigen daarmee, kan sprake zijn van
afdreiging (art. 318 Sr, figuur 4.3). Bij afdreigen staat centraal de dreiging met
smaad, smaadschrift of de openbaarmaking van een geheim, zoals het geval
kan zijn bij het dreigen met openbaarmaking van bedrijfsgegevens die zijn
verkregen na een hack. Verder kan in geval van een afpersingszaak bedreiging
van toepassing zijn (art. 285 Sr, figuur 4.4) als de verdachte dreigt met
bijvoorbeeld het hacken en onklaar maken van een computersysteem dat is
bestemd voor de verlening van maatschappelijke diensten.
Figuur 4.3 Artikel 318 Sr: afdreiging (i.w.tr. 01-02-2006)
1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen,
door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand
dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze
of aan een derde toebehoort, hetzij tot het aangaan van een schuld of het teniet
doen van een inschuld, hetzij tot het ter beschikking stellen van gegevens met
geldswaarde in het handelsverkeer, wordt als schuldig aan afdreiging, gestraft
met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
2. Dit misdrijf wordt niet vervolgd dan op klacht van hem tegen wie het gepleegd
is.

120 Verkenning cybercrime in Nederland 2009
Figuur 4.4 Artikel 285 Sr: bedreiging (i.w.tr. 01-09-2006)
1. Bedreiging met openlijk in vereniging geweld plegen tegen personen of goederen,
met geweld tegen een internationaal beschermd persoon of diens beschermde
goederen, met enig misdrijf waardoor gevaar voor de algemene
veiligheid van personen of goederen of gemeen gevaar voor de verlening van
diensten ontstaat, met verkrachting, met feitelijke aanranding van de eerbaarheid,
met enig misdrijf tegen het leven gericht, met gijzeling, met zware mishandeling
of met brandstichting, wordt gestraft met gevangenisstraf van ten
hoogste twee jaren of geldboete van de vierde categorie.
2. Indien deze bedreiging schriftelijk en onder een bepaalde voorwaarde geschiedt,
wordt ze gestraft met gevangenisstraf van ten hoogste vier jaren of
geldboete van de vierde categorie.
3. Bedreiging met een terroristisch misdrijf wordt gestraft met gevangenisstraf
van ten hoogste zes jaren of geldboete van de vijfde categorie.
Naast de artikelen 317, 318 en 285 Sr kunnen nog meer artikelen van toepassing
zijn in geval van een cyberafpersing. Deze artikelen staan in verband
met de criminele technieken die worden gebruikt. Er zal voor het toepassen
van de criminele technieken veelal moeten worden ingebroken in computersystemen
(zie ook hoofdstuk 2). Dat is strafbaar gesteld in artikel 138a Sr
(computervredebreuk). Indien er opzettelijk dan wel door schuld een geautomatiseerd
werk wordt vernield, kunnen de artikelen 161sexies en 161septies
Sr van toepassing zijn en indien er gegevens worden vernield, de artikelen
350a en 350b Sr.
4.3 Verschijningsvormen cyberafpersen
Inleiding
In de literatuur worden verschillende verschijningsvormen van cyberafpersen
benoemd (Bednarski, 2004; McAfee, 2005; McAfee, 2007; Van der Hulst &
Neve, 2008; Van Leiden e.a., 2007; William e.a., 2002). Het gaat om:
1. dreiging;
2. beschadiging en verstoring;
3. shaming;
4. protectie.
We bespreken deze hierna. Uiteraard zijn de verschillende verschijningsvormen
in de praktijk niet altijd zuiver van elkaar te scheiden. In één cybercrime
kan sprake zijn van verschillende vormen die in samenhang worden gebruikt
en daardoor in elkaar overlopen.

Cyberafpersen
121
Dreiging
Bij dreiging gaat het bijvoorbeeld om dreigen met het ontoegankelijk maken
van websites door een Distributed Denial of Service Attack (DDoS-aanval, zie
bijlage 4). Veel bedrijven zijn tegenwoordig (ten dele) afhankelijk van internet.
De website van een bedrijf fungeert niet alleen als uithangbord, maar er vindt
ook dienstverlening plaats en er worden producten verkocht. Het ontoegankelijk
maken van een dergelijke website kan voor die bedrijven dus een grote
schadepost opleveren. In het bijzonder onlinebedrijven, zoals onlinegokbedrijven,
verkoopsites als www.marktplaats.nl en onlinewinkels als de
Wehkamp, zijn hiervoor gevoelig. Naast het dreigen met het ontoegankelijk
maken van een website kan ook het veranderen (defacing, zie bijlage 5) van
een website een bedreiging voor een bedrijf zijn. Gedacht kan worden aan het
plaatsen van informatie die het bedrijf schade kan toebrengen.
Beschadiging en verstoring
Hierbij valt te denken aan het beschadigen van essentiële gegevens en het verstoren
van industriële productiesystemen. Beschadigingen of verstoringen
kunnen veroorzaakt worden door de uitvoering van DDoS-aanvallen, virussen,
wormen met malware of het inbreken in (hacken van) een computersysteem.
Uit rapporten van McAfee (2005) blijkt dat DDoS-aanvallen wel worden
uitgevoerd met botnets. Onbekend is echter op wat voor schaal dit gebeurt.
Shaming
Dit betreft het openbaar maken van gevoelige informatie welke verkregen is
middels hacken. Het kan gaan om informatie over personen, zoals compromiterend
beeldmateriaal, of om informatie over bedrijven (zoals klantgegevens).
De cyberafpersing bestaat er dan uit dat het slachtoffer de openbaarmaking
kan voorkomen door in te gaan op de eisen van de dader.
Protectie
Het aanbieden van ‘bescherming’ tegen bijvoorbeeld DDoS-aanvallen of andere
acties van hackers. Dit is de digitale variant van het klassieke ‘beschermingsgeld’.
Een hacker kan tegen betaling aanbieden om door hem zelf gevonden
lekken in computersystemen te dichten. Of deze lekken nu wel of niet bestaan,
de angst voor een computerinbraak zorgt er volgens Van Leiden e.a. (2007) voor
dat bedrijven snel geneigd zijn in te gaan op zo’n aanbod tot ‘bescherming’. Volgens
McAfee (2007) worden sommige internetbedrijven gedwongen om zich
te laten beschermen tegen internetaanvallen, alleen zijn de honkbalknuppels
vervangen door botnets. Hoewel deze recente vorm van afpersing vooralsnog
met name in het buitenland wordt gesignaleerd, komen volgens Van Leiden e.a.
(2007) gevallen van cyberafpersing inmiddels in elk land voor.

122 Verkenning cybercrime in Nederland 2009
4.4 Verbanden van cyberafpersen met andere crimes
Inleiding: over de analyse
In deze paragraaf gaan we op basis van de dossierstudie in op verbanden tussen
cyberafpersen en andere vormen van cybercrime. We bekijken eerst onder
welke titel de politie de hackendossiers heeft geregistreerd. Daarna beschrijven
we de verbanden met andere (cyber)criminaliteit die we zelf tijdens de
nadere analyse in de tekst van de dossiers tegenkwamen. Ten slotte bekijken
we welke wetsartikelen de politie aan het dossier heeft toegekend. Als aan het
dossier behalve artikel 317 Sr (afpersing) bijvoorbeeld ook artikel 138a Sr (hacken)
is gekoppeld, wijst dat op een verband tussen deze twee delicten.
De dossiers
We selecteerden in eerste aanleg 57 dossiers (zie hoofdstuk 1). Bij nadere bestudering
bleek dat 6 dossiers onbruikbaar waren voor verdere analyse: 4 bevatten
alleen een melding en geen aangifte, in 1 dossier bleek de aangifte vals
en 1 dossier bevatte verhoren die in een andere zaak thuishoorden. Van de
resterende dossiers betroffen er 28 geen cybercrime en nog eens 10 dossiers
betroffen een andere cybercrime dan afpersen. In deze analyse gaan we uit
van de resterende 13 dossiers cyberafpersen. Het geringe aantal dossiers zegt
iets over het delict: het komt heel weinig voor of slachtoffers doen bijna nooit
aangifte, of een combinatie van die twee. Het geringe aantal dossiers betekent
verder dat een kwantitatieve analyse niet tot de mogelijkheden behoort.
Onder welke titel (‘beschrijving’) staat het dossier geregistreerd?
Een eerste manier om te bepalen welke verschijningsvormen cyberafpersen
heeft en of er dwarsverbanden zijn met andere cybercrimes, is het analyseren
van de beschrijvingen waaronder de dossiers in de politiesystemen zijn geregistreerd.
We selecteerden de dossiers niet op de titel waaronder het dossier
in de politieadministratie is opgenomen, maar op de inhoud van het dossier.
Welke titel of ‘beschrijving’ de behandelend agent aan het desbetreffende
dossier geeft, zegt iets over hoe die agent naar de zaak kijkt: wat voor hem of
haar de essentie ervan is. De agent moet tijdens het registreren de ‘beschrijving’
kiezen uit een vaste lijst die het systeem aanbiedt. We maken in eerste
aanleg onderscheid tussen de drie basisprocessensystemen (tabel 4.1), omdat
de registratiesystematiek in de drie systemen niet identiek is. Daarna voegen
we de systemen samen (‘totaal’ in tabel 4.1) door overeenkomstige beschrijvingen
samen te nemen.
Van de 13 dossiers staan er 10 geregistreerd onder een omschrijving die
duidt op afpersing. In 3 gevallen is dat anders, omdat daar de cyberafpersing
slechts een van de criminele activiteiten van de verdachte is (zgn. meerdaadse

Cyberafpersen
samenloop). Tweemaal houdt de afpersing blijkens de beschrijvingen verband
met problemen tussen de seksen en eenmaal met problemen vanwege drugs.
Tabel 4.1 Titels (‘beschrijving’) waaronder de 13 cyberafpersingsdossiers zijn geregistreerd
45
BPS
XPOL
Beschrijving N 45
Bedreiging 2
Chantage/afdreiging 2
Afpersing internet 1
Aanranding c.q. verleiding minderjarige 1
Harddrugs 1
Man/vrouw mishandeling/geweld in relatiesfeer 1
Totaal 8
Bedreiging 2
Chantage/afpersing 2
Totaal 4
GENESYS
Afpersing 1
Totaal 1
TOTAAL
Chantage/afdreiging/afpersing 5
Bedreiging 4
Afpersing internet 1
Aanranding c.q. verleiding minderjarige 1
Harddrugs 1
Man/vrouw mishandeling/geweld in relatiesfeer 1
Totaal 13
123
Verbanden blijkens de inhoudsanalyse
In alle dossiers hebben we op grond van de tekst beoordeeld of er verbanden
zijn met andere (cyber)criminaliteit (tabel 4.2). In drie van de dertien dossiers
is er alleen sprake van cyberafpersen en zien we dus geen verband met een
andere (cyber)crime. Het ging in deze zaken om het dreigen met openbaar
maken van gevoelige informatie. In die dossiers moest het slachtoffer geld
betalen, anders zou de verdachte bepaalde gevoelige informatie, zoals seksu-
45 Omdat er weinig cyberafpersingsdossiers zijn, percenteren we niet.

124 Verkenning cybercrime in Nederland 2009
eel getinte foto’s, openbaar maken (casus 4.1 en 4.2). Overigens kwam in een
dossier dat we selecteerden als ‘hacken’ (hoofdstuk 2) een zaak voor waar niet
een persoon, maar een bedrijf werd afgeperst middels het dreigen met en uitvoeren
van een DDoS-aanval (casus 2.6).
Casus 4.1 Cyberafpersen
‘Op [datum] ben ik via mijn computer in contact gekomen met een sm-meesteres, luisterend
naar de naam VE1. Na het eerste contact heb ik haar toestemming gegeven om
foto’s van een eventuele sessie met mij te publiceren op haar website. Een afspraak
voor die sessie is tot op heden nog niet gemaakt. Op [datum] heb ik een foto van mij
naar haar gemaild. Dit betrof een naaktfoto, zoals VE1 dat wenste. De foto is gemaakt
in een generende houding, met mij in een pervers seksueel standje. Op basis van haar
reactie ga ik er van uit dat zij die foto heeft ontvangen. Op [datum] kreeg ik namelijk
om 14.32 uur een mail van VE1, waarin ze me dreigde om deze foto naar mijn buren
en familie te sturen als ik niet binnen 10 dagen 1000 euro over zou maken. Tevens
noemde ze ook de beide namen van mijn buren. Ik had dit niet verwacht. Ik zit vaker
op sekssites en heb daar tot op heden goede ervaringen mee gehad. Ik ben nu bang dat
mijn goede naam in [plaats] wordt aangetast als de foto inderdaad wordt verspreid.’
Casus 4.2 Cyberafpersen
‘Ik doe aangifte van bedreiging en afpersing gepleegd via internet. Sinds ongeveer
2 jaar heb ik via een chatprogramma, genaamd MSN, contact met BET1. Ik
heb wekelijks contact met haar. Deze gesprekken zijn ook af en toe seksueel getint.
Wij hebben dan beiden onze webcam aanstaan en maken met onze tongen gebaren
naar elkaar. Ook ontdoen we ons dan van onze kleren. Gisteren hadden wij
opnieuw contact via MSN. Deze keer vroeg zij mij om wederom mijn kleren uit
te trekken en deze keer ook mijn onderbroek. Vervolgens las ik op MSN dat BET1
typte dat haar zoon en haar nichtje binnenkwam. BET1 zette vervolgens de webcam
uit. Vervolgens werden er dingen gezegd via MSN waaruit ik opmaakte dat
de zoon van BET1 aan het typen was (VE1). Ik heb deze zoon niet gezien omdat de
webcam uitstond, ik heb mijn webcam toen ook uitgezet.
De volgende teksten werden er naar mij gestuurd: “Je bent een pedo, je bent een
viezerik omdat je met jongeren chat.” Ik chat echter niet met minderjarigen. Vervolgens
werden de volgende bedreigingen geuit: “Ik kom je vermoorden, ik kom met
een pistool naar jou toe en schiet je kapot, ook je vader vermoord ik.” of woorden
van gelijke strekking. Vervolgens typte BET1 weer: “Mijn zoon rijdt nu naar jou toe,
je moet nu 500 euro overmaken.” Als ik dit niet zou doen zou hij doorrijden naar
mijn huis en mij vermoorden. Deze teksten herhaalde zich en andere zinnen van
gelijke strekking volgden hierop.’

Cyberafpersen
125
In 6 van de 13 dossiers is er naast cyberafpersen ook sprake van een andere
(cyber)crime. In deze 6 dossiers vinden we in totaal 11 verbanden (tabel 4.2).
Deze dossiers gaan allemaal over bedreigingen via internet waarbij de verdachte
na enige tijd ook geld gaat eisen. In enkele dossiers had het slachtoffer
kinderporno op zijn computer en werd hij daarmee afgeperst, in een ander
dossier liet het slachtoffer van de bedreigingen op MSN zijn geslachtsdeel
zien en werd daarmee afgeperst (casus 4.2). In 3 andere dossiers wordt persoonlijke
informatie gebruikt om slachtoffers zover te krijgen (nog meer) seksuele
handelingen te verrichten voor de webcam en wordt vervolgens geld
geëist om de verkregen afbeeldingen en webcamvideo’s niet te openbaren. In
die 3 dossiers is twee keer sprake van aanranding door dreiging met geweld
via ICT (bijv. dreigen via MSN) en 2 keer cybersmaad (casus 4.3). In 1 dossier
komt naast afpersen een offlinecrime voor, te weten stalking (casus 4.4).
Gezien het geringe aantal dossiers is het niet goed mogelijk om een hoofdlijn
in de bevindingen aan te duiden en daaraan stellige conclusies te verbinden.
Opvallend is echter wel het verband tussen afpersingszaken en seksualiteit:
kinderporno, aanranding, stalking. Dat wekt op zijn minst de suggestie
dat cyberafpersen verband houdt met zedendelinquentie of misschien wel
met zedendelinquenten.
Tabel 4.2 Verbanden in de 13 dossiers cyberafpersen met andere criminaliteit 4647
Andere (cyber)crime waarmee een verband is n 47
Cybercrimes in deze studie 4
Hacken 1
E-fraude 0
Kinderporno 4
Haatzaaien 0
Overige cybercrimes 3
Identiteitsdiefstal met gebruik van ICT 1
Aanranding door dreiging met geweld via ICT 2
Cybersmaad 2
Offline criminaliteit 1
Stalking 1
Geen verband met andere (cyber)crime 7
46 We selecteerden de verschillende vormen van (cyber)criminaliteit in de kinderpornodossiers
op basis van de definities die we vooraf opstelden (zie het analysekader in bijlage
10) en niet op de wetsartikelen die in de dossiers zijn opgenomen.
47 Omdat er weinig cyberafpersingsdossiers zijn, percenteren we niet.

126 Verkenning cybercrime in Nederland 2009
Casus 4.3 Cyberafpersen en cybersmaad
‘Zij vertelde dat haar zoontje van 10 jaar gechanteerd werd via de computer en de
telefoon. Iemand had SO zo ver gekregen om zijn geslachtsdeel via de webcam
te laten zien, waarna hij telefonisch gechanteerd werd met dit feit, en dat er een
foto van zijn geslachtsdeel openbaar gemaakt zou worden als SO geen 50 euro zou
betalen, anders zouden de foto’s die van zijn geslachtsdeel gemaakt waren naar
familieleden en school worden verzonden.’
Casus 4.4 Cyberafpersen en stalking
‘Kwam SO om te melden dat zij haar relatie met VE1 had verbroken. Nu dreigt hij
foto’s met seksuele handelingen van haar op internet te zetten. Ook blijft hij haar
bestoken met telefoontjes, sms- en e-mailberichten. Hij wil de relatie met haar hervatten.
VE1 is volgens SO een man met vele gezichten. Hij kan heel sociaal en lief
zijn maar haar ondertussen dwingen tot zaken die zij niet wil.’
‘Vrije mutatie: VE wenst inderdaad seksueel getinte foto’s die indertijd gemaakt
waren van zijn toenmalige partner, openbaar te maken/op internet te zetten om
van haar geld te krijgen, namelijk ongeveer 250 euro. Het advies om een advocaat
te nemen, slaat hij “in de wind”.’
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?
Een dossier heeft vaste invoervelden voor het vermelden van de van toepassing
zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel
opnemen. In 11 cyberafpersingsdossiers vermeldden politiemedewerkers
wetsartikelen (tabel 4.3). De meest voorkomende wetsartikelen zijn artikel 317
Sr (afpersing) en artikel 285 Sr (bedreiging); beide 7 keer. Artikel 318 Sr (afdreiging)
wordt 4 keer genoemd, artikel 240b Sr (kinderporno) 3 keer en artikel
266 Sr (eenvoudige belediging) 1 keer.
Tabel 4.3 Wetsartikelen in 11 cyberafpersingsdossiers 4849
Artikel Omschrijving n 49
317 Sr Afpersing 7
285 Sr Bedreiging 7
318 Sr Afdreiging 4
240b Sr Kinderpornografie 3
266 Sr Eenvoudige belediging 1
Totaal 22
48 In één dossiers kunnen meerdere artikelen voorkomen.
49 Omdat er weinig cyberafpersingsdossiers zijn, percenteren we niet.

Cyberafpersen
127
Samengevat
We zochten in de cyberafpersingsdossiers op drie manieren naar dwarsverbanden
met andere delicten:
1. we keken onder welke titel of beschrijving politiemensen het dossier registreerden;
2. we bestudeerden de inhoud van de dossiers;
3. we keken naar welke wetsartikelen de politie aan het dossiers koppelde.
We vonden slechts 13 bruikbare dossiers inzake cyberafpersen en zijn dus
voorzichtig met het trekken van conclusies. Cyberafpersing lijkt verbanden te
hebben met andere vormen van (cyber)criminaliteit. In de dossiers zien we dat
de afpersing vaak volgt op eerdere bedreigingen. Verdachten persen slachtoffers
af door te dreigen met het openbaar maken van gevoelige informatie
over het slachtoffer. De gevoelige informatie heeft vaak te maken met kinderpornografie;
slachtoffers hebben kinderporno op hun computer en worden
daarmee afgeperst, of verdachten zetten minderjarige slachtoffers onder druk
om naaktfoto’s van zichzelf op te sturen (en gebruiken die weer om het slachtoffer
af te persen). Op verschillende momenten in de analyse zagen we een
verband tussen cyberafpersen en delicten die verband houden met relaties
en/of seksualiteit. Behalve de reeds genoemde kinderporno passeerden ook
de revue: relatieproblemen, stalking en aanranding. Een en ander wekt de
suggestie dat cyberafpersen verband houdt met zedendelinquentie dan wel
zedendelinquenten. Een onderwerp voor nader onderzoek en een aandachtspunt
voor daderprofilering.
4.5 Verdachtenkenmerken uit de dossierstudie
Inleiding
In de literatuur vinden we geen informatie over persoonskenmerken van cyberafpersers.
Volgens het KLPD is er sprake van een samenwerking tussen
computercriminelen uit West-Europese landen en georganiseerde groepen
criminelen uit Rusland en Oost-Europa (KLPD, DNRI, 2007b). Hackers worden,
aldus het KLPD, op internet geworven op grond van deskundigheid en
dan ingehuurd door criminelen die zich op afpersing toeleggen. Het KLPD
heeft vooral het oog op het afpersen van bedrijven. Ook de literatuur over
manieren waarop afpersers te werk gaan, is in belangrijke mate georiënteerd
op daders die bedrijven afpersen (par. 4.2). In de dertien afpersingsdossiers
in ons onderzoek heeft de dader het echter steeds gemunt op een andere natuurlijk
persoon. De hackendossiers bevatten wel een zaak waarin een bedrijf
werd afgeperst (casus 2.6).

128 Verkenning cybercrime in Nederland 2009
We beschrijven hierna de kenmerken van de verdachten uit de dossieranalyse.
Aan bod komen de modus operandi, persoonskenmerken, sociale achtergrond
en criminele carrière. We benadrukken dat we beschikken over materiaal uit
niet meer dan 13 dossiers en dat dus zeer grote terughoudendheid is geboden
bij het trekken van conclusies – toch al een lastige kwestie in daderprofilering.
De modus operandi
Om de modus operandi bij cyberafpersen te bepalen, hebben we (1) een analyse
gemaakt van de MO zoals die door politiemedewerkers in het politiedossier
is vastgelegd, (2) gekeken naar gebruikte criminele technieken en voorbereidingshandelingen
die in het dossier worden genoemd, (3) vastgesteld
vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al
dan niet samenwerkende verdachten in het dossier staan vermeld.
(1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen
kunnen bij het registreren van een delict een MO kiezen uit een vaste
lijst; ze kunnen per dossier meerdere MO’s kiezen. De MO-lijst verschilt enigszins
per basisprocessensysteem. In 7 dossiers troffen we een MO-beschrijving
aan. Uit de in de dossiers aangetroffen MO-beschrijvingen (tabel 4.4) valt niet
veel af te leiden over de werkwijze van de daders.
Tabel 4.4 MO-beschrijvingen in 7 cyberafpersingsdossiers 5051
MO beschrijving n 51
In BPS (n=4)
Computer 1
Computer/andere wijze 1
Openbare weg 1
Woning tussen/bedreigen/afpersen/internet/geld 1
In XPOL (n=3)
Afbreken/bekrassen/besmeuren 1
Bedreigen 1
Op andere wijze/schriftelijk 1
In GENESYS (n=0)
* Het totaal is niet gelijk aan het aantal dossiers, omdat in een dossier meerdere MO’s kunnen
zijn geregistreerd. Daarnaast hebben we MO-beschrijvingen die niet vaak voorkomen niet in de
tabel opgenomen, zie ook de methodische verantwoording in hoofdstuk 1.
50 Per dossier zijn meerdere MO’s mogelijk.
51 Omdat er weinig cyberafpersingsdossiers zijn, percenteren we niet.

Cyberafpersen
129
(2) Er staat in de tekst van de dossiers geen beschrijving van de MO, verder
vinden we hoegenaamd geen informatie over cybercriminele technieken of
voorbereidingshandelingen. In geen van de zaken is, blijkens de tekst in de
dossiers, een criminele techniek gebruikt. We vonden alleen een voorbereidingshandeling:
het verkrijgen van gevoelige informatie over het slachtoffer.
(3) In 12 gevallen is het delict vanuit Nederland gepleegd; in één geval is onbekend
vanuit welk land de dader opereerde.
(4) Verder is er in alle dossiers minstens 1 verdachte, steeds natuurlijke personen.
In 9 dossiers is er 1 verdachte en in 4 dossiers 2. In totaal dus 17 verdachten.
In geen van de dossiers is de verdachte onderdeel van een groep. In de
dossiers met meer verdachten hadden die verdachten verder niets met elkaar
te maken.
Persoonskenmerken
De 13 dossiers bevatten 17 verdachten. Van 14 van hen hebben we persoonsgegevens.
Het zijn allen in Nederland geboren mannen. De jongste is 13 en
de oudste 51. De helft valt in de leeftijdscategorie tot 18 jaar (zie tabel 4.5).
Dat heeft te maken met de aard van de afpersingen. Jongeren persen leeftijdgenoten
af. De slachtoffers moeten bijvoorbeeld geld betalen, zodat seksueel
getinte foto’s, al dan niet vrijwillig genomen tijdens een relatie, niet openbaar
worden gemaakt (zie ook casus 4.3 en 4.4).
Tabel 4.5 Leeftijdsopbouw van 14 verdachten cyberafpersen 52
Leeftijdscategorie Verdachten
12-17 jaar 7
18-24 jaar 2
25-34 jaar 0
35-44 jaar 2
45-54 jaar 3
55-65 jaar 0
65 jaar en ouder 0
Totaal 14
52 Omdat er weinig cyberafpersingsdossiers zijn, percenteren we niet. Om diezelfde reden
vergelijken we de leeftijdsopbouw van cyberafpersingsverdachten niet met de leeftijdsopbouw
van verdachten in HKS of met de leeftijdsopbouw van de Nederlandse bevolking.

130 Verkenning cybercrime in Nederland 2009
Sociale achtergrond
We beschikken over te weinig materiaal om uitspraken te doen over opleidingsniveau,
woonsituatie en arbeidssituatie van de verdachten. Van 11 verdachten
konden we de motivatie vaststellen. Het ging vooral om financieel
gewin (6 maal), wraak (4 maal) en opwinding (2 maal). Casus 4.1 tot en met 4.4
bevatten voorbeelden daarvan.
Antecedenten
Van 13 van de 17 verdachten hadden we genoeg persoonsgegevens om antecedenten
na te trekken. We hebben opgevraagd in welke hoofdgroepen van
delicten (tabel 4.5) zij staan vermeld en voor welke artikelen die verband houden
met de cybercrimes uit deze VCN2009 zij antecedenten hebben. 53 Twaalf
van de 13 verdachten hebben één of meer antecedenten. Elke vermelding in
een hoofdgroep kan weer meer antecedenten inhouden. De vermeldingen
zijn verspreid over diverse hoofdgroepen (zie tabel 4.6).
Tabel 4.6 Antecedenten van 12 verdachten van cyberafpersen: vermeldingen per
hoofdgroep 54
Hoofdgroep Verdachten
Gewelddadig seksueel 0
Overig seksueel 1
Geweld tegen personen 3
Vermogen met geweld 0
Vermogen zonder geweld 2
Vernieling/openbare orde 3
Verkeer 1
Drugs 0
Overige 2
Eén of meer van bovenstaande hoofdgroepen 12
53 Dat zijn de volgende artikelen uit het Wetboek van Strafrecht: 131, 137c-g, 138a, 139c-d,147,
161sexies, 161septies, 225, 232, 240b, 326, 350a-b. Deze artikelen staan uitgebreid beschreven
in de hoofdstukken over de individuele cybercrimes (hoofdstuk 2 tot en met 6, steeds par. 2).
54 Omdat er weinig cyberafpersingsdossiers zijn, percenteren we niet. Om diezelfde reden
vergelijken we de antecedenten van cyberafpersingsverdachten niet met de antecedenten
van verdachten in HKS of met de antecedenten van de Nederlandse bevolking.
n

Cyberafpersen
131
Van de antecedenten zijn er 4 voor een wetsartikel dat (mogelijk) verband
houdt met een cybercrime uit deze VCN2009: twee voor afpersen, een voor
hacken en een voor kinderporno (tabel 4.7). Veel kunnen we daaruit niet afleiden.
We zochten zaken uit de jaren 2003-2007, en het is dus niet onaannemelijk
dat de antecedenten in verband met afpersen verwijzen naar de dossiers
die deel uitmaken van ons onderzoek.
Tabel 4.7 Antecedenten van verdachten van cyberafpersen voor artikelen die (mogelijk)
verband houden met de cybercrimes in deze VCN2009
Aantal verdachten met antecedenten hacken 1
Aantal antecedenten voor artikel 138a Sr (computervredebreuk) 1
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 0
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 2
Artikel 318 Sr (afdreiging) 2
Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno 1
Artikel 240b Sr (kinderpornografie) 1
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 0
Relatie verdachte-slachtoffer
Van 10 verdachten weten we de relatie met het slachtoffer. Drie verdachten
kenden het slachtoffer niet, de overige 7 verdachten kenden het slachtoffer
wel, in 6 gevallen was het een kennis en een enkele keer een ex-partner (tabel
4.8).
Tabel 4.8 Relatie tussen 10 verdachten en slachtoffers 55
Relatie verdachte en slachtoffer n
Familie 0
Partner 0
Ex-partner (getrouwd, langdurige relatie) 0
Ex-partner (verkering, kortstondige relatie) 1
Kennis 6
Zakelijk ((ex-)werknemer, zakenrelatie, klant) 0
Zakelijk (student) 0
Onbekende 3
Totaal 10
55 Omdat er weinig cyberafpersingsdossiers zijn, percenteren we niet.

132 Verkenning cybercrime in Nederland 2009
Conclusies
In de literatuur is weinig bekend over cyberafpersers. De aandacht in de literatuur
gaat vooral uit naar criminelen die bedrijven afpersen.
We vonden slechts 13 bruikbare dossiers. Dat aantal laat geen stellige conclusies
toe. In de Nederlandse politiedossiers gebruiken verdachten gevoelige
informatie (bijv. naaktfoto’s) van het slachtoffer om het slachtoffer geld
afhandig te maken. Een voorbereidingshandeling is dan ook het verzamelen
van gevoelige informatie over het slachtoffer. De verdachten in de dossiers
zijn opvallend vaak jong (onder de 21) en hun slachtoffers zijn individuen,
geen bedrijven. De verdachten opereren alleen en er is geen sprake van criminele
samenwerkingsverbanden. Ze maken geen gebruik van criminele technieken,
maar die komen wel voor, want in de hackendossiers troffen we een
afpersingszaak waarin een verdachte gebruikmaakt van een cybercriminele
techniek, in dat geval een DDoS-aanval om een bedrijf af te persen.
4.6 Slachtoffers van cyberafpersen
De 13 dossiers over cyberafpersen bevatten gegevens van 10 slachtoffers. Alle
slachtoffers zijn individuen, geen bedrijven die aangifte hebben gedaan van
cyberafpersen. We hebben te weinig informatie om nadere uitspraken over de
slachtoffers te doen.
4.7 Omvang
Inleiding
Om enig zicht te krijgen op de omvang van cyberafpersen, namen we een
steekproef van meldingen en aangiften om te zien in hoeveel gevallen er in de
politieregistratie sprake is van dit delict (Domenie e.a., 2009). Daarnaast keken
we in de literatuur naar informatie over de omvang van cyberafpersen.
Uit de literatuur
Hoewel cyberafpersing vooralsnog met name in het buitenland wordt gesignaleerd,
komen gevallen van cyberafpersing volgens Van Leiden e.a. (2007)
in elk land voor. Boerman en Mooij (2006) concluderen echter dat, hoewel er
in de Verenigde Staten meer gevallen van afpersing door het dreigen met een
DDoS-aanval zijn gemeld, het erop lijkt dat dergelijke afpersingen in Nederland
zeldzaam zijn. De daadwerkelijke omvang van het probleem in Nederland
zou volgens het KLPD groter kunnen zijn dan uit de registraties naar
voren komt, bijvoorbeeld omdat bedrijven bang zijn voor imagoschade en niet

Cyberafpersen
133
in het nieuws willen brengen dat zij ingaan op de eisen van afpersers (KLPD,
DNRI, 2007b).
Er is dus maar weinig bekend over de omvang van cyberafpersen. Een geringe
aangiftebereidheid is daar mogelijk debet aan, maar ook in slachtofferenquêtes
onder bedrijven wordt niet direct gevraagd naar cyberafpersingen.
Naar de criminele technieken die gebruikt kunnen worden om te cyberafpersen,
DDoS-aanval en defacing, wordt wel gevraagd in de enquêtes (Bednarski,
2004; CSO magazine, 2007). Cijfers hierover staan in de bijlagen 4 en 5. Maar
of het gebruik van die technieken wijst op afpersen, is nog maar helemaal de
vraag.
In Amerikaans onderzoek bij bedrijven (CSO magazine, 2007) wordt wel
specifiek naar cyberafpersingen gevraagd. Ook in de rapporten van McAfee
(McAfee Virtual Criminology Report, 2007) komt cyberafpersing aan bod. In
het Amerikaanse onderzoek zien we dat in 2006 16% van de bedrijven is afgeperst
(CSO magazine, 2007). In 2005 werd 33% van de bevraagde bedrijven
afgeperst (CSO magazine, 2006). De onderzoeken verschaffen geen inzicht in
de vorm van afpersing. Uit een onderzoek van Bednarski (2004) naar afpersingen
in bedrijven tot 10.000 medewerkers blijkt dat 17% van de respondenten
(bedrijven) wel eens slachtoffer geweest is van een cyberafpersing. In die
gevallen werd er gedreigd met defacing (19%), diefstal klantgegevens (18%),
DDoS-aanval (14%), plaatsing van illegaal materiaal (11%) en met verschillende
andere zaken. De uitkomsten van het onderzoek staan in figuur 4.5.
De mate waarin cyberafpersing voorkomt, is lastig in te schatten. De cijfers
hebben betrekking op bedrijven, over individuele slachtoffers is niets bekend.
De cijfers geven aan dat bedrijven slachtoffer zijn van cyberafpersingen,
de cijfers lopen uiteen van 16 tot 33% (resp. CSO magazine, 2007; Bednarski,
2004 en CSO magazine, 2006). In de Nederlandse politiedossiers komen wij
cyberafpersen hoegenaamd niet tegen.
Uit dossierstudie en aanvullend onderzoek
We vonden in Nederland over de periode 2003-2007 13 dossiers inzake cyberafpersen,
gemiddeld 2,6 per jaar in het hele land. Verder deden we in twee
korpsen (Hollands-Midden en Zuid-Holland-Zuid) een steekproef van 10%
van de aangiften en melding uit 2007. In die steekproef zaten geen cyberafpersingszaken.
Het gaat om aantallen politiedossiers, niet om aantallen
werkelijke afpersingen. Daar komt bij dat we mogelijk zaken die wel bij de politie
zijn aangegeven en geregistreerd, hebben gemist doordat we dossiers selecteerden
via BlueView en dat zoekprogramma enkel zoekt in de drie basisprocessensystemen
(zie ook par. 1.4).

134 Verkenning cybercrime in Nederland 2009
Figuur 4.5 Resultaten uit het onderzoek van Bednarski (2004) inzake de prevalentie
van cyberafpersen
De enquête van het onderzoek beperkt zich tot bedrijven tot 10.000 fulltime werknemers
in Amerika en Canada. De onderzoeksperiode is geweest van juni 2004-september
2004. In totaal hebben 100 bedrijven de enquête ingevuld. De cijfers zeggen
dus alleen iets over de kleine en middelgrote ondernemingen. Bednardski geeft
aan dat de grote bedrijven wellicht anders omgaan met hun beveiliging.
− 92% van de respondenten heeft een eigen website. De aanwezigheid van een
website zegt in zijn algemeenheid niets over de waarschijnlijkheid van een cyberaanval,
maar een website is vaak doel in een DDoS-aanval of dreiging met
defacement.
− 60% van de respondenten ziet hun eigen bedrijf als categorie ‘laag risico’. Slechts
3% geeft aan dat hun onderneming in de categorie ‘hoog risico’ valt.
− 17% van de respondenten geeft aan ooit slachtoffer te zijn geweest van een cyberafpersing.
Het merendeel, 70%, zegt geen slachtoffer geweest te zijn.
− Van de cyberafpersingen was 71% van de poging tot afpersing gericht tegen de
organisatie en 29% van de pogingen tegen een individu uit de organisatie.
− Er werd gedreigd met defacement (19%), diefstal klantgegevens (18%), DDoSaanval
(14%), plaatsing van illegaal materiaal (11%), diefstal van IP-adres (7%),
vernietigen van data (7%), vernietiging van IP-adres (4%) en overige (21%).
− In de meeste gevallen was de afpersing niet succesvol (70%), in 18% van de gevallen
wel en 12% weet het niet.
− In 6% van de afpersingen werd de identiteit van de dader achterhaald. In 41%
werd dit niet achterhaald, maar ook niet geprobeerd. Bij 18% van de afpersingen
werd het wel geprobeerd, maar lukte het niet en 35% van de respondenten
weet het niet zeker.
Conclusie
Slachtofferonderzoek onder bedrijven in Amerika en Australië wijst erop dat
een substantieel percentage van bedrijven slachtoffer is van cyberafpersen.
Over slachtofferschap onder burgers vonden we in de literatuur geen informatie.
In politiedossiers in Nederland treffen we nauwelijks zaken aan. Uiteindelijk
vonden we over vijf jaar 13 zaken, alle betrekking hebbend op individuele
slachtoffers, niet op bedrijven. Dat cyberafpersen onder bedrijven niet onbekend
is in Nederland weten we ook, want in de hackendossiers vonden we één
zo’n zaak. In een onderzoek naar het werkaanbod inzake cybercrime in twee
korpsen, vonden we over 2007 geen aangiften van cyberafpersing. De conclusie
over de omvang van cyberafpersen moet zijn dat het zeer weinig voorkomt
of dat de aangiftebereidheid uiterst laag is, of beide. Als er al eens aangifte
wordt gedaan, betreft dat vooral burgers die slachtoffer zijn geworden.

Cyberafpersen
4.8 Trends
135
Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie
is immers een momentopname en daaruit kunnen we geen trends afleiden.
Door het minieme aantal aangiften wordt cyberafpersing, specifiek afpersing
met behulp van een DDoS-aanval, in het Nationale Dreigingsbeeld niet
als concrete dreiging gezien (KLPD, 2008; KLPD, DNRI 2004). In andere bronnen
valt te lezen dat, ondanks het lage aantal aangiften, het aantal cyberafpersingen
in de toekomst zal toenemen; een empirische onderbouwing daarvan
ontbreekt echter (Bednarski, 2004; Symantec, 2006; Van Leiden e.a., 2007).
Bedreigingen komen door de komst van het internet niet alleen uit de eigen
omgeving of het eigen land. Er is volgens Bednarski (2004) een grote dreiging
vanuit landen die geen wetgeving op het gebied van computercriminaliteit
hebben of waar geen of weinig menskracht voorhanden is om cybercriminelen
op te sporen en te berechten. Volgens Bednarski houden zich voornamelijk
in Oost-Europese landen en Rusland criminele groeperingen bezig met
cyberafpersen. De dossierstudie bevestigt dit beeld echter niet. Het lijkt niet
onverstandig om dergelijke uitspraken over dreigingen uit Oost-Europese
landen kritisch te beschouwen. Misschien sluiten ze eerder aan bij onderbuik -
gevoelens dan bij de actuele realiteit. Ook over kinderporno wordt bijvoorbeeld
geregeld beweerd dat die wordt aangeboden vanuit landen die een zwakke
wetgeving hebben inzake cybercrime en waarmee juridische samenwerking
moeilijk is, zoals Wit-Rusland en Oekraïne, terwijl de praktijk is dat het KLPD
een zwarte lijst heeft ontwikkeld met kinderpornoaanbieders waarop overwegend
websites staan die worden gehost in de Verenigde Staten (Stol e.a., 2008).
Dat toekomstige dreigingen uit landen van het voormalige Oostblok zullen
komen, mogen we dus niet zonder meer voor waar aannemen.
Met name bedrijven die afhankelijk zijn van internet, zoals onlinegokbedrijven,
worden volgens Van der Hulst en Neve (2008) afgeperst. Met het
groeien van de omzet van internetcasino’s en gokwebsites zou deze nieuwe
bedrijfstak, aldus deze auteurs, steeds vaker het doelwit van afpersing worden.
In het onderzoek van Van Leiden e.a. (2007) komt uit een aantal expertinterviews
naar voren dat DDoS-aanvallen steeds meer door professionele
criminelen gebruikt worden. Werden DDoS-aanvallen in het beginstadium
met name gebruikt door groepjes onderling, de laatste tijd worden dergelijke
aanvallen steeds meer gebruikt voor het platleggen van websites (Van Leiden
e.a., 2007).
De software waarmee DDoS-aanvallen worden uitgevoerd, kan relatief
eenvoudig op internet gevonden worden. In het hackerswereldje worden methoden
en ideeën om aanvallen uit te voeren, gedeeld; eenieder die geïnteresseerd
is, kan informatie en hulp krijgen om aanvallen uit te voeren (Ianelli &

136 Verkenning cybercrime in Nederland 2009
Hackworth, 2005). Ook minder technisch aangelegde criminelen zijn daartoe
in staat. Volgens het KLPD zal het aantal cyberafpersingen de komende jaren
toenemen, omdat het relatief eenvoudig is een dergelijke aanval uit te voeren
en zo’n aanval doorgaans effectief is (KLPD, DNRI 2004).
In de literatuur wordt dan wel gewag gemaakt van een trend naar meer
cyberafpersingen, de empirische onderbouwing daarvan is niet overtuigend.
We zagen althans geen empirisch meerjarig onderzoek waaruit het bestaan
van zo’n ontwikkeling kan worden afgeleid. De verwachte toename van cyberafpersen
wordt afgeleid uit de constatering dat steeds meer bedrijven afhankelijk
zijn van internet en internet mogelijkheden biedt tot het uitvoeren
van een dergelijk delict. Geen of in elk geval te weinig aandacht is er in die
analyse voor de vraag of internet niet ook mogelijkheden biedt voor beveiliging
en het opsporen van criminelen, en of afpersen voor een dader dus uiteindelijk
wel zo’n gunstig delict is.
4.9 Resumé
Afpersen is kort gezegd het verkrijgen van wederrechtelijk voordeel door geweld
of dreigen met geweld (art. 317 Sr; figuur 4.1). We spreken van cyberafpersing
indien ICT essentieel is voor de uitvoering van het delict. Criminele
technieken die bij cyberafpersen (kunnen) worden gebruikt, zijn het creëren
van botnets, uitvoeren van DDoS-aanvallen, defacing van websites en het stelen
van informatie uit digitale systemen.
In de literatuur worden verschillende verschijningsvormen genoemd die
in combinaties kunnen voorkomen:
1. Dreiging: het dreigen met het platleggen van websites of netwerken.
2. Beschadiging en verstoring: het beschadigen van essentiële gegevens en
het verstoren van industriële productiesystemen.
3. Shaming: het publiekelijk maken van gevoelige informatie.
4. Protectie: het aanbieden van ‘bescherming’ tegen bijvoorbeeld DDoS-aanvallen.
In het Wetboek van Strafrecht is afpersing strafbaar gesteld in artikel 317 Sr
(afpersing). Ook de artikelen 318 (afdreiging) en 285 Sr (bedreiging) kunnen
van toepassing zijn. Er zal voor het uitvoeren van de criminele technieken
veelal moeten worden ingebroken in computersystemen, strafbaar gesteld in
artikel 138a Sr. Indien er opzettelijk dan wel door schuld een geautomatiseerd
werk vernield wordt, dan gelden de artikelen 161sexies en 161septies Sr. Indien
er gegevens vernield worden, zijn de artikelen 350a en 350b Sr van toepassing.

Cyberafpersen
137
We vonden over de periode 2003-2007 slechts 13 dossiers over cyberafpersen.
Voor zover we een verband met andere criminaliteit vonden, is cyberafpersing
een vervolg op eerdere bedreigingen. Verdachten persen slachtoffers af
door te dreigen met het openbaar maken van gevoelige informatie over het
slachtoffer. De gevoelige informatie heeft vaak te maken met kinderpornografie.
Slachtoffers hebben kinderporno op hun computer en worden daarmee
afgeperst, of verdachten zetten minderjarige slachtoffers onder druk om
naaktfoto’s van zichzelf op te sturen (en gebruiken die weer om het slachtoffer
af te persen). Op verschillende momenten in de analyse zagen we een verband
tussen cyberafpersen en delicten die verband houden met relaties en/
of seksualiteit. Behalve de reeds genoemde kinderporno passeerden ook de
revue: relatieproblemen, stalking en aanranding. Een en ander wekt de suggestie
dat cyberafpersen verband houdt met zedendelinquentie dan wel zedendelinquenten.
Het geringe aantal dossiers laat geen stellige conclusies toe,
maar deze aanwijzing in de richting van een verband tussen jeugd, zedendelinquentie
en afpersing, is een aandachtspunt voor nader onderzoek.
In de literatuur vinden we weinig over daderkenmerken van cyberafpersers.
Volgens het KLPD is er sprake van een samenwerking tussen computercriminelen
uit West-Europese landen en georganiseerde groepen criminelen uit Rusland
en Oost-Europa. Hackers worden op internet geworven op grond van hun
deskundigheid en ingehuurd. Het KLPD heeft dan het afpersen van bedrijven
voor ogen. Dit zien we niet terug in de dossierstudie. De verdachten opereren
alleen en er is geen sprake van criminele samenwerkingsverbanden. De verdachten
zijn opvallend vaak jong (onder de 21). Ze maken geen gebruik van criminele
technieken. Een voorbereidingshandeling is het verzamelen van gevoelige
informatie over het slachtoffer. Dat is steeds een individu, geen bedrijf. We
hebben te weinig informatie om nadere uitspraken over slachtoffers te doen.
Slachtofferonderzoek onder bedrijven in Amerika en Australië wijst erop
dat een substantieel percentage van bedrijven (16-33%) slachtoffer was van cyberafpersen.
Over slachtofferschap onder burgers vonden we in de literatuur
geen informatie. In politiedossiers in Nederland treffen we nauwelijks zaken
aan. Uiteindelijk vonden we over vijf jaar 13 zaken, allen betrekking hebbend
op individuele slachtoffers, niet op bedrijven. Dat cyberafpersen onder bedrijven
niet onbekend is in Nederland weten we ook, want in de hackendossiers
vonden we één zo’n zaak. In dat geval werd een DDoS-aanval ingezet om een
bedrijf af te persen. In een onderzoek naar het werkaanbod inzake cyber crime
in twee korpsen, vonden we over 2007 geen aangiften van cyberafpersing. De
conclusie over de omvang van cyberafpersen moet zijn dat het zeer weinig
voorkomt of dat de aangiftebereidheid uiterst laag is, of beide. Als er al eens
aangifte wordt gedaan, betreft dat vooral burgers die slachtoffer zijn geworden,
en dan niet van georganiseerde bendes, maar van andere burgers.

138 Verkenning cybercrime in Nederland 2009
Door het geringe aantal aangiften wordt cyberafpersing, specifiek afpersing
met behulp van een DDoS-aanval, in het Nationale Dreigingsbeeld niet als
concrete dreiging gezien. Volgens andere bronnen zal het aantal cyberafpersingen
in de toekomst toenemen, omdat steeds meer bedrijven afhankelijk
zijn van internet en de voor een afpersing benodigde technieken eenvoudig
beschikbaar zijn. De empirische onderbouwing bij deze verwachting is echter
niet overtuigend.

5 ki n d e r p o r n o
5.1 Inleiding
Kijkend naar maatschappelijke verontwaardiging en naar opsporingsprioriteiten
is de verspreiding van kinderporno (art. 240b Sr) op dit moment aan te
merken als het grootste cybercrimeprobleem (Stol e.a., 2008b). De maatschappelijke
bezorgdheid is terecht, in die zin dat we uit eerder onderzoek weten
dat internet in belangrijke mate bijdraagt aan de verspreiding van kinderpornografie
(Bullens, 2007) en dat internet met zich meebrengt dat mensen eerder
dan voorheen de grenzen van het toelaatbare opzoeken – en overschrijden
(Stol e.a., 2008a). Kinderporno als probleem is in Nederland vooral hoog op de
(politieke) agenda gekomen door de Zandvoortse kinderpornozaak in de zomer
van 1998 (Stol e.a., 1999). De inspanningen tegen kinderpornografie hebben
effect gehad op de werkwijze van de aanbieders. Was het materiaal medio
jaren negentig in Nederland niet zelden te vinden op eenvoudig benaderbare
websites, gaandeweg is het aanbod verschoven naar de minder gemakkelijk
door politie en justitie te controleren delen van internet (van websites naar
nieuwsgroepen, afgesloten domeinen, en peer-to-peer (P2P)-omgevingen).
De wijze waarop commerciële aanbieders hun materiaal bij potentiële kopers
onder de aandacht brengen, beweegt ook: van ‘reclame’ op openbare portalen
van gesloten websites naar mail in nieuwsgroepen en spamberichten (Stol,
2004; Stol e.a., 2008a).
In dit onderzoek definiëren wij kinderporno conform artikel 240b Sr als
iedere afbeelding – of gegevensdrager die een afbeelding bevat – van een seksuele
gedraging waarbij iemand, die kennelijk de leeftijd van 18 jaar nog niet
heeft bereikt, is betrokken of schijnbaar is betrokken. De aard en inhoud van
kinderpornografisch materiaal kan sterk variëren, maar gemeenschappelijk
kenmerk is volgens Bullens (2007) dat er altijd elementen van seksueel misbruik,
geweld en/of seksuele exploitatie in terug zijn te vinden.
In dit hoofdstuk behandelen we eerst de strafbaarstelling en verschijningsvormen
van kinderporno (respectievelijk par. 5.2 en 5.3). Vervolgens beschrijven
we de verbanden die deze cybercrime heeft met andere vormen van (cyber)-
criminaliteit (par. 5.4), behandelen we de kenmerken van daders uit de litera-

140 Verkenning cybercrime in Nederland 2009
tuur (par. 5.5), van verdachten uit de dossierstudie (par. 5.6) en gaan we dieper
in op de slachtoffers (par. 5.7). In paragraaf 5.8 kijken we naar de omvang van
deze cybercrime. Ten slotte komen in paragraaf 5.9 de trends van kinderporno
aan bod en in paragraaf 5.10 volgt een resumé van dit hoofdstuk.
5.2 Strafbaarstelling
Kinderpornografie is in Nederland strafbaar gesteld in artikel 240b Sr (figuur
5.1). In overeenstemming met internationale verdragen, in het bijzonder het
Cybercrimeverdrag dat door Nederland is ondertekend in 2001, is de leeftijdsgrens
bij de wetswijziging van 1 oktober 2002 bepaald op 18 jaar. Tevens is
toen met het zinsdeel ‘of schijnbaar betrokken’, de zogenoemde virtuele kinderpornografie
onder de werking van de wet gebracht. 56 Virtuele kinderpornografie
is ogenschijnlijk echte kinderpornografie, niet vervaardigd met echte
kinderen maar met behulp van digitale technieken, bijvoorbeeld eenvoudig
door middel van tweedimensionaal knip- en plakwerk of geavanceerd met
driedimensionale animatietechnologie. In februari 2008 heeft de rechtbank
in Den Bosch als eerste in Nederland een veroordeling voor virtuele kinderporno
uitgesproken. 57
Kort gezegd, komt de ratio van artikel 240b Sr erop neer dat jongeren beschermd
moeten worden. De wetgever wil voorkomen dat kinderen in situaties
terechtkomen waarin ze worden misbruikt voor het op beeld vastleggen
van seksuele gedragingen. Daarnaast moet voorkomen worden dat mensen
dergelijk materiaal bezitten, verspreiden of openlijk tentoonstellen, of dat jongeren
worden aangemoedigd of verleid om deel te nemen aan seksuele activiteiten
(Van der Zee & Groeneveld, 2007), en moeten kinderen worden beschermd
tegen gedragingen en uitingen die bijdragen aan een subcultuur die
seksueel misbruik van kinderen bevordert. 58
Figuur 5.1 Artikel 240b Sr: kinderpornografie (i.w.tr. 01-05-2004)
1. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie
wordt gestraft degene die een afbeelding – of gegevensdrager, bevattende
een afbeelding – van een seksuele gedraging, waarbij iemand die kennelijk de
56 Voor een uitgebreidere beschrijving van de wijzigingen per 1 oktober 2002, zie de Aanwijzing
kinderpornografie (www.wetten.nl).
57 Rb. Den Bosch 4 februari 2008, LJN BC3225.
58 Zie bijv. Kamerstukken I 2001/02, 27 745, nr. 299b en Aanwijzing kinderpornografie (art. 240b
Sr), Stcrt. 30 juli 2007, 162.

Kinderporno
leeftijd van achttien jaar nog niet heeft bereikt, is betrokken of schijnbaar betrokken,
verspreidt, openlijk tentoonstelt, vervaardigt, invoert, doorvoert, uitvoert
of in bezit heeft.
2. Met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie
wordt gestraft degene die van het plegen van een van de misdrijven,
omschreven in het eerste lid, een beroep of gewoonte maakt.
141
Kinderporno op internet is een grensoverschrijdend probleem. Maar ondanks
internationale verdragen gericht op de verdere harmonisatie van wetgeving
zijn er diverse verschillen tussen nationale wetgevingen, ook tussen die van
landen binnen Europa. In Noorwegen bijvoorbeeld zijn alle kinderpornografische
uitingen strafbaar, terwijl de Nederlandse wet alleen spreekt over beeldmateriaal;
in Noorwegen is ook het bewust kijken naar kinderporno strafbaar
(zonder te downloaden), in Nederland niet; in Noorwegen zijn werkgevers
strafbaar als zij geen maatregelen nemen om te voorkomen dat hun werknemers
tijdens het werk het kinderpornoverbod overtreden, in Nederland niet.
In Zweden vallen kinderen van 18 jaar of ouder wiens puberteitsontwikkeling
nog niet is voltooid onder bescherming van de kinderpornowetgeving, in
Nederland niet (Stol e.a., 2008a). 59
Virtuele kinderporno
De strafbaarstelling van virtuele kinderporno is een gevolg van het Europese
Cybercrimeverdrag van 23 november 2001. Artikel 9 van dat verdrag handelt
over Offences related to child pornography. Figuur 5.2 geeft de tekst van dat artikel
weer.
Het tweede lid van artikel 9 van het Cybercrimeverdrag spreekt van realistic
images waartoe de strafbaarstelling zich dient uit te strekken, ook al betreft
het geen afbeelding/opname van een echt kind als slachtoffer. Het Explanatory
Memorandum bij artikel 9 van het Cybercrimeverdrag 60 beschrijft virtuele
kinderporno als ‘images although “realistic”, do not in fact involve a real child
engaged in sexually explicit conduct. The latter scenario includes pictures that
are altered, such as morphed images of natural persons, or even gene rated entirely
by the computer’. Daartoe is met de wetswijziging van 1 oktober 2002
in artikel 240b Sr het bestanddeel ‘betrokken’ aangevuld tot ‘schijnbaar is betrokken’
(Stol e.a., 2008a).
59 Zie art. 204a van de Noorse strafwet en art. 10a van paragraaf 16 van de Zweedse strafwet.
60 Kamerstukken II 2001/02, 27 745, nr. 3, p. 4 en 27 745, nr. 6, p. 8-9.

142 Verkenning cybercrime in Nederland 2009
Figuur 5.2 Cybercrimeverdrag 2001, artikel 9: Offences related to child pornography
1. Each Party shall adopt such legislative and other measures as may be necessary
to establish as criminal offences under its domestic law, when committed intentionally
and without right, the following conduct:
a. producing child pornography for the purpose of its distribution through a
computer system;
b. offering or making available child pornography through a computer system;
c. distributing or transmitting child pornography through a computer system;
d. procuring child pornography through a computer system for oneself or for
another;
e. possessing child pornography in a computer system or on a computer-data
storage medium.
2. For the purpose of paragraph 1 above ‘child pornography’ shall include pornographic
material that visually depicts:
a. a minor engaged in sexually explicit conduct;
b. a person appearing to be a minor engaged in sexually explicit conduct;
c. realistic images representing a minor engaged in sexually explicit conduct.
3. For the purpose of paragraph 2 above, the term ‘minor’ shall include all persons
under 18 years of age. A Party may, however, require a lower age-limit, which
shall be not less than 16 years.
4. Each Party may reserve the right not to apply, in whole or in part, paragraph
1(d) and 1(e), and 2(b) and 2(c).
Niet strafbaar materiaal
In het kader van kinderpornografie op het internet is het ook interessant om
te weten wat niet als strafbaar wordt gezien. Niet strafbaar volgens de Nederlandse
kinderpornowetgeving (art. 240b Sr) zijn (MKI, 2008):
– Teksten over seksueel misbruik van kinderen. Websites waarop pedofielen en
pedoseksuelen opvattingen delen of seksuele handelingen tussen volwassenen
en kinderen beschrijven, zijn volgens de Nederlandse wet niet strafbaar.
Dit geldt ook voor verhalen over seks waarin fictieve kinderen een
rol spelen.
– Getekende beelden van seksueel misbruik van kinderen. Websites met tekeningen
die seks met kinderen uitbeelden.
– Nudisme en zogenoemde ‘modellensites’ met kinderen. ‘Modellensites’ waarop
jonge kinderen op uitdagende wijze poseren in badkleding en lingerie.
Volgens het Meldpunt Kinderporno is de doelgroep van deze websites een

Kinderporno
143
andere dan die van professionele modellenbureaus. Kinderen worden, aldus
het meldpunt, op deze websites gereduceerd tot lustobject en hoewel
dergelijke afbeeldingen een verkeerd signaal afgeven, zijn ze in Nederland
niet strafbaar, tenzij er sprake is van een seksuele context.
5.3 Verspreidingsvormen 61
In tabel 5.1 staat een overzicht van het aantal meldingen omtrent kinderporno
bij het particuliere Meldpunt Kinderporno op Internet (MKI, 2006, 2007). Ook
laat de tabel zien waar de melder de kinderporno aantrof, hetgeen toont hoe
het materiaal werd verspreid. De meeste meldingen gaan over kinderporno
via spam en websites, op afstand gevolgd door kinderporno via P2P-systemen,
chat en nieuwsgroepen. In 2006 betrof 65,2% van de meldingen kinderporno
via spam, 25,4% via websites en 4,8% via P2P-systemen. De meeste meldingen
(90,6%) hebben betrekking op websites en spam. Spam bevat vaak links naar
websites en nieuwsgroepen waar de kinderporno zich bevindt. In de jaren
2003-2005 is het beeld niet wezenlijk anders, zij het dat in 2006 ten opzichte
van 2003 wat meer de nadruk ligt op verspreiding via spam.
Tabel 5.1 Meldingen over kinderporno bij het particuliere Meldpunt Kinderporno
op Internet (Stol e.a., 2008a)
Verspreidingswijze
2003 2004 2005 2006
Meld. KP* Meld. KP* Meld. KP* Meld. KP*
Websites 2.018 2.321 2.121 1.715 1.715 1.195 2.121 803
Spam 3.100 3.153 5.271 4.401 4.401 1.999 5.271 2.378
Nieuwsgroepen 151 88 61 124 124 62 61 35
P2P** 439 368 291 326 326 - 291 -
Chat** 52 79 92 154 154 - 92 -
Overige** 37 12 38 32 32 - 38 -
Bron: MKI, 2004, 2005, 2006, 2007, 2008.
* Meldingen die volgens het meldpunt kinderpornografie betreffen.
** Meldingen aangaande deze categorieën worden niet door het meldpunt gecontroleerd.
61 Deze paragraaf is deels ontleend aan Stol e.a. (2008b).

144 Verkenning cybercrime in Nederland 2009
Uit deze cijfers mogen we niet concluderen dat kinderporno overwegend via
websites en spam wordt verspreid. Het gaat immers om gemelde kinderporno.
De conclusie moet eerder zijn dat vooral kinderporno op websites en via
spam aanleiding is voor internetters om een melding te doen. We kunnen uit
de cijfers niet de omvang van kinderporno op internet afleiden, want het dark
number is onbekend en we beschikken niet over slachtofferenquêtes (vgl. Bijleveld,
2007; Zoomer & Stol, 2008).
Uit de cijfers van het Meldpunt Kinderporno (MKI, 2008) gecombineerd
met eerder onderzoek naar kinderpornografie op internet (Oosterink & Van
Eijk, 2006; Schell e.a., 2007; Stol, 2004; Stol e.a., 1999, 2008a) kunnen we wel
afleiden via welke onderdelen van internet kinderporno in ieder geval wordt
verspreid:
– Spam. Ongevraagde en veelal ook ongewenste e-mail.
– Website. Een verzameling samenhangende webpagina’s die op het internet
te bereiken is. Dit kunnen zowel openbaar toegankelijke als gesloten websites
zijn (waarvoor bijvoorbeeld eerst betaald moet worden).
– P2P-netwerk. Netwerk dat onderlinge uitwisseling tussen twee of meer
partijen mogelijk maakt, zoals Kazaa, eDonkey LimeWire en Gnutella. Bestanden
die worden uitgewisseld, staan niet op centrale servers, maar op
de computers van de gebruikers zelf. Dit in tegenstelling tot normale websites,
waarbij de gebruiker contact heeft met de centrale server waarop de
website gehost wordt. Uit expertinterviews in het onderzoek van Stol e.a.
(2008a) valt op te maken dat via P2P-netwerken op substantiële schaal verspreiding
van kinderpornografie plaatsvindt. Ook de NFI-onderzoekers
Oosterink en Van Eijk (2006) komen tot die conclusie. De P2P-programma’s
gaan volgens Schell e.a. (2007) in de toekomst zelfs de grootste rol spelen
in de distributie van kinderporno, met name door de via die weg te realiseren
anonimiteit en de mogelijkheden van het versleutelen van bestanden.
– Virtuele harde schijven. Een opslagmiddel dat zich niet lokaal onder direct
handbereik van de gebruiker bevindt, maar op afstand (een e-mailaccount
kan ook dienen als virtuele harde schijf). Er zijn op dit moment geen aanwijzingen
dat dergelijke accounts door kinderpornoverzamelaars gebruikt
worden. Dit kan echter komen, doordat hiernaar geen structureel zaakonderzoek
wordt gedaan (Oosterink & Van Eijk, 2006). Ook politierespondenten
wijzen op de mogelijkheid dat kinderporno via virtuele harde schijven
wordt verspreid.
– Nieuwsgroepen. Een wereldwijd netwerk van servers dat als doel heeft om
berichten te verspreiden onder de gebruikers (ook bekend als Usenet). De
berichten blijven gedurende een bepaalde tijd toegankelijk voor de nieuwsgroepbezoekers.

Kinderporno
145
– Chat. Een protocol dat het snel achter elkaar plaatsen van berichten van
twee of meer gebruikers mogelijk maakt (‘chatten’). Het IRC-protocol (Internet
Relay Chat) is het meest gebruikte protocol om te chatten. Andere
chat-technologieën zijn Instant Messaging, ICQ of Windows Live Messenger.
We weten niet precies welk aandeel van de kinderporno op internet wordt
verspreid via welke route. We weten wel dat de wijze waarop de verspreiding
loopt aan verandering onderhevig is, deels omdat er voortdurend nieuwe
technische mogelijkheden ontstaan (Deibert e.a., 2008) en deels omdat de
aanbieders van kinderporno reageren op repressieve maatregelen (Stol, 2004).
Stol (2004) en Stol e.a. (2008b) hebben aan de hand van de jaarverslagen van
het Meldpunt Kinderporno een analyse gemaakt van trends in type en aantal
meldingen. Hieruit blijkt dat in de beginjaren van internet kinderporno, ook
in Nederland, nog geregeld werd aangeboden op gewone webpagina’s (IMK,
1997). Deze opvallende manier van verspreiden, verdween gaandeweg nadat
in de zomer van 1996 het Internet Meldpunt Kinderporno (IMK) werd opgericht
en de politie zich gaandeweg op internet begaf. Kinderporno verdween
naar minder opzichtige delen van internet, vooral nieuwsgroepen. Van een
nieuwsgroepbericht is niet altijd zomaar duidelijk wie het verzonden heeft.
Men kan bijvoorbeeld gebruikmaken van een anonymous remailer, een service
die de afzender van een bericht voor derden afschermt.
In haar jaarverslag over 2001 meldt het IMK (2002) op basis van meldingen
dat de handel in kinderporno zich verplaatst van nieuwsgroepen naar babbelboxen
(chat rooms), e-mail en P2P-verbindingen. Daarmee verschuift de
kinderpornohandel zich kennelijk naar locaties op internet waar de informatie
moeilijker is te observeren en waar het dus ook moeilijker is om bewijsmateriaal
te verzamelen. Plaatjes die naar een nieuwsgroep worden verzonden,
staan enkele dagen op internet. Plaatjes die direct van de ene naar de
andere persoon worden verzonden (bijv. per e-mail) blijven helemaal niet achter
op internet. Ondanks deze vermoedelijke 62 verschuiving ligt in 2001 de
nadruk nog steeds op websites en nieuwsgroepen (samen goed voor 87% van
alle meldingen bij het MKI).
In haar jaarverslag over 2003 signaleert het MKI nieuwe trends. Ten eerste
neemt het aantal meldingen over spam sterk toe, van 30 in 2000 tot 3.100 in
2003. Een analyse over mediaberichten aangaande cybercrime, bevestigt die
62 Vermoedelijk, want interpreteren van misdaadstatistieken op basis van meldingen of aangiften
is altijd een hachelijke zaak (vergelijk Korf e.a., 2001; Bijleveld, 2007). Aantallen meldingen
zijn lastig te interpreteren, omdat bijvoorbeeld meegewogen moet worden hoeveel
internetters er zijn en ook hoeveel er daarvan nieuwsgroepen bezoeken. Dergelijke gegevens
ontbreken.

146 Verkenning cybercrime in Nederland 2009
trend (Stol, 2004). Ten tweede neemt het aantal meldingen aangaande websites
en nieuwsgroepen af. Websites en nieuwsgroepen vormen een soort van
twee-eenheid. Nieuwsgroepen met namen die verwijzen naar seks fungeren
als uithangbord voor – vaak commerciële – sekssites (Stol, 2003). Het lijkt er
dus op dat kinderpornoverspreiders weer van strategie veranderen: in plaats
van de combinatie nieuwsgroep-website gebruiken ze nu spam om afnemers
te lokken naar de plek waar de kinderporno wordt aangeboden (dat kan een
website zijn, maar ook bijvoorbeeld een P2P-netwerk). Verder wordt op sekssites
meer kinderpornografisch videomateriaal aangeboden, ongetwijfeld een
gevolg van de toegenomen datatransportsnelheden. Foto’s dienen dan in veel
gevallen als reclame voor video’s (Stol, 2004).
In het MKI-overzicht van meldingen (tabel 5.1) ligt nog steeds de nadruk op
spam en, in mindere mate, websites. Nieuwsgroepen spelen in deze statistiek
niet meer zo’n grote rol als in het verleden. Daarentegen zou, zoals we al eerder
noemden, volgens experts het verspreiden via P2P-netwerken aan belang
winnen (Oosterink & Van Eijk, 2006; Schell e.a., 2007; Stol e.a., 2008a), onder
meer vanwege de via die weg te realiseren anonimiteit en de mogelijkheden
tot het versleutelen van bestanden.
Uit eerder onderzoek naar kinderporno op internet (Stol e.a., 2008a) blijkt
verder dat er in ieder geval twee groepen aanbieders van kinderpornografisch
materiaal kunnen worden onderscheiden: een commerciële groep en een
groep ‘liefhebbers’. De commerciële groep ziet de handel in kinderpornografisch
materiaal als een nieuwe manier om geld te verdienen. Nieuwe klanten
worden bijvoorbeeld geworven door het versturen van spam of nieuwsgroepberichten
en er moet betaald worden met een creditcard. De tweede groep,
de ‘liefhebber’, is doorgaans niet uit op geld. Deze groep wil nieuw materiaal
verwerven. Journalist Van Kleef (2004) beschrijft in een artikel in de Nieuwe
Revu de virtuele wereld van deze pedofielen. De strekking van dit artikel
komt overeen met wat experts in het onderzoek van Stol e.a. (2008a) tijdens
diepte-interviews hebben gezegd over het via internet verkrijgen van toegang
tot een groep met ‘liefhebbers’. De volgende beschrijving is ontleend aan Stol
e.a. (2008a), de teksten in de kaders zijn afkomstig van Van Kleef.
Stap 1: de aanbieder vinden
De eerste stap om kinderporno te verkrijgen, is het vinden van de aanbieder.
Dit blijkt echter lastiger te zijn dan dat het in eerste instantie lijkt.
Maar wie niet weet waar hij kinderporno moet zoeken, vindt nog geen foto van een
blote peuter op het strand. Zoekmachine Google levert 6,8 miljoen hits op de term
‘childporn’, maar al die links verwijzen gewoon naar legale pornowebsites waar de
modellen niet onder de 18 zijn.

Kinderporno
147
De gemiddelde surfer komt dus niet zo maar terecht bij kinderporno. Wie
echter op de juiste plaats de juiste vraag stelt, komt uiteindelijk wel in de hoek
terecht waar kinderporno verspreid wordt.
In de chatroom van Free Spirits treffen we Nestor en die heeft een tip: ’Ik heb gehoord
dat op de Alex BBS wel eens zulke foto’s staan. Meer weet ik niet.’ Alex is
een digitaal prikbord waar links naar gratis sekssites worden uitgewisseld. Illegale
porno zit er op het eerste gezicht niet bij. We besluiten zelf een bericht te plaatsen.
We schrijven dat we kinderporno zoeken en vermelden een Hotmail-adres. Een
uur later zit de mailbox stampvol.
Stap 2: anoniem en ontraceerbaar surfen
Eenmaal doorverwezen naar een website met kinderporno moet er een aantal
veiligheidsmaatregelen worden genomen om ervoor te zorgen dat de aanbieder
en de andere gebruikers van de website niet het risico lopen om gepakt
te worden doordat de nieuwe klant door de politie getraceerd kan worden.
Indien de nieuwe klant de politie naar het netwerk leidt, zijn immers ook de
andere gebruikers in gevaar.
Ontraceerbaar surfen is mogelijk, maar er is een hoop voor nodig. We moeten een
firewall gebruiken, software installeren die het geheugen van de computer kan
wissen en ons IP-nummer versleutelen.
Stap 3: binnentreden in een groep
Indien de voorzorgsmaatregelen getroffen zijn, kan er contact worden gezocht
met een aanbieder van kinderporno.
Twipsy mailt een webadres en schrijft dat we in moeten loggen met een bepaalde
code. We klikken op de link die naar het onlineprikbord – ‘or all your questions
about this nice hobby!’ – verwijst. Er verschijnt een inlogvenster. We typen de code
in die we van Twipsy hebben gekregen. Een paar seconden later verschijnt een andere
webpagina. ‘Welcome at K-Book’, staat bovenaan, ‘Enjoy your stay!’
Stap 4: klimmen in de hiërarchie
Eenmaal aangekomen in een groep ‘kinderpornoliefhebbers’ moet eerst het
vertrouwen van de overige leden in de groep gewonnen worden. De hiërarchie
binnen de groep blijkt belangrijk. Leden van de groep die grote hoeveelheden
nieuw materiaal op het netwerk zetten, worden volgens het artikel vereerd
als helden.

148 Verkenning cybercrime in Nederland 2009
Is dit nu een kinderporno-walhalla? vragen wij. ‘Wacht af,’ raadt Sirax aan. ‘De chat
is het belangrijkst hier. Zorg dat je wat vrienden maakt. Verspreid je nestgeur. Dan
komt alles goed.’ (…) Hier selecteren Twipsy en de rest wie ze doorsluizen naar een
niveau hoger. Daar vind je betere foto’s en films.
Op de vraag waarom er, ondanks alle veiligheidsmaatregelen, de afgelopen
maanden vele arrestaties van pedofielen geweest zijn, antwoordt een lid van
de groep: ‘Die zaten in een hele andere tak van sport. Die hadden zich aangemeld
bij commerciële kinderpornowebsites. Ze betaalden met hun creditcard.
Ja, dan vraag je om politie aan de deur’ (Van Kleef, 2004).
5.4 Verbanden van kinderporno met andere crimes
Inleiding: over de analyse
In deze paragraaf gaan we op basis van de dossierstudie in op de verbanden
die kinderporno heeft met de andere vormen van cybercrime. We bekijken
eerst onder welke titel de politie de kinderpornodossiers heeft geregistreerd.
Daarna beschrijven we de verbanden met andere (cyber)criminaliteit die we
zelf tijdens de nadere analyse in de tekst van de dossiers tegenkwamen. Ten
slotte bekijken we welke wetsartikelen de politie aan het dossier heeft toegekend.
Als aan het dossier behalve artikel 240b Sr (kinderporno) bijvoorbeeld
ook artikel 317 Sr (afpersing) is gekoppeld, wijst dat op een verband tussen
het verspreiden van kinderporno en afpersen.
De dossiers
We selecteerden 200 relevante zaken (zie ook par. 1.4). Na een eerste analyse
bleek dat er 161 bruikbare en 39 onbruikbare dossiers waren. Van de onbruikbare
dossiers zijn er van 14 dossiers alleen een melding en geen aangifte en bevatten
12 dossiers geen cybercrime. Verder troffen we eenmaal een valse aangifte
en eenmaal pleegde de verdachte zelfmoord, waardoor de politie de zaak
verder niet heeft opgenomen. In de overige 11 dossiers stond te weinig informatie.
Er ontbreekt dan bijvoorbeeld een aangifte. Van de 161 bruikbare dossiers
bevatten er 159 een kinderpornozaak. Over deze dossiers gaat deze analyse.
Onder welke titel (‘beschrijving’) staat het dossier geregistreerd?
Een eerste manier om te bepalen welke verschijningsvormen kinderporno
heeft en of er dwarsverbanden zijn met andere cybercrimes is het analyseren
van de titels of de ‘beschrijvingen’ waaronder de dossiers in de politiesystemen
zijn geregistreerd. Ter toelichting het volgende. We selecteerden de

Kinderporno
149
dossiers niet op de titel waaronder het dossier in de politieadministratie is
opgenomen. We selecteerden op de inhoud van het dossier. Welke titel of ‘beschrijving’
de behandelend agent aan het desbetreffende dossier geeft, zegt
iets over hoe die agent naar de zaak kijkt: wat voor hem of haar de essentie van
deze zaak is. De agent moet tijdens het registreren de ‘beschrijving’ kiezen uit
een vaste lijst die het systeem aanbiedt. Er zijn drie basisprocessen systemen.
Van de 159 dossiers staan er 117 in BPS, 35 in XPOL en 7 in GENESYS (tabel
5.2). Op twee uitzonderingen na (beide keren ‘ontucht minderjarigen’) staan
alle dossiers geregistreerd onder de titel ‘kinderpornografie’. De twee uitzonderingen
wijzen op een verband tussen het in bezit hebben van kinderpornografie
en het plegen van ontucht met kinderen. Er komen geen verbanden met
andere soorten (cyber)delicten naar voren.
Tabel 5.2 Titels (‘beschrijving’) waaronder de 159 kinderpornodossiers zijn geregistreerd
BPS
XPOL
Beschrijving n %
Kinderpornografie 116 99,1
Ontucht minderjarigen 1 0,9
Totaal 117 100,0
Kinderpornografie 35 100,0
GENESYS
Zeden: kinderporno 7 100,0
TOTAAL
Kinderpornografie 158 99,4
Ontucht minderjarigen 1 0,6
Totaal 159 100,0
Verbanden blijkens de inhoudsanalyse
Tabel 5.3 geeft een overzicht van de verbanden tussen kinderporno en andere
criminaliteitsvormen. Die tabel heeft betrekking op 159 dossiers; elk dossier kan
meerdere verbanden met een ander delict bevatten. In 3,8% van de dossiers is
bijvoorbeeld een verband met hacken en in 3,1% met identiteitsdiefstal. In de
door ons gehanteerde systematiek valt een kinderpornodossier waarin sprake is
van hacken en identiteitsdiefstal zowel onder de categorie ‘verband met hacken’
(3,8%) als onder de categorie ‘verband met identiteitsdiefstal (3,1%). We stellen in
deze analyse vast of sprake is van een verband en zo ja met welk ander delict; dat
sprake is van een verband zegt nog niet alles over de volgordelijkheid.

150 Verkenning cybercrime in Nederland 2009
Ook uit de inhoudelijke analyse van de kinderpornodossiers blijkt dat er in de
meeste dossiers alleen sprake is van de cybercrime kinderporno. De dossierstudie
bevat enkele zaken die onderdeel zijn van internationale onderzoeken.
Er komt dan een internationaal rechtshulpverzoek met de vraag om verdachten
in Nederland te horen die op een website in het buitenland kinderporno
hebben gedownload. De verdachten worden dan in Nederland verhoord. Andere
zaken komen door toeval aan het licht. Zo brengen sommige verdachten
hun computer naar de reparateur, waarna die laatste ontdekt dat er kinderporno
op de computer aanwezig is. In een aantal andere zaken ontdekken familieleden,
(ex-)relaties of vrienden bij toeval dat iemand kinderporno op zijn
of haar computer heeft staan, een voorbeeld staat beschreven in casus 5.1.
Casus 5.1 Een kinderpornozaak
Vier personen komen aan het bureau melding maken van het feit dat VE kinderporno
in zijn bezit heeft. VE is ongehuwd. De getuigen zijn vrienden van VE. Getuige
2 is in het bezit van een sleutel van de woning. Op vrijdag is Getuige 2 naar
de woning van VE gegaan met de bedoeling om daar iets uit te printen via zijn
computer. De computer stond nog aan en was bezig met downloaden via Limewire.
Getuige 2 zag dat de computer bezig was met het zoeken en downloaden van
kinderporno. Er waren foto’s en films van kinderporno op de computer aanwezig.
Getuige 2 heeft dit verteld tegen Getuige 4 welke ook in de woning kwam. Samen
hebben zij de computer bekeken en kinderporno gezien.
Getuige 4 heeft het thuis tegen Getuige 3 verteld. Zaterdag zijn Getuige 3 en 4 samen
naar de woning gegaan. Getuige 3 had ook een sleutel van de woning. Samen
hebben zij de computer bekeken. De computer staat namelijk 24 uur per dag
aan. VE kwam even later thuis. Getuige 3 en 4 hebben VE geconfronteerd met hun
waarnemingen. VE reageerde hierop erg zenuwachtig.
Getuige 1 hoorde op maandagmiddag van Getuige 4 dat VE in het bezit was van
kinderporno. Met z’n vieren zijn ze maandagavond naar de woning gegaan om VE
mede te delen dat zij niet meer in zijn woning wilden komen i.v.m. de aanwezigheid
van kinderporno. VE was er niet. Ze zijn met de sleutel van Getuige 3 naar
binnen gegaan. Met z’n vieren hebben ze toen de computer bekeken. In de prullenbak
was nog een filmpje met kinderporno aanwezig. De bestanden waren verplaatst
naar andere mappen dan waar ze op vrijdag stonden. Via zoeken hebben
Getuigen de foto’s en filmpjes weer gevonden. Getuigen hebben hierop VE gebeld.
VE zou pas na 22.00 uur thuis zijn. Rond 23.00 uur zijn zij weer teruggegaan. VE
verklaarde toen dat hij niets had kunnen vinden op zijn computer wat betrekking
had op kinderporno. VE gaf te kennen dat een ander via hacken dit op zijn computer
had gezet.

Kinderporno
151
In 90 dossiers (56,6%) is er geen verband met een andere (cyber)crime en in
69 dossiers dus wel (tabel 5.3). In 6 dossiers vinden we verbanden met cybercrimes
uit deze studie, allemaal met hacken. In 9 dossiers vinden we verbanden
met andere cybercrimes, waaronder 6 keer cybersmaad en 5 keer identiteitsdiefstal.
In 63 dossiers vinden we verbanden met offlinecriminaliteit. We
vinden 56 maal een verband met offlinebezit van kinderporno en 8 maal met
het offline vervaardigen van kinderporno.
We vinden dus vooral een verband tussen kinderporno en offlinecriminaliteit.
Bezit van kinderporno in een digitale omgeving heeft eerder verband
met offline delicten inzake kinderporno dan met andere onlinedelicten. Toch
komen ook verbanden met andere cybercrimes voor.
Tabel 5.3 Verbanden in de 159 dossiers kinderporno met andere criminaliteit 636465
Andere (cyber)crime waarmee een verband is n % van 159 64
Cybercrimes in deze studie 6 3,8
Hacken 6 3,8
E-fraude 0 0,0
Cyberafpersen 0 0,0
Haatzaaien 0 0,0
Overige cybercrimes 9 5,7
Cybersmaad 6 3,8
Identiteitsdiefstal 5 3,1
Vernietigen/beschadigen van gegevens 3 1,9
Grooming 65 2 1,3
Aanranding door dreiging met geweld via ICT 2 1,3
Aanranding door dreiging met smaad via ICT 2 1,3
Offlinecriminaliteit 63 39,6
Bezit van kinderporno niet op ICT 56 35,2
Vervaardigen van kinderporno 8 5,0
Stalking 2 1,3
Identiteitsdiefstal zonder gebruik van ICT 1 0,6
Geen verband met andere (cyber)crime 90 56,6
63 We selecteerden de verschillende vormen van (cyber)criminaliteit in de kinderpornodossiers
op basis van de definities die we vooraf opstelden (zie het analysekader in bijlage
10) en niet op de wetsartikelen die in de dossiers zijn opgenomen.
64 Doordat in één dossier zowel verbanden met cybercrimes uit deze studie als overige (cyber)crimes
voor kunnen komen, is het totaal meer dan 100%.
65 Is op dit moment in Nederland niet strafbaar, maar staat wel in het Verdrag van Lanzarote
in 2007 (met afspraken over strafbaarstelling van grooming en van het zich bewust toegang
verschaffen tot kinderporno, resp. art. 20 en 23 van het Verdrag.

152 Verkenning cybercrime in Nederland 2009
In vier van de zes dossiers waarin er naast kinderporno sprake was van hacken,
was niet het slachtoffer, maar de verdachte het slachtoffer van een hack.
De verdachten geven in deze dossiers aan dat ze de kinderpornografische
content die op hun computer is gevonden niet zelf hebben gedownload, maar
dat het bijvoorbeeld via een virus of onbeveiligde draadloze netwerkverbinding
binnen is gekomen (zie ook casus 5.1). Wat de waarheid is, hebben we in
het kader van dit onderzoek niet kunnen achterhalen. Eenmaal gaf de verdachte
aan een kick te krijgen van het kijken naar porno door in te breken in
een computer.
In de dossiers waar er naast kinderporno sprake was van identiteitsmisbruik,
creëerde de verdachte een fictieve identiteit om minderjarige slachtoffers
te verleiden seksueel getinte foto’s of video’s van zichzelf te maken (zie
casus 5.2). In de dossiers waarbij er naast kinderporno ook sprake was van een
andere vorm van cybercrime, gaat het bijvoorbeeld om aanranding na dreiging
met geweld of cybersmaad. Ook gaat een aantal dossiers over verdachten
die het minderjarige slachtoffer chanteren met naaktfoto’s of naaktvideo’s (zie
casus 5.2). De dader kan in deze gevallen zowel meerderjarig als minderjarig
zijn. In de dossiers in deze dossierstudie deed de verdachte zich in de meeste
gevallen wel voor als minderjarige. Het gebeurt echter ook dat minderjarigen
naaktfoto’s van elkaar via internet verspreiden (zie bijv. casus 5.3 en 5.4).
Casus 5.2 Creëren van een fictieve identiteit om te chanteren met kinderpornografisch
materiaal
‘Ik doe aangifte omdat er een filmpje van mij is rondgegaan op het internet. Dit
filmpje is vermoedelijk gemaakt via MSN met een webcam. Ik had die gesprekken
met VE. Ze is een meisje die ik via [een website] heb ontmoet. Al vrij snel hadden
we opwindende gesprekken. In het gesprek waar er meer gebeurd is heb ik de
webcam aan gehad maar zij niet. Van de gesprekken werd ik opgewonden. Tijdens
die gesprekken veranderde ze zelf van foto’s waar ze naakt op stond. Je hebt een
scherm en daarnaast een balk en daar staat een afbeelding van jezelf of iets wat je
leuk vindt. Zij stond met blote borsten en onderlijf zonder lingerie op de foto’s. Het
gesprek ging alleen over erotiek. […] Ik kreeg een erectie zo wond het mij op. Ze
heeft niet gezegd dat ze iets met de beelden gedaan had. Na die beelden hadden we
via MSN en via e-mails nog contact gehad.
Ik kreeg later een e-mail met iets van “ik heb iets dat jou interesseert, dus reageer
maar”. Ik heb toen teruggemaild “wat weet jij nu wat mij interesseert”. Ik kreeg
toen een link bij mijn mail en ik zag dat dit van een pornosite was. Ik heb toen verteld
dat ik helemaal niet op een pornosite wilde staan en dat zij het moest verwijderen.
In een e-mail van VE2 werd er aan mij gevraagd om meer van die filmpjes of
anders zou hij het doorsturen naar mijn contactpersonen.’

Kinderporno
153
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?
Een dossier heeft vaste invoervelden voor het vermelden van de van toepassing
zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel
opnemen. In 8 dossiers staat geen wetsartikel vermeld. In de overige 151
dossiers stonden 156 wetsartikelen. Verreweg het meest voorkomende artikel
is artikel 240b Sr (kinderpornografie) (tabel 5.4). Dan zijn er nog enkele dossiers
met een wetsartikel van een zedendelict. Slechts tweemaal zien we een
verband met een andersoortig delict, te weten belediging en bedreiging.
Tabel 5.4 Wetsartikelen in 151 kinderpornodossiers 66
Artikel Omschrijving n % van 151
240b Sr Kinderpornografie 150 99,3
267 Sr Belediging bijzondere organen en functionarissen 1 0,7
285 Sr Bedreiging 1 0,7
249 Sr Ontucht met misbruik van gezag 1 0,7
239 Sr Schennis van de eerbaarheid 1 0,7
245 Sr Gemeenschap met een persoon beneden de 16 jaar 1 0,7
247 Sr Ontucht met wilsonbekwame 1 0,7
Totaal 156 *
* Is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten.
Samengevat
We zochten in de kinderpornodossiers op drie manieren naar dwarsverbanden
tussen kinderporno en andere delicten:
1. we keken onder welke titel of beschrijving politiemensen het dossier registreerden;
2. we bestudeerden de inhoud van de dossiers;
3. we keken naar welke wetsartikelen de politie aan het dossier koppelde.
De cybercrime kinderporno kent weinig verbanden met andere cybercrimes.
Als er al een verband is, is dat met een ander delict in de zedensfeer, met name
met het in bezit hebben van kinderporno anders dan op ICT en soms met het
vervaardigen van kinderporno. Ook proberen verdachten bijvoorbeeld minderjarigen
te groomen, of slachtoffers aan te randen door te dreigen met het
publiekelijk maken van gevoelige informatie (bijv. naaktfoto’s). Enkele keren
zagen we dat de verdachte claimde slachtoffer te zijn geworden van een hack,
hetgeen de aanwezigheid van kinderporno op zijn computer zou verklaren.
66 In één dossier kunnen meerdere artikelen voorkomen.

154 Verkenning cybercrime in Nederland 2009
5.5 Daderkenmerken uit de literatuur
Inleiding: enkele hoofdlijnen
In de literatuur worden twee groepen volwassen daders onderscheiden die
zich bezighouden met de verspreiding van kinderpornografisch materiaal:
de commerciële groep met als oogmerk financieel gewin en de ‘liefhebbers’
met als primaire motivatie het verkrijgen van meer kinderpornografisch materiaal
(zie par. 5.3). De handel en productie in kinderporno is volgens Van
der Hulst en Neve (2008) in toenemende mate een bezigheid van georganiseerde
criminele groepen geworden. Kinderporno is een lucratieve business
waarmee veel geld is te verdienen (NDB2004). Dergelijke groeperingen zijn,
aldus verschillende auteurs, met name afkomstig uit Rusland en Oost-Europa
(KLPD, DNRI, 2004; Lünnemann e.a., 2006; McCusker, 2006; Van der Werf,
2003). Specifieke, empirisch onderbouwde informatie over dergelijke georganiseerde
groeperingen is in de literatuur echter niet te vinden. Wel weten we
dat de black list die het KLPD hanteert om websites met kinderpornografie te
blokkeren, overwegend bestaat uit sites die zijn gehost in de Verenigde Staten
en andere westerse landen (Stol e.a., 2008a). Dat roept de vraag op of ‘het
kwaad’ wel speciaal moet worden gezocht in Oost-Europese landen.
Wolak e.a. (2008) geven aan dat misbruikers van kinderen een groep is
die niet gemakkelijk gekarakteriseerd kan worden. Uit onderzoek van Lünnemann
e.a. (2006), die overigens zelf aangeven geen harde uitspraken te
kunnen doen over het profiel van verdachten in kinderpornozaken, blijkt dat
verdachten uit allerlei bevolkingsgroepen komen, verschillen in leeftijd (van
minderjarig tot bejaard), opleidingsniveau, beroepsgroep, burgerlijke staat en
seksuele interesse (van uitgesproken pedofiele gevoelens tot een nadruk op
hun homoseksuele geaardheid met een voorkeur voor minderjarige jongens).
Er is ook een tweetal gemeenschappelijke kenmerken: vrijwel alle verdachten
zijn mannen en de meeste verdachten hebben een verzameldrift. Bullens
(2007) vindt in een onderzoek naar twintig downloaders van kinderpornografie
dat een aantal mannelijke daders getrouwd was en kinderen had. De
meesten van hen claimden dat ze bij toeval op kinderporno waren gestuit
en dat ze daar vervolgens nieuwsgierig naar werden en er opgewonden van
raakten. Van der Hulst en Neve (2008) onderscheiden op basis van de literatuur
een aantal categorieën van daders:
– Vervaardigers en handelaren. Maken en verspreiden het materiaal.
– Verzamelaars. Downloaden het materiaal en ontmoeten gelijkgeïnteresseerden
in een virtuele ruimte. Zij komen in principe niet direct in contact met
minderjarigen.
– Reizigers. Misbruiken kinderen daadwerkelijk zelf. De dader gaat heel ver
om tot een fysieke ontmoeting te komen.

Kinderporno
– Chatters en groomers. Voeren ongepaste seksueel getinte communicatie met
kinderen.
155
Deze categorieën en de daderkenmerken zijn door Van der Hulst en Neve ontleend
aan McLaughlin (2000), die 200 daders bestudeerde die waren gearresteerd
in het kader van een driejarig onderzoek naar kinderporno. Het overgrote
deel werd gecategoriseerd als verzamelaar (143) of reiziger (48). Slechts
één keer betrof het grooming en in de overige 8 gevallen ging het om vervaardigers.
Van der Hulst en Neve concluderen dat met name de vervaardigers/
handelaren en de reizigers in sterkere mate in verband worden gebracht met
seksueel misbruik. Verzamelaars worden door de beschikbaarheid van digitale
fotografie en het uitwisselen van kinderpornografische afbeeldingen
binnen pedofiele netwerken zelf in toenemende mate ook handelaar. Hierna
behandelen we van iedere categorie de daderkenmerken zoals die door Van
der Hulst en Neve (2008) zijn geïnventariseerd in hun literatuurstudie (waarbij
zij zich in belangrijke mate weer baseren op McLaughlin). Bij de subcategorie
groomers maken we daarnaast nog gebruik van een recent gepubliceerd
onderzoek van Wolak e.a. (2008). Tevens voegen we een vijfde categorie toe:
de minderjarige daders. Deze groep is volgens Van Wijk en Stelma (2007) in
opkomst.
Vervaardigers en handelaren
Makers en verspreiders van kinderporno komen voor in alle lagen van de bevolking
en begeven zich vaak in netwerken (Van der Werf, 2003). Er is dus
sprake van een divers, heterogeen daderprofiel. Wel is bekend dat deze categorie
relatief vaak een strafblad heeft (voor zedendelicten en/of kindermishandeling)
en vaak onderdak verleent aan kinderen die van huis zijn weggelopen
(50%). De vervaardiger bezoekt publieke ruimten (zoals zwembaden
en stranden) om kinderen te fotograferen en maakt gebruik van ‘reflectorsites’
waarop meerdere gebruikers, die een perifere computercamera hebben
aangesloten, tegelijk kunnen inloggen en elkaar tegelijkertijd ook in beeld
kunnen zien. De reflectorsites worden door jongeren gebruikt om publiekelijk
seksuele handelingen te verrichten. Het is voor de vervaardiger tamelijk eenvoudig
om deze beelden op te nemen en ze vervolgens te verspreiden onder
derden. Niet zelden krijgen minderjarige tieners onder valse voorwendselen
webcams opgestuurd om hen vervolgens over te halen tot seksuele handelingen
voor de camera.
Verzamelaars
Van verzamelaars van kinderporno kan de volgende algemene profielschets
worden gegeven (Alexy e.a., 2005; Jewkes & Andrews, 2007; Lünnemann e.a.,

156 Verkenning cybercrime in Nederland 2009
2006; McLaughlin, 2000; Sullivan, 2005): het gaat veelal om een blanke man,
variabel in leeftijd (tussen de 13 en 65 jaar), die in het dagelijks leven regelmatig
via beroep of vrijetijdsbesteding in contact komt met kinderen (bijv. als
coach, leraar, jeugdwerker). De primaire motivatie voor het verzamelen van
kinderporno is seksuele stimulatie. In sommige gevallen hebben de daders
een strafblad (doorgaans in verband met een zedendelict). De verzamelaar
verkrijgt het meeste materiaal gratis via het internet of door het te ruilen met
anderen. De verzamelaar maakt van favoriete afbeeldingen regelmatig ‘hard
copies’ en hangt deze plaatjes in de slaapkamer waar ze worden gebruikt
voor seksuele stimulatie. De verzamelaar heeft een sterke behoefte aan macht
en controle en maakt overmatig (compulsief en obsessief) gebruik van het internet,
heeft een enorme verzamelingsdrang en kan kampen met mentale of
psychische problemen (bijv. seksuele stoornissen, drank- of drugsmisbruik).
Door de veelheid aan afbeeldingen gebruikt deze dadergroep veel computergeheugen
en beschikken de daders over extra zipdrives. Van de zogenoemde
‘statische’ internetlocaties (zoals websites en nieuwsgroepen) gaan de meeste
verzamelaars gaandeweg over op ‘dynamische’ internetlocaties (zoals chatrooms
en Internet Relay Chat (IRC)). Op dat moment is de verzamelaar door
uitwisseling van afbeeldingen met anderen ook verspreider geworden van
kinderporno.
Reizigers
De reiziger chat online met kinderen en manipuleert of dwingt hen tot een
fysieke ontmoeting voor seksueel contact. Deze categorie doet zich in het
begin vaak voor als tiener en probeert persoonlijke informatie van het kind
los te krijgen en het kind vertrouwen te geven, vervolgens maakt de reiziger
seksue le toespelingen en stuurt pornografische afbeeldingen op (meer dan
de helft stuurt uiteindelijk (naakt)foto’s van zichzelf). De meeste reizigers zijn
ook verzamelaar en een klein deel (7%) heeft ook sadistische pedofiele trekken.
De reiziger is er doorgaans van overtuigd dat de kinderen zelf seksueel
contact willen. Voor het seksueel contact reist deze dadergroep soms zelfs
naar andere landen. Kinderen worden echter ook overgehaald om naar de dader
toe te komen. Het kind wordt in sommige gevallen overtuigd om van huis
weg te lopen en de dader betaalt dan bijvoorbeeld de reiskosten (of stuurt een
reisticket op).
Chatter
De chatter is buitensporig veel op het internet te vinden (soms meer dan
twaalf uur per dag) en doet zich daar voor als raadgever en vertrouwenspersoon
van kinderen. Kinderen worden er indirect toe aangezet om raad te vragen
en vragen te stellen, bij voorkeur op het gebied van seks. De chatter heeft

Kinderporno
157
geen behoefte aan fysiek contact met het kind, maar probeert om telefonisch
in gesprek te komen in de hoop dat dit gesprek zich ontwikkelt tot een vorm
van telefoonseks. Er is mogelijk sprake van andere seksuele gedragingen of
fantasieën die over het algemeen als afwijkend kunnen worden beschouwd.
Groomers
Volgens artikel 23 van de Convention on the Protection of Children against
Sexual Exploitation and Sexual Abuse (verdrag van Lanzarote van 25 oktober
2007) is sprake van grooming indien een volwassene via ICT contact legt met
een kind, met de intentie om dat kind te ontmoeten met het doel met hem of
haar een zedendelict te plegen. 67 De volwassene kan zich voordoen als minderjarige
om contact met het kind te krijgen, maar dit gebeurt niet altijd. Deze
contacten kunnen zowel virtueel zijn (seksuele handelingen voor de webcam)
als fysiek (een ontmoeting waarbij het kind daadwerkelijk seksueel misbruikt
wordt). Deze categorie vertoont gelijkenissen met de categorie reizigers en
chatters. Grooming vindt ook plaats buiten het internet, dus in de ‘echte wereld’,
maar juist op het internet zijn de mogelijkheden voor deze vorm van
misbruik groot. Internet maakt het op een relatief veilige manier gemakkelijk
om contacten te leggen met kinderen, via bijvoorbeeld chatboxen (MKI, 2008).
In sommige gevallen bleken chatsessies ook daadwerkelijk tot ontuchtige
handelingen met minderjarigen en verkrachting te hebben geleid (Cops,
2007c, 2007d en 2007e). De daderkenmerken van de ‘reiziger’ zijn volgens Van
der Hulst en Neve (2008) waarschijnlijk het meest illustratief voor groomers.
Bij de berichtgeving in de media betrof het in alle gevallen mannen, vermoedelijk
autochtoon, in de leeftijd van 23 tot 58 jaar. De dader chanteerde het
slachtoffer via MSN en zette het slachtoffer aan tot het verrichten van seksue le
handelingen voor de webcam. Daarbij was in één geval ook sprake van doelbewuste
stalking van minderjarige meisjes via hun mobiele telefoon en MSN
(Cops, 2007c en 2007e).
Uit onderzoek van Wolak e.a. (2008) blijkt dat in slechts 5% van de gevallen
waarin een volwassene via internet contact heeft met een minderjarige (met
als doel het hebben van seksueel contact), deze volwassene zich voordoet als
een minderjarige (Wolak e.a., 2004). Daders verbergen ook hun intentie om
seksueel contact te hebben doorgaans niet; de meeste slachtoffers die afspreken
met een dader hebben dan ook de verwachting dat zij seksueel contact
67 Art. 23 luidt: ‘Each Party shall take the necessary legislative or other measures to criminalise
the intentional proposal, through information and communication technologies, of an
adult to meet a child who has not reached the age set in application of Article 18, paragraph
2, for the purpose of committing any of the offences established in accordance with Article
18, paragraph 1.a, or Article 20, paragraph 1.a, against him or her, where this proposal has
been followed by material acts leading to such a meeting.’

158 Verkenning cybercrime in Nederland 2009
zullen hebben. Bijna driekwart (73%) van de slachtoffers had meer dan eens
fysiek contact met de dader. De slachtoffers hadden vaak ook gevoelens van
liefde voor de dader. Problemen ontstaan veelal pas als de liefde onbeantwoord
blijft en de dader alleen uit is op seksueel contact (Wolak e.a., 2008). Uit
een aantal andere onderzoeken blijkt ook dat minderjarigen vrijwillig seksueel
contact hebben met meerderjarigen. Uit de Youth Risk Behaviour Survey
volgt bijvoorbeeld dat tussen de 1 en 3% van de meisjes tussen 11 en 12 jaar
oud en 3,5% van de meisjes tussen 13 en 15 jaar oud vrijwillige seks had gehad
met jongens die vijf of meer jaar ouder waren (Finkelhor e.a., 2005). Een
andere studie laat zien dat 6% van de meisjes voor het eerst seksueel contact
heeft op of voor haar veertiende jaar, met een partner die zes of meer jaar ouder
was (Abma e.a., 2004). Er is dus als het gaat om kinderporno niet altijd een
scherpe tweedeling met aan de ene kant het minderjarige meisje als slachtoffer
en aan de andere kant de meerderjarige man als dader.
Minderjarige daders
Jeugdige zedendelinquenten vallen volgens Van Wijk en Stelma (2007) in de
leeftijdscategorie 12 tot 18 jaar. Kinderen onder de 12 jaar kunnen ook seksueel
grensoverschrijdend gedrag vertonen, maar dat is niet strafrechtelijk
vervolgbaar. Van Wijk en Stelma onderscheiden drie groepen daders. De eerste
groep daders pleegt zedendelicten tegen de persoonlijke vrijheid (bijv.
verkrachting of aanranding). In de tweede groep vallen minderjarige zedendelinquenten
die misbruik maken van het in hun gestelde vertrouwen of van
hun machtspositie (bijv. seksueel binnendringen bij iemand jonger dan 12
jaar of bij een bewusteloze, onmachtige of geesteszieke). In de derde groep
vallen delicten tegen de verdraagzaamheid, zoals het verzamelen en distribueren
van kinderporno. Volgens de auteurs zal dit laatste echter in de praktijk
niet vaak voorkomen. Wel denken zij dat met de mogelijkheden van internet
dergelijke zedendelicten, ook gepleegd door jeugdige daders, vaker zullen
voorkomen.
5.6 Verdachtenkenmerken uit de dossierstudie
In deze paragraaf beschrijven we de resultaten van de dossieranalyse. Aan
bod komen de modus operandi, persoonskenmerken, sociale achtergrond en
antecedenten van de verdachten van kinderpornografie.
De modus operandi
Om de modus operandi bij kinderpornodelicten te bepalen, hebben we (1) een
analyse gemaakt van de MO zoals die door politiemedewerkers in het poli-

Kinderporno
159
tiedossier is vastgelegd, (2) gekeken naar gebruikte criminele technieken en
voorbereidingshandelingen die in het dossier worden genoemd, (3) vastgesteld
vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel
al dan niet samenwerkende verdachten in het dossier staan vermeld.
(1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen
kunnen bij het registreren van een delict een MO kiezen uit een
vaste lijst. Die lijst verschilt enigszins per basisprocessensysteem. Daarnaast
kunnen politiemensen zelf een MO invoeren. In de meeste dossiers vonden
we geen beschrijving van de MO (83,6%). In de dossiers waarin wel een MObeschrijving
stond, hadden de meeste door politiemensen gekozen MO’s betrekking
op het type woning, bijvoorbeeld ‘woning hoek’ en ‘woning tussen’
(veertienmaal, tabel 5.5). De op een na meest voorkomende MO is ‘computer’
(achtmaal). In BPS stond in 26 dossiers een beschrijving van de MO en in
XPOL en GENESYS stonden geen MO-beschrijvingen in de dossiers. Een en
ander levert geen nieuwe informatie over de werkwijze van de daders.
Tabel 5.5 MO-beschrijvingen in 26 kinderpornodossiers 68
MO beschrijving n %*
In BPS (N=26)
Woning 14 53,8
Computer 8 30,8
Overig geweld 2 7,7
N.v.t. 2 7,7
In XPOL (N=0) 0 0,0
In GENESYS (N=0) 0 0,0
TOTAAL (n=26)
Woning 14 53,8
Computer 8 30,8
Overig geweld 2 7,7
N.v.t. 2 7,7
* Het totaal is niet gelijk aan 100, omdat in een dossier meerdere MO’s kunnen zijn geregistreerd.
Daarnaast hebben we MO-beschrijvingen die niet vaak voorkomen niet in de tabel opgenomen,
zie ook de methodische verantwoording in hoofdstuk 1.
68 Per dossier zijn meerdere MO’s mogelijk.

160 Verkenning cybercrime in Nederland 2009
(2) In de teksten van de dossiers staat niets over criminele technieken. Ook
is er weinig informatie over voorbereidingshandelingen. In een aantal dossiers
zien we wel dat verdachten bestanden verplaatsen naar minder zichtbare
mappen (bijv. uit de map met de gedownloade bestanden naar een map
met ‘verboden toegang’). Maar dat geldt in dit onderzoek niet als criminele
techniek. Bij elf dossiers is sprake van voorbereidingshandelingen (6,9%). Het
ging in die gevallen om het creëren van een fictieve identiteit, bijvoorbeeld
door het aanmaken van e-mailadressen, MSN-namen en profielen op sociale
netwerksites.
(3) We zochten ook naar informatie over vanuit welk land de dader opereerde.
In 136 gevallen bevatte het dossier informatie daarover. In al die gevallen
werd het delict gepleegd vanuit Nederland.
(4) In 157 van de 159 dossiers noteerden we 172 verdachten als volgt over de
dossiers verdeeld:
– in 147 dossiers 1 verdachte (93,6%);
– in 7 dossiers 2 verdachten (4,5%);
– in 2 dossiers 3 verdachten (1,3%);
– in 1 dossier 5 verdachten (0,6%).
Als er verdachten bekend zijn, gaat het meestal om één verdachte (92,5%).
Kennelijk opereren de verdachten niet in samenwerking met anderen. In de
dossiers waarin er meer verdachten zijn, maken de verdachten geen deel uit
van een groep en er is geen sprake van verdachten die deel uitmaken van
georganiseerde criminaliteit. In een aantal dossiers is wel sprake van georganiseerde
kinderpornohandel. De verdachten zijn echter de afnemers en zelf
geen onderdeel van het criminele samenwerkingsverband.
Over de MO’s weten we nu dat verdachten van kinderpornodelicten bijna
altijd alleen opereren en steeds vanuit Nederland. Van het gebruik van criminele
technieken daarbij is ons niets gebleken. Soms worden voorbereidingshandelingen
verricht, met name het creëren van een fictieve identiteit.
Persoonskenmerken
Van 168 verdachten weten we het geboorteland (tabel 5.6). Meestal is dat Nederland
(91,1%). Voor het overige zijn de verdachten geboren in een ander Europees
land (2,4%) of in een land buiten Europa (6,5%). 69
69 Europa (4): Luxemburg, Polen en Engeland (2). Buiten Europa (11): Australië, Canada, Colombia
(2), Indonesië, Nieuw-Zeeland, Sri Lanka (2), Suriname en Zuid-Afrika (2).

Kinderporno
Tabel 5.6 Geboorteland van 168 verdachten
Geboorteland n %
Nederland 153 91,1
Ander Europees land 4 2,4
Buiten Europa 11 6,5
Totaal 168 100,0
161
Van 167 verdachten weten we het geslacht (tabel 5.7). Het gaat om 164 mannen
en 3 vrouwen (resp. 98,2 en 1,8%). Eenzelfde percentage mannen is te zien in
de hoofdcategorie ‘overige seksuele misdrijven’ in HKS: 97,1% (Prins, 2008).
Het percentage mannen onder de kinderpornoverdachten is wel significant
hoger dan het overeenkomstige percentage onder verdachten in HKS en het
overeenkomstige percentage onder de Nederlandse bevolking (p

162 Verkenning cybercrime in Nederland 2009
Tabel 5.8 Leeftijdsopbouw 168 verdachten kinderporno, vergeleken met Nederlandse
verdachten, verdachten ‘overige seksuele misdrijven’ en Nederlanders
van 12 jaar en ouder
Verdachten Nederlandse Verdachten Nederlanders
kinderporno verdachten# overige
seksuele
misdrijven##
12+###
Leeftijdscategorie n % n % n % n %
12-17 jaar 14 8,3 35.161 * 14,4 293 * 12,2 120.4964 8,6
18-24 jaar 26 º 15,5 59.990 * 24,6 332 * 13,8 1.358.686 9,7
25-34 jaar 32 19,0 53.137 * 21,8 463 * 19,3 2.057.625 14,7
35-44 jaar 37 22,0 48.045 * 19,7 531 * 22,1 2.605.300 18,6
45-54 jaar 36 º 21,4 28.595 * 11,7 403 16,8 2.367.997 16,9
55-65 jaar 16 9,5 13.214 * 5,4 248 * 10,3 2.035.580 14,5
65 jaar en ouder 7 * 4,2 5.527 * 2,3 129 * 5,4 2.368.352 16,9
Totaal 168 100,0 243.669 99,9 2.400 99,9 13.998.504 99,9
# Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008).
## Bron: Prins (2008).
### Bron: www.cbs.nl, peiljaar 2007.
* Significant verschil met Nederlandse bevolking (p

Kinderporno
Casus 5.3 Maken en verspreiden kinderporno door jonge verdachte
Een vader en moeder doen aangifte op het bureau. Hun minderjarige dochter heeft
seksuele handelingen verricht met een minderjarige jongen. Hiervan zijn filmopnamen
gemaakt en geplaatst op het internet. De jongen is 14 of 15 jaar. De filmopnamen
zijn gemaakt bij [persoon x] thuis, deze is 16 of 17 jaar. Het slachtoffer
wist niet dat er filmopnamen waren gemaakt. Allen zitten op dezelfde school. Het
schijnt dat alle schooljeugd van de scholengemeenschap al op de hoogte was van
de filmopname. Vader wil graag praten met een zedenrechercheur. Het werd rapporteur
niet helemaal duidelijk of de seksuele handelingen tegen de wil van het
slachtoffer waren gepleegd.
Casus 5.4 Maken en verspreiden kinderporno door jonge verdachte
‘Slachtoffer vertelde mij dat haar relatie met VE1 voorbij was. Zij vertelde mij ook
dat er een filmpje naar buiten was gebracht waarop te zien was hoe zij naakt onder
de douche stond.
Slachtoffer vertelde mij dat zij dit filmpje samen met VE had gemaakt, dit filmpje is
onder de scholieren in omloop.’
163
Op hoofdlijnen kunnen we concluderen dat verdachten in kinderpornodossiers
hoegenaamd allemaal van het mannelijk geslacht zijn. Ze zijn gemiddeld
genomen jonger dan de Nederlandse bevolking en ouder dan de groep
‘Nederlandse verdachten’. De leeftijdsopbouw van de verdachten in de kinderpornodossiers
vertoont geen significante verschillen met de HKS-groep
‘overige seksuele misdrijven’. Van de groep kinderpornoverdachten valt bijna
een kwart (23,8%) in de leeftijdsgroep 12-24 jaar.
Sociale achtergrond
Van 125 verdachten weten we de burgerlijke staat (tabel 5.9). Het merendeel
is alleenstaand (71,2%). Andere verdachten zijn getrouwd (24%) of samenwonend
(4,8%). Het aantal alleenstaanden in Nederland van 15 jaar en ouder
is 18,7% (www.cbs.nl, peiljaar 2006), verdachten in de kinderpornodossiers
zijn aldus significant vaker alleenstaand (p

164 Verkenning cybercrime in Nederland 2009
peiljaar 2008). Het verschil tussen deze 35,5% en 34,6% is niet significant. Deze
bevinding wijst erop dat verdachten van kinderporno qua woonsituatie niet
verkeren in een geïsoleerde sociale positie.
Tabel 5.9 Burgerlijke stand van 125
verdachten
Tabel 5.10 Woonsituatie van 130
verdachten
Burgerlijke stand N % Woonsituatie N %
Alleenstaand 89 71,2 Samenwonend 48 36,9
Gehuwd 30 24,0 Inwonend 45 28,5
Samenwonend 6 4,8 Alleenwonend 37 34,6
Totaal 125 100,0 Totaal 130 100,0
Van 123 verdachten weten we de arbeidssituatie (tabel 5.11). Van de verdachten
die behoren tot de beroepsbevolking (92) is 15,2% werkloos. Het landelijke
werkloosheidspercentage is 3,9% van de beroepsbevolking (www.cbs.nl; peiljaar
2008). Het verschil tussen deze 15,2% en 3,9% is significant (p

Kinderporno
165
Antecedenten
Van 167 verdachten uit de kinderpornografiedossiers zijn de antecedenten
nagetrokken. We hebben opgevraagd in welke hoofdgroepen van delicten
zij staan vermeld en voor welke artikelen die verband houden met de cybercrimes
uit deze VCN2009 zij antecedenten hebben. 70
Van de 167 verdachten hebben er 87 (52,1%) één of meer vermeldingen in
een hoofdgroep, in totaal 153 vermeldingen. Elke vermelding in een hoofdgroep
kan weer meerdere antecedenten inhouden. De vermeldingen zijn verspreid
over de verschillende hoofdgroepen. De meeste vermeldingen vallen
onder de hoofdgroep ‘overige’, waarin onder meer artikel 240b Sr (kinderpornografie)
valt. Andere hoofdgroepen waarin verdachten vaak een vermelding
hebben, zijn ‘vermogen zonder geweld’ en ‘vernieling/openbare orde’
(tabel 5.13). Kinderpornoverdachten hebben in bijna alle hoofdgroepen meer
antecedenten dan de gemiddelde Nederlander. Wellicht speelt een rol dat kinderpornoverdachten
bijna allemaal mannen zijn en gemiddeld jonger dan de
Nederlandse bevolking (en jonge mannen plegen vaker delicten dan gemiddeld).
Om iets te zeggen over de vraag of het hoge percentage vermeldingen
bij kinderpornoverdachten kan worden verklaard door hun, vergeleken met
de Nederlandse bevolking, afwijkende persoonskenmerken, zouden we een
steekproef uit de bevolking moeten nemen die in elk geval qua leeftijd en geslacht
overeenkomt met onze groep kinderpornoverdachten. Dat is een aandachtspunt
voor nader onderzoek.
Aan het hoge percentage verdachten met een vermelding in de categorie
‘overig’ mogen we niet de conclusie verbinden dat kinderpornoverdachten
vaak recidiveren. Een deel van deze vermeldingen is vermoedelijk veroorzaakt
door een antecedent als gevolg van de zaak in ons onderzoek. Alle
kinderpornodossiers zijn afkomstig uit 2007 (datum aanmaken dossier). We
vroegen de antecedenten op eind 2008. Een deel van de zaken was vermoedelijk
ten tijde van het opvragen al opgenomen in HKS. In die gevallen kregen
we dus onze eigen zaak terug als antecedent.
Van grotere betekenis is dat de kinderpornoverdachten ook vermeldingen
hebben in andere hoofdgroepen dan ‘overig’. Dat zijn dan andere artikelen
dan artikel 240b Sr. We zien ook vermeldingen in de hoofdgroep ‘gewelddadig
seksueel’ (2,4%) en in de hoofdgroep ‘overig seksueel’ (8,3%). Gezien het
delict waarvoor wij deze personen in ons onderzoek hebben (kinderporno),
is dat niet geheel verbazingwekkend. Toch is de bevinding van belang, want
70 Zie par. 1.4. Dat zijn de volgende artikelen uit het Wetboek van Strafrecht: 131, 137c-g, 138a,
139c-d, 147, 161sexies, 161septies, 225, 232, 240b, 326, 350a-b. Deze artikelen staan uitgebreid
beschreven in de hoofdstukken over de individuele cybercrimes (hoofdstuk 2 tot en met 6,
steeds par. 2).

166 Verkenning cybercrime in Nederland 2009
het betekent dat kinderpornoverdachten zich vaker dan de gemiddelde Nederlander
ook schuldig maken aan andere zedendelicten dan het in bezit hebben
of verspreiden van kinderporno. Het kan dan gaan om andere hands-offzedendelicten,
maar ook om het plegen van zedendelicten waarbij de dader
lichamelijk contact met het slachtoffer heeft (zgn. hands-on-delict; Van Wijk
& Stelma, 2007). Nader onderzoek zal moeten uitwijzen hoe overtreding van
artikel 240b Sr precies samenhangt met het plegen van andere delicten uit de
zedelijkheidswetgeving.
Tabel 5.13 Antecedenten van 167 verdachten van kinderporno en van Nederlanders
van 12 jaar en ouder (n=14 mlj.): vermeldingen per hoofdgroep 71
Hoofdgroep Verdachten kinderporno Nederlanders 12+ 71
n % van 167 n % van
13.998.504
Gewelddadig seksueel 4 * 2,4 1.896 0,014
Overig seksueel 13 * 7,8 2.400 0,017
Geweld tegen personen 14 * 8,4 64.914 0,464
Vermogen met geweld 1 0,6 6.622 0,047
Vermogen zonder geweld 22 * 13,2 67.689 0,484
Vernieling/openbare orde 18 * 10,8 49.379 0,353
Verkeer 9 * 5,4 62.756 0,448
Drugs 4 * 2,4 19.132 0,137
Overige 68 * 40,7 23.811 1,170
Eén of meer van bovenstaande
hoofdgroepen
87 * 52,4 2.444.475 1,746
* Significant verschil met Nederlanders 12+ (p

Kinderporno
167
pornoverdachten (4,2%) ook actief zijn op het vlak van fraude. Een sterke verwevenheid
tussen die twee delicten lijkt echter niet waarschijnlijk: ten eerste
is 4,2% niet veel en ten tweede vonden we bij e-fraude (hoofdstuk 3) geen verdachten
met antecedenten voor kinderporno (tabel 3.9).
Tabel 5.14 Antecedenten van verdachten van kinderporno voor artikelen die (mogelijk)
verband houden met de cybercrimes in deze VCN2009
Aantal verdachten met antecedenten hacken 0
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 7
Artikel 326 Sr (oplichting) 4
Artikel 225 Sr (valsheid in geschrifte) 5
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 1
Artikel 317 Sr (afpersing) 1
Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno 63
Artikel 240b Sr (kinderporno) 63
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 1
Artikel 137c Sr (belediging van een bevolkingsgroep) 1
Relatie verdachte-slachtoffer
Van alle 159 verdachten weten we de relatie met het slachtoffer. In de meeste
gevallen waren verdachte en slachtoffer onbekenden van elkaar (93,1%). Dit
komt doordat veel dossiers over verdachten gaan die enkel kinderporno gedownload
hebben. De overige 11 verdachten kenden het slachtoffer, meestal
ging het dan om een kennis (tabel 5.15). Ook dit deel van de analyse wijst er
dus op dat het bij kinderpornoverdachten niet altijd ‘alleen maar’ gaat om het
bezitten van willekeurige kinderpornoplaatjes: 6,9% van de verdachten kent
het slachtoffer.
Tabel 5.15 Relatie tussen 115 verdachten en slachtoffers
Relatie verdachte en slachtoffer n %
Familie 1 0,6
Partner 1 0,6
Ex-partner (getrouwd, langdurige relatie) 0 0,0
Ex-partner (verkering, kortstondige relatie) 0 0,0
Kennis 9 5,7
Zakelijk ((ex-)werknemer, zakenrelatie, klant) 0 0,0
Zakelijk (student) 0 0,0
Onbekende 148 93,1
Totaal 159 100,0

168 Verkenning cybercrime in Nederland 2009
Van 118 verdachten konden we de primaire motivatie uit het dossier afleiden.
In meer dan de helft van de gevallen was dat nieuwsgierigheid (61%, bijv. casus
5.5). In 20% van de gevallen was er sprake van een seksuele behoefte of
verslaving. In 11 dossiers zeiden de verdachten dat het downloaden van kinderporno
per ongeluk gegaan was (10,5%), het was bijvoorbeeld bijvangst bij
het zoeken naar (grote hoeveelheden) gewone porno, of bij het downloaden
van filmpjes en muziek van P2P-systemen (casus 5.6). De overige verdachten
hadden uiteenlopende motieven.
Anders dan bij hacken bijvoorbeeld, leren we uit de primaire motivatie niet
veel over de relatie tussen verdachte en slachtoffer. In verband met preventie
is een relevante bevinding dat meer dan de helft van de verdachten zegt uit
nieuwsgierigheid te hebben gehandeld. Er is dus, in elk geval naar eigen zeggen,
in de politieregistratie een substantiële groep kinderpornoverdachten
die niet uit een gevestigde pedofiele voorkeur zoekt naar kinderporno, maar
bij wie het eerder gaat om grensverkennend gedrag. Nader onderzoek naar
achtergronden, omstandigheden en drijfveren zou gericht moeten zijn op de
vraag of de misdrijven van deze groep nieuwsgierigen wellicht te voorkomen
zijn met normbevestigende of gelegenheidsbeperkende maatregelen.
Casus 5.5 Nieuwsgierigheid als primaire motivatie
‘Ik weet dat ik niet tot antwoorden verplicht ben. Sinds vorig jaar heb ik wel eens
op kinderpornosites gekeken. Af en toe heb ik wel eens gekeken en ook wel eens
foto’s en filmpjes gedownload en bekeken. Ik heb zelf nooit kinderen aangeraakt,
laat staan misbruikt. Ik ben via zogenaamde porno- of sekssites door middel van
doorklikken op die kinderpornosites terecht gekomen. Soms kreeg je een lijst met
wachtwoorden die je moest gebruiken om die foto’s en filmpjes te openen. Soms
moest je het wachtwoord een paar keer proberen. Soms kon je aan de titel zien wat
de foto of het filmpje inhield; soms ook niet. De bestanden die ik binnen kreeg waren
meestal “ingepakte” bestanden zoals “.zip” en “winrar”. Na het zogenaamde
“unzippen” kreeg je dan het bestand te zien. Ik heb kinderen in de leeftijd van
ongeveer 5 jaar op die pornosites gezien. Ik heb ernaar gekeken, maar het deed me
niets. Ik werd er niet opgewonden van of zo. Het was meer nieuwsgierigheid van
mij. Ook was het om dit te proberen te krijgen. Meestal gooide ik het bestand later
weer weg.’

Kinderporno
Casus 5.6 Per ongeluk kinderporno downloaden
‘U vraagt mij om een reactie op het feit dat ik hier als verdachte van bezit van kinderporno
zit.
Ik vind het verschrikkelijk. Ik vind het verschrikkelijk voor mijzelf maar vooral
voor degene die het overkomt. Ik heb een keer per ongeluk wat gedownload, dit
was een striptease of zoiets, maar dat heb ik gelijk weggegooid.
U legt mij uit waarom er een doorzoeking van mijn woning is geweest. U vraagt
mij om een reactie. Ik weet het niet. Ik kan me niet herinneren dat ik kinderporno
gedownload heb. Ik heb u net gezegd dat ik ooit eens iets gedownload heb wat op
kinderporno leek maar dat ik dat direct weer weggegooid heb.
U legt mij het onderzoek nogmaals uit. U zegt mij daarbij dat uit het onderzoek is
gebleken dat je op deze sites niet zomaar komt. Je moet er wat handelingen voor
verrichten. Het zou best kunnen dat ik wat gedownload heb. Ik zeg u ook dat ik wel
eens wat gedownload heb, maar die dingen ook gelijk weer weggegooid heb.
U vraagt mij of ik interesse heb in naakte jonge kinderen. Nee, hier heb ik geen
interesse in. Ik ben wel eens op een site geweest genaamd [naam]. Ik heb van deze
sites wel eens wat gedownload, maar ik heb niets bewaard. Ik ben sinds vorig jaar
ook niet meer op dit soort sites geweest. Ik wil u benadrukken dat ik me niet bezig
houd met naakte jonge kinderen. Ik heb zelf twee kleinkinderen.
Wij hebben een tijdje gebruik gemaakt van een draadloos netwerk. We maakten
toen gebruik van een onbeschermde router. We hadden begrepen dat er zo ook
andere mensen via ons netwerk kunnen surfen. Tevens hebben wij ook ooit op een
markt gebruikte diskettes gekocht, mijn vrouw was bang dat er hierop misschien
dingen stonden die niet door de beugel konden en dat we daar last mee konden
krijgen.
Ik denk dat dit dan gebeurd moet zijn door iemand anders die via mijn onbeschermde
router toegang had tot mijn IP-adres. Deze persoon heeft zich dus voorgedaan
als mij en kinderporno gedownload.’
169
Conclusies
In de literatuur lezen we dat georganiseerde groepen zich bezighouden met
de verspreiding van kinderpornografie. Er worden vijf categorieën daders
onderscheiden. De vervaardigers en handelaren die het materiaal maken en
verspreiden, de verzamelaars die het materiaal downloaden, de reizigers die
tot een fysieke ontmoeting met een kind willen komen, de groomers/chatters
die seksueel getinte communicatie hebben met kinderen en ten slotte de minderjarige
daders.
In de dossiers is een aantal keer terug te zien dat er grootschalige internationale
onderzoeken zijn naar websites met kinderpornografie die profes-

170 Verkenning cybercrime in Nederland 2009
sioneel gerund worden. De Nederlandse verdachten die moeten worden gehoord,
zijn, voor zover uit de dossiers valt te halen, niet een onderdeel van die
groep, maar afnemers (downloaders). Daarom kunnen we in de Nederlandse
dossiers niet spreken over georganiseerde groepen. Uit de literatuur blijkt
ook wel dat dergelijke georganiseerde groepen zich moeilijk laten traceren
(zie bijv. Stol e.a., 2008a). Een andere verklaring kan zijn dat dergelijke dossiers
buiten onze selectie vielen, omdat ze niet geregistreerd staan in de basisprocessensystemen
van de politie, maar bijvoorbeeld in systemen die alleen
voor de recherche toegankelijk zijn (zie ook par. 1.4). Van de vier categorieën
uit de literatuur zien we in de dossiers in ieder geval de categorie verzamelaars
en groomers/chatters terug. We zien in de dossiers ook dat er handelaren
actief zijn, die zijn echter in geen van de gevallen onderwerp van het politieonderzoek.
Verdachten maken geen gebruik van criminele technieken en er is
in niet meer dan een paar procent van de dossiers sprake van voorbereidingshandelingen
van de verdachte. Het gaat dan om een groomer/chatter die een
fictieve identiteit aanmaakt om met de minderjarige in contact te komen.
In 92,5% van de dossiers is sprake van één verdachte. Dat zijn dan meestal
autochtone mannen, overwegend uit de leeftijdsgroep 18-55 jaar. De meest
genoemde primaire motivatie om het delict te plegen, is nieuwsgierigheid
(61% van de verdachten). Zij zoeken niet uit een gevestigde pedofiele voorkeur,
maar vertonen grensverkennend gedrag. Nader onderzoek naar achtergronden,
omstandigheden en drijfveren zou gericht moeten zijn op de vraag
of de misdrijven van deze groep nieuwsgierigen wellicht te voorkomen zijn
met normbevestigende of gelegenheidsbeperkende maatregelen.
De verdachten van kinderporno wonen niet vaker dan gemiddeld in een
eenpersoonshuishouden, wel zijn ze vaker dan gemiddeld werkloos. De
meeste verdachten hebben een mbo- of hbo-opleidingsniveau, en daarmee
wijken ze niet af van het Nederlandse patroon. Er is ook een groep jonge verdachten
die van andere jonge mensen kinderpornografische opnamen maakt
en verspreidt.
Iets meer dan de helft van de verdachten heeft een of meer antecedenten.
Dat is significant meer dan de gemiddelde Nederlander. Nader onderzoek zal
moeten aantonen in hoeverre dit verschil kan worden verklaard vanuit het
gegeven dat kinderpornoverdachten bijna allemaal man zijn en jonger dan de
gemiddelde Nederlander – en dus behoren tot de groep personen (jonge mannen)
die bovengemiddeld veel delicten plegen. Van speciale betekenis is dat
relatief veel verdachten een vermelding hebben in de hoofdgroepen ‘gewelddadig
seksueel’ en ‘overig seksueel’ (resp. 2,4% en 7,8%). Personen die verdacht
worden van het in bezit hebben en/of verspreiden van kinderpornografische
afbeeldingen, maken zich kennelijk vaker dan gemiddeld ook schuldig aan
andere zedendelicten. Nader onderzoek zal moeten uitwijzen hoe overtre-

Kinderporno
171
ding van artikel 240b Sr precies samenhangt met het al dan niet plegen van
andere delicten uit de zedelijkheidswetgeving.
Onze analyse wijst op het bestaan van in elk geval twee te onderscheiden
groepen verdachten: een grote groep personen die zonder dat zij een gevestigde
pedofiele voorkeur heeft kinderporno downloadt (grensverkennend gedrag,
nieuwsgierigheid) en een verhoudingsgewijs kleine groep personen die
niet alleen kinderpornografische afbeeldingen in bezit heeft, maar die ook
andere zedendelicten pleegt.
5.7 Slachtoffers van kinderporno
In de literatuur in weinig bekend over de slachtoffers van kinderporno. Meerdere
malen in onze dossierstudie was het een bedrijf dat aangifte deed van het
aantreffen van kinderpornografie. Bijvoorbeeld een computerreparateur die
kinderporno aantreft op een computer die ter reparatie is gebracht. Deze aangevers
beschouwen we hier niet als slachtoffer. In de 159 kinderporno dossiers
hebben we aldus gegevens over 11 slachtoffers. Deze 11 zijn in Nederland geboren.
Drie zijn van het mannelijke geslacht en acht van het vrouwelijke. Alle
slachtoffers vallen in de leeftijdscategorie onder de 18 en zijn inwonend. Geen
van hen heeft antecedenten. Er is geen sprake van materiële schade. De impact
op het slachtoffer was in de meeste zaken wel groot. In een aantal zaken
werden foto’s van de slachtoffers verspreid.
5.8 Omvang
Inleiding
Om enig zicht te krijgen op de omvang van de cybercrime kinderporno, namen
we een steekproef van meldingen en aangiften om te zien in hoeveel
gevallen daarvan in de politieregistratie sprake is (Domenie e.a., 2009). Ook
hielden we een slachtofferenquête onder internetters in Friesland. Daarnaast
hebben we in de literatuur gekeken naar cijfers aangaande de omvang van de
cybercrime kinderporno.
Uit de politieregistratie‚
We onderzochten in de korpsen Hollands-Midden en Zuid-Holland-Zuid
welk deel van het bij de politie geregistreerde werkaanbod cybercrime betreft
(Domenie e.a., 2009). Van alle in deze regio’s in 2007 geregistreerde zaken
betreft tussen de 0,3% en 0,9% cybercrime. Een klein deel van de dossiers
inzake cybercrime betreft kinderporno: in Hollands-Midden was dat 1,4%

172 Verkenning cybercrime in Nederland 2009
en in Zuid-Holland-Zuid 4,3% (in een steekproef van 10% van alle dossiers
uit 2007). Dossiers inzake de cybercrime kinderporno maken dus slechts een
fractie uit van het totaal bij de politie geregistreerde zaken (ruw geschat op
basis van vorenstaande gegevens: zo’n 3,5% procent van 0,6%, is 0,02%). Deze
dossierstudie in twee korpsen geeft zicht op de omvang van de door de politie
geregistreerde cybercrime. Daaruit is echter bezwaarlijk iets af te leiden over
hoe vaak die vorm van criminaliteit werkelijk voorkomt (zie ook par. 1.4).
Uit de slachtofferenquête onder burgers
In november 2008 namen we (via www.vraaghetdevries.nl) een vragenlijst af
onder 1.246 Friese internetgebruikers. Van hen gaven er 16 (1,3%) aan wel eens
ongewenst kinderporno te hebben binnengekregen op de computer. In 8 van
de gevallen was dat in 2007 of 2008 en in de andere 8 gevallen was dat in de
jaren daarvóór. De 8 mensen die in 2007 of 2008 ongewenst kinderporno ontvingen,
deden geen aangifte bij de politie.
Uit de literatuur
De Wonderland-zaak, die in 1998 speelde, laat zien dat al geruime tijd duidelijk
is dat op internet grote hoeveelheden kinderpornografisch materiaal
worden rondgezonden (figuur 5.9). Het Wonderland-netwerk op internet was
opgericht voor mensen die interesse hadden in seks met kinderen en kinderporno.
Om lid te worden van dit netwerk was men verplicht om duizenden
nieuwe afbeeldingen van seksueel kindermisbruik online aan te leveren (iets
wat we vaker zien, zie Van Kleef in par. 5.3) (MKI, 2008). Ook in andere zaken
uit die tijd bleek dat het niet om een paar plaatjes gaat. ‘De Zandvoortse kinderpornoverspreider
Ulrich beheerde een bulletinboard met 60.000 (kinder)
pornoafbeeldingen. In Duitsland werd een man aangehouden met 40.000 van
dergelijke afbeeldingen op zijn computer. (…) De politie in New York nam
tijdens haar actie Rip Cord 200.000 kinderpornoafbeeldingen in beslag. (…)
Volgens Interpol zijn alleen al in 1998 500.000 kinderpornoafbeeldingen verspreid.
Medewerkers van kinderpornomeldpunten in Europa en Nederlandse
deskundigen vermoeden dat er minstens 100.000 verschillende kinderpornografische
afbeeldingen en films worden aangeboden op internet. Maar dat
zijn “ongefundeerde schattingen”.’ (Stol e.a., 1999, p. 92-93)

Kinderporno
Figuur 5.9 De Wonderland-zaak (Klaver, 1999)
‘Uit politieonderzoeken blijkt dat er zeer omvangrijke pedofiele netwerken actief
zijn op internet, die verantwoordelijk zijn voor de verspreiding van honderdduizenden
kinderpornofoto’s. Soms vervaardigen de leden van die netwerken de foto’s
zelf en ruilen ze met gelijkgestemde zielen. In september vorig jaar werden
na een internationale politieoperatie honderd leden van het kinderpornonetwerk
Wonderland aangehouden, van wie één meer dan 180.000 foto’s in zijn bezit had.
In totaal beschikten de leden van Wonderland over meer dan een miljoen strafbare
afbeeldingen.’ (NRC Handelsblad, 23 januari 1999)
173
In de afgelopen tien jaar is over de omvang van kinderporno op het internet
niet meer helderheid gekomen. Interpol houdt een database bij van kinderpornografische
afbeeldingen die op internet circuleren. Op dit moment bevinden
zich daarin ongeveer 500.000 afbeeldingen (MKI, 2008), maar onbekend
is hoeveel ander materiaal er nog op internet circuleert. Ook onbekend
is hoe vaak dergelijke afbeeldingen worden verzonden. Kortom, er is wel enig
inzicht in hoe het materiaal wordt verspreid (zie ook par. 5.3), maar nog steeds
is onbekend hoeveel kinderpornografie het internet uiteindelijk bevat of hoe
vaak het wordt verzonden.
Aantal misbruikte kinderen
Artikel 240b Sr stelt niet alleen het verspreiden, maar ook het vervaardigen
van kinderpornografische afbeeldingen strafbaar. Dat gebeurt in de regel
off line. We spreken dan niet van cybercrime. Kinderpornografische beelden
kunnen ook online worden gemaakt, ten eerste door echte kinderen in pornografische
situaties te filmen met een webcam en ten tweede door het digitaal
vervaardigen van kinderpornografische beelden zonder dat daar echte kinderen
aan te pas komen (virtuele kinderporno). In beide gevallen is wel sprake
van cybercrime. Een vraag die is verbonden met kinderporno op internet is of
door het internet en de daardoor toegenomen stromen kinderpornografisch
materiaal, ook het aantal misbruikte kinderen toeneemt.
Om te beginnen weten we niet veel met zekerheid over hoeveel kinderen
slachtoffer zijn van seksueel misbruik. We kunnen wel vaststellen dat de introductie
van webcams heeft geleid tot een vorm van misbruik die voorheen
niet bestond. De volgende vraag is of daardoor nieuwe gevallen van misbruik
zijn ontstaan (en dus het aantal gevallen van misbruik is toegenomen) of dat
enkel sprake is van een verschuiving. We weten het niet zeker, want ons is
geen onderzoek daarnaar bekend, maar dat laatste lijkt niet waarschijnlijk.
Het lijkt niet aannemelijk dat de kinderen die nu door elkaar of door volwas-

174 Verkenning cybercrime in Nederland 2009
senen in pornografische zin worden gefilmd via de webcam, voorheen ook
werden misbruikt, maar dan offline. Tegelijk is het ook weer denkbaar dat
volwassenen die nu via de webcam pornografische opnamen van kinderen
weten te maken, minder snel geneigd zijn om kinderen offline te misbruiken.
In dat geval zou sprake zijn van een verplaatsingseffect en niet van ‘meer’.
Dat de werkelijkheid complexer in elkaar zit dan we soms geneigd zijn te
denken, toont ons het onderzoek van Wolak e.a. (2008). Men kan veronderstellen
dat internet ertoe leidt dat het misbruik van kinderen toeneemt. Er kunnen
immers grotere pedofielennetwerken ontstaan en er kan eenvoudig contact
gezocht worden met nieuwe slachtoffers. Er zijn volgens Wolak e.a. echter
geen onderzoeken die deze speculaties onderbouwen. Er is volgens hen zelfs
een afname in het aantal gemeten gevallen van kindermisbruik sinds de
komst van het internet. Tussen 1990 en 2005 is volgens Wolak e.a. het aantal
zaken van kindermisbruik dat gemeld is bij de ‘child protective authorities’
met meer dan de helft (51%) gedaald. Wolak e.a. (2008) geven een aantal mogelijke
redenen:
– Kindermisbruikers zijn overgegaan van de fysieke wereld naar de virtuele
wereld.
– De factoren die ervoor zouden zorgen dat internet kindermisbruik faciliteert,
zijn wellicht niet zo krachtig als wordt aangenomen. 72
We kunnen dus niet zonder meer aannemen dat door internet het aantal gevallen
van kindermisbruik is gestegen. We kunnen wel constateren dat internet
gebruikt wordt voor de verspreiding van kinderpornografisch materiaal.
Niemand zal bestrijden dat door internet meer kinderpornografisch materiaal
circuleert dan voorheen of in elk geval dat kinderpornografisch materiaal
meer circuleert. Veel meer mensen hebben veel grotere verzamelingen kinderporno
dan ooit het geval was. De eerder genoemde database die Interpol
bijhoudt van kinderpornografische afbeeldingen die op internet circuleren,
bevat ongeveer 20.000 kinderen die seksueel zijn misbruikt (MKI, 2008). Tot
op heden zijn slechts 500 van de 20.000 slachtoffers geïdentificeerd. Volgens
het Meldpunt Kinderporno zijn de oorzaken hiervan:
– veel kinderen die seksueel zijn misbruikt, houden dat voor zichzelf;
– betrokken instanties werken onvoldoende samen;
– de kennis van afbeeldingen van seksueel kindermisbruik bij hulpverlening
en justitie is onvoldoende.
72 Een optie lijkt ons ook nog dat er geen enkel verband bestaat tussen de gevonden afname en
de opkomst van internet, maar dat sprake is van een schijnverband.

Kinderporno
175
Maar ook al circuleert kinderpornografie meer, ook al hebben meer pedofielen
aanzienlijk grotere verzamelingen afbeeldingen, ook al heeft Interpol
een database met 20.000 misbruikte kinderen, nog steeds weten we niet of het
aantal misbruikte kinderen als gevolg van internet is toegenomen. We kunnen
wel concluderen dat de toegankelijkheid van het materiaal is toegenomen
en daarmee ook de zichtbaarheid van het probleem.
5.9 Trends
Een trend in de digitale verspreiding van kinderpornografisch materiaal is
dat kinderporno verdwijnt naar minder opzichtige delen van internet, waar
de informatie moeilijker is te observeren en waar het dus ook moeilijker is
om bewijsmateriaal te verzamelen (zie ook par. 5.3). Een eerste verplaatsing
is die van openbare websites naar nieuwsgroepen (MKI, 1997), een tweede
verplaatsing is die van nieuwsgroepen naar babbelboxen (MKI, 2002) en een
derde verplaatsing is die naar P2P-systemen (MKI, 2004 2005; Oosterink &
Van Eijk, 2006; Schell e.a., 2007; Stol, 2004; Stol e.a. 2008a).
Technologische mogelijkheden zullen de ontwikkelingen in deze cybercrime
mede vorm blijven geven. Webcams maakten de onlineproductie van
kinderporno mogelijk en dragen bij aan de productie van kinderporno door
jongeren onder elkaar. Belangrijk in dat opzicht is uiteraard ook de seksuele
moraal onder de jeugd. Verder faciliteren digitale beeldtechnieken de productie
van virtuele kinderporno. De beeldkwaliteit zal ongetwijfeld verder toenemen
en dus is te verwachten dat de mate waarin de beelden van echt zijn te
onderscheiden, zal afnemen. De gebruikersvriendelijkheid van programma’s
voor het maken van animatiefilms zal, zo verwachten wij, toenemen, en dus
ook de mogelijkheden voor digitale amateurs om virtuele kinderpornografie
te produceren. Te voorzien is ook dat aanbieders van kinderporno nieuwe betaalwijzen
zullen ontwikkelen om te zorgen dat afnemers van hun waar niet
via hun creditcardgegevens kunnen worden opgespoord. Tot slot is te voorzien
dat bestanden met kinderporno vaker versleuteld zullen worden verzonden,
om detectie- en filtertechnieken om te tuin te leiden.
5.10 Resumé
Kinderpornografie is in Nederland strafbaar gesteld in artikel 240b Wetboek
van Strafrecht, dat kinderporno definieert als een afbeelding van een seksuele
gedraging, waarbij iemand die kennelijk de leeftijd van achttien jaar nog
niet heeft bereikt, is betrokken of schijnbaar betrokken. De ratio van artikel

176 Verkenning cybercrime in Nederland 2009
240b Sr is dat jeugdigen beschermd moeten worden tegen gedragingen en
uitingen die hen kunnen aanmoedigen of verleiden om deel te nemen aan
seksueel verkeer, alsook tegen gedragingen en uitingen die bijdragen aan een
subcultuur die seksueel misbruik van kinderen bevordert. 73
Uit de cijfers van het Meldpunt Kinderporno (MKI, 2008) gecombineerd
met eerder onderzoek naar kinderpornografie op internet (Oosterink & Van
Eijk, 2006; Schell e.a., 2007; Stol, 2004; Stol e.a., 1999, 2008a) kunnen we afleiden
dat kinderporno op internet op verschillende manieren wordt verspreid:
via spam, websites, P2P-netwerken, virtuele harde schijven, nieuwsgroepen
en chat. De wijze van verspreiding is aan verandering onderhevig; deels omdat
er voortdurend nieuwe technische mogelijkheden ontstaan (Deibert e.a.,
2008) en deels omdat de aanbieders van kinderporno reageren op repressieve
maatregelen (Stol, 2004).
In de literatuur zijn onder de volwassen daders twee duidelijke groepen te
onderscheiden die zich bezighouden met de verspreiding van kinderpornografisch
materiaal: de commerciële groep met als oogmerk financieel gewin
en de ‘liefhebbers’ met als primaire motivatie het verkrijgen van meer kinderpornografisch
materiaal. De handel en productie in kinderporno is volgens
Van der Hulst en Neve (2008) in toenemende mate een bezigheid van
georganiseerde groepen geworden. Kinderporno is een lucratieve business
waarmee veel geld te verdienen is (NDB2004). Er zijn volgens de literatuur
vijf categorieën daders: vervaardigers en handelaren, verzamelaars, reizigers,
groomers/chatters en minderjarige daders (Van der Hulst & Neve, 2008;
Wolak e.a., 2008; Van Wijk & Stelma, 2007).
Uit onze dossierstudie blijkt dat de Nederlandse verdachten geen onderdeel
uitmaken van professionele criminele samenwerkingsverbanden. In de
dossiers is een aantal keer terug te zien dat er grootschalige internationale
onderzoeken zijn naar websites die professioneel gerund worden. De Nederlandse
verdachten zijn afnemers (downloaders) van deze websites. Van de
vier categorieën uit de literatuur zien we in de dossiers in ieder geval de categorie
verzamelaars en groomers/chatters terug. We zien in de dossiers ook
dat er handelaren actief zijn; die zijn echter geen onderwerp van onderzoek
van de Nederlandse politie.
De cybercrime kinderporno kent weinig verbanden met andere cybercrimes.
Als er al een verband is, is dat met een ander delict in de zedensfeer,
met name met het in bezit hebben van kinderporno anders dan op ICT en
soms met het vervaardigen van kinderporno. Ook proberen verdachten bijvoorbeeld
minderjarigen te groomen of slachtoffers aan te randen door te drei-
73 Zie bijv. Kamerstukken I 2001/02, 27 745, nr. 299b en Aanwijzing kinderpornografie (art. 240b
Sr), Stcrt. 30 juli 2007, 162.

Kinderporno
177
gen met het publiekelijk maken van gevoelige informatie (bijv. naaktfoto’s).
Enkele keren zagen we dat de verdachte claimde slachtoffer te zijn geworden
van een hack, hetgeen de aanwezigheid van kinderporno op zijn computer
zou verklaren. Verder volgt uit de dossierstudie dat verdachten geen gebruikmaken
van criminele technieken en dat zelden sprake is van voorbereidingshandelingen.
Een enkele keer verricht een groomer/chatter voorbereidingshandelingen
door het aanmaken van een fictieve identiteit.
In 92,5% van de dossiers is sprake van één verdachte. Dat zijn dan meestal
autochtone mannen, overwegend uit de leeftijdsgroep 18-55 jaar. De meeste
genoemde primaire motivatie om het delict te plegen, is nieuwsgierigheid
(61% van de verdachten). Zij zoeken niet uit een gevestigde pedofiele voorkeur,
maar vertonen grensverkennend gedrag. Nader onderzoek naar achtergronden,
omstandigheden en drijfveren zou gericht moeten zijn op de vraag
of de misdrijven van deze groep nieuwsgierigen wellicht te voorkomen zijn
met normbevestigende of gelegenheidsbeperkende maatregelen.
De verdachten voor kinderporno wonen niet vaker dan gemiddeld in een
eenpersoonshuishouden, wel zijn ze vaker dan gemiddeld werkloos. De meeste
verdachten hebben een mbo- of hbo-opleidingsniveau. Daarmee wijken ze niet
af van het Nederlandse patroon. Er is ook een groep jonge verdachten die van
andere jonge mensen kinderpornografische opnamen maakt en verspreidt.
Iets meer dan de helft van de verdachten heeft één of meer antecedenten.
Dat is significant meer dan de gemiddelde Nederlander. Nader onderzoek zal
moeten uitwijzen of dit verschil wordt veroorzaakt doordat kinderpornoverdachten
bijna allemaal man zijn en jonger dan de gemiddelde Nederlander
– en dus behoren tot de groep personen (jonge mannen) die bovengemiddeld
veel delicten plegen. Van speciale betekenis is dat relatief veel verdachten een
vermelding hebben in de hoofdgroepen ‘gewelddadig seksueel’ en ‘overig
seksueel’ (resp. 2,4% en 8,3%). Personen die verdacht worden van het in bezit
hebben en/of verspreiden van kinderpornografische afbeeldingen, maken
zich kennelijk vaker dan gemiddeld ook schuldig aan andere zedendelicten.
Nader onderzoek zal moeten uitwijzen hoe overtreding van artikel 240b Sr
precies samenhangt met het al dan niet plegen van andere delicten uit de zedelijkheidswetgeving.
Ons onderzoek wijst op het bestaan van in elk geval twee te onderscheiden
groepen verdachten: een grote groep personen (53,4%) die zonder dat zij
een gevestigde pedofiele voorkeur (zegt te) hebben kinderporno downloadt
(grensverkennend gedrag, nieuwsgierigheid) en een verhoudingsgewijs kleine
groep van personen die niet alleen kinderpornografische afbeeldingen in
bezit heeft, maar die ook andere zedendelicten pleegt. Naar beide groepen
zou nader onderzoek moeten worden gedaan om beter zicht te krijgen op
kenmerken van deze personen en op mogelijke maatregelen.

178 Verkenning cybercrime in Nederland 2009
Over de slachtoffers van kinderporno is weinig bekend. Ook onbekend is hoeveel
kinderpornografie het internet bevat of hoe vaak het wordt verzonden.
Interpol houdt een database bij van kinderpornografische afbeeldingen die
op internet circuleren. Op dit moment bevinden zich daarin ongeveer 500.000
afbeeldingen met ongeveer 20.000 kinderen die seksueel zijn misbruikt. Van
hen zijn er zo’n 500 geïdentificeerd (MKI, 2008). Of internet leidt tot een toename
in het aantal misbruikte kinderen is niet bekend.
Een trend is dat kinderporno verdwijnt naar minder opzichtige delen van
internet, waar de informatie moeilijker is te observeren en waar het dus ook
moeilijker is om bewijsmateriaal te verzamelen. Verder valt te verwachten dat
door nieuwe technologische ontwikkelingen (zoals in animatietools, versleuteltechnieken
en betaalsystemen) de productie en verspreiding van kinderpornografie
zullen blijven veranderen. Te verwachten is dat:
– de mate waarin virtuele kinderporno op echte lijkt, zal toenemen;
– vaker gebruikgemaakt zal gaan worden van verhullings- en versleutelingstechnieken
om kinderpornografisch materiaal te verspreiden;
– aanbieders technieken zullen vinden waardoor afnemers niet langer met
een creditcard hoeven te betalen voor het materiaal.

6. Haat z a a i e n
6.1 Inleiding
Haatzaaien en internet
De cybercrime haatzaaien is het (aanzetten tot) opzettelijk beledigen of discrimineren
van bepaalde groeperingen, zonder een bijdrage te leveren aan het
publieke debat, waarbij ICT essentieel is voor de uitvoering. Ook deze vorm
van criminaliteit is niet nieuw. Al sinds de Romeinse vervolging van christenen,
de ‘etnische zuiveringen’ in Bosnië en de genocide in Rwanda hebben
zogenoemde hate crimes de wereldgeschiedenis mede gevormd (Bureau of Justice
Assistance, 1997). Hate crime of haatzaaien is echter wel een relatief nieuw
begrip. De oorsprong hiervan is terug te leiden naar het Amerika van de jaren
zeventig van de vorige eeuw. Daar werd toen voor het eerst serieuze aandacht
besteed aan deze vorm van criminaliteit (Hall, 2005), wat natuurlijk niet wil
zeggen dat vóór deze tijd geen haatgerelateerde criminaliteit bestond. In de
jaren zeventig was er een veelheid van begrippen in omloop die gelijkenissen
hebben met de nu gehanteerde definitie van haatzaaien; ‘bias crime’, ‘civil
rights violations’, ‘human rights crimes’ (Nardi & Bolton, in Department of
Criminology, 2007, p. 6-8).
In onze huidige samenleving hebben enkele gebeurtenissen veel ongenoegen
naar boven gebracht (Van Stokkom e.a., 2007). We denken aan de aanslagen
in Washington en New York in 2001, de aanslagen in Madrid (2004)
en Londen (2005), en de moord op Theo van Gogh (2004). Deze gebeurtenissen,
evenals de moord op Pim Fortuyn in 2002, waarvan nogal wat mensen in
eerste instantie vermoedden dat het een daad van moslimextremisten was,
zorgden voor een overvloed aan antimoslim- en antibuitenlanderuitingen
op het internet (MDI, 2003). Van Stokkom e.a. (2007) zagen in hun onderzoek
echter ook dat sommige imams in Nederland haat prediken en de god der
wrake aanroepen, dat op radicale moslimsites wordt opgeroepen tot een heilige
oorlog tegen de ‘kruisvaarders’ (het Westen), tegen de zionisten en tegen
de staat Israël en dat in Arabische media kwaadaardige joodse stereotypen
worden verspreid. Radicalisme lokt volgens Van Stokkom e.a. (2007) contraradicalisme
uit; moslims en niet-moslims kunnen hierdoor in een zichzelf

180 Verkenning cybercrime in Nederland 2009
versterkende spiraal van wederzijds wantrouwen en vijandigheid terechtkomen.
Vrijwel alle radicale groeperingen en personen met extreme opvattingen
maken intensief gebruik van websites en chatboxen om propaganda te
voeren, opponenten te bedreigen en te provoceren en op te roepen tot geweld
(Van Stokkom e.a., 2007).
Internet verschaft volgens Van Stokkom e.a. een podium waar mensen haat
kunnen uiten zonder dat het ten koste gaat van hun reputatie; uitingen kunnen
immers anoniem en onder pseudoniem gedaan worden. De inrichting en
gebruiksmogelijkheden van het internet gelden dan ook als belangrijke criminogene
factoren (Kaspersen, 2004). Voor de gemiddelde internetcrimineel
is het niet al te moeilijk om zijn identiteit te verhullen, hetgeen de opsporing
bemoeilijkt. Moesten haatzaaiers eerder nog op de hoek van de straat staan
om hun boodschap te verspreiden, extremisten hebben nu tal van technologische
middelen, zoals websites en chatboxen, tot hun beschikking (Kaplan &
Moss, 2003). Ook reactiepagina’s op nieuwssites, onlinecondoleanceregisters,
webforums van scholen of gewoon persoonlijke weblogs worden tegenwoordig
getroffen door discriminerende en extreme uitingen. De populaire video -
clipsite YouTube staat bol van racisme, oproepen tot geweld, jihad-recruitment
en homohaat (MDI, 2007). Volgens Van der Hulst en Neve is haatzaaien via
het internet dan ook een trend geworden, waarbij verschillende groeperingen
elkaar voortdurend provoceren via discussieforums en chatboxen (Van
der Hulst & Neve, 2008). Ook kan internet gebruikt worden om haatzaaiende
films te verspreiden, denk aan rechts-extremistische films of ‘onthoofdingsfilms’
van extremistische moslims. Of er een direct verband is tussen haatuitingen
op het internet en geweld in de ‘echte wereld’ is moeilijk aantoonbaar
(Eissens, 2004). Een aantal gebeurtenissen wijst hier wel op. Op de Marokkaanse
jongerensite www.mocros.nl bijvoorbeeld, werd Van Gogh al maanden
voordat hij vermoord werd, met de dood bedreigd. Ook politici als Ayaan
Hirsi Ali en Geert Wilders werden aanhoudend op internet bedreigd. Bekend
is ook dat internet een zeer belangrijke rol speelde in de ideologische ontwikkeling
van de Hofstadgroep (Van Stokkom e.a., 2007).
Definitie
Er is in Nederland niet een algemeen geldende definitie van haatzaaien in gebruik,
ook staat haatzaaien niet als zodanig in het Wetboek van Strafrecht (zie
ook bijv. Tienstra, 2008). Van der Hulst en Neve (2008) beschrijven in hun literatuurinventarisatie
haatzaaien als het oproepen tot discriminatie en geweld.
Volgens Van Stokkom e.a. (2007) worden in veel internationale verdragsteksten
en wetsteksten ter bestrijding van racisme het aanzetten tot haat en
het aanzetten tot geweld tegen personen beide genoemd. Kwetsende of beledigende
uitingen kunnen in dat opzicht als ‘onschuldiger’ worden gekwalifi-

Haatzaaien
181
ceerd, hoewel de effecten ervan niet minder ernstig hoeven te zijn en escalatie
kunnen bewerkstelligen (Van Stokkom e.a., 2007).
Engeland en de Verenigde Staten hebben wetgeving die specifiek gericht
is op haatzaaien. We beschrijven daarom eerst de in deze twee landen gehanteerde
definities. In Engeland wordt haatzaaien gedefinieerd als ‘any incident,
which constitutes a criminal offence, which is perceived by the victim
or any other person as being motivated by prejudice or hate’ (ACPO, 2005). De
Engelse definitie heeft dus ook het oog op vooroordelen. De sleutelwetgeving
in dit verband is de Crime and Disorder Act van 1998 (Department of Criminology,
2007), waarin misdrijven die gemotiveerd worden door ‘vijandigheid’
jegens leden van een bepaalde etnische groep, strafbaar zijn gesteld. In 2001
werden daaraan religieus gemotiveerde misdrijven toegevoegd (Van Stokkom
e.a., 2007).
In de Verenigde Staten zijn de Hate Crime Statistics Act (1990) en de Hate
Crimes Sentencing Enhancement Act (1994) van invloed geweest op het in
kaart brengen en bestrijden van het delict haatzaaien (Department of Criminology,
2007). In Amerika worden hate crimes gedefinieerd als ‘offenses motivated
by hatred against a victim based on his or her race, religion, sexual
orientation, handicap, ethnicity, or national origin’ (Bureau of Justice Assistance,
1997). Of, nog specifieker, als ‘a crime in which the defendant selects a
victim (…) because of the actual or perceived race, color, religion, national origin,
ethnicity, gender, disability, or sexual orientation of any person’ (Kaplan
& Moss, 2003).
Er is een aantal factoren dat een heldere definitie van haatzaaien in de weg
staat. Het is bijvoorbeeld maar de vraag of er wel een heldere afbakening
mogelijk is tussen kwetsende uitingen enerzijds en aanzetten tot geweld anderzijds.
Haatuitingen lijken in veel gevallen een middenpositie in te nemen
(Van Stokkom e.a., 2007). Afhankelijk van iemands perceptie valt een uiting
onder de noemer kwetsend of aanzetten tot haat. Een andere moeilijkheid
volgens Van Stokkom e.a. (2007) is dat ‘religie’ en ‘ras’ moeilijk van elkaar te
onderscheiden zijn. Joden en moslims worden vaak racistisch bejegend, juist
vanwege hun godsdienstige opvattingen. ‘Daar komt nog bij dat volgens de
Hoge Raad de strafbaarheid bij discriminatoire uitlatingen vervalt als deze
hebben plaatsgevonden in een context die bijdraagt aan het maatschappelijke
debat of die anderszins van een zekere functionaliteit getuigt’ (Van Stokkom
e.a., 2007, p. 241).
In dit onderzoek definiëren wij cyberhaatzaaien als het opzettelijk beledigen
of discrimineren van een groep mensen wegens hun ras, hun godsdienst
of levensovertuiging, hun hetero- of homoseksuele gerichtheid of hun lichamelijke,
psychische of verstandelijke handicap, zonder dat die uitlatingen een
bijdrage leveren aan het publieke debat, en waarbij ICT essentieel is voor de

182 Verkenning cybercrime in Nederland 2009
uitvoering. Deze definitie houdt in dat er sprake moet zijn van het opzettelijk
beledigen of discrimineren van een bepaalde groep mensen. De wetsartikelen
die hierop betrekking hebben, bespreken we in paragraaf 6.2. Verder is er
alleen sprake van haatzaaien indien de belediging of discriminatoire uitlating
niet bijdraagt aan het publieke debat. Dit is echter niet objectief meetbaar en
moet dus worden bepaald door een rechter. Ten slotte moet de uiting gedaan
zijn op of middels ICT. Het kan dan gaan om een opruiende film of afbeelding
op een webpagina of haatzaaiende teksten in een chatbox.
In dit hoofdstuk behandelen we eerst de strafbaarstelling en verschijningsvormen
van haatzaaien (par. 6.2 en 6.3). Vervolgens beschrijven we de verbanden
die deze cybercrime heeft met andere vormen van (cyber)criminaliteit
(par. 6.4). Daarna behandelen we de kenmerken van daders uit de literatuur
(par. 6.5), kenmerken van verdachten uit de dossierstudie (par. 6.6) en gaan we
dieper in op de slachtoffers van deze cybercrime (par. 6.7). In paragraaf 6.8 kijken
we naar de omvang van deze cybercrime. Ten slotte komen in paragraaf
6.9 de trends van haatzaaien aan bod en in paragraaf 6.10 volgt een resumé
van dit hoofdstuk.
6.2 Strafbaarstelling
Haatzaaien staat niet als zodanig in het Wetboek van Strafrecht. Aan de hand
van de geformuleerde definitie van haatzaaien (par. 6.1) kunnen echter wetsartikelen
worden onderscheiden die van toepassing zijn op deze vorm van
cybercrime. Een eerste verbod dat in aanmerking komt, is godslastering (art.
147 en 147a Sr, figuren 6.1 en 6.1a). Het verbod op godslastering is afkomstig
uit de jaren twintig van de vorige eeuw. Toen ontstond een discussie over uitlatingen
in het communistische tijdschrift De Tribune. Communisten noemden
godsdienst een ‘opium voor het volk’, alleen bedoeld om de bestaande
maatschappelijke verhoudingen in stand te houden en er werd scherp en beledigend
over het christendom gesproken in termen als ‘Christus op de mestvaalt’
(www.parlement.com, 2008). Op grond van deze uitlatingen werd De
Tribune door de regering geweerd uit openbare bibliotheken en uit spoorwegboekhandels
en er kwam een wetsvoorstel om smadelijke godslastering strafbaar
te stellen. In de loop van de twintigste eeuw is het delict godslastering
in vele westerse landen echter in onbruik geraakt. Een smadelijke ontkenning
van het christelijke geloof wordt niet meer vereenzelvigd met een aanval op
de maatschappij in zijn geheel. In Nederland staat godslastering nog wel in
het Wetboek van Strafrecht, maar is het artikel een dode letter; er wordt in de
praktijk geen gebruik van gemaakt. Religieus en levensbeschouwelijk kwetsen
is echter weer in opkomst de laatste jaren. Nu niet gericht op het christen-

Haatzaaien
183
dom, maar vooral gericht op de islam en het jodendom. Was godslastering in
de twintigste eeuw voornamelijk het werk van communisten en vrijdenkers
die de religie op een sarcastische wijze bespotten, volgens Van Stokkom e.a.
(2007) lijkt het verbale geweld tegenwoordig veel fanatieker.
Figuur 6.1 Artikel 147 Sr: godslastering (i.w.tr. 01-05-1984)
Met gevangenisstraf van ten hoogste drie maanden of geldboete van de tweede
categorie wordt gestraft:
1. Hij die zich in het openbaar, mondeling of bij geschrift of afbeelding, door smalende
godslasteringen op voor godsdienstige gevoelens krenkende wijze uitlaat.
2. Hij die een bedienaar van de godsdienst in de geoorloofde waarneming van
zijn bediening bespot.
3. Hij die voorwerpen aan een eredienst gewijd, waar en wanneer de uitoefening
van die dienst geoorloofd is, beschimpt.
Figuur 6.1a Artikel 147a Sr: godslastering (i.w.tr. 01-05-1984)
1. Hij die een geschrift of afbeelding waarin uitlatingen voorkomen die, als smalende
godslasteringen, voor godsdienstige gevoelens krenkend zijn, verspreidt,
openlijk tentoonstelt of aanslaat of, om verspreid, openlijk tentoongesteld of
aangeslagen te worden, in voorraad heeft, wordt, indien hij weet of ernstige
reden heeft om te vermoeden dat in het geschrift of de afbeelding zodanige uitlatingen
voorkomen, gestraft met gevangenisstraf van ten hoogste twee maanden
of geldboete van de tweede categorie.
2. Met dezelfde straf wordt gestraft hij die, met gelijke wetenschap of een gelijke
reden tot vermoeden, de inhoud van een zodanig geschrift openlijk ten gehore
brengt.
3. Indien de schuldige een van de misdrijven omschreven in dit artikel in zijn
beroep begaat en er, tijdens het plegen van het misdrijf, nog geen twee jaren zijn
verlopen sedert een vroegere veroordeling van de schuldige wegens een van
deze misdrijven onherroepelijk is geworden, kan hij van de uitoefening van dat
beroep worden ontzet.
Godslastering impliceert een in het openbaar geuite (smalende) belediging
die betrekking heeft op de persoon van God. Godslastering is echter slechts
een van de negatieve uitingen waarmee burgers kunnen worden geconfronteerd.
Godslastering heeft veelal een beledigende strekking. Haatuitingen

184 Verkenning cybercrime in Nederland 2009
hebben daarentegen vaak een bedreigende strekking en worden gekenmerkt
door manifeste vormen van bedreiging en door opruiing. Volgens Van Stokkom
e.a. (2007) komen haatcampagnes in veel opzichten dicht in de buurt van
terreur.
Op 20 januari 2009 stemde de Tweede Kamer in met de motie-Van der Ham
c.s. inhoudende het verzoek aan de regering ‘een voorstel aan de Kamer toe
te zenden om het verbod op godslastering (art. 147 en 147a Sr) uit het Wetboek
van Strafrecht te verwijderen’. 74 Te voorzien is derhalve dat deze artikelen uit
het Wetboek van Strafrecht zullen verdwijnen.
Naast godslastering is bij de cybercrime haatzaaien een aantal artikelen
van belang waarin discriminatie strafbaar wordt gesteld. Artikel 90quater Sr
bevat een definitie van discriminatie (figuur 6.2).
Figuur 6.2 Artikel 90quater Sr: discriminatie (i.w.tr. 01-02-1992)
Onder discriminatie of discrimineren wordt verstaan elke vorm van onderscheid,
elke uitsluiting, beperking of voorkeur, die ten doel heeft of ten gevolge kan hebben
dat de erkenning, het genot of de uitoefening op voet van gelijkheid van de
rechten van de mens en de fundamentele vrijheden op politiek, economisch, sociaal
of cultureel terrein of op andere terreinen van het maatschappelijk leven, wordt
teniet gedaan of aangetast.
Bij discriminatie worden op grond van religie of levensbeschouwing personen,
op grond van hun lidmaatschap van een bepaalde groep, vernederd of
in hun waarde aangetast (Van Stokkom e.a., 2007). Dat is strafbaar gesteld in
artikel 137c Sr (zie figuur 6.3). Het aanzetten tot haat tegen personen wegens
hun godsdienst of levensbeschouwing is strafbaar gesteld in artikel 137d Sr
(zie figuur 6.4). Het openbaar maken van discriminerende uitlatingen, deelname
of steunen van discriminatie en discriminatie in ambt, beroep of bedrijf
zijn strafbaar gesteld in respectievelijk artikel 137e Sr (figuur 6.5), artikel 137f
Sr (figuur 6.6) en artikel 137g Sr (figuur 6.7). De discriminatiebepalingen zijn
van relatief recente makelij en zijn in Nederland pas in 1971 ingevoerd (Janssens
& Nieuwenhuis, 2005). Daarnaast kan artikel 131 Sr (opruiing, het oproepen
tot het plegen van misdrijven of geweld) van toepassing zijn op haatzaaien
(zie figuur 6.8).
74 Kamerstukken II 2008/09, 31 700, VI, nr. 94.

Haatzaaien
Figuur 6.3 Artikel 137c Sr: belediging van een bevolkingsgroep (i.w.tr. 01-01-2006)
1. Hij die zich in het openbaar, mondeling of bij geschrift of afbeelding, opzettelijk
beledigend uitlaat over een groep mensen wegens hun ras, hun godsdienst
of levensovertuiging, hun hetero- of homoseksuele gerichtheid of hun lichamelijke,
psychische of verstandelijke handicap, wordt gestraft met gevangenisstraf
van ten hoogste een jaar of geldboete van de derde categorie.
2. Indien het feit wordt gepleegd door een persoon die daarvan een beroep of gewoonte
maakt of door twee of meer verenigde personen wordt gevangenisstraf
van ten hoogste twee jaren of geldboete van de vierde categorie opgelegd.
185
Uit de nota Grondrechten in een pluriforme samenleving (2005) kan worden
afgeleid dat de betekenis van artikel 137c Sr ten aanzien van de belediging van
homoseksuelen en personen wegens hun godsdienst of levensovertuiging beperkt
is. Indien er sprake is van een bijdrage aan het maatschappelijke debat,
vervalt de strafbaarheid. Volgens de nota mag verwacht worden dat dergelijke
uitlatingen worden tegengesproken en dat het debat wordt aangegaan. Op die
manier kunnen vooroordelen tijdig uit de weg worden geruimd en kan de escalatie
van sluimerende conflicten worden voorkomen. De affaire El Moumni
is hiervan een goed voorbeeld (Van Stokkom e.a., 2007). Deze Rotterdamse
imam zei in een televisie-uitzending van Nova dat homoseksualiteit een ziekelijke
afwijking is en schadelijk is voor de Nederlandse samenleving. Zowel
de Rotterdamse rechtbank (8 april 2002) als later het Haagse gerechtshof
(18 november 2002) kwam tot vrijspraak voor El Moumni, omdat ‘aan in beginsel
beledigende uitlatingen het beledigende karakter komt te ontvallen wanneer
die uitlatingen een godsdienstige overtuiging direct uitdrukken’, zodat
bescherming tegen een strafrechtelijke procedure kan worden ontleend aan
het eveneens in de Grondwet vastgelegde recht op vrijheid van godsdienst
en godsdienstbeleving. Een ander voorbeeld zijn de uitspraken van Ayaan
Hirsi Ali in 2002 in het dagblad Trouw, waarin zij onder meer de islam ‘naar
sommige maatstaven gemeten’ als ‘achterlijk’ omschreef. Er werden dertien
aangiften bij het Openbaar Ministerie gedaan en circa zeshonderd klachten
geregistreerd. In april 2003 maakte het Openbaar Ministerie echter bekend
van vervolging af te zien (Van Stokkom e.a., 2007). In het geval dat wordt aangezet
tot haat (art. 137d Sr, figuur 6.3) wordt volgens de nota echter een grens
overschreden, waarbij eerder een inperking van de meningsuiting en godsdienstvrijheid
zal kunnen worden gemaakt.

186 Verkenning cybercrime in Nederland 2009
Figuur 6.4 Artikel 137d Sr: aanzetting tot discriminatie van een bevolkingsgroep
(i.w.tr. 01-01-2006)
1. Hij die in het openbaar, mondeling of bij geschrift of afbeelding, aanzet tot haat
tegen of discriminatie van mensen of gewelddadig optreden tegen persoon of
goed van mensen wegens hun ras, hun godsdienst of levensovertuiging, hun
geslacht, hun hetero- of homoseksuele gerichtheid of hun lichamelijke, psychische
of verstandelijke handicap, wordt gestraft met gevangenisstraf van ten
hoogste een jaar of geldboete van de derde categorie.
2. Indien het feit wordt gepleegd door een persoon die daarvan een beroep of gewoonte
maakt of door twee of meer verenigde personen wordt gevangenisstraf
van ten hoogste twee jaren of geldboete van de vierde categorie opgelegd.
Figuur 6.5 Artikel 137e Sr: openbaarmaking discriminerende uitlatingen (i.w.tr. 01-
01-2006)
1 Hij die, anders dan ten behoeve van zakelijke berichtgeving:
1. een uitlating openbaar maakt die, naar hij weet of redelijkerwijs moet vermoeden,
voor een groep mensen wegens hun ras, hun godsdienst of levensovertuiging,
hun hetero- of homoseksuele gerichtheid of hun lichamelijke, psychische
of verstandelijke handicap beledigend is, of aanzet tot haat tegen of discriminatie
van mensen of gewelddadig optreden tegen persoon of goed van mensen
wegens hun ras, hun godsdienst of levensovertuiging, hun geslacht, hun hetero-
of homoseksuele gerichtheid of hun lichamelijke, psychische of verstandelijke
handicap;
2. een voorwerp waarin, naar hij weet of redelijkerwijs moet vermoeden, zulk een
uitlating is vervat, aan iemand, anders dan op diens verzoek, doet toekomen,
dan wel verspreidt of ter openbaarmaking van die uitlating of verspreiding in
voorraad heeft, wordt gestraft met gevangenisstraf van ten hoogste zes maanden
of geldboete van de derde categorie.
2. Indien het feit wordt gepleegd door een persoon die daarvan een beroep of gewoonte
maakt of door twee of meer verenigde personen wordt gevangenisstraf
van ten hoogste een jaar of geldboete van de vierde categorie opgelegd.
3. Indien de schuldige een van de strafbare feiten, omschreven in dit artikel, in
zijn beroep begaat en er, tijdens het plegen van het feit, nog geen vijf jaren zijn
verlopen sedert een vroegere veroordeling van de schuldige wegens een van
deze misdrijven onherroepelijk is geworden, kan hij van de uitoefening van dat
beroep worden ontzet.

Haatzaaien
Figuur 6.6 Artikel 137f Sr: deelname of steunen van discriminatie (i.w.tr. 01-01-2006)
Hij die deelneemt of geldelijke of andere stoffelijke steun verleent aan activiteiten
gericht op discriminatie van mensen wegens hun ras, hun godsdienst, hun levensovertuiging,
hun geslacht, hun hetero- of homoseksuele gerichtheid of hun lichamelijke,
psychische of verstandelijke handicap, wordt gestraft met gevangenisstraf
van ten hoogste drie maanden of geldboete van de tweede categorie.
Figuur 6.7 Artikel 137g Sr: discriminatie in ambt, beroep of bedrijf (i.w.tr. 01-02-
2004)
1. Hij die, in de uitoefening van een ambt, beroep of bedrijf personen opzettelijk
discrimineert wegens hun ras, wordt gestraft met gevangenisstraf van ten
hoogste zes maanden of geldboete van de derde categorie.
2. Indien het feit wordt gepleegd door een persoon die daarvan een gewoonte
maakt of door twee of meer verenigde personen wordt gevangenisstraf van ten
hoogste een jaar of geldboete van de vierde categorie opgelegd.
Figuur 6.8 Artikel 131 Sr: opruiing (i.w.tr. 01-05-1984)
Hij die in het openbaar, mondeling of bij geschrift of afbeelding, tot enig strafbaar
feit of tot gewelddadig optreden tegen het openbaar gezag opruit, wordt gestraft
met gevangenisstraf van ten hoogste vijf jaren of geldboete van de vierde categorie.
187
Zoals gezegd, vervalt volgens de Hoge Raad de strafbaarheid van een discriminatoire
uitlating indien deze bijdraagt aan het maatschappelijke debat. Ook
het feit dat het bewijs moeilijk te leveren is dat de verdachte de bedoeling heeft
gehad met de kwetsende uitlating publiekelijk een groep mensen te beledigen,
maakt volgens Van Stokkom e.a. vervolging weinig succesvol. Een bijkomende
moeilijkheid bij cyberhaatzaaien is dat het lastig is om Nederlandse burgers
te vervolgen die discriminatoire uitlatingen doen op buitenlandse websites
(De Meij, in Van Stokkom e.a., 2007; Nieuwboer, 2004). Nederland heeft op 23
november 2001 in Budapest het Cybercrimeverdrag (Convention on Cybercrime)
van de Raad van Europa ondertekend, waarin harmonisatie van het cyber -
crimestrafrecht, harmonisatie van strafvorderlijke bevoegdheden tot vergaring
van elektronisch bewijsmateriaal en het faciliteren van internationale
rechtshulp centraal staan, alsmede het Aanvullend Protocol in 2003, waarin

188 Verkenning cybercrime in Nederland 2009
racistische uitlatingen expliciet deel uitmaken van de aanpak van criminaliteit.
De vervolging blijft lastig door bijvoorbeeld de eis van dubbele strafbaarheid
(het feit waarvoor rechtshulp wordt aangevraagd, moet zowel in de
verzoekende als in de aangezochte staat strafbaar zijn gesteld) (Stokkom e.a.,
2007). In de Verenigde Staten worden bijvoorbeeld talloze buitenlandse hatesites
gehost. Eind jaren negentig betitelde het Simon Wiesenthal Centre meer
dan 2.300 websites die in Amerika wettelijk beschermd worden, als ‘problematisch’.
De Raad van Europa constateerde in 2002 dat van de 4.000 wereldwijde
xenofobische websites 2.500 onderdak vinden in de Verenigde Staten
(Van Stokkom, 2007). Deze situatie lijkt overeen te komen met de hosting van
websites met kinderpornografisch materiaal (Stol e.a., 2008). Of dat ligt aan
het First amendement of aan het feit dat er in de Verenigde Staten veel hostingproviders
zijn, en de situatie daar dus lastig is te controleren, is niet bekend.
Van Stokkom e.a. (2007) concluderen dat indien de huidige ‘haatepidemie’
op internet blijft voortduren, er een grotere behoefte zal komen om strafrechtelijk
in te grijpen. De onderzoekers constateren echter ook dat wetsvoorstellen
of wetswijzigingen die aan de uitingsvrijheid tornen, veel verontwaardiging
teweegbrengen. De tekst in de artikelen 147 en 147a Sr is bijvoorbeeld al
geruime tijd een dode letter, en de artikelen zullen vervallen, en de artikelen
137c-137e Sr worden als gevolg van uitspraken van de Hoge Raad restrictief
toegepast. Om toch te kunnen reageren op haatzaaiende uitingen zou volgens
Van Stokkom e.a. het bestaande instrumentarium effectiever moeten worden
benut. Het bestaande instrumentarium zou sterker kunnen worden gericht op
uitingen die in geen enkel opzicht als een zinnige bijdrage aan het publieke
debat kunnen worden aangemerkt. Het vervolgingsbeleid zou zich kunnen
richten op deze groep van duidelijk strafbare uitingen. Dat strookt ook volledig
met de richtlijnen van de Raad van Europa over hate speech (1997) en racism
and xenophobia in cyberspace (2001).
6.3 Verspreidingsvormen
Uit de cijfers van het Meldpunt Discriminatie Internet (MDI, 2008) kunnen we
afleiden dat haatzaaiende content in ieder geval wordt verspreid via spam,
websites, P2P-netwerken, nieuwsgroepen en chatkanalen (voor een beschrijving
hiervan zie par. 5.3).
We weten niet precies welk aandeel van de haatzaaiende content op internet
wordt verspreid via welke route, we weten wel dat de wijze waarop
de verspreiding loopt aan verandering onderhevig is. In de tien jaar dat het
Meldpunt Discriminatie Internet (MDI) bestaat, is er op het internet veel veranderd.
Het internet is gegroeid en ook het aantal meldingen van discrimi-

Haatzaaien
189
natoire uitingen (MDI, 2008). Uit de analyse van jaarverslagen van het MDI
(MDI, 2002, 2003, 2004, 2005, 2006, 2007) blijkt dat over de jaren heen de meeste
meldingen van uitingen betrekking hebben op websites. Hieronder vallen
ook weblogs en digitale discussieforums. Populaire weblogs waar mensen
kunnen reageren op berichten krijgen steeds meer te maken met haatzaaiende
reac ties (Eissens, 2004). Het aantal meldingen over nieuwsgroepen neemt
juist af en is in 2007 nihil (tabel 6.1). Hier is een tegenstelling met de verspreiding
van kinderpornografisch materiaal te zien (zie par. 5.3): daar neemt de
verspreiding via websites juist af. Een verklaring hiervoor is dat de verspreiders
van haatzaaiende teksten een zo groot mogelijk publiek willen bereiken
en nieuwe groepen mensen willen aanspreken met hun boodschap, en websites
tegenwoordig steeds vaker bezoekers de gelegenheid bieden om een eigen
boodschap toe te voegen (interactiever worden). Verspreiders van kinderporno
daarentegen willen weliswaar kinderpornoliefhebbers bereiken, maar
verder uit de publiciteit blijven.
Tabel 6.1 Meldingen van uitingen geregistreerd door het MDI
2002 2003 2004 2005* 2006 2007
tot. % tot. % tot. % tot. % tot. % tot. %
Website 548 30,5 490 32,8 1318 44,9 529 40,4 838 48,5 877 55,0
Webforums 899 50 555 37,1 574 43,5 444 33,9 265 15,3 383 24,2
Weblog - - - - 255 8,6 199 15,2 515 29,8 165 10,4
Nieuwsgroep 28 1,6 24 1,6 69 2,3 19 1,5 21 1,2 9 0,6
E-mail 197 11,0 190 12,7 503 17,1 44 3,4 16 0,9 48 3,0
Overig** 126 7,0 237 15,8 220 7,5 73 5,6 72 4,2 99 6,3
Totaal 1798 100,0 1496 100,0 2939 100,0 1308 100,0 1728 100,0 1581 100,0
* Het MDI heeft sinds 1 januari 2005 een nieuw registratiesysteem waarbij ‘unieke’ uitingen
worden geregistreerd, cijfers van voor en na 2005 kunnen niet worden vergeleken.
** Categorieën die hieronder vallen, zijn onder andere chat, IRC en video.
In het jaar 2004 is een forse stijging van het totaal aantal meldingen te zien
(MDI, 2005). Het MDI concludeert dat het jaar 2004 met de moord op Van Gogh
achteraf bezien een uitschieter is geweest. In de periode kort na de moord op
Van Gogh stond het internet bol van haatzaaiende uitingen, zowel van mensen
die van mening waren dat de islam een halt toegeroepen moest worden,
als mensen die hun vreugde uitten over de moord op Van Gogh en blij waren
dat de ‘jihad in Nederland’ was begonnen. Daarnaast was er in 2004 driemaal
sprake van op grote schaal verstuurde extreem-rechtse e-mails. Deze waren
verantwoordelijk voor enkele honderden meldingen (MDI, 2006).

190 Verkenning cybercrime in Nederland 2009
Per 1 januari 2005 heeft het MDI een nieuw registratiesysteem waarbij ‘unieke
uitingen’ worden geregistreerd. Het uitgangspunt is vanaf dan het aantal
unieke meldingen en niet het totaal aantal meldingen (over één uiting kunnen
immers meer meldingen zijn). Dit heeft als gevolg dat het aantal registraties
lager uitvalt dan voorheen en dat cijfers voor en na 1 januari 2005 niet kunnen
worden vergeleken.
Niet alleen maatschappelijke gebeurtenissen (zoals de moord op Theo van
Gogh) zijn van invloed, ook het ter beschikking komen van nieuwe faciliteiten
op internet speelt een rol. Nieuwsgroepen zijn volgens het MDI tegenwoordig
nog wel een ‘hangplek’ van veel internetgebruikers van vóór 2000
en discriminerende uitingen zijn er nog steeds aan de orde van de dag, maar
de post-2000 internetgebruiker (en ook de melders) bevinden zich meestal
op weblogs, webforums en ‘communities’ zoals Hyves (MDI, 2008). Reactiepagina’s
op nieuwssites, onlinecondoleanceregisters, webforums van scholen
of persoonlijke weblogs worden ook getroffen door discriminerende en extreme
uitingen. Ook populaire videoclipsites als YouTube staan bol van racisme,
oproepen tot geweld, jihad-recruitment en homohaat (MDI, 2007). Sommigen
weblogs lijken zich primair te richten op het beledigen en het doen van extreme
uitingen. Gebruikers op dit soort webforums of blogs uiten om het hardst
beledigingen, bedreigingen en haat tegen alles waar zij ‘tegen’ zijn of wat hen
irriteert (MDI, 2007).
Veranderingen in haatzaaien op internet kunnen dus hun oorsprong vinden
in maatschappelijke gebeurtenissen en in het beschikbaar komen van
nieuwe faciliteiten op internet. We hebben geen aanleiding om te veronderstellen
dat – zoals bij kinderporno wel het geval was – repressieve maatregelen
merkbaar invloed hebben op haatzaaien. Vrij toegankelijke plaatsen, zoals
websites, webforums en weblogs, zijn populaire locaties voor haatzaaiende
teksten; de afzenders zijn kennelijk niet al te beducht voor repressieve maatregelen.
6.4 Verbanden
Inleiding: over de analyse
In deze paragraaf gaan we op basis van de dossierstudie in op verbanden die
de cybercrime haatzaaien heeft met andere vormen van (cyber)crime. We bekijken
eerst onder welke titel de politie de haatzaaiendossiers heeft geregistreerd.
Daarna beschrijven we de verbanden met andere (cyber)criminaliteit
die we zelf tijdens de nadere analyse in de tekst van de dossiers tegenkwamen.
Ten slotte bekijken we welke wetsartikelen de politie aan het dossier
heeft toegekend.

Haatzaaien
191
De dossiers
In deze paragraaf gaan we in op verbanden die de cybercrime haatzaaien
heeft met andere vormen van (cyber)criminaliteit. Dit doen we op basis van
de resultaten van de dossierstudie. In eerste instantie selecteerden we 119 zaken.
Na nadere inhoudelijke analyse bleken 55 dossiers bruikbaar en 64 onbruikbaar.
Van de onbruikbare dossiers zijn er 24 alleen een melding (geen
aangifte), in 8 dossiers staat te weinig informatie om ze te kunnen analyseren
en in 32 dossiers was er geen sprake van de cybercrime haatzaaien. In die
laatste groep vallen bijvoorbeeld dossiers die betrekking hebben op groepen
voetbalsupporters die elkaar aan het opruien zijn of die betrekking hebben op
de belediging van individuen.
Ten tijde van de dossierstudie besloot het Openbaar Ministerie om Wilders
niet te vervolgen voor haatzaaien, omdat hij zijn uitspraken deed in een politieke
context en omdat ze bijdroegen aan het publieke debat. Derhalve hebben
we deze dossiers beoordeeld als niet-zijnde haatzaaien. Tijdens het schrijven
van de definitieve versie van dit rapport besloot het hof dat Wilders toch moet
worden vervolgd (art. 12-procedure). Deze gang van zaken geeft de moeilijkheid
van het onderwerp haatzaaien goed weer. Het is niet duidelijk wanneer
een uitspraak wel of niet haatzaaiend is. Er is nog te weinig jurisprudentie om
hierover eenduidige uitspraken te doen. Besloten is om de Wilderszaken niet
alsnog toe te voegen aan de analyse. Inmiddels was namelijk duidelijk dat
onze analyse zou gaan over een relatief klein aantal dossiers. De kenmerken
van de Wilderszaken zouden dan op het geheel een te groot stempel drukken.
Van de 55 bruikbare dossiers was uiteindelijk in 40 gevallen daadwerkelijk
sprake van de cybercrime haatzaaien. Onze analyse gaat over die 40 dossiers.
Onder welke titel (‘beschrijving’) staat het dossier geregistreerd?
Een eerste manier om te bepalen welke verschijningsvormen haatzaaien heeft
en of het dwarsverbanden heeft met andere cybercrimes is het analyseren van
de titels of de ‘beschrijvingen’ waaronder de dossiers in de politiesystemen
zijn geregistreerd. Ter toelichting het volgende. We selecteerden de dossiers
niet op de titel waaronder het dossier in de politieadministratie is opgenomen.
We selecteerden op de inhoud van het dossier. Welke titel of ‘beschrijving’ de
behandelend agent aan het desbetreffende dossier geeft, zegt iets over hoe
die agent naar de zaak kijkt: wat voor hem of haar de essentie van deze zaak
is. De agent moet tijdens het registreren de ‘beschrijving’ kiezen uit een vaste
lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen. Van de 40
dossiers staan er 21 in BPS, 12 in XPOL en 7 in GENESYS (tabel 6.2).

192 Verkenning cybercrime in Nederland 2009
Tabel 6.2 Titels (‘beschrijving’) waaronder de 40 haatzaaidossiers zijn geregistreerd
BPS
XPOL
Beschrijving n %
Discriminatie 15 71,4
Aantasting openbare orde 2 9,5
Belediging 2 9,5
Aantasting openbaar gezag 1 4,8
Voetbalwedstrijd 1 4,8
Totaal 21 100,0
Discriminatie 5 41,7
Bedreiging 3 25,0
Belediging 3 25,0
Afhandeling overige meldingen 1 8,3
Totaal 12 100,0
GENESYS
Discriminatie 4 57,1
Informatie verdachte omstandigheden 2 28,6
Verhoor ander korps 1 14,3
Totaal 7 100,0
TOTAAL
Discriminatie 24 60,0
Belediging 5 12,5
Bedreiging 3 7,5
Aantasting openbare orde/openbaar gezag 3 7,5
Voetbalwedstrijd 1 2,5
Overig 4 10,0
Totaal 40 100,0
De meeste dossiers haatzaaien staan onder de beschrijvingen ‘discriminatie’,
‘belediging’ of ‘bedreiging’ (80%). Op basis van de omschrijvingen zijn er
geen verbanden zichtbaar met de andere (cyber)crimes.
Verbanden blijkens de inhoudsanalyse
Dit beeld zien we terug in de dossierstudie. In 29 van de 40 dossiers (72,5%)
is er alleen sprake van de cybercrime haatzaaien en zijn er geen verbanden
met andere (cyber)criminaliteit. Het gaat in die 29 dossiers om discriminatie
en het aanzetten tot haat tegen bepaalde etnische groepen en homoseksuelen
(zie casus 6.1 en 6.2).

Haatzaaien
Casus 6.1 Aangifte van haatzaaien
‘Ik wil aangifte doen van discriminatie, belediging en bedreiging. Op [datum] las ik
in de [krant] een artikel over een islamitische anti-homosite, waarin een expliciete
oproep werd gedaan de Canal Pride tot doelwit van een aanslag te maken. Verder
wordt in het artikel gewezen op het feit dat de makers van de website het eens zijn
met het in elkaar slaan van een homoseksueel die enige maanden geleden in het
centrum van Amsterdam in elkaar is geslagen omdat hij hand in hand had gelopen
met zijn vriend. Ook worden directe beledigingen geuit naar vooraanstaande homoseksuelen.
Ik heb me direct afgevraagd of hier wel iets mee gedaan zou worden
en hoe het kon dat dit soort sites zomaar op het internet te bezoeken zijn.’
Casus 6.2 Aangifte van haatzaaien
‘Ik wens aangifte te doen van belediging en bedreiging van en aanzetten tot haat
tegen de joodse bevolkingsgroep via internet. Ik ben als commercieel bestuurslid
verbonden aan [stichting]. Onze stichting beheert een site op internet, genaamd
[website]. Op deze site is het voor mensen die willen deelnemen aan een forum
mogelijk zich met een naam en een bestaand e-mailadres te registreren en in te
loggen. In de nacht van 9 op 10 augustus 2006 werd er door diverse mensen op
onze site ingelogd. Er volgden op de site binnen korte tijd een aantal berichten van
diverse mensen waarin teksten voorkomen als “We moeten de joden doden”, “Joden
zijn kakkerlakken en kunnen makkelijk worden verdelgd als we kordaat optreden”.
Wij hebben het interactieve deel van onze site vijf dagen gesloten en de
site beveiligd. De site is nu weer in de lucht. Wij schrokken van deze berichten en
eigenlijk hebben wij niet eerder dit soort berichten ontvangen. In dit geval hebben
wij besloten aangifte te doen.’
193
In 11 dossiers is er een verband met andere (cyber)criminaliteit. We zien 8 keer
een verband met een andere cybercrime (tabel 6.3). In 4 dossiers is er naast
haatzaaien ook sprake van hacken (casus 6.3 en 6.4), in 3 dossiers zien we ook
cybersmaad, in 4 dossiers zagen we identiteitsdiefstal en ook zagen we haatzaaien
een keer samengaan met het vernietigen/beschadigen van gegevens.

194 Verkenning cybercrime in Nederland 2009
Tabel 6.3 Verbanden in de 40 dossiers haatzaaien met andere criminaliteit 7576
Andere (cyber)crime waarmee een verband is n % van 40 76
Cybercrimes in deze studie 4 10,0
Hacken 4 10,0
E-fraude 0 0,0
Cyberafpersen 0 0,0
Kinderporno 0 0,0
Overige cybercrimes 8 20,0
Vernietigen/beschadigen van gegevens 1 2,5
Smaad 3 7,5
Identiteitsdiefstal 4 10,0
Offline criminaliteit 1 2,5
Kinderpornografisch materiaal (niet op ICT) 1 2,5
Geen verband met andere (cyber)crime 29 70,0
In één dossier gaat de cybercrime haatzaaien samen met een traditioneel delict,
namelijk het in bezit hebben van kinderpornografisch materiaal (niet op
ICT). Het gaat om een verdachte die via MSN en webforums radicale ideeën
verspreidt en bij wie tijdens een huiszoeking kinderpornografisch materiaal
wordt aangetroffen. Dat laatste lijkt vooralsnog een toevallige samenloop.
Dat haatzaaien soms samengaat met hacken en smaad, ligt meer in de lijn
der verwachting. Smaad is een uitingsdelict in dezelfde sfeer als haatzaaien
(maar dan gericht op een specifiek persoon), en hacken kan voorafgaan aan
het plaatsen van een haatzaaiende tekst, of een verdachte kan claimen dat zijn
site is gehackt en dat anderen de gewraakte tekst hebben geplaatst. Tegelijk
zien we dat aan verreweg de meeste delicten geen hacken te pas komt.
75 We selecteerden de verschillende vormen van (cyber)criminaliteit in de kinderpornodossiers
op basis van de definities die we vooraf opstelden (zie het analysekader in bijlage
10) en niet op de wetsartikelen die in de dossiers zijn opgenomen.
76 Doordat in één dossier zowel verbanden met cybercrimes uit deze studie als overige (cyber)
crimes voor kunnen komen, is het totaal meer dan 100%.

Haatzaaien
Casus 6.3 Haatzaaien en hacken
‘Afgelopen week zijn er veel problemen geweest op school, omdat via een “partypeepadres”
diverse beledigende en discriminerende teksten zijn gepubliceerd op
internet. Vooral het woord kanker en allerlei bevolkingsgroepen worden genoemd.
Volgens het account zou dit moeten zijn verstuurd door SO. SO gaf op school echter
aan dat zij hier niet voor verantwoordelijk is geweest. Volgens SO zou VE1 haar
gebruikersnaam en wachtwoord hebben. Toen zij hierover doorgezaagd werd, gaf
ook zij niet thuis. Door vader en moeder van SO werd VE1 echter als dader gezien
van de uitlatingen. Gevolg was wel dat diverse allochtonen op school SO verantwoordelijk
hebben gehouden voor de scheldpartij cq discriminatie, waarop zij op
school diverse keren is lastig gevallen, danwel bedreigd. In de afgelopen week is
rapporteur diverse keren op school geweest om met verschillende leerlingen te
praten. Hierbij is ook aangegeven dat we zonodig computers in beslag zouden nemen.
Dit heeft vandaag geresulteerd in een leerlinge die is komen doorgeven dat
zij een wachtwoord gehacked had. Betreft VE2, zelf van allochtoonse afkomst. Zij
heeft verteld dit te hebben gedaan omdat zij een hekel heeft aan SO.
Op dit moment blijven er een aantal strafrechtelijke zaken over. De belediging van
een aantal allochtone bevolkingsgroepen via internet. Gekeken gaat worden of
hiervan aangifte wordt gedaan. En de bedreiging van SO. Moeder van haar zal
benaderd worden voor het doen van aangifte.’
Casus 6.4 Haatzaaiende teksten op website met behulp van hacken
‘VE1 verklaarde ons dat hij de foto’s en teksten inderdaad gezien had op zijn site
maar deze er niet zelf heeft opgezet. Hij verklaarde dat hij op gegeven moment
niet meer kon inloggen en via een vriend zijn site heeft geopend. Hij zag toen dat
de provider de foto’s en teksten verwijderd had en dat hij een nieuw wachtwoord
kon instellen. Volgens VE1 is zijn site gehackt mede omdat hij een makkelijk wachtwoord
had ingesteld.
U vraagt mij hoe deze teksten op mijn site zijn gekomen. Ik weet het niet. Ik heb
die teksten er niet op gezet. Het zou kunnen dat anderen deze teksten hebben geplaatst.
Ik heb wel gezien dat op mijn site afbeeldingen en teksten stonden, zoals:
“hakenkruis op de plattegrond van Nederland”, “foto van Adolf Hitler”, “foto van
Bin Laden”, “afbeelding van een Duitse adelaar”, “foto van Ku Klux Klan”, “een gedicht
met de teksten die te maken hebben dat ons ras nooit mag vergaan”.
Kennelijk hebben onbekenden deze teksten geplaatst op mijn site. ik heb die teksten
niet geplaatst. Door de provider is mijn site niet meer toegankelijk gemaakt.
Zij hebben de teksten verwijderd en ook moest ik van de provider een ander wachtwoord
gebruiken. Ik heb zeker geen teksten geplaatst die discriminerend zijn. Dit
hebben anderen gedaan. Ik weet nog steeds niet wie dat heeft gedaan. Ik heb nooit
discriminerende teksten geplaatst op het internet.’
195

196 Verkenning cybercrime in Nederland 2009
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?
In 30 van de 40 dossiers stelden we vast welke wetsartikelen de politie daar
heeft vermeld. De meest voorkomende wetsartikelen zijn de discriminatiebepalingen:
artikel 137c, 137d, 137e, 137f en 137g Sr (zie tabel 6.4). Daarnaast is
sprake van verschillende uitingsdelicten die in dezelfde sfeer liggen als haatzaaien:
belediging, bedreiging, laster. Slechts in één geval is sprake van een
wetsartikel dat wijst op een delict met een ander karakter: kinderpornografie.
Verdachten van haatzaaien zijn kennelijk geen criminele generalisten.
Tabel 6.4 Wetsartikelen in 30 dossiers haatzaaien 77
Artikel Omschrijving n % van 30
137c Sr Belediging van een groep mensen 19 63,3
137d Sr Aanzetten tot discriminatie 17 56,6
137e Sr Verspreiding discriminatie uitlating 10 33,3
266 Sr Eenvoudige belediging 6 20,0
137f Sr Steunverlening discriminatie 5 16,7
261/267 Sr Belediging 5 16,7
137g Sr Discriminatie bij ambtsuitoefening 4 13,3
285 Sr Bedreiging 3 10,0
240b Sr Kinderpornografie 1 3,3
262 Sr Laster 1 3,3
271 Sr Verspreiding van beledigend geschrift 1 3,3
429quater Sr Discriminatie in uitvoering ambt 1 3,3
Totaal 73 *
* Is niet gelijk aan 100, want een dossier kan meerdere wetsartikelen bevatten.
Samengevat
We zochten in de haatzaaidossiers op drie manieren naar dwarsverbanden
tussen hacken en andere delicten:
1. we keken onder welke titel of beschrijving politiemensen het dossier registreerden;
2. we bestudeerden de inhoud van de dossiers;
3. we keken naar welke wetsartikelen de politie aan de dossiers koppelde.
Haatzaaien vertoont meestal geen verband met andere delicten. Is dat wel het
geval, dan gaat het om andere uitingsdelicten die in dezelfde sfeer liggen, zoals
belediging, smaad, bedreiging, laster. In enkele gevallen is sprake van een
verband met hacken.
77 In één dossier kunnen meerdere artikelen voorkomen.

Haatzaaien
6.5 Daderkenmerken uit de literatuur
197
In deze paragraaf beschrijven we daderkenmerken van haatzaaiers aan de
hand van de literatuur. In paragraaf 6.6 behandelen we de resultaten van de
dossieranalyse en vergelijken we de resultaten daaruit met die uit de literatuur.
We brengen hier in herinnering de kanttekeningen die we in het eerste
hoofdstuk plaatsten bij het opstellen van daderkenmerken (par. 1.4 onder ‘beperkingen
van de methoden’).
Uit het jaarverslag van het MDI blijkt dat de meeste bij het MDI binnengekomen
meldingen van uitingen (84%) op Nederlandse locaties staan, dat
wil zeggen op websites die in Nederland worden gehost, waarvan het beheer
in Nederland huist, of waarvan de domeinnaamregistratie naar Nederland
verwijst (MDI, 2007). Hieruit kunnen we echter niet zonder meer concluderen
dat de uitingen ook daadwerkelijk zijn gedaan door mensen die woonachtig
zijn in Nederland, internet is immers een mondiaal medium. Van der Hulst
en Neve (2008) merken op dat er een onderscheid kan worden gemaakt tussen
georganiseerde haatgroepen en informele netwerken waarin individuen
elkaar op virtuele ontmoetingsplaatsen uitschelden en bedreigen.
De meeste daders van haatzaaien opereren volgens Van Stokkom e.a. (2007)
in groepen. Er kunnen leiders, meelopers en tegenspartelende participanten
worden onderscheiden (Levin & McDevitt, 2002). Het onderliggende motief
is bijna altijd fanatieke haat, en in veel gevallen het verlangen een zondebok
aan te wijzen (Hall, 2005). Vrijwel alle radicale groeperingen en personen met
extreme opvattingen maken intensief gebruik van websites en chatboxen
om propaganda te voeren, opponenten te bedreigen en te provoceren en op
te roepen tot geweld (Van Stokkom e.a., 2007). Van Donselaar en Rodrigues
(2004) schatten het aantal extreem-rechtse internetforums in Nederland op
ongeveer vijftien. De belangrijkste zijn Polinco, Stormfront en Holland Hardcore.
Op die forums worden ontelbare racistische uitlatingen gedaan en wordt
amper gemodereerd (het weghalen van reacties die niet door de beugel kunnen).
Hoeveel jihadistische sites er zijn, is niet precies bekend. Wel is volgens
Van Stokkom e.a. waar te nemen dat veel van dergelijke sites op professionele
wijze opereren. De Koster en Houtman (2006) deden onderzoek naar het extreem-rechtse
webforum van Stormfront. De onderzoekers maakten daarbij
gebruik van een inhoudsanalyse van berichten en vulden deze aan met een
aantal diepte-interviews met regelmatige bezoekers van het forum. De Koster
en Houtman (2006, p. 244) concluderen dat ‘participatie binnen Stormfront
kan worden begrepen als een reactie op de ervaring van sociale weerstand
wegens een deviante identiteit – als een reactie op stigmatisering dus’. En dat
‘veel leden van Stormfront precies om deze reden actief binnen Stormfront
zijn: zij beschouwen zichzelf als een “bedreigde soort” en ervaren Stormfront

198 Verkenning cybercrime in Nederland 2009
als een virtuele gemeenschap waarbinnen zij hun toevlucht kunnen zoeken’
(De Koster & Houtman, 2006).
Naast deze georganiseerde haatgroepen zijn er ook meer informele netwerken
op het internet. Door de, door internetters gevoelde, anonimiteit van het
internet is sprake van een verharding en het aantal haatuitingen op internet
is de laatste jaren flink toegenomen (Van der Hulst & Neve, 2008). Veel discussieforums
zijn ontaard in ‘vrijplaatsen’ waar de participanten elkaar diep
beledigen, belasteren en met de dood bedreigen (Van Stokkom, 2007). Na de
moord op Fortuyn werden discussieforums overspoeld met venijnige scheldpartijen
en racistische uitlatingen. Het Algemeen Dagblad was hier niet tegen
opgewassen en moest haar discussiesite (tijdelijk) sluiten (Benschop, 2005).
Zoals in de inleiding al is vermeld, zijn op internetsites met een Marokkaanse
en/of islamitische achtergrond de laatste jaren veel politici en opiniemakers
het mikpunt geweest van anonieme scheldkanonnades en bedreigingen
(Van Stokkom e.a, 2007). Overigens volgt uit onderzoek van Mann e.a.
(2003, in Van der Hulst & Neve, 2008) naar racistische haatgroepen op het internet
dat een relatief kleine kern een groot gedeelte van de discussies op de
webforums domineert: 1% van de bezoekers is verantwoordelijk voor maar
liefst 45% van alle berichten (en 10% van de bezoekers zelfs voor 83% van alle
berichten).
Haatzaaien kan dus zowel individueel als in groepsverband plaatsvinden.
Levin en McDevitt (in Mann e.a., 2003; Van der Hulst & Neve, 2008; Van Stokkom
e.a., 2007) onderscheiden vier motieven voor haatzaaien:
– Voor de lol. Hate crimes worden voornamelijk gepleegd door jongeren. In
66% van de gevallen was het motief spanning en opwinding en de verdachten
voelen zich dan ook vaak verveeld en hebben behoefte aan ontlading.
Het gaat in de meeste gevallen om bekladding, vernieling en vandalisme,
hoewel geweld binnen deze groep ook voorkomt. Haatmisdrijven
zijn een machtsmiddel om relatieve onmacht te maskeren en zijn in veel
opzichten ‘kunstmatig’ te noemen. Overigens gaan in de meeste gevallen
de verdachten ongeorganiseerd te werk en hebben deze verdachten een
onvolwassen verlangen om macht ten toon te stellen en het eigen gevoel
van zelfachting ten koste van anderen te vergroten. In de meeste gevallen
(91%) wordt een slachtoffer op basis van zijn of haar ‘anders zijn’ geselecteerd.
Het merendeel van de hate crimes is onpersoonlijk en de slachtoffers
zijn willekeurig en inwisselbaar, de meeste daders zijn niet of nauwelijks
overtuigd van de gebezigde vooroordelen of stereotypen, maar proberen
binnen hun vriendenkring een hoger aanzien af te dwingen.
– Als waarschuwingssignaal. In een kwart van de onderzochte gevallen voelt
de verdachte zich bedreigd en wil deze zijn territorium verdedigen ten opzichte
van indringers. Nieuwkomers of outsiders beschikken volgens de

Haatzaaien
199
verdachten niet over dezelfde rechten en ze gebruiken geweld en intimidatie
om dat duidelijk te maken. Veelal hebben de verdachten antecedenten,
met name in de sfeer van mishandeling en intimidatie, en voelen zij
weinig schuld omdat het gedrag als rechtvaardig wordt beschouwd.
– Als vergeldingsactie. Een bepaald misdrijf dat gericht was tegen de eigen
groep wordt gewroken op willekeurige andere personen. Dit vindt meestal
plaats in de context van sociale spanningen. Dit type misdrijven heeft
de potentie om een escalatie van geweld te bewerkstelligen. Voorbeelden
hiervan zijn de reacties na de terroristische aanslagen en de moord op
Theo van Gogh, maar ook de rellen in het Engelse Lozell in 2005; een gerucht
over een verkrachting van een veertienjarig Afrikaans meisje door
een groep Aziatische jongeren zorgde voor een periode van spanningen
tussen deze twee groepen jongeren, die uiteindelijk leidden tot grote rellen
(Towsend, 2005, behandeld in Department of Criminology, 2007).
– Als missie. Extremisten die overtuigd zijn van hun zaak. Paranoïde, hallucinerende
en sterk geïsoleerd levende mensen die geloven dat de objecten
van haat het ‘summum van kwaad’ zijn en een gevaarlijke samenzwering
vormen, en daarom uitgeroeid moeten worden. Ze denken meestal dat een
hogere macht, meestal een God, hun een opdracht heeft gegeven en de verdachten
hebben dan ook een gevoel van urgentie inzake hun missie. Dit is
echter maar een relatief kleine groep – minder dan 1% van het totaal aantal
daders.
Volgens Van Stokkom e.a. (2007) zijn de motieven van Levin en McDevitt zeer
herkenbaar. Haatuitingen op internet zijn overwegend afkomstig van jonge
‘thrillzoekers’ en uitingen zijn imitatiegevoelig, doordat de media nadrukkelijk
worden gezocht en gehaald. In figuur 6.9 en 6.10 staan daderkenmerken
van rechts-radicalen en islamitisch radicalisten beschreven zoals opgesteld
door Van der Hulst en Neve (2008). Hoewel deze kenmerken niet specifiek
gelden voor haatzaaiers op internet, presenteren we de kenmerken hier wel,
aangezien rechts-radicale en islamitisch radicale groepen beide een rol spelen
bij haatzaaien op het internet.

200 Verkenning cybercrime in Nederland 2009
Figuur 6.9 Daderkenmerken rechts-radicalisme (Van der Hulst & Neve, 2008)
Sociaal-demografische kenmerken: blank, tussen de 15 en 24 jaar, gebrekkig toekomstperspectief,
variabel opleidingsniveau, van school gestuurd of baan kwijtgeraakt.
(Technische) kennis en vaardigheden: geen bijzonderheden bekend.
Primaire motivatie: ideologie is levensstijl (men wil niet in de maatschappij/gevestigde
orde meedraaien).
Sociaal-psychologisch profiel: provocerend in gedrag (uitspraken, symbolen), geïnteresseerd
in Nederlandse en Duitse geschiedenis, Tweede Wereldoorlog en militarisme,
ziet zichzelf als strijder en redder van het blanke volk, gebrek aan ouderlijke
supervisie, houdt zich op in groepen (drugs, alcohol en vechten op straat),
bestudeert ingewikkelde teksten en opvattingen.
Criminele carrière: geen bijzonderheden bekend.
Figuur 6.10 Daderkenmerken islamitisch radicalisme (Van der Hulst & Neve, 2008)
Sociaal-demografische kenmerken: jongeren onder de 20 jaar, geboren en getogen in
Europa (home-grown), kind van migranten met islamitische achtergrond (Noord-
Afrika, Pakistan).
(Technische) kennis en vaardigheden: intelligent, belezen, maar geen goede beheersing
Arabische taal, actieve internetgebruikers (MSN, discussieforums, websites), trainingservaring.
Primaire motivatie: op zoek naar identiteit, behoefte aan aandacht en zelfbevestiging,
politiek-religieus (fixatie op de puriteinse islam), gefrustreerd over de maatschappelijke
positie van moslims.
Sociaal-psychologisch profiel: fluïde netwerken door sociale affiliatie (religie, familie,
vriendschap, trainingservaringen), eclectisch gebruik van klassieke geschriften
en opvattingen, verzamelt selectief informatie en verwerkt dit tot eigen ideologie
(‘knip-en-plak-radicalisme’).
Criminele carrière: geen bijzonderheden bekend.
6.6 Verdachtenkenmerken uit de dossierstudie
In deze paragraaf beschrijven we de resultaten van de dossieranalyse. Aan
bod komen de modus operandi, persoonskenmerken, sociale achtergrond en
antecedenten van de verdachten van haatzaaien. Aan het einde van deze paragraaf
bespreken we overeenkomsten en verschillen tussen de literatuur en
de praktijk in Nederland.

Haatzaaien
201
De modus operandi
Om een beeld te krijgen van de modus operandi bij haatzaaien hebben we (1)
een analyse gemaakt van de MO zoals die door politiemedewerkers in het
politiedossier is vastgelegd, (2) gekeken naar gebruikte criminele technieken
en voorbereidingshandelingen die in het dossier worden genoemd, (3) vastgesteld
vanuit welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel
al dan niet samenwerkende verdachten in het dossier staan vermeld.
Tabel 6.5 MO-beschrijvingen in 17 haatzaaiendossiers 78
MO beschrijving n*
In BPS (N=17)
Computer of pc 7
Woning 5
Universiteit, school of opleidingscentrum 4
Beledigen 4
Discriminatie 2
In XPOL (N=0)
In GENESYS (N=0)
TOTAAL (n=17)
Computer of pc 7
Woning 5
Universiteit, school of opleidingscentrum 4
Beledigen 4
Discriminatie 2
* Omdat er te weinig MO-beschrijvingen in de dossiers staan, percenteren we niet. Voor de volledigheid
melden we hier nog dat er in een dossier meerdere MO’s kunnen zijn geregistreerd en
dat we MO-beschrijvingen die niet vaak voorkomen niet in de tabel hebben opgenomen, zie ook
de methodische verantwoording in hoofdstuk 1.
(1) In de meeste dossiers (57,5%) staat geen MO (tabel 6.5). Voor zover er wel
MO’s staan, gaan deze vooral over de pleegplaats van het delict, bijvoorbeeld
‘woning’ of ‘universiteit’. Dan zien we nog als MO ‘beledigen’, ‘discriminatie’
en ‘overig’. Afgaande op deze analyse gaat haatzaaien dus niet gepaard met
een specifieke MO. In de regel plaatst de dader eenvoudig zijn tekst op een
website, webforum of weblog (zie par. 6.3).
78 Per dossier zijn meerdere MO’s mogelijk.

202 Verkenning cybercrime in Nederland 2009
(2) In geen van de dossiers maken verdachten gebruik van cybercriminele
technieken. In slechts een klein aantal dossiers treft een verdachte voorbereidingshandelingen.
Het gaat dan om het achterhalen van wachtwoorden om te
hacken, het opzetten van een website en het vervaardigen van een spotprent.
(3) We zochten naar informatie over vanuit welk land de dader opereerde. In
alle gevallen bevatte het dossier informatie daarover. In de meeste dossiers
(97,1%) is het delict vanuit Nederland gepleegd. Eenmaal is het delict vanuit België
gepleegd. In 5 dossiers is het onbekend van waaruit het delict is gepleegd. In
een van deze dossiers is bekend dat de server van de website in Amerika staat.
(4) In 33 van de 40 dossiers (82,5%) is sprake van verdachten, 48 in totaal. In 26
dossiers (65%) van de dossiers is er één verdachte, in de andere dossiers zijn er
twee tot zeven verdachten. In geen van de dossiers zijn de verdachten onderdeel
van een groep, er is ook geen sprake van georganiseerde misdaad. In een aantal
dossiers hebben verdachten berichten gepost op een extremistische website.
In die gevallen zien we de verdachte als individu en niet als onderdeel van de
georganiseerde groepering rondom de website. Slechts éénmaal was niet een
natuurlijke persoon aangemerkt als verdachte. Het ging om een weblog waarop
bezoekers haatzaaiende reacties op een artikel hadden geplaatst.
Persoonskenmerken
Van 43 van de 48 verdachten weten we het geboorteland. Het merendeel van
de verdachten (86%) is geboren in Nederland (tabel 6.6). Andere verdachten
zijn geboren in Marokko (2), Turkije (2), Suriname (1) en Colombia (1).
Tabel 6.6 Geboorteland van 43 verdachten
Geboorteland n %
Nederland 37 86,0
Ander Europees land 0 0,0
Buiten Europa 6 14,0
Totaal 43 100,0
Het grootste deel van deze groep verdachten is van het mannelijke geslacht
(86%; tabel 6.7). Dat verschilt niet significant van het overeenkomstige percentage
voor de gemiddelde Nederlandse verdachte. Wel is het percentage
mannen onder de verdachten voor haatzaaien significant hoger dan het percentage
mannen onder de Nederlandse bevolking (waar de verdeling tussen
man en vrouw ongeveer gelijk is) (p

Haatzaaien
Tabel 6.7 Geslacht van 43 verdachten
Verdachten
Nederlandse
Nederlandse
haatzaaien
verdachten#
bevolking##
Geslacht n % n % n %
Man 37 * 86,0 202.698 82,9 8.157.074 49,5
Vrouw 6 * 14,0 41.777 17,1 8.329.513 50,5
Totaal 43 100,0 244.475 100,0 16.486.587 100,0
# Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008).
## Bron: www.cbs.nl, peiljaar 2009.
* Significant verschil met Nederlandse bevolking (p

204 Verkenning cybercrime in Nederland 2009
Kortom, verdachten van haatzaaien zijn overwegend van het mannelijke geslacht
en zijn overwegend in Nederland geboren. Tot zover niets bijzonders.
Verdachten voor haatzaaien zijn relatief jong, nog meer dan al het geval is bij
‘de gemiddelde verdachte in HKS’. Een accent ligt op de groep van kinderen
van 12-17 jaar, terwijl de groep van 35 jaar en ouder is ondervertegenwoordigd.
Dat houdt verband met het soort zaken in de politiedossiers. Het gaat
in de dossiers met minderjarige verdachten vaak om een impulsieve reactie
van de verdachte, vaak in de vorm van een haatzaaiende post op een website.
Zo zien we in een dossier bijvoorbeeld een impulsieve wraakactie van een
verdachte, omdat zijn vriend, naar eigen zeggen, in elkaar geslagen was door
Marokkanen. De verdachte was hier boos over en postte vervolgens opruiende
berichten op een website waarin hij oproept tot geweld tegen buitenlanders.
Sociale achtergrond
Op basis van de dossiers kunnen we weinig zeggen over de sociale achtergrond
van de verdachten. Daarvoor staat er te weinig in de politiedossiers
over bijvoorbeeld de burgerlijke staat, woonsituatie, opleiding en arbeidssituatie.
Verder kunnen we op basis van de dossiers niets zeggen over de technische
vaardigheden of computervaardigheden van de verdachten; ook over de
relatie tussen dader en slachtoffer hebben we te weinig gegevens voor goed
onderbouwde uitspraken.
Van 27 verdachten weten we de primaire motivatie (tabel 6.9). Meestal is
het wraak (9) of status/zichzelf bewijzen (5). Ook motieven van ideologische
(4) en nationalistische (4) aard kwamen herhaaldelijk voor bij deze groep verdachten
(zie casus 6.5 en 6.6).
Tabel 6.9 Primaire motivatie van 27 verdachten haatzaaien
Primaire motivatie n %
Wraak 9 33,3
Status/zichzelf bewijzen 5 18,5
(Politiek-)ideologisch 4 14,8
Nationalistisch 4 14,8
Sensatie/media-aandacht 2 7,4
(Intellectuele) uitdaging 1 3,7
Discussie doen oplaaien 1 3,7
Nieuwsgierigheid 1 3,7

Haatzaaien
205
Bij haatzaaien is maatschappelijk relevant om te weten ‘uit welke hoek de
wind waait’. We hebben niet systematisch bijgehouden op welk deel van de
bevolking de verdachten het voorzien hadden (dus of verdachten met name
rechts-extremisten of juist fundamentalistische moslims zijn). Wel maakten
we van elk dossier een korte samenvatting. Uit deze samenvattingen blijkt
dat het in de meeste dossiers gaat over verdachten met rechts-extremistische
ideeën die het met name voorzien hebben op ‘de buitenlanders’ en ‘de allochtonen’.
Verder doen verdachten in een aantal dossiers antisemitische uitspraken
en in enkele dossiers werden homoseksuelen gediscrimineerd.
De meeste dossiers gaan dus over rechts-extremistische verdachten die het
met name voorzien hebben op ‘de buitenlanders’ en ‘de allochtonen’. In een
aantal gevallen gaat het om post in forums van bekende rechts-extremistische
websites. Maar we zien ook een verdachte die na het verbreken van haar
relatie met een buitenlandse jongen een website host waar kwetsende en discriminerende
uitingen over allochtonen gepubliceerd worden. Er werden ook
stukken door derden opgestuurd en gepubliceerd. Een ander voorbeeld is
een verdachte die, naar eigen zeggen, in een dronken bui beledigende teksten
heeft gepost in een nieuwsgroep, omdat hij gefrustreerd is door Marokkaanse
jeugd in zijn buurt. De dag na dit incident heeft hij zijn excuus in dezelfde
nieuwsgroep geplaatst (casus 6.5).
Casus 6.5 Motief is wraak
‘U leest mij een tekst voor en vraagt of ik deze uiting gemaakt en verzonden heb.
Ja, dat heb ik in een heel dom moment verzonden. Ik was ontzettend gefrustreerd
in Amsterdam West waar ik woonde. Ik werd op straat lastig gevallen, mijn autoradio
was drie keer gestolen. Ik werd dagelijks geconfronteerd op het station met
de slechte situatie daar. Ik was al die mannetjes spuug en spuug zat. Ik ben een
zachtaardig mens en zal nooit geweld gebruiken. Ik moest toch mij uiten en in een
dronken bui heb ik dit geschreven. De volgende dag dacht ik wat heb ik gedaan
maar het was niet meer terug te draaien. Ik heb mij toen in de nieuwsgroep verontschuldigd.
Ik heb gezegd dat het mij speet en dat het niet mijn bedoeling was om
mensen te kwetsen.
U vraagt mij met welk doel ik deze uiting gemaakt en verzonden heb. Dat kwam
voort uit frustratie. Ik werd gekweld in mijn leven door groepen jonge Marokkanen.
Ik was op dat moment alleenstaand en kon met niemand praten. Ik werd ook
door een groep Marokkanen bedreigd. Ik wist geen andere mogelijkheid dan het
internet te zoeken.’

206 Verkenning cybercrime in Nederland 2009
Casus 6.6 Motief nationalistisch
‘Naar aanleiding van de mishandeling/openlijke geweldpleging werd onderzoek
ingesteld en daarbij kwam naar voren dat dit feit mogelijk te maken had met rivaliserende
groepen (aan de ene kant “Lonsdale”-jongeren en aan de andere kant
allochtone jongeren uit België). Gedurende dit onderzoek kwam informatie naar
voren inzake mogelijke opruiing dan wel discriminatie via internet. Via MSN Messenger
blijken er tal van contacten te zijn van lieden die zich richten op c.q. oproepen
tot een vechtpartij en ook het woord oorlog wordt gebruikt. Er lijkt ook een
connectie met eerder genoemde site van [website] waarin wordt beloofd dat er alles
aan gedaan zal worden om [provincie] negervrij te maken.’
Antecedenten
Van 40 verdachten uit de haatzaaiendossiers hadden we voldoende gegevens
om antecedenten op te vragen. We hebben opgevraagd in welke hoofdgroepen
van delicten (tabel 6.10) zij staan vermeld en voor welke artikelen die verband
houden met de cybercrimes uit deze VCN2009 zij antecedenten hebben. 79
Tabel 6.10 Antecedenten van 40 verdachten van haatzaaien en van Nederlanders
van 12 jaar en ouder (n=14 mlj.): vermeldingen per hoofdgroep 80
Hoofdgroep Verdachten haatzaaien Nederlanders 12+ 80
n % van 40 n % van 13.998.504
Gewelddadig seksueel 1 * 2,5 1.896 0,014
Overig seksueel 0 0,0 2.400 0,017
Geweld tegen personen 11 * 27,5 64.914 0,464
Vermogen met geweld 2 * 5,0 6.622 0,047
Vermogen zonder geweld 4 * 10,0 67.689 0,484
Vernieling/openbare orde 23 * 57,5 49.379 0,353
Verkeer 2 * 5,0 62.756 0,448
Drugs 0 0,0 19.132 0,137
Overige 12 * 30,0 23.811 1,170
Eén of meer van bovenstaande
hoofdgroepen
30 * 75,0 2.444.475 1,746
* Significant verschil met Nederlanders 12+ (p

Haatzaaien
207
Van de 40 verdachten hebben er 30 (75%) een of meer vermeldingen in een
hoofdgroep, in totaal 55 vermeldingen. Elke vermelding in een hoofdgroep
kan weer meerdere antecedenten inhouden. De vermeldingen zijn verspreid
over de verschillende hoofdgroepen. De meeste vallen onder de hoofdgroepen
‘vernieling openbare orde’ (23), ‘overige’ (12) en ‘geweld tegen personen’
(11) – groepen waarin ook de gemiddelde Nederlander relatief vaak antecedenten
heeft (tabel 6.10).
Er zijn 30 verdachten met antecedenten en daarvan zijn er 21 met antecedenten
die vallen onder artikelen die mogelijk verband houden met de cybercrimes
uit deze VCN2009. In totaal hebben 20 verdachten antecedenten die
vallen onder haatzaaien. De meeste daarvan vallen onder artikel 137c Sr (belediging
van een groep mensen) en artikel 137d Sr (aanzetten tot discriminatie)
(tabel 6.11). Daarnaast is er 1 verdachte met een antecedent dat valt onder
fraude, 1 verdachte heeft een antecedent voor hacken (art. 138a Sr) en 1 voor
kinderporno (art. 240b Sr).
Tabel 6.11 Antecedenten van 21 verdachten van haatzaaien voor artikelen die (mogelijk)
verband houden met de cybercrimes in deze VCN2009
Aantal verdachten met antecedenten hacken 1
Artikel 138a Sr (computervredebreuk) 1
Aantal verdachten met antecedenten mogelijk i.r.t. fraude 1
Artikel 225 Sr (valsheid in geschrifte) 1
Aantal verdachten met antecedenten mogelijk i.r.t. cyberafpersen 0
Aantal verdachten met antecedenten mogelijk i.r.t. kinderporno 1
Artikel 240b Sr (kinderporno) 1
Aantal verdachten met antecedenten mogelijk i.r.t. haatzaaien 20
Artikel 137c Sr (belediging van een groep mensen) 14
Artikel 137d Sr (aanzetten tot discriminatie) 10
Artikel 137e Sr (verspreiding discriminatie-uitlating) 6
Artikel 137f Sr (steunverlening discriminatie) 3
Artikel 131 Sr (opruiing) 4

208 Verkenning cybercrime in Nederland 2009
We zien dat 75% van de 40 verdachten van haatzaaien antecedenten heeft.
De helft van de verdachten heeft antecedenten voor haatzaaien. Hoogstwaarschijnlijk
is deze uitkomst in elk geval deels veroorzaakt doordat we bij het
opvragen van antecedenten een ‘hit’ kregen op basis van het dossier dat wij
in handen hadden. Het ging immers, vanwege gebrek aan recent materiaal,
vaak om oude dossiers en daarom was het delict uit dit dossier mogelijk al
opgenomen in HKS. 81
Conclusies
Uit de literatuur blijkt dat het merendeel van de meldingen van haatzaaiende
of discriminerende uitingen over Nederlandse sites gaan, wat overigens niet
wil zeggen dat de uiting ook vanuit Nederland is gedaan. Daders van haatzaaien
opereren, aldus de literatuur, in groepen die middels websites en chatkanalen
discrimineren en oproepen tot geweld, en in informele netwerken
op internet. De laatste categorie daders doet haatuitingen op discussieforums
en weblogs. Er worden vier motieven onderscheiden: voor de lol (verveling,
spanning en opwinding), als waarschuwingssignaal (verdachten voelen zich
bedreigd door nieuwkomers en willen hun territorium verdedigen), als vergeldingsactie
(veelal in de context van maatschappelijke spanningen) en als
missie (door extremisten die overtuigd zijn van hun gelijk).
Uit de dossierstudie blijkt dat het merendeel van de delicten vanuit Nederland
gepleegd wordt en dat er geen sprake is van georganiseerde criminaliteit.
Verdachten opereren alleen. In een aantal dossiers hebben verdachten
berichten gepost op een extremistische website, maar zij pleegden het delict
als individu. Criminele technieken worden niet gebruikt en verdachten verrichtten
in slechts enkele gevallen voorbereidingshandelingen (en in die gevallen
ging het om hacken en het vervaardigen van een website en spotprent).
Verdachten zijn meestal man en geboren in Nederland (andere landen zijn
Marokko, Turkije, Suriname en Colombia). Qua leeftijd ligt een accent op de
groep van 12-17 jaar, terwijl de groep van 35 jaar en ouder is ondervertegenwoordigd.
In het geval van de minderjarige verdachten zien we dat het vaak
gaat om een impulsieve reactie in de vorm van een haatzaaiende post op een
website. De primaire motivatie van de verdachten is veelal wraak. Andere
motieven zijn ideologisch/nationalistisch en sensatie.
Verdachten van haatzaaien hebben vaker antecedenten dan de gemiddelde
Nederlander. Dat komt vermoedelijk doordat het overwegend gaat om mannen
en om naar verhouding jonge personen – en jonge mannen plegen nu
eenmaal relatief veel delicten. Nader onderzoek zou daarover meer zekerheid
81 De politie heeft een invoerachterstand bij HKS die kan oplopen tot een halfjaar, maar onze
dossiers stamden uit de periode 2002-2007.

Haatzaaien
209
kunnen bieden. Verdachten van de cybercrime haatzaaien hebben veelal ook
antecedenten voor haatzaaien. We vermoeden dat deze uitkomst in ons onderzoek
in elk geval deels is veroorzaakt, doordat we bij het opvragen van antecedenten
het dossier dat wij in handen hadden als antecedent vonden. Het
ging immers, vanwege gebrek aan recent materiaal, vaak om oude dossiers en
daarom was het delict mogelijk al opgenomen in HKS.
6.7 Slachtoffers van haatzaaien
In de literatuur is nog weinig bekend over de slachtoffers van cybercrime; informatie
speciaal over slachtoffers van haatzaaien kwamen we niet tegen. De
dossierstudie brengt ons niet veel verder. In de 40 haatzaaiendossiers vonden
we gegevens van 14 slachtoffers. Dat is te weinig als basis voor generalisaties.
Vermelding verdient wellicht nog dat in geval van haatzaaien het slachtoffer
niet altijd een natuurlijke persoon is. Eenmaal werd aangifte gedaan namens
een moskee, tweemaal namens een antidiscriminatieorganisatie en twee keer
namens een stichting met een religieus oogmerk. In geen van de dossiers was
sprake van materiële schade. De meeste slachtoffers voelden zich bedreigd en
beledigd, daarnaast waren slachtoffers geschokt door het delict.
6.8 Omvang
Inleiding
Om enig zicht te krijgen op de omvang van de cybercrime haatzaaien, namen
we een steekproef van meldingen en aangiften om te zien in hoeveel gevallen
daarvan in de politieregistratie sprake is (Domenie e.a., 2009). Daarnaast
hebben we in de literatuur gekeken naar cijfers aangaande de omvang van de
cybercrime kinderporno.
Uit de politieregistratie
De politieregistratie bevat weinig aangiften van de cybercrime haatzaaien.
In de jaren 2002 tot en met 2007 vonden we 40 zaken die voldeden aan onze
selectiecriteria. We onderzochten in de korpsen Hollands-Midden en Zuid-
Holland-Zuid welk deel van het bij de politie geregistreerde werkaanbod cybercrime
betreft (Domenie e.a., 2009). In dat onderzoek troffen we geen dossiers
haatzaaien. Dat we zo weinig dossiers vonden, wil niet zeggen dat deze
vorm van criminaliteit niet bestaat: mensen doen er geen aangifte van of de
politie registreert de aangiften niet of niet goed, waardoor wij ze niet vonden.
Om meer zicht te krijgen op deze vorm van cybercrime zijn derhalve slachtofferenquêtes
vereist.

210 Verkenning cybercrime in Nederland 2009
Uit de literatuur
Aan de hand van rapporten en jaarverslagen van onder andere de monitor Racisme
& Extreem Rechts, het Landelijk Expertisecentrum Discriminatie van
het Openbaar Ministerie, en het Meldpunt Discriminatie Internet, en enkele
buitenlandse bronnen, hebben Van Stokkom e.a. (2007) de aard en omvang
van strafbare uitingen en incidenten van haatzaaien geanalyseerd. Het blijkt
dat de meeste strafbare uitingen op internet momenteel ongemoeid worden
gelaten. Ook politiestatistieken zijn weinig bruikbaar; een goede landelijke
dataverzameling en opsporing van haatzaaiende uitingen heeft bij de politie
volgens de onderzoekers een lage prioriteit (2007). Uit onderzoek naar aangiften
van haatzaaien in Amerika komt eenzelfde beeld (Levin & McDevitt,
2008). De onderzoekers merken op dat het lage aantal aangiften kan komen
door een slechte registratie bij politie en justitie.
Van Stokkom e.a. (2007) merken op dat de gebruikte gegevensbronnen een
onvolledig beeld geven. Registraties worden bijvoorbeeld verricht door instanties
die bestrijding van discriminatie beogen en dus zelf belanghebbende
partij zijn. Daarnaast is de rapportage van racistische, antisemitische en islamofobe
incidenten in veel opzichten onbetrouwbaar. Zo heeft de beoordeling
van concrete gevallen vaak een arbitrair karakter. Wat de ene politiefunctionaris
bijvoorbeeld als een neonazistische actie beschouwt, wordt door een
ander afgedaan als ‘vandalisme’. Ook wordt er op verschillende manieren
geteld. Van Donselaar en Rodrigues (2004) merken op dat wat in de ene politieregio
als één geval van bedreiging wordt gezien, bijvoorbeeld de verzending
van tien dezelfde dreigbrieven, in een andere regio als tien gevallen
worden geteld. Bij de registratie van islamofobe incidenten blijft vaak onduidelijk
op welke grond precies wordt gediscrimineerd. Ook is er sprake van
onderrapportage; slachtoffers en getuigen van incidenten doen lang niet altijd
aangifte bij de politie, noch brengen zij altijd een meldpunt op de hoogte van
een incident. Dit kan komen door onbekendheid met de meldpunten, maar de
relatief lichte incidenten zoals schelden en spugen (in de offlinewereld) worden
doorgaans überhaupt niet aangegeven. Hoe top en ijsberg zich tot elkaar
verhouden, blijft volgens Van Stokkom en collega’s dan ook onduidelijk.
Het MDI ontving in 2007 1.079 meldingen omtrent strafbare uitingen (MDI,
2008). In 77% van die gevallen deed het MDI een verzoek tot verwijdering. In
70% van die verzoeken wordt de bewuste content offline gehaald. Een verzoek
tot verwijdering wordt meestal gedaan bij de eigenaar of beheerder van
de website en niet bij de internet service provider (ISP). Het blijkt namelijk,
aldus het MDI, dat websites die door de ISP offline worden gehaald vaak zeer
snel bij een nieuwe provider gehost worden. In 2007 is in een groter percentage
van de gemelde gevallen een verzoek tot verwijdering verstuurd dan in de
jaren daarvoor. In veruit de meeste gevallen waarin het MDI om verwijdering

Haatzaaien
211
verzoekt, doet het MDI ook aangifte. In 2007 is niet één aangifte van het MDI
voor de rechter gebracht. Begin 2007 waren er nog dertien aangiften in behandeling
bij het Openbaar Ministerie. De oudste dateert uit 2002. In de loop van
2007 zijn zeven aangiften geseponeerd; vier wegens ouderdom, één omdat bij
de opsporing geen aanknopingspunten zijn gevonden die tot vervolging konden
leiden en omdat de website inmiddels al geruime tijd offline was, één
omdat de verdachte volledig ontoerekeningsvatbaar werd geacht en één werd
om een andere (ons onbekende) reden geseponeerd (MDI, 2008).
Van Stokkom e.a. (2007) concluderen dat met name personen uit joodse en
islamitische gemeenschappen regelmatig het slachtoffer worden van haatuitingen,
terwijl de verbale agressie van radicale moslims ook tegen het ongelovige
deel van de bevolking is gericht. Uit het surveyonderzoek Allochtonen
over Nederland(ers) blijkt dat 5% van de allochtone ondervraagden in het afgelopen
jaar persoonlijk geconfronteerd zegt te zijn met racistische bedreigingen,
terwijl 3% persoonlijk geconfronteerd zegt te zijn met racistisch geweld.
In 1995 ging het om respectievelijk 4% en 2% (in Van Stokkom e.a., 2007).
Conclusie
Het internet wemelt van de berichten waarin bepaalde groepen mensen worden
zwartgemaakt. Het is echter volstrekt onduidelijk waar de grens ligt tussen
strafbare en niet-strafbare uitingen. Burgers weten (dus) niet altijd wanneer
zij aangifte kunnen doen en politie en justitie zijn terughoudend met
opsporing en vervolging. Over de omvang van deze cybercrime valt dan ook
weinig met zekerheid te zeggen.
6.9 Trends
Voor het benoemen van trends baseren we ons op de literatuur. De dossierstudie
is een momentopname en daaruit kunnen we geen trends afleiden. Ondanks
het lage aantal aangiften is er op dit moment volgens Van Stokkom e.a. (2007)
een aantal maatschappelijke spanningen en is er sprake van een ‘haatepidemie’
op internet. Zoals in de inleiding reeds werd geschetst, hebben er in onze huidige
samenleving gebeurtenissen plaatsgevonden die veel ongenoegen naar
boven hebben gebracht. Radicalisme lokt volgens Van Stokkom e.a. contraradicalisme
uit; moslims en niet-moslims kunnen hierdoor in een zichzelf versterkende
spiraal van wederzijds wantrouwen en vijandigheid terechtkomen. Het
discussieklimaat op internet is volgens de auteurs dan ook in vele opzichten
verziekt. De honderden sites waarop vijandige en agressieve taal wordt gebezigd,
voeden de maatschappelijke intolerantie en dragen bij aan spanningen
tussen bevolkingsgroepen, aldus nog steeds Van Stokkom e.a. (2007).

212 Verkenning cybercrime in Nederland 2009
Volgens Van der Hulst en Neve is haatzaaien via het internet dan ook een
fenomeen geworden waarbij verschillende groeperingen elkaar voortdurend
provoceren via discussieforums en chatboxen (Van der Hulst & Neve, 2008).
Profielwebsites, zoals Hyves, zijn in 2007 voor het eerst een belangrijke bron
van discriminerende uitingen geworden. Interactieve websites (waaronder interactieve
weblogs en webforums) zorgen inmiddels voor het overgrote deel
van de meldingen van uitingen die bij het MDI binnenkomen. Meestal zijn
het de bezoekers van websites die (strafbare) discriminerende uitingen doen.
Uit de jaarverslagen van het MDI is dan ook een verschuiving van het aantal
gemelde uitingen te zien naar deze populaire weblogs waarop iedereen kan
reageren.
6.10 Resumé
Haatzaaien staat niet als zodanig in het Wetboek van Strafrecht, ook anderszins
is er in Nederland geen algemeen geaccepteerde definitie. In dit onderzoek
verstaan we onder de cybercrime haatzaaien het (aanzetten tot) opzettelijk
beledigen of discrimineren van bepaalde groeperingen, zonder een
bijdrage te leveren aan het publieke debat, waarbij ICT essentieel is voor de
uitvoering.
Enkele gebeurtenissen in onze samenleving hebben veel ongenoegen naar
boven gebracht, zoals de aanslagen op de Twin Towers in New York in 2001,
de moord op Pim Fortuyn in 2002, de aanslagen in Madrid in 2004 en in Londen
in 2005, en de moord op Theo van Gogh eind 2004. Internet verschaft een
podium waarop mensen op relatief eenvoudige wijze hun (haat)gevoelens
kunnen uiten (Van Stokkom e.a., 2007).
Haatzaaien staat dan wel niet als zodanig in het Wetboek van Strafrecht,
er kan wel een aantal artikelen worden onderscheiden dat van toepassing is,
zoals de artikelen 147 en 147a Sr (godslastering) en de discriminatieartikelen
(art. 137c, d, e, f en g Sr). Volgens de Hoge Raad vervalt de strafbaarheid bij
discriminatoire uitlatingen indien deze bijdragen aan het maatschappelijke
debat. Ook kan artikel 131 Sr (opruiing) van toepassing zijn.
Uit de cijfers van het Meldpunt Discriminatie Internet (MDI, 2008) kunnen
we afleiden dat haatzaaiende content in ieder geval wordt verspreid middels
spam (e-mail), websites, P2P-netwerken, nieuwsgroepen en chat. We weten
niet precies welk aandeel van de haatzaaiende content op internet wordt verspreid
via welke route, we weten wel dat de wijze waarop de verspreiding
loopt aan verandering onderhevig is. Zo zijn er tegenwoordig bijna geen meldingen
meer over nieuwsgroepen, maar wel over weblogs, websites en webforums.

Haatzaaien
213
Het merendeel van de dossiers toont geen verband met andere vormen van
(cyber)criminaliteit. Soms is er een verband met hacken of smaad, maar over
het geheel genomen geldt dat verdachten van haatzaaien geen criminele generalisten
zijn.
Volgens de literatuur gaat het merendeel van de meldingen over haatzaaiende
of discriminerende uitingen over Nederlandse sites. Daders van haatzaaien
opereren in groepen, die middels websites en chatkanalen discrimineren
en oproepen tot geweld, en in informele netwerken op internet. Ze doen
hun haatuitingen op discussieforums en weblogs. Er worden vier motieven
onderscheiden: voor de lol (verveling, spanning en opwinding), als waarschuwingssignaal
(verdachten voelen zich bedreigd door nieuwkomers en
willen hun territorium verdedigen), als vergeldingsactie (veelal in de context
van maatschappelijke spanningen) en als missie (door extremisten die overtuigd
zijn van hun gelijk).
De dossierstudie bevestigt dat het merendeel van de delicten vanuit Nederland
gepleegd wordt. Uit de dossiers volgt ook dat geen sprake is van georganiseerde
criminaliteit. Verdachten opereren veelal alleen. In een aantal
dossiers hebben verdachten berichten gepost op een extremistische website,
maar pleegden zij het delict als individu. Criminele technieken worden niet
gebruikt en verdachten maken in slechts enkele gevallen gebruik van voorbereidingshandelingen.
De meeste verdachten zijn man, jong en geboren in Nederland.
Qua leeftijd ligt de nadruk op de groep 12-17 jaar. In het geval van de
minderjarige verdachten zien we dat het vaak gaat om een impulsieve reactie
in de vorm van een haatzaaiende post op een website. De primaire motivatie
is meestal wraak of status/zichzelf bewijzen. Ook zagen we ideologische
en nationalistische motieven. Bij haatzaaien is maatschappelijk relevant om
te weten ‘uit welke hoek de wind waait’. We hebben niet systematisch bijgehouden
op welk deel van de bevolking de verdachten het voorzien hadden
(dus of verdachten met name rechts-extremisten of juist fundamentalistische
moslims zijn). Wel maakten we van elk dossier een korte samenvatting. Uit
deze samenvattingen blijkt dat het in de meeste dossiers gaat over verdachten
met rechts-extremistische ideeën die het met name voorzien hebben op ‘de
buitenlanders’ en ‘de allochtonen’. Verder doen verdachten in een aantal dossiers
antisemitische uitspraken en in enkele dossiers werden homoseksuelen
gediscrimineerd.
De politieregistratie bevat weinig dossiers inzake de cybercrime haatzaaien.
In 2002-2007 vonden we er 40. In een onderzoek naar cybercrime in de dossiers
van twee korpsen werd geen enkel dossier voor haatzaaien aangetroffen
(Domenie e.a., 2009). Van Stokkom e.a. (2007) concluderen dat de meeste strafbare
uitingen op internet ongemoeid worden gelaten en dat politiestatistieken
weinig bruikbaar zijn, doordat er geen goede landelijke dataverzameling en

214 Verkenning cybercrime in Nederland 2009
opsporing van haatzaaiende uitingen en incidenten is. Het MDI ontving in
2007 1.078 meldingen, maar de meeste daarvan resulteerden niet in een aangifte.
Volgens het MDI waren begin 2007 dertien aangiften in behandeling bij
het Openbaar Ministerie, waarvan de oudste uit 2002 (MDI, 2008). Ondanks
het lage aantal aangiften spreken Van Stokkom e.a. (2007, p. 16) van een ‘haatepidemie’
op internet. Radicalisme lokt volgens de auteurs contraradicalisme
uit; moslims en niet-moslims kunnen hierdoor in een zichzelf versterkende
spiraal van wederzijds wantrouwen en vijandigheid terechtkomen, aldus
deze auteurs. In de jaarverslagen van het MDI is een verschuiving van het
aantal gemelde uitingen te zien naar populaire weblogs waarop iedereen kan
reageren (MDI, 2008). Op basis van de dossierstudie kunnen we dit echter niet
onderbouwen. Er worden simpelweg te weinig aangiften van haatzaaien gedaan.
Verdachten van haatzaaien hebben vaker antecedenten dan de gemiddelde
Nederlander. Dat wordt vermoedelijk veroorzaakt doordat het overwegend
gaat om jonge mannen – en die plegen nu eenmaal relatief veel delicten. Nader
onderzoek zou daarover meer zekerheid kunnen bieden. Verdachten van
haatzaaien hebben veelal antecedenten voor haatzaaien. We vermoeden dat
deze uitkomst is veroorzaakt doordat we bij het opvragen van antecedenten
het dossier dat wij in handen hadden, vonden als antecedent. We hadden, bij
gebrek aan recent materiaal, vaak oude dossiers en daarom was het delict mogelijk
al opgenomen in HKS.
Kortom, het internet wemelt van de berichten waarin bepaalde groepen
mensen worden zwartgemaakt, maar het is onduidelijk waar de grens ligt
tussen strafbare en niet-strafbare uitingen. Burgers weten (dus) niet altijd
wanneer zij aangifte kunnen doen en politie en justitie zijn terughoudend met
opsporing en vervolging. Over de omvang van deze cybercrime valt dan ook
weinig met zekerheid te zeggen.

7 cy b e r c r i m e in ne d e r l a n d: oV e r e e n kom S t e n e n
V e r S c H i l l e n
7.1 Inleiding
In de vorige hoofdstukken bespraken we afzonderlijk de cybercrimes hacken,
e-fraude, cyberafpersen, kinderporno en haatzaaien. In dit laatste hoofdstuk
brengen we de uitkomsten uit de dossierstudie samen en kijken naar de overeenkomsten
en verschillen tussen de cybercrimes. We presenteren het materiaal
conform de logica van de onderzoeksvragen.
De centrale onderzoeksvraag van deze VCN2009 luidt: wat is de ernst van
de voor de politie meest relevante cybercrimes? Om iets te zeggen over de
ernst van een cybercrime, kijken we naar de aard van de daad en naar kenmerken/werkwijze
van de dader, naar de omvang van de problematiek en
naar de maatschappelijke impact. Dit hoofdstuk is dan ook opgebouwd volgens
die structuur. In paragraaf 7.2 staat de aard van de cybercrimes centraal,
in paragraaf 7.3 de kenmerken en werkwijze van verdachten, in paragraaf 7.4
de omvang van de cybercrimes en tot slot in paragraaf 7.5 de maatschappelijke
impact.
7.2 De aard van cybercrime in Nederland (verbanden met andere
delicten)
In deze paragraaf gaan we op basis van de dossierstudie in op verbanden die
de cybercrimes onderling en met andere vormen van (cyber)criminaliteit hebben.
We bekijken eerst onder welke titel de politie de dossiers heeft geregistreerd.
Daarna beschrijven we de verbanden met andere (cyber)criminaliteit
die we zelf tijdens de nadere analyse in de tekst van de dossiers tegenkwamen.
Ten slotte bekijken we welke wetsartikelen de politie aan de dossiers
heeft toegekend. Als aan het dossier behalve artikel 138a Sr (hacken) bijvoorbeeld
ook artikel 318 Sr (afdreiging) is gekoppeld, wijst dat op een verband

216 Verkenning cybercrime in Nederland 2009
tussen deze twee delicten. Mogelijk was de hack in dat geval de weg waarlangs
de dader het slachtoffer afdreigde. 82
De dossiers
In totaal bekeken we 1.700 dossiers die een infodeskmedewerker op basis van
onze criteria uit de politieregistratie ophaalde. We selecteerden na een eerste
globale scan 993 dossiers die relevant leken (zie ook par. 1.4). Na een uitgebreidere
inhoudelijke analyse door student-assistenten bleek dat 665 van deze
dossiers bruikbaar en relevant waren (tabel 7.1). Een dossier is bruikbaar indien
er een aangifte is en het dossier genoeg informatie bevat voor de analyse.
Een dossier is relevant indien het betrekking heeft op de specifieke cybercrime.
Tabel 7.1 Relevante dossiers per cybercrime 83
Hacken E-fraude Afpersen KinderHaat- Totaal
pornozaaien Aantal relevante dossiers 139 314 13 159 40 665
Van cyberafpersen vonden we maar 13 relevante dossiers. Dit is te weinig voor
een kwantitatieve analyse. In dit hoofdstuk laten we deze cybercrime dan ook
buiten beschouwing. Van de overige cybercrimes hebben we voldoende dossiers
om iets te kunnen zeggen over die cybercrime en om de cybercrimes
onderling te kunnen vergelijken. 84
82 Art. 318 Sr luidt: ‘1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen,
door bedreiging met smaad, smaadschrift of openbaring van een geheim iemand
dwingt hetzij tot de afgifte van enig goed dat geheel of ten dele aan deze of aan een derde
toebehoort, hetzij tot het aangaan van een schuld of het teniet doen van een inschuld, hetzij
tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, wordt
als schuldig aan afdreiging, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete
van de vijfde categorie. 2. Dit misdrijf wordt niet vervolgd dan op klacht van hem
tegen wie het gepleegd is.’
83 Voor de duidelijkheid vermelden we hier nog dat de aantallen in tabel 7.1 ons niets zeggen
over de omvang van cybercrime in Nederland. Meer over de omvang staat in par. 7.4.
84 Bij de afzonderlijke onderwerpen kan het voorkomen dat we van een bepaalde cybercrime
toch te weinig dossiers hebben (bijv. omdat er in slechts een klein aantal dossiers informatie
staat over verdachtenkenmerken of over materiële schade). Dan laten we voor dat onderwerp
die criminaliteitsvorm buiten beschouwing. We stellen de grens hiervoor op 25 dossiers.
Indien een cybercrime niet is meegenomen, vermelden we dat steeds bij de desbetreffende
tabel.

Cybercrime in Nederland: overeenkomsten en verschillen
217
Onder welke titel (‘beschrijving’) staat het dossier geregistreerd
Een eerste manier om te bepalen welke verschijningsvormen een cybercrime
heeft en of er dwarsverbanden zijn met andere cybercrimes, is het analyseren
van de titels of de ‘beschrijvingen’ waaronder de dossiers in de politiesystemen
zijn geregistreerd. Ter toelichting het volgende. We selecteerden de
dossiers niet op de titel waaronder het dossier in de politieadministratie is
opgenomen. We selecteerden op de inhoud van het dossier. Welke titel of ‘beschrijving’
de behandelend agent aan het desbetreffende dossier geeft, zegt
iets over hoe die agent naar de zaak kijkt: wat voor hem of haar de essentie van
deze zaak is. De agent moet tijdens het registreren de ‘beschrijving’ kiezen
uit een vaste lijst die het systeem aanbiedt. Er zijn drie basisprocessensystemen,
elk systeem kent zijn eigen omschrijvingen (bijv. computercriminaliteit
of computervredebreuk). In tabel 7.2 staan de meest gebruikte beschrijvingen.
Op deze manier is in grote lijnen te zien onder wat voor type delict de dossiers
staan geregistreerd (bijv. computercriminaliteit of fraude) en kunnen we
de aard van de crimes in onze dossiers bepalen.
Tabel 7.2 Titels (‘beschrijving’) waaronder de dossiers zijn geregistreerd
Hacken E-fraude KinderHaat- (n=139) (n=312) pornozaaien (n=159) (n=40)
Beschrijving
TOTAAL
% % % %
Computercriminaliteit * 72,7 1,0 0,0 0,0
Oplichting/bedrog 14,4 * 95,5 0,0 0,0
Diefstal/verduistering 5,0 1,6 0,0 0,0
Kinderpornografie 0,0 0,0 * 99,4 0,0
Overige 7,9 1,9 0,6 12,5
Discriminatie 0,0 0,0 0,0 * 60,0
Belediging 0,0 0,0 0,0 * 12,5
Bedreiging 0,0 0,0 0,0 * 7,5
Aantasting openbare orde/openbaar gezag 0,0 0,0 0,0 * 7,5
Totaal 100,0 100,0 100,0 100,0
* Significant verschil met de overeenkomstige percentages van alle andere cybercrimes in deze
tabel (p

218 Verkenning cybercrime in Nederland 2009
van het delict. Hackendossiers staan overwegend onder computercriminaliteit
(72,7%), e-fraudedossiers onder oplichting/bedrog (95,5%), kinderpornodossiers
onder kinderpornografie (99,4%) en haatzaaidossiers onder discriminatie,
bedreiging, belediging en aantasting van de openbare orde of het
openbaar gezag (87,5%). Daarnaast hebben alle cybercrimes nog een aantal
vermeldingen onder de beschrijving ‘overig’. In deze categorie valt een groot
aantal beschrijvingen, zoals huisvredebreuk, stalking, diefstal en vernieling.
Er is een verband zichtbaar tussen hacken en e-fraude. Ruim 14% van de hackendossiers
staat onder de beschrijving fraude/oplichting (en dan nog eens
5% onder ‘diefstal/verduistering’). Andersom staat slechts 1% van de e-fraudedossiers
onder ‘computercriminaliteit’ geregistreerd. Voor dit verschil 85 zijn
verschillende verklaringen denkbaar:
1. Het kan eenvoudig een kwestie van volume zijn. De politieregistratie bevat
namelijk meer e-fraude- dan hackendossiers (Domenie e.a., 2009). Het
aantal zaken waarbij hacken en e-fraude met elkaar zijn verbonden, maakt
dan logischerwijze van alle hackenzaken een groter deel uit dan van alle
e-fraudezaken.
2. Het verschil kan te maken hebben met het registratiegedrag van politiemensen.
Mogelijk zijn politiemensen eerder geneigd om hacken te verbinden
met de vervolgens gepleegde e-fraude dan dat zij een e-fraudezaak
verbinden met het achterliggende hacken.
3. Een andere verklaring voor het verschil kan zijn dat in e-fraudezaken wel
degelijk sprake is van hacken, maar dat het slachtoffer niet weet dat hij is
gehackt en dat element dus ook niet in de aangifte betrekt.
Verbanden blijkens de inhoudsanalyse
Tabel 7.3 geeft een overzicht van de verbanden tussen de cybercrimes uit deze
studie onderling en andere criminaliteitsvormen. Ieder dossier uit onze studie
kan meerdere verbanden met een ander delict bevatten. We stellen in deze
analyse vast of sprake is van een verband en zo ja met welk ander delict. Een
andere kwestie is de volgordelijkheid: een verband tussen hacken en identiteitsdiefstal
bijvoorbeeld kan betekenen dat eerst een identiteit is gestolen en
dat met die identiteit vervolgens de hack is gepleegd, ook kan het verband
inhouden dat eerst het systeem is gehackt en dat vervolgens de identiteitsgegevens
zijn gestolen.
In het merendeel van de hackendossiers vinden we verbanden met andere
vormen van (cyber)criminaliteit (82%). Bij de hackendossiers is overigens
vaak verband met het vernietigen of beschadigen van digitale gegevens en/
of het zonder toestemming kopiëren van digitale gegevens (beide 36,7%).
85 Het verschil tussen 14,4% uit 139 dossiers en 1% uit 312 dossiers is significant (p

Cybercrime in Nederland: overeenkomsten en verschillen
219
Beide delicten volgen op het hacken. Er dient immers eerst te worden ingebroken,
voordat digitale gegevens kunnen worden gekopieerd of vernietigd.
Doel van een hack is dan bijvoorbeeld het verwijderen of kopiëren van foto’s
of e-mails. Verder is een duidelijk verband met e-fraude te zien. In ruim een
kwart van de hackendossiers is daarmee een verband (25,9%). Hacken is in
deze zaken een middel om de fraude te plegen. Verder is te zien dat de hackendossiers
met nog andere delicten verbanden hebben. Dit zegt ons dat hacken
bij diverse delicten als middel gebruikt wordt en dan niet een doel op zich
is.
De e-fraudedossiers staan het vaakst op zichzelf (78,7%). Waar Hacken in
zo’n 80% van de dossiers een verband heeft met een andere vorm van criminaliteit,
heeft e-fraude dat in zo’n 80% van de dossiers juist niet. Indien er
wel een verband is, dan is dat met digitale identiteitsdiefstal (16,2%). In die
gevallen gaat identiteitsdiefstal vaak aan de fraude vooraf, staat ten dienste
daarvan. We zien in slechts 2,3% van de dossiers een verband met hacken.
Andersom heeft van de hackendossiers 25,9% een verband met e-fraude. 86 Dat
patroon zagen we ook in de vorige subparagraaf: in hackendossiers is geregeld
sprake van een verband met fraude, in fraudedossiers zien we minder
vaak een verband met hacken. We gaven op die plaats reeds drie mogelijke
verklaringen voor dat verschil.
Tabel 7.3 Verbanden in de dossiers met andere criminaliteit
Hacken E-fraude Kinder- Haatzaaien
(n=139) (n=314) porno
(n=159)
(n=40)
Andere (cyber)crime waarmee een verband is % % % %
Cybercrimes in deze studie º 28,8 3,5 3,8 10,0
Hacken - 3,2 3,8 10,0
E-fraude * 25,9 - 0,0 0,0
Cyberafpersen 2,2 0,3 0,0 0,0
Kinderporno 0,7 0,0 - 0,0
Haatzaaien 0,7 0,0 0,0 -
86 Het verschil tussen deze 3,2% uit 314 dossiers en 25,9% uit 139 dossiers is significant
(p

220 Verkenning cybercrime in Nederland 2009
Hacken E-fraude Kinder- Haatzaaien
(n=139) (n=314) porno
(n=159)
(n=40)
Andere (cyber)crime waarmee een verband is % % % %
Overige cybercrimes * 57,6 16,2 5,7 20,0
Vernietigen/beschadigen van gegevens * 36,7 0,0 1,9 2,5
Zonder toestemming kopiëren digitale
gegevens
* 36,7 0,0 0,0 0,0
Smaad º 17,3 0,0 3,8 7,5
Identiteitsdiefstal 23,0 16,2 º 3,1 10,0
Aanranding door bedreiging met geweld º 11,5 0,0 1,3 0,0
Grooming 0,0 0,0 1,3 0,0
Poging tot aanranding/schennis van de
eerbaarheid
2,2 0,0 0,0 0,0
Offline criminaliteit 8,6 2,9 * 39,6 2,5
Stalking 5,8 0,0 1,3 0,0
Bedreiging met geweld 2,2 0,0 0,0 0,0
Afpersen/afdreigen 0,7 0,0 0,0 0,0
Vervaardigen kinderporno 0,7 0,0 5,0 0,0
Bezit kinderporno niet op ICT 0,0 0,0 * 35,2 2,5
Identiteitsdiefstal zonder gebruik ICT 0,0 2,2 0,6 0,0
Huisvredebreuk 0,7 0,0 0,0 0,0
Onbekend 0,0 0,6 0,0 0,0
Geen verband met andere (cyber)crime * 18,0 78,7 56,6 70,0
* Significant verschil met de overeenkomstige percentages van alle andere cybercrimes in deze
tabel (p

Cybercrime in Nederland: overeenkomsten en verschillen
221
maar het leidende thema blijft seks met minderjarigen. Zoals e-fraudeurs als
regel geen wezenlijk andere vormen van criminaliteit plegen dan e-fraude,
zo plegen verdachten van het kinderpornoverbod als regel geen wezenlijk
andere delicten dan zedendelicten tegen minderjarigen. In enkele gevallen
is er een verband met hacken. Zoals we in hoofdstuk 2 zagen, kan zo’n verband
ontstaan doordat een verdachte een computer hackt, maar ook doordat
de verdachte aanvoert dat iemand zijn computer heeft gehackt en dat die persoon
de kinderporno op zijn computer heeft geplaatst.
Verder zien we bij de kinderpornodossiers dat relatief weinig verdachten
zich schuldig maken aan identiteitsdiefstal – significant minder dan verdachten
van hacken en e-fraude (p

222 Verkenning cybercrime in Nederland 2009
waarbij zij hoogstens af en toe een uitstapje maken (smaad, beschadigen van
gegevens, hacken), steeds binnen de context van hun primaire delict. Het verband
tussen haatzaaien en kinderporno (2,5%) kunnen we niet anders zien
dan als een toevallige bevinding: in één geval werd bij het doorzoeken van de
computer van de verdachte kinderporno aangetroffen.
Deze analyse laat zien dat de cybercrimes uit deze studie overwegend op
zichzelf staan, met hacken als grote uitzondering. Verdachten van e-fraude,
kinderporno en haatzaaien zijn geen criminele generalisten, maar beperken
zich tot hun type cybercrime, zij het dat zij daarbij soms aanpalende delicten
plegen. We zien in de onderzoeksgegevens twee verschillende soorten van
aanpalende delicten:
1. Delicten met hetzelfde karakter als het centrale delict: de bezitter van digitale
kinderporno die ook kinderpornoafbeeldingen op papier heeft of
kinderporno vervaardigt, en de haatzaaier die zich schuldig maakt aan
smaad jegens een individu.
2. Delicten in relatie tot het centrale delict: identiteitsdiefstal ter voorbereiding
op een delict, hacken om het delict uit te voeren of het beschadigen
van gegevens tijdens het uitvoeren van het delict.
Zoals aangegeven, staat hacken niet op zichzelf. Dat delict heeft verbanden
met een groot aantal vormen van criminaliteit en wordt veelal als middel gebruikt
om andere delicten te plegen. Een vraag die zich in dat verband aandient,
is of we verdachten die hacken niet allereerst moeten zien als plegers
van andere delicten die voor dat delict gebruikmaken van hacken. Denkend
in de richting van een mogelijke daderprofilering lijkt het gezien onze bevindingen
meer voor de hand te liggen om bijvoorbeeld e-fraudeurs die hacken
primair te beschouwen als e-fraudeurs die gebruikmaken van hacken en ze
niet zozeer te zien als hackers die frauderen.
Welke wetsartikelen heeft de politie aan het dossier gekoppeld?
Een dossier heeft vaste invoervelden voor het vermelden van de van toepassing
zijnde wetsartikelen. Bij een dossier kan de politie meer dan één wetsartikel
opnemen. Niet in alle dossiers staan wetsartikelen. In 113 van de 665
dossiers staan geen wetsartikelen (17%). Van de overige 552 dossiers stelden
we vast welke wetsartikelen de politie daar heeft vermeld (tabel 7.4).

Cybercrime in Nederland: overeenkomsten en verschillen
Tabel 7.4 Wetsartikelen in de dossiers
Hacken E-frau de KinderHaat- (n=120) (n=251) pornozaaien (n=151) (n=30)
Artikel Omschrijving % % % %
138a Sr Computervredebreuk/kopiëren van
gegevens
* 77,5 0,8 0,0 0,0
350a Sr Vernieling computergegevens * 21,7 0,0 0,0 0,0
350b Sr Vernieling computergegevens door schuld 1,7 0,0 0,0 0,0
139c Sr Aftappen en/of opnemen van gegevens
via telecommunicatie
0,8 0,0 0,0 0,0
326 Sr Oplichting 13,3 * 96,0 0,0 0,0
310 Sr Diefstal 6,7 4,8 0,0 0,0
311 Sr Diefstal onder verzwarende omstandigheden
5,8 4,0 0,0 0,0
321 Sr Verduistering 0,0 2,0 0,0 0,0
225 Sr Valsheid in geschrifte 1,7 6,0 0,0 0,0
232 Sr Valse betaalpas of waardekaart 0,0 0,8 0,0 0,0
317 Sr Afpersing 1,7 0,0 0,0 0,0
285 Sr Bedreiging 7,5 0,4 0,7 10,0
267 Sr Belediging van bijzondere organen en
functionarissen
6,7 0,0 0,7 16,7
266 Sr Eenvoudige belediging 2,5 0,0 0,0 * 20,0
240b Sr Kinderpornografie 0,0 0,0 * 99,3 3,3
249 Sr Ontucht met misbruik van gezag 0,0 0,0 0,7 0,0
247 Sr Ontucht met wilsonbekwame 0,0 0,0 0,7 0,0
245 Sr Gemeenschap met een persoon beneden
de 16 jaar
0,0 0,0 0,7 0,0
239 Sr Schennis van de eerbaarheid 0,0 0,0 0,7 0,0
137c Belediging van een groep mensen 0,0 0,0 0,0 * 63,3
137d Aanzetten tot discriminatie 0,0 0,0 0,0 * 56,6
137e Verspreiding discriminatie-uitlating 0,0 0,0 0,0 * 33,3
137f Steun verlening discriminatie 0,0 0,0 0,0 * 16,7
137g Discriminatie bij ambtsuitoefening 0,0 0,0 0,0 * 13,3
262 Laster 0,0 0,0 0,0 3,3
271 Verspreiding van beledigend geschrift 0,0 0,0 0,0 3,3
429quater Discriminatie in uitvoering ambt 0,0 0,0 0,0 3,3
223
* Significant verschil met de overeenkomstige percentages van alle andere cybercrimes in deze
tabel (p

224 Verkenning cybercrime in Nederland 2009
Tabel 7.4 laat zien dat wetsartikelen die in de dossiers zijn opgenomen, meestal
in lijn liggen met de aard van de desbetreffende cybercrime, hacken is een
uitzondering.
De hackendossiers bevatten artikelen die betrekking hebben op cybercrime
in enge zin, bijvoorbeeld artikel 138a Sr (computervredebreuk) en artikel 350a
Sr (vernieling computergegevens). Daarnaast zien we artikelen voor vermogenscriminaliteit.
Meestal gaat het dan om artikel 321 Sr (oplichting), maar
ook artikel 310 Sr (diefstal), artikel 311 (diefstal onder verzwarende omstandigheden)
en artikel 225 Sr (valsheid in geschrifte) komen voor. Verder staan in
de hackendossiers artikelen met betrekking tot intermenselijke conflicten. Het
gaat dan om artikel 285 Sr (bedreiging), artikel 266 Sr (eenvoudige belediging),
artikel 267 Sr (belediging bijzondere organen) en artikel 317 Sr (afpersing).
In de e-fraudedossiers zien we de meeste artikelen in de hoek van de vermogenscriminaliteit.
Artikel 326 Sr (oplichting) wordt het meest genoemd (96%),
daarnaast komen artikelen voor die betrekking hebben op diefstal, verduistering
en valsheid in geschrifte. In slechts een paar dossiers staan artikelen
die niet direct fraudegerelateerd zijn. Het gaat dan om computervredebreuk
(0,8%) en bedreiging (0,4%). Computervredebreuk kan betrekking hebben op
hacken, dat gebruikt kan worden als middel om mensen op te lichten. De bedreiging
kan weer een gevolg van de fraude zijn.
In bijna alle kinderpornodossiers staat artikel 240b (kinderpornografie)
vermeld (99,3%). Daarnaast zien we enkele artikelen die verband houden met
seksueel misbruik. Het gaat dan om ontucht (art. 247 en 249 Sr), gemeenschap
met een persoon onder de 16 jaar (art. 245 Sr) en schennis van de eerbaarheid
(art. 239 Sr). Daarnaast staan er in enkele dossiers artikelen die verband houden
met bedreiging en belediging (beide in 0,7%).
De haatzaaidossiers laten eenzelfde beeld als de kinderpornodossiers zien:
in bijna alle dossiers staan alleen artikelen die direct verband houden met de
aard van haatzaaien: de discriminatiebepalingen (art. 137c-g Sr), bedreiging,
belediging en laster. Daarnaast werd artikel 240b Sr (kinderpornografie) een
keer genoemd. In dat dossier had de kinderpornografie echter niet een direct
verband met haatzaaien: de illegale beelden werden tijdens een doorzoeking
aangetroffen op de computer van de verdachte.
Samengevat
We zochten in de dossiers op drie manieren naar dwarsverbanden tussen de
cybercrimes uit deze studie en andere delicten:
1. We keken onder welke titel of beschrijving politiemensen het dossier registreerden.
2. We bestudeerden de inhoud van de dossiers.
3. We keken naar welke wetsartikelen de politie aan het dossiers koppelde.

Cybercrime in Nederland: overeenkomsten en verschillen
225
Alles bijeengenomen is te zien dat e-fraude, kinderporno en haatzaaien criminaliteitsvormen
zijn die weinig verbanden hebben met andere vormen van
criminaliteit. Alleen hacken heeft duidelijke verbanden met andere criminaliteitsvormen.
Hacken kan dan ook gezien worden als een middel om andere
criminaliteit te plegen. De cybercrimes in deze studie kunnen we nu als volgt
kenschetsen:
– Hacken: een combinatie van cybercrime in enge zin (waarbij computers of
computergegevens het doelwit zijn), vermogenscriminaliteit en intermenselijke
conflicten. De hackenzaken die we in de dossiers aantroffen, hebben
niet een directe uitwerking op de samenleving in bredere zin, maar
zijn gericht op het behalen van een persoonlijk voordeel (vermogenscriminaliteit)
of op het beslechten van een persoonlijk conflict. Met andere
woorden: hacken is niet gericht op maatschappelijke ontwrichting of algemene
gevaarzetting, maar op de verwezenlijking van individuele belangen.
Het gaat veelal om redelijk alledaagse zaken, waarbij schijnbaar
alledaagse mensen elkaar dwarszitten. Het is, ook in verband met daderprofilering,
de vraag of we verdachten die hacken eigenlijk wel allereerst
moeten zien als hackers. Wellicht moeten we ze eerder zien als plegers van
andere delicten die voor ‘hun’ delict gebruikmaken van hacken.
– E-fraude: in de regel geen verbanden met andere (cyber)crimes. Gericht
op vermogenscriminaliteit (oplichting, vormen van diefstal, afpersing).
Indien er wel verbanden zijn, dan zijn die met diefstal van identiteitsgegevens
(vooral digitaal, maar ook niet-digitaal) en soms ook met hacken.
Deze delicten zijn dan een middel om te komen tot de e-fraude. Het is
niet ondenkbaar dat hacken en diefstal van identiteitsgegevens vaker ten
grondslag liggen aan e-fraude dan we kunnen opmaken uit de dossiers.
Slachtoffers weten immers niet altijd dat ze gehackt zijn en of (en waar en
hoe) hun identiteit gestolen is. Daders van e-fraude tonen zich geen criminele
generalisten.
– Kinderporno: kent net als e-fraude weinig verbanden met andere criminaliteitsvormen.
Als er al een verband is, is dat met een ander delict in de
zedensfeer, met name met het in bezit hebben van kinderporno anders
dan op ICT en soms met het vervaardigen van kinderporno. Ook proberen
verdachten soms minderjarigen te groomen of slachtoffers aan te randen
door te dreigen met het publiekelijk maken van gevoelige informatie (bijv.
naaktfoto’s).
– Haatzaaien: vertoont meestal geen verband met andere delicten. Is dat wel
het geval, dan gaat het om andere uitingsdelicten die in dezelfde sfeer liggen,
zoals belediging, smaad, bedreiging, laster. In enkele gevallen is sprake
van een verband met hacken.

226 Verkenning cybercrime in Nederland 2009
7.3 Verdachtenkenmerken uit de dossierstudie
In deze paragraaf bespreken we enkele kenmerken van de verdachten in de
dossiers. Aan bod komen de modus operandi, persoonskenmerken, sociale
achtergrond en antecedenten.
De modus operandi
Om iets te zeggen over de modus operandi, hebben we (1) een analyse gemaakt
van de MO zoals die door politiemedewerkers in het politiedossier zijn
vastgelegd, (2) gekeken naar gebruikte criminele technieken en voorbereidingshandelingen
die in het dossier worden genoemd, (3) vastgesteld vanuit
welk land de verdachte(n) opereerde(n) en (4) vastgesteld hoeveel al dan niet
samenwerkende verdachten in het dossier staan vermeld.
(1) De modus operandi is een vast onderdeel van elk politiedossier. De politiemensen
kunnen bij het registreren van een delict een of meer MO’s kiezen
uit een vaste lijst. Die lijst verschilt enigszins per basisprocessensysteem.
Daarnaast kunnen politiemensen zelf een MO invoeren. Omdat er een groot
aantal verschillende MO-beschrijvingen gebruikt wordt, nemen we alleen
veelvoorkomende MO-beschrijvingen in deze analyse mee. Ook voegden we
soortgelijke MO-beschrijvingen samen (bijv. computer, personal computer en
pc). In tabel 7.5 staat het resultaat van de analyse. Voor haatzaaien beschikken
we over te weinig dossiers. Dat delict betrekken we dan ook niet in deze
analyse.
MO-beschrijvingen die veel voorkomen bij de drie overgebleven cybercrimes
zijn computer en woning. Dat politiemedewerkers ‘computer’ in de
MO-beschrijving zetten, is logisch, de computer is immers doelwit of middel.
Waarom politiemedewerkers het type woning in de MO-beschrijving zetten, is
minder eenvoudig te verklaren. Het zegt ons immers niets over de werkwijze
van de dader. Vermoedelijk vullen politiemensen het type woning in, omdat
ze nu eenmaal gewend zijn dat in te vullen bij met name woninginbraken.
De MO ‘hacken’ komt alleen bij hacken voor, niet bij e-fraude of kinderporno.
Gezien de eerdere bevindingen lijkt het niet aannemelijk dat in geval
van e-fraude of kinderporno nooit sprake is van hacken als MO. Wat de
nulscore kan helpen verklaren, is dat het hacken onopgemerkt is gebleven of
dat de politie hacken niet als MO heeft geregistreerd. Tegelijk leidt het geheel
ontbreken van hacken als MO bij deze twee delictsoorten tot de conclusie dat
hacken in elk geval geen prominente rol speelt als MO bij e-fraude of kinderporno.
Hacken is daar kennelijk eerder uitzondering dan regel.
Verder zien we bij e-fraude als MO nog diverse keren ‘valse naam/hoedanigheid’
en ‘advertentie’. Dat weerspiegelt onze bevinding dat het bij e-frau-

Cybercrime in Nederland: overeenkomsten en verschillen
227
de in veel gevallen gaat om veilingfraude en dat de dader zich niet zelden
bedient van een andere dan de eigen identiteit. In tabel 7.5 komt bij de hackendossiers
‘valse naam/hoedanigheid’ als MO niet voor. 88 Dat is in contrast
met het resultaat van de inhoudsanalyse die we over de dossiers uitvoerden
(tabel 7.3). Daar vonden we immers dat in 23% van de hackendossiers sprake
was van identiteitsdiefstal. Mogelijk herkennen politiemensen de identiteits -
diefstal niet en/of zetten zij niet de stap om vervolgens ‘valse naam/hoedanigheid’
als MO te registreren.
Tabel 7.5 MO-beschrijvingen in de dossiers
Hacken E-fraude Kinderporno
(n=109) (n=230) (n=26)
MO beschrijving %# %# %#
Computer * 93,6 41,7 30,8
Hacken 89,9 - -
Woning 38,5 35,2 53,8
Vervalsen 8,3 - -
Bedreigen 3,9 - -
Inbreken 63,7 - -
Valse naam/hoedanigheid - 24,8 -
Advertentie - 17,8 -
Internet - 7,8 -
Overig geweld - - 7,7
# Het totaal is niet gelijk aan 100. In een dossier kunnen meerdere MO’s zijn geregistreerd; daarnaast
staan MO-beschrijvingen die niet vaak voorkomen niet in de tabel, zie ook de methodische
verantwoording in hoofdstuk 1.
- Komt bij dat delict zo weinig voor dat we die MO voor dat delict niet in de analyse hebben
meegenomen.
* Significant verschil met de overeenkomstige percentages van de andere cybercrimes in deze
tabel (p

228 Verkenning cybercrime in Nederland 2009
(2) Bij de nadere inhoudelijke analyse, legden we vast of het dossier informatie
bevatte over het gebruik van criminele technieken en voorbereidingshandelingen.
89 We beperken ons hier tot de in de bijlagen 1 tot en met 9 opgenomen
criminele technieken. De meeste dossiers bevatten echter geen informatie
over het gebruik van dergelijke technieken. Alleen de hackendossiers bevatten
genoeg informatie over criminele technieken om te kunnen analyseren,
zie paragraaf 2.6. In de literatuur vinden we wel informatie over criminele
technieken. Deze worden uitgebreid besproken in de bijlagen 1 tot en met 9.
Over de voorbereidingshandelingen weten we meer. Deze verschillen per cybercrime:
– Hacken is in de meeste dossiers niet zozeer het einddoel, maar in zichzelf
een voorbereidingshandeling tot het plegen van andere criminaliteit. Een
e-mailaccount wordt bijvoorbeeld gekraakt om toegang te krijgen tot persoonlijke
informatie en deze informatie tegen het slachtoffer te gebruiken,
om de gegevens te misbruiken bij het oplichten van andere mensen of om
toegang te krijgen tot andere accounts.
– In de e-fraudedossiers bestaan voorbereidingshandelingen uit het maken
en plaatsen van een valse advertentie op een verkoopsite, het opzetten van
een website of het versturen van e-mails, al dan niet in combinatie met het
creëren van een valse identiteit en het openen van een rekening waarop
het geld kon worden gestort, om slachtoffers op te lichten.
– In de kinderpornodossiers vinden we weinig informatie over de getroffen
voorbereidingshandelingen. Indien we wel informatie hierover hadden,
dan ging het vaak om het creëren van een fictieve identiteit, bijvoorbeeld
door het aanmaken van e-mailadressen, MSN-namen en profielen op
socia le netwerksites.
– Ook in de haatzaaidossiers vinden we weinig informatie over de getroffen
voorbereidingshandelingen. Het gaat dan om het achterhalen van wachtwoorden
om te hacken, het opzetten van een website en het vervaardigen
van een spotprent.
(3) We zochten ook naar informatie over vanuit welk land de dader opereerde.
In de meeste dossiers was dat vanuit Nederland, maar daders opereerden
soms ook uit het buitenland:
– in 23,4% van de 60 hackendossiers;
– in 14,5% van de 166 e-fraudedossiers;
– in 2,9% van de 35 haatzaaidossiers;
– in 0,0% van de 136 kinderpornodossiers.
89 Bijlagen 1 tot en met 9 bevatten een overzicht van criminele technieken.

Cybercrime in Nederland: overeenkomsten en verschillen
229
Er lijkt een verschil tussen hacken en e-fraude enerzijds en haatzaaien en kinderporno
anderzijds, maar dat is schijn. Het verschil tussen de 14,5% en 2,9%
is echter niet significant (p>0,01). Alles met elkaar opereert de dader van cybercrime
dus nogal eens van over de grens, in het bijzonder bij hacken. We
hebben daarover hier geen cijfers paraat, maar zeer waarschijnlijk krijgt de
politie bij offlinecriminaliteit in beduidend minder zaken te maken met een
vanuit het buitenland opererende dader. Als de politie willekeurig hacken en
e-fraudezaken in behandeling neemt, leidt een relatief groot aantal van de zaken
tot opsporingsactiviteiten tot over de grens. De vraag dringt zich op of de
politie daarop berekend is.
(4) We bekeken in alle dossiers hoeveel verdachten er waren (tabel 7.6). We
troffen niet in alle dossiers verdachten.
Tabel 7.6 Aantal verdachten per dossier
Hacken E-fraude Kinderporno Haatzaaien
(n=54) (n=217) (n=157) (n=33)
Aantal verdachten % % % %
1 83,1 81,6 93,6 78,8
2 13,8 12,0 4,5 12,1
3 1,5 4,1 1,3 3,0
4 0,0 1,4 0,0 3,0
5 1,5 0,0 0,6 0,0
6 0,0 0,5 0,0 0,0
7 0,0 0,5 0,0 3,0
Totaal 99,9 100,1 100,0 99,9
Tabel 7.6 laat zien dat er in de meeste dossiers één verdachte was. Soms zijn er
twee verdachten en van meer dan twee verdachten is in de dossiers nauwelijks
sprake. Het hoogste percentage dossiers met slechts één verdachte vinden we
bij kinderporno. De 93,6% is significant meer (p

230 Verkenning cybercrime in Nederland 2009
op de computer van de downloader kinderporno is aangetroffen. Ook speelt
vermoedelijk een rol dat er bij kinderpornozaken doorgaans geen slachtoffer-aangever
is die meerdere personen als verdachte kan aanwijzen. Ook kan
onze bevinding een weerspiegeling zijn van de wijze waarop de politie te
werk gaat. Als bij iemand kinderporno op de computer wordt aangetroffen,
richt de zaak zich vooral tegen die persoon en worden degenen die het materiaal
ter beschikking stelden niet opgespoord om als medeverdachten in zo’n
zaak te worden aangemerkt. Enkele keren troffen we bijvoorbeeld een zaak
waarin een Nederlandse verdachte kinderporno had gedownload bij een in
het buitenland gehoste kinderpornosite. De politie in het desbetreffende land
ondernam actie tegen die site. De buitenlandse en Nederlandse politie wisselden
informatie uit. Als een producent/verspreider wordt opgespoord en aangepakt,
hetgeen wel degelijk gebeurt en hetgeen ook politieprioriteit is, dan
wordt dat een afzonderlijke zaak (vermoedelijk dan wel een van die zeldzame
zaken met meerdere verdachten).
Als er in een dossier twee of drie verdachten staan genoemd, wil dat nog
niet zeggen dat het bekenden zijn van elkaar of dat zij samenwerken. In de
meeste dossiers zien we geen samenwerkende verdachten of georganiseerde
misdaad. In geen van de kinderporno- en haatzaaiendossiers was dit het geval.
In de kinderpornodossiers was wel sprake van georganiseerde kinderpornohandel,
maar de verdachten waren in dat geval de afnemers en, voor
zover bleek uit de dossiers, zelf geen onderdeel van het criminele samenwerkingsverband.
In de hacken- en e-fraudedossiers komen we wel enkele keren georganiseerde
groepen tegen.
In 4,6% van de hackendossiers zijn verdachten onderdeel van een criminele
groep, hetgeen wil zeggen dat ze elkaar kennen en samenwerken; in 3,1% van
de dossiers is er in het politiedossier sprake van georganiseerde criminaliteit.
Het ging in die gevallen om grote fraudezaken, waarbij de politie vermoedde
dat die door georganiseerde groepen vanuit Rusland werden gepleegd. Hacken
is dus blijkens onze dossierstudie vooral een delict dat wordt gepleegd
buiten criminele georganiseerde verbanden.
In 2,2% van de e-fraudedossiers is het delict mogelijk gepleegd in georganiseerd
verband. Het ging bijvoorbeeld om een groep verdachten die via een
door hen opgezet nepbedrijf op internet adverteerden met spullen (in dit geval
elektronika) en deze na betaling door het slachtoffer niet leverden. Ook
kwamen we voorbeelden van voorschotfraude tegen, waarbij het slachtoffer
werd voorgehouden een prijs te hebben gewonnen. Er moest echter eerst een
geldbedrag aan de organisatie worden betaald alvorens de prijs in ontvangst
kon worden genomen. Voor e-fraude geldt dus net als voor hacken dat het delict
in de regel wordt gepleegd buiten georganiseerde verbanden.

Cybercrime in Nederland: overeenkomsten en verschillen
231
Over de MO’s weten we nu dat de cybercrimeverdachten in de regel niet veel
gebruikmaken van criminele technieken of voorbereidingshandelingen. De
uitzondering zijn verdachten in hackendossiers. Zij maken gebruik van een
verscheidenheid aan criminele technieken. Hacken wordt op zichzelf weer
gebruikt als voorbereidingshandeling voor het plegen van andere criminaliteit.
Verder zien we dat er voor een delict meestal één verdachte is en dat die
niet is betrokken bij georganiseerde misdaad. Bij hacken en e-fraude opereren
verdachten relatief vaak vanuit het buitenland (resp. 23,3% en 14,5%).
Omdat we ons baseren op politiedossiers, is nog maar de vraag in hoeverre
de vorige alinea de werkelijkheid correct weergeeft. Wel kunnen we concluderen
dat voor zover de politie te maken krijgt met hacken, in tegenstelling
tot de andere vormen van cybercrime, zij wordt geconfronteerd met een verscheidenheid
aan criminele technieken en met een relatief groot aantal zaken
dat wordt gepleegd vanuit het buitenland. Ook daders van e-fraude opereren
geregeld vanuit het buitenland. Dat maakt politiewerk complex en roept de
vraag op in welke mate de politie in staat is deze hacken- en e-fraudedossiers
succesvol in behandeling te nemen. Teneinde zicht te krijgen op hindernissen
in het werk van politie en justitie, zou onderzoek gedaan dienen te worden
naar hoeveel hacken- en e-fraudezaken uiteindelijk voor de rechter worden
gebracht en met welk resultaat.
Persoonskenmerken
Van 475 verdachten weten we het geboorteland (tabel 7.7). We zien bij alle vormen
van cybercrime dat het merendeel van de verdachten in Nederland is geboren
(tussen de 86% en 91,9%). Er zijn in tabel 7.7 geen significante verschillen
tussen de cybercrimes. We kunnen de percentages niet vergelijken met de
verdachten in HKS, omdat van die verdachten niet het geboorteland, maar de
etniciteit geregistreerd staat.
Tabel 7.7 Geboorteland van de verdachten
Hacken E-fraude Kinderporno Haatzaaien
(n=51) (n=213) (n=168) (n=43)
Geboorteland % % % %
Nederland 88,2 88,7 91,1 86,0
Ander Europees land 7,8 0,9 2,4 0,0
Buiten Europa 3,9 10,3 6,5 14,0
Totaal 99,9 99,9 100,0 100,0

232 Verkenning cybercrime in Nederland 2009
Van 491 verdachten weten we het geslacht (tabel 7.8). De verdeling tussen mannen
en vrouwen in de cybercrimedossiers wijkt significant af van de verdeling
van de Nederlandse bevolking (p

Cybercrime in Nederland: overeenkomsten en verschillen
233
zijn er boven de 24 jaar enkele leeftijdscategorieën die qua aandeel niet afwijken
van de Nederlandse bevolking. De oudste één of twee categorieën zijn
vervolgens ondervertegenwoordigd. Voor criminaliteitsbestrijding is vooral
van belang de bevinding dat verdachten van hacken en haatzaaien in veel gevallen
moeten worden gezocht in de leeftijdsgroep 12-24 jaar. Bij verdachten
van haatzaaien valt zelfs ruim een derde in de categorie 12-17 jaar.
Tabel 7.9 Leeftijdsopbouw van de verdachten, vergeleken met Nederlandse verdachten
en de Nederlandse bevolking
Hacken E-fraude Kinder- Haatzaaien HKS# NL-12+##
(n=47) (n=194) porno
(n=168)
(n=43) (n=244.000) (n=14mlj)
Leeftijdscategorie % % % % % %
12-17 jaar * 21,3 º 5,2 8,3 º * 34,9 14,4 x 8,6
18-24 jaar * 21,3 º * 45,9 º 15,5 * 25,6 24,6 x 9,7
25-34 jaar 17,0 º * 33,0 19,0 20,9 21,8 x 14,7
35-44 jaar 25,5 º * 10,3 22,0 14,0 19,7 x 18,6
45-54 jaar 10,6 º * 4,6 º 21,4 4,7 11,7 x 16,9
55-65 jaar 4,3 º * 0,5 9,5 * 0,0 5,4 x 14,5
65 jaar en ouder * 0,0 * 0,5 * 4,2 * 0,0 2,3 x 16,9
Totaal 100,0 100,0 100,0 100,0 99,9 99,9
# Bron: Landelijke Criminaliteitskaart 2007 (Prins, 2008).
## Bron: www.cbs.nl, peiljaar 2009.
* Significant verschil met NL.
º Significant verschil met HKS.
x Significant verschil tussen HKS en NL (steeds p

234 Verkenning cybercrime in Nederland 2009
de groep 65-plussers. Die is niet afwezig, maar wel significant ondervertegenwoordigd.
– Tot zover kunnen we concluderen dat een verdachte van cybercrime waarschijnlijk
van het mannelijke geslacht is en vermoedelijk moet worden
gezocht in de leeftijdsgroepen tussen 12 en 45 jaar. Kinderporno is een
uitzondering: een verdachte daarvan is bijna zeker van het mannelijke geslacht,
maar over de leeftijd valt minder met zekerheid te zeggen.
Sociale achtergrond
Op basis van de dossiers kunnen we niet zo veel zeggen over de sociale achtergrond
van de verdachten. Er staat vrij weinig in de politiedossiers over bijvoorbeeld
de woonsituatie, het opleidingsniveau en de arbeidssituatie. Over
burgerlijke staat en opleidingsniveau hebben we enkel van kinderpornoverdachten
gegevens (par. 5.6), dus is het maken van vergelijkingen niet mogelijk.
Wel hebben we redelijk wat gegevens van verdachten van e-fraude en
kinderporno over de woon- en arbeidssituatie.
Landelijke gezien bestaan de Nederlandse huishoudens voor 35,5% uit eenpersoonshuishoudens
(www.cbs.nl; peiljaar 2008). Uit tabel 7.10 blijkt dat verdachten
in de kinderpornodossiers (34,6%) hiervan niet significant afwijken.
Wel wonen verdachten in e-fraudedossiers significant minder vaak alleen
dan verdachten in kinderpornodossiers én dan de gemiddelde Nederlander
(p

Cybercrime in Nederland: overeenkomsten en verschillen
king (n=43) is 58,1% werkloos, tegen 15,2% van de verdachten in de kinderpornodossiers
(tabel 7.11b).
Tabel 7.11a Arbeidssituatie van de verdachten
E-fraude
Kinderporno
(n=48)
(n=123)
Arbeidssituatie % %
Werkend 37,5 63,4
Werkloos 52,1 11,4
Arbeidsongeschikt 2,1 7,3
Gepensioneerd 0,0 4,1
Studerend 8,3 12,2
Anders 0,0 1,6
Totaal 100,0 100,0
235
Het landelijke werkloosheidspercentage is 3,9% van de beroepsbevolking
(www.cbs.nl; peiljaar 2008). Verdachten in zowel de e-fraude- als de kinderpornodossiers
zijn significant vaker werkloos dan de gemiddelde Nederlander
die tot de beroepsbevolking hoort (p

236 Verkenning cybercrime in Nederland 2009
dossiers nog vaker dan verdachten in de kinderpornodossiers, wat tevens een
mogelijke verklaring kan zijn voor de financiële motivatie van deze verdachten.
Wat we verder leren uit de dossiers is dat, indien de politie verder wil met
daderprofilering van cybercrimeverdachten, zij er eerst voor moet zorgen dat
alle gegevens van verdachten worden vastgelegd. Van het merendeel van de
verdachten uit onze dossiers vonden we immers geen informatie over de sociale
achtergrond.
Antecedenten 91
In totaal hebben we van 390 verdachten voldoende persoonskenmerken voor
dit deel van het onderzoek. Van hen zijn in HKS de antecedenten nagetrokken.
We hebben opgevraagd in welke hoofdgroepen van delicten (tabel 7.12)
zij staan vermeld en voor welke artikelen die verband houden met de cybercrimes
uit deze VCN2009 zij antecedenten hebben. 92
Elke vermelding in een hoofdgroep kan weer meerdere antecedenten inhouden.
De vermeldingen zijn verspreid over de verschillende hoofdgroepen.
Verdachten in e-fraude- en haatzaaiendossiers hebben het vaakst antecedenten
(resp. 75,4% en 75%). Ongeveer de helft van de verdachten in de kinderpornodossiers
heeft antecedenten en bijna een derde van de verdachten in de
hackendossiers. Voor elk van de cybercrimes geldt dat de verdachten significant
meer antecedenten hebben dan de Nederlandse bevolking (p

Cybercrime in Nederland: overeenkomsten en verschillen
Tabel 7.12 Antecedenten van de verdachten en van Nederlanders van 12 jaar en ouder:
vermeldingen per hoofdgroep 93
# Hacken E-fraude Kinder- Haatzaaien NL-12+
(n=45) (n=138) porno
(n=167)
(n=40) (n=14mlj)
Hoofdgroep % % % % %
Gewelddadig seksueel 2,2 1,4 2,4 2,5 0,014
Overig seksueel 2,2 2,2 7,8 0,0 0,017
Geweld tegen personen 17,8 28,3 8,4 27,5 0,464
Vermogen met geweld 0,0 13,0 0,6 5,0 0,047
Vermogen zonder geweld 13,3 * 69,6 13,2 10,0 0,484
Vernieling/openbare orde 17,8 30,4 10,8 * 57,5 0,353
Verkeer 11,1 * 33,7 5,4 5,0 0,448
Drugs 4,4 10,9 2,4 0,0 0,137
Overige * 6,7 29,7 40,7 30,0 1,170
Eén of meer van deze 31,1 75,4 52,4 75,0 1,746
237
# Alle percentages in kolom 2-5 welke groter zijn dan 1,0 verschillen significant van het overeenkomstige
percentage in ‘NL-12+’ (p

238 Verkenning cybercrime in Nederland 2009
gestapt op het minder riskante e-fraude. Zo schrijven Newman en McNally
(2005) dat de grote opbrengsten en geringe pakkans ervoor zorgen dat e-fraude
voor de opportunistische kanszoeker aantrekkelijker is dan de handel in
drugs. In lijn daarmee concluderen Copes en Vieraitis (2007) dat de primaire
motivatie van daders van e-fraude is het op relatief eenvoudige manier snel
geld verdienen, met een geringe gepercipieerde pakkans. Dat laatste kan zo
zijn, maar dat betekent nog niet automatisch dat e-fraude alleen of zelfs maar
vooral criminelen uit de drugswereld aantrekt. Gezien de bevindingen uit
ons onderzoek, is een nuancering op zijn plaats. Om te beginnen is het percentage
e-fraudeverdachten met een antecedent voor drugs niet opvallend
hoog (10,9%, tabel 7.10). Dat percentage is weliswaar significant hoger dan het
overeenkomstige percentage voor verdachten van kinderporno (2,4%), maar
wijkt niet significant af van de percentages voor verdachten van hacken (4,4%)
of haatzaaien (0%). Dat de 10,9% wel significant meer is dan de 2,4% van kinderporno
en niet significant meer is dan de 0% van haatzaaien, heeft te maken
met de verschillende n-waarden (167 voor kinderporno en 40 voor haatzaaien).
Bij een geringere n-waarde kan niet zo snel worden vastgesteld dat
een verschil significant is.
Eerder zagen we dat verdachten van e-fraude zich overwegend bevinden
in de leeftijdsgroep 18-34 jaar. Verdachten van hacken en haatzaaien zien we
in de jongere leeftijdsgroepen en verdachten van kinderporno juist ook in de
oudere (tabel 7.9). Leeftijd lijkt dus een factor waarmee in de analyse rekening
gehouden moet worden. Het significante verschil tussen 10,9% drugsantecedenten
bij e-fraudeverdachten en 2,4% bij kinderpornoverdachten, zou deels
door het verschil in leeftijd van de verdachten kunnen worden verklaard. Dat
is een aandachtspunt voor nader onderzoek. Vooralsnog geeft ons onderzoek
dus geen steun aan de veronderstelling dat drugscriminelen zijn overgestapt
op e-fraude. Uiteraard kan dat in een aantal gevallen wel zo zijn, maar een
dominante ontwikkeling lijkt het niet. Wij vonden immers dat e-fraude vooral
een zaak is van mensen die andere mensen via advertenties een pootje willen
lichten. Dat wijst er niet direct op dat e-fraude het nieuwe werkterrein is
van ‘omgeschoolde’ drugscriminelen. We willen naast die veronderstelling
een tweede veronderstelling presenteren, die meer in lijn is met de bevindingen
uit ons onderzoek: e-fraude is een activiteit waarmee mensen die het financieel
niet breed hebben (werkloos zijn) zich gaan bezighouden, omdat het
bereik en tegelijk de anonimiteit van internet dat wel heel eenvoudig maken.
Nader onderzoek moet over de juistheid van beide veronderstellingen meer
helderheid verschaffen.
Verder laat tabel 7.12 zien dat de (relatief jonge) verdachten uit de haatzaaiendossiers
significant meer dan de verdachten van de andere cybercrimes
antecedenten hebben in de hoofdgroep ‘vernieling/openbare orde’. Daarvoor

Cybercrime in Nederland: overeenkomsten en verschillen
239
zien we twee mogelijke verklaringen. Een deel van de antecedenten kan zijn
gebaseerd op de dossiers die onderdeel zijn van onze studie (zie ook par. 1.4),
omdat haatzaaidelicten vallen binnen deze hoofdgroep. Een andere mogelijke
verklaring heeft meer met het type verdachte te maken. Levin en McDevitt
(2002) concluderen bijvoorbeeld dat het motief van jonge verdachten van haatzaaien
veelal spanning en opwinding is en dat verdachten zich vaak verveeld
voelen en behoefte hebben aan ontlading. Het gaat dan volgens Levin en
McDevitt in de meeste gevallen om bekladding, vernieling en vandalisme,
hoewel geweld binnen deze groep ook voorkomt. Dat verdachten van haatzaaien
relatief veel antecedenten hebben in de hoofdgroep ‘vernieling/openbare
orde’ is dan een gevolg van het feit dat deze jongeren hun onrust/onvrede
op verschillende manieren uiten, niet alleen door haatzaaien, maar ook
door het op andere wijze verstoren van de maatschappelijke orde, of, populair
gezegd, het trappen van rotzooi.
Relatie verdachte-slachtoffer
Van 345 verdachten weten we de relatie met het slachtoffer (tabel 7.13). In de
e-fraude- en kinderpornodossiers zijn verdachte en slachtoffer meestal geen
bekenden van elkaar (resp. 93% en 93,1%). In de hackendossiers zijn verdachte
en slachtoffer juist vaak wel bekenden van elkaar (86,2%). In die dossiers is de
verdachte meestal een (ex-)partner (24,2%), een kennis (24,1%) of een zakelijke
relatie (20,7%).
Op deze punten wijkt hacken significant af van de andere twee cybercrimes.
Een verdachte van een hack kan dus vaker dan een verdachte van
e-fraude of haatzaaien worden gezocht in de kring van bekenden van het
slachtoffer. In de hackendossiers ligt het motief vaak in de relationele sfeer
(een ex-partner die de ander probeert zwart te maken of persoonlijke informatie
wil verkrijgen), terwijl verdachte en slachtoffer in fraudedossiers elkaar
vaak niet kennen. In die dossiers worden slachtoffers vaak opgelicht door een
onbekende verdachte op onlineverkoopsites. Ook in de kinderpornodossiers
kennen verdachte en slachtoffer elkaar niet. Dit komt doordat veel dossiers
over verdachten gaan die enkel kinderporno gedownload hebben. Overigens
betreffen de kinderpornodossiers ook weer niet altijd ‘alleen maar’ het bezit
van willekeurige kinderpornoplaatjes: 5,7% van de verdachten kent wel het
slachtoffer.

240 Verkenning cybercrime in Nederland 2009
Tabel 7.13 Relatie tussen verdachten en slachtoffers
Hacken E-fraude Kinderporno
(n=58) (n=128) (n=159)
Relatie verdachte en slachtoffer % % %
Familie 3,4 1,6 0,6
Partner 1,7 5,5 0,6
Ex-partner (getrouwd, langdurige relatie) * 12,1 0,0 0,0
Ex-partner (verkering, kortstondige relatie) * 12,1 0,0 0,0
Kennis * 24,1 0,0 5,7
Zakelijk ((ex-)werknemer, zakenrelatie, klant) * 20,7 0,0 0,0
Zakelijk (student) * 12,1 0,0 0,0
Onbekende * 13,8 93,0 93,1
Totaal 100,1 100,1 100,0
* Significant verschil met de overeenkomstige percentages van de andere cybercrimes in deze
tabel (p

Cybercrime in Nederland: overeenkomsten en verschillen
241
Kortom, uit de analyse van de relatie tussen de verdachte en het slachtoffer
blijkt dat er verschillen bestaan tussen de cybercrimes uit deze studie. Verdachte
en slachtoffer in de hackendossiers zijn vaker bekenden van elkaar en
de motivatie van deze verdachten ligt geregeld in de relationele sfeer. Bij de
andere cybercrimes uit deze studie zien we juist een ander beeld. In de e-fraude-
en kinderpornodossiers zijn verdachte en slachtoffer meestal geen bekenden
van elkaar. De primaire motivatie van e-fraudeurs is in de regel financieel
gewin, verdachten in de kinderpornodossiers hebben vaker nieuwsgierigheid
en verslaving/seksuele behoefte als motivatie. Verdachten in haatzaaidossiers
hebben uiteenlopende motieven, meestal wraak (33,3%) en politiek-ideologisch/nationalistisch
(29,6%).
Tabel 7.14 Primaire motivatie verdachten 95
Hacken E-fraude Kinderporno Haatzaaien
(n=33) (n=98) (n=105) (n=27)
Primaire motivatie % % % %
Wraak 36,4 0,0 1,9 33,3
Financieel gewin 12,1 * 100,0 0,0 0,0
Status/zichzelf bewijzen 9,1 0,0 0,0 18,5
(Politiek-)ideologisch 0,0 0,0 0,0 14,8
Nationalistisch 0,0 0,0 0,0 14,8
Sensatie/(media-)aandacht 3,0 0,0 0,6 7,4
(Intellectuele) uitdaging 0,0 0,0 1,9 3,7
Discussie doen oplaaien 0,0 0,0 0,0 3,7
Nieuwsgierigheid 30,3 0,0 * 61,0 3,7
Verslaving/seksuele behoefte 0,0 0,0 20,0 0,0
Per ongeluk 0,0 0,0 10,5 0,0
Overige 9,1 0,0 3,8 0,0
Totaal 100,0 100,0 97,5 99,9
* Significant verschil met de overeenkomstige percentages van de andere cybercrimes in deze
tabel (p

242 Verkenning cybercrime in Nederland 2009
– Een verdachte van cybercrime is waarschijnlijk van het mannelijke geslacht
en moet vermoedelijk worden gezocht in de leeftijdsgroepen tussen
12 en 45 jaar. Kinderporno is een uitzondering: een verdachte daarvan
is bijna zeker van het mannelijke geslacht, maar over de leeftijd valt juist
minder met zekerheid te zeggen.
– Daders van cybercrime plegen hun delict zelden in georganiseerd verband.
Toch komt georganiseerde cybercrime wel voor bij e-fraude en kinderporno.
– Verdachten van e-fraude hebben relatief veel antecedenten in de hoofdgroepen
‘vermogen zonder geweld’ en ‘verkeer’. Het hoge percentage
e-fraudeverdachten met antecedenten in de eerstgenoemde hoofdgroep
kan (deels) zijn veroorzaakt doordat de antecedenten ook zijn gebaseerd
op de dossiers die onderdeel zijn van onze studie (zie ook par. 1.4). Tegelijk
blijft de mogelijkheid bestaan dat e-fraudeverdachten meer dan andere
verdachten actief zijn in vermogenscriminaliteit. Dat e-fraudeverdachten
meer antecedenten hebben op verkeersgebied kan te maken hebben met
de leeftijd van e-fraudeverdachten. Zij vallen meer dan andere verdachten
in de leeftijdgroep (18-34 jaar) waarin mensen – vooral jongemannen – een
verhoogd risico lopen, niet in de laatste plaats in het verkeer.
– In de literatuur vonden we dat e-fraudeurs vaak antecedenten hebben
voor drugsdelicten. Het zou gaan om drugscriminelen die nu ‘snel geld’
zoeken in e-fraude. Onze bevindingen geven vooralsnog geen steun aan
de veronderstelling dat hier sprake is van een omvangrijke ‘omscholing’.
Ze leiden eerder tot de veronderstelling dat e-fraude een activiteit is van
redelijk alledaagse mensen die het financieel niet breed hebben (werkloos
zijn). Nader onderzoek, waaronder daderinterviews, moet hierover meer
helderheid verschaffen.
– Verdachten uit de haatzaaiendossiers hebben meer dan de andere verdachten
antecedenten in de hoofdgroep ‘vernieling/openbare orde’. Een
deel van de antecedenten kan zijn gebaseerd op de dossiers die onderdeel
zijn van onze studie. Een andere mogelijke verklaring vinden we in de literatuur
en heeft meer met het type verdachte te maken: het kan gaan om
personen die zoeken naar spanning en opwinding en die zoeken naar mogelijkheden
om rotzooi te trappen.
– Verdachte en slachtoffer in hackendossiers zijn vaak bekenden van elkaar;
bij e-fraude en kinderporno is dat doorgaans juist niet het geval.
– De motivatie van hackenverdachten ligt geregeld in de relationele sfeer.
De primaire motivatie van e-fraudeurs is steevast financieel gewin, verdachten
in de kinderpornodossiers hebben vaker nieuwsgierigheid en verslaving/seksuele
behoefte als motivatie. Verdachten in haatzaaiendossiers
hebben uiteenlopende motieven, meestal wraak en politiek-ideologisch/
nationalistisch.

Cybercrime in Nederland: overeenkomsten en verschillen
243
De analyses wijzen erop dat we niet alleen te maken hebben met verschillende
cybercrimes met relatief weinig dwarsverbanden, maar ook met verschillende
dadergroepen die elkaar wellicht maar weinig overlappen. Nader
onderzoek dient vooral gericht te zijn op het vergroten van kennis over specifieke
dadergroepen, niet alleen met het oog op de opsporing, maar ook met
het oog op preventie en vroegsignalering. We denken dan in eerste instantie
aan:
– Plegers van veelvoorkomende e-fraude (veilingfraude) met bijzondere aandacht
voor de leeftijdsgroep van 18 tot 34 jaar. Speciale aandachtspunten
in zo’n onderzoek zijn dan de omstandigheden die maken dat de daders
komen tot het delict en de rol van werkloosheid daarbij (daderinterviews),
alsook het vraagstuk van recidive of, wat uitgebreider, de criminele carrière
– en natuurlijk wat kan helpen om e-fraude tegen te gaan.
– Plegers van haatzaaien, met name in de jongste leeftijdscategorie (12-18
jaar). Speciaal aandachtspunt in zo’n onderzoek is de eventuele samenhang
tussen het delict enerzijds en omgevingsfactoren en persoonlijkheidskenmerken
anderzijds. Centrale vraag is dan welke omstandigheden
kunnen helpen verklaren waarom deze jonge daders tot hun delict komen,
of jongeren die tot zo’n delict komen wellicht bepaalde persoonlijkheidskenmerken
hebben, of er een samenhang is met het plegen van andere delicten
die zijn op te vatten als uiting van onrust/onvrede of ontlading.
– Daders van in het bijzonder e-fraude en kinderporno die delicten plegen in
georganiseerd verband. Via de politiedossiers die wij doorzochten, krijgen
we nauwelijks zicht op georganiseerde criminaliteit. Signalen dat daarvan
wel sprake is, zagen we echter wel in de dossiers. Georganiseerde criminaliteit
vormt een maatschappelijke dreiging. Meer zicht op dat fenomeen is
daarom nodig. Dat vergt een specifiek daarop gerichte benadering.
We noemen niet de reguliere kinderpornodownloader als aandachtspunt
voor nader onderzoek. De belangrijkste reden daarvoor is dat het georganiseerde
deel van de kinderpornohandel het eerst aandacht verdient. Ook hackers
noemen we in zijn algemeenheid niet als aandachtsgebied voor nader
onderzoek. De belangrijkste reden daarvoor is dat hacken vaak plaatsvindt
in de sfeer van ruzie tussen bekenden – en dat het slachtoffer de politie dus
kan wijzen wie de vermoedelijke dader is. Verder is hacken in de wereld van
cybercriminaliteit doorgaans geen einddoel, maar meer een middel tot het
plegen van andere criminaliteit, vooral fraude. Wanneer we daders onder de
loep nemen die zich bezighouden met e-fraude, haatzaaien en georganiseerde
criminaliteit, ontstaat ook meer zicht op hacken en hackers.

244 Verkenning cybercrime in Nederland 2009
7.4 Omvang
Inleiding
Om enig zicht te krijgen op de omvang van cybercrime, namen we een steekproef
van meldingen en aangiften om te zien in hoeveel gevallen er in de politieregistratie
sprake is van hacken (Domenie e.a., 2009). Ook hielden we een
slachtofferenquête onder internetters in Friesland.
Uit de politieregistratie
We onderzochten in de korpsen Hollands-Midden en Zuid-Holland-Zuid
welk deel van het bij de politie geregistreerde werkaanbod cybercrime betreft
(Domenie e.a., 2009). Van alle in deze regio’s in 2007 geregistreerde zaken betreft
tussen de 0,3% en 0,9% cybercrime (tabel 7.15). Deze studie in twee korpsen
geeft zicht op de omvang van de door de politie geregistreerde cybercrime.
Daaruit is echter bezwaarlijk iets af te leiden over hoe vaak die vorm van criminaliteit
werkelijk voorkomt.
Tabel 7.15 Geregistreerd werkaanbod cybercrime 96
Hollands- Zuid-
Midden Holland-Zuid
Percentage cybercrime in de politieregistratie 96 Van de cybercrimes heeft betrekking op:*
0,3-0,6 0,4-0,9
E-fraude 51,4 48,6
Hacken 6,9 4,3
Stalking 5,6 7,1
Spionage 0,0 0,0
Smaad 8,3 15,6
Illegale handel (gestolen goederen, illegale prostitutie) 11,1 14,3
Kinderporno 1,4 4,3
Piraterij 0,0 1,4
Illegale kansspelen 0,0 0,0
Afpersen 0,0 0,0
Haatzaaien 0,0 0,0
Grooming 5,6 1,4
Overige cybercrime (bedreiging, schending privacy, enz.) 13,9 7,1
* Het totaal van deze percentages is meer dan 100, omdat in sommige dossiers sprake is van
meerdere vormen van cybercrime.
96 Aangezien de meting is verricht in een steekproef, konden we berekenen dat het aandeel cybercrime
met een betrouwbaarheid van 90% ligt tussen deze twee grenswaarden (zie voor
een uitgebreide verantwoording Domenie e.a., 2009).

Cybercrime in Nederland: overeenkomsten en verschillen
245
Het aandeel van het totale geregistreerde werkaanbod dat cybercrime betreft,
ligt in beide korpsen tussen 0,3% en 0,9%. De verdeling van de cybercrimes
is vergelijkbaar. De helft is e-fraude, de andere helft is verdeeld over veel verschillende
cybercrimes. In Zuid-Holland-Zuid zijn meer gevallen van ‘smaad’
gevonden in de steekproef, in Hollands-Midden meer ‘overige cybercrimes’.
Om meer te kunnen weten over dit verschil, zal een grotere steekproef genomen
moeten worden en moeten de dossiers verder inhoudelijk worden bestudeerd.
Cyberafpersen en haatzaaien vinden we niet terug in de steekproef.
Wat niet wil zeggen dat deze delicten geheel niet voorkomen. Voor zover ze
voorkomen, wordt er kennelijk weinig aangifte van gedaan. Ook vonden we
niet veel aangiftes van kinderporno. Het kan zijn dat niet al dergelijke zaken
in BPS gemuteerd worden. Deze zaken ontbreken dan dus. 97
Uit tabel 7.15 kunnen we niet veel afleiden over de prevalentie van de verschillende
cybercrimes, omdat gegevens over aangiftebereidheid ontbreken.
Wel is duidelijk met wat voor zaken de politie het frequentst wordt geconfronteerd:
vooral e-fraude (49-51% van alle cybercrimes), dan hacken (4-7%),
kinderporno (1-4%) en tot slot cyberafpersen en haatzaaien (geen zaken gevonden).
Uit de slachtofferenquête onder burgers
We hielden in november 2008 (via www.vraaghetdevries.nl) een steekproef
onder Friese internetgebruikers (zie bijlage 11). In totaal zijn 1.246 Friese internetgebruikers
ondervraagd (tabel 7.16). Het vaakst gaven respondenten aan
in 2007 of 2008 slachtoffer te zijn geweest van een poging tot e-fraude (10,1%).
Slechts twee respondenten deden aangifte, een van hacken en een van e-fraude.
Tabel 7.16 Slachtofferschap cybercrime in twee jaar, onder Friese internetgebruikers
(n=1.246)
Aantal slachtoffers Aantal aangiften
Cybercrime n % n %
Hacken 65 5,2 1 1,5
E-fraude 28 2,2 1 3,6
Ongewenst kinderporno ontvangen 16 1,3 0 0
Totaal 109 8,7 2 1,8
97 We checkten dit bij misdaadanalisten uit het korps Hollands-Midden; volgens hen worden
nagenoeg alle zaken in BPS gemuteerd, alleen grote schokkende zaken, of zaken waarbij politiemedewerkers
zelf betrokken zijn, worden afgeschermd. We weten niet of dit geldt voor
alle korpsen.

246 Verkenning cybercrime in Nederland 2009
Op basis van de steekproef van www.vraaghetdevries.nl kunnen we voorlopig
concluderen dat burgers niet zelden slachtoffer worden van een cybercrime,
maar dat slechts een enkeling daarvan aangifte doet.
Conclusie
Over de absolute omvang van cybercrime in Nederland valt niet veel met zekerheid
te zeggen (zie ook Domenie e.a., 2009). Het maakt maar een zeer klein
deel uit van de bij de politie geregistreerde criminaliteit. De resultaten uit een
slachtofferonderzoek in Friesland, wijzen op een substantieel dark number.
Om deze kennisleemte op te vullen, is een landelijk slachtofferonderzoek nodig.
7.5 Maatschappelijke impact
Inleiding
Maatschappelijke impact is een breed begrip. We beperken ons in deze paragraaf
voornamelijk tot de vraag wie slachtoffer worden van cybercrime en
welke schade zij daarvan ondervinden. We beginnen deze paragraaf met kenmerken
van de slachtoffers (persoonskenmerken, sociale achtergrond en antecedenten).
Daarna kijken we naar de (im)materiële schade die zij leden. We
hebben uit de dossiers weinig informatie over slachtoffers van cyberafpersen,
kinderporno en haatzaaien. De kwantitatieve analyse betreft derhalve alleen
slachtoffers van hacken en e-fraude.
Persoonskenmerken
Van 385 slachtoffers uit de hacken- en e-fraudedossiers weten we het geboorteland.
Het merendeel is geboren in Nederland. In de hackendossiers is dat
86,5% en in de e-fraudedossiers 90,7%.
Van 379 slachtoffers weten we het geslacht (tabel 7.17). De verdeling tussen
mannen en vrouwen in de hacken- en e-fraudedossiers wijkt significant af
van de verdeling van de Nederlandse bevolking (p0,01).

Cybercrime in Nederland: overeenkomsten en verschillen
Tabel 7.17 Geslacht van de slachtoffers
Hacken
E-fraude
NL bevolking*
(n=99)
(n=280)
(n=16mlj)
Geslacht % % %
Man 63,6 67,1 49,5
Vrouw 36,4 32,9 50,5
Totaal 100,0 100,0 100,0
* Cijfers ontleend aan www.cbs.nl, peiljaar 2009.
247
Van 374 slachtoffers weten we de leeftijd (tabel 7.18). Die varieert van 13 tot
77 jaar. Er zijn in de leeftijdsopbouw geen verschillen tussen slachtoffers van
hacken en e-fraude. Ten opzichte van de Nederlandse bevolking van 12 jaar
en ouder ligt bij de slachtoffers de nadruk op de leeftijdscategorie van 18-44
jaar, vooral bij e-fraude. Die nadruk op de jongere leeftijdsgroepen zagen we
ook bij de verdachten. Bij e-fraude is er ook een verschil in leeftijd tussen verdachten
en slachtoffers. Bij de verdachten ligt een sterke nadruk op de leeftijdsgroep
18-34 jaar, een nadruk die we bij de slachtoffers niet zo terugvinden.
Slachtoffers zijn gemiddeld genomen wat ouder.
Tabel 7.18 Leeftijdsopbouw van de slachtoffers, vergeleken met de Nederlandse bevolking
van 12 jaar en ouder
Hacken
E-fraude
NL-12+#
(n=98)
(n=276)
(n=14mlj)
Leeftijdscategorie % % %
12-17 jaar 11,2 6,5 8,6
18-24 jaar * 22,4 * º 19,2 9,7
25-34 jaar 22,4 * º 21,7 14,7
35-44 jaar 22,4 * º 27,2 18,6
45-54 jaar 12,2 º 16,7 16,9
55-65 jaar 8,2 * º 8,0 14,5
65 jaar en ouder * 1,0 * 0,7 16,9
Totaal 100,0 100,0 99,9
# Bron: www.cbs.nl, peiljaar 2009.
* Significant verschil met Nederlanders 12+.
º Significant verschil met de overeenkomstige percentages voor verdachten in tabel 7.9 (steeds
p

248 Verkenning cybercrime in Nederland 2009
Slachtoffers van hacken en e-fraude vinden we niet zozeer onder 65-plussers.
Daarvoor zijn verschillende verklaringen denkbaar. Mogelijk vinden we onder
die groep relatief weinig internetgebruikers en worden zij dus ook werkelijk
niet vaak slachtoffer van cybercrime. Maar het kan ook zijn dat 65-plussers
wel slachtoffer worden van hacken, maar dat minder snel opmerken. Voor
fraude geldt nog dat 65-plussers daarvan wellicht geen slachtoffer worden,
omdat zij, ook al gebruiken ze internet, niet vaak aankopen doen via internet.
We beschikken niet, net zoals voor de verdachten, over de leeftijdsopbouw
van ‘slachtoffers van criminaliteit in Nederland’. We kunnen derhalve niet
nagaan of slachtoffers van cybercrime jonger of ouder zijn dan slachtoffers
van criminaliteit in het algemeen. Voor de maatschappelijke impact is het
slachtofferschap onder kwetsbare groepen een belangrijk gegeven, denk aan
de commotie die ontstaat wanneer oude mensen worden beroofd of wanneer
kinderen worden misbruikt. Blijkens ons onderzoek zijn 65-plussers niet vaak
slachtoffer van cybercrime. Slachtofferschap onder minderjarigen komt vaker
voor. Gemiddeld over hacken en e-fraude valt 7,8% van de slachtoffers in de
leeftijdscategorie 12-17 jaar. 98 Slachtoffers van kinderpornografie zijn uiteraard
altijd minderjarigen. Met dat internet de verspreiding van kinderporno
heeft verveelvoudigd, is ook het slachtofferschap onder minderjarigen verveelvoudigd.
De vraag is nu of ook voor andere delicten geldt dat minderjarigen
vanwege internet vaker slachtoffer zijn van criminaliteit. Dat is een
aandachtspunt voor nader onderzoek.
Sociale achtergrond
Op basis van de dossiers kunnen we geen betekenisvolle uitspraken doen
over de sociale achtergrond van de slachtoffers. Er staat daarvoor te weinig in
de politiedossiers. Ook is onbekend of het slachtoffer eerder al eens slachtoffer
was van cybercrime en wat zijn of haar technische vaardigheden zijn.
Antecedenten
Zowel slachtoffers van hacken als van e-fraude hebben significant meer antecedenten
dan de gemiddelde Nederlander (p

Cybercrime in Nederland: overeenkomsten en verschillen
249
Bij e-fraude is het beeld anders. De slachtoffers van e-fraude hebben weliswaar
net als slachtoffers van hacken meer antecedenten dan de gemiddelde
Nederlander, maar vooral hebben zij minder antecedenten dan de verdachten
van e-fraude. Dat slachtoffers van e-fraude meer antecedenten hebben dan de
gemiddelde Nederlander, komt wellicht ook doordat zij jonger zijn dan gemiddeld
en vaker van het mannelijk geslacht (tabel 7.17 en 7.18). Nader onderzoek
moet uitwijzen of leeftijd en geslacht het verschil voldoende verklaren.
Maar anders dan bij hacken hebben slachtoffers van e-fraude niet een vergelijkbaar
antecedentenpatroon als de verdachten van dat delict. Slachtoffers
van e-fraude hebben in alle hoofdgroepen significant minder antecedenten
dan de verdachten, behalve in de twee groepen met zedendelicten (tabel 7.19
en 7.12).
Tabel 7.19 Antecedenten van de slachtoffers en van Nederlanders van 12 jaar en ouder
(n=14 mlj.): vermeldingen per hoofdgroep 99
Hacken
E-fraude NL-12+
(n=93)
(n=271)
Soort antecedent (hoofdgroep) % % %
Gewelddadig seksueel 0,0 0,0 0,014
Overig seksueel 0,0 0,0 0,017
Geweld tegen personen * 11,8 x º* 3,3 0,464
Vermogen met geweld * 1,1 º 0,0 0,047
Vermogen zonder geweld * 6,5 x º 0,0 0,484
Vernieling/openbare orde * 6,5 º* 5,2 0,353
Verkeer * 4,3 º 1,1 0,448
Drugs 1,1 º* 1,5 0,137
Overige * 7,5 º 2,6 1,170
Eén of meer van deze * 20,4 º* 10,4 1,746
(n=14mlj) 99
* Significant verschil met ‘Nederlanders 12+.
x Significant verschil tussen hacken en e-fraude.
º Significant verschil met overeenkomstig percentage voor verdachten in tabel 7.10 (steeds
p

250 Verkenning cybercrime in Nederland 2009
Vorenstaande werpt nieuw licht op de bevinding dat bij hacken tussen verdachten
en slachtoffers geen verschil in antecedenten bestaat. Uit die bevinding
zou men kunnen afleiden dat slachtoffers ‘even crimineel’ zijn als hun
daders. Dat is contra-intuïtief, want het ligt immers in eerste aanleg voor de
hand te denken dat daders crimineler zijn dan hun slachtoffers. Ook al behoren
dader en slachtoffer beiden tot een groep met personen die relatief veel
delicten plegen (jonge mannen), dan nog zou men verwachten dat er bijkomende
factoren zijn die bepalen dat de ene jonge man wel en de andere geen
criminele feiten pleegt. Bij e-fraude lijkt dat inderdaad het geval, bij hacken
niet. Als vertrekpunten voor nader onderzoek formuleren wij twee hypothesen:
– Hacken is een dermate alledaags onderdeel van de omgang tussen mensen,
dat daders en slachtoffers inwisselbaar zijn: daders zijn over de hele
linie niet crimineler dan slachtoffers; ze verkeren in dezelfde kringen. Omdat
onder zowel daders als slachtoffers jonge mannen oververtegenwoordigd
zijn, hebben zowel daders als slachtoffers van hacken meer antecedenten
dan gemiddeld.
– E-fraude is geen alledaags onderdeel van de omgang tussen mensen. Daders
van e-fraude hebben een bredere oriëntatie op criminaliteit voor financieel
gewin. Zij hebben dan ook meer antecedenten dan degenen die
toevallig hun slachtoffers zijn.
Bevindingen uit ons onderzoek die in lijn zijn met deze twee hypothesen:
1. Van de e-fraudeverdachten heeft een significant groter deel antecedenten
dan van de hackenverdachten (resp. 75,4% en 31,1%, tabel 7.10, p

Cybercrime in Nederland: overeenkomsten en verschillen
Tabel 7.20 Schade van individuen en bedrijven
Hacken E-fraude
Hoogte schade (euro) Individu Bedrijf Individu Bedrijf
1-100 6 0 77 0
100-500 12 1 112 1
500-1.000 4 1 21 1
1000-10.000 7 5 26 5
10.000 of meer 2 3 4 3
Totaal 31 10 240 10
251
Tabel 7.20 laat zien dat de meeste materiële schades in de cybercrimedossiers onder
de € 500 liggen. Slechts in enkele gevallen ligt de schade op € 10.000 of meer.
De hoogte van de materiële schade zegt echter nog niet alles over de impact
die het delict op een slachtoffer heeft. Wat we over immateriële schade tegenkwamen,
is dat individuele slachtoffers zich soms aangetast voelen in hun persoonlijke
levenssfeer en/of bang zijn voor imagoschade (vanwege het vrijgeven
van gevoelige informatie). Voor bedrijven kan de schade bestaan uit vernielde
bestanden, het opnieuw moeten beveiligen van een netwerk en imagoschade.
In de hackendossiers is de impact op de individuele slachtoffers wisselend.
Slachtoffers voelen zich aangetast in de persoonlijke levenssfeer en zijn bang
voor imagoschade (door het vrijkomen van gevoelige informatie). De impact
op de bedrijven is onbekend. In de meeste gevallen werden bestanden vernield
en moest het netwerk opnieuw beveiligd worden. Ook zijn bedrijven bang voor
imagoschade, doordat hun website werd veranderd. In de e-fraudedossiers
heeft het delict, naast het financiële aspect, weinig impact op de meeste slachtoffers.
In veel gevallen was er ook een geringe schade. Wel was het vertrouwen
van een aantal slachtoffers om via internet goederen te kopen, geschaad.
In de cyberafpersingsdossiers maken slachtoffers zich vooral zorgen om
hun reputatie. Een van de slachtoffers heeft naar aanleiding van het delict een
poging tot zelfdoding ondernomen en één slachtoffer verloor zijn baan.
In de kinderpornodossiers is de impact op het slachtoffer groot. In een aantal
zaken werden foto’s van de slachtoffers verspreid.
In de haatzaaiendossiers voelen de meeste slachtoffers zich bedreigd en beledigd,
daarnaast waren slachtoffers geschokt door het delict.
Slachtoffers van e-fraude hebben het vaakst materiële schade en zij kunnen
hun vertrouwen in e-commerce verliezen. Ondanks het feit dat de materiële
schade bij de andere cybercrimes niet hoog is, kan de impact van de
delicten wel degelijk groot zijn. De haatzaaiendelicten zorgden bij de slachtoffers
voor een schok, ze voelden zich beledigd en bedreigd. Daarnaast zorgt

252 Verkenning cybercrime in Nederland 2009
het publiekelijk maken van persoonlijk materiaal (zoals naaktfoto’s) ervoor
dat slachtoffers imagoschade oplopen. Deze schade kan voor langere tijd zijn,
omdat de content die op internet geplaatst wordt, lastig te verwijderen en gemakkelijk
te verspreiden en te kopiëren is. Hierdoor kan de content ‘rond blijven
zweven’ op internet. Dit geldt dan speciaal voor de delicten kinderporno
en cyberafpersen.
Conclusie
Over de maatschappelijke impact is op basis van politiedossiers niet eenvoudig
iets stelligs te zeggen. Het belangrijkste gemis is dat de dossiers weinig
zeggen over de mate waarin de verschillende delicten voorkomen. Een bescheiden
slachtofferonderzoek in Friesland wijst op een lage aangiftebereidheid.
Het dark number is dus vermoedelijk hoog. Hoe hoog weten we niet.
Daarvoor is een landelijk slachtofferonderzoek nodig.
Dat cybercrimes de persoonlijke levenssfeer kunnen aantasten en dat
mensen na een e-fraude niet altijd even veel vertrouwen meer hebben in ecommerce
was te verwachten. Dat dergelijke effecten zich voordoen, zagen
we wel terug in de dossiers, maar in welke mate dat het geval is, kunnen we
daaruit niet afleiden. Daarvoor zijn politiedossiers niet geschikt. In de kinderpornodossiers
troffen we slechts 11 slachtoffers aan. De impact van het delict
op het slachtoffer was in de meeste zaken groot. Van cyberafpersen vonden
we slechts enkele dossiers. Hoewel de impact op individueel niveau natuurlijk
groot kan zijn, kunnen we gezien het geringe aantal dossiers bezwaarlijk
spreken van een grote maatschappelijke impact. Maar ook hier geldt: het dark
number is onbekend.
Hacken is vaak een daad die is verbonden met het alledaagse leven van
dader en slachtoffer, niet zelden onderdeel van een ruzie. E-fraude moeten we
meer zien als delict waarbij het slachtoffer wordt overrompeld door een anonieme
dader die uit is op zelfverrijking: de e-fraudeur als digitale struikrover.
Verwacht mag worden dat zo’n e-fraude een ernstiger inbreuk maakt op het
vertrouwen dat het slachtoffer in de samenleving heeft dan een hack in het
kader van een conflict, maar zeker weten we dat niet. Dat is een aandachtspunt
voor slachtofferonderzoek.
Op het totaal aan cybercrimes in de politiedossiers speelt georganiseerde
criminaliteit hoegenaamd geen rol. Maar dat is bij offlinecriminaliteit ook het
geval: verreweg de meeste delicten maken geen onderdeel uit van georganiseerde
criminaliteit. Omdat georganiseerde criminaliteit maatschappelijke
structuren kan aantasten (denk aan vermenging tussen boven- en onderwereld,
witwassen, bezit van onroerend goed, corruptie) verdient het, net als
in onderzoek naar offlinecriminaliteit, aparte aandacht. Er is dan ook nader
onderzoek vereist naar georganiseerde cybercriminaliteit.

8 co n c l u S i e S e n a a n b e V e l i n g e n
Dit laatste hoofdstuk bevat de belangrijkste conclusies uit dit onderzoek en
aanbevelingen. De onderliggende informatie is te vinden in hoofdstuk 2 tot
en met 7. Over cyberafpersen hebben we te weinig informatie voor een gedegen
analyse; over die cybercrime trekken we in dit laatste hoofdstuk dan ook
geen conclusies. 100
De aanbevelingen betreffen vooral richtingen voor vervolgonderzoek. Dat is
logisch, gezien de gebrekkige kennispositie inzake cybercrime. Ons onderzoek
levert weliswaar nieuwe inzichten, maar laat ook zien dat nog veel over cybercrime
onbekend is. Ook vanuit handhavings- en opsporingsperspectief is het
logisch dat dit onderzoek eindigt met aanbevelingen voor vervolgonderzoek.
We deden een verkenning op hoofdlijnen. Zo’n verkenning bevat geen vanuit
opsporingsperspectief ‘gevoelige’ informatie, zoals gegevens over bepaalde daders
of dadergroepen, en dus ook geen handvatten voor concrete opsporingsactiviteiten.
Deze verkenning is een oriëntatie op een criminaliteitsterrein, die
moet helpen om inzichtelijk te maken op welke plaatsen en langs welke weg de
problematiek nader in beeld moet worden gebracht om te kunnen komen tot
een onderbouwd en gericht handhavings- en opsporingsbeleid.
8.1 Conclusies
We presenteren onze conclusies geordend volgens de vier hoofdvragen in dit
onderzoek:
1. Wat is de aard van de cybercrimes?
2. Wat is bekend over de daders?
3. Wat is de omvang van de cybercrimes?
4. Wat is de maatschappelijke impact van de cybercrimes?
100 De conclusie die we kunnen trekken, is dat er weinig aangiften van cyberafpersingszaken
in de basisprocessensystemen van de politie staan. Dat kan verschillende oorzaken hebben:
dergelijke zaken komen niet of nauwelijks voor; de politie registreert ze slecht of niet; de
aangiftebereidheid is laag – of een combinatie van deze.

254 Verkenning cybercrime in Nederland 2009
We baseren ons op literatuur en een analyse over politiedossiers. Op enkele
punten spreken de resultaten van de literatuur- en dossierstudie elkaar tegen.
Enerzijds kan dit komen, doordat uitspraken die gedaan worden in rapporten
niet gebaseerd zijn op empirisch materiaal. Soms lijkt er zelfs sprake te zijn
van een papegaaiencircuit. Juist omdat er nog zo weinig bekend is over cybercrime,
nemen auteurs veel van elkaar over, waardoor beweringen ‘waar’ lijken
te worden (‘iedereen zegt het, dus het zal wel zo zijn’). Anderzijds is deze
studie slechts gebaseerd op een beperkt aantal politiedossiers (665) en kleven
er beperkingen aan de methode (zie par. 1.4). Het beeld uit de dossierstudie
is niet per se een representatief beeld van het gehele fenomeen cybercrime,
wel geeft het een beeld van cybercrimes die geregistreerd zijn in de basisprocessensystemen
van de politie. Met dat beeld uit de politiedossiers wordt
het beeld uit de literatuur op enkele plaatsen aangevuld of zo men wil genuanceerd.
Tegen de achtergrond van de genoemde beperkingen formuleren we
hierna onze conclusies, die we graag ook aanbieden als te toetsen hypothesen
in empirisch vervolgonderzoek.
1. Wat is de aard van de cybercrimes?
Cybercrime is van het volk.
Bij aanvang van dit onderzoek zagen we op basis van literatuur, de media
en beleidsdocumenten een beeld van hightechcybercriminelen die vanuit het
buitenland opereren in georganiseerde groepen en op grote schaal slachtoffers
maken. Dit beeld verdient te worden genuanceerd. Uit onze dossiers
blijkt juist dat er veel ‘kleine delicten’ gepleegd worden door min of meer alledaagse
verdachten die individueel opereren. Dat wil overigens niet zeggen
dat er geen georganiseerde cybercriminele groeperingen in Nederland actief
zijn. Aangiften tegen dergelijke groepen zijn we in de dossierstudie echter
niet vaak tegengekomen. Mogelijk is het werk van criminele groepen niet als
zodanig te herkennen, ook niet door het slachtoffer. In de dossiers zagen we
wel aanwijzingen van de aanwezigheid van georganiseerde criminaliteit: we
zagen voorbeelden van voorschotfraude, waarbij het slachtoffer werd voorgehouden
een prijs te hebben gewonnen; we zagen dat een verdachte van downloaden
van kinderporno het materiaal had verkregen bij een organisatie van
aanbieders. Maar over het geheel genomen speelt georganiseerde criminaliteit
in de dossiers nauwelijks een rol.
Op basis van de dossierstudie lijkt het plausibel om te veronderstellen dat
cybercrime dezelfde structuur heeft als klassieke (offline) criminaliteit. Ook
bij de klassieke criminaliteit is er immers sprake van een grote groep daders
die relatief kleine delicten (zoals diefstallen en inbraken) plegen op min of

Conclusies en aanbevelingen
255
meer individuele basis en is er sprake van een aantal groeperingen dat zich
bezighoudt met georganiseerde criminaliteit. Georganiseerde groepen hebben
dus niet het monopolie op cybercrime. Cybercrime is van iedereen. De
gemiddelde cybercrimineel in de Nederlandse politiedossiers is geen onderdeel
van een georganiseerde bende whizzkids die extreem gecompliceerde
dingen met een computer uithalen. Net als bij gewone criminaliteit zijn de
meeste verdachten mannen onder de 45 jaar, en net als bij gewone criminaliteit
zijn er ook vrouwelijke verdachten en verdachten uit andere leeftijdscategorieën.
Bij e-fraude, naar het zich laat aanzien de meest voorkomende cybercrime,
moet men niet allereerst denken aan internationaal opererende bendes
en technische hoogstandjes. De daders uit onze dossiers putten uit een
beperkt reservoir aan criminele technieken. Ze plaatsen een advertentie op
een verkoopsite of maken een website die het slachtoffer ertoe moet brengen
te betalen voor een goed of dienst die vervolgens niet wordt geleverd. Dat
e-fraudeurs zouden beschikken over bovengemiddelde technische inzichten
en vaardigheden, zoals te lezen valt in de literatuur, wordt door ons onderzoek
niet bevestigd.
Dat het plegen van e-fraude, kinderpornodelicten en haatzaaien ‘van het
volk’ is, is wellicht beter voor te stellen dan dat hacken dat is. In de literatuur
wordt immers nog steeds beweerd dat verdachten van hacken (net als e-fraudeurs)
in hoge mate technisch onderlegd zijn. Maar blijkens ons onderzoek
is het eens aan whizzkids voorbehouden hacken gedemocratiseerd, dat wil
zeggen binnen het bereik van velen gekomen. Daarvoor zijn diverse redenen
aan te voeren. Om te beginnen is het sinds de invoering van de Wet Computercriminaliteit
II voor hacken niet langer een vereiste dat een beveiliging
wordt doorbroken of omzeild. Met andermans wachtwoord zonder diens toestemming
inloggen op diens account, is al strafbaar, is al hacken. Een vriendje
met een smoes een password ontfutselen, is social engineering. Na het inloggen
(hacken) iets wijzigen of toevoegen aan iemands profiel op een sociale netwerkpagina
is defacing. Dat hacken alledaagser is geworden, heeft vermoedelijk
ook te maken met de mate waarin mensen in onze samenleving gebruikmaken
van en vertrouwd zijn geraakt met de virtuele wereld. Steeds meer
mensen presenteren zichzelf op internet. Voor jonge mensen, opgegroeid met
cyberspace, is het rommelen met andermans account of profiel niet per se een
technisch hoogstandje, maar gewoon een manier om een ander te grazen te
nemen. Ze weten hoe dat moet en maken van die kennis ook daadwerkelijk
gebruik.
De hackenzaken die we in de dossiers aantroffen, staan vooral in verband
met het vernietigen/kopiëren van gegevens (cybercrime in enge zin), fraude
en identiteitsdiefstal (winstbejag) en met het beslechten van interpersoonlij-

256 Verkenning cybercrime in Nederland 2009
ke conflicten, zoals smaad, bedreiging, belediging, aanranding en stalking.
Daarmee is hacken uiteindelijk vooral gericht op het behalen van een persoonlijk
voordeel. In de regel kennen verdachte en slachtoffer elkaar (ofwel
zakelijk, ofwel privé). Met andere woorden: hacken is niet gericht op maatschappelijke
ontwrichting of algemene gevaarzetting, maar op de verwezenlijking
van individuele belangen. Het gaat veelal om redelijk alledaagse zaken,
waarbij schijnbaar alledaagse mensen elkaar dwarszitten.
De politie krijgt meer en organisatiebreed met cybercrime te maken.
Dat cybercrime van het volk is, heeft implicaties voor politiebeleid. Cybercrime
wordt niet alleen gepleegd door georganiseerde groeperingen uit het
buitenland. De bestrijding van cybercrime moet dan ook niet alleen het domein
zijn van specialistische teams (zoals nu overwegend het geval is). Kennis
en kunde op het gebied van cybercrime moeten korpsbreed aanwezig
zijn: iedere agent moet in ieder geval beschikken over enige basiskennis inzake
cybercrime. Politiemensen krijgen niet alleen met op zichzelf staande
cybercrimes te maken. Er is een groeiende kans dat agenten ook in klassieke
zaken te maken krijgen met een cybercrimeaspect, denk bijvoorbeeld aan iemand
die gestalkt wordt en waarvan het e-mailaccount wordt gekraakt, of
aan een huiszoeking in verband met wapenbezit, waarbij kinderporno op de
computer wordt aangetroffen. Nieuwe generaties, die opgroeien in een tijdperk
waarin de computer en internet niet meer zijn weg te denken, zullen
steeds vaker te maken krijgen (ofwel als slachtoffer, ofwel als dader) met cybercrime
en met klassieke delicten als bedreiging, smaad en laster waaraan
een cybercrimeaspect zit. Dientengevolge krijgt de politie in de volle breedte
van de organisatie vaker te maken met cybercrime: bijvoorbeeld bij alarmmeldingen
voor de noodhulp, bij sociale problemen voor de gebiedsagent, bij
aangiften voor de intake, bij sporenonderzoek door de technische recherche,
bij verhoor door de tactische recherche, en bij het formuleren van beleid door
de korpsleiding.
E-fraude, kinderporno en haatzaaien staan op zichzelf.
De cybercrimes e-fraude, kinderporno en haatzaaien blijken op zichzelf te
staan en hebben weinig verbanden met andere vormen van criminaliteit. Verdachten
van deze cybercrimes zijn geen criminele generalisten, maar beperken
zich tot hun type cybercrime, zij het dat zij daarbij soms aanpalende delicten
plegen. We zien twee verschillende soorten van aanpalende delicten:
1. Delicten met hetzelfde karakter als het centrale delict: de bezitter van digitale
kinderporno die ook kinderpornoafbeeldingen op papier heeft of

Conclusies en aanbevelingen
257
kinderporno vervaardigt, en de haatzaaier die zich schuldig maakt aan
smaad jegens een individuele persoon.
2. Delicten in relatie tot het centrale delict: identiteitsdiefstal ter voorbereiding
op een delict, hacken om het delict uit te voeren of het beschadigen
van gegevens tijdens het uitvoeren van het delict.
We vatten hierna kort de aard van deze cybercrimes samen:
– E-fraude: heeft in de regel geen verbanden met andere (cyber)crimes en
is gericht op vermogenscriminaliteit (oplichting, vormen van diefstal).
Indien er wel verbanden zijn, dan zijn die er met diefstal van identiteitsgegevens
(vooral digitaal, maar ook niet-digitaal) en soms ook met hacken.
Deze delicten zijn dan een middel om te komen tot de e-fraude.
– Kinderporno: kent weinig verbanden met andere criminaliteitsvormen.
Als er al een verband is, is dat met een ander delict in de zedensfeer, met
name met het in bezit hebben van kinderporno anders dan op ICT en soms
met het vervaardigen van kinderporno. Ook proberen verdachten soms
minderjarigen te groomen of slachtoffers aan te randen door te dreigen
met het publiekelijk maken van gevoelige informatie (bijv. naaktfoto’s).
– Haatzaaien: vertoont meestal geen verband met andere soorten delicten.
Als sprake is van een dwarsverband, dan gaat het om andere uitingsdelicten
die in dezelfde sfeer liggen, zoals belediging, smaad, bedreiging, laster.
In enkele gevallen is sprake van een verband met hacken.
Hacken is een basisdelict: een middel en geen doel.
In tegenstelling tot de andere cybercrimes uit onze studie staat hacken juist
niet op zichzelf. Hacken heeft verbanden met een groot aantal andere vormen
van criminaliteit en is veelal een middel om andere delicten te plegen. Uit de
dossierstudie blijkt dat de hackenzaken een combinatie zijn van cybercrime
in enge zin (waarbij computers of computergegevens het doelwit zijn), vermogenscriminaliteit
en intermenselijke conflicten.
Ontwikkeling in motieven: hacking for revenge.
In de literatuur wordt vaak geclaimd dat motieven van hackers verschoven
zijn van hacking for fame naar hacking for fortune. Cybercriminelen zouden
steeds meer geïnteresseerd raken in financieel gewin. Een empirische onderbouwing
bij deze uitspraken hebben we echter niet kunnen vinden.
De motieven van hackers in onze dossiers variëren, bijvoorbeeld wraak,
nieuwsgierigheid en financieel gewin. Er is dus wel een groep hackers die delicten
pleegt voor het geld. Onbekend is echter of die verdachten een nieuwe

258 Verkenning cybercrime in Nederland 2009
groep cybercriminelen zijn of dat het, zoals in de literatuur wordt beweerd, of
in elk geval gesuggereerd, hackers zijn die, omdat ze ontdekt hebben dat er geld
te verdienen valt aan cybercrime, van het ‘zuivere hacken’ zijn overgestapt op
hacking for fortune. Voor zover een hack is gericht op financieel gewin, gaat het
niet om het werk van een georganiseerde bende. We zien in de dossiers eenlingen
die zich bezondigen aan relatief eenvoudige vermogenscriminaliteit.
Als we kijken naar het delict hacken, is een andere ontwikkeling veel dominanter:
de zo-even besproken democratisering. Hacken is niet langer voorbehouden
aan vergevorderde computeraars. De motieven van de tegenwoordige
hackers zijn weliswaar uiteenlopend, en financieel gewin hoort daar bij, maar
ze liggen vaak ook in de relationele sfeer. We zien dan ex-geliefden of jongeren
die elkaar dwarszitten door gevoelige informatie openbaar te maken of
elkaar zwart te maken. Er is, kortom, blijkens onze dossierstudie geen sprake
van een eendimensionale verschuiving van hacking for fame naar hacking for
fortune, de verschuiving is meerzijdig, vooral omdat hacken steeds meer van
het volk is geworden. Opmerkelijk daarbij is de opkomst van hacking for revenge.
Hacken en e-fraude internationaliseren het alledaagse werkaanbod van de
politie.
Bijna een kwart van de hackenverdachten en bijna 15% van de e-fraudeverdachten
opereert vanuit het buitenland. Dat is niet verrassend, ook in de literatuur
wordt cybercrime als een mondiaal probleem gezien. Door het mondiale
karakter van internet is het voor verdachten makkelijk om over de grenzen
slachtoffers te maken. Cybercrime, en hier dus vooral hacken en e-fraude, is
een probleem dat lang niet altijd bij de landsgrenzen ophoudt. Het werkaanbod
van de politie internationaliseert.
Van oudsher waren internationaal opererende daders in de regel onderdeel
van een georganiseerde dadergroep (denk bijv. aan drugs- en mensensmokkel).
Internationaal opererende daders kwamen bij de politie dan terecht bij
specialistische teams, namelijk teams die zich bezighielden met zware en georganiseerde
criminaliteit. Bij cybercrime zijn het nu ook kleinere criminelen
die internationaal opereren. Ook het meer alledaagse werkaanbod van de politie
wordt op deze wijze internationaler. Dat gaat dan politieonderdelen aan
die tot voor kort misschien niet met internationaal opererende verdachten te
maken kregen.

Conclusies en aanbevelingen
Oplichting via verkoopsites is de meest voorkomende vorm van e-fraude.
259
De meest voorkomende verschijningsvorm van e-fraude is oplichting via onlineverkoopsites.
Slachtoffer en verdachte komen een prijs overeen voor een
artikel, het slachtoffer betaalt en de verdachte levert niet (of andersom). Het
gaat vaak om relatief lage bedragen. In de literatuur is weinig terug te vinden
over deze verschijningsvorm. In de literatuur komt een beeld naar voren van
georganiseerde groeperingen die actief zijn op het gebied van e-fraude. Het
gaat dan met name om voorschotfraude, gepleegd door West-Afrikanen die
wereldwijd in groepsverband werken en slachtoffers voor grote bedragen oplichten.
De verdachten in de Nederlandse politiedossiers werken in de regel
echter alleen en er is, op een enkel dossier na, geen sprake van georganiseerde
criminaliteit. We komen wel enkele aangiften van voorschotfraude tegen,
maar het aantal daarvan staat in geen verhouding tot het aantal aangiften van
oplichtingen via onlineverkoopsites.
Er is sprake van identiteitsdiefstal en identiteitsmisbruik, frequentie en werkwijze
zijn onbekend.
Identiteitsdiefstal geldt in de literatuur als groot en snelgroeiend probleem,
maar in de dossiers is het moeilijk om vast te stellen of er sprake is van identiteitsdiefstal.
Bij het illegale gebruik van een creditcard waarmee via internet
goederen zijn besteld, is het niet altijd duidelijk wie de identiteit gestolen heeft.
Het kan zelfs zijn dat de zoon of dochter des huizes de creditcard gebruikt heeft
om via internet aankopen te doen zonder dit te melden. Hoe de identiteit gestolen
is, is nog moeilijker vast te stellen: ontfutseld door social engineering,
ingebroken in de computer, door het gebruik van spyware, verkregen via een
phishingsite, geskimmed of verkregen door dumpster diving. De vergelijking
met een klassiek delict als zakkenrollerij doemt op. Het is bij dit delict immers
ook niet altijd duidelijk of (en waar) een portemonnee gerold is of dat de aangever
de portemonnee zelf is verloren. De aangever merkt pas na enige tijd dat
zijn portemonnee weg is. Bij identiteitsdiefstal merkt het slachtoffer zelfs pas dat
hij of zij slachtoffer is, nadat de identiteit gebruikt is om fraude te plegen. Het is
overigens goed mogelijk dat identiteitsdiefstal en identiteitsmisbruik vaker ten
grondslag liggen aan deze cybercrime dan uit de dossierstudie blijkt. Slachtoffers
weten immers niet altijd of (en waar en hoe) hun identiteit gestolen is.
Er is een nieuwe groep kinderpornoverspreiders: de jongeren.
Uit de dossiers blijkt dat er de laatste jaren een nieuwe groep kinderpornoverspreiders
bij gekomen is. Bijna een kwart van de verdachten in de kinder-

260 Verkenning cybercrime in Nederland 2009
pornodossiers is onder de 24 jaar oud (en van die groep is 35% minderjarig).
Dit is te verklaren, doordat minderjarige jongeren, al dan niet vrijwillig, seksueel
getinte foto’s en video’s van zichzelf en/of elkaar maken. Indien dergelijke
content verspreid wordt via internet (door de verdachte zelf of door een
klasgenoot of kennis) is er sprake van de verspreiding van kinderpornografie
in de zin van artikel 240b Sr.
Meldingen over haatzaaien verschuiven naar weblogs.
Uit de analyse van jaarverslagen van het MDI blijkt dat over de jaren heen
de meeste meldingen van haatzaaiende uitingen betrekking hebben op websites.
Hieronder vallen ook weblogs en web- en discussieforums. Het aantal
meldingen over nieuwsgroepen neemt af en is in 2007 bijna nihil. Hier is overigens
een duidelijke tegenstelling met de verspreiding van kinderpornografisch
materiaal te zien: de verspreiding via websites neemt hier juist af. Een
verklaring hiervoor is dat de verspreiders van haatzaaiende teksten juist een
zo groot mogelijk publiek willen bereiken en nieuwe groepen mensen aan
willen spreken met hun boodschap, terwijl verspreiders van kinderporno
juist uit de publiciteit willen blijven en met gelijkgestemden materiaal willen
uitwisselen, of vanuit een onopvallende omgeving hun commerciële aanbod
doen.
(G)een haatepidemie op internet?
In de literatuur lezen we dat er op dit moment op internet een ‘haatepidemie’
heerst (Van Stokkom e.a., 2007). De resultaten uit ons onderzoek laten een ander
beeld zien. De politieregistraties in Nederland bevatten erg weinig aangiften
van de cybercrime haatzaaien. In de jaren 2002 tot en met 2007 vonden
we 40 zaken die voldeden aan onze selectiecriteria. Daarnaast onderzochten
we in de korpsen Hollands-Midden en Zuid-Holland-Zuid welk deel van het
bij de politie geregistreerde werkaanbod cybercrime betreft (Domenie e.a.,
2009). In dat onderzoek troffen we geen dossiers haatzaaien. In het jaarverslag
van het MDI is te zien dat in 2007 in totaal 1.079 meldingen omtrent strafbare
uitingen bij dat meldpunt werden gedaan (MDI, 2008). Van die meldingen in
2007 is echter niet één aangifte van het MDI voor de rechter gebracht. Overigens
melden Van Stokkom e.a. (2007) al dat de meeste strafbare uitingen op
internet momenteel ongemoeid worden gelaten. Het is de vraag of, indien er
geen aangifte gedaan wordt en er geen veroordelingen worden uitgesproken,
we wel moeten spreken van een haatepidemie op internet.

Conclusies en aanbevelingen
2. Wat is bekend over de daders?
Cybercrimeverdachten zijn in de regel in Nederland geboren mannen onder
de 45 jaar.
261
Het merendeel van de verdachten in de dossiers is in Nederland geboren en
is van het mannelijk geslacht. De verdeling tussen mannen en vrouwen in de
cybercrimedossiers wijkt significant af van de verdeling van de Nederlandse
bevolking. Dit geldt in het bijzonder voor kinderporno, dat is een echt mannendelict.
Bij twee typen cybercrime wijkt het percentage mannelijke verdachten
significant af van ‘de gemiddelde verdachte’ in HKS. Bij kinderporno
is het percentage mannen groter. Bij e-fraude is het percentage mannen juist
kleiner (p

262 Verkenning cybercrime in Nederland 2009
in HKS en bijna een derde van de verdachten in de hackendossiers. Het hoge
aantal verdachten met antecedenten kan deels komen doordat verdachten antecedenten
hebben voor de dossiers die wij analyseerden (zie hiervoor ook
par. 1.4). Daarom kunnen we over antecedenten geen al te stellige conclusies
trekken.
Verdachten in de e-fraudedossiers hebben significant meer antecedenten in
de hoofdgroepen ‘vermogen zonder geweld’ en ‘verkeer’ dan verdachten van
de andere cybercrimes uit deze studie. Dat e-fraudeurs antecedenten hebben
in de hoofdgroep ‘vermogen zonder geweld’ ligt in de lijn der verwachting;
de oplichtingen die we zagen in de dossiers passen in deze hoofdgroep. Een
deel van de antecedenten kan zijn gebaseerd op de dossiers die onderdeel zijn
van onze studie (zie ook par. 1.4). Dat e-fraudeverdachten meer antecedenten
hebben op verkeersgebied, kan te maken hebben met de leeftijd van e-fraudeverdachten.
Zij vallen meer dan andere verdachten in de leeftijdsgroep (18-34
jaar) waarin mensen – vooral jongemannen – een verhoogd risico lopen, niet
in de laatste plaats in het verkeer. Personen onder de 18 jaar (oververtegenwoordigd
in de hacken- en haatzaaiendossiers) nemen nog niet deel aan het
auto- of motorverkeer.
Verdachten uit de haatzaaiendossiers hebben significant meer antecedenten
dan de verdachten van de andere cybercrimes in de hoofdgroep ‘vernieling/openbare
orde’. Daarvoor zien we twee mogelijke verklaringen. Als
eerste is het weer mogelijk dat een deel van de antecedenten gebaseerd is
op de dossiers die onderdeel zijn van onze studie (zie ook par. 1.4). Een andere
mogelijke verklaring heeft met het type verdachte te maken. Levin en
McDevitt (2002) concluderen bijvoorbeeld dat het motief van jonge verdachten
van haatzaaien veelal spanning en opwinding is en dat verdachten zich
vaak verveeld voelen en behoefte hebben aan ontlading. Het gaat dan volgens
Levin en McDevitt in de meeste gevallen om bekladding, vernieling en vandalisme,
hoewel geweld binnen deze groep ook voorkomt. Dat verdachten
van haatzaaien relatief veel antecedenten hebben in de hoofdgroep ‘vernieling/openbare
orde’, is dan een gevolg van het feit dat deze jongeren hun onrust/onvrede
op verschillende manieren uiten, niet alleen door haatzaaien,
maar ook door het op andere wijze verstoren van de maatschappelijke orde,
of, populair gezegd, het trappen van rotzooi.
Verdachten van e-fraude en kinderporno zijn vaker werkloos dan de gemiddelde
Nederlander.
Op basis van de dossiers kunnen we niet zo veel zeggen over de sociale achtergrond
van de verdachten. De politie legt daarover (te) weinig vast. Gezien
de ambitie van de politie op het gebied van daderprofilering is dat opmer-

Conclusies en aanbevelingen
263
kelijk. Voor daderprofilering is immers een eerste vereiste dat men beschikt
over informatie over aangehouden verdachten.
Alleen van verdachten van e-fraude en kinderporno hebben we voldoende
materiaal voor een analyse. Deze verdachten bevinden zich niet in een sociaal
geïsoleerde positie wat betreft hun woonsituatie. Ze wonen vaker dan gemiddeld
in een meerpersoonshuishouden. Wel zijn ze vaker dan gemiddeld werkloos.
Van de kinderpornoverdachten is ruim 15% van de beroepsbevolking
werkloos, hetgeen significant meer is dan het landelijk gemiddelde van bijna
4%. Een nog weer significant groter percentage werklozen dan bij e-fraudeurs
vinden we onder kinderpornodelinquenten: bijna 60%.
3. Wat is de omvang van de cybercrimes?
We baseren ons hier op de dossierstudie en een eigen kleinschalig slachtofferonderzoek
onder Friese internetters. In eerdere hoofdstukken keken we ook
naar wat we in de literatuur vonden over de omvang van de verschillende
cybercrimes. Daarvoor verwijzen we naar de desbetreffende paragrafen (2.8,
3.8, 4.7, 5.8 en 6.8).
Het aantal aangiftes is laag, het dark number is substantieel (slachtofferschap
onbekend).
Het is onbekend hoeveel burgers en bedrijven er in Nederland slachtoffer zijn
van cybercrime. Slachtofferonderzoek ontbreekt. Uit de dossierstudie blijkt
dat met name individuen aangifte van cybercrime doen. Zowel mannen als
vrouwen uit alle leeftijdsklassen worden slachtoffer (waarbij vermeld moet
worden dat mannen in de regel vaker slachtoffer zijn en dat de leeftijdscategorie
55+ ondervertegenwoordigd is). We vonden slechts een paar bedrijven die
slachtoffer werden en aangifte deden.
Van alle door de politie in Hollands-Midden en Zuid-Holland-Zuid geregistreerde
meldingen en aangiften betreft minder dan 1% cybercrime (Domenie
e.a., 2009). Cijfers over politieregistraties zeggen echter niet veel over het
daadwerkelijke aantal slachtoffers. Slechts een deel van alle delicten wordt
aangegeven of gemeld. De aangiftebereidheid ligt bij cybercrime lager dan
bij klassieke criminaliteitsvormen. Om iets te kunnen zeggen over het dark
number voerden we een onderzoekje uit onder 1.246 internettende Friezen.
We zagen een aangiftebereidheid van nog geen 4%, gerekend over verschillende
delicten. Dat is aanzienlijk lager dan het gemiddelde van ongeveer 25%
voor alle delicten in de Integrale Veiligheidsmonitor (IVM) (Domenie e.a.,
2009). De aangiftebereidheid bij slachtoffers van cybercrime is dus laag, het
dark number hoog. Hoe groot de aangiftebereidheid bij bedrijven is, weten
we niet.

264 Verkenning cybercrime in Nederland 2009
E-fraude is de meest voorkomende vorm van cybercrime.
De meest voorkomende cybercrime in de politiesystemen is e-fraude – ongeveer
de helft van het aantal cybercrimes in het onderzoek van Domenie e.a.
(2009). Hacken en kinderporno komen in dat onderzoek ook voor, zij het in
mindere mate. Zowel uit onze dossierstudie als uit het onderzoek van Domenie
e.a. blijkt dat cyberafpersen en haatzaaien weinig in de politieregistratiesystemen
voorkomen.
4. Wat is de maatschappelijke impact van de cybercrimes?
De hoogte van de materiële schade is beperkt, er is wel gevaar voor verlies
van vertrouwen in e-commerce.
De hoogte van de materiële schade van slachtoffers is beperkt. In het merendeel
van de zaken ligt de schade onder de € 500, in slechts enkele dossiers ligt
de schade op € 10.000 of meer. Slachtoffers van e-fraude hebben het vaakst
materiële schade.
Ondanks het feit dat de materiële schade bij de cybercrimes meestal niet
hoog is, kan de impact van de delicten wel degelijk groot zijn. In de eerste
plaats kunnen de relatief lage schadebedragen op lange termijn wel degelijk
zorgen voor grote problemen. Een van de voordelen van internet voor criminelen
is immers dat er gemakkelijk een heleboel mensen opgelicht kunnen
worden in een kort tijdsbestek. Ondanks alle kleine bedragen kan de
opbrengst voor de cybercrimineel toch hoog zijn en kunnen slachtoffers hun
vertrouwen in e-commerce kwijtraken. Of dat ook zo is, zal nader onderzoek
moeten uitwijzen.
De immateriële schade is lastig te bepalen.
De immateriële schade is moeilijk in te schatten, doordat in veel dossiers weinig
informatie beschikbaar is over de impact die het delict op het slachtoffer
heeft. Uit de dossierstudie weten we wel dat de haatzaaidelicten bij de slachtoffers
voor een schok zorgen, ze voelden zich beledigd en bedreigd of aangetast
in hun persoonlijke levenssfeer. Daarnaast zorgt het publiekelijk maken
van persoonlijk materiaal (zoals naaktfoto’s) bij delicten als hacken, cyber-
afpersen en kinderporno ervoor dat slachtoffers geestelijke en/of imagoschade
oplopen. Deze imagoschade kan het slachtoffer voor langere tijd blijven
achtervolgen, omdat content die op internet geplaatst wordt moeilijk te verwijderen
en makkelijk te kopiëren en te verspreiden is.

Conclusies en aanbevelingen
8.2 Aanbevelingen
265
Deze VCN2009 is een eerste is zijn soort. Niet eerder werden in Nederland op
zo’n grote schaal cybercrimedossiers geanalyseerd. Het onderzoek is exploratief
van aard en het doel van het onderzoek was dan ook inzicht te bieden in
de aard van cybercrime in Nederland. Tijdens de dossierstudie bleek echter
dat in de geanalyseerde dossiers vaak (te) weinig informatie staat om goed
onderbouwde uitspraken te doen over bepaalde onderwerpen. De aanbevelingen
liggen dan ook met name in de sfeer van verdere onderzoeksmogelijkheden.
Voer slachtofferonderzoek uit om kennis over aard, omvang en maatschappelijke
impact te vergroten.
Er is erg weinig bekend over de omvang van cybercrime. Het geregistreerde
aantal aangiften en meldingen lijkt erg laag. Met name bedrijven doen geen
aangifte. We weten echter hoegenaamd niets over de aangiftebereidheid en
het daadwerkelijke slachtofferschap. Slachtofferenquêtes zijn nodig om beter
inzicht te krijgen in de aard, omvang en aangiftebereidheid van cybercrime.
Voer daderonderzoek uit om kennis over de daders en de aard van cybercrime
te vergroten.
Uit de politiedossiers is weinig af te leiden over daders, terwijl kennis over
daders belangrijke aanwijzingen kan geven in de opsporing (daderprofilering),
inzicht kan geven in preventiemogelijkheden en zicht kan bieden op
mogelijkheden tot vroegsignalering. Een van de vragen is hoe criminele carrières
van cybercriminelen verlopen en wat risicofactoren zijn. Betere kennis
over werkwijzen van daders kan inzicht opleveren in de mogelijkheden tot
‘tegenhouden’ – het ‘dwarszitten’ van (potentiële) daders, zodat het voor hen
onaantrekkelijk wordt om delicten te plegen.
Meer kennis over daders vergt daderonderzoek. E-fraudeurs vormen waarschijnlijk
de grootste groep onder de cybercriminelen. Ons dossieronderzoek
wijst er in elk geval op dat zij veel slachtoffers maken. Daderonderzoek zou
dus in elk geval deze groep moeten betreffen.
Speciaal punt van aandacht in daderonderzoek is identiteitsmisbruik. Uit
de politiedossiers leren we niet veel daarover. Slachtoffers weten veelal ook
niet of hun identiteit is misbruikt. Daderonderzoek kan nieuwe informatie
daarover opleveren.

266 Verkenning cybercrime in Nederland 2009
Voer onderzoek uit naar georganiseerde cybercriminaliteit.
Uit de dossierstudie komt een beeld naar voren dat cybercriminaliteit meestal
gepleegd wordt door verdachten die relatief zelfstandig werken en geen verbanden
hebben met georganiseerde misdaad. Dat wil niet zeggen dat georganiseerde
criminele groeperingen zich niet bezighouden met cybercrime;
net zoals in de offlinewereld worden de meeste (kleine) delicten gepleegd
door een grote groep verdachten en een klein deel van de criminaliteit wordt
(systematisch) gepleegd door georganiseerde groeperingen. In de politiedossiers
staat over georganiseerde cybercrime hoegenaamd geen informatie.
Om daarover meer te weten te komen, is speciaal daarop gericht onderzoek
nodig. Enkele aandachtspunten: carrières van georganiseerde criminelen, de
relatie tussen georganiseerde cybercriminaliteit en bovenwereld (denk bijv.
aan fraude en de verspreiding van kinderporno, maar ook aan witwassen via
virtuele economieën), en natuurlijk de werkwijzen van de criminele groepen,
waaronder het gebruik van contrastrategieën.
Onderzoek wat er met cybercrimedossiers gebeurt.
We hebben 665 politiedossiers geanalyseerd. We weten echter niet welke zaken
zijn doorgestuurd naar het Openbaar Ministerie en of uiteindelijk verdachten
veroordeeld zijn. Vervolgonderzoek is nodig om zicht te krijgen op
dat proces in de strafrechtketen en op knelpunten die zich in dat proces voordoen.
Aandachtspunt daarbij is hoe politie en Openbaar Ministerie omgaan
met de internationale dimensie die we zagen bij met name e-fraude en hacken.
Zorg dat voldoende kennis over cybercrime politiebreed aanwezig is.
We concludeerden hiervoor dat politie in de volle breedte van de organisatie
vaker te maken zal krijgen met cybercrime. Zij moet dan wel de kennis hebben
om daar adequaat mee om te gaan. Een onderzoek naar de wijze waarop
de politie omgaat met het werkaanbod cybercrime (Toutenhoofd e.a., 2009,
p. 33-35) leidde tot de volgende aanbevelingen, die we hier overnemen:
– ‘ontwikkel voor intakers (degene die aangiften opnemen; RL e.a.) een (laagdrempelige)
praktijkgerichte cursus cybercrime en laat hen deze volgen’;
– ‘ontwikkel richtlijnen die intakers duidelijk maken wanneer iets aangiftewaardig
is (op te nemen in de eerdergenoemde cursus)’;
– ‘voer een pilot uit waarin een deel van de intakers een verdergaande scholing
krijgt betreffende het opnemen van cybercrimes, zodat zij voorlopig
kunnen optreden als “taakaccenthouder”. Evalueer de pilot.’

Conclusies en aanbevelingen
267
Indien de politie wil werken aan daderprofilering voor cybercrimes, dient zij
(1) informatie over aangehouden verdachten te registreren, en (2) niet uit te
gaan van soorten hackers.
Van het merendeel van de verdachten uit onze dossiers vonden we geen informatie
over hun sociale achtergrond (beroep, opleiding, gezinssamenstelling,
enz.). Indien de politie verder wil met daderprofilering van cybercrimeverdachten,
dient zij allereerst te werken aan een betere informatiepositie.
Wat hacken betreft, roepen onze bevindingen de vraag op wanneer we
moeten spreken van een hacker. Het delict is verweven met diverse andere delicten.
Is bijvoorbeeld een hacker die e-fraude pleegt een hacker (met dus een
hackersprofiel) of is het een e-fraudeur die hackt (dus met een oplichtersprofiel).
Hacken is van een specialisme van enkelen geworden tot een techniek
van velen, een techniek in dienst van het eigenlijke delict, zoals e-fraude of
bedreiging. Indien de politie daderprofielen wil ontwikkelen, lijkt het zinvoller
om een profiel te ontwikkelen voor ‘de e-fraudeur’, ‘de kinderpornodelinquent’
en ‘de haatzaaier’ (delicten die op zichzelf staan). Wat hacken betreft,
lijkt het logischer om niet ‘soorten hackers’, maar ‘soorten hacks’ als uitgangspunt
te nemen. De kans dat men een hack eenduidig kan classificeren, lijkt
groter dan de kans dat men een hacker kan classificeren als een persoon die
uitsluitend een bepaalde soort hack uitvoert.

li t e r a t u u r
Abma, J., Martinez, G., Mosher, W. & Dawson, B. (2004). Teenagers in the United States:
Sexual activity, contraceptive use, and childbearing, 2002. Washington DC: National
Center for Health Statistics.
ACPO (2005). Hate Crime: Delivering a Quality Service: Good Practice and Tactical Guidance.
London: Association of Chief Police Officers.
Adamski, A. (1999). Crimes related to the computer network. Threats and opportunities:
A criminological perspective. Torun: Nicholas Copernicus University.
Akdeniz, Y. (1996). Computer Pornography: a Comparative Study of the US and the
UK Obscenity Laws and Child Pornography Laws in Relation to the Internet. International
Review of Law Computers & Technology, 10 (2), 235-261.
Alexy, E.M., Burgess, A.W. & Baker, T. (2005). Internet offenders: Traders, travelers,
and combination trader-travelers. Journal of Interpersonal Violence, 20 (7), 804-812.
America Online & National Cyber Security Alliance (2005). AOL/NCSA Online Safety
Study. www.staysafeonline.info/pdf/safety_study_2005.pdf. Laatst geraadpleegd
19 mei 2008.
Amersfoort, P. van, Smit, L. & Rietveld, M. (2002). Criminaliteit in de virtuele ruimte.
Zeist: Kerckebosch.
APWG (2008). Phishing Activity Trends – Report for the month of January, 2008. www.antiphishing.org.
Laatst geraadpleegd op 11 mei 2009.
AusCERT (2006). 2006 Australian Computer Crime and Security Survey. www.auscert.
org.au. Laatst geraadpleegd op 19 april 2008.
Bednarski, G.M. (2004). Enumerating and reducing the threat of transnational cyber extortion
against small and medium size organizations. Research thesis. Pittsburgh: Carnegie
Mellon University.
Binder, R. & Gill, M. (2005). Identity Theft and Fraud: Learning from the USA. Leicester:
Perpetuity group & Consultancy International Ltd.
Bissy, J.F. (1990). Computers in organizations, the (white) magic in the black box. In
B.A. Turner (ed.), Organizational symbolism. Berlijn: Walter de Gruyter.
Boerman, F. & Mooij, A. (2006). Vervolgstudie nationaal dreigingsbeeld: Nadere beschouwing
van potentiële dreigingen en witte vlekken uit het nationaal dreigingsbeeld 2004.
Zoetermeer: KLPD, DNRI.
Boerman, F., Grapendaal, M. & Mooij, A. (2008). Nationaal Dreigingsbeeld 2008. Georganiseerde
Criminaliteit. Rotterdam: Thieme MediaCenter.

270 Verkenning cybercrime in Nederland 2009
Boerstra, E. (1997). Rechercheren in cyberspace. Algemeen Politieblad, 146 (21), 8-9.
Bronkhorst, S. & R. Eissens (2004). Hate on the Net Virtual nursery for In Real Life crime.
www.inach.net. Laatst geraadpleegd op 19 april 2008.
Bullens, R. (2007). Kijken naar kinderporno op internet: ‘onschuldige’ drang? In A.Ph.
van Wijk, R.A.R. Bullens & P. van den Eshof (red.), Facetten van zedencriminaliteit.
Den Haag: Reed Bussiness Information bv.
Bunt, H.G. van de & Rademaker, J. (1992). Recherchewerk in de praktijk: een case-study
naar recherche en informatievoorziening. Lochem: Van den Brink & Co.
Bureau of Justice Assistance (1997). A Policymaker’s Guide to Hate Crimes. Washington:
U.S. Department of Justice.
Carnegie Mellon University (2007). Cert Research. 2006 Annual Report. www.cert.org:
SEI Communications. Laatst geraadpleegd op 10 april 2008.
Casey, E. (2002). Cyberpatterns: Criminal behaviour on the internet. In B.E. Turvey,
Criminal profiling: An introduction to behavioral evidence analysis. San Diego: Academic
Press.
CBS (2008). De digitale economie 2007. Voorburg/Heerlen: Centraal Bureau voor de Statistiek.
CBS (2009). Integrale Veiligheidsmonitor 2008. Landelijke rapportage. Voorburg/Heerlen:
Centraal Bureau voor de Statistiek.
Chantler, N. (1996). Profile of a computer hacker. Florida: Infowar.
Computer Security Institute (2007). CSI Survey 2007: The 12 th Annual Computer Crime
and Security Survey. www.gocsi.com. Laatst geraadpleegd op 10 april 2008.
Copes, H. & Vieraitis, L. (2007). Identity Theft: Assessing Offenders’ Strategies and Perceptions
of Risk. Birmingham: University of Alabama.
Cops (2007). Reeks Cops@cyberspace, 11 (20), 14-27 mei 2007. Apeldoorn: Politieacademie,
Kennisnetwerk.
Cops (2007b). Reeks Cops@cyberspace, 11 (18), 30 april-6 mei 2007. Apeldoorn: Politie academie,
Kennisnetwerk.
Cops (2007c). Reeks Cops@cyberspace, 11 (11), 12-18 maart 2007. Apeldoorn: Politieacademie,
Kennisnetwerk.
Cops (2007d). Reeks Cops@cyberspace, 11 (12), 19-25 maart 2007. Apeldoorn: Politieacademie,
Kennisnetwerk.
Cops (2007e). Reeks Cops@cyberspace, 11 (13), 26 maart-1 april 2007. Apeldoorn: Politieacademie,
Kennisnetwerk.
Corpelijn, C. (2008). Rijk worden? Eerst betalen! Een profielschets van het 419-slachtoffer.
Scriptie. Utrecht: Universiteit van Utrecht.
Cross, S.E. (2000). Cyber Security: Testimony of Stephen E. Cross Director, Software Engineering
Institute Carnegie Mellon University Before the Senate Armed Services Committee.
Via: www.cert.org/congressional_testimony/Cross_testimony_Mar2000.html.
Laatst geraadpleegd op 14 mei 2008.
CSO magazine (2005). 2005 ECrime Watch Survey. www.cert.org. Laatst bezocht op 19
april 2008.

Literatuur
271
CSO magazine, U.S. Secret Service, CERT Program, Microsoft Corp. (2007). 2007
ECrime Watch Survey. www.cert.org. Laatst bezocht op 19 april 2008.
Danchev, D. (2008). Massive IFRAME SEO Poisoning Attack Continuing. Ddanchev.blogspot.com.
Laatst geraadpleegd 28 maart 2008.
Danziger, J.N. (1985). Social science and the social impact of computer technology.
Social Science Quarterly, 66 (1), 3-21.
Dasselaar, A. (2005). Digitale Criminaliteit: Over daders, daden en opsporing. Culemborg:
Van Duuren Media.
De Poot, C.J., Bokhorst, R.J., Koppen, P.J. van & Muller, E.R. (2004). Rechercheportret.
Alphen aan den Rijn: Kluwer.
De Sola Pool, I. (1983). Technologies of freedom. Cambridge: Harvard University Press.
De Sola Pool, I. (1984). Communications flows. Tokyo: University of Tokyo Press.
Deibert, R.J., Palfrey, J.G., Rohozinski, R. & Zittrain, J. (2008). Access Denied; The Practice
and Policy of Global Internet Filtering. Cambridge, Mass: The Mitt Press.
Den Hartog, H. & Kouwenhoven, V.P. (2005). Cybercrime, Digitaal vandalisme en sabotage.
Naar een cyberveilige onderneming. Den Haag: Hogeschool INHOLLAND Rotterdam.
Department of Criminology (2007). Issues in Community Safety. Leicester: University of
Leicester.
Dijkstra, J.J. (2008). Computercriminaliteit. In C.W.J. de Vey Mestdagh, J.J. Dijkstra &
S.C. Huisjes (red.). ICT-recht. Voor de praktijk. Groningen: Wolters Noordhof.
Domenie, M.M.L., Leukfeldt, E.R. & Stol, W.Ph. (2009). Werkaanbod cybercrime bij de politie.
Een verkennend onderzoek naar de omvang van het geregistreerde werkaanbod cybercrime.
Leeuwarden: Noordelijke Hogeschool Leeuwarden.
Donselaar, J. van & Rodrigues, P.R. (2004). Monitor Racisme & Extreem Rechts. Zesde
Rapportage. Amsterdam/Leiden: Anne Frank Stichting/Universiteit Leiden.
Duncan, M. (1997). Making Inroads Against Crime on the Internet. RCMP Gazette, 59
(10), 4-11.
Durkin, K.F. (1997). Misuse of the Internet by Pedophiles: Implications for Law Enforcement
and Probation Practice. Federal Probation: a journal of correctional philosophy
and practice, 61 (3), 14-18.
Eecke, P. van (1997). Criminaliteit in cyberspace: misdrijven, hun opsporing en vervolging op
de informatiesnelweg. Gent: Mys en Breesch.
Eissens, R. (2004). Hate speech and hate crime on the ‘Dutch’ Net. In S. Bronkhorst &
R. Eissens (red.), Hate on the Net Virtual nursery for In Real Life crime. www.inach.
net.
Ejure (2004). Overzicht wetgeving. www.ejure.nl/articles/dossier_id=171/id=38/show.
html. Laatst geraadpleegd op 28 april 2008.
Ejure (2008). Identiteitsfraude. www.ejure.nl/f_dossier/language=nl/dossier_id=171/
dossier.html. Laatst bekeken op 28 april 2008.

272 Verkenning cybercrime in Nederland 2009
Europese Commissie (2007). Naar een algemeen beleid voor de bestrijding van cybercriminaliteit.
Mededeling van de commissie van het Europees Parlement, de Raad en het Europees
Comité van de regio’s (COM2007, 267 final), 22 mei 2007. Brussel: Europese Commissie.
Europol (2003). Computer-related crimes within the EU: Old crimes new tools, new crimes
new tools. Luxemburg: Office for Official Publications of the European Communities.
FBI (2008b). Gone Phishing. Global Ring Gets Rather Slick. www.fbi.gov/page2/may08/
phishing_052008.html. Laatst geraadpleegd 26 mei 2008.
FBI/IC3 (2008). Scam Emails Seek Donations to Help Chinese Earthquake Victims.
Washington: FBI National Press Office (www.ic3.gov/media/2008/080520.htm).
Federale Politie (2005). Vierde activiteitenverslag 2005. Brussel: Uitgeverij Politeia.
Fey, C.C. de, Kellermann, A. & Nieuwboer, J. (red.). Met recht discriminatie bestrijden.
Den Haag: Boom Juridische uitgevers.
Finch, E. (2007). The problem of stolen identity and the Internet. In Y. Jewkes (red.),
Crime Online. Uffculme: William Publishing.
Finkelhor, D., Ormrod, R.K., Turner, H. & Hamby, S.L. (2005). The victimization of
children and youth: A comprehensive national survey. Child Maltreatment, 1 (10),
5-25.
Furnell, S.M. (2002). The problem of categorising cybercrime and cybercriminals (paperpresentatie)
2nd Australian Information Warfare (IW) and Security Conference (SC) Perth,
Australia, 29-30 november 2001. www.ieee-security.org/Cipher/ConfReports/2002/
CR2002-IW.html. Laatst geraadpleegd 11 juni 2008.
Geest, E. van (2006). Van herkenning tot aangifte. Handleiding cybercrime. Den Haag: Govcert.nl.
Gelderblom, B. (2004). Computercrime. Over stalkers, struikrovers en sluipmoordenaars op
de digitale snelweg. Amsterdam: Pearson Education Benelux.
Gordon, S. & Ford, R. (2006). On the definition and classification of cybercrime. Journal
in Computer Virology, 1 (2), 13-20.
Govcert.nl (2005). Aanbevelingen ter bescherming tegen denial of service aanvallen. www.
govcert.nl. Laatst geraadpleegd op 14 april 2008.
Govcert.nl (2007). Trendrapport 2007. Cybercrime in trends en cijfers. Den Haag: Govcert.
nl.
Govcert.nl (2008). Trendrapport 2008. Inzicht in Cybercrime: trends & cijfers. Den Haag:
Govcert.nl.
Govcert.nl (2008b). FACTSHEET FS-2008-02: Defacements van websites. www.govcert.
nl. Laatst geraadpleegd op 18 september 2008.
Grabosky, N.P. & Smith, R.G. (1998). Crime in the digital age. Transaction Publishers:
New Brunswick NJ.
Griffith, R.E. (2005). How Criminal Justice Agencies Use The Internet. In A. Pattavina
(red.), Information Technology and the Criminal Justice System. Thousand Oaks: Sage.

Literatuur
273
Gross, G. (2008). 38 in U.S., Romania charged in phishing schemes. Focus is on two related
phishing schemes with ties to organized crime. http://computerworld.com, 19 mei 2008.
Laatst geraadpleegd op 26 mei 2008.
Ha.ckers.org (2006). How Phishing actually works. http://ha.ckers.org/blog/20060609/
how-phishing-actually-works/. Laatst geraadpleegd op 15 mei 2008.
Hackworth, A. (2005). Spyware. www.cert.org. Carnegie Mellon University.
Hall, N. (2005). Hate Crime. Cullompton: Willan.
Hamada, J. (2008). Audit your web server lately. www.symantec.com. Laatst geraadpleegd
op 28 maart 2008.
Helmus, S., Smulders, A. & Zee, F. van der (2006). ICT Veiligheidsbeleid in Nederland –
Analyse en overwegingen bij Herijking. TNO (ongerubriceerd), nr. 035.31231.
Hinde, S. (2005). Identity theft & fraud. Computer Fraud & Security, 5 (2006). 18-20.
Hollinger, R. (1988). Computer hackers follow a guttman-like progression. Social
Sciences Review, 72 (1988), 199-200.
Homeoffice (2008). Hate Crime. www.homeoffice.gov.uk. Laatst geraadpleegd op 16
juni 2008.
Hoogeboom, B. (2002). Pleidooi voor verwetenschappelijking van de rechtshandhaving.
In Criminaliteit … Toekomst van vandaag, blik op morgen. Zoetermeer: Landelijk
Project Digitaal Rechercheren.
Houle, K.J. & Weaver, G.M. (2001). Trends in Denial of Service Attack Technology. www.
cert.org/archive/pdf/DoS_trends.pdf. Laatst geraadpleegd op 28 februari 2008.
Householder, A., Manion, A., Pesante, L. & Weaver, G.M. (2001). Managing the Threat
of Denial-of-Service Attacks. www.cert.org/archive/pdf/Managing_DoS.pdf. Laatst
geraadpleegd op 28 februari 2008.
Hulst, van der R.C. & Neve, R.J.M. (2008). High-tech crime: Inventarisatie van literatuur
over soorten criminaliteit en hun daders. Den Haag: WODC.
Ianelli, N. & Hackworth, A. (2005). Botnets as a Vehicle for Online Crime. www.cert.org/
archive/pdf/Botnets.pdf. Laatst bezocht op 26 februari.
IC3 (2005). IC3 Internet Crime Report January 1, 2004 – December 31, 2004. www.ic3.gov.
Laatst geraadpleegd op 19 mei 2008.
IC3 (2006). IC3 Internet Crime Report January 1, 2005 – December 31, 2005. www.ic3.gov.
Laatst geraadpleegd op 19 mei 2008.
IC3 (2007). IC3 Internet Crime Report January 1, 2006 – December 31, 2006. www.ic3.gov.
Laatst geraadpleegd op 19 mei 2008.
IC3 (2008a). Alert. Vishing Attacks Increase. www.ic3.gov/media/2008/080117.htm.
Laatst geraadpleegd op 19 mei 2008.
IC3 (2008b). 2007 Internet Crime Report. www.ic3.gov. Laatst geraadpleegd op 19 mei
2008.
Jagatic, T., Johnson, N., Jakobsson, M. & Menczer, F. (2005). Social Phishing. Bloomington:
School of Informatics Indiana University.
Janssens, A.L.J. & Nieuwenhuis, A.J. (2005). Uitingsdelicten. Alphen a/d Rijn: Kluwer.

274 Verkenning cybercrime in Nederland 2009
Jaques, R. (2006). Cyber-criminals switch to VoIP ‘vishing’. Phone scams heading for the UK,
warns security firm. www.vnunet.com. 10 juli 2006. Laatst geraadpleegd op 15 mei
2008.
Jewkes, Y. & Andrews, C. (2007). Internet child pornography: International responses.
In Y. Jewkes (red.), Crime Online. Portland, Oregon: Willan Publishing.
Jordan, T. & Taylor, P. (1998). A sociology of hackers. The Sociological Review, 46 (4), 757-
780.
Kaplan, J.E. & Moss, M.P. (2003). Investigating hate crimes on the internet. University of
Southern Maine, Center for the Prevention of Hate Violence.
Kaspersen, H.W.K. (1990). Strafbaarstelling van computermisbruik. Antwerpen/Deventer:
Kluwer.
Kaspersen, H.W.K. (2004). Bestrijding van cybercrime en de noodzaak van internationale
regelingen. Justitiële verkenningen, 30 (2), 58-75.
Kaspersen, R. (2007). Cyber Crime in historisch perspectief. In B.J. Koops (red.), Strafrecht
en ICT. Den Haag: Sdu Uitgevers.
Keizer, G. (2008a), Microsoft: We took out Storm botnet. Its malware scanner cleaned more
than 500k PCs infected with the bot in ’07. www.computerworld.com. Laatst bekeken
op 6 mei 2008.
Keizer, G. (2008b). Microsoft didn’t crush Storm, counter researchers: botnet operators diversified
of their own accord, argues Trend Micro. www.computerworld.com. Laatst geraadpleegd
op 6 mei 2008.
Keizer, G. (2008c). Thieves troll for execs with new Tax Court phish scam. www.computerworld.com.
Laatst geraadpleegd op 29 mei 2008.
Keizer, G. (2008d). Hackers expand massive IFrame attack to prime sites. www.computerworld.com.
Laatst geraadpleegd op 10 juni 2008.
Khan, K. (2000). Child Pornography on the internet. The Police Journal, 73 (1), 7-17.
Klaver, M.J. (1999). UNESCO wil Internet zuiveren van kinderporno. www.nrc.nl. Gepubliceerd
op 23 januari 1999 00:00. Gewijzigd op 14 december 2005 20:29.
Kleef, J. van (2004). Kinderporno kinderspel. Nieuwe Revu, nr. 52.
Klein, A. (2005). DOM Based Cross Site Scripting or XSS of the Third Kind. A look at an
overlooked flavor of XSS. www.webappsec.org/projects/articles/071105.html. Laatst
geraadpleegd op 29 juli 2008.
KLPD, DNRI (2004). Nationaal dreigingsbeeld zware of georganiseerde criminaliteit: een eerste
Proeve. Zoetermeer: Dienst Nationale Recherche Informatie.
KLPD, DNRI (2007a). Cybercrime - Focus op High Tech Crime: Deelrapport Criminaliteitsbeeld
2007. Rotterdam: Thieme MediaCenter.
KLPD, DNRI (2007b). Afpersing door middel van (dreigen met) een dDos-aanval: verslag van
een onderzoek voor de vervolgstudie NDB (intern rapport). Zoetermeer: Dienst Nationale
Recherche Informatie.
KLPD, DNRI (2007c). Identiteitsfraude met behulp van phishing op internet: verslag onderzoek
voor de vervolgstudie NDB (intern rapport). Zoetermeer: Dienst Nationale Recherche
Informatie.

Literatuur
275
Koops, B.J. & Leenes, R. (2006). ID theft, ID Fraud and/or ID-related Crime: Definitions
Matter. DuD: Datenschutz und Datensicherung, Informationsrecht, Kommunikationssysteme,
30 (9), 553-556.
Koster, W. de & Houtman, D. (2006). Toevluchtsoord voor een bedreigde soort. Over
virtuele gemeenschapsvorming door rechts-extremisten. Sociologie, 2 (3), 34-56.
Landreth, B. (1985). Out of the inner circle. Redmomd: Microsoft Books.
Leiden, I. van, Vries Robbé, E. de & Ferwerda, H. (2007). Je bedrijf of je leven; aard en aanpak
van afpersing van het bedrijfsleven. Den Haag: WODC.
Levin, J. & McDevitt, J. (2002). Hate Crimes Revisited: America’s War on Those Who Are
Different Boulder. CO: Westview Press.
Levin, J. & McDevitt, J. (2002). Hate Crimes. In L.R. Kurtz (red.), Encyclopedia of Violence,
Peace, and Conflict, Volume 2. San Diego: Academic Press.
Leyden, J. (2001). Extradition hearing in Bloomberg hack/extortion. www.theregister.
co.uk/2001/04/09/extradition_hearing_in_bloomberg_hack. Laatst geraadpleegd
op 24 april 2008.
Leyden, J. (2003). Bloomberg extortion, hacking case opens in New York. www.theregister.co.uk/2003/02/06/bloomberg_extortion_hacking_case_opens.
Laatst geraadpleegd
op 24 april 2008.
Leyden, J. (2008). FBI rings warnings over VoIP phishing cons. ‘Alarming’ rise in vishing.
www.theregister.co.uk, 21 januari 2008.
LPDO (2003). Visie op digitaal opsporen. Zoetermeer: Landelijk Project Digitale Opsporing.
Lünnemann, K., Nieborg, S., Goderie, M., Kool, R. & Beijers, G. (2006). Kinderen beschermd
tegen seksueel misbruik. Evaluatie van de partiële wijziging in de zedelijkheidswetgeving.
Den Haag/Utrecht: WODC/Verwey Jonker Instituut.
Mann, D., Sutton, M. & Tuffin, R. (2003). The evolution of hate: social dynamics in
white racist newsgroups. In Internet Journal of Criminology, 2003, 1-32.
www.inter-netjournalofcriminology.com/Evolution%20of%20Hate%20(updated).pdf.
Laatst ge raad pleegd op 23 juni 2008.
McAfee (2005). McAfee virtual criminology report. The first pan-European study into organised
crime and the internet. www.mcafee.com. Laatst bezocht op 19 april 2008.
McAfee (2006). Virtual Criminology Report. Organised Crime and the Internet. www.mcafee.com.
Laatst geraadpleegd op 19 april 2008.
McAfee (2007). Virtual Criminology Report: Cybercrime The Next Wave. www.mcafee.
com. Laatst geraadpleegd op 19 april 2008.
McCusker, R. (2006). Transnational organised cyber crime: distinguishing threat from
reality. Crime Law and Social Change, 46 (4-5), 257-273.
McGhee, K. (2008). Beware of Spear Phishing by ‘U.S. Tax Court’ www.avertlabs.com/
research/blog/index.php/2008/05/22/us-tax-court-spear-phishing. Laatst geraadpleegd
29 mei 2008.
McLaughlin, J.F. (2000). Cyber child sex offender typology. www.ci.keene.nh.us/police/
Typology.html. Laatst geraadpleegd op 19 april 2008.

276 Verkenning cybercrime in Nederland 2009
McPherson, D., Labovitz, C. & Hollyman, M. (2007). Worldwide Infrastructure Security
Report, volume 3. www.arbornetworks.com/report. Laatst geraadpleegd op 19 april
2008.
MDI (2002). Jaarverslag 2001. Amsterdam: Stichting Magenta, Meldpunt Discriminatie
Internet.
MDI (2003). Jaarverslag 2002. Amsterdam: Stichting Magenta, Meldpunt Discriminatie
Internet.
MDI (2004). Jaarverslag 2003. Amsterdam: Stichting Magenta, Meldpunt Discriminatie
Internet.
MDI (2005). Jaarverslag 2004. Amsterdam: Stichting Magenta, Meldpunt Discriminatie
Internet.
MDI (2006). Jaarverslag 2005. Amsterdam: Stichting Magenta, Meldpunt Discriminatie
Internet.
MDI (2007). Jaarverslag 2006. Amsterdam: Stichting Magenta, Meldpunt Discriminatie
Internet.
MDI (2008). Jaarverslag 2007. Amsterdam: Stichting Magenta, Meldpunt Discriminatie
Internet.
Meesters, P. & Niemeijer, B. (2000). Criminaliteitsbeeldanalyse: problemen en mogelijkheden.
In H. Moerland & B. Rovers (red.), Criminaliteitsanalyse in Nederland. Den
Haag: Elsevier.
Meij, P. de (2002). Grensoverschrijdende uitingen op het internet. In A.W. Hins & A.J.
Nieuwenhuis (red.), Van ontvanger naar zender. Amsterdam: Otto Cramwinckel.
Meulen, N. van der (2006). The Challenge of Countering Identity Theft: Recent Developments
in the United States, the United Kingdom, and the European Union. Tilburg: International
Victiminolgy Institute Tilburg, NICC.
Microsoft (2006a). Spear phishing: Highly targeted scams. www.microsoft.com/protect/
yourself/phishing/spear.mspx. Laatst geraadpleegd op 15 mei 2008.
Microsoft (2006b). What is spyware? www.microsoft.com/protect/computer/basics/
spyware.mspx. Laatst geraadpleegd op 16 mei 2008.
Milletary, J. (2005). Technical Trends in Phishing Attacks. CERT Coordination Center,
Carnegie Mellon University.
Minnebo, P. (2007). Criminaliteitsanalyse verklaard. Aanzetten voor verdere ontwikkeling
van criminaliteitsanalyse. Den Haag: Elsevier.
MKI [Meldpunt Kinderporno op Internet] (1997). Internet Meldpunt Kinderporno, jaarverslag
1996/1997. Amsterdam: Stichting ter bestrijding van kinderporno op internet.
MKI [Meldpunt Kinderporno op Internet] (2002). Jaarverslag 2001. Amsterdam: Stichting
ter bestrijding van kinderporno op internet.
MKI [Meldpunt Kinderporno op Internet] (2004). Jaarverslag 2003. Amsterdam: Stichting
ter bestrijding van kinderporno op internet.
MKI [Meldpunt Kinderporno op Internet] (2005). Jaarverslag 2004. Amsterdam: Stichting
ter bestrijding van kinderporno op internet.

Literatuur
277
MKI [Meldpunt Kinderporno op Internet] (2006). Jaarverslag 2005. Amsterdam: Stichting
ter bestrijding van kinderporno op internet.
MKI [Meldpunt Kinderporno op Internet] (2007). Jaarverslag 2006. Amsterdam: Stichting
ter bestrijding van kinderporno op internet.
MKI [Meldpunt Kinderporno op Internet] (2008). Jaarverslag 2007. Amsterdam: Stichting
ter bestrijding van kinderporno op internet.
Moerland, H. & Mooij, A. (2000). Criminaliteitsanalyse: een nadere afbakening van
het begrip. In H. Moerland & B. Rovers (red.). Criminaliteitsanalyse in Nederland. Den
Haag: Elsevier.
Morris, S. (2004). The future of nectarism now: Part 1 – threats and challanges. UK home
office online report nr.6 2/04, 2004. www.homeoffice.gov.uk/rds/pdfs04/rdsolr6204.
pdf. Laatst geraadpleegd op 13 maart 2008.
Nardi, P. & Bolton, R. (1998). Gay-Bashing: Violence and Aggression Against Gay Men
and Lesbians. In P. Nardi & B. Schneider (red.). Social Perspectives in Lesbian and Gay
Studies: A Reader. London: Routledge.
Newman, G.R. & McNally, M.M. (2005). Identity Theft Literature Review. Paper prepared
for the U.S. Department of Justice United States. Newark: University of Albany, Rutgers
University.
NICC (2007a). Jaarbericht NICC 2006. Schiedam: OBT/TDS printmaildata.
NICC (2007b). Zomerbericht NICC 2007. Schiedam: OBT/TDS printmaildata.
Nicholas, S., Kershaw, C. & Walker, A. (2007). Crime in England and Wales 2006/07. 4th edition.
www.homeoffice.gov.uk/rds. Research Development and Statistics Directorate.
Nieuwboer, J.W. (2004). Internationaal recht. In C.C. de Fey e.a. (red.), Met recht discriminatie
bestrijden. Den Haag: Boom Juridische uitgevers.
Nota Grondrechten in een pluriforme samenleving (2005).
Nykodym, N., Taylor, R. & Vilela, J. (2005). Profiling of cyber crime: criminal profiling
and insider cybercrime. Computer law & security report, 21 (5), 408-414.
Ollmann, G. (2004). The Phishing Guide (Part 1) Understanding and Preventing Phishing
Attacks. NGSSoftware Insight Security Research: www.ngsconsulting.com.
Ollmann, G. (2005). The Pharming Guide. Understanding & Preventing DNS-related Attacks
by Phishers. NGSSoftware Insight Security Research: www.ngsconsulting.com.
Ollmann, G. (2007). The Vishing Guide. A close look at voice Phishing. NGSSoftware Insight
Security Research: www.ngsconsulting.com.
Oosterink, M. & Eijk, E.J. van (2006). Opsporing Kinderpornografie op internet. Een statusoverzicht.
Den Haag: Ministerie van Justitie.
OPTA (2008). Jaarverslag. Den Haag: Rooduijn Vorm & Druk.
Ovum (2006). China set to be the number one broadband market by 2007, www.ovum.com/
go/content/c,66667. Laatst bezocht op 21 april 2008.
Owen, K. Keats, G. & Gills, M. (2006). The Fight Against identity Fraud: A Brief Study of
the EU, the UK, France, Germany and the Netherlands. Leicester: Perpetuity Group.

278 Verkenning cybercrime in Nederland 2009
PAC (2008a). Definities van Cybercrime. Een onderzoek naar en toetsing van diverse bestaande
definities van Cybercrime, om te komen tot één werkbare, herkenbare en gedragen definitie
voor intern en extern gebruik door het PAC. De Bilt: interne notitie.
PAC (2008b). Programmaplan. Programma Aanpak Cybercrime. De Bilt: interne notitie.
Panhuis, P. van (2008). Informatiegestuurde politie en criminaliteitsanalyse. In W.Ph.
Stol & A.Ph. van Wijk (red.), Inleiding Criminaliteit en Opsporing. Den Haag: Boom
Juridische uitgevers.
Pappalardo, D. & Messmer, E. (2005). Extortion via DDoS on the rise: Criminals are using
the attacks to extort money from victimized companies. www.computerworld.com/
networkingtopics/networking/story/0,10801,101761,00.html. Laatst geraadpleegd
op 29 februari 2008.
Parker, D. (1998). Fighting computer crime: A new framework for protecting information.
New York: John Wiley & Sons, Inc.
Parlement.com (2008). Smalende godslastering: een stukje parlementaire geschiedenis. www.
parlement.com/9291000/modulesf/gvgegc34. Laatst geraadpleegd op 18 juni 2008.
Perry, B. (2004). Where do we go from here? Researching hate crime. Internet Journal of
Criminology: www.internetjournalofcriminology.com.
Pharming.org (2006). What is pharming. www.pharming.org/index.jsp. Laatst geraadpleegd
op 15 mei 2008.
Post, J. (1996). The dangerous information system insider: Psychological perspectives. Internetpublicatie:
infowar.com.
Post, J., Shaw, E. & Ruby, K. (1998). Information terrorism and the dangerous insider. Paper
presented at the meeting of InfowarCon’98, Washington.
Postma, J.G. & Sackers, H.J.B. (2000). Valsheid in geschrifte. In H.J.B. Sackers & P.A.M.
Mevis (red.), Fraudedelicten. Deventer: W.E.J. Tjeenk Willink.
Power, R. (1998). Current and future danger. Computer Security Institute.
Prins, J.E.J. & Meulen, N.S. van der (2006). Identiteitsdiefstal: lessen uit het buitenland.
Justitiële verkenningen, 32 (7).
Prins, L. (2008). Landelijke Criminaliteitskaart. Populatieprofielen 2007. Zoetermeer/Driebergen:
KLPD.
PWC (2001). Kinderpornografie en internet in Nederland: een overzicht van de huidige situatie,
knelpunten in de bestrijding, suggesties voor verbeteringen. Haarlem: PWC.
Rafail, J. (2001). Cross-Site Scripting Vulnerabilities. Carnegie Mellon University: www.
cert.org.
Rogers, M. (2000). A New Hacker Taxonomy (revised version). Manitoba: University of
Manitoba, Dept. of Psychology.
Rogers, M. (2001). A social learning theory and moral disengagement analysis of criminal
computer behaviour: an explorative study. Winnipeg: University of Manibota.
Rogers, M. (2004). What is a Distributed Denial of Service (DDoS) Attack and What Can I
Do About It? www.cert.org/homeusers/ddos.html. Laatst geraadpleegd op 29 februari
2008.

Literatuur
279
Rogers, M. (2006). A two-dimensional circumplex aproach to the development of a
hacker taxonomy. Digital Investogation, 3 (2006), 97-102.
Ruth, E. van (2008). Daderprofilering. In W.Ph. Stol & A.Ph. van Wijk (red.), Inleiding
criminaliteit en opsporing. Den Haag: Boom Juridische uitgevers.
Scheepmaker, M.P.C. (2006). Themanummer Identiteitsfraude. Justitiële verkenningen,
32(7).
Schell, B.H., Martin, M.V., Hung, P.C.K. & Rueda, L. (2007). Cyber child pornography: A
review paper of the social and legal issues and remedies and a proposed technological
solution. Aggression and Violent Behavior, 12 (2007), 45-63.
Schellekens, M.H.M., Koops, B.J. & Teepe, W.G. (2007). Wat niet weg is, is gezien. Een
analyse van art. 54a Sr in het licht van een Notice-and-Take-Down-regime. Tilburg: Universiteit
van Tilburg.
Schoenmakers, Y.M.M., Vries Robbé, E. de & Wijk, A.Ph. van (2009). Gouden bergen.
Een verkennend onderzoek naar Nigeriaanse 419-fraude: achtergronden, daderkenmerken
en aanpak. Den Haag: Reed Business.
Schofield, J. (2008). What’s an IFrame attack and why should I care? www.guardian.co.uk/
technology/2008/apr/03/security.google. Laatst geraadpleegd op 28 juli 2008.
Sey, A., Zinn, P., Oss, J. van & Schuurbiers, M. (2008). Visiedocument 2007-2010 Team
High Tech Crime. Dienst Nationale Recherche/Korps Landelijke Politiediensten.
Shaw, E., Ruby, K. & Post, J. (1998). The Insider threat to information systems: The psychology
of the dangerous insider. Security Awareness Bulletin, 2 (1998), 1-10.
Simpson, G. (2008). F-Secure sees smaller botnets on the rise. www.news.com/F-Securesees-smaller-botnets-on-the-rise/2100-7349-6210900.html?part=dtx.
Laatst geraadpleegd
op 29 februari 2008.
Smith, D.J. (2007). A Culture of Corruption. Everyday Deception and Popular Discontent in
Nigeria. United Kingdom: Princeton University Press.
Sociaal en Cultureel Planbureau (SCP] (2004). In het zicht van de toekomst. Meppel:
Giethoorn Ten Brink.
Sophos (2007). Security threat report. Update 07/2007. www.sophos.com. Laatst geraadpleegd
op 14 april 2008.
Sophos (2008). Security Threat Report. First Quarter 2008. www.sophos.com. Laatst geraadpleegd
op 4 december 2008.
Stamm, S., Ramzan, Z. & Jakobsson, M. (2006). Drive-By Pharming. www.symantec.
com/avcenter/reference/Driveby_Pharming.pdf. Laatst geraadpleegd op 19 mei
2006.
Stewart, J. (2007). Secure Works, Storm Worm DDoS Attack. Manitoba: University of
Manitoba. homes.cerias.purdue.edu/~mkr/hacker.doc. Laatst geraadpleegd op 26
februari 2008.
Stokkom, B.A.M. van, Sackers, H.J.B. & Wils, J.P. (2007). Godslastering, discriminerende
uitingen wegens godsdienst en haatuitingen. Een inventariserende studie. Den Haag:
Boom Juridische uitgevers.

280 Verkenning cybercrime in Nederland 2009
Stol, W.Ph. (2003). Sociale controle en technologie. De casus politie en kinderporno op
het internet. Amsterdams Sociologisch Tijdschrift, 30 (1/2), 162-182.
Stol, W.Ph. (2004). Trends in cybercrime. Justitiële Verkenningen (8), 22-33.
Stol, W.Ph., Kaspersen, H.W.K., Kerstens, J., Leukfeldt, E.R. & Lodder, A.R. (2008a). Filteren
van kinderporno op internet. Een verkenning van technieken en reguleringen in binnen-
en buitenland. Den Haag: Boom Juridische uitgevers.
Stol, W.Ph., Kaspersen, H.W.K., Kerstens, J., Leukfeldt, E.R. & Lodder, A.R. (2008b).
Internetcriminaliteit: kinderpornografie in meervoudig perspectief. Ars Aequi 57
(07/08), 531-540.
Stol, W.Ph., Treeck, R.J. van & Ven, A.E.B.M. van der (1999). Criminaliteit in cyberspace
– een praktijkonderzoek naar aard, ernst en aanpak in Nederland. Den Haag: Elsevier.
Stol, W.Ph. & Wijk, A. van (2008). Inleiding criminaliteit en opsporing. Den Haag: Boom
Juridische uitgevers.
Stratix (2007). Onderzoek inzake Artikel 11.3 Tw: concept dreigingsbeeld. Hilversum: Stratix
Consulting.
Sullivan, C. (2005). Internet traders of child pornograhpy: Profiling research New Zealand.
Department of internal affairs: www.lgc.govt.nz/pubforms.nsf/URL/Profilingupdate2.pdf/$file/Profilingupdate2.pdf.
Symantec (2006). Symantec internet security threat report. Trends for July 05-December 05.
Vol IX, 2006. www.symantec.com. Laatst geraadpleegd op 14 april 2008.
Symantec (2007a). Symantec Internet Security Threat Report. Trends for Jan-June 07. www.
symantec.com.
Symantec (2007b). Symantec Internet Security Threat Report. Trends for July-December 06.
www.symantec.com. Laatst geraadpleegd op 14 april 2008.
Symantec (2007c). Symantec Spam Report December 2007. www.symantec.com. Laatst
geraadpleegd op 14 april 2008.
Syntens (2008). Eindrapportage nulmeting. NICC: www.samentegencybercrime.nl.
Laatst geraadpleegd 16 juli 2008.
Taylor, R.W., Caeti, T.J., Loper, D.K., Fritsch, E.J. & Liederbach, J. (2006). Digital crime
and digital terrorism: The criminology of computer crime. New Jersey: Pearson Prentice
Hall.
Tienstra, J. (2008). Cybercrime Haatzaaien. Leeuwarden: NHL.
Toutenhoofd-Visser, M.H., Veenstra, S., Domenie, M.M.L., Leukfeldt, E.R. & W.Ph. Stol
(2009). Politie en Cybercrime. Intake en Eerste Opvolging. Een onderzoek naar de intake
van het werkaanbod cybercrime door de politie. Leeuwarden: NHL.
Townsend, M. (2005). The New Color of British Racism. The Observer, p. 20.
Turgeman-Goldschmidt, O. (2005). Hacker’s accounts: Hacking as a social entertainment.
Social Science Computer Review, 23 (1), 8-23.
Tweede Kamer (2006a). Brief van de staatssecretaris van economische zaken. Den Haag:
Sdu Uitgevers (18 mei 2006, 26 671, nr. 24).

Literatuur
281
US Department of Treasury (2005). The use of technology to combat identity theft; report on
the study conducted pursuant to section 157 of the fair and accurate credit transactions act
of 2003. Washington D.C.
Violino, B. (2005). After Phishing? Pharming! Security experts are concerned about pharming,
a technically sophisticated DNS-based attack. www.csoonline.com, 1 oktober 2005.
Vries, U.R.M.Th. de, Tigchelaar, H., Linden, M. van der & Hol, A.M. (2007). Identiteitsfraude:
een afbakening. Een internationale begripsvergelijking en analyse van nationale
strafbepalingen. Utrecht: Universiteit Utrecht. Disciplinegroep Rechtstheorie. Departement
Rechtsgeleerdheid, Universiteit Utrecht en WODC, Ministerie van Justitie.
Watson, D., Holz, T. & Mueller, S. (2005). Know your Enemy Phishing Behind the Scenes
of Phishing Attacks. The Honeynet Project & Research Alliance. www.honeynet.org.
Laatst geraadpleegd op 20 mei 2008.
Web Application Security Consortium (2005). Cross-Site Scripting. www.webappsec.
org/projects/threat/classes/cross-site_scripting.shtml. Laatst geraadpleegd op 29
juli 2008.
Websense (2007). Websense Predicts 2008’s Top Ten Security Threats: Olympics, Online Advertisements
and Web 2.0 Threats Top Hacker’s To-Do Lists. www.websense.com. Laatst
bezocht op 21 april 2008.
Werf, J. van der (2003). Cybercrime. Deel 2 Een verkennende analyse. Zoetermeer: KLPD.
Wijk, A.Ph. van & Stelma, B. (2007). Jeugdige Zedendelinquenten: achtergronden, kenmerken
en de politiepraktijk. In A.Ph. van Wijk & E.J.A. Bervoets (red.), Politie en
jeugd. Inleiding voor de praktijk, Den Haag: Elsevier Overheid.
Williams, P., Shimeall, T. & Dunlevy, C. (2002). Intelligence Analysis for Internet Security.
Contemporary Security Policy, 23 ( 2), 1-38.
Wolak, J., Finkelhor, D. & Mitchell, K.J. (2004). Internet-initiated sex crimes against minors:
Implications for prevention based on findings from a national study. Journal of
Adolescent Health, 35 (2004), 424.e11-424.e20.
Wolak, J., Finkelhor, D., Mitchell, K.J. & Ybarra, M.L. (2008). Online ‘Predators’ and
Their Victims. Myths, Realities, and Implications for Prevention and Treatment.
American Psycholist, 63 (2), 111-128.
Yar, M. (2006). Cybercrime and Society. Gateshead: Athenaeum Press.
Zee, S. van der & Groeneveld, C. (2007). Kinderpornografisch beeldmateriaal. In A.Ph.
van Wijk, R.A.R. Bullens & P. van den Eshof (red.), Facetten van zedencriminaliteit.
Den Haag: Reed Bussiness Information bv.
Zoomer, O. & Stol, W.Ph. (2008). Meten van criminaliteit. In W.Ph. Stol & A.Ph. van
Wijk (red.), Inleiding criminaliteit en opsporing. Den Haag: Boom Juridische uitgevers.

af k o r t i n g e n
APWG Anti Phishing Working Group
ARP Address Resolution Protocol
BET1 Betrokkene 1
BHO Browser Helper Objects
BJA Bureau of Justice Assistance
BPolR Besluit Politieregisters
BPS Basisprocessensysteem
CBA Criminaliteitsbeeldanalyse
CBS Centraal Bureau voor de Statistiek
CP Cyberpunks
CSI Computer Security Institute
CSS Cross-site scripting
DDoS Distributed Denial of Service
DNR Dienst Nationale Recherche
DNRI Dienst Nationale Recherche Informatie
DNS Domain Name Server
DOM Document Object Model
DOS Denial of Service
FBI Federal Bureau of Investigation
GET1 Getuige 1
HKS Herkenningsdienst Systeem
HTTP HyperText Transfer Protocol
IC3 Internet Crime Complaint Centre
Iframe Inline-frame
IGP Informatiegestuurde politie
IMK Internet Meldpunt Kinderporno
INACH International Network Against Cyber Hate
IPOL Dienst Internationale Politie Informatie
IRC Internet Relay Chat
i.r.t. In relatie tot
ISP Internet Service Provider
IT Internal

284 Verkenning cybercrime in Nederland 2009
IVM Integrale Veiligheidsmonitor
IW Information warrior
I.w.tr. Inwerkingtreding
KLPD Korps Landelijke Politiediensten
KvK Kamer van Koophandel
MCC Meldpunt Cybercrime
MDI Meldpunt Discriminatie Internet
MKI Meldpunt Kinderporno op Internet
MO Modus Operandi
MOB Maatschappelijk Overleg Betalingsverkeer
NDB Nationaal Dreigingsbeeld
NICC Nationale Infrastructuur ter bestrijding van CyberCrime
NTD Notice and take down-procedure
NV Novice
NWC3 National White Collar Crime Centre
OG Old Guard Hacker
OM Openbaar Ministerie
P2P Peer-to-peer
PA Political activist
PAC Programma Aanpak Cybercrime
PC Professional criminal
PT Petty Thiefs
SCP Sociaal en Cultureel Planbureau
Sr Wetboek van Strafrecht
THTC Team High Tech Crime
URL Uniform Resource Locator
VCN2009 Verkenning Cybercrime in Nederland 2009
VE1 Verdachte 1
Vgl. Vergelijk
VMR Veiligheidsmonitor Rijk
VoIP Voice over IP
VW Virus writers
WPolR Wet Politieregisters
XSS Cross-site scripting

ijlage 1
So c i a l e n g i n e e r i n g
Inleiding
Social engineering is een aanval op de zwakste schakel in een computersysteem:
de mens (KLPD, DNRI, 2007a, p. 101). Het is simpelweg het overtuigen
van een gebruiker om iets te doen wat hij/zij normaal niet zou doen, zoals
het afgeven van een wachtwoord of andere persoonlijke informatie.
Social engineering: het overtuigen van een gebruiker om iets te doen wat hij/
zij normaal niet zou doen.
Strafbaarstelling
Social engineering op zich is niet strafbaar. Dit is immers alleen het overtuigen
van een persoon om iets te doen wat hij of zij eigenlijk niet van plan was
om te doen. De gevolgen van social engineering kunnen echter wel strafbaar
zijn. Indien er zonder toestemming in een geautomatiseerd werk wordt binnengedrongen,
dan is dit strafbaar volgens artikel 138a lid 1 Sr. Een ander
gevolg kan zijn, dat door het gebruik van social engineering de gebruiker
op een phishing website terechtkomt waar persoonlijke informatie gestolen
wordt. Dit is strafbaar gesteld op grond van het aftappen en/of opnemen van
gegevens, artikel 139c lid 1 en artikel 139d Sr. Voor een uitgebreidere beschrijving
van artikel 138 en 139 Sr verwijzen we naar hoofdstuk 2.
Verschijningsvormen
Social engineering kan op verschillende manieren gebruikt worden. Een
cybercrimineel kan zich bijvoorbeeld voordoen als een medewerker van de
helpdesk ICT en met een smoesje over het testen van een nieuw systeem een
wachtwoord ontfutselen van een gebruiker. De computercrimineel heeft op
dat moment toegang tot het netwerk. Ook kan door middel van social engineering
geprobeerd worden te achterhalen welke hardware en software bij
een bedrijf in gebruik zijn. De cybercrimineel kan hiervan later gebruikmaken
door bekende zwaktes in deze systemen uit te buiten. Social engineering
wordt ook gebruikt in combinatie met andere criminele technieken.
Cybercriminelen gebruiken deze criminele techniek dan in combinatie met of

286 Verkenning cybercrime in Nederland 2009
voor de uitvoering van andere criminele technieken, zoals phishing (bijlage
9). Social engineering moet er dan bijvoorbeeld voor zorgen dat gebruikers
malware op hun computer toestaan. Keuzes van een gebruiker om iets wel
of niet te doen worden bepaald door wat hij op zijn beeldscherm ziet. Door
het tonen van valse informatie (klik hier, dan …) kan een gebruiker worden
bewogen om iets te doen wat hij normaal niet zou doen: het toelaten van malware
op zijn pc (Ianelli & Hackworth, 2005).
Verbanden
Social engineering kan in ieder geval gebruikt worden als hulpmiddel om
achter gevoelige informatie te komen (bijv. identiteitsgegevens) en vervolgens
voor criminele doeleinden te gebruiken om in een computer in te breken om
fraude te plegen. Social engineering kan in verband worden gebracht met
respectievelijk identiteitsdiefstal, e-fraude en hacken. Er is ook een verband
met een vierde vorm van cybercrime uit deze VCN2009, namelijk cyberafpersen.
Een van de manieren om mensen af te persen, is namelijk het gebruiken
van gevoelige informatie (zie verder hoofdstuk 4). Het verkrijgen van deze
informatie kan door middel van social engineering of social engineering is
gebruikt om in een systeem in te breken met de bedoeling gevoelige informatie
te stelen.
Trends
De komende jaren zal er volgens experts bij social engineering steeds meer
ingespeeld worden op sociale evenementen (bijv. een WK-Voetbal), grote (natuur)rampen
en op persoonlijke interesses (KLPD, DNR, 2007a; Websense,
2007). Phishing-pogingen (zie ook bijlage 9) zullen de komende jaren middels
social engineering beter gericht worden op bepaalde gebruikersgroepen, specifiek
geschreven in hun eigen taal, zogenaamd verstuurd vanuit het interne
netwerk of gericht op leden van een bepaald sociaal netwerk met dezelfde
interesses (Symantec, 2007c).
Resumé
Social engineering wordt gebruikt om informatie van gebruikers te verkrijgen.
Het kan gaan om gebruikersnamen en wachtwoorden, maar ook om informatie
over systemen of software. Social engineering kan gebruikt worden
voor het uitvoeren van andere criminele technieken, maar kan ook zonder
deze criminele technieken worden uitgevoerd.

ijlage 2
Sp o o f i n g
Inleiding
Spoofing is een situatie waarbij een persoon of een programma zich, door het
vervalsen van data, voordoet als een ander. Spoofing is dus feitelijk identiteitsvervalsing.
‘Spoofing kan vele vormen aannemen. Elke techniek waarbij
de bron of afzender niet op een betrouwbare manier geverifieerd wordt, is
kwetsbaar voor spoofing’ (Van Geest, 2006, p. 49).
‘Spoofing is identiteitsvervalsing: je voordoen als iets of iemand anders.’ (Van
Geest, 2006, p. 49)
Vanaf oudsher proberen criminelen hun ware identiteit verborgen te houden.
Ze doen dit om tijdens de daad niet te worden ontdekt door het slachtoffer,
om niet te kunnen worden opgespoord door de politie en om na de daad weer
een normaal leven te kunnen leiden met familie en vrienden. Een techniek die
cybercriminelen hiervoor gebruiken, is spoofing.
Strafbaarstelling
Spoofing heeft tot doel om zonder toestemming toegang te verkrijgen tot een
geautomatiseerd werk. Dit is strafbaar gesteld in artikel 138a Sr. Vervolgens
kan vertrouwelijke informatie worden gestolen of malware worden geïnstalleerd
(art. 139c en 139d Sr). Indien gegevens gewijzigd of vernietigd worden, is
dat strafbaar volgens artikel 350 Sr. Indien er stoornis in het geautomatiseerde
werk optreedt, is dat strafbaar middels artikel 161sexies en 161septies Sr. Voor
een uitgebreide beschrijving verwijzen we naar hoofdstuk 2.
Verschijningsvormen
Spoofing kan op een aantal verschillende manieren. Zo kan een IP-adres (IP
staat voor Internet Protocol) worden gespoofd, zodat de aanval van een cybercrimineel
van een andere computer afkomstig lijkt te zijn. Maar er kan ook
sprake zijn van URL-spoofing, waarbij het de bedoeling is om de gebruiker
naar een phishingwebsite te geleiden. De verschillende verschijningsvormen
staan hierna beschreven (doordat technieken steeds veranderen, is deze lijst
niet uitputtend):

288 Verkenning cybercrime in Nederland 2009
– IP-spoofing. Een IP-adres is een unieke code voor een machine die is aangesloten
op internet. Zo heeft elke computer die gebruikt wordt om op internet
te surfen een unieke code, maar ook de server waarop de website
gehost wordt, heeft zo’n code. Op deze manier kunnen computers elkaar
vinden en met elkaar communiceren. IP-spoofing ‘wordt gebruikt voor het
(niet geautoriseerd) toegang krijgen tot een computer’ (Van Geest, 2006,
p. 49). Dit gebeurt door het nabootsen van de identiteit van een andere
computer (KLPD, DNRI, 2007a, p. 99). Doordat de twee computers elkaar
vertrouwen, is het mogelijk om bij gevoelige informatie te komen die
normaal gesproken niet toegankelijk zou zijn geweest voor de verzender
(Cross, 2000).
– DNS-spoofing. Zodra een internetter middels de webbrowser op zijn computer
een domeinnaam aanvraagt, maakt de browser contact met de DNSserver
van de Internet Service Provider (ISP). De DNS-server zoekt dan het
IP-adres bij de opgegeven domeinnaam. Het IP-adres wordt teruggezonden
aan de webbrowser en deze kan contact maken met het IP-adres op de
webserver waarop de website gehost wordt. Bij DNS-spoofing wordt een
DNS-server (Domain Name Server) gemanipuleerd. Een systeem van een
hacker kan gespoofte informatie versturen naar een DNS-server, waardoor
de gebruikers van deze server denken dat de informatie afkomstig is
van een vertrouwde host. Deze methode kan worden gebruikt om de database
of de cache (het geheugen) van een DNS-server aan te passen (Van
Geest, 2006, p. 50).
– E-mailspoofing. Bij e-mailspoofing wordt misbruik gemaakt van het feit dat
de meeste gebruikers veronderstellen dat berichten die via de mail binnenkomen
ook legitiem zijn. Vervalste e-mail wordt voornamelijk gebruikt
om gebruikers ertoe te brengen zaken te onthullen of te doen die ze anders
niet zouden (moeten) doen (Van Geest, 2006, p. 50). Een voorbeeld hiervan
is te zien in figuur B9.4 (bijlage 9).
– URL-spoofing. Een URL (Uniform Resource Locator) is een verwijzing naar
een specifiek bestand of gegeven op een machine. Bijvoorbeeld een webpagina,
databasegegevens of e-mailadres. URL-spoofing is het nabootsen
van een URL van bijvoorbeeld een bank, zodat de gebruiker denkt dat hij
de echte site bezoekt (KLPD, DNRI, 2007a, p. 102). Hierbij wordt ingespeeld
op mogelijke typefouten in de adresbalk van de webbrowser. Cybercriminelen
kopen domeinnamen die lijken op populaire websites. Doordat de
gebruiker een typefout maakt, komt deze niet op de bedoelde betrouwbare
site, maar op de website van de cybercrimineel (bijv. een phishingwebsite).
De nagebouwde phishingsite wordt met wisselend succes zo veel mogelijk
gelijkend gemaakt aan de originele site. De domeinnaam kan bijvoorbeeld
zo gekozen worden dat deze voor het menselijk oog nagenoeg identiek is

Bijlage 2 Spoofing
289
aan de echte domeinnaam, zoals www.abnarnro.nl (waar de m vervangen
is door een r en n).
– ARP-spoofing. ARP (Address Resolution Protocol) is een protocol dat computers
in staat stelt verbinding te maken met andere computers die zijn aangesloten
op hetzelfde netwerk, zonder hun unieke hardwareadres (MACadres)
te kennen. Stel dat computer A verbinding wil maken met computer
B, waarvan het IP-adres bekend is bij computer A. Computer A zendt
daarvoor een ARP-bericht op het netwerk. Dit ARP-bericht wordt uitgestuurd
als een broadcast; een broadcast houdt in dat een ontvangstadres
gebruikt wordt dat aangeeft dat het bericht feitelijk door iedere op dat
netwerk aangesloten computer moet worden ontvangen. Het ARP-bericht
bevat het IP-adres van computer B. Uitsluitend computer B zal zijn eigen
IP-adres herkennen, en zal op grond daarvan het bericht beantwoorden,
met daarin zijn hardware-adres (MAC-adres) 102 (www.wikipedia.nl). ‘ARP
wordt gebruikt voor het omzetten van IP-adressen naar hardwareadressen.
Deze manier van adresseren kan misbruikt worden door een host van
valse ARP-verzoeken en antwoorden te voorzien’ (Van Geest, 2006, p. 50).
Een voorbeeld van ARP-spoofing staat in figuur B2.1.
Figuur B2.1 ARP-spoofing (www.wikipedia.nl)
Gegeven: je hebt twee hosts en een gateway (weg naar het internet).
De eerste host heeft IP-adres 1 en MAC-adres A.
De tweede host heeft IP-adres 2 en MAC-adres B.
De gateway heeft IP-adres 3 en MAC-adres C.
Stel nu: de eerste host wil al het internetverkeer van de tweede host verkrijgen.
Hiervoor doet de eerste host het volgende:
Hij verstuurt een ARP-reply naar de gateway, met bron-IP-adres 2 en bron-MACadres
A.
Hij verstuurt een ARP-reply naar de tweede host, met bron-IP-adres 3 en bron-
MAC-adres A.
Hierdoor denkt host 2 dat host 1 de gateway is, en denkt de gateway dat host 1 host
2 is.
Nu wordt alle verkeer tussen de tweede host en het internet naar host 1 gestuurd.
Vervolgens stuurt host 1 alle traffic door naar de juiste host of gateway.
102 Er is een vergelijking te trekken met: je moet contact leggen met ene ‘Hans’ uit een groep
onbekenden. Je zorgt dat je midden in de groep gaat staan en roept luid: ‘Wie heet er Hans?’
De persoon die reageert met: ‘Dat ben ik!’, is je contactpersoon (www.wikipedia.nl).

290 Verkenning cybercrime in Nederland 2009
Omvang
Onbekend is in welke mate spoofing wordt gebruikt bij het uitvoeren van criminele
technieken en de verschillende cybercrimes.
Verbanden met cybercrimes
Spoofing heeft directe verbanden met de cybercrimes hacken, identiteitsdiefstal
en e-fraude. Spoofing heeft tot doel om zonder toestemming toegang te
verkrijgen tot een geautomatiseerd werk (hacken). Een doel van spoofing kan
verder zijn om gevoelige informatie van een gebruiker te stelen (identiteitsdiefstal),
om deze informatie vervolgens door te verkopen of om met de informatie
fraude te plegen (e-fraude).
Spoofing is een criminele techniek die gebruikt wordt in combinatie
met andere criminele technieken. Spoofing wordt bijvoorbeeld gebruikt bij
phishing. Het doel van een phisher is om slachtoffers te misleiden om persoonlijke
gegevens op een nepwebsite in te voeren (zie bijlage 9). Van Geest
(2006) beschrijft op welke manieren spoofing gebruikt kan worden bij een
phishing-aanval:
– Het afzendadres van de e-mail wordt gespoofd om de e-mail legitiem te
laten lijken.
– In de e-mail zelf kan van verschillende technieken gebruik worden gemaakt
om te verhullen dat hyperlinks niet verwijzen naar de website van
de ‘echte’ organisatie, maar naar de nepwebsite van de phisher.
– De hyperlinks die naar de nepwebsite verwijzen, kunnen gebruikmaken
van bepaalde technieken om in de browser van het slachtoffer te verhullen
dat deze zich op de nepwebsite bevindt.
– De nepwebsite is zo opgezet dat deze in alle opzichten legitiem lijkt. Zo
kan er bijvoorbeeld gebruik worden gemaakt van een beveiligde verbinding
of kan er gebruik worden gemaakt van links naar de ‘echte’ website
als onderdeel van de nepwebsite.
Trends
Doordat spoofing gebruikt wordt als hulpmiddel voor andere criminele technieken
zijn de trends en ontwikkelingen op het gebied van spoofing sterk afhankelijk
van de trends en ontwikkelingen van de andere criminele technieken
(zoals phishing en spam).
Resumé
‘Spoofing is identiteitsvervalsing: Je voordoen als iets of iemand anders’ (Van
Geest, 2006, p. 49). Spoofing heeft tot doel om zonder toestemming toegang
te verkrijgen tot een geautomatiseerd werk. Dit is strafbaar gesteld in artikel
138a Sr. Vervolgens kan vertrouwelijke informatie worden gestolen of mal-

Bijlage 2 Spoofing
291
ware worden geïnstalleerd (art. 139c en 139d Sr). Indien gegevens gewijzigd
of vernietigd worden, is dat strafbaar volgens artikel 350 Sr. Indien er stoornis
in het geautomatiseerde werk optreedt, is dat strafbaar middels artikel
161sexies en 161septies Sr. Er is een aantal verschillende verschijningsvormen
van spoofing: IP-spoofing, ARP-spoofing, DNS-spoofing, e-mailspoofing en
URL-spoofing. Spoofing heeft directe verbanden met de cybercrimes hacken,
identiteitsdiefstal en e-fraude. Daarnaast heeft spoofing sterke verbanden met
criminele technieken als phishing en het versturen van spam. Doordat spoofing
gebruikt wordt als hulpmiddel voor andere criminele technieken, zijn
de trends en ontwikkelingen op het gebied van spoofing sterk afhankelijk
van de trends en ontwikkelingen van de andere criminele technieken (zoals
phishing en spam).

ijlage 3
bo t n e t
Inleiding
Een botnet is een op afstand bestuurbaar netwerk van gecompromitteerde
computers dat ingezet kan worden voor verscheidene criminele activiteiten
(KLPD, DNRI, 2007a). De computers in een botnet kunnen via verschillende
technieken besmet zijn geraakt. Eenmaal geïnfecteerd, verandert de computer
in een bot of zombie die van buitenaf opdrachten kan krijgen die het vervolgens
zelfstandig uitvoert, meestal zonder dat de gebruiker van de computer
daar iets van merkt.
Botnet: ‘Netwerk van computers die door de overtreder op afstand aangestuurd
kan worden, waarna de computers autonoom taken uitvoeren zoals
het verzenden van spam’. (KLPD, DNRI, 2007a, p. 97)
Door de enorme groei van het internet en het groeiende aantal transacties
op het gebied van e-commerce is volgens McAfee de aandacht van hackers
verschoven van nieuwsgierigheid, het ontdekken van nieuwe technologieën
en het delen van informatie naar het behalen van financieel gewin, met name
door e-fraude en cyberafpersing (McAfee, 2007). Botnets hebben een direct
verband met deze vormen van cybercrime (Federale Politie, 2005; McAfee,
2005). In de Volkskrant van 25 augustus 2006 lezen we een voorbeeld van het
gebruik van botnets voor het plegen van verschillende vormen van cybercrime.
Het artikel beschrijft de rechtszaak van de 20-jarige hacker Sjoerd B.
uit Loon op Zand. B. is hoofdverdachte in de zaak tegen een groep jonge Tilburgse
hackers die volgens justitie anderhalf miljoen computers van particulieren
en bedrijven hebben gekaapt (het botnet). De groep zou wachtwoorden
en creditcards hebben gestolen, eigenaren van websites hebben afgeperst en
via gekraakte PayPal-accounts dure spullen hebben besteld op internet. Het
afpersen ging door het dreigen met of uitvoeren van een DDoS-aanval. Gov -
cert stelt dat botnets centraal staan in de problematiek van cybercrime en malware.
Botnets kunnen worden gekarakteriseerd als de backbone van de cybercrime-infrastructuur
(Govcert.nl, 2007).

294 Verkenning cybercrime in Nederland 2009
Strafbaarstelling
Botnets bestaan uit een serie geïnfecteerde computers. Daarvoor moet er, zonder
toestemming, toegang worden verkregen tot die computers. Dat is strafbaar
gesteld in artikel 138a Sr. Daarnaast kan er informatie van de gebruiker
worden verkregen. In dat geval is sprake van een misdrijf op grond van artikel
138a lid 2 Sr. Indien opzettelijk dan wel door schuld een geautomatiseerd
werk vernield wordt, zijn de artikelen 161sexies en 161septies Sr van toepassing.
Indien er gegevens vernield worden, zijn de artikelen 350a en 350b Sr
van toepassing (zie hoofdstuk 2).
Verschijningsvormen
Het maken van een botnet is relatief eenvoudig en vereist een minimale technische
kennis (Ianelli & Hackworth, 2005). De ‘attacker community’ deelt
graag informatie en kennis met diegene die het wil leren. Daarnaast is er veel
informatie beschikbaar over hoe systemen kunnen worden overgenomen en
wat eenvoudige commando’s zijn. IRC (Internet Relay Chat)-kanalen bieden
zelfs trainingssessies aan en bieden adviezen voor beginnelingen (Van der
Hulst & Neve, 2008). Voor het creëren van een botnet moet gebruikgemaakt
worden van de zwakheden in een netwerk. Gedetailleerde lijsten gaan op
internet rond waarop bijvoorbeeld staat welke delen van het internet zwak
beveiligd zijn, welke je links moet laten liggen, welke van de overheid of van
scholen zijn, enzovoort. Ianelli en Hackworth (2005) en Van Geest (2006) beschrijven
een aantal manieren waarop een computer geïnfecteerd kan worden
en deel gaat uitmaken van een botnet:
– Uitbuiting van zwakke plekken in het systeem. Het gebruiken van een zwakke
plek in software. Vaak zal een hacker gebruikmaken van verschillende
zwaktes, omdat bij gebruik van slechts één zwakte het benodigde ‘level’
(van administrator) 103 niet gehaald wordt (Ianelli & Hackworth, 2005). Nadat
de hacker op een systeem is binnengedrongen, wordt de computer(s)
geïnfecteerd (Van Geest, 2006).
– Virussen en wormen. Een computer kan ook geïnfecteerd worden, doordat
er een trojan als component bij een virus of worm zit. Dit kan gebeuren
vanaf een kwaadaardige webpagina waarop mensen per ongeluk terechtkomen
(Van Geest, 2006).
– Software-updates. Soms is een software-update dusdanig door een kwaadwillende
gemanipuleerd, dat deze een Trojaans paard bevat (Van Geest,
2006).
103 Gebruikers van een netwerk hebben verschillende rechten. De hoogste rechten behoren toe
aan de administrator. De administrator kan overal komen en heeft de mogelijkheid om aanpassingen
binnen een systeem te doen.

Bijlage 3 Botnet
295
– E-mail. Soms wordt op zeer grote schaal een e-mail verspreid met als bijlage
een Trojaans paard. Door de ontvanger over te halen de bijlage te installeren
(middels social engineering) kan op grote schaal een Trojaans paard
verspreid worden (Van Geest, 2006).
– Social engineering. Het overtuigen van een gebruiker om iets te doen wat
hij/zij normaal niet zou doen. De mens is een zwakke schakel in de beveiliging,
zie ook bijlage 1 (Ianelli & Hackworth, 2005).
Nadat er een basis is gelegd voor het botnet, kan begonnen worden met het
vergroten van het botnet. De uitbreiding van een botnet is ook weer relatief
gemakkelijker, doordat steeds meer eindgebruikers snelle, ‘always-on’ breedbandverbindingen
gebruiken (Symantec, 2007). Internationaal gezien blijkt
dat de .edu (educational) gedeelten van internet populair zijn. Deze omgevingen
zijn vaak slecht beveiligd. Andere populaire doelen zijn de .mil- en
.gov-domeinen. De reden dat deze domeinen doelwit zijn, is niet de slechte
beveiliging, maar het gaat meer om de eer en het kunnen opscheppen tegen
andere mensen in de scene (Ianelli & Hackworth, 2005). Geïnfecteerde computers
in het botnetwerk worden aangestuurd vanuit een command and control
center, dat beheerd wordt door de botbeheerder. Tot voor kort was het gebruikelijk
om de commando’s in een botnetwerk door te geven via IRC-kanalen.
De laatste tijd wordt meer gebruikgemaakt van P2P-netwerken en eigen protocollen.
Het ontbreken van een centrale plek in de commandostructuur en de
onbekendheid met de methode van overdracht bemoeilijkt het opsporen en
uitschakelen (KLPD, DNRI, 2007a; Govcert, 2008, p. 8). Ook fast flux, een techniek
waarbij kwaadaardige servers zich achter snel wisselende netwerkadressen
verschuilen, is een innovatie waarmee het oprollen van botnets wordt
bemoeilijkt. Het doel van de criminelen is de gebruiksduur van de botnets te
verlengen en daar slagen ze redelijk goed in (Govcert, 2008, p. 8). Zodra een
botnet gecreëerd is, hebben de cybercriminelen een machtig wapen in handen.
Botnets kunnen worden verhuurd aan andere cybercriminelen. Bedragen
die beginnen bij $ 200 tot $ 300 per uur worden genoemd (McAfee, 2007).
Verschijningsvormen
Zoals het in de inleiding van deze paragraaf aangehaalde krantenbericht (de
Volkskrant, 25 augustus 2006) al laat zien, kan een botnet voor de uitvoering
van tal van verschillende (sub)vormen van cybercrime worden gebruikt.
Ianelli en Hackworth (2005) beschrijven de volgende mogelijkheden:

296 Verkenning cybercrime in Nederland 2009
– DDoS-aanvallen. Een DDoS-aanval (Distributed Denial of Service-aanval,
zie bijlage 4) wordt veelal uitgevoerd uit wraak of voor financieel gewin.
De bedoeling is om een bepaalde onlineservice (bijv. een webwinkel) te
vertragen of lam te leggen.
– Poortscanners. Bots herbergen vaak poortscanners. Deze scanners zoeken
constant naar openstaande poorten in een systeem om deze uit te buiten.
Ook bekende zwaktes in systemen worden door malware bekeken.
– Download en installatiefunctie. Deze functie wordt gebruikt voor het updaten
van de malware. Verder kan deze functie gebruikt worden voor het
downloaden van de bestanden die voor de hacker van belang zijn.
– Klikfraude. Websites verdienen geld door banners met reclame te verhuren.
De websitebeheerder verdient per klik op de banner een bepaald bedrag.
De geïnfecteerde computers uit het botnet worden ingezet om constant op
de banners te klikken. Dit genereert een enorme hoeveelheid hits. Omdat
de computers die in een botnet zitten vaak geografisch erg verspreid zitten,
is het lastig om deze fraude te ontdekken.
– Server-class services. Botnets kunnen ingezet worden om http- 104 en ftp-verkeer
105 te hosten. Dit geeft de volgende mogelijkheden:
• http wordt gebruikt voor het hosten van bijvoorbeeld phishing websites
of websites met andere malware;
• ftp kan gebruikt worden voor de distributie van illegale software;
• de command and control-functie van het botnet wordt gehost;
• het verspreiden van e-mails. Specifiek voor de verspreiding van spam.
Manieren om spam te onderscheppen, kunnen door het botnet worden omzeild.
Dataverkeer wordt bijvoorbeeld gemonitord: indien er veel data van een
bepaald IP-adres verstuurd wordt, wordt het adres geblokkeerd. Door het gebruik
van een aantal kleine botnets en het instellen van een maximumaantal
berichten dat verstuurd wordt, kan de spam ongestoord verspreid worden.
Indien 10.000 bots elk 100 berichten over een periode van een paar uur verspreiden,
zijn er immers nog steeds een miljoen e-mails verstuurd.
– Gateway en proxy functies. Het gebruik van proxy verbergt de identiteit van
een computercrimineel. Door het gebruik van een gateway of proxy (proxy
betekent letterlijk een tussenpersoon, een machine die tussen twee computers
in staat) kan de computercrimineel anoniem blijven op het internet.
104 Http (Hypertext transfer protocol) is het protocol voor de communicatie tussen een webclient
(meestal een webbrowser) en een webserver (http://nl.wikipedia.org/wiki/Http).
105 File Transfer Protocol (ftp) is een protocol dat uitwisseling van bestanden tussen computers
vergemakkelijkt (http://nl.wikipedia.org/wiki/Ftp).

Bijlage 3 Botnet
297
– Spyware. De geïnfecteerde computers worden gebruikt voor het verkrijgen
van persoonlijke informatie. Deze criminele techniek is verder uitgewerkt
in bijlage 8.
Omvang
Symantec definieert een geïnfecteerde computer als een computer die minstens
één keer per dag een aanval uitvoert. Tussen 1 januari 2007 en 30 juni
2007 registreerde Symantec 52.771 actieve computers die tot een botnet behoorden.
Dit is een vermindering van 17% ten opzichte van de vorige periode
die liep van juli 2006 tot december 2006 (Symantec, 2007). Geïnfecteerde
computers die minstens één keer actief waren tijdens de periode van de meting
worden door Symantec ‘distinct bot-infected computer’ genoemd. In de
meetperiode tussen 1 januari 2007 en 30 juni 2007 waren er 5.029.309 van dergelijke
computers. Ook dit is een vermindering van 17% vergeleken met de
voorgaande meetperiode (Symantec, 2007). Uit onderzoek van het Computer
Security Institute (2007) blijkt dat 21% van de bevraagde organisaties geïnfecteerde
computers in hun netwerk hadden die behoorden tot een botnet. Uit
ander onderzoek blijkt dat 30% van de bedrijven geïnfecteerde computers in
hun netwerk heeft (CSO magazine, 2006).
De verklaring die Symantec geeft voor de afname van het aantal actieve
computers in een botnet, is dat cybercriminelen hun aanvalsstrategieën veranderen
(Symantec, 2006a, 2006b, 2007). Er vindt een verschuiving plaats van het
zoeken naar zwaktes in netwerken om botnets groter te maken naar andere
methoden, zoals het versturen van enorme hoeveelheden mail. Daarnaast is
het voor de cybercriminelen steeds moeilijker om nieuwe computers te infecteren.
Dit komt door een betere beveiliging in populaire besturingssystemen,
zoals Windows XP (standaard firewall) en de steeds grotere bewustwording
van de gevaren van internet door bedrijven en het publiek. Verder concludeert
Symantec (2007a) dat de verspreiding van ‘malicious activity’ stabiel blijft.
Dit impliceert, dat zodra er een aanvalsinfrastructuur is opgezet (mede in de
vorm van een botnet) deze moeilijk te verwijderen is. Het is dus niet zo dat
cybercriminelen constant nieuwe botnets aan moeten maken om hun illegale
activiteiten uit te kunnen blijven voeren; zodra er iets is opgebouwd, kunnen
cybercriminelen deze infrastructuren blijkbaar vrijelijk blijven gebruiken.
Verbanden met cybercrimes
Botnets worden gebruikt voor het uitvoeren van andere criminele technieken.
Deze criminele technieken staan ieder weer in verband met verschillende
vormen van cybercrime. Het verband tussen botnets en identiteitsdiefstal
en e-fraude is het duidelijkst aanwezig. Botnets worden gebruikt voor de verspreiding
van malware, zoals spyware (bijlage 8) en het hosten van phishing

298 Verkenning cybercrime in Nederland 2009
websites (bijlage 9). Verder bestaat er een duidelijk verband met hacken. Botnets
scannen constant de mogelijkheid om nieuwe computers te infecteren.
Ook worden botnets gebruikt voor het uitvoeren van Distributed Denial of
Service (DDoS)-aanvallen (zie bijlage 4), die weer dienen als instrument voor
cyberafpersen. Ten slotte zijn er verbanden te vinden met kinderporno en
haatzaaien. Botnets worden gebruikt voor het hosten van websites met illegale
content.
Trends
Tegenwoordig worden virussen en Trojaanse paarden door computercriminelen
tegen forse betaling op maat gemaakt, met als specifiek doel het aanleggen
van botnets die vervolgens te huur zijn voor spammers of criminele organisaties
(MessageLabs, 2005). Er is een afname te zien in het aantal actieve
computers in een botnet. Dit komt doordat cybercriminelen hun aanvalsstrategieën
veranderen (Symantec, 2006a, 2006b, 2007). Er vindt een verschuiving
plaats van het zoeken naar zwaktes in netwerken om botnets groter te maken
naar methoden als het versturen van enorme hoeveelheden mail. Daarnaast
is het voor de cybercriminelen steeds moeilijker om nieuwe computers te infecteren.
Dit komt door een betere beveiliging in populaire besturingssystemen
als Windows XP (standaard firewall) en de steeds grotere bewustwording
van de gevaren van internet door bedrijven en het publiek. Een trend
die gesignaleerd wordt door beveiligingsbedrijf F-Secure is dat botnets steeds
kleiner worden (Simpson, 2008). Grote botnets worden afgebroken en opgedeeld
in kleinere. Er bestaan nog steeds grote botnetwerken, maar nieuwe
botnets worden niet meer zo groot mogelijk gemaakt. Een aantal kleine netwerken
hoeft namelijk niet minder geld te genereren dan één grote. Een recent
voorbeeld van een dergelijke opsplitsing is te zien in het Russian Bussiness
Network. Dit netwerk, dat gebruikt wordt door cybercriminelen, heeft
zijn botnets opgesplitst en verplaatst van Rusland naar meerdere locaties wereldwijd
(Keizer, 2008b). Eenzelfde verschuiving is te zien bij Storm Worm.
De omvang van Storm Worm is aanzienlijk afgenomen sinds zijn ontstaan in
2007. Hoewel Microsoft claimt dat het verantwoordelijk is voor de ontmanteling
van Storm Worm (Keizer, 2008a), beweren andere bronnen dat de afname
van Storm Worm met name komt doordat computercriminelen ervoor gekozen
hebben om dit botnet op te delen in kleinere botnets (Keizer, 2008b).
Resumé
Botnets kunnen worden ingezet voor het uitvoeren van tal van criminele
technieken en zijn verweven met alle vormen van cybercrime die in deze
VCN2009 worden behandeld. Botnets zijn relatief eenvoudig te maken; het
vereist een minimale technische kennis. Bovendien wordt kennis die nodig

Bijlage 3 Botnet
299
is voor het opzetten van een botnet gedeeld. Door de groei in het gebruik
van ‘always-on’ breedbandverbindingen is de kans op infectie van computers
groot. Gebruikers hebben vaak helemaal niet door dat hun computer
geïnfecteerd is. Daar staat tegenover dat betere beveiligingen op besturings -
programma’s en bewustwording van de gevaren van internet door gebruikers
en bedrijven ervoor zorgt dat het voor cybercriminelen steeds moeilijker
wordt om nieuwe computers te infecteren. Een trend is dat de botnets kleiner
worden gemaakt, waardoor ze minder makkelijk te traceren zijn.

ijlage 4
di St r i bu t ed de n i a l o f Se r V i c e a t t a c k S
Inleiding
Denial of Service-aanvallen zijn aanvallen op een systeem of service met als
doel een systeem, service of netwerk zo te belasten dat deze uitgeschakeld
wordt of niet meer beschikbaar is. Denial of Service kan worden geïnitieerd
vanaf een enkel systeem, maar ook vanaf meerdere systemen tegelijkertijd.
Denial of Service vanaf meerdere systemen wordt een Distributed Denial of
Service genoemd (Van Geest, 2006). De bronnen zijn hierbij meestal geïnfecteerde
pc’s die onderdeel zijn van een botnetwerk (KLPD, DNRI, 2007a).
Denial of Service-aanval: ‘Aanval op een server waarbij verschillende computers
tegelijkertijd grote hoeveelheden data verzenden of opvragen om de server
te overbelasten of zijn dataverkeer te blokkeren.’ (KLPD, DNRI, 2007a, p. 98)
Het verstoren van diensten en systemen die in contact staan met het internet
is een bijna dagelijkse gebeurtenis. Een van de meest bekendste manieren om
diensten en systemen te verstoren, is de zogenoemde Distributed Denial of
Service (DDoS)-aanval (Govcert, 2005). In deze paragraaf gaan we dieper in op
dergelijke aanvallen. Een voorbeeld illustreert de ernst van DDoS-aanvallen.
In NRC Handelsblad van 22 mei 2007 en Trouw van 12 mei 2007 staan berichten
over de aanvallen van Russische hackers die websites uit Estland aanvallen
(naar aanleiding van het weghalen van een oorlogsmonument). Volgens Estland
valt de Russische overheid websites van Estse overheidsinstellingen en
banken aan. Ook de netwerken voor mobiele telefonie en de reddingsdiensten
liggen onder vuur, zei de Estse minister van Buitenlandse Zaken Urmas Paet
tegen persbureau UPI. De IP-adressen van de aanvallende computers zijn van
de Russische overheid. Alhoewel Nederland nog niet het slachtoffer is geworden
van een dergelijke grote aanval, illustreert de aanval op Estland wel de
kwetsbaarheid van de virtuele wereld en de macht van de DDoS-aanval. Andere
artikelen gaan over de rechtszaak en veroordeling van drie tieners uit
Breda in een landelijk geruchtmakende computerhackerszaak (Het Parool, 11
februari 2006; NRC Handelsblad, 10 februari 2006; Reformatorisch Dagblad, 10 februari
2006). De jongeren legden in oktober 2004 met DDoS-aanvallen enkele

302 Verkenning cybercrime in Nederland 2009
dagen een aantal websites plat (www.overheid.nl, www.regering.nl, www.telegraaf.nl
en www.geenstijl.nl). De aangevallen sites waren vier dagen lang
niet bereikbaar. Zeker 50.000 andere internetpagina’s werden indirect getroffen
en werden traag. Een laatste voorbeeld is de DDoS-aanval op een aantal
antispamorganisaties in december 2006 en januari 2007. De aanstichter van de
aanval was een trojan die (met vele andere trojans) verspreid is door het virus
dat later bekend werd als ‘Storm Worm’. 106
DDoS-aanvallen zijn overigens niet nieuw, al sinds 1996 zijn er publicaties
te vinden over DoS-aanvallen 107 (Householder, 2001). Rogers (2004) legt de
werking van een (D)DoS-aanval uit aan de hand van de werking van een normale
telefooncentrale, zie figuur B4.1.
Figuur B4.1 De werking van een DDoS-aanval
De telefoonaanbieders hebben hun systeem zo ingericht dat het een maximaal aantal
telefoontjes tegelijkertijd aankan. Dit is puur een kosten-batenoverweging. Het
gaat uit van een gemiddeld aantal telefoontjes dat afgehandeld moet worden. Immers:
hoe meer capaciteit, hoe meer kosten. Indien er altijd veel gebeld wordt, zal
het systeem daarop worden aangepast, maar indien alleen tijdens de jaarwisseling
een piek is, dan houden de aanbieders daar geen rekening mee. Het enige wat ze
zullen proberen, is om mensen voor te lichten over de mogelijke piekbelasting of
tijdelijke maatregelen nemen die ervoor zorgen dat de extra telefoontjes kunnen
worden opgevangen. Indien je het telefoonnetwerk plat wilt leggen, moet je er dus
voor zorgen dat het systeem overbelast raakt: heel veel gaan bellen. Dit soort aanvallen
heet: Denial of Service (DoS)-aanval. De aanvaller probeert ervoor te zorgen
dat de telefoonmaatschappij geen diensten kan leveren aan zijn klanten. Indien de
aanval gebeurt vanuit verschillende telefoons tegelijk, dan heet het een Distributed
Denial of Service Attack (DDoS).
Computersystemen zijn ook gevoelig voor DoS-aanvallen. Een klassieke manier
is het versturen van een enorme hoeveelheid e-mail. Indien een persoon
veel mailtjes krijgt, zal de limiet van zijn mailbox worden overschreden en
kunnen er geen nieuwe e-mails meer bij. Ook het platleggen van diensten
(services) door de netwerken waar ze op gehost worden, is populair. Websites,
file sharing-diensten en de DNS-servers zijn doelwitten geworden. De eerste
stap is om een netwerk van computers samen te stellen Dit kan door het ge-
106 Zie ook Stewart (2007) voor een uitgebreide en technische beschrijving van de werking van
deze aanval.
107 Te vinden via www.cert.org.

Bijlage 4 Distributed Denial of Service attacks
303
bruik van een botnet (zie bijlage 3), maar ook door een oproep aan een aantal
vrienden of andere internetters die tezamen de benodigde capaciteit hebben
om de dienst te overloaden. Zodra het netwerk is gemaakt en het slachtoffer is
uitgekozen, kan de aanval beginnen. Een botnet hoeft overigens niet meteen
gebruikt te worden. Het is ook mogelijk om het netwerk een tijdlang in een
slapende toestand te houden en het in werking te zetten wanneer de aanvaller
dat wil. Om moeilijker traceerbaar te zijn, worden de computers die de DDoSaanval
uitvoeren, gehaald uit landen met verschillende tijdzones, wetgevingen,
enzovoort. Ook wordt er bijvoorbeeld gebruikgemaakt van IP-spoofing
(zie bijlage 2).
Strafbaarstelling
Indien er bij een DDoS-aanval gebruik wordt gemaakt van een botnet, is er
in ieder geval sprake van dat er is binnengedrongen in een geautomatiseerd
werk. Dit is strafbaar volgens artikel 138a Sr. Het doel van een DDoS-aanval
kan zijn om een systeem lam te leggen. Dan wordt er dus geautomatiseerd
werk vernield. Dit is strafbaar gesteld in de artikelen 161sexies en 161septies
Sr. Het lamleggen van een systeem kan tot gevolg hebben dat gebruikers geen
toegang meer hebben tot de in dat systeem opgeslagen gegevens. Het ontoegankelijk
maken van gegevens maakt onderdeel uit van de strafbaarstelling
die betrekking heeft op het onbruikbaar maken van computergegevens (Van
Geest, 2006). Dit is strafbaar volgens artikel 350 Sr. Voor een uitgebreide uitleg
zie hoofdstuk 2.
Verschijningsvormen
Bij de eerste DoS-aanvallen werden vrij simpele tools gebruikt die pakketjes
vanuit een bron naar een doelwit verstuurden. Deze tools zijn doorontwikkeld
tot single source attacks (een aanvaller) naar meerdere doelwitten,
multiple source attacks (meerdere aanvallers) naar hetzelfde doelwit, multiple
source attacks (meerdere aanvallers) naar verschillende doelwitten (Houle &
Weaver, 2001). Daarnaast zijn er verschillende varianten van DoS en DDoSaanvallen,
evenals verschillende motieven, maar de overeenkomst in al deze
vormen is dat de doelserver zo veel informatie tegelijk op zich afkrijgt of terug
moet geven, dat deze zijn eigenlijke taak niet meer kan uitvoeren. Motieven
voor DDoS-aanvallen zijn: (1) opscheppen, (2) wraak/haat/terrorisme, (3)
cyberafpersen en (4) concurrentie. We werken de motieven hierna verder uit.
– Opscheppen. Dit motief was met name van toepassing op de vroegere
DDoS-aanvallen. Momenteel is daarvan echter weinig sprake meer (KLPD,
DNRI, 2007a). Door de enorme groei van het internet en het groeiende
aantal transacties en e-commerce is de aandacht van hackers verschoven

304 Verkenning cybercrime in Nederland 2009
naar het behalen van financieel gewin, met name door fraude en afpersing
(McAfee, 2007).
– Wraak/haat/politiek/terrorisme. In 2007 is een aantal DDoS-aanvallen uitgevoerd
met dit motief. Een voorbeeld is een DDoS-aanval van Turkse
hackers op Zweedse websites in verband met de publicatie van een Mohammed-cartoon,
door Zweedse hackers beantwoord door aanvallen op
Turkse sites (KLPD, DNRI, 2007a). Een ander voorbeeld zagen we in de inleiding
van deze bijlage. Het betreft de aanval op Estland (NRC Handelsblad,
22 mei 2007 en Trouw, 12 mei 2007). DDoS-aanvallen zijn daarom een
probleem voor publiektoegankelijke websites van de overheid (McAfee,
2007).
– Cyberafpersen. De ouderwetse maffiaprotectie: betalen om niet ge-DDoSt
te worden. Deze vorm is de afgelopen jaren toegenomen en zal naar verwachting
nog verder groeien (KLPD, DNRI, 2007a). DDoS-aanvallen zijn
een grote bedreiging voor bedrijven. Een succesvolle aanval kan ervoor
zorgen dat de website of een netwerk van een bedrijf zowel voor klanten
als personeel niet meer toegankelijk is. Dit kan leiden tot grote verliezen
en reputatieverlies (Sophos, 2007). Volgens experts betalen veel bedrijven
daarom het gevraagde losgeld (Pappalardo & Messmer, 2005). Dit lijkt een
goedkope en snelle oplossing. Een mogelijk gevolg is echter dat de aanvallen
dan terug blijven komen. De reden om geen aangifte te doen, is met
name het verlies van de goede naam van een bedrijf. Het gebeurt inmiddels
zo vaak dat beveiligingsspecialisten er al niet meer van op kijken
(Pappalardo & Messmer, 2005). Zie ook hoofdstuk 4.
– Concurrentie. Er wordt volgens het KLPD in beveiligingsland concurrentie
waargenomen tussen zowel bedrijven als tussen hackers onderling. Aangezien
botnets kunnen worden gehuurd en de aanval volledig anoniem
plaatsvindt, is dit een krachtige aanvalstechniek van concurrerende bedrijven
(KLPD, DNRI, 2007a, p. 38).
Er zijn bij een aanval vaak meerdere groepen slachtoffers (Rogers, 2004). Indien
bijvoorbeeld een webwinkel net voor een drukke periode, bijvoorbeeld
kerst, wordt platgelegd, zijn er meerdere slachtoffers. Ten eerste is de onlinewinkel
het slachtoffer. Er is immers minder winst behaald, er moeten extra
kosten gemaakt worden om het netwerk opnieuw op te starten en er is
publiciteitsschade. De tweede groep slachtoffers zijn de klanten, die kunnen
hun spullen niet meer op tijd krijgen. Een derde groep slachtoffers zijn de eigenaren
van de netwerken waarover een DDoS-aanval gepleegd wordt. Deze
netwerken hebben een maximale capaciteit. Doordat de DDoS-aanval veel capaciteit
opneemt, heeft de rest van de gebruikers van het netwerk daar last
van in de vorm van bijvoorbeeld tragere verbindingen.

Bijlage 4 Distributed Denial of Service attacks
305
Omvang
Er zijn verschillende cijfers bekend over DDoS-aanvallen. Uit een Nederlands
onderzoek uit 2005 (Den Hartog & Kouwenhoven, 2005) blijkt dat 12,7%
van de ondervraagde bedrijven in de afgelopen zes maanden slachtoffer is
geweest van een DDoS-aanval. In de ECrime Watch Survey (CSO magazine,
2006, 2007) blijkt dat 36% van de bedrijven hiervan slachtoffer is geweest in
2006. In 2007 is dit aantal zelfs opgelopen tot 49%. In een grote Amerikaanse
survey onder bedrijven (CSI Survey, 2007) geeft 25% van de respondenten aan
het afgelopen jaar slachtoffer te zijn geweest van een dergelijke aanval. 13%
van de ondervraagde bedrijven in Australië heeft in 2006 financieel verlies
geleden door een DDoS-aanval (AusCERT, 2006). In 2005 was dit nog 14% en
in 2004 20%.
Verbanden met cybercrimes
DDoS-aanvallen worden gebruikt voor de vorm cyberafpersen, zie hoofdstuk 6.
Daarnaast kunnen dergelijke aanvallen uitgevoerd worden door hackers onderling,
uit wraak, om op te scheppen of om simpelweg vernielingen te plegen.
Trends
Doordat er steeds meer mensen gebruikmaken van internet, wordt de impact
van de aanvallen groter (Rogers, 2004). Het verbeteren van de beveiliging
lijkt te werken. Zoals we gezien hebben bij botnets leidt de verhoging
van beveiliging (bijv. een goede firewall in nieuwe besturingssystemen)
tot een moeilijker te besmetten computer (zie ook bijlage 6). In het verleden
werden DDoS-aanvallen als een vorm van vandalisme uitgevoerd. Terwijl
dergelijke aanvallen tegenwoordig steeds meer worden uitgevoerd met als
doel afpersing of protest tegen een organisatie of standpunt. Door deze omslag
verwacht Govcert dat DDoS-aanvallen in de toekomst gaan toenemen
(Govcert.nl, 2005, p. 1). Uit onderzoek van Stratix (2007) blijkt dat Nederlandse
servers in de top 10 van doelwitten van DoS-aanvallen staan. In de meeste
gevallen gaat een aanval gepaard met een poging tot afpersing. Hoewel het
aantal DDoS-aanvallen wereldwijd flink is toegenomen en de mogelijkheden
in de toekomst verder zullen toenemen (door de uitbreiding in het aantal
breedbandverbindingen en dus potentiële doelwitten), verwacht het KLPD
in Nederland geen concrete dreiging op dit vlak (Boerman & Mooij, 2006, p.
34). Als reden wordt aangevoerd dat het huidige aantal afpersingspogingen
met behulp van DDoS-aanvallen in Nederland (ten opzichte van bijvoorbeeld
de Verenigde Staten en het Verenigd Koninkrijk) erg gering is, en bovendien

306 Verkenning cybercrime in Nederland 2009
worden de technieken die tegen DDoS-aanvallen kunnen beschermen steeds
geavanceerder 108 (Van der Hulst & Neve, 2008).
Resumé
Een Denial of Service-aanval is een ‘aanval op een server waarbij verschillende
computers tegelijkertijd grote hoeveelheden data verzenden of opvragen
om de server te overbelasten of zijn dataverkeer te blokkeren’ (KLPD, DNRI,
2007a, p. 98). Computersystemen zijn gevoelig voor DoS-aanvallen. Dergelijke
aanvallen zijn niet nieuw, al sinds 1996 zijn er publicaties te vinden over DoSaanvallen.
Doordat er steeds meer mensen gebruikmaken van internet en de
e-commercehandel stijgt, wordt de impact van de aanvallen groter (CBS, 2008;
Rogers, 2004). Er zijn verschillende verschijningsvormen; van één aanvaller
met één doel tot meerdere aanvallers met meerdere doelen (Houle & Weaver,
2001). Daarnaast zijn er vaak verschillende groepen slachtoffers van een
DDoS-aanval, niet alleen de dienstverlener die aangevallen wordt, maar ook
de klanten die de dienst af willen nemen, andere gebruikers van het netwerk
waar de aanval over wordt uitgevoerd en de eigenaar van het netwerk zijn
slachtoffer (Rogers, 2004). Verder kunnen meerdere motieven ten grondslag
liggen aan DDoS-aanvallen. Motieven voor een DDoS-aanval kunnen zijn:
opscheppen, wraak/haat/terrorisme, cyberafpersen of concurrentie (KLPD,
DNRI, 2007a; Sophos, 2007; Pappalardo & Messmer, 2005). Er zijn wel cijfers
over het aantal bedrijven dat slachtoffer is geweest van een DDoS-aanval,
maar er zitten grote verschillen tussen de cijfers uit verschillende bronnen
(tussen de 12,7% en 49%) (AusCERT, 2006; Computer Security Institute, 2007;
Den Hartog & Kouwenhoven, 2005). Doordat DDoS-aanvallen steeds vaker
worden uitgevoerd met als doel het afpersen van een organisatie of als protestactie
tegen bepaalde standpunten, zullen dergelijke aanvallen in de toekomst
vaker voorkomen (Govcert.nl, 2005, p. 1). Hoewel het aantal DDoS-aanvallen
wereldwijd flink is toegenomen en de mogelijkheden in de toekomst verder
zullen toenemen, verwacht het KLPD in Nederland geen concrete dreiging op
dit vlak (Boerman & Mooij, 2006, p. 34). Als reden wordt aangevoerd dat het
huidige aantal afpersingspogingen met behulp van DDoS-aanvallen in Nederland
erg gering is en de technieken die bescherming bieden tegen DDoSaanvallen
steeds geavanceerder worden (Van der Hulst & Neve, 2008).
108 Er worden bijvoorbeeld anti-DDoS-pakketten aangeboden die het netwerkverkeer filteren
en claimen dat 99% van de aanvallen kan worden onderschept, zie ook Pappalardo en Messmer
(2005).

ijlage 5
de fa c i n g
Inleiding
Defacing is volgens het KLPD elektronische graffiti, oftewel het bekladden
van de startpagina van een site door hackers (KLPD, DNR, 2007a, p. 98). Van
Geest (2006) hanteert een andere definitie die wij in dit onderzoek overnemen:
Defacing: ‘Het zonder toestemming veranderen, vervangen of vernielen van
een website (…).’ (Van Geest, 2006, p. 35)
Defacing is het veranderen van een website zonder toestemming van de eigenaar.
Defacing is een terugkerend fenomeen waarvan de groei gelijk opgaat
met de groei van het gebruik van internet in het geheel (KLPD, DNRI, 2007a).
Defacements van websites komen regelmatig voor en geven altijd imagoschade.
Databases die dit bijhouden, puilen uit van de voorbeelden (Govcert.
nl, 2008). Over de jaren 2006 en 2007 lezen we in de Nederlandse landelijke
dagbladen slechts een paar berichten die betrekking hebben op deze criminele
techniek. Over defacing in Nederland lezen we slechts één bericht. Het
gaat in dit geval om de defacing van de website van de gemeente Boxmeer (de
Volkskrant, 22 augustus 2007). In plaats van de gemeentelijke informatie verscheen
op www.boxmeer.nl een Arabische tekst met daaronder twee gekruiste
zwaarden. In een ander artikel, dat verscheen in zowel NRC Next als NRC
Handelsblad van 22 augustus 2006, lezen we echter dat er wereldwijd dagelijks
zo’n 7500 duizend websites worden aangevallen met als doel de defacing ervan.
Veelal hebben deze aanvallen een politiek motief. Pogingen tot defacing
zijn er dus wel, maar krijgen relatief weinig aandacht in de pers.
Strafbaarstelling
Om een website zonder toestemming te wijzigen, moet er eerst worden binnengedrongen
in een geautomatiseerd werk. Dit is strafbaar gesteld in artikel
138a Sr. Het vernielen of veranderen van een website is strafbaar volgens artikel
350 Sr. De gegevens van de website zijn opgeslagen op een server. Een
server is een geautomatiseerd werk, omdat het bedoeld is om gegevens op

308 Verkenning cybercrime in Nederland 2009
te slaan, te verwerken en over te dragen (Van Geest, 2006). Indien er sprake
is van vernieling van een geautomatiseerd werk, is dat strafbaar volgens de
artikelen 161sexies en 161septies Sr. Zie ook hoofdstuk 2.
Verschijningsvormen
Defacing is het zonder toestemming wijzigen van een website. In de literatuur
wordt als tweede verschijningsvorm ook wel het doorsturen van verkeer naar
andere websites genoemd (bijv. Van der Hulst & Neve, 2008; Van Geest, 2006).
Dit valt in onze indeling onder pharming, die criminele techniek bespreken
we in bijlage 9. Defacing zien wij alleen als het veranderen van een website.
Dit kan op twee manieren: mass-defacing, een aanval waarbij geautomatiseerd
een grote hoeveelheid websites wordt aangevallen en gewoon defacing,
waarbij de cybercrimineel zich richt op één website. Het doel kan zijn
om te zorgen voor imagoschade bij het bedrijf van de website of om malware
te installeren op de website, waardoor de websitegebruikers op een verkeerd
(betalings)spoor worden gezet, of een distributiepunt van malware of illegale
bestanden wordt (Govcert.nl, 2008).
Omvang
Hoewel defacing en mass-defacing nog steeds voorkomen, is de schade die ze
aanrichten relatief klein, en belangrijker, de opbrengst voor de hackers nihil.
Er is geen sprake van een echte groeimarkt (KLPD, DNR, 2007a). In Nederland
lezen we in de jaren 2006 en 2007 slechts eenmaal over defacing in Nederland.
In artikelen die over het buitenland gaan (NRC Next van 22 augustus 2006 en
NRC Handelsblad van 22 augustus 2006), lezen we echter dat er dagelijks zo’n
7500 duizend websites worden aangevallen met als doel de defacing ervan.
In deze artikelen staat vermeld dat de Italiaanse cybercrimespeurder Roberto
Preatoni constateert dat nog nooit zo veel websites ‘ge-defaced’ zijn als sinds
de recente oorlog tussen Israël en Hezbollah. Werden voorheen dagelijks zo’n
twee- tot drieduizend websites wereldwijd aangevallen, tijdens het conflict
nam dat aantal toe met 150%. Op 20% van de sites staat na de kraak een politiek
pamflet. Het defacen heeft in veel gevallen dus blijkbaar een politiek motief.
Preatoni noemt defacen zelfs de meest effectieve vorm van hedendaags
politiek activisme; ‘individuen kunnen nu miljoenen mensen bereiken’ (NRC
Next van 22 augustus 2006 en NRC Handelsblad van 22 augustus 2006).
Volgens het KLPD was de trend van de afgelopen jaren juist dat websites
met rust worden gelaten en er geprobeerd wordt om door te dringen tot de
informatie achter de website of de website als springplank te gebruiken om
bezoekers te besmetten (KLPD, DNR, 2007a) (deze techniek, Iframe-injectie,
wordt beschreven in bijlage 6. In het meest recente onderzoek naar cyberafpersing
van bedrijven tot 10.000 medewerkers (Bednarski, 2004) blijkt dat van

Bijlage 5 Defacing
309
de bedrijven die slachtoffer geweest zijn van cyberafpersing (17% van de respondenten)
er in 19% van de gevallen gedreigd werd met defacing. Vergelijkbare
cijfers zien we in slachtofferenquêtes die onder bedrijven zijn gehouden
in Australië en Amerika. Uit de cijfers uit Australië (AusCERT, 2006) blijkt
dat 7% van de respondenten te maken heeft gehad met defacing van de website
van de organisatie. Cijfers uit Amerika geven eenzelfde beeld. Uit de CSI
Survey 2007 (Computer Security Institute, 2007) blijkt dat 10% van de respondenten
te maken heeft gehad met defacing en uit de E-Crime Watch Survey
(CSO magazine, 2006) blijkt dat 24% van de respondenten te maken heeft gehad
met (een poging tot) defacing.
Verbanden
Defacing is een criminele techniek die gebruikt wordt door hackers. Zoals in
hoofdstuk drie te lezen is, zijn er verschillende subgroepen van hackers met
elk hun eigen beweegredenen. De motieven die behoren bij defacing passen
bij een aantal van deze subgroeperingen. Het motief wraak past bijvoorbeeld
bij de subgroep novice, cyberpunks en petty thiefs, de politieke motieven passen
bij de political activists en, in mindere mate, de information warriors (zie par.
2.5). Een tweede vorm van cybercrime die een duidelijk verband heeft met
defacing is cyberafpersen. Door middel van het (dreigen met) het veranderen
van een website kan een bedrijf worden afgeperst. Het is dan ook nog maar de
vraag in hoeverre defacing, zoals het KLPD oppert, niet kan worden gelinkt
aan georganiseerde misdaad. Het afpersen van bedrijven is immers een lucratieve
business en daarom aantrekkelijk voor georganiseerde groepen (zie
ook hoofdstuk 4).
Trends
Defacing wordt, voor zover in de literatuur bekend, op dit moment met name
gebruikt met politieke motieven en voor het uitvoeren van cyberafpersingen.
Er is een verschuiving van defacing naar Iframe-injecties te zien, omdat deze
techniek beter gebruikt kan worden om een groot aantal websites in een keer
aan te vallen (KLPD, DNRI, 2007a). Er kan echter niet voorbij worden gegaan
aan het feit dat defacing ook gebruikt wordt voor het afpersen van bedrijven
en dat dit probleem zich ook in de toekomst zal blijven voordoen. In de dossierstudie
zien we dat persoonlijke pagina’s op sociale netwerksites worden
gedefaced.
Resumé
Defacing is een fenomeen waarvan de groei gelijk opgaat met de groei van het
gebruik van internet. Er is volgens het KLPD echter niet sprake van een echte
groeimarkt (KLPD, DNR, 2007a). Er zijn verschillende motieven voor defacing,

310 Verkenning cybercrime in Nederland 2009
te weten: opscheppen, wraak, politiek activisme en afpersen. In Nederland lezen
we in de jaren 2006 en 2007 slechts éénmaal over defacing in Nederland.
Uit nieuwsberichten die over het buitenland gaan, blijkt echter dat defacing,
zij het meestal met een politiek motief, wel degelijk veelvuldig voorkomt. Uit
onderzoek van Bednarski (2004) naar cyberafpersingen in bedrijven tot 10.000
medewerkers blijkt dat van de bedrijven die slachtoffer geweest zijn van cyberafpersing
in 19% van de gevallen gedreigd werd met defacing.

ijlage 6
if r a m e -injectie
Inleiding
Een Iframe-injectie (een inline-frame) is een onzichtbare toevoeging aan een
webpagina die er zorg voor draagt dat met het laden van de pagina ook een
stukje code van elders wordt meegeladen. De Iframe maakt het mogelijk om
een HTML-document in een ander HTML-document te laden. De Iframe
wordt op dezelfde manier geladen als een afbeelding. Op deze manier is het
mogelijk om content van een andere webpagina (bijv. een advertentie) op een
website te implementeren. In figuur B6.1 staat een voorbeeld van een Iframe.
Figuur B6.1 Een Iframe ()
The material below comes from the website http://example.com
Alternative text for browsers that do not understand Iframes.
In figuur B6.1 is te zien dat op de desbetreffende website een Iframe moet worden
geladen van de website http://example.com. Cybercriminelen kunnen
Iframes echter ook misbruiken. Een Iframe-injectie is een code die gebruikmakend
van zwakheden in de browser de computer van de gebruiker (diegene
die de website opvraagt) probeert te besmetten (KLPD, DNRI, 2007a).
Iframe-injectie: ‘Malafide en onzichtbare toevoeging aan een gehackte site
waardoor bezoekers van deze site blootstaan aan een poging tot infectie.’
(KLPD, DNRI, 2007a, p. 98)

312 Verkenning cybercrime in Nederland 2009
De Iframe-injectie is een opvolger van het klassieke defacing (bijlage 5). Het
belangrijkste verschil tussen defacing en Iframe-injecties zijn, behalve de
techniek, de potentiële opbrengsten. De opbrengsten bij defacing zijn voor
computercriminelen volgens het KLPD bijna nihil (KLPD, 2007a). Iframes
kunnen in grotere getallen worden geïnjecteerd en zijn dus lucratiever voor
cybercriminelen.
Strafbaarstelling
Iframe-injecties kunnen worden voorafgegaan door hacken. Dit is strafbaar
gesteld in artikel 138a Sr. Het doorgeleiden van internetverkeer valt onder het
vernielen van gegevens, zoals strafbaar gesteld in artikel 350 Sr. Er zullen immers
gegevens moeten worden veranderd om iets door te geleiden. Indien er
schade ontstaat in het computersysteem of aan de gegevens die daarin zijn
opgeslagen, is dat strafbaar op grond van artikel 161sexies en/of 350a lid 1 Sr.
Zie voor een uitgebreidere beschrijving van deze artikelen hoofdstuk 2.
Verschijningsvormen
Iframe-injecties kunnen op verschillende manieren worden toegepast. Hackers
kunnen besmette Iframes op een website aanbrengen door in te breken
in een server of door besmette banners (reclame) op websites te plaatsen. In de
eerste helft van 2008 hebben cybercriminelen gebruikgemaakt van besmette
zoekresultaten (Schofield, 2008). Hackers hadden in dit geval Iframe-codes
geïnjecteerd in de ‘saved search results’ van een onbekend aantal websites
(zie ook figuur B6.2). Bezoekers van deze sites die gebruikmaken van de zoekfunctie
werden door de Iframe-code omgeleid naar andere websites, waardoor
malware op de computers van de gebruikers kon worden geïnstalleerd.
Figuur B6.2 ‘What’s an Iframe attack and why should I care?’ (Guardian, 3 april 2008)
Big websites often cache (store) the results of search queries run on their sites – say,
the links for a search for ‘malware Iframe’ – and then forward these to search engines
such as Google, which can generate search results directly. Malware authors
exploit the system by putting in a search query like ‘malware Iframe’ plus all the
malicious IFrame’s text. If the site doesn’t check search terms adequately for obfuscated
Javascript, the IFrame data is stored and passed on. When someone then
searches for ‘malware Iframe’ and clicks a result, the attack is initiated directly
from the search result, because the browser can read the obfuscated Javascript –
even if you can’t.

Bijlage 6 Iframe-injectie
Malware distributors like this because they don’t need to hack the server, and
can use popular searches to benefit from the site’s SEO (search engine optimisation)
practices and get a high ranking at Google. The attack usually includes half a
dozen ‘drive-by’ exploits, and also uses ‘social engineering’ to get users to install
something else, such as a video codec that is actually a Trojan.
313
Omvang
Het is niet duidelijk in welke mate Iframe-injecties gebruikt worden als criminele
techniek. Een voorbeeld van het massaal injecteren zien we echter in het
begin van 2008. Verschillende bronnen 109 constateren dat er aanvallen worden
gepleegd op honderdduizenden websites. De aanvallen begonnen aan
het begin van maart, en een tweede golf aanvallen, gericht op websites van
grote (Amerikaanse) bedrijven, begon aan het einde van maart. Websites die
werden aangevallen, waren onder andere die van USA Today, ABC News en
Wal-Mart.
Verbanden met cybercrimes
Het gebruik van Iframe-injecties is, net zoals defacing, een criminele techniek
van hackers. Het motief voor het gebruik van Iframe-injecties ligt echter
waarschijnlijk meer in de financiële hoek, Iframe-injecties kunnen immers
in grotere aantallen worden ingezet en daardoor is er meer geld mee te verdienen.
Dit motief geldt voor de hackers-subvormen: professional criminals, de
virus writers of coders en de petty thiefs. Daarnaast worden Iframe-injecties gebruikt
voor het stelen van persoonlijke gegevens (de cybercrime identiteitsdiefstal)
en het plegen van e-fraude.
Trends
Het gebruik van Iframe-injecties is het afgelopen jaar sterk gestegen. Precieze
cijfers zijn niet voorhanden, maar nieuwere malware als Storm Worm en
MPack maken volop gebruik van deze technologie (KLPD, DNRI, 2007a). Hamada,
een onderzoeker van Symantec, zegt op het securityblog van Symantec
(www.symantec.com) dat in het verleden met name de low profile sites het
doel waren van Iframe-aanvallen. Bij de laatste aanvallen waren echter ook
veel populaire websites van grote bedrijven het doelwit. Dit is verontrustend,
omdat grote bedrijven meestal veel aandacht besteden aan de beveiliging en
het blijkbaar dus toch lukt om de Iframes te injecteren.
109 www.computerwold.com, ddanchev.blogspot.com en www.symantec.com/enterprise/security_response/weblog.

314 Verkenning cybercrime in Nederland 2009
Resumé
Een Iframe-injectie is een onzichtbare toevoeging aan een webpagina die er
zorg voor draagt dat met het laden van de pagina ook een stukje code van
elders wordt meegeladen. Deze code probeert gebruikmakend van zwakheden
in de browser de computer van de gebruiker te besmetten. Iframes
kunnen in grotere getallen worden geïnjecteerd en zijn dus lucratiever voor
cyber criminelen dan het klassieke defacing. Het is op dit moment echter nog
niet duidelijk in welke mate Iframe-injecties gebruikt worden als criminele
techniek. Wel is duidelijk dat er grootschalige aanvallen zijn geweest en dat
niet alleen de low profile sites het doel van aanvallen zijn, maar ook veel high
profile websites. Deze criminele techniek wordt gebruikt bij de cybercrimes
hacken, identiteitsdiefstal en e-fraude.

ijlage 7
cr o S S -Si t e S c r i p t i n g
Inleiding
Cross-site scripting (afgekort met CSS of XSS) is een aanvalstactiek waarbij het
adres van een hiervoor kwetsbare website wordt misbruikt om extra informatie
te tonen of programma’s uit te voeren (Govcert.nl, 2008). Bij deze techniek
krijgt een script op de ene webpagina toegang tot de data die hoort bij een
andere webpagina (KLPD, DNRI, 2007a).
Cross-site scripting: ‘Methode waarbij scripts op de ene webpagina toegang
krijgen tot de data behorende bij een andere webpagina; op deze manier kunnen
gegevens gestolen worden.’ (KLPD, DNRI, 2007a, p. 99)
Websites kunnen kwetsbaar zijn voor de implementatie van een CSS, doordat
de website de data die de gebruiker op de site invoert niet valideert (Rafail,
2001). CSS is een aanval op de privacy van de bezoekers van geïnfecteerde
websites. De computercrimineel is namelijk op zoek naar de informatie die
de gebruiker identificeert op de website. Nadat deze informatie is verkregen,
kan de hacker zich op deze website voordoen als de gebruiker. De website
die is geïnfecteerd, wordt overigens niet direct beschadigd. Het script hoeft
alleen de cookies, waar de gevoelige informatie in staat, te onderscheppen en
deze naar de hacker te sturen (Klein, 2002).
CSS is een van de meest gebruikte aanvallen op ‘common application level’
die door hackers worden gebruikt (Klein, 2002). Dit komt doordat steeds
meer webpagina’s dynamische content hebben. Er bestaat dan bijvoorbeeld
de mogelijkheid om te reageren of op de website worden digitale diensten van
een bedrijf aangeboden. Deze mogelijkheid van dynamische websites leveren
echter ook problemen op: indien de beveiliging niet optimaal is, zijn deze sites
gevoelig voor de implementatie van scripts door derden: cross-site scripting.
Strafbaarstelling
Indien er om een CSS uit te voeren is binnengedrongen in een geautomatiseerd
werk, dan is dit strafbaar volgens artikel 138a Sr. Na het binnendringen
worden door de computercrimineel scripts geplaatst. Het aanbieden van een

316 Verkenning cybercrime in Nederland 2009
kwaadaardige code gebeurt bijna altijd met opzet, bijvoorbeeld door een URL
op te nemen in een e-mailbericht of op een website (Van Geest, 2006). Indien
er door het injecteren van een CSS schade ontstaat in het computersysteem
of aan de gegevens die daarin zijn opgeslagen, dan kan dat strafbaar gesteld
worden volgens de artikelen 161sexies of septies en/of artikel 350 Sr. Het aftappen
van gegevens is strafbaar gesteld in artikel 139 Sr. Zie verder hoofdstuk
2.
Verschijningsvormen
Er zijn drie verschijningsvormen van cross-site scripting te onderscheiden. Bij
de eerste soort (DOM-based) wordt er gebruikgemaakt van de invoer van de
gebruiker om een stuk van de pagina te genereren, zonder deze informatie
te controleren of te beveiligen. Bij de tweede vorm (non-persistent) wordt de
invoer van de gebruiker naar de server gestuurd en daar wordt de invoer,
zonder gecontroleerd of beveiligd te worden, gebruikt om een HTML-pagina
te genereren. De derde vorm (persistent) werkt op eenzelfde manier, alleen
wordt de informatie in een database opgeslagen en dan gebruikt bij het genereren
van HTML-pagina’s voor meerdere personen (http://nl.wikipedia.org/
wiki/Cross_Site_Scripting).
Omvang
De omvang van CSS is onbekend.
Verbanden
CSS wordt gebruikt voor het verkrijgen van informatie. Er is dan ook een grote
verbintenis met de cybercrimes identiteitsdiefstal en e-fraude. Een ander,
meer indirect, verband is mogelijk met afpersen. Indien computercriminelen
met succes een CSS hebben geïnjecteerd bij een website van een groot bedrijf,
is dit bedrijf gevoelig voor afpersing. Indien dergelijke informatie naar buiten
komt, kan dit immers leiden tot imagoschade. Of er daadwerkelijk een verband
is, hebben we echter niet kunnen constateren.
Trends
Een inmiddels verouderde voorspelling luidt dat toekomstige aanvallen
steeds verfijnder en complexer zullen worden. Door het automatisch uitvoeren
van aanvallen en het misbruiken van zwaktes in de webbrowser van
eindgebruikers zullen de aanvallen meer schade aanrichten (Ollmann, 2002).
We hebben echter niet kunnen constateren dat dit specifiek voor CSS geldt.
Een algemene trend die te zien is bij criminele technieken in het algemeen en
speciaal bij malware is dat de technieken steeds verfijnder en complexer zijn
geworden.

Bijlage 7 Cross-site scripting
317
Resumé
Cross-site scripting is een aanvalstactiek waarbij het adres van een hiervoor
kwetsbare website wordt misbruikt om extra informatie te tonen of programma’s
uit te voeren (Govcert.nl, 2008). Bij deze techniek krijgt een script op de
ene webpagina toegang tot de data die toebehoort aan een andere webpagina
(KLPD, DNRI, 2007a). Indien er om een CSS uit te voeren is binnengedrongen
in een geautomatiseerd werk, dan is dit strafbaar volgens artikel 138a Sr.
Indien er door het injecteren van een CSS schade ontstaat in het computersysteem
of aan de gegevens die daarin zijn opgeslagen, dan kan dat strafbaar
gesteld worden volgens de artikelen 161sexies of septies en/of artikel 350 Sr.
Het aftappen van gegevens is strafbaar gesteld in artikel 139 Sr. Er zijn drie
verschijningsvormen van cross-site scripting te onderscheiden. Bij de eerste
soort (DOM-based) wordt er gebruikgemaakt van de invoer van de gebruiker
om een stuk van de pagina te genereren, zonder deze informatie te controleren
of te beveiligen. Bij de tweede vorm (non-persistent) wordt de invoer van de
gebruiker naar de server gestuurd en daar wordt de invoer zonder gecontroleerd
of beveiligd te worden, gebruikt om een HTML-pagina te genereren. De
derde vorm (persistent) werkt op eenzelfde manier, alleen wordt de informatie
in een database opgeslagen en dan gebruikt bij het genereren van HTML-pagina’s
voor meerdere personen. CSS wordt gebruikt voor het stelen van persoonlijke
informatie. CSS heeft daarom verbanden met de cybercrimes identiteitsdiefstal
en e-fraude. Een ander, meer indirect, verband is mogelijk met
afpersen. Indien computercriminelen met succes een CSS hebben geïnjecteerd
bij een website van een groot bedrijf, is dit bedrijf gevoelig voor afpersing.
Indien dergelijke informatie naar buiten komt, kan dit immers leiden tot imagoschade.
Of er daadwerkelijk een verband is, hebben we echter niet kunnen
constateren. Een inmiddels verouderde voorspelling luidt dat toekomstige
aanvallen steeds verfijnder en complexer zullen worden. We hebben echter
niet kunnen constateren dat dit specifiek voor CSS geldt. Een algemene trend
die te zien is bij criminele technieken in het algemeen en speciaal bij malware
is dat de technieken steeds verfijnder en complexer zijn geworden.

ijlage 8
Sp y w a r e
Inleiding
Spyware is een van de vele vormen van malware (kwaadaardige software).
Spyware is een stukje software dat bepaalde informatie van de gebruiker verzamelt
en deze informatie naar de computercrimineel stuurt. Het kan gaan
om toetsaanslagen, screenshots, 110 e-mailadressen, surfgedrag of persoonlijke
informatie als creditcardnummers (Microsoft, 2006b; Hackworth, 2005). De
data kunnen vervolgens door de cybercriminelen zelf gebruikt worden, maar
kunnen ook worden doorverkocht aan derden. Het gebruik van spyware is
niet nieuw. In het begin van de jaren tachtig van de vorige eeuw werden de
eerste keyloggers ontdekt op computers op universiteiten. Sindsdien is het gebruik
van spyware groeiende (Hackworth, 2005).
Er bestaan verschillende definities van spyware. Van der Hulst en Neve
(2008, p. 192) zien spyware als ‘de verzamelnaam van programma’s die het
computergedrag van gebruikers bespioneren (zoals adware, malware en keyloggers)’.
Het KLPD definieert spyware als een ‘stukje software dat bedoeld
is om gegevens van de gebruiker te roven en op te sturen naar de overtreder’
(KLPD, DNRI, 2007a, p. 102). Bij de definitie van het KLPD staat het woord ‘roven’
. Dit impliceert dat het versturen van de informatie van de gebruiker naar
de computercrimineel zonder toestemming is gebeurd. Er bestaat echter ook
software die gegevens over de gebruiker verstuurt en waarvoor de gebruiker
toestemming heeft gegeven. Bij het installeren van een programma kan de
gebruiker toestemming geven om zijn surfgedrag te laten monitoren door het
bedrijf, zodat deze gericht reclame kan sturen. De vraag is of het hier gaat
om spyware. Indien een gebruiker bewust toestemming heeft gegeven om
informatie over bijvoorbeeld zijn surfgedrag te verstrekken, is er geen sprake
van spyware (Microsoft, 2006b). Het lezen en begrijpen van alle voorwaarden
alvorens een programma te installeren, is echter vrij lastig. Ze zijn vaak zo
lang en uitgebreid dat gebruikers er niet eens aan beginnen om de voorwaarden
te lezen (Edelman, 2005). Het kan in sommige gevallen echter ook gaan
110 Een screenshot is een afbeelding van wat er op een bepaald moment zichtbaar is op het
beeldscherm.

320 Verkenning cybercrime in Nederland 2009
om social engineering; met opzet staat niet duidelijk vermeld dat informatie
van de gebruiker wordt gemonitord (Hackworth, 2005). Doordat de gebruiker
wel akkoord gaat met de voorwaarden, is er echter officieel geen sprake van
spyware. Een tweede mogelijkheid is dat computers door meerdere gebruikers
worden gebruikt. Indien gebruiker 1 toestemming geeft om informatie
over zijn surfgedrag te versturen naar een adverteerder is, het goed mogelijk
dat er ook informatie van gebruiker 2 naar de adverteerder wordt verstuurd.
Dit is dan echter gebeurd zonder de toestemming van deze gebruiker. In deze
VCN2009 hanteren we daarom de volgende definitie:
Spyware is een stukje software dat, zonder dat de gebruiker toestemming
heeft gegeven, informatie van die gebruiker naar een andere partij stuurt.
Spyware is dus software die informatie van de gebruiker verstuurt naar een
ander persoon zonder dat de persoon toestemming heeft gegeven voor het
versturen van die informatie. Spyware kan bijna alle data van een computer
monitoren. Het gaat daarbij niet alleen om bestanden op de harde schijf,
maar ook om screenshots, toetsaanslagen, datapakketjes in netwerken. Hierna
volgt een opsomming van informatie waarnaar spyware doorgaans zoekt
(Hackworth, 2005):
– Internetactiviteiten. Spyware houdt bij welke websites worden bezocht, om
het surf- en onlinekoopgedrag te monitoren, en welke informatie op websites
wordt ingevoerd, zoals gebruikersnamen en wachtwoorden, identiteitsgegevens
en creditcardnummers. Spyware hoeft niet constant alle
informatie van een gebruiker te verzamelen, de software kan zo geprogrammeerd
worden dat er pas informatie wordt verzameld indien er een
bepaald trefwoord, zoals de naam van een bank, is ingevoerd.
– E-mail en contactinformatie. E-mailadressen en andere informatie uit het
elektronische adresboek van de gebruiker kunnen worden verzameld om
te gebruiken voor spamaanvallen.
– Windows Protected Store data. Deze service van Windows slaat bepaalde informatie,
zoals passwoorden en gebruikersnamen voor programma’s en
websites, versleuteld op. Doordat de spyware op de computer van de gebruiker
staat en staat ingeschakeld, terwijl de gebruiker (met al zijn rechten)
is aangemeld, is het mogelijk om dergelijke data te bemachtigen.
– Clipboard content. De inhoud van het clipboard kan gevoelige informatie
bevatten. Gebruikers knippen en plakken hun persoonsgegevens in invulvelden
van websites. Maar ook gevoelige bedrijfsgegevens kunnen nog op
het clipboard staan.
– Toetsaanslagen. Het loggen van toetsaanslagen is een van de eerste methoden
die gebruikt zijn als spyware. De toetsaanslagen van gebruikers wor-

Bijlage 8 Spyware
321
den door zogenoemde keyloggers vastgelegd. Er zijn zowel hardware als
software keyloggers. De hardware variant bevindt zich meestal tussen de
kabel van het toetsenbord en de aansluiting in de computer. Een dergelijke
applicatie kan echter ook onzichtbaar in het toetsenbord zijn verstopt.
Een probleem met hardware keyloggers is dat ze fysiek moeten worden
aangebracht. Iemand moet dus directe toegang hebben tot de computer.
Software keyloggers kunnen, net zoals andere vormen van malware, op
verschillende manieren op een computer van een gebruiker terechtkomen
(bijv. doordat de gebruiker een attachment van een e-mail heeft geopend
waardoor de keylogger heimelijk is geïnstalleerd. Dergelijke keyloggers
werken ook vaak met bepaalde sleutelwoorden of programma’s waarop ze
reageren (Ianelli & Hackworth, 2005).
– Screenshots. Spyware kan naast het vastleggen van toetsaanslagen ook
screenshots maken. Er wordt dan een shot gemaakt van hetgeen de gebruiker
op dat moment op zijn scherm heeft staan. Ook screenshots kunnen
werken aan de hand van bepaalde trefwoorden of reageren op bepaalde
programma’s of websites.
– Netwerkverkeer. Door het netwerkverkeer te monitoren, kan er informatie
over bijvoorbeeld gebruikersnamen, wachtwoorden, e-mailberichten of
zelfs hele bestanden worden onderschept.
– Cookies. Cookies bevatten stukjes informatie over een gebruiker die zijn
opgeslagen door een webserver. Indien de gebruiker voor een tweede keer
op dezelfde pagina komt, kan de webserver deze informatie ophalen. Er
staat vaak gevoelige informatie over gebruikersnamen en wachtwoorden
in cookies.
– Register en harddrive searching. Op de harde schijf wordt gezocht naar informatie
over wachtwoorden, e-mailadressen, contacten, enzovoort (Ianelli &
Hackworth, 2005).
Strafbaarstelling
Bij spyware is sprake van aftappen van gegevens. Dit is strafbaar gesteld in
artikel 139 Sr. Om de spyware te installeren, moet de computercrimineel eerst
toegang hebben tot de computer van het slachtoffer. Het zich zonder toestemming
toegang verschaffen tot een geautomatiseerd werk is strafbaar gesteld
in artikel 138a Sr. Indien gegevens gewijzigd of vernietigd worden, is dat
strafbaar volgens artikel 350 Sr. Indien er stoornis in het geautomatiseerde
werk optreedt, is dat strafbaar middels artikel 161sexies en 161septies Sr. Voor
een uitgebreide beschrijving verwijzen we naar hoofdstuk 2.

322 Verkenning cybercrime in Nederland 2009
Verschijningsvormen
Spyware is een vorm van malware en kent tal van verschijningsvormen. Sommige
malware dient alleen als spyware, bij andere malware is de spywarefunctie
slechts een bijzaak. Hierna volgen enkele verschijningsvormen van
spyware (Hackworth, 2005):
– Browser Helper Objects. De Browser Helper Objects (BHO) zijn ontwikkeld
om de gebruiker de mogelijkheid te geven om de webbrowser Internet Explorer
makkelijk uit te kunnen breiden. Zodra Internet Explorer opstart,
worden de BHO geladen. Een voorbeeld van een verschijningsvorm van
een BHO met een spywarefunctie is een toolbar. Als het de computercrimineel,
met behulp van social engineering, gelukt is om de gebruiker
een handige toolbar te laten installeren, dan kan de spyware in alle rust
zijn werk doen; de gebruiker denkt dat de toolbar legitiem is en ziet dat de
toolbar daadwerkelijk iedere keer wordt geladen zodra Internet Explorer
start (maar weet niet dat het doel van de toolbar is om persoonlijke informatie
naar de cybercrimineel te versturen).
– Valse Anti-Spyware Tools. Programma’s die op het internet worden geadverteerd
als zijnde anti-spyware software, maar in werkelijkheid juist spyware
bevatten.
– Autonomous Spyware. Deze spyware staat op zichzelf en is niet verbonden
aan andere software. Deze vorm van spyware start gelijktijdig met het systeem
op en heeft vaak alle rechten van de gebruiker.
– Botnets. Botnets hebben veelal een spywarefunctie. De computers die deel
uitmaken van een botnet zijn vaak ook geïnfecteerd met spyware (zie ook
bijlage 3).
Naast het feit dat de vorenstaande lijst geen uitputtende lijst is, zijn er tal van
combinaties denkbaar. Spyware kent dus veel verschijningsvormen, maar het
doel is altijd hetzelfde: informatie van de gebruiker verzamelen en, zonder
dat de gebruiker het weet, de informatie versturen naar een computercrimineel.
Hackworth 111 (2005) beschrijft naast een aantal mogelijke verschijningsvormen
ook een aantal verschillende groepen die spyware gebruiken. Alhoewel
niet empirisch onderbouwd, behandelen we de drie groepen hier wel:
– Online attackers en georganiseerde misdaad. Online attackers gebruiken spyware
om persoonlijke informatie te verzamelen en daarmee identiteitsfraude
of e-fraude te plegen of om de data door te verkopen aan derden die
zich bezighouden met de meer klassieke vormen van criminaliteit. Dergelijke
criminelen kunnen alleen werken, maar kunnen ook contacten hebben
met de georganiseerde misdaad.
111 Hackworth is werkzaam bij het Amerikaanse CERT Coordination Centre (www.cert.org).

Bijlage 8 Spyware
323
– Marketingorganisaties. Dergelijke bedrijven zijn geïnteresseerd in persoonlijke
informatie, zoals e-mailadressen, surf- en onlinekoopgedrag, zoekqueries
en andere informatie die gebruikt kan worden voor marketingcampagnes
(veelal in de vorm van spam, browser pop-up, enz.).
– Insiders. Bij bedrijven kan een medewerker spyware installeren met als
doel het verkrijgen van vertrouwelijke bedrijfsinformatie. Deze informatie
kan worden doorverkocht aan een concurrent en het bedrijf kan ermee
worden afgeperst. Ook in de familie- en vriendenkring kan er spyware
worden geïnstalleerd. Een voorbeeld is een vrouw die haar man verdenkt
van vreemdgaan en wil weten welke contacten hij met zijn computer onderhoudt
(e-mailberichten, chatsessies).
Omvang
Verschillende bronnen laten zien dat een aanzienlijk deel van de computers
besmet is met spyware. De OPTA geeft in haar jaarverslag over 2007 aan dat
steeds meer internetgebruikers last hebben van ongewenste en vaak kwaadaardige
software; in toenemende mate worden consumenten het slachtoffer
van spyware. Een belangrijke doelstelling voor OPTA in 2007 was een substantiële
afname van de verspreiding van ongewenste software op Nederlandse
bodem (OPTA, 2008) Inmiddels is Nederland op de ranglijst van landen
die ongewenste software hosten gezakt van een vierde plaats in 2006 naar
een tiende plaats in 2007 (Sophos, 2008).
In een Amerikaans onderzoek uit 2005 (America Online e.a., 2005), gehouden
onder internetgebruikers, geeft 46% van de respondenten aan dat de computer
spyware bevat. Na een scan op spyware door de onderzoekers blijkt dat
61% van de respondenten spyware op hun computers heeft. Van deze groep
heeft 91% geen toestemming gegeven om dergelijke software te installeren.
Slachtofferenquêtes die zijn gehouden onder bedrijven in Amerika duiden er
ook op dat een hoog percentage van de computers geïnfecteerd is met spyware.
CSO magazine e.a ( 2007) laat eenzelfde beeld zien als het onderzoek
van America Online e.a. (2005). Meer dan de helft van de respondenten (52%)
die de afgelopen twaalf maanden één of meer aanvallen op hun netwerk hadden
(66%), geeft aan spyware op hun systemen te hebben. De CSI Survey laat
een ander beeld zien. In deze survey zegt 32% van de respondenten (Amerikaanse
bedrijven) die de afgelopen maanden een aanval op het bedrijfs -
netwerk hadden gehad spyware op hun systemen te hebben (Computer Security
Institute, 2007, p. 17). Het onderzoek van America Online e.a. (2005)
laat zien dat gebruikers zich lang niet altijd bewust zijn dat er malware, in dit
geval spyware, geïnstalleerd is op hun computer.

324 Verkenning cybercrime in Nederland 2009
Verbanden met cybercrimes
Spyware wordt gebruikt voor identiteitsdiefstal en e-fraude. Het doel is om
zonder toestemming van de gebruiker (persoonlijke) informatie van die gebruiker
te verkrijgen. Met deze informatie kan een cybercrimineel een valse
identiteit maken om vervolgens fraude (in e-commerce) te plegen. Daarnaast
kan gevoelige informatie die verkregen is dankzij de spyware worden gebruikt
om bedrijven of personen af te persen. Ook kan informatie die verkregen
is door de spyware gebruikt worden door hackers om in het geïnfecteerde
systeem of juist in andere systemen in te breken.
Trends
Spyware bestaat in ieder geval al sinds begin jaren tachtig van de vorige eeuw.
Inmiddels is spyware doorontwikkeld; spyware treedt pas in werking bij bepaalde
sleutelwoorden en spyware kan bijvoorbeeld zijn geïntegreerd in programma’s
die legitiem lijken voor de gebruiker (Hackworth, 2005). Ondanks
dat de beveiligingsmaatregelen tegen malware steeds beter worden, zullen
beveiligingen altijd zwakke plekken hebben. Spyware en andere malware
zullen worden aangepast aan elk nieuw beveiligingslek dat bekend wordt.
Criminelen zijn constant bezig om beveiligingen te omzeilen. Een voorbeeld
zijn de databanken waar de bestaande patronen (de digitale handtekening)
van bekende malware in staat. Antispyware en antivirusprogramma’s
maken gebruik van dergelijke databanken om malware op te sporen. Cybercriminelen
ontwikkelen de malware op manieren waardoor de detectie van
de digitale handtekeningen steeds moeilijker wordt (Computer Security Institute,
2007, p. 2). Daarnaast worden besturingssystemen steeds complexer en
wordt de malware in steeds meer varianten gemaakt. Hierdoor is het moeilijker
om nieuwe malware tegen te houden. Ook is de IT-sector bezig met een
ontwikkeling naar meer servicegerichte applicaties (de zogenoemde Web
2.0). Dit kan gaan zorgen voor nieuwe zwaktes die uitgebuit kunnen worden
(Computer Security Institute, 2007, p. 26).
Verspreiders van ongevraagde software hebben in 2007 de trend van de afgelopen
jaren voortgezet door minder ongevraagde software in de bijlage van
e-mailberichten te versturen. Sophos meldde in juli 2007 dat 1 op de 337 mailtjes
ongevraagde software bevatte, terwijl dit in 2005 nog 1 op 44 was (Sophos,
2008). In plaats daarvan wordt ongevraagde software steeds meer verspreid
via websites. De links naar deze dubieuze websites worden vervolgens verspreid
via spamberichten. Opvallend was een Nederlandse spamrun eind november
2007 over een vermeende nucleaire ramp in Amsterdam. Eindgebruikers
werden in dit e-mailbericht opgeroepen om een internetsite te bezoeken,
alwaar kwaadaardige software werd gehost (OPTA, 2008).

Bijlage 8 Spyware
325
Verwacht wordt dat het gebruik van keyloggers en spyware om toegang te
krijgen tot geheime informatie een lucratieve misdaad wordt die in de toekomst
op grotere schaal door criminelen zal worden ontdekt (McAfee, 2006,
p. 18-19, aangehaald in Van der Hulst & Neve, 2008).
Resumé
Spyware is een van de vele vormen van malware. Spyware is een stukje software
dat, zonder dat de gebruiker toestemming heeft gegeven, informatie
van die gebruiker naar een andere partij stuurt. Spyware kan bijna alle data
van een computer monitoren. Het gaat daarbij niet alleen om bestanden op
de harde schijf, maar ook om screenshots, toetsaanslagen, datapakketjes in
netwerken. Spyware wordt gebruikt voor identiteitsdiefstal, e-fraude, hacken
en cyberafpersen.
Er zijn tal van verschijningsvormen van spyware te onderscheiden. Zo kan
spyware een autonoom programma zijn, maar ook onderdeel van een programma
dat legitiem lijkt. Hackworth (2005) beschrijft naast een aantal mogelijke verschijningsvormen
ook een aantal verschillende groepen die spyware gebruiken.
De eerste groep zijn de computercriminelen en (in mindere mate) de georganiseerde
misdaad. Een tweede groep zijn marketingorganisaties die gerichte marketingacties
willen uitvoeren. Een derde groep zijn de insiders. Deze groep steelt
bijvoorbeeld gevoelige informatie van hun bedrijf om deze door te verkopen.
Op spyware waarvoor de gebruiker geen toestemming heeft gegeven, is
een aantal artikelen van toepassing. Er is sprake van het aftappen van gegevens
(art. 139 Sr). Er kan sprake zijn van ongeautoriseerde toegang tot een
computer (art. 138a Sr), gegevens kunnen gewijzigd of vernietigd worden (art.
350 Sr) en er kan een stoornis optreden in het geautomatiseerde werk (art.
161sexies en 161septies Sr). Spyware is echter niet altijd strafbaar. Indien een
persoon, wiens computer wordt bekeken, daarvoor toestemming heeft gegeven,
is tegen deze ‘gluurprogramma’s’ geen juridisch bezwaar.
Verschillende bronnen laten zien dat een aanzienlijk deel van de computers
besmet is met spyware. Uit onderzoek van America Online e.a. (2005) blijkt
dat gebruikers zich lang niet altijd bewust zijn dat er spyware geïnstalleerd is
op hun computer. Spyware bestaat in ieder geval al sinds begin jaren tachtig
van de vorige eeuw. Inmiddels is spyware doorontwikkeld. McAfee verwacht
dat het gebruik van keyloggers en spyware om toegang te krijgen tot geheime
informatie een lucratieve misdaad wordt die in de toekomst op grotere schaal
door criminelen zal worden ontdekt (McAfee, 2006, p. 18-19, in Van der Hulst
& Neve, 2008). Verspreiders van ongevraagde software hebben in 2007 de
trend van de afgelopen jaren voortgezet door minder ongevraagde software
in de bijlage van e-mailberichten te versturen. In plaats daarvan wordt ongevraagde
software steeds meer verspreid via websites (Sophos, 2008).

ijlage 9
pH i S H i n g
Inleiding
In de literatuur komen verschillende definities van phishing voor. De strekking
ervan is steeds hetzelfde, namelijk het achterhalen van persoonlijke informatie
van gebruikers. Watson e.a. (2005) definiëren phishing als het versturen
van nep-e-mailberichten, of spam, die zo zijn opgesteld dat het lijkt alsof
ze afkomstig zijn van betrouwbare organisaties en die tot doel hebben om
vertrouwelijke informatie, zoals gebruikersnamen, wachtwoorden en creditcardnummers,
te achterhalen. Van der Hulst en Neve gebruiken een soortgelijke
definitie; phishing is een vorm van digitale oplichting waarbij een internetgebruiker
een vervalste e-mail ontvangt, meestal van een gerenommeerde
bron (bijv. een financiële instelling) en waarbij mensen om persoonlijke gegevens
wordt gevraagd (Van der Hulst & Neve, 2008, p. 191).
In deze definities wordt echter sec gesproken over het versturen van emailberichten
als middel om phishing-aanvallen uit te voeren. Er zijn echter
ook varianten waarbij e-mail niet het middel is, maar bijvoorbeeld sms of
VoIP. Een betere definitie is dat phishing het proces is dat ervoor zorgt dat
gebruikers persoonlijke informatie afgeven (Ollmann, 2004). Daaraan kan
worden toegevoegd dat de middelen technologisch moeten zijn, anders is er
sprake van social engineering. Wij gebruiken in deze VCN2009 de volgende
definitie van phishing:
Phising: ‘Poging om via digitale middelen, vaak door zich voor te doen als
een vertrouwde instantie, persoonlijke informatie aan mensen te ontfutselen.’
(KLPD, DNRI, 2007a, p. 102)
Er is dus sprake van phishing indien de aanvaller zich voordoet als een betrouwbare
instantie en probeert om via digitale middelen, zoals e-mail of
sms, vertrouwelijke informatie van een gebruiker te stelen.
Het stelen van informatie van gebruikers gebeurt al sinds lange tijd. In de jaren
negentig van de vorige eeuw, door de groei van internet, gingen computercriminelen
steeds meer over naar geautomatiseerde aanvallen om gebruikers
informatie te ontfutselen (Watson e.a., 2005). De term phishing komt voor het

328 Verkenning cybercrime in Nederland 2009
eerst voor in 1996. Computercriminelen hebben het voorzien op AOL (American
Online)-accounts. Een gestolen account werd ‘phish’ genoemd. In 1997
werden de accounts onder hackers verhandeld. Accounts werden bijvoorbeeld
geruild tegen hacking-tools (Ollmann, 2004). De aanvallen op de gebruikers
van AOL waren nog vrij eenvoudig. Gebruikers kregen een bericht waarin
stond dat de gebruikers persoonlijke informatie moesten invullen om te voorkomen
dat hun account werd verwijderd. Een voorbeeld staat in figuur B9.1.
Figuur B9.1 Een voorbeeld van de phishing-aanvallen op AOL-gebruikers (Watson
e.a., 2005)
Sector 4G9E of our data base has lost all I/O functions. When your account logged
onto our system, we were temporarily able to verify it as a registered user. Approximately
94 seconds ago, your verification was made void by loss of data in the
Sector 4G9E. Now, due to AOL verification protocol, it is mandatory for us to reverify
you. Please click ‘Respond’ and re-state your password. Failure to comply
will result in immediate account deletion (Watson e.a., 2005).
Tegenwoordig sturen phishers het liefst zo veel mogelijk berichten via bijvoorbeeld
spam. Het (e-mail)bericht lijkt dan afkomstig te zijn van een bekende
organisatie die door de gebruikers vertrouwd wordt (bijv. een bank), maar in
werkelijkheid is het een poging om aan persoonlijke gegevens van gebruikers
te komen (Watson e.a., 2005). In mei 2008 werd een groep van Amerikaanse
en Roemeense phishers aangeklaagd. In een artikel op www.computerworld.
com wordt een phishing-aanval duidelijk beschreven (zie figuur B9.2).
Figuur B9.2 Roemeense en Amerikaanse phishers aangeklaagd (Gross, 2008)
The Romanian members of the organization obtained thousands of credit and debit
card account numbers and other personal information through phishing, according
to the indictment. The group sent more than 1.3 million spam e-mail messages
in one phishing attack, the Justice Department said.
The Romanians collected the victims’ information and sent the data to cashiers
in the U.S. through Internet chat messages, the DOJ said. The U.S. cashiers used
hardware called encoders to record the fraudulently obtained information onto the
magnetic strips on the back of credit and debit cards. Cashiers then directed other
criminals called runners to test the fraudulent cards by checking balances or withdrawing
small amounts of money from automated teller machines.

Bijlage 9 Phishing
The cards that were successfully tested were used to withdraw money from ATMs
or point-of-sale terminals with the highest withdrawal limits, the DOJ said. Part of
the money was then wire-transferred to the supplier in Romania.
Investigators found that the defendants had targeted several banks and other companies,
including Citibank, Capital One and PayPal.
329
Deze geautomatiseerde aanvallen zijn overigens nog steeds in grote mate afhankelijk
van social engineering. Gebruikers moeten worden overgehaald om
bijlagen van e-mails te openen of om op URL’s te klikken. Het uitvoeren van
deze aanvallen kan op een aantal verschillende manieren, van het versturen
van e-mail tot het hacken van een VoIP (Voice over IP)-verbinding en sms tot
het automatisch doorgeleiden van bezoekers van een website naar een malafide
website; allemaal met het oogmerk om persoonlijke informatie te stelen.
Strafbaarstelling
Phishing heeft als doel identiteitsdiefstal. Identiteitsfraude heeft in Nederland
geen eigen bepaling in de strafwet. Wanneer persoonlijke gegevens worden
verkregen door het binnendringen van een computersysteem, is de dader
strafbaar op grond van artikel 138 Sr. Het aftappen van informatie (door bijv.
spyware) is strafbaar gesteld in de artikelen 193c, d en e Sr. Indien er opzettelijk
dan wel door schuld een geautomatiseerd werk wordt vernield, zijn de
artikelen 161sexies en 161septies Sr van toepassing. Indien er gegevens worden
vernield, is artikel 350 Sr van toepassing. Wanneer deze persoonlijke gegevens
worden verkregen door ‘spoofing’ of ‘phishing’ valt het onder artikel
326 Sr, oplichting. Het gebruik van deze persoonlijke gegevens voor eigen of
andermans voordeel valt ook onder artikel 326 Sr, oplichting (De Vries e.a.,
2007; Ejure, 2004; Europese Commissie, 2007). Artikel 225 Sr, dat valsheid in
geschrifte strafbaar stelt, kan een belangrijke rol spelen bij digitale identiteitsfraude.
Het gaat bij identiteitsfraude immers vaak om het gebruiken van valse
of vervalste geschriften (De Vries e.a., 2007). Zie voor een uitgebreide beschrijving
van deze artikelen de hoofdstukken 2 en 5.
Indien er sprake is van pharming (het omgeleiden van verkeer), moet er
altijd eerst worden ingebroken (of in de computer van de gebruiker of in de
DNS-server van een ISP). Dit is strafbaar volgens artikel 138 Sr. Het doorgeleiden
van internetverkeer valt onder het vernielen van gegevens, zoals strafbaar
gesteld in artikel 350 Sr. In de DNS-server zullen immers de bestemmingsgegevens
moeten worden veranderd om iets door te geleiden (Van Geest, 2006).
Deze artikelen worden uitgebreid besproken in hoofdstuk 2.

330 Verkenning cybercrime in Nederland 2009
Verschijningsvormen
Phishing-aanvallen bestaan dus niet alleen uit aanvallen die worden uitgevoerd
met behulp van e-mailberichten. De meest gebruikte methode is dan
wel het versturen van e-mail (KLPD, DNRI, 2007a), maar er wordt gebruikgemaakt
van verschillende technologische middelen om de aanvallen uit te
voeren. We beschrijven de verschijningsvormen die op dit moment in gebruik
zijn. Zoals in de volgende verschijningsvormen te zien is, worden phishingaanvallen
steeds aangepast aan nieuwe communicatietechnieken:
– E-mailphishing. We gaven in de inleiding al aan dat we phishing zien als een
aanval met technologische middelen met als doel het stelen van vertrouwelijke
informatie van een gebruiker. De meest voorkomende vorm van
phishing is het gebruik van e-mail (KLPD, DNRI, 2007a). Dit is een vorm
van digitale oplichting waarbij een internetgebruiker een vervalste e-mail
ontvangt, meestal van een gerenommeerde bron (bijv. een financiële instelling)
en waarbij mensen om persoonlijke gegevens wordt gevraagd (Van
der Hulst & Neve, 2008, p. 191). In de e-mail wordt het slachtoffer middels
social engineering verleid om op een URL te klikken. Het bericht lijkt afkomstig
te zijn van een legitieme organisatie, zoals een bank, maar is in
werkelijkheid vervalst door de computercrimineel. In de e-mail kan bijvoorbeeld
staan dat de bank bezig is met het uitvoeren van een securitycheck
en dat de gebruiker hiervoor moet inloggen op een bepaalde pagina.
De URL leidt naar een malafide website die echter een kopie is van de website
van een betrouwbare organisatie. Op deze website vult de gebruiker
zijn persoonlijke gegevens in, bijvoorbeeld om in te loggen op zijn account,
maar deze informatie wordt daardoor ook verstrekt aan de computercrimineel.
De gebruiker hoeft hier niets van te merken; nadat de informatie naar
de computercrimineel is verzonden, wordt de informatie verzonden naar
de werkelijke inlogpagina van de bank en wordt de gebruiker gewoon ingelogd
(KLPD, DNRI, 2007a; Van Geest, 2006; Ollmann, 2004). Technieken
die gebruikt worden bij phishing e-mails (Ollmann, 2004) zijn:
• officieel uitziende e-mailberichten;
• kopieën van originele e-mails van organisaties waar slechts kleine verschillen
in URL’s zijn aangebracht (soms onzichtbaar);
• gespoofte afzenders. Het lijkt voor de gebruiker alsof de afzender een
betrouwbare organisatie is;
• attachments met malware die de computer van de gebruiker ook zonder
dat deze de malafide website van de computercrimineel bezoekt,
besmet;
• antispamtechnieken, zodat de e-mails wel op grote schaal verspreid
worden, maar niet in het spamfilter terechtkomen;
• persoonlijke en gerichte e-mails door gebruik te maken van social engineering.

Bijlage 9 Phishing
331
– Vishing. Vishing is een samenvoeging van phishing en voice. Bij deze verschijningsvorm
wordt het slachtoffer gebeld door, naar hij vermoed een legitieme
instantie die via een voice message systeem vraagt naar persoonsgegevens.
Speciaal de VoIP-telefoonsystemen, die werken met IP-adressen,
zijn het doelwit van deze vorm. Het nummer dat op de nummermelder
van de gebruiker verschijnt, kan gespooft zijn en zo afkomstig lijken van
een betrouwbare organisatie (Ollmann, 2007). Maar ook de conventionele
telefoonlijnen kunnen misbruikt worden voor het uitvoeren van vishingaanvallen.
Het grote vertrouwen dat mensen hebben in de telefoonverbinding
(de gevaren die schuilen op het internet worden steeds bekender,
de oude vertrouwde telefoonlijn lijkt daardoor veiliger) en de onbekendheid
met vishing zorgen ervoor dat mensen eerder geneigd zullen zijn om
persoonlijke informatie af te staan (KLPD, DNRI, 2007a; Ollmann, 2007).
Daar komt bij dat door de toename van VoIP er over de gehele wereld voor
weinig geld kan worden gebeld. Ook het achterhalen van gegevens van
de beller is door VoIP een stuk moeilijker geworden dan bij het gebruik
van conventionele telefoonlijnen (KLPD, DNRI, 2007a). Financieel gezien
wordt deze vorm dus steeds aantrekkelijker voor cybercriminelen (Ollmann,
2007). Ollmann geeft een aantal voordelen voor cybercriminelen
om vishing-aanvallen uit te voeren:
• Mensen hebben een groter vertrouwen in telefoonsystemen dan in systemen
die iets met internet te maken hebben.
• Een groter deel van de bevolking kan worden bereikt. Ook de mensen
die geen gebruikmaken van internet kunnen worden aangevallen.
Hierdoor wordt bijvoorbeeld de groep ouderen beter bereikbaar.
• Het invoeren van bepaalde gegevens in geautomatiseerde telefoonsystemen
is algemeen geaccepteerd. Bij veel grote bedrijven moet eerst
een postcode en gebruikersnummer worden ingevoerd voordat de
klant iemand aan de lijn krijgt.
• Door het gebruik van grote callcentra zijn mensen eraan gewend geraakt
om informatie aan vreemden te geven.
• De aanvallen kunnen beter getimed worden. Hierdoor wordt de kans
dat de gebruiker reageert groter.
• Vishing-aanvallen kunnen middels social engineering persoonlijker
worden gemaakt.
• Aanvallen kunnen dankzij VoIP vanuit de hele wereld, tegen lage kosten,
worden uitgevoerd.
• Nummerinformatie kan worden vervalst, waardoor het lijkt alsof het
telefoontje van een betrouwbare organisatie afkomstig is.

332 Verkenning cybercrime in Nederland 2009
Bij vishing-aanvallen is de telefoonlijn niet altijd het middel om gebruikers
over te halen om persoonlijke informatie in te voeren. Gebruikers kunnen
ook een e-mail of sms ontvangen waarin staat dat ze een bepaald nummer
moeten bellen (Ollmann, 2007). In het e-mailbericht staat dan bijvoorbeeld
dat de bank bezig is met een security check, omdat geprobeerd is de bank
aan te vallen en dat de gebruiker daardoor niet meer kan inloggen op de
website. De gebruiker dient het nummer van de bank te bellen en daar zijn
oude inlognaam en wachtwoord af te geven, zodat de bank automatisch
een nieuw wachtwoord kan aanmaken. Het opgegeven nummer is echter
van de cybercrimineel.
– Smishing. Deze verschijningsvorm maakt gebruik van sms (Ollmann,
2007). SMiShing is dan ook een samenvoeging van sms en phishing. Telefoonbezitters
kunnen een sms krijgen waarin de gebruiker middels social
engineering wordt overgehaald om een bepaalde website te bezoeken. Als
het slachtoffer de genoemde site bezoekt, raakt hij geïnfecteerd met een
trojan. Op de website wordt de gebruiker besmet met een trojan. Deze verstuurt
later informatie naar de computercrimineel (zie ook par. 3.9) (KLPD,
DNRI, 2007a). Ook kan op de website de gebruiker worden overgehaald
om persoonlijke informatie in te voeren. Feitelijk is SMiShing hetzelfde als
phishing middels e-mail, alleen het middel om de gebruiker over te halen
iets te doen, is anders. Hoewel SMiShing nog niet wijdverbreid is, valt het
te verwachten dat met de opkomst van de smartphone de mogelijkheden
en het gebruik van deze methode zullen toenemen (KLPD, DNRI, 2007a).
– Spy-phishing. ‘Dit is een vorm van phishing waar bij computergebruikers
worden bespioneerd. Dit kan bijvoorbeeld aan de hand van Keyloggers
waarmee toetsaanslagen worden vastgelegd die vervolgens worden verzonden
in de richting van de oplichters’ (KLPD, 2006). Het verschil met de
andere vormen van phishing is dat slachtoffers niet worden misleid; er is
bij spy-phishing geen sprake van nagemaakte websites waarop persoonlijke
gegevens worden ingetypt (KLPD, 2006). Feitelijk maken computercriminelen
gebruik van spyware om achter persoonlijke informatie te komen.
Het gebruik van spyware (bijlage 8) is een techniek die door phishers
gebruikt wordt.
– Spear phishing. Deze vorm van phishing onderscheidt zich, doordat de aanvallen
gericht zijn op bepaalde groepen gebruikers. Door relatief kleine
groepen gebruikers aan te vallen, kunnen de berichten persoonlijker worden
gemaakt, waardoor de gebruikers sneller geneigd zijn om het bericht
te geloven en sneller vertrouwelijke informatie geven (McGhee, 2008; Ollmann,
2007; Microsoft, 2006a). De aanvaller kan bijvoorbeeld de afzender
van een e-mail gespooft hebben, zodat het lijkt dat de e-mail afkomstig is
van de IT-afdeling van een grote organisatie. In mei 2008 zien we een voor-

Bijlage 9 Phishing
333
beeld van een dergelijke aanval in de Verenigde Staten. In figuur B9.3 staat
een nieuwsbericht dat de aanval beschrijft. Bestuurders van bedrijven kregen
een e-mail die afkomstig leek te zijn van de Amerikaanse belastingdienst.
De ontvanger van de e-mail werd overgehaald om een bepaalde
website te bezoeken. Op de website moest de gebruiker een link aanklikken
om de versie van de webbrowser Internet Explorer te starten. Op het
moment dat op de link werd geklikt, werd er malware op de computer
van de gebruiker geïnstalleerd. De malware bestond onder andere uit een
keylogger die persoonlijke informatie van de gebruiker verstuurde naar
de computercrimineel. De e-mail staat in figuur B9.4.
Figuur B9.3 Voorbeeld van een spear phishing-aanval (Keizer, 2008c)
Security researchers and the U.S. government today warned of on-going targeted
phishing attacks disguised as overdue tax notices from federal courts. The attacks
take aim at top-level executives, including one who works for security vendor
McAfee Inc.
‘The e-mails are designed to look like a petition from the Tax Court and are fairly
believable,’ said McAfee researcher Kevin McGhee in a notice posted to the company’s
Web site. ‘There’s also a legitimate telephone number for the organization,
[and] the executive’s name is listed as the respondent in a case versus the Commissioner
of Internal Revenue.’ (…)
When users click on the link embedded in the phishing message, they’re directed
to a fake Tax Court Web site, said another security researcher, where they’re asked
to upgrade their copy of Microsoft Corp.’s Internet Explorer browser. ‘By string manipulation,
in this case, adding a dash to the actual domain name of the actual site,
unknowing users are easily made to believe that the bogus site is legitimate, making
them most likely to click on the link,’ said Jovi Umawing, a researcher at Trend
Micro Inc. in a separate warning posted on Friday.
McGhee noted that clicking on the purported IE update link actually downloads
and installs malware, including a behind-the-scenes keylogger that records usernames
and passwords typed on the PC’s keyboard, then transmits that information
to the identity thief.

334 Verkenning cybercrime in Nederland 2009
Figuur B9.4 Voorbeeld van een spear phishing e-mail (McGhee, 2008)

Bijlage 9 Phishing
335
– Pharming. Pharming is een combinatie van de woorden farming en
phishing. Pharming gebruikt een andere techniek dan phishing, maar
heeft dezelfde doelen; het ontfutselen van persoonlijke informatie. Het
verschil is dat bij het klassieke phishing gebruik wordt gemaakt van social
engineering om bepaalde gegevens van gebruikers te krijgen, terwijl dit
bij pharming vervangen is door techniek. Pharming zorgt ervoor dat de
gebruiker niet naar de website wordt geleid die hij eigenlijk wil bezoeken,
maar naar een website die onder controle is van een computercrimineel
(KLPD, DNRI, 2007a). Een pharming-aanval is moeilijker om uit te voeren,
maar is ook moeilijker te ontdekken. De gebruiker hoeft geen fouten te
maken (zoals op een URL klikken in een e-mailbericht) en de gebruiker
heeft niet door dat hij is doorgeleid naar een ander website (Violino, 2005).
Pharming is het automatisch doorleiden van bezoekers naar een andere
website, zonder dat de gebruiker dit weet. Bij pharming kunnen de gebruikers
vertrouwelijke gegevens uitwisselen zonder dit te weten. Gebruikers
hebben immers de veronderstelling dat zij de originele website bezoeken
(bijv. die van hun bank). Met deze gegevens is het vervolgens mogelijk om
fraude te plegen (KLPD, DNRI, 2007a; Ollmann, 2007). In deze VCN2009
houden wij de volgende definitie van pharming aan: het zonder toestemming
doorgeleiden van bezoekers naar een andere website met als doel
diefstal van persoonlijke informatie.
Pharming is dus het zonder toestemming doorgeleiden van bezoekers
naar een andere website. Dit kan zonder dat de gebruiker daar erg
in heeft, doordat de computercrimineel het IP-adres dat gekoppeld is aan
de URL of domeinnaam heeft gewijzigd. Indien de gebruiker een website
opvraagt, krijgt deze niet de gewenste website, maar de website die door
de cybercrimineel is ingevoerd. Het kan bijvoorbeeld gaan om de website
van een bank. De gebruiker wordt doorgeleid naar de malafide website,
die zodanig is opgezet dat het lijkt alsof het de officiële website van de
bank is. Vervolgens voert de gebruiker, net zoals hij altijd doet, zijn gebruikersnaam
en wachtwoord in (pharming.org, 2006). Die gegevens zijn nu in
handen van de cybercrimineel.
Het wijzigen van de koppeling tussen IP-adres en de URL of domeinnaam
kan op twee manieren. Namelijk door het manipuleren van gegevens
in de Domain Name Server (DNS) of middels het wijzigen van gegevens
in de host file op de computer van de gebruiker (KLPD, DNRI, 2007a;
Ollmann, 2007). De eerste mogelijkheid is het wijzigen van gegevens in de
DNS. De DNS kan bijvoorbeeld van een Internet Service Provider (ISP) zijn.
In de DNS worden domeinnamen en URL’s die zijn opgevraagd door gebruikers
gekoppeld aan IP-adressen (Violino, 2005). De computercrimineel

336 Verkenning cybercrime in Nederland 2009
zorgt ervoor dat wanneer de gebruiker de website van zijn bank aanvraagt,
de DNS hier niet het officiële IP-adres van de website van de bank teruggeeft,
maar het IP-adres van een website van de computercrimineel. Een
tweede mogelijkheid is dat de computer van de gebruiker geïnfecteerd is
met malware en dat deze malware ervoor zorgt dat lokale bestanden waar
de vertaling van domeinnaam en URL naar IP-adres gebeurt, gewijzigd
worden (Violino, 2005). Hetzelfde effect als bij de eerste mogelijkheid treedt
op: de gebruiker wordt, zonder er erg in te hebben, naar een malafide pagina
geleid waar hij persoonlijke informatie op invoert. Deze tweede vorm
van pharming kan ook worden uitgevoerd op de routers van draadloze
netwerken (Stamm e.a., 2006). Slecht beveiligde routers kunnen simpel worden
aangevallen. Het IP-adres van de router en andere informatie die nodig
is om de router aan te vallen, zijn vrij eenvoudig te verkrijgen. Vervolgens
kan de cybercrimineel gegevens in de router aanpassen. Dit wordt ook wel
drive-by pharming genoemd. Cybercriminelen kunnen met een laptop
eenvoudig op zoek gaan naar slecht beveiligde draadloze netwerken.
Pharming-aanvallen zijn moeilijker te achterhalen (Stamm e.a., 2006).
De gebruiker heeft niet door dat hij een malafide website bezoekt. Er is
ook nog weinig bekend over de omvang van pharming-aanvallen (Violino,
2005). In maart 2005 werd een aanval gedaan op een aantal ‘.com’-websites.
Een aantal DNS-servers van ISP was geïnfecteerd en de aanvraag
van meer dan 900 websites door unieke IP-adressen en meer dan 75.000
e-mailberichten werden omgeleid (Ollmann, 2005). Het wijzigen van gegevens
in DNS-servers is niet nieuw, dit was al langer bekend onder de naam
DNS cache poisoning. Door de toenemende mate waarin internet gebruikt
wordt voor het maken van financiële transacties en daarmee het invoeren
van persoonlijke informatie, worden de opbrengsten voor cybercriminelen
groter (pharming.org, 2006; Violino, 2005).
Omvang
Onderzoek van de Anti Phishing Working Group (APWG) geeft een beeld
dat ongeveer 5% van de aanvallen die worden uitgevoerd daadwerkelijk leidt
tot het stelen van persoonlijke informatie (Ollmann, 2004). Een ander onderzoek
komt met vergelijkbare cijfers: 3% van de aanvallen is succesvol (Stamm
e.a., 2006). Het is echter niet duidelijk hoe betrouwbaar dergelijke cijfers zijn.
Volgens de cijfers van de Anti Phishing Working Group blijkt dat het aantal
unieke phising e-mails tussen januari 2007 en januari 2008 min of meer gelijk
blijft over de maanden (APWG, 2008). Dit staat in contrast met het gevoel bij
de banken en in de beveiligingswereld dat het aantal financiële aanvallen toeneemt
(KLPD, DNRI, 2007a). Dit laat zich verklaren als we de ontwikkelingen
op het gebied van financiële aanvallen beschouwen. Ten eerste is zichtbaar dat

Bijlage 9 Phishing
337
phishing-aanvallen steeds kleiner en gerichter worden, waardoor ze worden
gemist in de telling. Phishing volgt hiermee de algemene trend in cybercrime
van het zo lang mogelijk onzichtbaar proberen te blijven. Ten tweede neemt
het gebruik van methoden als Iframe-injecties (zie bijlage 6) om slachtoffers
te besmetten toe. Deze methoden worden met dezelfde doelen gebruikt en
maken de phishingmail overbodig. Ten slotte is de kwaliteit van de social engineering-methoden
aanzienlijk gestegen en komen er steeds meer varianten
van phishing. In het begin van 2008 verstuurde de FBI, middels het Internet
Crime Complaint Centre, een waarschuwing met betrekking tot het gestegen
aantal vishing-aanvallen:
Are you one of many who have received an e-mail, text message, or telephone call,
purportedly from your credit card/debit card company directing you to contact a
telephone number to reactivate your card due to a security issue? The IC3 has received
multiple reports on different variations of this scheme known as ‘vishing’.
These attacks against US financial institutions and consumers continue to rise at
an alarming rate. (Internet Crime Complaint Center, 2008)
Uit cijfers van het Internet Crime Complaint Centre (IC3, een samenwerking
in de Verenigde Staten tussen het Federal Bureau of Investigation (FBI), het
National White Collar Crime Center (NW3C) en het Bureau of Justice Assistance
(BJA)) blijkt dat van de gemelde e-fraude 6% van die klachten betrekking
had op identiteitsdiefstal (IC3, 2008b). In figuur B9.5 staan statistieken
die verzameld zijn door de Anti Phishing Work Group (APWG). Uit de cijfers
blijkt dat het aantal phishing websites weliswaar sinds december 2007 is afgenomen,
maar dat het aantal klachten over dergelijke sites juist is toegenomen.
Ook het aantal unieke keyloggers nam toe met 1,4% ten opzichte van oktober
2007. Verder blijkt dat in de meeste gevallen (92,4%) de financiële sector doelwit
is van phishers (APWG, 2008).
In 2005 is een onderzoek uitgevoerd op de Universiteit van Indiana (Jagatic
e.a., 2005). Door de onderzoekers werd een phishing-aanval uitgevoerd
bij studenten van de universiteit tussen de 18 en 24 jaar oud. Er werden twee
aanvallen uitgevoerd, een aanval met behulp van social engineering (waarbij
de afzender een bekende leek) en een aanval zonder social engineering (een
controlegroep). Een aanval werd als succesvol beschouwd indien een student
op de link in de e-mail klikte en vervolgens zijn wachtwoord en gebruikersnaam
invoerde op de website waarnaar de URL linkte. Bij bijna driekwart van
de studenten (72%) die met behulp van social engineering werden aangevallen,
was de aanval succesvol. Bij de aanvallen die zonder social engineering
werden uitgevoerd, slaagde 16% van de aanvallen (zie figuur B9.6).

338 Verkenning cybercrime in Nederland 2009
Figuur B9.5 Phishing-statistieken januari 2008 (APWG, 2008)
The number of unique keylogger crimeware variants detected in January reached a
new high of 364, an increase of 1.4% from the previous high in October, 2007.
In the month of January, the number of websites that were hosting keylogging
crimeware systems rose by over 1,100, reaching 3,362, the second highest number
recorded in the preceeding 12 months.
The total number of unique phishing reports submitted to APWG in January 2008
was 29,284, an increase of over 3,600 reports from the previous month.
The number of unique phishing websites detected by APWG was 20,305 in January
2008, a decrease of over 5,000 from the month of December 2007.
In January, the United States moved back to being the top hosting country for password-stealing
malicious code with 43.39%, after being eclipsed by China in December.
In January, APWG saw the United States remain the top of country hosting phishing
websites with 37.25% of all such websites.
Figuur B9.6 Aantal geslaagde phishing-aanvallen (Jagatic e.a., 2005)
Aantal aanvallen Succesvolle aanvallen Percentage
Geen social engineering 15 94 16%
Wel social engineering 349 487 72%
De onderzoekers hebben de betrokken studenten vervolgens een mail gestuurd
met de uitkomsten van het onderzoek en een kans om te reageren. Met
name de reacties die volgden op het onderzoek zijn interessant. Geen van de
studenten die reageerden op het onderzoek gaf bijvoorbeeld toe zelf slachtoffer
te zijn geweest. Meestal gaven ze aan te reageren voor iemand die wel zelf
slachtoffer was en ze gaven aan zelf nooit in een dergelijke aanval te trappen.
Ook dachten veel studenten dat de onderzoekers in de e-mailaccounts hadden
gehackt om persoonlijke informatie te misbruiken, terwijl de onderzoekers
alleen de afzender gespooft hadden. Veel studenten begrepen niet dat veel
informatie gewoon op een openbare netwerksite stond. Diegene die dat wel
begrepen, vonden het niet ethisch dat dergelijke informatie gebruikt werd.

Bijlage 9 Phishing
339
Verbanden
Phishing is een criminele techniek die wordt gebruikt voor identiteitsdiefstal.
Vervolgens kan de gestolen identiteit worden doorverkocht of worden
gebruikt voor het plegen van e-fraude. Om iemands identiteit te kunnen stelen,
zal vaak gebruik moeten worden gemaakt van hacken. Ook kunnen computercriminelen
bedrijven afpersen, zodra het gelukt is om informatie van
klanten te stelen.
Er is een aantal basismethoden waarop informatie van gebruikers kan worden
gestolen. Bij de uitvoering van phishing-aanvallen kan een combinatie
van deze verschillende technieken gebruikt worden. Social engineering wordt
bijvoorbeeld gebruikt om gebruikers over te halen bepaalde handelingen te
doen die ze normaal niet zouden doen. In het geval van phishing kan gebruik
worden gemaakt van social engineering om de gebruiker op een URL te laten
klikken die leidt naar een malafide website (Milletary, 2005). Technieken als
Iframe-injecties, cross-site scripting en spyware (zie de bijlagen 6, 7 en 8) kunnen
ook worden gebruikt om informatie te stelen. Een veelgebruikte techniek
bij phishing is de ‘man in the middle attack’. De computercrimineel zorgt dat
hij zich bevindt tussen de gebruiker en de website waar de gebruiker met zijn
gegevens op inlogt. De computercrimineel kan nu alle informatie die tussen
de gebruiker en de website wordt uitgewisseld, zien (Ollmann, 2004). In een
e-mail wordt het slachtoffer middels social engineering verleidt om op een
URL te klikken. Het bericht lijkt afkomstig te zijn van de bank, maar is in werkelijkheid
vervalst door de computercrimineel. In de e-mail staat dat de bank
bezig is met het uitvoeren van een security-check en dat de gebruiker hiervoor
moet inloggen op een bepaalde pagina. De URL leidt naar een malafide website
die echter een kopie is van de website van een betrouwbare organisatie.
Op deze website vult de gebruiker zijn persoonlijke gegevens in, bijvoorbeeld
om in te loggen op zijn account, maar deze informatie wordt daardoor ook
verstrekt aan de computercrimineel. De informatie die wordt ingevoerd is nu
beschikbaar voor de aanvaller. Doordat het verkeer weer wordt doorgeleid
van de malafide website naar de echte website van de bank, kan de gebruiker
gewoon inloggen en heeft deze niets door (KLPD, DNRI, 2007a; Ollmann,
2004; Van Geest, 2006; Watson e.a., 2005). Bij de meeste vormen van phishing
wordt er gebruikgemaakt van de man in the middle-techniek. Dat is ook een
van de kenmerken van een phishing-aanval: een gebruiker wordt verleidt om
gegevens af te geven met als doel deze gegevens te stelen, maar dit kan het
beste door de gebruiker wel door te linken naar de echte website; op deze manier
heeft de gebruiker niet door dat zijn persoonlijke informatie is gestolen.
Een nieuwe vorm van de man in the middle attack is de man in the browser attack
(Govcert.nl, 2008). ‘De computer van de eindgebruiker wordt besmet met een
programma dat zich nestelt in de webbrowser en aanpast wat de gebruiker

340 Verkenning cybercrime in Nederland 2009
ziet en doet. Dit is subtiel: bijvoorbeeld een extra veldje in een formulier, om
aanvullende gegevens te ontfutselen. Ondertussen wordt gebruik gemaakt
van de beveiligde verbinding die de klant heeft met de bank en zijn of haar
autorisaties’ (Govcert.nl, 2008, p. 8).
Trends
Van der Hulst en Neve (2008) concluderen dat identiteitsfraude met behulp
van phishing wordt beschouwd als een van de snelst groeiende vormen van
niet-gewelddadige criminaliteit (Rogers, 2006). Deze criminaliteitsvorm werd
ook in het NDB2004 en de V-NDB2006 (Boerman & Mooij, 2006, p. 31) als voorwaardelijke
dreiging gekwalificeerd. Door de groei van e-commerce en de
toenemende virtuele geldstromen is de verwachting bovendien dat internetfraude
(en identiteitsdiefstal) de komende jaren de grootste aantallen slachtoffers
zal maken en de meeste financiële schade zal aanrichten (Taylor e.a. 2006,
p. 357-383). De hoge ADSL-dichtheid, waarbij computers vrijwel permanent in
verbinding staan met het internet, maken vooral Nederland een zeer aantrekkelijk
werkterrein voor phishers (Van der Hulst & Neve, 2008).
Computercriminelen zijn constant bezig met het innoveren van hun aanvalstechnieken
(Watson e.a., 2005). Ze verzinnen steeds nieuwe manieren
om hun phishing-aanvallen succesvoller te laten zijn; teksten om gebruikers
te misleiden, worden beter en de daadwerkelijke locatie van phishing-sites
wordt verborgen gehouden om de site zo lang mogelijk in de lucht te kunnen
houden (phishing by proxy) (Govcert.nl, 2007). Een ander voorbeeld is het
gebruik van stealth malware (of rootkits), malware dat zich onzichtbaar en
zonder sporen in een computer nestelt (AusCERT, 2006). AusCERT zag in 2005
en 2006 een toename van dergelijke technieken. De innovatie van technieken
is terug te zien in de hoeveelheid varianten van phishing (vishing, smishing,
pharming, enz.). Een variant van phishing, spear-phishing, wordt steeds meer
gebruikt; slachtoffers worden bewust uitgezocht en gericht aangeschreven. Zo
worden e-mailberichten verstuurd in bepaalde sociale netwerken, in de eigen
taal of alsof ze van een collega afkomstig zijn. In deze e-mailberichten wordt
gevraagd om bevestiging van beveiligingscodes en wachtwoorden (Symantec,
2007b; Van der Hulst & Neve, 2008). Dergelijke doelgerichte aanvallen zijn
kleiner van omvang, waardoor ze ook minder snel worden opgemerkt door
antivirusbedrijven. Ook is de IT-sector bezig met een ontwikkeling naar een
meer servicegerichte applicatie (de zogenoemde Web 2.0). Dit kan gaan zorgen
voor een hele lading nieuwe zwaktes die uitgebuit kan worden (Computer
Security Institute, 2007, p. 26). Hieraan gelieerd is de nieuwe focus van cybercrime
op Web2.0-toepassingen (Finjan, 2007). Een andere belangrijke ontwikkeling
op het gebied van phishing zijn man in the middle phishing-aanvallen.
Authenticatiegegevens die de klant opgeeft, worden direct doorgespeeld aan

Bijlage 9 Phishing
341
de bank. Deze manier van phishing maakt het mogelijk om ook toegang te
krijgen tot websites, als die beschermd zijn op basis van two factor authentication
(Govcert.nl, 2007). De Anti Phishing Work Group (APWG) ziet in 2008 een
toename van het aantal pharming-aanvallen (APWG, 2008).
Ten slotte zal de komende jaren door het gebruik van social engineering
steeds meer ingespeeld worden op sociale evenementen en op persoonlijke
interesses. Beveiligingsbedrijf Websense geeft aan dat de Olympische Spelen
van 2008 een basis zullen zijn voor oplichting en phishing-berichten (Websense,
2007). Een ander voorbeeld zijn phising-berichten na grote rampen. De
FBI waarschuwde bijvoorbeeld voor phishing-aanvallen na de aardbevingen
in het begin van 2008 in China (FBI/IC3, 2008). De computercriminelen verstuurden
e-mails waarin gevraagd werd om geld te doneren voor hulp aan
de slachtoffers. De computercriminelen maakten gebruik van logo’s van legitieme
organisaties en nepbetaalsystemen.
Resumé
Phishing is de verzamelnaam voor digitale activiteiten die tot doel hebben
persoonlijke informatie aan gebruikers te ontfutselen. Er is sprake van
phishing indien de aanvaller zich voordoet als een betrouwbare instantie en
die aanvaller via digitale middelen, zoals e-mail of sms, probeert om vertrouwelijke
informatie van een gebruiker te stelen. Er zijn tal van verschijningsvormen
van phishing te onderscheiden (e-mail phishing, vishing, smishing,
spy-phishing, spear phishing en pharming).
Phishing is een criminele techniek die wordt gebruikt voor identiteitsdiefstal.
Vervolgens kan de gestolen identiteit worden doorverkocht of worden
gebruikt voor het plegen van e-fraude. Om iemands identiteit te kunnen stelen,
zal vaak gebruik moeten worden gemaakt van hacken. Ook kunnen computercriminelen
bedrijven afpersen, zodra het gelukt is om informatie van
klanten te stelen.
Identiteitsfraude heeft in Nederland geen eigen bepaling in de strafwet.
Wanneer persoonlijke gegevens worden verkregen door het binnendringen
van een computersysteem, is de dader strafbaar op grond van artikel 138 Sr.
Het aftappen van informatie (bijv. door spyware) is strafbaar gesteld in de
artikelen 193c, d en e Sr. Indien er opzettelijk dan wel door schuld een geautomatiseerd
werk wordt vernield, zijn de artikelen 161sexies en 161septies Sr
van toepassing. Indien er gegevens worden vernield, is artikel 350 Sr van toepassing.
Wanneer deze persoonlijke gegevens worden verkregen door ‘spoofing’
of ‘phishing’, valt het onder artikel 326 Sr., oplichting. Het gebruik van
deze persoonlijke gegevens voor eigen of andermans voordeel valt ook onder
artikel 326 Sr, oplichting (De Vries e.a., 2007; Ejure, 2004; Europese Commissie,
2007).

342 Verkenning cybercrime in Nederland 2009
Onderzoeken geven een beeld dat tussen de 3% en 5% van de phishing-aanvallen
die worden uitgevoerd daadwerkelijk leiden tot het stelen van persoonlijke
informatie (Ollmann, 2004; Stamm e.a., 2006). Daarnaast blijkt dat van de
gemelde e-fraude 6% van die klachten betrekking had op identiteitsdiefstal
(IC3, 2008b). Verder is het aantal phishingwebsites weliswaar sinds december
2007 afgenomen, maar het aantal klachten over dergelijke sites is juist toegenomen.
Ook het aantal unieke keyloggers nam toe met 1,4% ten opzichte van
oktober 2007. Verder blijkt dat in de meeste gevallen (92,4%) de financiële sector
doelwit is van phishers (APWG, 2008).
Van der Hulst en Neve (2008) concluderen dat identiteitsfraude met behulp
van phishing wordt beschouwd als een van de snelst groeiende vormen van
niet-gewelddadige criminaliteit (Rogers, 2006). Deze criminaliteitsvorm werd
ook in het NDB2004 en de V-NDB2006 (Boerman & Mooij, 2006, p. 31) als voorwaardelijke
dreiging gekwalificeerd. Computercriminelen zijn constant bezig
met het innoveren van hun aanvalstechnieken (Watson e.a., 2005). Dit is onder
andere te zien door de hoeveelheid varianten van phishing. Een variant van
phishing, spear-phishing, wordt steeds meer gebruikt.

Algemeen
bijlage 10
an a ly S e k a d e r doSSierStudie
V1 Batch 1. Hacken
2. Internetfraude
3. Cyberafpersen
4. Haatzaaien
5. Kinderporno
V2 Dossiernummer …………………..........…………………………………
V3 Onderzoeker 1. Pamela Rengers
2. Dennis Lubbers
3. Jelmer de Jong
4. Sander Veenstra
5. Klaas van der Pol
6. Rutger Leukfeldt
7. Miranda Domenie
V4 Datum invoer (jaar/maand/dag) ……………………………...……………………...........
V5 Dossier bruikbaar 0. Nee
1. Ja
V6 Indien niet bruikbaar, waarom niet? 1. Alleen melding, geen aangifte
2. Geen cybercrime
3. Anders
V7 Anders, namelijk ……………………….............…………………………
……………………….............…………………………
……………………….............…………………………
……………………….............…………………………
……………………….............…………………………

344 Verkenning cybercrime in Nederland 2009
Uit het dossier, kopje 1 en 2, letterlijk overnemen
V8 Basisprocessensysteem 1. XPOL
2. BPS
3. GENESYS
V9 Omschrijving ……………………….............…………………………
V10 Hoofdgroep ……………………….............…………………………
V11 Subgroep ……………………….............…………………………
V12 Code ……………………….............…………………………
V13 Modus Operandi ……………………….............…………………………
……………………….............…………………………
……………………….............…………………………
……………………….............…………………………
……………………………………………….............…
V14 Datum kennisname ……………………….............…………………………
V15 Datum pleegperiode begin ……………………….............…………………………
V16 Datum pleegperiode eind ……………………….............…………………………
Over de daad
0 = nee / 1 = ja / 99 = onbekend
V17 Is er sprake van hacken? 0 1 99
V17a Ongeautoriseerde toegang tot ICT 0 1 99
V17b Beveiliging doorbreken 0 1 99
V17c Beveiliging omzeilen 0 1 99
V17d Wachtwoord(en) raden* 0 1 99
V17e Wachtwoord(en) misbruiken* (bijvoorbeeld ongeautoriseerd
gebruikmaken van een wachtwoord)
0 1 99
V17f Wachtwoord(en) stelen* 0 1 99
* Het gebruiken van wachtwoorden om te kunnen hacken, valt onder de cybercrime hacken en
niet onder identiteitsdiefstal of identiteitsfraude.

Bijlage 10 Analysekader dossierstudie
V18 Is er sprake van identiteitsdiefstal? 0 1 99
V18a Het via ICT stelen van persoonsgegevens (bijvoorbeeld door
phishing, keyloggers of het gebruik van spyware)
0 1 99
V18b Door het gebruik van social engineering en via ICT stelen van persoonsgegevens
0 1 99
V18c Identiteitscreatie: het creëren van een fictieve identiteit middels ICT 0 1 99
V18d Identiteitsdelegatie: het overnemen van een identiteit van een bestaand
persoon via ICT mét diens toestemming
0 1 99
V18e Is er sprake van e-fraude? 0 1 99
V19 Is er sprake van e-fraude met behulp van identiteitsmisbruik?* 0 1 99
345
* Het gebruiken van een andere (digitale) identiteit, met het oogmerk om daarmee oneigenlijk
voordeel te behalen.
V20 Is er sprake van e-fraude zonder behulp van identiteitsmisbruik?* 0 1 99
* Bedrog met als oogmerk het behalen van financieel gewin waarbij ICT essentieel is voor de
uitvoering (oplichting op veilingsites, niet leveren van goederen, marktplaatsoplichting, voorschotfraude,
creditcardfraude, fraude met inbelnummers, marktmanipulatie).
V21 Is er sprake van cyberafpersing?* 0 1 99
V21a Het via ICT en door middel van dreiging en/of geweld het op il- 0 1 99
V21b
legale wijze verkrijgen van geld of goederen van een persoon of
organisatie (het creëren van botnets, uitvoeren van DDoS-aanvallen,
defacing van websites en het stelen van digitale informatie uit digitale
systemen)
Het via ICT bedreigen met smaad, smaadschrift of openbaring van
een geheim om geld of goederen van een persoon of organisatie te
krijgen
0 1 99
* Indien het doel van de bedreiging niet het verkrijgen van geld of goederen is, gaat het NIET om
cyberafpersing (zie lijst overige cybercrimes).
V22 Is er sprake van kinderporno? 0 1 99
V22a Vervaardigen van virtuele kinderpornografie 0 1 99
V22b Bezit van kinderpornografisch materiaal op ICT 0 1 99
V22c Verspreiden van kinderpornografisch materiaal via ICT 0 1 99
V23 Is er sprake van haatzaaien?* 0 1 99
Het (aanzetten tot) opzettelijk beledigen of discrimineren van bepaalde groeperingen waarbij
ICT essentieel is voor de uitvoering
* Let op! Het gaat alleen om haatzaaien indien er GEEN bijdrage aan het publieke debat geleverd
wordt.

346 Verkenning cybercrime in Nederland 2009
V24 Cybercrime overig (mogelijkheid tot aanvulling door studenten) 0 1 99
V24a Aanranding door dreiging met geweld 0 1 99
V24b Aanranding door dreiging met smaad 0 1 99
V24c Aanranding door grooming/misbruik autoriteit/beloftes 0 1 99
V24d ……………………………………...................................................………………
….. ……………………………………...................................................………………
….. ……………………………………...................................................………………
V25 Overige criminaliteit/Geen cybercrime (mogelijkheid tot aanvulling 0
door studenten)
1 99
V25a Vervaardiging kinderpornografisch materiaal* 0 1 99
V25b Bezit van kinderpornografisch materiaal, maar niet op ICT 0 1 99
V25c Identiteitsdiefstal zonder gebruik van ICT (bijvoorbeeld dumpster
diving)
0 1 99
V25d ……………………………………...................................................………………
V25e ……………………………………...................................................………………
….. ……………………………………...................................................………………
….. ……………………………………...................................................………………
* Let op! Het vervaardigen van virtuele kinderporno valt onder vraag V22a.
Relevante wetsartikel(en), in volgorde van voorkomen in het dossier
Artikelnummer:
V26a Wetsartikel 1*: …………........................………
V26b Wetsartikel 2: …………........................………
V26c Wetsartikel 3: …………........................………
V26d Wetsartikel 4: …………........................………
V26e Wetsartikel 5: …………........................………
* De lijst met wetsartikelen en de bijbehorende code staan in de bijlage.

Bijlage 10 Analysekader dossierstudie
Over de criminele technieken
V27 Is er gebruikgemaakt van cybercriminele technieken? 0 1 99
V27a Social engineering 0 1 99
V27b Iframe-injecties 0 1 99
V27c Cross-site scripting 0 1 99
V27d Defacing 0 1 99
V27e Botnets 0 1 99
V27f Phishing 0 1 99
V27g Spyware 0 1 99
V27h Keyloggen 0 1 99
V27i DDoS-aanval 0 1 99
V27j Defacing 0 1 99
V27k Sniffing 0 1 99
V27l Spoofing 0 1 99
V27m Onbekend 0 1 99
V27n Geen 0 1 99
V27o Anders 0 1 99
V28 Anders, namelijk ……………………...........…………………………
……………………...........…………………………
……………………...........…………………………
……………………...........…………………………
V29 Is er sprake van voorbereiding? 0 = nee / 1 = ja / 99 = onbekend
V29a Indien ‘ja’, beschrijf kort wat de voorbe-
reiding was
347
……………………...........…………………………
……………………...........…………………………
……………………...........…………………………
V30 Delict vanuit Nederland gepleegd? 0 = nee / 1 = ja / 99 = onbekend
V30a Ander land dan Nederland, namelijk: ……………………...........…………………………
……………………...........…………………………
V31 Hoeveel betrokkenen (BE) zijn er? ……………………...........…………………………
V32 Hoeveel verdachten zijn er? ………………………..……......…………………..
V32a Zijn de verdachten onderdeel van een 1. Individuen
groep?
2. Groep(en)
99. Onbekend
V32b Is er sprake van zware/georganiseerde 0. Nee
criminaliteit?
1. Ja
99. Onbekend

348 Verkenning cybercrime in Nederland 2009
Over de verdachte(n) en verbanden
V33 Verdachtenummer ………………….......................................................……..
V34 Hoe vaak verhoord? ………………….......................................................……..
V35 Geboortedatum (jjjj/mm/dd) ………………….......................................................……..
V36 Geboorteplaats ………………….......................................................……..
V37 Geboorteland ………………….......................................................……..
V38 Geslacht 1 = mannelijk / 2 = vrouwelijk / 99 = onbekend
V39 Burgerlijke staat 1. Gehuwd
2. Samenwonend
3. Alleenstaand
99. Onbekend
V40 Woonsituatie 1. Samenwonend
2. Alleenwonend
3. Inwonend (bijv. bij ouders)
99. Onbekend
V41 Opleidingsniveau 1. WO
2. HBO
3. MBO
4. LBO
5. Middelbare school
6. Lagere school
99. Onbekend
V42 Arbeidssituatie 1. Werkend voltijd
2. Werkend deeltijd
3. Arbeidsongeschikt
4. Ongewenst werkloos
5. Gewenst werkloos: werkt in de huishou-
ding
6. Gewenst werkloos: geen zin om te werken
7. Gepensioneerd
8. Studerend
9. Anders, namelijk, ………………………..
99. Onbekend

Bijlage 10 Analysekader dossierstudie
V43 Beroep 1. Financieel
2. Overheid
3. Onderwijs
4. Militair
5. IT
6. Telecommunicatie
7. Gezondheidszorg
8. Retail
9. Transport
10. Bouw
11. N.v.t.
12. Anders, ………………………..
99. Onbekend
V44 Technische grondslag beroep 1. Technisch
2. Niet technisch
349
V45 Indien technisch, korte
99. Onbekend
………………….......................................................……..
beschrijving
………………….......................................................……..
V46 Technische vaardigheden/ 1. Expert
computervaardigheden
2. Gemiddeld
3. Beginner
99. Onbekend
V47 Technische vaardigheden/ 1. Hoog (programmeur)
programmeerervaring
2. Middel
3. Laag (gebruikt toolkit)
99. Onbekend
V48 Primaire motivatie 1. Nieuwsgierigheid
2. Sensatie/media-aandacht
3. Status/zichzelf bewijzen
4. Wraak
5. Vandalisme
6. Financieel gewin
7. Macht
8. (Intellectuele) uitdaging
9. (Politiek) ideologisch
10. Nationalistisch
11. Anders
99. Onbekend

350 Verkenning cybercrime in Nederland 2009
V49 Anders, namelijk: ………………….......................................................……..
………………….......................................................……..
………………….......................................................……..
………………….......................................................……..
V50 Beschrijf kort de persoonlijke ………………….......................................................……..
situatie van de verdachte
………………….......................................................……..
………………….......................................................……..
V51 Is verdachte in het verleden betrok- 0. Nee
ken geweest bij andere vormen van 1. Ja
criminaliteit?
99. Onbekend
V52 Beschrijf kort de criminele carrière ………………….......................................................……..
van de verdachte
………………….......................................................……..
………………….......................................................……..
………………….......................................................……..
V53 Relatie verdachte en slachtoffer 1. Familie
2. Partner getrouwd/samenwonend/
langdurig
3. Partner verkering/kortstondige relatie
4. Ex-partner getrouwd/samenwonend/
langdurig
5. Ex-partner verkering/kortstondige relatie
6. Kennis/bekende
7. Werknemer
8. Ex-werknemer
9. Onbekende
V54 Andere relatie
10. Anders
99. Relatie onbekend
………………….......................................................……..
V54a Toelichting relatie verdachte en ………………….......................................................……..
slachtoffer
………………….......................................................……..
………………….......................................................……..
………………….......................................................……..
………………….......................................................……..
Slachtofferformulier persoon
V55 Hoe vaak verhoord (exclusief aan-
gifte)
………………………..…………………..........................
V56 Geboortedatum (jjjj/mm/dd) ………………………..…………………..........................
V57 Geboorteplaats ………………………..…………………..........................

Bijlage 10 Analysekader dossierstudie
351
V58 Geboorteland ………………………..…………………..........................
V59 Geslacht ………………………..…………………..........................
V60 Burgerlijke staat 1. Gehuwd
2. Samenwonend
3. Alleenstaand
99. Onbekend
V61 Woonsituatie 1. Samenwonend
2. Alleenwonend
3. Inwonend (bijv. bij ouders)
99. Onbekend
V62 Opleidingsniveau 1. WO
V63 Arbeidssituatie
2. HBO
3. MBO
4. LBO
5. Middelbare school
6. Lagere school
99. Onbekend
1. Werkend voltijd
2. Werkend deeltijd
3. Arbeidsongeschikt
4. Ongewenst werkloos
5. Gewenst werkloos (werkt in de huishou-
ding)
6. Gewenst werkloos (geen zin om te werken)
7. Gepensioneerd
8. Studerend
9. Anders, namelijk, ………………………..
99. Onbekend
V64 Beroep 1. Financieel
2. Overheid
3. Onderwijs
4. Militair
5. IT
6. Telecommunicatie
7. Gezondheidszorg
8. Retail
9. Transport
10. Bouw
11. N.v.t.
12. Anders, ………………………..
99. Onbekend

352 Verkenning cybercrime in Nederland 2009
V65 Beschrijf kort de persoonlijke
situatie van het slachtoffer
………………………..…………………..........................
………………………..…………………..........................
………………………..…………………..........................
………………………..…………………..........................
………………………..…………………..........................
V66 Is het slachtoffer in het verleden 0. Nee
vaker slachtoffer van cybercrime 1. Ja
geweest?
99. Onbekend
V67 Is het slachtoffer ook dader/ 0. Nee
verdachte geweest?
1. Ja
99. Onbekend
V68 Technische grondslag beroep 1. Technisch
2. Niet technisch
V69 Indien technisch, korte
99. Onbekend
………………………..…………………..........................
beschrijving
………………………..…………………..........................
………………………..…………………..........................
V70 Technische vaardigheden/ 1. Expert
computervaardigheden
2. Gemiddeld
3. Beginner
99. Onbekend
V71 Technische vaardigheden/ 1. Hoog (programmeur)
programmeerervaring
2. Middel
3. Laag (gebruikt toolkit)
V72 Was er materiële schade?
99. Onbekend
0. Nee
1. Ja
99. Onbekend
V72a Indien ja, hoe hoog? € ……………………………………………..
V73 Hoe hoog was de impact op het 1. Geen impact op het slachtoffer
slachtoffer?
2. Weinig impact op het slachtoffer
3. Veel impact op het slachtoffer
V74 Beschrijf kort de gevolgen van de
99. Onbekend
………………………..………………….........................
cybercrime voor het slachtoffer .………………………..………………….........................
.………………………..…………………........................
..………………………..…………………........................

Bijlage 10 Analysekader dossierstudie
Slachtofferformulier Organisatie
V75 Hoe vaak verhoord ………………………..…………………..........................
V76 Sector 1. Financieel
2. Overheid
3. Onderwijs
4. Militair
5. IT
6. Telecommunicatie
7. Gezondheidszorg
8. Retail
9. Transport
10. Bouw
11. Anders
99. Onbekend
V77 Anders, namelijk ………………………..…………………..........................
V78 Aantal medewerkers bedrijf ………………………..…………………..........................
V79 Vestigingsland ………………………..…………………..........................
V80 Was er materiële schade? 0. Nee
1. Ja
99. Onbekend
353
V80a Indien ja, hoe hoog? €
V81 Hoe hoog was de impact op het 1. Geen impact op het bedrijf
bedrijf?
2. Weinig impact op het bedrijf
3. Veel impact op het bedrijf
V82 Beschrijf kort de gevolgen van de
99. Onbekend
………………………..…………………..........................
cybercrime voor het bedrijf ………………………..…………………..........................
………………………..…………………..........................
………………………..…………………..........................

354 Verkenning cybercrime in Nederland 2009
Samenvatting, geef een korte weergave van wat er gebeurd is
Geef een schets van het dossier; wat is er gebeurd, waarom is het gebeurd en wat zijn de ge-
bruikte technieken.
LET OP: vul gegevens van slachtoffer en verdachte(n) in op de betreffende
formulieren!

ijlage 11
Sl acH tof f erenqu êt e o n d e r i n t e r n e t t e n d e
fr i e z e n
Het onderzoek is uitgevoerd door www.vraaghetdevries.nl, een onderzoekspanel
voor Friesland. Eerstejaarsstudenten van dertien opleidingen van de
Noordelijke Hogeschool Leeuwarden ondervragen per persoon vier Friezen
van 18 jaar of ouder in hun directe omgeving (geen studenten van de NHL),
wat resulteert in een panel van ongeveer 1.800 Friezen. Deze 1.800 Friezen
zijn op basis van geslacht, leeftijd, opleidingsniveau en de regio waarin zij
wonen representatief voor Friesland. De respons is 80%. Van de respondenten
gebruikt 88,3% het internet voor privédoeleinden. In de meting van november
2008 zijn door de studenten in tien dagen tijd 1.246 Friezen die internet
gebruiken voor privédoeleinden mondeling en telefonisch ondervraagd over
hun internetgebruik. We moeten voorzichtig met de resultaten omgaan, aangezien
de groep wel representatief is voor Friesland, maar niet voor heel Nederland.
Hierna geven we kort de resultaten van dat onderzoek weer.
Hacken
De eerste vraag luidde: ‘Bent u wel eens slachtoffer geweest van hacken?’
De hierbij gehanteerde definitie was:
Wanneer iemand zich op ongeautoriseerde wijze van buitenaf toegang verschaft
tot ICT. Denk aan: iemand misbruikt je wachtwoorden, iemand breekt
in in je e-mail of op je profiel, iemand kan d.m.v. schadelijke software ‘meekijken’
op je computer, enz.
Van de respondenten was 2,7% in 2007 of 2008 slachtoffer van hacken (tabel
B11.1). Van deze 34 slachtoffers heeft 1 persoon aangifte gedaan (2,9% van de
slachtoffers).

356 Verkenning cybercrime in Nederland 2009
Tabel B11.1 Slachtofferschap hacken
Aantal %
Ja, in 2007 of 2008 34 2,7%
Ja, vóór 2007 31 2,5%
Nee, niet dat ik weet 1181 94,8%
E-fraude
Vervolgens vroegen we: ‘Bent u wel eens slachtoffer geweest van e-fraude?’
De hierbij gehanteerde definitie was:
E-fraude is bedrog met als oogmerk het behalen van financieel gewin waarbij
ICT essentieel is voor de uitvoering. Een belangrijk aspect van alle vormen
van fraude, en dus ook e-fraude, is dat fraudeurs veelal gebruikmaken van
een andere identiteit. Denk hierbij bijvoorbeeld aan het bestellen en betalen
van goederen via internet bij een nepbedrijf of neppersoon waarna de goederen
niet worden geleverd.
Van de respondenten was 1,1% in 2007 of 2008 slachtoffer van e-fraude (tabel
B11.2). Van deze 14 slachtoffers, heeft één persoon aangifte gedaan (7,1%).
Tabel B11.2 Slachtofferschap e-fraude
Aantal %
Ja, in 2007 of 2008 14 1,1%
Ja, vóór 2007 14 1,1%
Nee, niet dat ik weet 1181 97,8%
Vervolgens is gevraagd of iemand wel eens geprobeerd heeft de respondent
op te lichten (‘poging tot’) via internet. Van de respondenten zeggen 91 personen
(7,3%) dat dat inderdaad is gebeurd in 2007 of 2008, 35 respondenten
(2,8%) zeggen dat iemand dat vóór 2007 (ook) heeft geprobeerd. Zaken die
respondenten noemen als poging tot e-fraude in 2007 of 2008 zijn heel uiteenlopend
en terug te brengen tot de volgende zes categorieën:
– pogingen tot phishing;
– loterijfraude (u heeft iets gewonnen, maar u moet eerst iets betalen);
– irrealistische biedingen op veilingsites;
– spam;
– proberen via marktplaats geen eerlijke handel te plegen;
– valse facturen.

Bijlage 11 Slachtofferenquête onder internettende Friezen
357
Kinderporno
Als laatste is gevraagd: ‘Heeft u wel eens ongewenst kinderporno ontvangen
via de pc?’ De hierbij gehanteerde definitie luidde:
Een afbeelding van een seksuele gedraging, waarbij iemand die kennelijk de
leeftijd van 18 jaar nog niet heeft bereikt, is betrokken of schijnbaar betrokken.
Van alle respondenten antwoorden 8 respondenten (0,6%) dat dit in 2007 of
2008 is gebeurd en nog eens 8 respondenten dat dit vóór 2007 is gebeurd.
Geen van hen heeft hiervan aangifte gedaan bij de politie.
Andere vormen van cybercrime zijn in dit onderzoek niet gemeten. Uit het
onderzoek in Friesland kunnen we voorzichtig concluderen dat het slachtofferschap
van cybercrime hoger ligt dan het aantal crimes dat in de registratiesystemen
van de politie terechtkomt. Alleen al van hacken (2,7%), fraude
(1,1%) en kinderporno (0,6%) was 4,4% van de respondenten in de afgelopen
twee jaar het slachtoffer. 112 De aangiftebereidheid is laag, zo luidt een tweede
conclusie. Van de 56 slachtoffers van de genoemde drie delicten samen, deden
er twee aangifte, hetgeen overeenkomt met 3,6%. De aangiftebereidheid
in de Veiligheidsmonitor Rijk ligt in 2006 gemiddeld over alle in die monitor
genoemde delicten op ongeveer 25%. De derde conclusie die we kunnen trekken,
is dat het aantal pogingen tot e-fraude veel hoger ligt dan het slachtofferschap
van dat delict.
112 We sommeren de percentages, voorbijgaande aan de mogelijkheid van gecombineerd
slachtofferschap. Ook verdient nadruk dat we in de dossierstudie keken naar het percentage
cybercrimes in een jaar, terwijl de vragenlijst was gericht op slachtofferschap in de afgelopen
twee jaar.